信创AD迁移实操指南:联软安域XCAD替代微软AD的10大关键问题
1、联软安域XCAD是如何保障域账号的密码安全
回答:密码都是加密存储,支持多种加密算法,包括国密。
微软本身存储密码时是密文的,我们使用了自己的技术手段,使密码体系迁移到我们的平台后原有的存储格式不变,从而能保持原有的认证方式。如果迁移过来后,用户侧对于密码有变化等我们就可以变更他的存储加密方式了,例如有国密的需求,在变更后密码的加密方式也可以变为国密。
2、微软AD支持打印机统一管理,联软AD域是否支持打印机等哑终端的统一管理?
回答:支持。
联软安域XCAD具备统一外设管理能力,相关策略通过组策略安全管理实现。
AD域控服务器添加打印机,然后将其共享出去,这样加域的电脑都可以使用这个打印机。AD域的操作流程如下:
①在域控制器上安装所需的打印机驱动程序。
②设置共享打印机的访问权限,可以选择允许特定用户或用户组访问,或者选择“所有用户”可访问。
③通过组策略下发添加共享打印机。
3、联软安域XCAD是否支持微软exchange?
回答: 支持,如果现在用户已经部署了AD+exchange邮箱,我们可以替代AD,为exchange邮箱提供认证。
4、是否可以实现锁屏界面登录AD账号后,点击浏览器访问OA单点登录?
回答:可以,需要该应用进行改造,与操作系统域认证做对接,即可实现免认证直接访问应用(可以理解为操作系统就是一个portal,登录操作系统的时候相当于完成了统一的认证)。如果是统信、麒麟的PC,则同样需要基于操作系统域认证进行登录。同一个应用,做一次改造,就可以实现多种操作系统(windows、统信、麒麟等)域认证的对接(协议是标准的,比如kerberos)。
5、联软安域XCAD具有高可用性吗?
①如果全部把微软AD用户数据迁移到联软AD,如何确保可靠性?
A1:联软安域XCAD是非常成熟的产品,可以两地三中心的部署模式来保障高可用性。
②高可用架构中,主备相关能力是数据库级别复制还是应用级别复制
A2:联软安域XCAD是集群模式,所有数据在各个数据中心是共享的,支持同城双活、多地多中心。数据库高可用,我们是应用级别复制。
6、林、域相关问题
①多林多域场景下,就需要多个信创AD去做配置对接业务系统吗?
如果是多个林,就是多套微软AD,一个AD只能是一个林,我们就需要部署多套。
如果是一个林,多个域(父域子域),联软安域XCAD只需要部署一套。
②联软安域XCAD支持对接到微软域控上哪些林、域级别?
我们支持2003-2016,推荐2008和2012版本(我们有成熟的测试环境)。
目前测试的现场中,2008和2012的版本比较多。
③联软安域XCAD支是否具备微软父域、子域相关概念功能
目前的方案是和用户的域合并成一个域。
父域和子域是为了分级管理,比如总部是父域,分支是子域,分布式部署来满足全集团的需求,受限于AD的可扩展性。父域的策略,子域可以继承。
联软安域XCAD是集中式管理,每个分支作为一个OU,一个部门,实现用户需求。
我们不做父域子域的概念,如果是父子域,需要做身份治理,统一账号,我们支持分级管理。
如果一定要实现父子域,也可以做,只不过成本比较高。
我们目前的方案:集群部署,多地多中心,每个区域都有全量数据。通过分级管理员,例如,我们只允许山东的管理员只能维护山东的用户数据。
未来的趋势:所有的大型集团,未来认证中心都收口到集团。
④在多分支部署下,终端PC的认证流程节点拓扑说明
AD自身的设计中,通过父子域的方式解决分布式部署的问题,总部-分支的问题。如果用联软的AD,就不会存在这个问题,我们建议通过集中化部署信创AD集群,做统一认证。
7、微软AD上某些端口为高危端口,联软安域XCAD是否支持自定义高危端口?(如445、135等)
答:支持,可以在联软安域XCAD侧自定义高危端口,但因为修改的端口皆为标准协议的端口,所以在服务端修改的同时,加域终端也需要进行端口改造,由客户自行完成端口变更。
8、微软AD和DNS服务器属于同一套,联软AD域是否也具备DNS功能?
回答:具备,联软安域XCAD包含DNS解析功能。
9、联软安域XCAD对接客户业务系统的话需要安装客户端吗?需要二开吗?
如果是实现和原有应用系统对接微软AD,实现LDAP认证或单点登录效果,这种不用对接,不论BS应用还是CS应用,都不需要安装客户端。这种对接是该应用本身就可以对接微软AD,我们可以平滑替代AD,不用对接。
如果要拓展成IAM的项目,那会涉及到应用对接,比如用OIDC、Oauth2、SAML、CAS等协议。
10、联软安域XCAD如何做到无代理的?
答:联软安域XCAD底层适配了所有的微软AD的协议,同时有的身份安全网关进行协议的转化和安全保障,对于微软AD的终端加域认证、组策略、LDAP等能力可以实现无缝平滑替代,不需要退域加域,对于终端来说就是加入正常域控,因此可以实现无代理。