金融信创作为 8 大行业信创之首,早已成为其他行业信创建设的参考。金融行业有着极为复杂的业务场景,对系统有着极高的稳定可靠需求,因此,在寻找微软 AD 国产化替代方案时,常会涉及到更深层次的场景。例如,最近对接的一个金融数据中心对微软 AD 替代方案的三个重点能力,让我们对客户需求有了更进一步的认知。
客户案例
某大型金融机构积极响应国产化改造政策,率先在数据中心集中采购了一批麒麟服务器。为解决这批国产服务器的 LDAP 统一认证和集中管控,该机构 IT 负责人多方寻找最优方案。
在寻找国产解决方案时,该IT负责人的需求主要有以下三点:
1. 信创终端的 LDAP 统一用户身份认证
2. 用户文件漫游
3. U 盘管控
混合架构下的信创终端统一用户身份认证
该金融机构当前有近 600 台银河麒麟信创操纵系统终端,由飞腾 ARM 架构和海光 x86 架构两部分组成。另外,在今年及未来一段时间,企业还将会再采购一批信创终端,包含其他品牌(统信、神州网信等)。IT 负责人认为混合架构下的信创终端LDAP统一用户身份认证是难点之一。
如果该金融机构继续延用微软 AD 域为异构操作系统终端提供用户统一身份认证,确实是个难点。但如果采用宁盾国产化身份域管,对接将更平滑、友好。这一点得益于宁盾国产化身份域管作为第三方中立身份基础设施提供商,因此先天具备兼容多品牌、多类型终端及设备的优势。加之近几年在大量项目上的技术沉淀和方案打磨,早已完成了麒麟、统信、中科方德、神州网信等国产操作系统的兼容适配。在生态开放性、产品兼容性上宁盾国产化身份域管大幅领先国内同类产品。
因此,宁盾国产化身份域管支持麒麟、统信等国产操作系统终端的 LDAP 统一身份认证及离线认证,同时支持麒麟、统信国产操作系统终端的网络接入认证。具体效果如下:
点击此处查看视频:统信UOS桌面操作系统对接宁盾域管实现LDAP统一认证
点击此处查看视频:银河麒麟服务器操作系统V10 SP2对接宁盾域管实现LDAP统一认证
适配各类NAS产品,支持用户文件漫游
金融系统中数据的重要性不言而喻,其数据的存储需要大容量的存储器,且由于数据变化频率快,需要实时备份。针对这批麒麟服务器该金融机构规划实现数据集中存储,因此要求国产化身份域管可结合 NAS 服务实现用户身份认证并支持用户文件漫游(文件夹重定向)。
要满足该场景需求,需借助宁盾客户端 NDA(Nington Directory Agent)。当用户首次以宁盾国产身份域管账号登录时,自动下发用户文件夹重定向配置,实现文件漫游。在接管 NAS 网盘上,宁盾已集成NetApp、EMC、群晖Synology、威联通等品牌。
宁盾国产化身份域管(NDS)工作流程
管控移动存储介质,守护数据安全
移动存储设备(U盘、硬盘等)是金融行业数据泄露的主要途径之一。该公司 IT 负责人也十分关心这方面各类国产解决方案的差异。宁盾国产化身份域管客户端 NDA 目前正在推出的 U 盘管控能力,可对 U 盘、硬盘等移动存储介质实现读写等权限的分配,并基于 U 盘序列号(识别码)设置黑白名单。当然,业内专业的移动存储管理系统产品具备更丰富完善的功能,国产化身份域管也可联动管理系统共同守护金融行业数据安全。
此外,宁盾网络设备 AAA 管理也引起了该企业 IT 负责人的极大兴趣。金融机构数据中心大量多品牌的路由器、交换机、服务器、防火墙等网络设备的管理,也面临着由 Cisco 思科 ISE 替换为国产方案的情况。如此一来,集成了LDAP、RADIUS、TACACS+、SSO等能力的宁盾一体化国产身份管理平台将为采用的企业发挥更大的效益与价值。
宁盾一体化身份安全与管理方案架构
