一、背景：

金融行业信创国产化替代工作近年来呈加速趋势，信创相关预算占比逐年升高，非信创预算占比在逐渐降低。

在信创操作系统方面，主要体现在：

· 终端操作系统由Windows替换为麒麟、统信等系统；

· 微软AD服务需要被替代。

终端系统替代面临的问题：

替换终端操作系统需要尽可能保持用户在Windows上的使用习惯，包括：

· 信创操作系统账号可以统一管理，无需单独为终端开设账号；

· 登录认证能够支持集中认证和本地认证，密码需要保持一致性；

· 能够支持常用的802.1x入网认证。

替换微软AD面临的问题：

微软AD提供了终端统一认证、管理能力；应用接入能力；基于NPS的RADIUS服务；Windows文件共享；基于AD的DNS服务。要替换AD就必须考虑到高度依赖AD的场景，如虚拟桌面；IAM、SSO等身份管理场景；微软系应用，如Exchange、SharePoint等。

二、宁盾NDS目录服务解决方案

宁盾NDS目录服务分为身份目录、应用接入、网络接入、多因素认证、统一终端管理等组成部分。其中身份目录是核心服务，其他组件均为可选项，可通过标准协议与第三方产品替换或集成。

身份目录负责存储用户账号、密码、组织架构、用户组等数据，并处理身份的上下游同步。应用接入组件为应用系统提供身份管理和登录认证/SSO服务。网络接入处理设备的有线、无线认证和远程接入，如VPN、虚拟桌面认证等。多因素认证提供认证增强能力，支持动态密码、短信密码、扫码认证、推送认证等功能。统一终端管理为信创和Windows终端提供集中身份管理、认证管理、合规性检查和认证增强等能力。

NDS目录服务采用的是标准 LDAP 协议，提供面向应用及操作系统等的标准LDAP服务。作为第三方厂商自主研发的商业化产品，奠定了 NDS 开放性、兼容性、轻量化和便捷性的优势。它的主要任务就是可以用来存储用户身份数据，提供统一的目录用户身份认证，广泛应用于本地/云应用、操作系统、网络/安全设备等场景。

NDS 完全兼容 AD 的 Schema。这样一来，当金融机构现有应用直接使用或将AD替换成NDS 时，应用不需要单独定制或改造，只需要简单修改配置就可以实现LDAP认证交互，可以大大降低重复开发和对接的成本。

除了应用对接外，在麒麟、统信等国产操作系统和Windows、MAC等系统的管理上，NDS也同样支持这些系统的登录认证、入网管控，帮助企业实现平稳的国产化替代。

三、NDS 的功能颇多，总结下来主要能为金融机构实现：

· Windows、Mac、Linux等异构操作系统统一加域管理；

· 麒麟、统信等国产操作系统统一身份认证和本地用户集中管理；

· 为办公（Coremail/OA/ERP/网盘）、研发（Gitlab/JIRA）、网络设备（VPN/堡垒机/网管平台/虚拟桌面）等场景提供LDAP统一身份认证；

· 存储和接管用户身份数据，实现麒麟、统信、Windows等异构终端802.1x入网认证的账号校验。还可兼容客户现有的主流准入产品，从既有AD无缝迁移至NDS；

· 兼容AD架构，可与AD或IAM（身份识别和访问管理系统）进行身份信息同步和权限的迁移，同时NDS还能增强AD、IAM能力，如为多种场景（VPN、虚拟化桌面、服务器、网络设备等）启用多因素认证。

· 高可用，身份系统是关键基础设施，需要支持高可用、负载均衡、备份和恢复。NDS支持集中部署和分布式部署。支持故障回退，数据备份。

四、应用场景：

场景一：国产化身份目录替代

背景：

某大型金融企业作为信创推广重点企业，面临终端操作系统由Windows替换为麒麟、统信等系统，微软AD服务被替代等问题。但既有Windows终端、新购Windows终端、信创终端、AD和AD替代方案会有阶段性共存。主要面临迁移问题。

方案：

NDS宁盾目录分为身份目录、应用接入、网络接入、多因素认证、统一终端管理等组成部分。其中身份目录是核心服务，其他组件均为可选项，可通过标准协议与第三方产品替换或集成。

当停用AD时，NDS作为统一身份目录，实现对AD的替代。NDS具有和AD高度兼容的数据结构，降低了应用的变更代价，为应用迁移提供了便利。在确保业务不中断的前提下实现AD平滑迁移，通过LDAP协议或标准接口同步用户身份信息和组织架构，进行权限控制，为需要调取原AD用户源的应用（802.1x认证、VPN等）提供身份验证服务。并为信创和Windows终端提供集中身份管理、认证管理、合规性检查和认证增强等能力。

场景二：云上云下混合IT架构下的身份建设

背景：

某企业存在内网IT架构和纯云IT架构并行的现象，在内网IT架构下，AD是事实上的身份标准。随着云、移动化业务的发展，企微、飞书被大量采用，企业出现了将飞书、企微等业务门户作为当前以及未来的身份中心的势头。因此企业面对云上云下混合身份带来的问题。

方案：

当企业内同时存在内网身份（AD、HR、OA、邮箱等）、社交身份（飞书、钉钉、企业微信）、云SaaS身份（Sales force、Office365等）时，部分应用使用AD身份源进行身份认证。此时就需要建立统一的身份中心，保障云上云下身份的一致性，免去多套身份体系运维的压力。NDS可通过身份桥接能力将这些身份统一桥接，再为多个应用实现单点登录SSO接入。用户用社交身份扫码认证即可访问云上云下资源，提高业务访问和业务协同效率，以及IT运维效率。

场景三：提供LDAP目录服务，统一管理应用身份

背景：

某企业已部署AD，并使用AD用户源进行无线802.1x认证、VPN登录认证等。出于安全考虑，企业有定期修改AD域账号的密码制度要求。当密码修改后，由于PC端或者手机端上有账号信息的缓存且会自动进行802.1x拔号认证，此情况下会导致多次认证失败从而锁定AD账号。当域账号锁定之后，会导致调用AD域用户源的应用无法登陆。

方案：

当企业内存在多个独立维护的LDAP应用时，如VPN、堡垒机等，NDS可提供LDAP目录服务，替代OpenLDAP方案，为这些应用提供身份同步和认证校验。将AD上的身份信息同步到NDS上，无线802.1x认证指向宁盾认证服务器，完成身份认证校验过程。NDS还可提供SaaS化的LDAP云目录服务，为中小企业实现高效身份管理。

五、案例和建议

信创在国内的推进比较快，平均每个季度都会有一些新的最佳实践。本章更新时间为2022年5月。

信创用户的观念：

目前信创操作系统推进重点在金融行业，2021年各单位着重解决终端用户在信创系统上处理业务的问题。从2022年开始，微软AD面临较大的替换预期，一些银行和金融机构开始探索AD的替代解决方案。

普遍关注的技术点为：

1. 信创操作系统的统一管理和认证。截至2022年4月，信创域管平台主要采用定制方法适配客户需求，产品化程度尚未成熟。用户在寻求其他解决方案；

2. 应用迁移。AD是过去二十余年事实的身份标准，大量应用构建在AD上，应用的迁移成本不能太大；

3. Windows统一管理的过渡方案；

4. 网络认证，是企业比较容易忽略的点，比应用迁移更为复杂，涉及到原有认证平台的替换和对接。

大部分单位处在寻找和汇报方案，小规模测试阶段，暴露的问题主要有：

1. 信创域管平台能力不完善，无法完成用户同步或认证；

2. 应用梳理过程中发现诸多历史遗留问题，希望借机建立身份中台，制定应用接入规范；

3. Windows终端生命周期大于AD，需要在未来解决脱域问题；

4. 和AD深度耦合产品的升级和替代，如邮件系统、网络认证系统等。

国内外替换AD的经验

在非信创领域AD替换或部分替换同样很常见，主要驱动因素有：

1. 性能问题，当企业员工人数很多或分支较多情况下，如果没有持续规划和更新，AD比较容易面临LDAP服务超载、数据同步不及时等问题；

2. 安全性问题，近年来AD漏洞被利用的次数在增多，AD作为关键服务不能经常重启，导致有许多0day漏洞被利用；AD的默认配置有一定安全隐患，需要经验丰富的管理员持续关注；

3. 无法适用云和移动化，AD在本世纪初推出以来，架构上没有特别更新，对业务上云和SaaS支持薄弱；AD也不能管理Mac、Linux等终端，许多企业虽然架设了AD，并没有效使用起来。

基于不同的出发点，国内外替换AD的方式有：

1. AD被边缘化，不再作为身份中心，只负责管理Windows终端、网络接入等场景。由专业的身份系统接替AD的位置；

2. 增强AD，比如通过IDaaS桥接内网AD，使AD能够适应云和移动化场景，例如Okta；

3. 彻底废除AD，终端管理和应用接入使用全场景解决方案，例如JumpCloud。