信創AD遷移實操指南:聯軟安域XCAD替代微軟AD的10大關鍵問題
1、聯軟安域XCAD是如何保障域賬號的密碼安全
回答:密碼都是加密存儲,支持多種加密算法,包括國密。
微軟本身存儲密碼時是密文的,我們使用了自己的技術手段,使密碼體系遷移到我們的平臺后原有的存儲格式不變,從而能保持原有的認證方式。如果遷移過來后,用戶側對于密碼有變化等我們就可以變更他的存儲加密方式了,例如有國密的需求,在變更后密碼的加密方式也可以變為國密。
2、微軟AD支持打印機統一管理,聯軟AD域是否支持打印機等啞終端的統一管理?
回答:支持。
聯軟安域XCAD具備統一外設管理能力,相關策略通過組策略安全管理實現。
AD域控服務器添加打印機,然后將其共享出去,這樣加域的電腦都可以使用這個打印機。AD域的操作流程如下:
①在域控制器上安裝所需的打印機驅動程序。
②設置共享打印機的訪問權限,可以選擇允許特定用戶或用戶組訪問,或者選擇“所有用戶”可訪問。
③通過組策略下發添加共享打印機。
3、聯軟安域XCAD是否支持微軟exchange?
回答: 支持,如果現在用戶已經部署了AD+exchange郵箱,我們可以替代AD,為exchange郵箱提供認證。
4、是否可以實現鎖屏界面登錄AD賬號后,點擊瀏覽器訪問OA單點登錄?
回答:可以,需要該應用進行改造,與操作系統域認證做對接,即可實現免認證直接訪問應用(可以理解為操作系統就是一個portal,登錄操作系統的時候相當于完成了統一的認證)。如果是統信、麒麟的PC,則同樣需要基于操作系統域認證進行登錄。同一個應用,做一次改造,就可以實現多種操作系統(windows、統信、麒麟等)域認證的對接(協議是標準的,比如kerberos)。
5、聯軟安域XCAD具有高可用性嗎?
①如果全部把微軟AD用戶數據遷移到聯軟AD,如何確保可靠性?
A1:聯軟安域XCAD是非常成熟的產品,可以兩地三中心的部署模式來保障高可用性。
②高可用架構中,主備相關能力是數據庫級別復制還是應用級別復制
A2:聯軟安域XCAD是集群模式,所有數據在各個數據中心是共享的,支持同城雙活、多地多中心。數據庫高可用,我們是應用級別復制。
6、林、域相關問題
①多林多域場景下,就需要多個信創AD去做配置對接業務系統嗎?
如果是多個林,就是多套微軟AD,一個AD只能是一個林,我們就需要部署多套。
如果是一個林,多個域(父域子域),聯軟安域XCAD只需要部署一套。
②聯軟安域XCAD支持對接到微軟域控上哪些林、域級別?
我們支持2003-2016,推薦2008和2012版本(我們有成熟的測試環境)。
目前測試的現場中,2008和2012的版本比較多。
③聯軟安域XCAD支是否具備微軟父域、子域相關概念功能
目前的方案是和用戶的域合并成一個域。
父域和子域是為了分級管理,比如總部是父域,分支是子域,分布式部署來滿足全集團的需求,受限于AD的可擴展性。父域的策略,子域可以繼承。
聯軟安域XCAD是集中式管理,每個分支作為一個OU,一個部門,實現用戶需求。
我們不做父域子域的概念,如果是父子域,需要做身份治理,統一賬號,我們支持分級管理。
如果一定要實現父子域,也可以做,只不過成本比較高。
我們目前的方案:集群部署,多地多中心,每個區域都有全量數據。通過分級管理員,例如,我們只允許山東的管理員只能維護山東的用戶數據。
未來的趨勢:所有的大型集團,未來認證中心都收口到集團。
④在多分支部署下,終端PC的認證流程節點拓撲說明
AD自身的設計中,通過父子域的方式解決分布式部署的問題,總部-分支的問題。如果用聯軟的AD,就不會存在這個問題,我們建議通過集中化部署信創AD集群,做統一認證。
7、微軟AD上某些端口為高危端口,聯軟安域XCAD是否支持自定義高危端口?(如445、135等)
答:支持,可以在聯軟安域XCAD側自定義高危端口,但因為修改的端口皆為標準協議的端口,所以在服務端修改的同時,加域終端也需要進行端口改造,由客戶自行完成端口變更。
8、微軟AD和DNS服務器屬于同一套,聯軟AD域是否也具備DNS功能?
回答:具備,聯軟安域XCAD包含DNS解析功能。
9、聯軟安域XCAD對接客戶業務系統的話需要安裝客戶端嗎?需要二開嗎?
如果是實現和原有應用系統對接微軟AD,實現LDAP認證或單點登錄效果,這種不用對接,不論BS應用還是CS應用,都不需要安裝客戶端。這種對接是該應用本身就可以對接微軟AD,我們可以平滑替代AD,不用對接。
如果要拓展成IAM的項目,那會涉及到應用對接,比如用OIDC、Oauth2、SAML、CAS等協議。
10、聯軟安域XCAD如何做到無代理的?
答:聯軟安域XCAD底層適配了所有的微軟AD的協議,同時有的身份安全網關進行協議的轉化和安全保障,對于微軟AD的終端加域認證、組策略、LDAP等能力可以實現無縫平滑替代,不需要退域加域,對于終端來說就是加入正常域控,因此可以實現無代理。