本发明专利技术公开了一种网络设备、AD域单点登录的方法及系统,该方法包括:网络设备接收终端的访问认证请求,并检查终端是否已经通过访问认证,如果是,则网络设备允许终端访问网络;如果否,则要求终端提供服务票据;终端将从AD域接收的服务票据发送至网络设备;网络设备解析并校验服务票据,校验成功后,允许终端访问网络;否则,网络设备不允许终端访问网络。由于认证过程中需要的服务票据由AD域生成,因此不需要在客户端的域服务器中装载其它程序,从而不会影响域服务器的运行,确保了域服务器的稳定性。另外,也不用在客户端的域服务器上另外配置策略,可以解决域服务器在不同地区、由不同管理员控制的情况。
【技术实现步骤摘要】
本专利技术涉及安全认证领域,尤其涉及一种网络设备、AD域单点登录的方法及系统。
技术介绍
随着企业信息化建设程度的不断提高,企业中的应用系统也越来越多。而多个应用系统往往是在不同的时期开发完成的。各应用系统由于功能侧重、设计方法、开发技术有所不同,也就形成了各自独立的用户库和用户认证体系。各系统独自维护自己的安全策略,这些安全策略典型的包括组织结构定义,安全角色定义,用户身份验证,资源访问控制等。由于各系统相互独立,用户在使用这些应用系统时,非常不方便。用户每次使用系统,都必须输入用户名称和用户密码,进行身份验证;而且,应用系统不同,用户账号就不同,用户必须同时牢记多套用户名称和用户密码。特别是对于应用系统数目较多,用户数目也很多的企业,这个问题尤为突出。活动目录(AD:Active Directory)域存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息,所以AD域已经成为了企业的基础网络设施;AD域上的信息已经成为企业各种应用系统信息同步的对象。单点登录(SSO:Single Sign On)是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。如果新部署的系统没有单点登录功能,该用户必须多记一组用户名和密码,每天必须多输入一次用户名和密码,系统管理员也得多维护一套这样的用户信息库。所以新部署的系统能否和企业现有的认证系统结合做单点登录,已经是新系统能否上架的必要条件。网络设备要实现和AD域的单点登录,传统的方式有以下几种:(I)在域控制器上装控件,侦听某些事件,得到后将相应的信息发到安全认证设备。这种方式的缺点是:a)要在域控制器上安装控件,可能会对域控制器成不稳定;且可能对域控制器的性能有一定的影响;例如,控件中有一个内存漏泄的Bug,则运行一定时间后,域控制器就会因为没有内存而被迫重启;b)在域控制器上安装控件,需要非常高的管理权限,但是客户的域可能会在多个不同的地方,某个管理员只对某个域有权限操作,其它的域没有权限管理,这样就导致有的域无法安装控件;c)离线登录时服务器上没有任何消息,这样就导致离线登录到AD域的用户无法完成单点登录。(2)在服务器配置组策略,在PC登录到域时,运行登录、注销脚本,获取IP和登录名发到网络设备。这种方式的缺点:a)要在服务器上配置策略,虽然不会对服务器造成不稳定和性能上的问题,但是客户的域可能会在多个地方,某个管理员只对某个域有权限操作,其它的域没有权限管理,这样就导致有的域无法配置策略了 ;b)Logon, exe脚本很难同时在windows操作系统,Mac OS X操作系统,Linux操作系统正常运行,但是现在Mac PC,iPad等智能终端在日常工作共随处可见,这导致Mac PC, iPad等智能终端无法实现单点登录;c)离线登录时服务器无法感知有终端设备在登录,所以没有办法在登录时下发logon,exe脚本,这将导致单点登录失败。(3)在内网一台已经加入到域的PC,得到相应信息后,再发给安全认证设备;我们简称这种方式为agent方式。这种方式的缺点是a)客户必须提供一台多余的PC,且这台PC必须是加入域的,才能获取到登录域的PC ;b)如果有一台PCl先登录到域,然后又很快关机了,这时PCl的IP已经在设备上线了,然后我们把另一台PC2的IP修改成PCl的,这时PC2就不用认证也能上网了 ;c)离线登录时服务器上没有任何消息,这样就导致离线登录到AD域的用户无法完成单点登录。
技术实现思路
本专利技术要解决的技术问题在于针对现有技术中为了实现AD域单点登录而需要额外配置客户端的域服务器的缺陷,提供一种网络设备、AD域单点登录的方法及系统。本专利技术解决其技术问题所采用的技术方案是依据本专利技术的一方面,提供了一种AD域单点登录的方法,包括S100、网络设备接收终端的访问认证请求,并检查所述终端是否已经通过访问认证,如果是,则所述网络设备允许所述终端访问网络;如果否,则要求所述终端提供服务票据;S200、所述终端将从AD域接收的所述服务票据发送至所述网络设备;S300、所述网络设备解析并校验所述服务票据,校验成功后,允许所述终端访问网络;否则,所述网络设备不允许所述终端访问网络。在依据本专利技术实施例的AD域单点登录的方法中,在所述步骤SlOO中,执行要求所述终端提供服务票据包括所述网络设备将所述终端重定向至该网络设备的页面程序;当所述终端访问所述页面程序时,该页面程序要求所述终端提供服务票据。在依据本专利技术实施例的AD域单点登录的方法中,所述方法在步骤SlOO与步骤S200之间还包括SIOI、所述终端向AD域发送获取所述服务票据的申请;所述AD域反馈所述服务票据至所述终端,并同时向所述网络设备发送解析所述服务票据的信息。在依据本专利技术实施例的AD域单点登录的方法中,在所述步骤SlOl中,所述终端向AD域发送获取所述服务票据的申请包括所述终端向所述AD域申请Kerberos身份认证服务,以期获得访问所述网络设备的服务票据。在依据本专利技术实施例的AD域单点登录的方法中,所述服务票据包括所述终端的用户名。依据本专利技术的另一方面,还提供了一种用于AD域单点登录的网络设备,包括接收模块,用于接收终端的访问认证请求和服务票据;认证检测模块,用于检查所述终端是否已经通过访问认证,如果是,则允许所述终端访问网络;如果否,则要求所述终端提供服务票据;票据解析模块,用于解析并校验所述服务票据,校验成功后,允许所述终端访问网络;否则,不允许所述终端访问网络。在依据本专利技术的AD域单点登录的网络设备中,所述网络设备进一步包括重定向模块,用于当所述认证检测模块检测所述终端没有通过访问认证时,将所述终端重定向至该网络设备的页面程序,以当所述终端访问所述页面程序时,使得所述页面程序要求所述终端提供服务票据。依据本专利技术的另一方面还提供了一种AD域单点登录的系统,包括终端、网络设备以及AD域;其中,所述网络设备用于接收终端的访问认证请求,并检查所述终端是否已经通过访问认证,如果是,则所述网络设备允许所述终端访问网络;如果否,则要求所述终端提供服务票据;所述终端用于将从所述AD域接收的服务票据发送至所述网络设备;以及所述网络设备用于解析并校验所述服务票据,校验成功后,允许所述终端访问网络;否则,不允许所述终端访问网络。在依据本专利技术的AD域单点登录的系统中,所述网络设备用于在检测所述终端没有通过访问认证时,将所述终端重定向至该网络设备的页面程序,从而当所述终端访问所述页面程序时,该页面程序要求所述终端提供服务票据。在依据本专利技术的AD域单点登录的系统中,所述终端用于向AD域发送获取访问所述网络设备的服务票据的申请;所述AD域用于反馈所述服务票据至所述终端,并同时向所述网络设备发送解析所述服务票据的信息。本专利技术产生的有益效果是:因为由AD域生成安全认证需要的服务票据,并由AD域将服务票据发送给终端,将解析该服务票据的相关信息发送给访问目的资源(即网络设备),因此不用在客户端的域服务器中装载其它程序,从而不会影响域服务器的运行,确保了域服务器的稳定性。另外,也不用在客户端的域服务器上另外配置策略,可以解决域服务器在不本文档来自技高网...
【技术保护点】
一种AD域单点登录的方法,其特征在于,包括:S100、网络设备接收终端的访问认证请求,并检查所述终端是否已经通过访问认证,如果是,则所述网络设备允许所述终端访问网络;如果否,则要求所述终端提供服务票据;S200、所述终端将从AD域接收的所述服务票据发送至所述网络设备;S300、所述网络设备解析并校验所述服务票据,校验成功后,允许所述终端访问网络;否则,所述网络设备不允许所述终端访问网络。
【技术特征摘要】
1.一种AD域单点登录的方法,其特征在于,包括: 5100、网络设备接收终端的访问认证请求,并检查所述终端是否已经通过访问认证,如果是,则所述网络设备允许所述终端访问网络;如果否,则要求所述终端提供服务票据; S200、所述终端将从AD域接收的所述服务票据发送至所述网络设备; S300、所述网络设备解析并校验所述服务票据,校验成功后,允许所述终端访问网络;否则,所述网络设备不允许所述终端访问网络。2.根据权利要求1所述的AD域单点登录的方法,其特征在于,在所述步骤SlOO中,执行要求所述终端提供服务票据包括: 所述网络设备将所述终端重定向至该网络设备的页面程序; 当所述终端访问所述页面程序时,该页面程序要求所述终端提供服务票据。3.根据权利要求1所述的AD域单点登录的方法,其特征在于,所述方法在步骤SlOO与步骤S200之间还包括: 5101、所述终端向AD域发送获取所述服务票据的申请;所述AD域反馈所述服务票据至所述终端,并同时向所述网络设备发送解析所述服务票据的信息。4.根据权利要求3所述的AD域单点登录的方法,其特征在于,在所述步骤SlOl中,所述终端向AD域发送获取所述服务票据的申请包括: 所述终端向所述AD域申请Kerberos身份认证服务,以期获得访问所述网络设备的服务票据。5.根据权利要求1所述的AD域单点登录的方法,其特征在于,所述服务票据包括所述终端的用户名。6.一种用于AD域单点登录的网络设备,其特征在于,包括: 接收模块,用于接收终端的访问认证请求和服务票据; 认证检测模块,...
【专利技术属性】
技术研发人员:李飞,袁义金,
申请(专利权)人:深信服网络科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。