基于AD的多校區高效可重構統一身份認證架構策略

湯若昕 劉暢 王琦 郭曉鈺 甄紫夢 張津銘

摘? 要：隨著學校規模的不斷發展，中國民航大學已經從單校區發展為多校區，且這些校區跨地域范圍廣泛。因此，面對眾多的用戶，從用戶和管理者兩個角度來講，使用統一的認證方式很有必要。該文在分析中國民航大學校園網的物理布局及結構特點的基礎上，提出了基于AD的多校區高效可重構統一身份認證架構策略，這一架構設計，對于提高管理效率，加強校園網安全保障有著重大意義。

關鍵詞：AD? 統一身份認證? 多校區? 可重構

中圖分類號：TN915? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1672-3791（2019）04（a）-0009-03

1? 概述

1.1 活動目錄

活動目錄（AD）是微軟分布式網絡體系結構中的重要組成部分，是其實現網絡管理和使用的基礎。它以域為基本管理單位，存儲域中的計算機和用戶、打印機、共享文件夾等網絡對象的信息。網絡管理員可以使用活動目錄實現網絡資源、用戶的可視化集中管理，運用活動目錄技術規劃管理校園網，可以有效提高辦公效率，節約網絡管理成本，提高校園網的安全性。

1.2 目前現狀

目前，筆者學校現有AD認證架構（東麗校區）中，只有一個域一個節點，由4個域控制器實現均衡負載。隨著學校新校區的規劃建設，在原東麗主校區的基礎上，增加了寧河和朝陽飛行等多個校區，各校區間物理布局如圖1所示。這樣跨地域、跨地區、多校區辦學，人員管理、權限管理的問題有待優化的，重新搭建擴展原有的AD架構就很有必要。并且若每個校區都采用獨立身份認證的方式，會帶來如下的幾個主要的問題。

（1）師生的使用效率和體驗性方面[1]。

如果各個校區使用的認證架構不同，必定會要求學生和教職工人員每次登錄時都需要輸入賬號和密碼信息，這就要求師生都得記憶多套密碼，加大認證復雜度，不僅浪費時間，降低使用效率，同時也給師生造成不便，用戶體驗性極差。

（2）管理員對于數據和用戶的管理方面。

一是使用者擁有多個密碼引起的管理問題。每個校區都擁有自己的身份認證方式，相應的每個師生就會擁有多套賬號和密碼，如果不是經常使用，使用者可能會忘記或者記亂密碼，這將導致在緊急情況下可能會無法及時認證。為了防止此類事件發生，大多數使用者會設置相同的密碼，但這種做法雖然方便了自己，但從信息安全的角度來看是非常不安全的，一旦被不良分子盜取了賬戶和密碼，其使用權限 會被盜取，信息安全無法保障。

二是各校區數據庫的數據更新問題，因朝陽校區設置的為只讀域控制器，其ADDS數據只可以被讀取，不可以被修改，只在每天凌晨進行一次數據更新。若兩個校區的身份認證方式不同，就會導致校區間的信息共享性很差，朝陽校區的數據更新會出現問題，從而導致數據不準確。同時客戶端維護成本較高，也不利于學校安全、高效地進行統一的人員管理及權限管理。

因此為了為面向多校區辦學做充分的理論和實踐準備，我們需要一個可以滿足師生只需注冊一次并且登錄一次就可以在訪問多個校區需求的單點登錄[2]身份認證方式，這就需要在優化現有的東麗校區的AD架構基礎上拓寬AD功能，實現高效可重構，從而實現基于AD的多校區高效可重構統一身份認證架構。

2? 高校應用統一認證方式概述

通過對高校內部身份認證方式的研究，可以發現AD是基礎架構的根本，是統一認證管理的基礎。隨著學校不斷發展壯大，面對跨地域、跨地區、多校區辦學，人員管理、權限管理的問題有待優化，為實現高效應用統一認證方式，重新搭建擴建原有AD架構很有必要。

經現有AD架構分析，實現多校區高校可重構統一身份認證架構可包括以下幾個部分。

（1）梳理現有AD架構。

由于現有AD架構已經有十幾年的歷史，其中歷史用戶、計算機、日志數量眾多，該部分在模擬學校現有的AD架構以及大量數據基礎上，研究當前的身份認證原理，進行梳理、分析現有AD中用戶管理組織結構。

（2）拓展AD架構功能。

由于現有架構只停留在“一棵域樹”、一個節點的階段。該部分在模擬學校現有的AD架構基礎上，進一步拓展現有AD功能，如組策略，以根據用戶需求針對計算機或是特定用戶來設置多種策略配置，包括桌面配置和安全配置等，實現更安全、高效的統一人員管理及權限管理。

（3）多校區重構現有AD架構。

多校區運行的AD架構面向的用戶對象更廣泛、用戶基數更龐大、傳輸距離更長。面向多校區重構現有AD架構時，將同一站點內隸屬同一個域的域控制器的應用系統作為同一個信任域，在每個信任域內都設有獨立的身份認證管理系統，以實現高效完成新校區投入使用后統一身份認證的管理工作。

3? 基于AD的多校區應用統一認證架構

隨著高校規模的不斷擴大，尤其是高校的跨區域建設，這些各自為政所實施的局部應用系統使得各系統之間彼此獨立，需要進行在不同信息系統之間來回穿梭，容易造成信息混亂。在高校發展建設過程中，應基于現有的環境，選擇不同的企業應用進行統一身份認證架構。由于微軟系列產品在個人辦公電腦和桌面應用上屬于絕對的主流產品，所有基于AD統一身份認證架構，是很多高校的選擇。

在實際應用中，微軟的AD產品和微軟系列應用結合得十分緊密，在Windows Server 服務器中，通過簡單的設置，即可實現應用與微軟AD的整合，從而實現身份的統一認證[3]。

該文所描述的架構方式以AD目錄服務作為統一認證的基礎，針對跨區域高校的地理分布、系統部署、網絡狀況等實際情況，高校的AD系統采用總校區/分校區兩級架構設計。中國民航大學東麗校區、朝陽校區相距550km左右;東麗校區距離寧河校區30km左右，采用高速光纜快速傳輸，網絡傳輸速度較快，寧河校區內部基礎設施也會比現有校區要更好，根據實際需求，將朝陽校區作為單獨站點，建立RODC只讀域控制器，復制來自主校區域的數據;將寧河校區作為主校區下的子域，建立一定數量的AD目錄服務器，保證各個域之間相互信任關系，通過本地站點可以訪問各個站點內的服務器數據。各校區在本地身份認證目錄中存放和管理本校區內的用戶身份信息，身份認證系統將這些目錄自動同步到總校區的身份認證目錄中。因此，用戶在分校區和總校區都具有身份信息，根據屬性關聯，選擇標識作為用戶關鍵信息。

在AD框架中，系統由網關和身份認證管理服務器組成。網關作為用戶的統一訪問入口，身份認證服務器管理相關的訪問控制策略[4]。以中國民航大學為例，其架構如圖2所示，各大高校應根據自身狀況合理設置相應構架。

4? 架構管理策略

為實現面向多校區重構現有架構，以高效完成新校區投入使用后統一身份認證的管理工作，在實驗環境中搭建了基于AD的多校區高效可重構統一身份認證架構，并提出該架構的管理策略。

（1）確定校內統一賬號庫[2]：建立基于AD的唯一用戶信息數據庫。唯一的用戶賬號管理策略是實現統一身份認證和單點登錄的基礎。一方面，不同的應用系統采用不同的管理模式，用戶使用統一的賬號、密碼能規范不同系統的用戶信息，做到不同用戶有唯一標識，能更安全、高效地競選統一人員管理及權限管理。另一方面，用戶使用一套賬號和密碼登錄多個應用系統能方便用戶記憶個人信息，用一套賬號密碼就能登錄不同應用系統，同時能夠在因學生畢業、教工退休或離職等情況而發生人員調度問題時，及時封鎖賬號，降低可能存在的安全隱患，降低安全管理復雜度。

（2）設計基于AD的用戶單點登錄：用戶的單點登錄[5]主要是實現身份認證管理系統將經過鑒定的用戶信息以安全的方式傳遞給應用系統，應用系統利用身份認證系統傳遞的用戶信息確認用戶身份，完成登錄。單點登錄涉及兩種情況[4]：一種是用戶訪問當前域的應用系統，即用戶所在校區，一種是用戶訪問其他子域的分校區或直接訪問主校區所在的父域的應用系統。在設計AD架構時將同一站點內隸屬同一個域的域控制器的應用系統，如教務管理系統、OA辦公系統、學生選課系統等作為一個信任域，每個信任域內都設有獨立的身份認證管理系統。用戶單點登錄能實現登錄AD域后[6]，以AD用戶身份訪問該應用系統，不需要再次輸入用戶名和密碼，極大程度優化了用戶體驗。

（3）利用組策略針對計算機或是特定用戶來設置多種策略配置：組策略 group policy object（簡稱GPO）是Windows中的一種自動配置桌面設置的機制，可幫助管理員進行桌面配置和安全配置等，從而根據用戶需求對不同用戶的設置進行管理和配置。通過組策略[7]，可設置集中化和分散化策略，管理用戶桌面環境的各種組件，控制用戶和計算機的環境，如軟件安裝、軟件限制、基于注冊表的管理模板、文件夾重定向和 Internet Explorer維護等。

5? 結語

統一身份認證技術加強了多校區的數據管理：對于學生來說，統一身份認證實現了僅使用一套用戶名、密碼來完成多平臺認證;對于學校管理來說，統一身份認證使得數據管理更高效、更便捷，適用于跨地域、跨地區、多校區辦學。優化后多校區運行的AD架構能夠安全、穩定、高效的進行統一身份認證數據存儲和傳輸，有利于保障學校內部數據的安全水平。

參考文獻

[1] 吳金洋.智慧校園統一身份認證技術分析[J].科技創新與應用，2017（4）：12.

[2] 查禮.基于LDAP的網格監控系統[J].計算機研究與發展，2002，39（8）：931-936.

[3] 張波.基于AD的企業統一認證方式概述[J].電腦知識與技術，2015（2X）：102-103.

[4] 趙華.統一身份認證在跨區域信息化企業中的設計[J].計算機與現代化，2011（6）：57-59.

[5] 任軍.基于LDAP的目錄服務綜述[J].計算機應用研究，2005（5）：8-10.

[6] 劉芳，孫華文.基于AD的統一身份認證服務技術實現和管理策略[J].信息系統工程，2013（6）：34-35.

[7] 沈衛強.AD域環境中組策略的規劃與實踐[J].計算機安全，2006（9）：16-18.

①基金項目：中國民航大學大學生創新創業計劃項目（項目編號：201810059126）。

作者簡介：湯若昕（1998—），女，漢族，江西南昌人，本科在讀，研究方向：計算機科學與技術。