基于AD的多校区高效可重构统一身份认证架构策略.docx

?

?

基于AD的多校区高效可重构统一身份认证架构策略

?

?

汤若昕刘畅王琦郭晓钰甄紫梦张津铭

摘?要：随着学校规模的不断发展，中国民航大学已经从单校区发展为多校区，且这些校区跨地域范围广泛。因此，面对众多的用户，从用户和管理者两个角度来讲，使用统一的认证方式很有必要。该文在分析中国民航大学校园网的物理布局及结构特点的基础上，提出了基于AD的多校区高效可重构统一身份认证架构策略，这一架构设计，对于提高管理效率，加强校园网安全保障有着重大意义。

关键词：AD?统一身份认证?多校区?可重构

：TN915????????????????文献標识码：A?????????????：1672-3791（2019）04（a）-0009-03

1?概述

1.1活动目录

活动目录（AD）是微软分布式网络体系结构中的重要组成部分，是其实现网络管理和使用的基础。它以域为基本管理单位，存储域中的计算机和用户、打印机、共享文件夹等网络对象的信息。网络管理员可以使用活动目录实现网络资源、用户的可视化集中管理，运用活动目录技术规划管理校园网，可以有效提高办公效率，节约网络管理成本，提高校园网的安全性。

1.2目前现状

目前，笔者学校现有AD认证架构（东丽校区）中，只有一个域一个节点，由4个域控制器实现均衡负载。随着学校新校区的规划建设，在原东丽主校区的基础上，增加了宁河和朝阳飞行等多个校区，各校区间物理布局如图1所示。这样跨地域、跨地区、多校区办学，人员管理、权限管理的问题有待优化的，重新搭建扩展原有的AD架构就很有必要。并且若每个校区都采用独立身份认证的方式，会带来如下的几个主要的问题。

（1）师生的使用效率和体验性方面[1]。

如果各个校区使用的认证架构不同，必定会要求学生和教职工人员每次登录时都需要输入账号和密码信息，这就要求师生都得记忆多套密码，加大认证复杂度，不仅浪费时间，降低使用效率，同时也给师生造成不便，用户体验性极差。

（2）管理员对于数据和用户的管理方面。

一是使用者拥有多个密码引起的管理问题。每个校区都拥有自己的身份认证方式，相应的每个师生就会拥有多套账号和密码，如果不是经常使用，使用者可能会忘记或者记乱密码，这将导致在紧急情况下可能会无法及时认证。为了防止此类事件发生，大多数使用者会设置相同的密码，但这种做法虽然方便了自己，但从信息安全的角度来看是非常不安全的，一旦被不良分子盗取了账户和密码，其使用权限会被盗取，信息安全无法保障。

二是各校区数据库的数据更新问题，因朝阳校区设置的为只读域控制器，其ADDS数据只可以被读取，不可以被修改，只在每天凌晨进行一次数据更新。若两个校区的身份认证方式不同，就会导致校区间的信息共享性很差，朝阳校区的数据更新会出现问题，从而导致数据不准确。同时客户端维护成本较高，也不利于学校安全、高效地进行统一的人员管理及权限管理。

因此为了为面向多校区办学做充分的理论和实践准备，我们需要一个可以满足师生只需注册一次并且登录一次就可以在访问多个校区需求的单点登录[2]身份认证方式，这就需要在优化现有的东丽校区的AD架构基础上拓宽AD功能，实现高效可重构，从而实现基于AD的多校区高效可重构统一身份认证架构。

2?高校应用统一认证方式概述

通过对高校内部身份认证方式的研究，可以发现AD是基础架构的根本，是统一认证管理的基础。随着学校不断发展壮大，面对跨地域、跨地区、多校区办学，人员管理、权限管理的问题有待优化，为实现高效应用统一认证方式，重新搭建扩建原有AD架构很有必要。

经现有AD架构分析，实现多校区高校可重构统一身份认证架构可包括以下几个部分。

（1）梳理现有AD架构。

由于现有AD架构已经有十几年的历史，其中历史用户、计算机、日志数量众多，该部分在模拟学校现有的AD架构以及大量数据基础上，研究当前的身份认证原理，进行梳理、分析现有AD中用户管理组织结构。

（2）拓展AD架构功能。

由于现有架构只停留在“一棵域树”、一个节点的阶段。该部分在模拟学校现有的AD架构基础上，进一步拓展现有AD功能，如组策略，以根据用户需求针对计算机或是特定用户来设置多种策略配置，包括桌面配置和安全配置等，实现更安全、高效的统一人员管理及权限管理。

（3）多校区重构现有AD架构。

多校区运行的AD架构面向的用户对象更广泛、用户基数更庞大、传输距离更长。面向多校区重构现有AD架构时，将同一站点内隶属同一个域的域控制器的应用系统作为同一个信任域，在每个信任域内都设有独立的身份认证管理系统，以实现高效完成新校区投入使用后统一身份认证的管理工作。

3?基于AD的多校区应用统一认证架构

随着高校规模的不断扩大，尤其是高校的跨区域建设，这些各自为政所实施