某金融机构身份国产化LDAP创新实践——国产自主可控 LDAP目录服务建设经验分享

一、项目背景

自2019年以来，金融行业信创发展进程加快。从2020年一期试点的47家到2021年二期试点198家，2022年三期试点启动的同时也进入全面推广阶段，试点范围由大型银行、证券、保险等机构向中小型金融机构渗透，涉及全行业5000余家单位。

信创建设成为金融机构数字化转型的重要抓手，在帮助金融机构的业务提质增效的同时，也能为金融机构数字化转型和以数字化为支撑的管理变革奠定基础。

二、某金融机构身份建设现状

在此背景下，某大型金融机构的信创建设也进入快车道，信创相关预算占比逐年升高。

该大型金融机构2002年成立至今，拥有国内、国外近百家分支机构，业务遍布全球180个国家和地区，雇员近4000人。随着国产服务器、统信、麒麟等终端操作系统、国产OA、邮件如Coremail等应用软件投入使用，以 Windows 操作系统为主的 IT 底层架构逐渐被替代，而纳管这些 IT 资源（身份、应用、终端）的微软活动目录 Active Directory（AD）也将面临替换。

1、不得不提的微软AD

Microsoft Active Directory （微软AD）作为一种目录服务或身份提供商（IdP），主要是帮助管理员将用户连接到基于Windows的IT资源，同时管理和保护基于Windows的业务系统和应用。管理员可以使用AD创建用户并授权用户访问Windows终端、服务器和应用等。另外，AD还能用于控制系统组、强制执行安全设置和软件更新，而AD的访问和控制都是基于域来实现的。

AD提供了终端统一认证、管理能力，应用接入能力，基于NPS的RADIUS服务，Windows文件共享以及基于AD的NDS服务。AD是微软整个生态环境的基础，也是企业IT基础设施。对于长期使用AD的企业，AD已经深入到其生产、业务、管理方方面面。如果无法使用微软AD了，那么企业的身份、应用、终端的管理怎么办？寻求可替代AD域的国产目录服务产品成为金融行业当前及未来的重点。

2、应用

该金融机构存在与微软AD高度绑定的应用，如虚拟桌面、IAM系统、单点登录SSO系统、Exchange 邮箱、Office365等。除此之外，还有部分国产应用，如Synology NAS、Coremail、OA系统等。

依赖微软AD的应用使用域账号即可进行身份认证和访问授权，但对于国产应用软件，IT管理员只能在各个应用系统中单独手动维护组织架构和用户身份信息，不仅拖累运维效率，也增加了人为操作失误带来的风险。企业急需建立统一身份认证和管理体系，才能确保业务不中断。

3、关键设备

对于一些关键设备，例如堡垒机、服务器、防火墙、交换机、虚拟桌面等设备的身份认证同样依赖于微软AD，Windows Server被替换或停用，也会导致AD服务无法继续。

4、终端

当替换成统信、麒麟这类信创终端后，如何保护用户在Windows上的使用习惯？不同品牌信创终端账号能否统一集中管理？用户登录认证是否支持集中认证和本地认证，以及常用的802.1x认证？这些问题对IT部门而言都是不小的挑战。

三、如何落地？

终端和AD替换不是一蹴而就的，既有Windows终端、新购Windows终端、信创终端、微软AD和AD替代方案会有阶段性共存，而在过渡阶段主要面临的是迁移问题：

• 应用系统从AD域向替代方案的迁移；

• AD域、信创域管平台、替代方案的账号、密码同步；

• 加域Windows终端向替代方案的迁移，包括终端登录、管理和用户数据的迁移。

1、思路

针对上述痛点，考虑到方案可用性、覆盖范围和TCO（Total Cost of Ownership ，总拥有成本，产品采购到后期使用、维护的成本），宁盾为该金融机构提出了一个有效的解决思路，基于宁盾身份目录服务来进行，按照与AD关联紧密度排序，关联度小的优先迁移，以此逐步弱化AD在企业中的作用：

• 为该企业建立统一身份目录，实现对AD的替代；

• 关键业务系统向宁盾目录服务迁移；

• 信创系统终端和Windows终端统一身份认证和管理；

• 网络接入的统一管理；

• 完成无法覆盖场景的替代，如Exchange、Windows文件共享、DNS服务等；

• 完成与AD高度绑定的产品改造。

宁盾目录服务（Nington Directory Service，NDS）是基于标准LDAP协议自主研发的国产LDAP身份目录服务，用来存储用户身份数据，并提供统一的目录用户认证，可广泛应用于本地/云应用、操作系统、网络/安全设备场景。

它由身份目录、应用接入、网络接入、多因素认证、统一终端管理等多个能力组件构成。其中LDAP身份目录是核心服务，其他能力组件均为可选项，可通过标准协议与第三方产品进行替换或集成。

（宁盾身份目录服务能力架构图）

• 身份目录负责存储用户账号、密码、组织架构、用户组等数据，并处理身份的上下游同步。

• 应用接入组件为应用系统提供身份管理和登录认证/SSO服务。

• 网络接入处理设备的有线、无线认证和远程接入，如VPN、虚拟桌面认证等。

• 多因素认证提供认证增强能力，支持动态密码、短信密码、扫码认证、推送认证等功能。

• 统一终端管理为信创和Windows终端提供集中身份管理、认证管理、合规性检查和认证增强等能力。

2、动手

宁盾目录服务主要包含身份目录和各业务场景对接能力。身份目录具有和AD高度兼容的数据结构，降低了应用的变更代价，为应用迁移提供了便利。

（宁盾身份目录服务兼容微软AD）

2-1、以NDS为身份源的统一身份管理中心

为了能够统一信创、Windows终端和其他业务场景的身份，宁盾目录需要替代AD原有的生态位，建立身份源。因此，在该方案中首先构建以宁盾目录服务为核心身份源的统一身份管理中心。通过宁盾目录的身份同步功能，将上游身份源如AD、HR、IAM系统或OA系统内的身份数据同步到宁盾目录服务中进行统一管理维护。

此时，宁盾目录服务可以作为LDAP服务器或者SCIM服务器，由下游应用系统直接调用身份数据，也可以调用下游应用的身份API主动推送身份数据，从而保持企业内用户全网身份一致性。

2-2、应用对接

应用对接场景中，宁盾目录服务需要接管下列能力：

• 应用的身份和权限管理。依赖AD的应用可直接使用LDAP协议对接宁盾目录，宁盾目录与 AD 的用户数据和接口高度兼容。权限管理可沿用AD的组织单元和用户组；

• 登录认证。宁盾目录兼容AD的登录认证协议，可按照AD配置对接；

• 单点登录（可选）。对于使用微软ADFS作为单点登录系统的应用，可通过标准SAML或OAuth协议与宁盾目录对接；如果企业自建了SSO平台，可将SSO平台依照AD配置与宁盾目录对接。宁盾目录也可以作为独立的单点登录门户使用。

2-3、网络接入

网络接入在信创替代中是比较容易被忽视的问题。由于微软在AD域、Windows终端登录和网络接入上有深度耦合，不容易做到完美替代，其中的风险源自：

• 加域的Windows本身是身份票据容器，网络和应用可以基于Windows登录身份进行单点登录，脱离域之后需要多方配合才能达到同等效果；

• 网络接入通常使用RADIUS协议与设备（NAS）进行对接，常见的产品有NPS（微软）、iMC（H3C）、AgileController（华为）、ISE（Cisco）等。这些产品需要加入域才能实现一些常见场景，和AD有强绑定关系。

2-4、有线无线网络认证场景

对于主流内网认证方式802.1x认证或Portal认证，在Windows加域模式下可以实现登录Windows自动认证、计算机名认证或证书认证，前提是RADIUS服务器加域。宁盾目录服务的网络接入组件有较高的内部耦合性，同样能够实现三种认证。当原有RADIUS服务器脱域之后，宁盾网络接入组件可代替原有RADIUS服务器，提供RADIUS认证服务。

应对策略如下两种：

将802.1x认证直接指向宁盾目录，避开原有产品加域限制；

图绕开原有RADIUS

推动原有产品与宁盾互信。

图原RADIUS与宁盾互信

2-5、远程接入场景

远程接入主要为VPN、堡垒机、虚拟桌面等接入认证场景。

VPN、堡垒机等设备主流的认证协议是RADIUS或LDAP，该金融机构内部署了RADIUS，直接由宁盾目录服务替代。宁盾支持更多品牌的网络设备和厂商私有协议，可实现比以往更优的效果，如权限控制、IP下放、多因素认证等。

在身份认证方面，宁盾对主流产品有良好支持，如深信服、华为、Citrix、VMWare。但各虚拟桌面厂商的运行机制对AD依赖性比较高，需要推动厂商去AD化。

2-6、终端统一认证和管理

终端的统一管理在方案的选择上需要遵循几个原则：

• 客户端数量越大，对方案的成熟度和可靠性要求越高；

• 方案选型：

①方案客户端侧工作尽量轻，不引入新的客户端；②方案依赖系统原装客户端；③方案需引入新客户端，但支持统一推送客户端；④方案需引入新客户端，但需手动安装客户端。 ①>②>③>④

①方案对AD域的依赖尽量低，完全不依赖AD；②方案仅要求已入域终端依赖AD；③方案要求新购Windows终端也依赖AD。①>②>③

简而言之，方案最好不要引入新的客户端，如需引入客户端，需具备完备的客户端方案，且对AD的依赖越轻越好。

有以下四种方式可供客户选择：

• 使用各平台域管平台，如Windows使用AD，麒麟使用天域，统信使用统信域管，由宁盾目录同步几种域管平台数据；

• 使用宁盾安全连接器接管终端登录认证，实现集中认证和本地用户管理；

• 使用Samba替代AD，管理Windows终端；

• 终端不加域，使用桌管平台管理Windows终端。

在该方案中企业最终采用了第一种方式，将AD、麒麟天域和统信域管作为宁盾目录的下游应用，由宁盾目录统一推送或域管主动调用宁盾目录身份。这种方式尽管依赖AD，但可靠性更高，不需要引入客户端，适合有已加域终端和信创终端的场景。

• AD：宁盾目录调用AD的LDAP接口，进行身份同步；

• 麒麟天域：将宁盾目录作为身份源，使用LDAP协议调用宁盾目录；

• 统信域管：将宁盾目录作为身份源，使用LDAP协议调用宁盾目录。

对于终端的认证和密码管理方面，信创域管支持向AD发起认证，宁盾目录数据结构和AD高度兼容，信创域管可将宁盾目录作为AD替代品。Windows仅支持向AD发起认证，AD无法将认证请求代理到第三方，可通过组策略禁用Windows修改密码，强制用户在身份自服务平台修改密码，宁盾目录接收到密码变更后同步给AD。

AD有被替代的预期，信创域管平台产品化程度尚不完善，由宁盾安全连接器客户端实现终端集中管理和认证，可靠性较高，终端依赖度较高，完全不依赖AD。如您对模拟加域方案或其他方式感兴趣，可在线咨询客服获取更详细的方案，这里就不再赘述。

2-7、多因素认证增强各场景登录安全

作为金融行业头部企业，客户对信息安全的重视也在本次方案中体现。通过对用户连接网络或访问办公资源时的登录入口添加动态密码进行二次身份认证，以降低因账密泄露引起的安全风险。宁盾多因素认证支持的认证形式十分丰富，有动态令牌（APP、H5、小程序、硬件Key）、短信令牌、推送认证、扫码认证、生物认证等多种。该客户选用了宁盾手机APP令牌形式，用以加强账号安全。