解锁金融数据中心场景,实现国产化AD替代,宁盾身份域管为信创电脑、应用提供统一管理
随着信创国产化改造持续推进,越来越多的金融机构不断采购信创服务器、PC、办公软件等,其 IT 基础设施逐渐迁移至国产化 IT 架构下。为支撑国产化 IT 基础设施的正常使用和集中管理运维,某金融机构数据中心的微软Active Directory(AD,微软活动目录)也面临着迁移和替代,需要建设国产化的活动目录来满足这一需求。
作为 IT 基础设施的重要组成部分,国产活动目录需要具备以下能力才能满足替代AD需求:
1. 能够复制和迁移 AD 身份数据,确保账号密码与原先保持一致,避免重复建设 LDAP 身份数据;
2. 能够无缝接管 AD 原有的应用场景(即先前对接 AD 的应用系统无缝对接到国产目录上),为用户提供无摩擦的接入认证切换体验;
3. 提供高可用性方案,确保 LDAP 服务不中断。
项目背景:
当前该金融数据中心有多台 AD,一主多辅,共同提供服务。AD 主要对接了几个应用/设备,如上网行为管理网络认证服务、Exchange 邮箱等。这几个场景后续将由国产活动目录接管。
一期建设目标:
1. 国产活动目录接管网络认证服务及其他应用的身份认证和权限校验;
2. 通过 LDAP 认证转发学习 AD 域用户的密码;
3. 双机热备部署,确保系统高可用。
搭建国产化身份域管,迁移AD数据并接管应用
在本项目中,引入了宁盾国产化身份域管,用于迁移及替代 AD 位,并建立国产化的统一身份认证体系。国产化身份域管高度兼容 AD、IBM、ApacheDS等目录服务的 schema,使得同步后的数据能够与原有目录结构保持完全一致,支持灵活的创建组织架构、支持单层和多层组织。
在接管应用系统时,应用能够通过 LDAP 协议从宁盾国产化身份域管同步用户账号密码及权限,能够用宁盾身份域管的用户信息登录应用。应用迁移无需二开,无缝对接。当 LDAP 应用在认证时,静态密码实际由 AD 验证,验证成功后,宁盾国产化身份域管学习密码到对应账号并缓存,为将来平滑过渡到宁盾身份域管做准备。
前后架构如下:
当前架构
国产活动目录方案架构
密码策略及自服务能力,保障安全及多方体验
在使用国产化身份域管时,IT 管理人员可根据安全需要,可基于用户组(用户的角色)来设置密码有效期、密码复杂度、历史密码个数、密码长度等,这一功能特性与 AD 的密码策略也保持了一致。
此外,针对用户不能自主修改/找回密码的运维痛点,国产化身份域管提供了用户自服务能力。有了自服务功能,用户可以在 web 页面自助修改基本信息、解锁账号及找回密码,如添加/修改手机号、绑定/解绑动态令牌。当然,用户在自助修改密码时,也必须按照密码策略来进行,如密码复杂度、长度等。
国产身份域管的扩展能力,不仅让企业的安全需求得到满足,还大幅减少了 IT 管理员为用户解锁账号、找回/重置密码的工作量,让 IT 得以集中精力专注于安全运维上,让终端用户体验得以优化。
通过高强度压测,认真践行高可用承诺
金融机构每天要处理数以千万、亿计的业务数据,对系统的高可用性能有着严格要求。为满足该金融数据中心及上级监管部门的性能要求,宁盾对国产化身份域管的产品功能、服务性能、可靠性、可管理性等方面进行压测,模拟客户的真实办公场景,在工作日早上 9 点前后的早高峰时期,基于办公场景高强度压力测试。最终,宁盾国产化身份域管经受住了高强度性能压力的考验,所有测试项均测试通过,达到了预期效果。宁盾国产化身份域管可以平滑地接管和替代 AD,并为用户提供无感知的切换体验。
除迁移及替代 AD 的需求,该金融数据中心数万台信创电脑,宁盾国产化身份域管提供了端侧的网络访问控制服务。它可以针对信创电脑实现 802.1X 账密、证书等形式的入网认证,并结合准入 Agent 对入网终端进行资产识别、合规检测、灵活管控等。
国产化身份域管作为传统国外身份管理系统(如AD、IBM、ApacheDS…)的替代方案,已在金融、央国企等信创用户中得到切实验证,并逐步上线使用。本次针对金融数据中心的解决方案将为金融信创的深入推进提供借鉴,助力全行业信创建设实现真替真用。
相关文章:
解锁金融数据中心场景,实现国产化AD替代,宁盾身份域管为信创电脑、应用提供统一管理
随着信创国产化改造持续推进,越来越多的金融机构不断采购信创服务器、PC、办公软件等,其 IT 基础设施逐渐迁移至国产化 IT 架构下。为支撑国产化 IT 基础设施的正常使用和集中管理运维,某金融机构数据中心的微软Active Directory(…...
)
Django的js文件没有响应(DOMContentLoaded)
问题出现的原因是因为当浏览器解析到“script”标签并执行其中的JavaScript代码时,页面上的DOM元素尚未完全加载和渲染。这意味着,当尝试通过document.getElementById(‘create-theme-button’)获取元素时,该元素还不存在,导致add…...
滑动窗口代码模板
代码模板: //滑动窗口伪代码 class Solution { public:int minWindow(string s) {// 同方向移动,起始的时候,都位于 0,表示我们定义搜索区间为 [left, right) ,此时区间为空区间int left 0;int right 0;while(right…...
SpringBoot实现邮箱验证
目录 1、开启邮箱IMAP/SMTP服务,获取授权码 2、相关代码 1、使用配置Redis(用于存储验证码,具有时效性) 2、邮箱依赖和hutool(用于随机生成验证码) 3、配置Redis和邮箱信息 4、开启Redis服务 5、编写发送…...
Mac安装Docker提示Another application changed your Desktop configuration解决方案
1. 问题描述 Mac安装Docker后,提示Another application changed your Desktop configuration,Re-apply configurations无效 2. 解决方案 在终端执行下述命令即可解决: sudo ln -sf /Applications/Docker.app/Contents/Resources/bin/docke…...
5分钟安装docker和docker compose环境
5分钟安装docker和docker compose环境 5分钟安装docker和docker compose环境环境介绍卸载docker环境安装docker安装docker compose 5分钟安装docker和docker compose环境 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑…...
leetcode热题100.跳跃游戏2
Problem: 45. 跳跃游戏 II 文章目录 题目思路复杂度Code 题目 给定一个长度为 n 的 0 索引整数数组 nums。初始位置为 nums[0]。 每个元素 nums[i] 表示从索引 i 向前跳转的最大长度。换句话说,如果你在 nums[i] 处,你可以跳转到任意 nums[i j] 处: …...
【前端】CSS(引入方式+选择器+常用元素属性+盒模型+弹性布局)
文章目录 CSS一、什么是CSS二、语法规范三、引入方式1.内部样式表2.行内样式表3.外部样式 四、选择器1.选择器的种类1.基础选择器:单个选择器构成的1.标签选择器2.类选择器3.id 选择器4.通配符选择器 2.复合选择器1.后代选择器2.子选择器3.并集选择器4.伪类选择器 五…...
迷茫下是自我提升
长夜漫漫,无心睡眠。心中所想,心中所感,忧愁当前,就执笔而下,写下这篇文章。 回忆过往 回想当初为啥学前端,走前端这条路,学校要求嘛,兴趣爱好嘛,还是为了钱。 时间带着…...
用vscode仿制小米官网
html内容: <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><title>Document</title><link rel&quo…...
【Java+Springboot】------ 通过JDBC+GetMapping方法进行数据select查询、多种方式传参、最简单的基本示例!
一、JDBC如何使用、PostGresql数据库 1、在pom.xml 先引用jdbc组件。 <!--jdbc--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-jdbc</artifactId></dependency> 2、在pom.xml 再引用p…...
基于单片机光伏太阳能跟踪系统设计
**单片机设计介绍,基于单片机光伏太阳能跟踪系统设计 文章目录 一 概要二、功能设计三、 软件设计原理图 五、 程序六、 文章目录 一 概要 基于单片机光伏太阳能跟踪系统的设计,旨在通过单片机技术实现对光伏太阳能设备的自动跟踪,以提高太阳…...
Stable Diffusion 本地化部署
一、前言 最近在家背八股文背诵得快吐了,烦闷的时候,看到使用 AI 进行作图,可以使用本地话部署。刚好自己家里的电脑,之前买来玩暗黑4,配置相对来说来可以,就拿来试试。 此篇是按照 Github 上的 stable-d…...
C++ Algorithm 常用算法
C <algorithm> 头文件是标准库中提供的一系列算法,用于操作范围(range)内的元素。这些算法可以用于数组、容器如vector和list,以及其他满足相应迭代器要求的数据结构。以下是一些常用的C <algorithm> 中的算法及其使用…...
线程安全--深入探究线程等待机制和死锁问题
꒵˂͈꒱ write in front ꒰˃͈꒵˂͈꒱ ʕ̯•͡˔•̯᷅ʔ大家好,我是xiaoxie.希望你看完之后,有不足之处请多多谅解,让我们一起共同进步૮₍❀ᴗ͈ . ᴗ͈ აxiaoxieʕ̯•͡˔•̯᷅ʔ—CSDN博客 本文由xiaoxieʕ̯•͡˔•̯᷅ʔ 原创 CSDN 如需转…...
量子计算获重大突破!微软和Quantinuum将量子计算错误率降低800倍,网友:AI算力的希望
量子计算迎来新突破。 近日,微软和量子计算公司Quantinuum宣布:发现了一种新的量子计算系统,可以将传统量子计算的错误率下降800倍,这让高性能量子计算机走进现实更近了一步。 自生成式AI爆发以来,算力是AI发展面临的…...
WordPress 6.5 “里贾纳”已经发布
WordPress 6.5 “里贾纳”已经发布,其灵感来自著名爵士小提琴家Regina Carter的多才多艺。雷吉娜是一位屡获殊荣的艺术家和著名的爵士乐教育家,以超越流派而闻名,她在古典音乐方面的技术基础和对爵士乐的深刻理解为她赢得了大胆超越小提琴所能…...
甲方安全建设之日志采集实操干货
前言 没有永远的安全,如何在被攻击的情况下,快速响应和快速溯源分析攻击动作是个重要的话题。想要分析攻击者做了什么、怎么攻击进来的、还攻击了谁,那么日志是必不可少的一项,因此我们需要尽可能采集多的日志来进行分析攻击者的…...
dm8 开启归档模式
dm8 开启归档模式 1 命令行 [dmdbatest1 dm8]$ disql sysdba/Dameng123localhost:5237服务器[localhost:5237]:处于普通打开状态 登录使用时间 : 3.198(ms) disql V8 SQL> select name,status$,arch_mode from v$database;行号 NAME STATUS$ ARCH_MODE ----------…...
“AI复活”背后的数字永生:被期待成为下一个电商,培育市场认知和用户心智还需时间
“AI复活”背后的数字永生:被期待成为下一个电商,培育市场认知和用户心智还需时间© 由 九派新闻 提供 数字永生,还是电子宠物?过去一个月,因包小柏用AI技术让爱女在数字世界“复活”一事,《流浪地球2…...
如何快速掌握WindowResizer:终极窗口强制调整工具完整指南
如何快速掌握WindowResizer:终极窗口强制调整工具完整指南 【免费下载链接】WindowResizer 一个可以强制调整应用程序窗口大小的工具 项目地址: https://gitcode.com/gh_mirrors/wi/WindowResizer 还在为那些顽固的固定尺寸窗口而烦恼吗?WindowRe…...
安装配置学习分享教程(四篇连载)第四篇:ADT连接故障排查与环境迁移教程)
SAP-ABAP:ABAP Development Tools(ADT)安装配置学习分享教程(四篇连载)第四篇:ADT连接故障排查与环境迁移教程
ABAP Development Tools(ADT)安装配置学习分享教程(四篇连载) 第四篇:ADT连接故障排查与环境迁移教程 ADT连不上SAP后端?刚刚还好好的系统突然报错了?换了新电脑要重建整个开发环境?…...
函数里,为什么ADC时钟要开一下又关?)
避开C2000开发第一个坑:TMS320F28069的InitSysCtrl()函数里,为什么ADC时钟要开一下又关?
TMS320F28069开发揭秘:ADC时钟瞬启瞬闭背后的硬件校准逻辑 在TMS320F28069的InitSysCtrl()初始化函数中,有一段看似矛盾的代码操作:先启用ADC时钟,调用(*Device_cal)()函数后立即关闭。这个"开关ADC时钟"的瞬态操作绝非…...
【Gemini赋能Google Maps路线优化实战指南】:20年导航算法专家亲授5大降本增效核心策略
更多请点击: https://intelliparadigm.com 第一章:Gemini赋能Google Maps路线优化的底层逻辑与演进脉络 Google Maps 路线规划正经历从传统图算法向多模态智能推理的范式迁移。Gemini 模型并非简单替代 Dijkstra 或 A*,而是作为实时决策中枢…...
3大核心技术解密:LeagueAkari本地自动化工具架构设计与实战指南
3大核心技术解密:LeagueAkari本地自动化工具架构设计与实战指南 【免费下载链接】League-Toolkit An all-in-one toolkit for LeagueClient. Gathering power 🚀. 项目地址: https://gitcode.com/gh_mirrors/le/League-Toolkit LeagueAkari是一款…...
Bebas Neue字体技术深度解析:开源无衬线显示字体的现代排版解决方案
Bebas Neue字体技术深度解析:开源无衬线显示字体的现代排版解决方案 【免费下载链接】Bebas-Neue Bebas Neue font 项目地址: https://gitcode.com/gh_mirrors/be/Bebas-Neue Bebas Neue作为一款采用SIL Open Font License 1.1许可证的开源显示字体ÿ…...
微信好友关系终极检测:WechatRealFriends帮你一键识别单向好友
微信好友关系终极检测:WechatRealFriends帮你一键识别单向好友 【免费下载链接】WechatRealFriends 微信好友关系一键检测,基于微信ipad协议,看看有没有朋友偷偷删掉或者拉黑你 项目地址: https://gitcode.com/gh_mirrors/we/WechatRealFri…...
CATIA二次开发—API高效查询与架构解析
1. CATIA二次开发入门:从V5到V6的跨越挑战 如果你是从CATIA V5转向V6开发的工程师,可能会遇到这样的困惑:为什么在V5中得心应手的API调用方式,到了V6就完全不管用了?这就像突然从手动挡汽车换成了自动驾驶电动车&#…...
[MTCNN]2. 级联卷积神经网络样本工程与偏移量奥秘
1. 为什么样本工程是MTCNN成功的关键 在计算机视觉领域,数据质量往往比算法本身更重要。MTCNN作为经典的人脸检测算法,其成功很大程度上依赖于精心设计的样本工程。我曾在多个实际项目中验证过,同样的网络结构,使用不同质量的训练…...
Postmate部署实战:从开发到生产的完整流程
Postmate部署实战:从开发到生产的完整流程 【免费下载链接】postmate 📭 A powerful, simple, promise-based postMessage library. 项目地址: https://gitcode.com/gh_mirrors/po/postmate Postmate是一个强大的、简单的、基于Promise的postMess…...