用于集中式配置和认证的系统和方法技术方案

本发明专利技术公开了一种用于高效地获取给定设备的用户配置信息的系统和方法。多个设备被部署在环境中并且可为存储装置。目录服务和认证服务可用于确定所部署的设备上的登录会话尝试是否成功。身份和访问管理器(IAM)用于该确定并用于与目录服务和认证服务进行通信。所部署的设备中的一个或多个所部署的设备中的设备不存储用户配置信息。响应于由用户进行的尝试登录，该设备模拟用户的存在并生成对被传送至外部设备的针对用户的目录查找和认证的请求。如果响应于该请求而接收到肯定响应，则该用户被允许登录到该设备并针对用户来创建会话。

【技术实现步骤摘要】
【国外来华专利技术】用于集中式配置和认证的系统和方法
本专利技术涉及安全网络通信领域，并且更具体地涉及计算设备的认证信息和配置信息。
技术介绍
随着计算机存储器存储和数据带宽增加，商业和行业日常管理的数据量和复杂性也随之增加。随着数据量增长，能够创建、捕获、存储、分发、保护和消费信息的数据管理操作逐渐复杂。另外，数据管理操作诸如在企业信息管理中所使用的操作提供合规性。合规性确保文件和报告中所包含的数据的准确性和完整性、以及整个企业的数据的一致性。整个企业部署不同类型的存储设备，以提供这些操作。该存储设备可用于在数据中心、远程或分支机构、以及虚拟环境中。企业和小型商业环境可部署多个存储设备，以提供上述数据管理操作。在一些示例中，该存储设备为存储装置。另外，该环境可部署多个计算设备，诸如台式计算机、膝上型计算机、和服务器。此类环境通常支持可在本地和/或远程登录一个或多个设备的多个用户。这些用户中的每个用户通常具有包括特权、许可和角色的配置信息。在许多情况下，该用户配置信息对于多个设备上的给定用户为一致的。在大多数情况下，系统管理员手动配置并维护每个对应设备上的用户配置信息。此外，对用户配置信息的任何更新要求系统管理员在对应设备中的每个对应设备上手动复制相同的更新。企业环境通常利用用户目录服务来管理设备上的授权用户的身份。用户目录服务还可管理一些或全部用户的配置信息。为了使设备使用目录服务，系统管理员必须分别配置企业环境中的多个设备中的每个设备。因此，对用户目录服务的任何更新诸如对用户目录服务器属性的更新可能要求系统管理员在对应设备中的每个对应设备上手动复制相同的更新。在多个设备上执行手动更新可能非常繁琐、耗时并且由于所需时间较长而极少执行，并且在整个企业或小型商业环境中提供不一致的用户目录服务配置信息和/或用户配置信息。鉴于以上情况，需要用于高效地获取给定设备的用户配置信息的改进的系统和方法。
技术实现思路
设想用于高效地获取给定设备的用户配置信息的改进的系统和方法。在各种实施方案中，多个设备被部署在环境诸如小型商业环境、大型企业环境等中。在一些实施方案中，该设备可为存储装置。在各种实施方案中，该存储装置可被用作工作存储系统或备份存储系统。该环境可包括目录服务和认证服务。在一些实施方案中，目录服务和认证服务中的每一者位于单独的对应服务器上。设备之间以及服务器和设备之间的连接可包括无线连接、直接局域网(LAN)连接、广域网(WAN)连接诸如互联网、路由器、传输控制协议/互联网协议(TCP/IP)硬件和/或软件等。一个或多个服务器和所部署的设备可位于本地，位于其他远程站点或分支机构，或通过基于云端的网络来访问。设想其中所部署的设备中的一个或多个所部署的设备不存储用户配置信息诸如用户角色信息、用户许可和特权信息、以及其他用户配置信息的实施方案。另外，所部署的设备中的一个或多个部署设备不存储用于与目录服务和认证服务中的一者或多者进行通信的针对通信协议的配置信息。身份和访问管理器(IAM)用于在给定用户请求给定设备上的登录会话时处理对验证给定设备的给定用户的请求。IAM可位于其中一个所部署的设备上、位于托管目录服务或认证服务中的一者的同一服务器上、或者位于单独的服务器或其他计算设备上。另选地，IAM可为基于云端的应用程序。在各种实施方案中，IAM可使用通信协议诸如轻量目录访问协议(LDAP)来与目录服务和认证服务中的一者或多者进行通信。指示登录会话尝试是否成功以及是否包括用于成功确定的用户配置信息的响应从IAM被发送至对应部署设备。参考以下描述和附图将理解这些和其他实施方案。附图说明图1为示出了设备授权访问的一个实施方案的一般化框图。图2为示出了设备授权访问的另一个实施方案的一般化框图。图3为示出了用于在设备上针对用户创建登录会话的方法的一个实施方案的流程图。图4为示出了用于所部署的设备的网络中的登录请求和响应步骤的方法的一个实施方案的流程图。图5为示出了设备部署的一个实施方案的一般化框图。图6为示出了设备部署的另一个实施方案的一般化框图。图7为示出了设备部署的又一个实施方案的一般化框图。尽管本专利技术易受各种修改形式和替代形式的影响，但是具体实施方案以举例的方式在附图中被示出并且将在本文中详细描述。但应当理解，附图以及对其进行的详细描述并不旨在将本专利技术限制为所公开的特定形式，恰恰相反，其目的在于涵盖落入由所附的权利要求所限定的本专利技术的实质和范围内的所有修改形式、等同形式和替代形式。具体实施方式在以下描述中，阐述了许多具体细节，以提供对本专利技术的彻底理解。但本领域的普通技术人员应当认识到，可在没有这些具体细节的情况下实施本专利技术。在一些情况下，未详细示出熟知的电路、结构、信号、计算机程序指令、以及技术，以避免模糊本专利技术。参照图1，其示出了设备授权访问100的一个实施方案的一般化框图。在所示的实施方案中，单个设备110被连接到服务器150和160。然而，在各种其他实施方案中，多个设备连接到服务器150和160并连接到一个或多个其他设备。为了便于说明，未示出其他多个设备。如图所示，服务器150包括也可被称为目录服务152的用户目录服务152。服务器160包括也可被称为认证服务162的用户认证服务162。在一些实施方案中，目录服务152和认证服务162中的每一者在相同的服务器上执行。服务器150和160中的一个或多个服务器可为本地服务器。另选地，服务器150和160中的一个或多个服务器可为远程服务器。在其他实施方案中，目录服务152和认证服务162中的一者或多者为基于云端的应用程序。在一些实施方案中，设备110为一种类型的存储装置，诸如磁盘存储装置、备份服务器、附网存储(NAS)设备、存储区域网络(SAN)设备等。在其他实施方案中，该设备110为专用备份装置(PBBA)。PBBA也可被称为存储装置。通常，存储装置为基于与软件一起销售的通用的和认证的服务器硬件的服务器，其中硬件和软件由单个供应商提供。存储装置可能包括服务器、数据存储装置、操作系统、备份软件、和去重软件。存储装置的一体化方法可能导致相对较快的安装(部署)时间。存储装置可提供存储，使得能够在另一个设备或另一个存储介质上进行存储，和/或者为物理系统和虚拟系统两者提供去重。存储装置通常提供具有在4兆兆位(TB)到500TB之间的容量的数据存储。因此，存储装置可取代基于磁带的备份和恢复处理。在其他环境诸如企业环境和大型机环境中，存储装置可能与基于磁带的系统一起被部署。存储装置可用于基于云端的存储或前提存储。与服务器150和160的连接可包括各种技术，包括无线连接、直接局域网(LAN)连接、广域网(WAN)连接诸如互联网、路由器和其他技术。与服务器150和160的连接还可包括远程直接存储器访问(RDMA)硬件和/或软件、传输控制协议/互联网协议(TCP/IP)硬件和/或软件、路由器、中继器、交换机、网格、和/或其他设备。如前所述，设备110和服务器150和160中的每一者可位于现场或者可为基于云端的。设备110包括多个软件部件，诸如至少一个操作系统(OS)120、web服务130、shell服务132、可插拔认证模块(PAM)140、名称切换服务(NSS)模块142、和目录协议配置文件14本文档来自技高网...

【技术保护点】
一种计算系统，包括：多个设备；和身份和访问管理器(IAM)；其中响应于所述多个设备中的第一设备从给定用户接收到用于登录到所述第一设备的第一请求，所述第一设备被配置为：在验证所述给定用户在所述第一设备上的存在之前，生成虚拟用户以模拟所述给定用户在所述第一设备上的存在；以及向所述IAM发送与所述给定用户对应的第二请求，其中所述第二请求包括对所述给定用户针对所述第一设备的存在和由所述给定用户进行的针对所述第一设备的使用授权两者的验证的请求。

【技术特征摘要】
【国外来华专利技术】2015.06.23 US 14/7474401.一种计算系统，包括：多个设备；和身份和访问管理器(IAM)；其中响应于所述多个设备中的第一设备从给定用户接收到用于登录到所述第一设备的第一请求，所述第一设备被配置为：在验证所述给定用户在所述第一设备上的存在之前，生成虚拟用户以模拟所述给定用户在所述第一设备上的存在；以及向所述IAM发送与所述给定用户对应的第二请求，其中所述第二请求包括对所述给定用户针对所述第一设备的存在和由所述给定用户进行的针对所述第一设备的使用授权两者的验证的请求。2.根据权利要求1所述的认证系统，还包括：用户目录服务，所述用户目录服务被配置为存储一个或多个用户的用户识别信息；和认证服务，所述认证服务被配置为存储所述一个或多个用户的用户凭据信息；其中响应于从所述第一设备接收到所述第二请求，所述IAM被配置为：向所述用户目录服务发送第一查询，以验证所述给定用户的存在；以及响应于从所述用户目录服务接收到用于指示所述给定用户的所述存在的指示，向所述认证服务发送第二查询，以验证所述给定用户是否为所述第一设备的授权用户。3.根据权利要求2所述的认证系统，其中响应于从所述认证服务接收到用于指示所述给定用户为所述第一设备的授权用户的指示，所述IAM被进一步配置为向所述第一设备发送响应，其中所述响应包括用户角色信息和关于所述给定用户是否为所述第一设备的授权用户的指示。4.根据权利要求2所述的认证系统，其中响应于从所述IAM接收到所述给定用户为所述第一设备的授权用户的指示，所述第一设备被配置为利用由从所述IAM接收到的用户角色信息所确定的特权针对所述给定用户来创建会话。5.根据权利要求4所述的认证系统，其中针对所述给定用户来创建会话包括更新或替换与所述虚拟用户相关联的信息，以便将所述虚拟用户转变为所述给定用户。6.根据权利要求1所述的认证系统，其中所述多个设备中的所述第一设备为存储装置，并且所述第一设备尚未被配置为由所述给定用户使用。7.根据权利要求1所述的认证系统，其中所述第一设备为存储装置，并且其中所述第二请求被传送至为存储装置的第二设备，并且响应于所述第二设备从所述第一设备接收到所述第二请求，所述第二设备被配置为将所述第二请求转发到包括所述IAM的第三设备。8.一种设备，包括：名称切换服务(NSS)模块；和可插拔认证管理(PAM)模块；其中响应于从给定用户接收到用于登录到所述设备的第一请求，所述NSS模块被配置为在验证所述给定用户针对所述设备的存在之前生成虚拟用户，以模拟所述给定用户在所述设备上的存在；并且其中响应于从所述NSS接收到用于指示所述存在的指示，所述PAM模块被配置为传送与所述给定用户对应的第二请求，其中所述第二请求包括对所述给定用户的存在和由所述给定用户进行的针对所述设备的使用授权两者的验证的请求。9.根据权利要求8所述的设备，其中...

【专利技术属性】
技术研发人员：V·戈埃尔，
申请(专利权)人：华睿泰科技有限责任公司，
类型：发明
国别省市：美国,US