湯若昕 劉暢 王琦 郭曉鈺 甄紫夢 張津銘

摘? 要：隨著學校規(guī)模的不斷發(fā)展，中國民航大學已經(jīng)從單校區(qū)發(fā)展為多校區(qū)，且這些校區(qū)跨地域范圍廣泛。因此，面對眾多的用戶，從用戶和管理者兩個角度來講，使用統(tǒng)一的認證方式很有必要。該文在分析中國民航大學校園網(wǎng)的物理布局及結(jié)構(gòu)特點的基礎(chǔ)上，提出了基于AD的多校區(qū)高效可重構(gòu)統(tǒng)一身份認證架構(gòu)策略，這一架構(gòu)設(shè)計，對于提高管理效率，加強校園網(wǎng)安全保障有著重大意義。

關(guān)鍵詞：AD? 統(tǒng)一身份認證? 多校區(qū)? 可重構(gòu)

中圖分類號：TN915? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1672-3791（2019）04（a）-0009-03

1? 概述

1.1 活動目錄

活動目錄（AD）是微軟分布式網(wǎng)絡(luò)體系結(jié)構(gòu)中的重要組成部分，是其實現(xiàn)網(wǎng)絡(luò)管理和使用的基礎(chǔ)。它以域為基本管理單位，存儲域中的計算機和用戶、打印機、共享文件夾等網(wǎng)絡(luò)對象的信息。網(wǎng)絡(luò)管理員可以使用活動目錄實現(xiàn)網(wǎng)絡(luò)資源、用戶的可視化集中管理，運用活動目錄技術(shù)規(guī)劃管理校園網(wǎng)，可以有效提高辦公效率，節(jié)約網(wǎng)絡(luò)管理成本，提高校園網(wǎng)的安全性。

1.2 目前現(xiàn)狀

目前，筆者學?，F(xiàn)有AD認證架構(gòu)（東麗校區(qū)）中，只有一個域一個節(jié)點，由4個域控制器實現(xiàn)均衡負載。隨著學校新校區(qū)的規(guī)劃建設(shè)，在原東麗主校區(qū)的基礎(chǔ)上，增加了寧河和朝陽飛行等多個校區(qū)，各校區(qū)間物理布局如圖1所示。這樣跨地域、跨地區(qū)、多校區(qū)辦學，人員管理、權(quán)限管理的問題有待優(yōu)化的，重新搭建擴展原有的AD架構(gòu)就很有必要。并且若每個校區(qū)都采用獨立身份認證的方式，會帶來如下的幾個主要的問題。

（1）師生的使用效率和體驗性方面[1]。

如果各個校區(qū)使用的認證架構(gòu)不同，必定會要求學生和教職工人員每次登錄時都需要輸入賬號和密碼信息，這就要求師生都得記憶多套密碼，加大認證復雜度，不僅浪費時間，降低使用效率，同時也給師生造成不便，用戶體驗性極差。

（2）管理員對于數(shù)據(jù)和用戶的管理方面。

一是使用者擁有多個密碼引起的管理問題。每個校區(qū)都擁有自己的身份認證方式，相應的每個師生就會擁有多套賬號和密碼，如果不是經(jīng)常使用，使用者可能會忘記或者記亂密碼，這將導致在緊急情況下可能會無法及時認證。為了防止此類事件發(fā)生，大多數(shù)使用者會設(shè)置相同的密碼，但這種做法雖然方便了自己，但從信息安全的角度來看是非常不安全的，一旦被不良分子盜取了賬戶和密碼，其使用權(quán)限 會被盜取，信息安全無法保障。

二是各校區(qū)數(shù)據(jù)庫的數(shù)據(jù)更新問題，因朝陽校區(qū)設(shè)置的為只讀域控制器，其ADDS數(shù)據(jù)只可以被讀取，不可以被修改，只在每天凌晨進行一次數(shù)據(jù)更新。若兩個校區(qū)的身份認證方式不同，就會導致校區(qū)間的信息共享性很差，朝陽校區(qū)的數(shù)據(jù)更新會出現(xiàn)問題，從而導致數(shù)據(jù)不準確。同時客戶端維護成本較高，也不利于學校安全、高效地進行統(tǒng)一的人員管理及權(quán)限管理。

因此為了為面向多校區(qū)辦學做充分的理論和實踐準備，我們需要一個可以滿足師生只需注冊一次并且登錄一次就可以在訪問多個校區(qū)需求的單點登錄[2]身份認證方式，這就需要在優(yōu)化現(xiàn)有的東麗校區(qū)的AD架構(gòu)基礎(chǔ)上拓寬AD功能，實現(xiàn)高效可重構(gòu)，從而實現(xiàn)基于AD的多校區(qū)高效可重構(gòu)統(tǒng)一身份認證架構(gòu)。

2? 高校應用統(tǒng)一認證方式概述

通過對高校內(nèi)部身份認證方式的研究，可以發(fā)現(xiàn)AD是基礎(chǔ)架構(gòu)的根本，是統(tǒng)一認證管理的基礎(chǔ)。隨著學校不斷發(fā)展壯大，面對跨地域、跨地區(qū)、多校區(qū)辦學，人員管理、權(quán)限管理的問題有待優(yōu)化，為實現(xiàn)高效應用統(tǒng)一認證方式，重新搭建擴建原有AD架構(gòu)很有必要。

經(jīng)現(xiàn)有AD架構(gòu)分析，實現(xiàn)多校區(qū)高?？芍貥?gòu)統(tǒng)一身份認證架構(gòu)可包括以下幾個部分。

（1）梳理現(xiàn)有AD架構(gòu)。

由于現(xiàn)有AD架構(gòu)已經(jīng)有十幾年的歷史，其中歷史用戶、計算機、日志數(shù)量眾多，該部分在模擬學?，F(xiàn)有的AD架構(gòu)以及大量數(shù)據(jù)基礎(chǔ)上，研究當前的身份認證原理，進行梳理、分析現(xiàn)有AD中用戶管理組織結(jié)構(gòu)。

（2）拓展AD架構(gòu)功能。

由于現(xiàn)有架構(gòu)只停留在“一棵域樹”、一個節(jié)點的階段。該部分在模擬學?，F(xiàn)有的AD架構(gòu)基礎(chǔ)上，進一步拓展現(xiàn)有AD功能，如組策略，以根據(jù)用戶需求針對計算機或是特定用戶來設(shè)置多種策略配置，包括桌面配置和安全配置等，實現(xiàn)更安全、高效的統(tǒng)一人員管理及權(quán)限管理。

（3）多校區(qū)重構(gòu)現(xiàn)有AD架構(gòu)。

多校區(qū)運行的AD架構(gòu)面向的用戶對象更廣泛、用戶基數(shù)更龐大、傳輸距離更長。面向多校區(qū)重構(gòu)現(xiàn)有AD架構(gòu)時，將同一站點內(nèi)隸屬同一個域的域控制器的應用系統(tǒng)作為同一個信任域，在每個信任域內(nèi)都設(shè)有獨立的身份認證管理系統(tǒng)，以實現(xiàn)高效完成新校區(qū)投入使用后統(tǒng)一身份認證的管理工作。

3? 基于AD的多校區(qū)應用統(tǒng)一認證架構(gòu)

隨著高校規(guī)模的不斷擴大，尤其是高校的跨區(qū)域建設(shè)，這些各自為政所實施的局部應用系統(tǒng)使得各系統(tǒng)之間彼此獨立，需要進行在不同信息系統(tǒng)之間來回穿梭，容易造成信息混亂。在高校發(fā)展建設(shè)過程中，應基于現(xiàn)有的環(huán)境，選擇不同的企業(yè)應用進行統(tǒng)一身份認證架構(gòu)。由于微軟系列產(chǎn)品在個人辦公電腦和桌面應用上屬于絕對的主流產(chǎn)品，所有基于AD統(tǒng)一身份認證架構(gòu)，是很多高校的選擇。

在實際應用中，微軟的AD產(chǎn)品和微軟系列應用結(jié)合得十分緊密，在Windows Server 服務器中，通過簡單的設(shè)置，即可實現(xiàn)應用與微軟AD的整合，從而實現(xiàn)身份的統(tǒng)一認證[3]。

該文所描述的架構(gòu)方式以AD目錄服務作為統(tǒng)一認證的基礎(chǔ)，針對跨區(qū)域高校的地理分布、系統(tǒng)部署、網(wǎng)絡(luò)狀況等實際情況，高校的AD系統(tǒng)采用總校區(qū)/分校區(qū)兩級架構(gòu)設(shè)計。中國民航大學東麗校區(qū)、朝陽校區(qū)相距550km左右;東麗校區(qū)距離寧河校區(qū)30km左右，采用高速光纜快速傳輸，網(wǎng)絡(luò)傳輸速度較快，寧河校區(qū)內(nèi)部基礎(chǔ)設(shè)施也會比現(xiàn)有校區(qū)要更好，根據(jù)實際需求，將朝陽校區(qū)作為單獨站點，建立RODC只讀域控制器，復制來自主校區(qū)域的數(shù)據(jù);將寧河校區(qū)作為主校區(qū)下的子域，建立一定數(shù)量的AD目錄服務器，保證各個域之間相互信任關(guān)系，通過本地站點可以訪問各個站點內(nèi)的服務器數(shù)據(jù)。各校區(qū)在本地身份認證目錄中存放和管理本校區(qū)內(nèi)的用戶身份信息，身份認證系統(tǒng)將這些目錄自動同步到總校區(qū)的身份認證目錄中。因此，用戶在分校區(qū)和總校區(qū)都具有身份信息，根據(jù)屬性關(guān)聯(lián)，選擇標識作為用戶關(guān)鍵信息。

在AD框架中，系統(tǒng)由網(wǎng)關(guān)和身份認證管理服務器組成。網(wǎng)關(guān)作為用戶的統(tǒng)一訪問入口，身份認證服務器管理相關(guān)的訪問控制策略[4]。以中國民航大學為例，其架構(gòu)如圖2所示，各大高校應根據(jù)自身狀況合理設(shè)置相應構(gòu)架。

4? 架構(gòu)管理策略

為實現(xiàn)面向多校區(qū)重構(gòu)現(xiàn)有架構(gòu)，以高效完成新校區(qū)投入使用后統(tǒng)一身份認證的管理工作，在實驗環(huán)境中搭建了基于AD的多校區(qū)高效可重構(gòu)統(tǒng)一身份認證架構(gòu)，并提出該架構(gòu)的管理策略。

（1）確定校內(nèi)統(tǒng)一賬號庫[2]：建立基于AD的唯一用戶信息數(shù)據(jù)庫。唯一的用戶賬號管理策略是實現(xiàn)統(tǒng)一身份認證和單點登錄的基礎(chǔ)。一方面，不同的應用系統(tǒng)采用不同的管理模式，用戶使用統(tǒng)一的賬號、密碼能規(guī)范不同系統(tǒng)的用戶信息，做到不同用戶有唯一標識，能更安全、高效地競選統(tǒng)一人員管理及權(quán)限管理。另一方面，用戶使用一套賬號和密碼登錄多個應用系統(tǒng)能方便用戶記憶個人信息，用一套賬號密碼就能登錄不同應用系統(tǒng)，同時能夠在因?qū)W生畢業(yè)、教工退休或離職等情況而發(fā)生人員調(diào)度問題時，及時封鎖賬號，降低可能存在的安全隱患，降低安全管理復雜度。

（2）設(shè)計基于AD的用戶單點登錄：用戶的單點登錄[5]主要是實現(xiàn)身份認證管理系統(tǒng)將經(jīng)過鑒定的用戶信息以安全的方式傳遞給應用系統(tǒng)，應用系統(tǒng)利用身份認證系統(tǒng)傳遞的用戶信息確認用戶身份，完成登錄。單點登錄涉及兩種情況[4]：一種是用戶訪問當前域的應用系統(tǒng)，即用戶所在校區(qū)，一種是用戶訪問其他子域的分校區(qū)或直接訪問主校區(qū)所在的父域的應用系統(tǒng)。在設(shè)計AD架構(gòu)時將同一站點內(nèi)隸屬同一個域的域控制器的應用系統(tǒng)，如教務管理系統(tǒng)、OA辦公系統(tǒng)、學生選課系統(tǒng)等作為一個信任域，每個信任域內(nèi)都設(shè)有獨立的身份認證管理系統(tǒng)。用戶單點登錄能實現(xiàn)登錄AD域后[6]，以AD用戶身份訪問該應用系統(tǒng)，不需要再次輸入用戶名和密碼，極大程度優(yōu)化了用戶體驗。

（3）利用組策略針對計算機或是特定用戶來設(shè)置多種策略配置：組策略 group policy object（簡稱GPO）是Windows中的一種自動配置桌面設(shè)置的機制，可幫助管理員進行桌面配置和安全配置等，從而根據(jù)用戶需求對不同用戶的設(shè)置進行管理和配置。通過組策略[7]，可設(shè)置集中化和分散化策略，管理用戶桌面環(huán)境的各種組件，控制用戶和計算機的環(huán)境，如軟件安裝、軟件限制、基于注冊表的管理模板、文件夾重定向和 Internet Explorer維護等。

5? 結(jié)語

統(tǒng)一身份認證技術(shù)加強了多校區(qū)的數(shù)據(jù)管理：對于學生來說，統(tǒng)一身份認證實現(xiàn)了僅使用一套用戶名、密碼來完成多平臺認證;對于學校管理來說，統(tǒng)一身份認證使得數(shù)據(jù)管理更高效、更便捷，適用于跨地域、跨地區(qū)、多校區(qū)辦學。優(yōu)化后多校區(qū)運行的AD架構(gòu)能夠安全、穩(wěn)定、高效的進行統(tǒng)一身份認證數(shù)據(jù)存儲和傳輸，有利于保障學校內(nèi)部數(shù)據(jù)的安全水平。

參考文獻

[1] 吳金洋.智慧校園統(tǒng)一身份認證技術(shù)分析[J].科技創(chuàng)新與應用，2017（4）：12.

[2] 查禮.基于LDAP的網(wǎng)格監(jiān)控系統(tǒng)[J].計算機研究與發(fā)展，2002，39（8）：931-936.

[3] 張波.基于AD的企業(yè)統(tǒng)一認證方式概述[J].電腦知識與技術(shù)，2015（2X）：102-103.

[4] 趙華.統(tǒng)一身份認證在跨區(qū)域信息化企業(yè)中的設(shè)計[J].計算機與現(xiàn)代化，2011（6）：57-59.

[5] 任軍.基于LDAP的目錄服務綜述[J].計算機應用研究，2005（5）：8-10.

[6] 劉芳，孫華文.基于AD的統(tǒng)一身份認證服務技術(shù)實現(xiàn)和管理策略[J].信息系統(tǒng)工程，2013（6）：34-35.

[7] 沈衛(wèi)強.AD域環(huán)境中組策略的規(guī)劃與實踐[J].計算機安全，2006（9）：16-18.

①基金項目：中國民航大學大學生創(chuàng)新創(chuàng)業(yè)計劃項目（項目編號：201810059126）。

作者簡介：湯若昕（1998—），女，漢族，江西南昌人，本科在讀，研究方向：計算機科學與技術(shù)。