首页 > 其他分享 >AD域迁移替换时,网络准入控制系统如何迁移至国产域控?

AD域迁移替换时,网络准入控制系统如何迁移至国产域控?

时间:2024-09-06 16:53:10浏览次数:13  
标签:AD 对接 用户 准入 域控 迁移 替换 身份

微软活动目录(Microsoft Active Directory),简称“微软AD”,是迄今为止身份管理和访问控制领域的最佳实践,全球约90%的中大型企业采用AD作为底层数字身份基础设施,管理组织、用户、应用、网络、终端等IT资源。但随着信创建设在党政机关、金融、央国企、电力等各行各业铺开,对微软AD域的替换成为企业信息安全建设中不可避免的议题之一。


鉴于AD在企业中的应用程度不同,可将企业分为轻度、中度及深度三类微软AD用户。面对AD替换的目标,三类用户可能会采取不同的行动。例如:

  • 轻度AD用户:仅部分应用对接AD的企业。替换AD时,可能会直接关停AD,并废弃部分应用。
  • 中度AD用户:部分应用对接AD,终端加域管理的企业。替换AD时,可能会将应用迁移到IAM上。
  • 深度AD用户:SharePoint、Exchange等深度用户,终端加域管理且组策略应用较深。替换AD时,现有应用国产化替代,并寻找AD替换方案,将现有场景全部迁移接管。


前两类AD用户的替换方案可能会面临的问题在本文中不做赘述,后期我们将另开一篇文章分析短、中、长期利弊。本文重点在于关注深度AD用户替换AD时,将面临哪些问题,并提供对应的解决方案。


深度微软AD用户在替换AD时要面临多个场景的迁移对接:终端、网络、云桌面/网盘、基础服务(DNS、NTP)、应用等。本文将先对网络接入场景进行剖析。

AD域迁移替换时,网络准入控制系统如何迁移至国产域控?_AD域替代方案

宁盾身份域管替换AD示意图


以宁盾身份域管替换AD方案为例,企业网络接入场景可分为三种:


一、与现有的上网行为管理AC认证做对接

上网行为管理AC在围绕办公网安全管控时,需对接AD或其他LDAP身份源进行身份认证。当AD被替换后,企业需要将AC认证迁移到替换方案上。

宁盾方案:将AD上的组织架构和用户数据完整同步到宁盾身份域管,以LDAP协议对接AC设备,为其提供身份认和访问授权。


二、与第三方准入/桌管设备做对接

第三方准入/桌管设备需对接AD/LDAP身份源。此外,部分企业认为传统802.1X准入的实施运维成本过高,且如果借助多个Hub可以轻松绕过安全机制,因此有替换传统准入方案的需求。

宁盾方案:宁盾身份域管以LDAP服务为核心,通过LDAP协议与准入/桌管设备无缝集成,准入/桌管设备作为下游应用,由身份域管提供身份认证及授权。对于替换传统准入设备的企业,可借助宁盾身份域管实施轻量化准入,不过度依赖客户端,不改造网络,上线快速,零信任理念保障了安全性,大幅降低运维实施成本的同时,运维体验与用户体验均显著提升。


三、重构网络认证系统

现有的RADIUS认证系统不好用或新搭建RADIUS认证服务,以实现网络准入认证。

宁盾方案:此场景可借助宁盾国产化身份域管内置的RADIUS认证功能,打造无感知的准入体系。

以上是常见的三种网络准入场景在AD替代背景下的迁移对接方案。通过对接方案可以看出,以标准LDAP协议对接,能够降低后续其他应用对接适配的工作量和投入的人力成本,有利于深入推进AD替代工作。接下来,我们将以宁盾身份域管方案为例,通过一系列文章拆解应用迁移、终端纳管等场景,为信创用户提供立项或建设参考。

标签:AD,对接,用户,准入,域控,迁移,替换,身份
From: https://blog.51cto.com/u_13466321/11938837

相关文章

  • JAVA网络编程之InetAddress 和 SocketAddress 的区别
    InetAddress和SocketAddress是Java网络编程中常用的类,用于处理网络连接中的地址信息。1.InetAddressInetAddress用于表示IP地址,既可以是IPV4也可以是IPV6。它可以用来获取主机的IP地址,或根据IP地址查找主机名。InetAddress是抽象类,常用的有两个子类:Inet4Address和I......
  • 用友U8 Cloud AddTaskDataRightAction SQL注入漏洞复现
    0x01产品简介用友U8 Cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。0x02漏洞概述用友U8 CloudAddTaskDataRightAction 接口处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员......
  • 混合部署 | 在RK3568上同时部署RT-Thread和Linux系统-迅为电子
    RT-Thread是一个高安全性、实时性的操作系统,广泛应用于任务关键领域,例如电力、轨道交通、车载系统、工业控制和新能源等。它的加入让RK3568能够在保证系统实时性和安全性的同时,灵活处理复杂的任务场景。    在一般情况下,iTOP-RK3568的四个Cortex-A55核心通常运行Linux......
  • 记录 ThreadPoolExecutor任务队列放入任务的方式
    众所周知,ThreadPoolExecutor内部任务队列属性类型定义为:privatefinalBlockingQueueworkQueue;而其有三种提交任务方式:add、put和offer,好奇其内部用的哪个,又不想查资料,故而跳到源码内部一看。结果如下:三种提交任务方式:put(Eelement):将指定元素插入队列,如果队列已满,则阻塞......
  • 配置Gradle使用国内镜像加速依赖下载
      目录修改 settings.gradle 文件 修改 build.gradle 文件配置全局Gradle设置   要在Gradle项目中配置使用国内镜像,可以采取以下步骤来全局替换默认的仓库为国内可用的镜像源。这里假设想将Maven中央仓库等默认仓库更换为阿里云、清华大学或者其他的国内镜......
  • 前端 - Failed to load module script 解决方案
    Failedtoloadmodulescript解决方案问题描述打包好项目发布上传到nginx后,浏览器访问,出现一下报错信息:Failedtoloadmodulescript:ExpectedaJavaScriptmodulescriptbuttheserverrespondedwithaMIMEtypeof"text/html".StrictMIMEtypecheckingisen......
  • JSP酒店客房预订管理系统nadez(程序+源码+数据库+调试部署+开发环境)
    本系统(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面。系统程序文件列表系统功能:用户,客房分类,客房信息,客房预订,客房入住,换房申请,退房结账技术要求:开发语言:JSP前端使用:HTML5,CSS,JSP动态网页技术后端使用SpringBoot,Spring技......
  • R-Adapter:零样本模型微调新突破,提升鲁棒性与泛化能力 | ECCV 2024
    大规模图像-文本预训练模型实现了零样本分类,并在不同数据分布下提供了一致的准确性。然而,这些模型在下游任务中通常需要微调优化,这会降低对于超出分布范围的数据的泛化能力,并需要大量的计算资源。论文提出新颖的RobustAdapter(R-Adapter),可以在微调零样本模型用于下游任务的同时解......
  • [已解决] [HiveCatalog]Kerberos GSS initiate failed, No valid credentials provide
    问题说明部署一个连接Hive的Java应用程序,遇到这个Kerberos报错的问题,查了一天,记录一下问题现象KerberosGSSinitiatefailedNovalidcredentialsprovided(Mechanismlevel:AttempttoobtainnewINITIATEcredentialsfailed!(null))CannotreadfromSystem.injav......
  • Adobe又出黑科技!5秒Ai绘画出图? Stable Diffusion来了!
    据所知2024有两款Ai神器爆火一款是大名鼎鼎的ChatGPT另外一款则是Ai智能绘图软件—StableDiffusion本期重点介绍StableDiffusion尤其最近抖音小红书刷屏的AI人物大部分都是这款软件做的▼StableDiffusion是以文本生成图像的AI工具,也是目前唯一一款能部署在......