借助宁盾身份目录实现信创、Windows混合终端统一身份认证及网络准入控制

背景：

近期有基金、保险行业的IT负责人反馈，公司要求IT建设必须紧跟政策，在2024年内必须要上国产信创操作系统终端，个别应用如OA系统、虚拟化桌面、邮箱等都不能再继续用国外的产品了，要完成国产化替代指标。跟着国产信创大方向走是必须的，但难在如何让员工接受国产办公应用/设施，员工的使用习惯跟过去不一样，有抵触情绪是在所难免的，并且在安全和管理上还都要求不能出现纰漏，信创操作系统终端和应用无法跟以前一样管理，出问题了可不行。

 

这里分享一个近期的客户案例，供遇到此类问题的企业IT人员参考。由于信息敏感，这里仅展现一些脱敏的方案。

 

某金融公司在做国产信创改造，目前主要有三个场景面临问题：

1. 信创/Windows操作系统统一认证和管控

2. 桌面终端入网实现802.1X认证

3. 新采购的应用系统做LDAP统一身份认证

宁盾解决方案：

1. 建立统一身份

在给客户提供的解决方案里主要用到了宁盾身份目录服务，用来同步AD域账号。宁盾身份目录与原有AD目录结构保持完全一致，支持灵活的创建组织架构、支持单层和多层组织。同步成功后，用与AD相同的账号密码即可登录应用、终端、网络等，实现统一身份认证。

2. 混合终端加域

Windows、信创（麒麟、统信）终端都需要借助宁盾用于端侧的安全连接器，配置完成后，达到模拟加域的效果，和Windows加AD域一样简单。

 

3. 权限下发

宁盾身份目录服务不仅可设置各种Role，还支持根据要对接的应用/设备设置自定义属性，一键同步账号权限，员工在终端里的权限还能管控的了。

 

4. 终端802.1X证书认证

这里宁盾身份目录支持导入AD及第三方CA证书，也支持自签发、校验。除了满足终端入网认证，宁盾还提供了资产管理、准入合规检测等能力，只有安装运行了EDR客户端的终端才允许接入业务内网资源。

 

5. 接管LDAP应用身份认证

例如对接某云盘、研发应用，只需在应用上配置AD或LDAP属性等操作后即可开启正向同步或反向同步至宁盾目录。

 

以上仅仅是宁盾身份目录建设的一小部分能力，在扩展能力上该金融公司还选择了宁盾2FA双因子认证、自助改密、高可靠等，以保障数据及系统的安全性。