湯若昕 劉暢 王琦 郭曉鈺 甄紫夢 張津銘
摘? 要:隨著學(xué)校規(guī)模的不斷發(fā)展,中國民航大學(xué)已經(jīng)從單校區(qū)發(fā)展為多校區(qū),且這些校區(qū)跨地域范圍廣泛。因此,面對眾多的用戶,從用戶和管理者兩個角度來講,使用統(tǒng)一的認(rèn)證方式很有必要。該文在分析中國民航大學(xué)校園網(wǎng)的物理布局及結(jié)構(gòu)特點(diǎn)的基礎(chǔ)上,提出了基于AD的多校區(qū)高效可重構(gòu)統(tǒng)一身份認(rèn)證架構(gòu)策略,這一架構(gòu)設(shè)計(jì),對于提高管理效率,加強(qiáng)校園網(wǎng)安全保障有著重大意義。
關(guān)鍵詞:AD? 統(tǒng)一身份認(rèn)證? 多校區(qū)? 可重構(gòu)
中圖分類號:TN915? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼:A? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號:1672-3791(2019)04(a)-0009-03
1? 概述
1.1 活動目錄
活動目錄(AD)是微軟分布式網(wǎng)絡(luò)體系結(jié)構(gòu)中的重要組成部分,是其實(shí)現(xiàn)網(wǎng)絡(luò)管理和使用的基礎(chǔ)。它以域?yàn)榛竟芾韱挝?,存儲域中的?jì)算機(jī)和用戶、打印機(jī)、共享文件夾等網(wǎng)絡(luò)對象的信息。網(wǎng)絡(luò)管理員可以使用活動目錄實(shí)現(xiàn)網(wǎng)絡(luò)資源、用戶的可視化集中管理,運(yùn)用活動目錄技術(shù)規(guī)劃管理校園網(wǎng),可以有效提高辦公效率,節(jié)約網(wǎng)絡(luò)管理成本,提高校園網(wǎng)的安全性。
1.2 目前現(xiàn)狀
目前,筆者學(xué)?,F(xiàn)有AD認(rèn)證架構(gòu)(東麗校區(qū))中,只有一個域一個節(jié)點(diǎn),由4個域控制器實(shí)現(xiàn)均衡負(fù)載。隨著學(xué)校新校區(qū)的規(guī)劃建設(shè),在原東麗主校區(qū)的基礎(chǔ)上,增加了寧河和朝陽飛行等多個校區(qū),各校區(qū)間物理布局如圖1所示。這樣跨地域、跨地區(qū)、多校區(qū)辦學(xué),人員管理、權(quán)限管理的問題有待優(yōu)化的,重新搭建擴(kuò)展原有的AD架構(gòu)就很有必要。并且若每個校區(qū)都采用獨(dú)立身份認(rèn)證的方式,會帶來如下的幾個主要的問題。
(1)師生的使用效率和體驗(yàn)性方面[1]。
如果各個校區(qū)使用的認(rèn)證架構(gòu)不同,必定會要求學(xué)生和教職工人員每次登錄時都需要輸入賬號和密碼信息,這就要求師生都得記憶多套密碼,加大認(rèn)證復(fù)雜度,不僅浪費(fèi)時間,降低使用效率,同時也給師生造成不便,用戶體驗(yàn)性極差。
(2)管理員對于數(shù)據(jù)和用戶的管理方面。
一是使用者擁有多個密碼引起的管理問題。每個校區(qū)都擁有自己的身份認(rèn)證方式,相應(yīng)的每個師生就會擁有多套賬號和密碼,如果不是經(jīng)常使用,使用者可能會忘記或者記亂密碼,這將導(dǎo)致在緊急情況下可能會無法及時認(rèn)證。為了防止此類事件發(fā)生,大多數(shù)使用者會設(shè)置相同的密碼,但這種做法雖然方便了自己,但從信息安全的角度來看是非常不安全的,一旦被不良分子盜取了賬戶和密碼,其使用權(quán)限 會被盜取,信息安全無法保障。
二是各校區(qū)數(shù)據(jù)庫的數(shù)據(jù)更新問題,因朝陽校區(qū)設(shè)置的為只讀域控制器,其ADDS數(shù)據(jù)只可以被讀取,不可以被修改,只在每天凌晨進(jìn)行一次數(shù)據(jù)更新。若兩個校區(qū)的身份認(rèn)證方式不同,就會導(dǎo)致校區(qū)間的信息共享性很差,朝陽校區(qū)的數(shù)據(jù)更新會出現(xiàn)問題,從而導(dǎo)致數(shù)據(jù)不準(zhǔn)確。同時客戶端維護(hù)成本較高,也不利于學(xué)校安全、高效地進(jìn)行統(tǒng)一的人員管理及權(quán)限管理。
因此為了為面向多校區(qū)辦學(xué)做充分的理論和實(shí)踐準(zhǔn)備,我們需要一個可以滿足師生只需注冊一次并且登錄一次就可以在訪問多個校區(qū)需求的單點(diǎn)登錄[2]身份認(rèn)證方式,這就需要在優(yōu)化現(xiàn)有的東麗校區(qū)的AD架構(gòu)基礎(chǔ)上拓寬AD功能,實(shí)現(xiàn)高效可重構(gòu),從而實(shí)現(xiàn)基于AD的多校區(qū)高效可重構(gòu)統(tǒng)一身份認(rèn)證架構(gòu)。
2? 高校應(yīng)用統(tǒng)一認(rèn)證方式概述
通過對高校內(nèi)部身份認(rèn)證方式的研究,可以發(fā)現(xiàn)AD是基礎(chǔ)架構(gòu)的根本,是統(tǒng)一認(rèn)證管理的基礎(chǔ)。隨著學(xué)校不斷發(fā)展壯大,面對跨地域、跨地區(qū)、多校區(qū)辦學(xué),人員管理、權(quán)限管理的問題有待優(yōu)化,為實(shí)現(xiàn)高效應(yīng)用統(tǒng)一認(rèn)證方式,重新搭建擴(kuò)建原有AD架構(gòu)很有必要。
經(jīng)現(xiàn)有AD架構(gòu)分析,實(shí)現(xiàn)多校區(qū)高校可重構(gòu)統(tǒng)一身份認(rèn)證架構(gòu)可包括以下幾個部分。
(1)梳理現(xiàn)有AD架構(gòu)。
由于現(xiàn)有AD架構(gòu)已經(jīng)有十幾年的歷史,其中歷史用戶、計(jì)算機(jī)、日志數(shù)量眾多,該部分在模擬學(xué)?,F(xiàn)有的AD架構(gòu)以及大量數(shù)據(jù)基礎(chǔ)上,研究當(dāng)前的身份認(rèn)證原理,進(jìn)行梳理、分析現(xiàn)有AD中用戶管理組織結(jié)構(gòu)。
(2)拓展AD架構(gòu)功能。
由于現(xiàn)有架構(gòu)只停留在“一棵域樹”、一個節(jié)點(diǎn)的階段。該部分在模擬學(xué)?,F(xiàn)有的AD架構(gòu)基礎(chǔ)上,進(jìn)一步拓展現(xiàn)有AD功能,如組策略,以根據(jù)用戶需求針對計(jì)算機(jī)或是特定用戶來設(shè)置多種策略配置,包括桌面配置和安全配置等,實(shí)現(xiàn)更安全、高效的統(tǒng)一人員管理及權(quán)限管理。
(3)多校區(qū)重構(gòu)現(xiàn)有AD架構(gòu)。
多校區(qū)運(yùn)行的AD架構(gòu)面向的用戶對象更廣泛、用戶基數(shù)更龐大、傳輸距離更長。面向多校區(qū)重構(gòu)現(xiàn)有AD架構(gòu)時,將同一站點(diǎn)內(nèi)隸屬同一個域的域控制器的應(yīng)用系統(tǒng)作為同一個信任域,在每個信任域內(nèi)都設(shè)有獨(dú)立的身份認(rèn)證管理系統(tǒng),以實(shí)現(xiàn)高效完成新校區(qū)投入使用后統(tǒng)一身份認(rèn)證的管理工作。
3? 基于AD的多校區(qū)應(yīng)用統(tǒng)一認(rèn)證架構(gòu)
隨著高校規(guī)模的不斷擴(kuò)大,尤其是高校的跨區(qū)域建設(shè),這些各自為政所實(shí)施的局部應(yīng)用系統(tǒng)使得各系統(tǒng)之間彼此獨(dú)立,需要進(jìn)行在不同信息系統(tǒng)之間來回穿梭,容易造成信息混亂。在高校發(fā)展建設(shè)過程中,應(yīng)基于現(xiàn)有的環(huán)境,選擇不同的企業(yè)應(yīng)用進(jìn)行統(tǒng)一身份認(rèn)證架構(gòu)。由于微軟系列產(chǎn)品在個人辦公電腦和桌面應(yīng)用上屬于絕對的主流產(chǎn)品,所有基于AD統(tǒng)一身份認(rèn)證架構(gòu),是很多高校的選擇。
在實(shí)際應(yīng)用中,微軟的AD產(chǎn)品和微軟系列應(yīng)用結(jié)合得十分緊密,在Windows Server 服務(wù)器中,通過簡單的設(shè)置,即可實(shí)現(xiàn)應(yīng)用與微軟AD的整合,從而實(shí)現(xiàn)身份的統(tǒng)一認(rèn)證[3]。
該文所描述的架構(gòu)方式以AD目錄服務(wù)作為統(tǒng)一認(rèn)證的基礎(chǔ),針對跨區(qū)域高校的地理分布、系統(tǒng)部署、網(wǎng)絡(luò)狀況等實(shí)際情況,高校的AD系統(tǒng)采用總校區(qū)/分校區(qū)兩級架構(gòu)設(shè)計(jì)。中國民航大學(xué)東麗校區(qū)、朝陽校區(qū)相距550km左右;東麗校區(qū)距離寧河校區(qū)30km左右,采用高速光纜快速傳輸,網(wǎng)絡(luò)傳輸速度較快,寧河校區(qū)內(nèi)部基礎(chǔ)設(shè)施也會比現(xiàn)有校區(qū)要更好,根據(jù)實(shí)際需求,將朝陽校區(qū)作為單獨(dú)站點(diǎn),建立RODC只讀域控制器,復(fù)制來自主校區(qū)域的數(shù)據(jù);將寧河校區(qū)作為主校區(qū)下的子域,建立一定數(shù)量的AD目錄服務(wù)器,保證各個域之間相互信任關(guān)系,通過本地站點(diǎn)可以訪問各個站點(diǎn)內(nèi)的服務(wù)器數(shù)據(jù)。各校區(qū)在本地身份認(rèn)證目錄中存放和管理本校區(qū)內(nèi)的用戶身份信息,身份認(rèn)證系統(tǒng)將這些目錄自動同步到總校區(qū)的身份認(rèn)證目錄中。因此,用戶在分校區(qū)和總校區(qū)都具有身份信息,根據(jù)屬性關(guān)聯(lián),選擇標(biāo)識作為用戶關(guān)鍵信息。
在AD框架中,系統(tǒng)由網(wǎng)關(guān)和身份認(rèn)證管理服務(wù)器組成。網(wǎng)關(guān)作為用戶的統(tǒng)一訪問入口,身份認(rèn)證服務(wù)器管理相關(guān)的訪問控制策略[4]。以中國民航大學(xué)為例,其架構(gòu)如圖2所示,各大高校應(yīng)根據(jù)自身狀況合理設(shè)置相應(yīng)構(gòu)架。
4? 架構(gòu)管理策略
為實(shí)現(xiàn)面向多校區(qū)重構(gòu)現(xiàn)有架構(gòu),以高效完成新校區(qū)投入使用后統(tǒng)一身份認(rèn)證的管理工作,在實(shí)驗(yàn)環(huán)境中搭建了基于AD的多校區(qū)高效可重構(gòu)統(tǒng)一身份認(rèn)證架構(gòu),并提出該架構(gòu)的管理策略。
(1)確定校內(nèi)統(tǒng)一賬號庫[2]:建立基于AD的唯一用戶信息數(shù)據(jù)庫。唯一的用戶賬號管理策略是實(shí)現(xiàn)統(tǒng)一身份認(rèn)證和單點(diǎn)登錄的基礎(chǔ)。一方面,不同的應(yīng)用系統(tǒng)采用不同的管理模式,用戶使用統(tǒng)一的賬號、密碼能規(guī)范不同系統(tǒng)的用戶信息,做到不同用戶有唯一標(biāo)識,能更安全、高效地競選統(tǒng)一人員管理及權(quán)限管理。另一方面,用戶使用一套賬號和密碼登錄多個應(yīng)用系統(tǒng)能方便用戶記憶個人信息,用一套賬號密碼就能登錄不同應(yīng)用系統(tǒng),同時能夠在因?qū)W生畢業(yè)、教工退休或離職等情況而發(fā)生人員調(diào)度問題時,及時封鎖賬號,降低可能存在的安全隱患,降低安全管理復(fù)雜度。
(2)設(shè)計(jì)基于AD的用戶單點(diǎn)登錄:用戶的單點(diǎn)登錄[5]主要是實(shí)現(xiàn)身份認(rèn)證管理系統(tǒng)將經(jīng)過鑒定的用戶信息以安全的方式傳遞給應(yīng)用系統(tǒng),應(yīng)用系統(tǒng)利用身份認(rèn)證系統(tǒng)傳遞的用戶信息確認(rèn)用戶身份,完成登錄。單點(diǎn)登錄涉及兩種情況[4]:一種是用戶訪問當(dāng)前域的應(yīng)用系統(tǒng),即用戶所在校區(qū),一種是用戶訪問其他子域的分校區(qū)或直接訪問主校區(qū)所在的父域的應(yīng)用系統(tǒng)。在設(shè)計(jì)AD架構(gòu)時將同一站點(diǎn)內(nèi)隸屬同一個域的域控制器的應(yīng)用系統(tǒng),如教務(wù)管理系統(tǒng)、OA辦公系統(tǒng)、學(xué)生選課系統(tǒng)等作為一個信任域,每個信任域內(nèi)都設(shè)有獨(dú)立的身份認(rèn)證管理系統(tǒng)。用戶單點(diǎn)登錄能實(shí)現(xiàn)登錄AD域后[6],以AD用戶身份訪問該應(yīng)用系統(tǒng),不需要再次輸入用戶名和密碼,極大程度優(yōu)化了用戶體驗(yàn)。
(3)利用組策略針對計(jì)算機(jī)或是特定用戶來設(shè)置多種策略配置:組策略 group policy object(簡稱GPO)是Windows中的一種自動配置桌面設(shè)置的機(jī)制,可幫助管理員進(jìn)行桌面配置和安全配置等,從而根據(jù)用戶需求對不同用戶的設(shè)置進(jìn)行管理和配置。通過組策略[7],可設(shè)置集中化和分散化策略,管理用戶桌面環(huán)境的各種組件,控制用戶和計(jì)算機(jī)的環(huán)境,如軟件安裝、軟件限制、基于注冊表的管理模板、文件夾重定向和 Internet Explorer維護(hù)等。
5? 結(jié)語
統(tǒng)一身份認(rèn)證技術(shù)加強(qiáng)了多校區(qū)的數(shù)據(jù)管理:對于學(xué)生來說,統(tǒng)一身份認(rèn)證實(shí)現(xiàn)了僅使用一套用戶名、密碼來完成多平臺認(rèn)證;對于學(xué)校管理來說,統(tǒng)一身份認(rèn)證使得數(shù)據(jù)管理更高效、更便捷,適用于跨地域、跨地區(qū)、多校區(qū)辦學(xué)。優(yōu)化后多校區(qū)運(yùn)行的AD架構(gòu)能夠安全、穩(wěn)定、高效的進(jìn)行統(tǒng)一身份認(rèn)證數(shù)據(jù)存儲和傳輸,有利于保障學(xué)校內(nèi)部數(shù)據(jù)的安全水平。
參考文獻(xiàn)
[1] 吳金洋.智慧校園統(tǒng)一身份認(rèn)證技術(shù)分析[J].科技創(chuàng)新與應(yīng)用,2017(4):12.
[2] 查禮.基于LDAP的網(wǎng)格監(jiān)控系統(tǒng)[J].計(jì)算機(jī)研究與發(fā)展,2002,39(8):931-936.
[3] 張波.基于AD的企業(yè)統(tǒng)一認(rèn)證方式概述[J].電腦知識與技術(shù),2015(2X):102-103.
[4] 趙華.統(tǒng)一身份認(rèn)證在跨區(qū)域信息化企業(yè)中的設(shè)計(jì)[J].計(jì)算機(jī)與現(xiàn)代化,2011(6):57-59.
[5] 任軍.基于LDAP的目錄服務(wù)綜述[J].計(jì)算機(jī)應(yīng)用研究,2005(5):8-10.
[6] 劉芳,孫華文.基于AD的統(tǒng)一身份認(rèn)證服務(wù)技術(shù)實(shí)現(xiàn)和管理策略[J].信息系統(tǒng)工程,2013(6):34-35.
[7] 沈衛(wèi)強(qiáng).AD域環(huán)境中組策略的規(guī)劃與實(shí)踐[J].計(jì)算機(jī)安全,2006(9):16-18.
①基金項(xiàng)目:中國民航大學(xué)大學(xué)生創(chuàng)新創(chuàng)業(yè)計(jì)劃項(xiàng)目(項(xiàng)目編號:201810059126)。
作者簡介:湯若昕(1998—),女,漢族,江西南昌人,本科在讀,研究方向:計(jì)算機(jī)科學(xué)與技術(shù)。