自国资委79号文明确了2027年底前信息系统全面国产化的目标后,金融单位、央国企集团及各子公司纷纷加大国产化改造力度。不少子、孙公司表示,集团要求到2024年底或2025年底国外的关键IT基础设施要停止使用,如微软AD、云桌面等。
信创国产化是大势所趋,不可能走回头路。那么在采购了国产化的操作系统电脑、服务器、云桌面、邮箱后,如何再用微软AD国产化替换方案进行统一管理,以确保员工的使用习惯不改变,业务不中断?本文将通过一个金融单位的信创改造案例,展示该企业的遇到的问题和选择的解决方案,为其他金融、央国企单位提供参考。
某金融机构在信创改造时,面临三大问题:
1. 信创和Windows电脑如何进行统一认证和管理;
2. 信创电脑如何进行802.1X认证入网;
3. 新采购的应用系统如何做LDAP统一身份认证。
由于微软AD只能接管Windows电脑及LDAP应用,无法纳管信创电脑和一些新型的应用,因此必须寻找能够替换微软AD的国产化方案。面对这些问题,宁盾给出了解决方案——国产化域控。
宁盾国产域控解决方案:
宁盾国产化身份域管是以替换微软AD、IBM TDS为目标的信创方案,它不仅能高度兼容AD、TDS原有的目录结构,实现平滑无缝迁移,还对AD原先存在的一些不足进行了能力增强,如MFA 多因素认证、自助修改密码、单点登录SSO、云上应用对接等能力,使得金融、央国企等信创用户在进行国产化改造时,能够实现对异构化的IT资产进行统一管理的目标。
在落地时,解决思路如下:
1、建立LDAP统一身份源
首先,用宁盾国产身份域管来同步AD域内的组织架构和用户身份数据,这里宁盾域管支持创建单层、多层组织。将信息同步过来后,用户使用与AD域账号相同的账号密码即可登录国产应用、电脑、网络等,进行统一身份认证。
2、异构化的电脑加域
Windows、信创(麒麟、统信)电脑都需要借助宁盾用于端侧的安全连接器,配置完成后,达到模拟加域的效果,和Windows电脑加AD域一样简单。
模拟加域效果示意图
3、下发权限
宁盾身份域管不仅可设置各种Role,还支持根据要对接的应用/设备设置自定义属性,一键同步账号权限,员工在电脑里的权限还能管控得了。
4、802.1X网络准入认证
宁盾身份域管内置了RADIUS认证能力,支持导入微软AD及第三方CA证书,也支持自签发、校验。除了满足电脑入网认证(802.1X、Portal认证),宁盾还提供了资产管理、准入合规检测等能力,例如根据企业内网安全准入条件,只有安装运行了EDR客户端/杀毒软件/加域电脑才允许接入业务内网,保障内网安全性。
5、接管LDAP应用身份认证
国产云桌面、网盘存储、研发应用等,只需修改认证服务器的IP地址,即可完成应用迁移,同步接入到宁盾身份域管。
以上是宁盾身份域管在该机构中替换微软AD的一小部分能力展示,除了用户同步、接管信创电脑统一认证、国产应用的认证、网络准入控制外,在扩展能力上该金融机构还选择了宁盾MFA多因素认证、自助改密、高可靠部署等,以保障数据及系统的安全性。