微软AD替代方案统一管理Windows和信创电脑的登录认证与网络准入认证

自国资委79号文明确了2027年底前信息系统全面国产化的目标后，金融单位、央国企集团及各子公司纷纷加大国产化改造力度。不少子、孙公司表示，集团要求到2024年底或2025年底国外的关键IT基础设施要停止使用，如微软AD、云桌面等。

信创国产化是大势所趋，不可能走回头路。那么在采购了国产化的操作系统电脑、服务器、云桌面、邮箱后，如何再用微软AD国产化替换方案进行统一管理，以确保员工的使用习惯不改变，业务不中断？本文将通过一个金融单位的信创改造案例，展示该企业的遇到的问题和选择的解决方案，为其他金融、央国企单位提供参考。

某金融机构在信创改造时，面临三大问题：

1. 信创和Windows电脑如何进行统一认证和管理；

2. 信创电脑如何进行802.1X认证入网；

3. 新采购的应用系统如何做LDAP统一身份认证。

 

由于微软AD只能接管Windows电脑及LDAP应用，无法纳管信创电脑和一些新型的应用，因此必须寻找能够替换微软AD的国产化方案。面对这些问题，宁盾给出了解决方案——国产化域控。

宁盾国产域控解决方案：

宁盾国产化身份域管是以替换微软AD、IBM TDS为目标的信创方案，它不仅能高度兼容AD、TDS原有的目录结构，实现平滑无缝迁移，还对AD原先存在的一些不足进行了能力增强，如MFA 多因素认证、自助修改密码、单点登录SSO、云上应用对接等能力，使得金融、央国企等信创用户在进行国产化改造时，能够实现对异构化的IT资产进行统一管理的目标。

在落地时，解决思路如下：

1、建立LDAP统一身份源

首先，用宁盾国产身份域管来同步AD域内的组织架构和用户身份数据，这里宁盾域管支持创建单层、多层组织。将信息同步过来后，用户使用与AD域账号相同的账号密码即可登录国产应用、电脑、网络等，进行统一身份认证。

 

2、异构化的电脑加域

Windows、信创（麒麟、统信）电脑都需要借助宁盾用于端侧的安全连接器，配置完成后，达到模拟加域的效果，和Windows电脑加AD域一样简单。

模拟加域效果示意图

 

3、下发权限

宁盾身份域管不仅可设置各种Role，还支持根据要对接的应用/设备设置自定义属性，一键同步账号权限，员工在电脑里的权限还能管控得了。

 

4、802.1X网络准入认证

宁盾身份域管内置了RADIUS认证能力，支持导入微软AD及第三方CA证书，也支持自签发、校验。除了满足电脑入网认证（802.1X、Portal认证），宁盾还提供了资产管理、准入合规检测等能力，例如根据企业内网安全准入条件，只有安装运行了EDR客户端/杀毒软件/加域电脑才允许接入业务内网，保障内网安全性。

 

5、接管LDAP应用身份认证

国产云桌面、网盘存储、研发应用等，只需修改认证服务器的IP地址，即可完成应用迁移，同步接入到宁盾身份域管。

 

以上是宁盾身份域管在该机构中替换微软AD的一小部分能力展示，除了用户同步、接管信创电脑统一认证、国产应用的认证、网络准入控制外，在扩展能力上该金融机构还选择了宁盾MFA多因素认证、自助改密、高可靠部署等，以保障数据及系统的安全性。