当前位置：首页 > news >正文

解锁金融数据中心场景，实现国产化AD替代，宁盾身份域管为信创电脑、应用提供统一管理

news 2026/1/21 4:53:41

随着信创国产化改造持续推进，越来越多的金融机构不断采购信创服务器、PC、办公软件等，其 IT 基础设施逐渐迁移至国产化 IT 架构下。为支撑国产化 IT 基础设施的正常使用和集中管理运维，某金融机构数据中心的微软Active Directory（AD，微软活动目录）也面临着迁移和替代，需要建设国产化的活动目录来满足这一需求。

作为 IT 基础设施的重要组成部分，国产活动目录需要具备以下能力才能满足替代AD需求：

1. 能够复制和迁移 AD 身份数据，确保账号密码与原先保持一致，避免重复建设 LDAP 身份数据；

2. 能够无缝接管 AD 原有的应用场景（即先前对接 AD 的应用系统无缝对接到国产目录上），为用户提供无摩擦的接入认证切换体验；

3. 提供高可用性方案，确保 LDAP 服务不中断。

项目背景：

当前该金融数据中心有多台 AD，一主多辅，共同提供服务。AD 主要对接了几个应用/设备，如上网行为管理网络认证服务、Exchange 邮箱等。这几个场景后续将由国产活动目录接管。

一期建设目标：

1. 国产活动目录接管网络认证服务及其他应用的身份认证和权限校验；

2. 通过 LDAP 认证转发学习 AD 域用户的密码；

3. 双机热备部署，确保系统高可用。

搭建国产化身份域管，迁移AD数据并接管应用

在本项目中，引入了宁盾国产化身份域管，用于迁移及替代 AD 位，并建立国产化的统一身份认证体系。国产化身份域管高度兼容 AD、IBM、ApacheDS等目录服务的 schema，使得同步后的数据能够与原有目录结构保持完全一致，支持灵活的创建组织架构、支持单层和多层组织。

在接管应用系统时，应用能够通过 LDAP 协议从宁盾国产化身份域管同步用户账号密码及权限，能够用宁盾身份域管的用户信息登录应用。应用迁移无需二开，无缝对接。当 LDAP 应用在认证时，静态密码实际由 AD 验证，验证成功后，宁盾国产化身份域管学习密码到对应账号并缓存，为将来平滑过渡到宁盾身份域管做准备。

前后架构如下：

 当前架构

 国产活动目录方案架构

密码策略及自服务能力，保障安全及多方体验

在使用国产化身份域管时，IT 管理人员可根据安全需要，可基于用户组（用户的角色）来设置密码有效期、密码复杂度、历史密码个数、密码长度等，这一功能特性与 AD 的密码策略也保持了一致。

此外，针对用户不能自主修改/找回密码的运维痛点，国产化身份域管提供了用户自服务能力。有了自服务功能，用户可以在 web 页面自助修改基本信息、解锁账号及找回密码，如添加/修改手机号、绑定/解绑动态令牌。当然，用户在自助修改密码时，也必须按照密码策略来进行，如密码复杂度、长度等。

国产身份域管的扩展能力，不仅让企业的安全需求得到满足，还大幅减少了 IT 管理员为用户解锁账号、找回/重置密码的工作量，让 IT 得以集中精力专注于安全运维上，让终端用户体验得以优化。

通过高强度压测，认真践行高可用承诺

金融机构每天要处理数以千万、亿计的业务数据，对系统的高可用性能有着严格要求。为满足该金融数据中心及上级监管部门的性能要求，宁盾对国产化身份域管的产品功能、服务性能、可靠性、可管理性等方面进行压测，模拟客户的真实办公场景，在工作日早上 9 点前后的早高峰时期，基于办公场景高强度压力测试。最终，宁盾国产化身份域管经受住了高强度性能压力的考验，所有测试项均测试通过，达到了预期效果。宁盾国产化身份域管可以平滑地接管和替代 AD，并为用户提供无感知的切换体验。

除迁移及替代 AD 的需求，该金融数据中心数万台信创电脑，宁盾国产化身份域管提供了端侧的网络访问控制服务。它可以针对信创电脑实现 802.1X 账密、证书等形式的入网认证，并结合准入 Agent 对入网终端进行资产识别、合规检测、灵活管控等。

国产化身份域管作为传统国外身份管理系统（如AD、IBM、ApacheDS…）的替代方案，已在金融、央国企等信创用户中得到切实验证，并逐步上线使用。本次针对金融数据中心的解决方案将为金融信创的深入推进提供借鉴，助力全行业信创建设实现真替真用。

解锁金融数据中心场景，实现国产化AD替代，宁盾身份域管为信创电脑、应用提供统一管理

相关文章：

解锁金融数据中心场景，实现国产化AD替代，宁盾身份域管为信创电脑、应用提供统一管理

Django的js文件没有响应（DOMContentLoaded）

滑动窗口代码模板

SpringBoot实现邮箱验证

Mac安装Docker提示Another application changed your Desktop configuration解决方案

5分钟安装docker和docker compose环境

leetcode热题100.跳跃游戏2

【前端】CSS（引入方式+选择器+常用元素属性+盒模型+弹性布局）

迷茫下是自我提升

用vscode仿制小米官网

【Java+Springboot】------ 通过JDBC+GetMapping方法进行数据select查询、多种方式传参、最简单的基本示例!

基于单片机光伏太阳能跟踪系统设计

Stable Diffusion 本地化部署

C++ Algorithm 常用算法

线程安全--深入探究线程等待机制和死锁问题

量子计算获重大突破！微软和Quantinuum将量子计算错误率降低800倍，网友：AI算力的希望

WordPress 6.5 “里贾纳”已经发布

甲方安全建设之日志采集实操干货

dm8 开启归档模式

“AI复活”背后的数字永生：被期待成为下一个电商，培育市场认知和用户心智还需时间

手游刚开服就被攻击怎么办？如何防御DDoS？

7.4.分块查找

shell脚本--常见案例

Debian系统简介

C++ Visual Studio 2017厂商给的源码没有.sln文件易兆微芯片下载工具加开机动画下载。

是否存在路径（FIFOBB算法）

如何在网页里填写 PDF 表格？

微软PowerBI考试 PL300-在 Power BI 中清理、转换和加载数据

处理vxe-table 表尾数据是单独一个接口，表格tableData数据更新后，需要点击两下，表尾才是正确的

从面试角度回答Android中ContentProvider启动原理