汤若昕 刘畅 王琦 郭晓钰 甄紫梦 张津铭

摘  要：随着学校规模的不断发展，中国民航大学已经从单校区发展为多校区，且这些校区跨地域范围广泛。因此，面对众多的用户，从用户和管理者两个角度来讲，使用统一的认证方式很有必要。该文在分析中国民航大学校园网的物理布局及结构特点的基础上，提出了基于AD的多校区高效可重构统一身份认证架构策略，这一架构设计，对于提高管理效率，加强校园网安全保障有着重大意义。

关键词：AD  统一身份认证  多校区  可重构

中图分类号：TN915                                文献標识码：A                          文章编号：1672-3791（2019）04（a）-0009-03

1  概述

1.1 活动目录

活动目录（AD）是微软分布式网络体系结构中的重要组成部分，是其实现网络管理和使用的基础。它以域为基本管理单位，存储域中的计算机和用户、打印机、共享文件夹等网络对象的信息。网络管理员可以使用活动目录实现网络资源、用户的可视化集中管理，运用活动目录技术规划管理校园网，可以有效提高办公效率，节约网络管理成本，提高校园网的安全性。

1.2 目前现状

目前，笔者学校现有AD认证架构（东丽校区）中，只有一个域一个节点，由4个域控制器实现均衡负载。随着学校新校区的规划建设，在原东丽主校区的基础上，增加了宁河和朝阳飞行等多个校区，各校区间物理布局如图1所示。这样跨地域、跨地区、多校区办学，人员管理、权限管理的问题有待优化的，重新搭建扩展原有的AD架构就很有必要。并且若每个校区都采用独立身份认证的方式，会带来如下的几个主要的问题。

（1）师生的使用效率和体验性方面[1]。

如果各个校区使用的认证架构不同，必定会要求学生和教职工人员每次登录时都需要输入账号和密码信息，这就要求师生都得记忆多套密码，加大认证复杂度，不仅浪费时间，降低使用效率，同时也给师生造成不便，用户体验性极差。

（2）管理员对于数据和用户的管理方面。

一是使用者拥有多个密码引起的管理问题。每个校区都拥有自己的身份认证方式，相应的每个师生就会拥有多套账号和密码，如果不是经常使用，使用者可能会忘记或者记乱密码，这将导致在紧急情况下可能会无法及时认证。为了防止此类事件发生，大多数使用者会设置相同的密码，但这种做法虽然方便了自己，但从信息安全的角度来看是非常不安全的，一旦被不良分子盗取了账户和密码，其使用权限 会被盗取，信息安全无法保障。

二是各校区数据库的数据更新问题，因朝阳校区设置的为只读域控制器，其ADDS数据只可以被读取，不可以被修改，只在每天凌晨进行一次数据更新。若两个校区的身份认证方式不同，就会导致校区间的信息共享性很差，朝阳校区的数据更新会出现问题，从而导致数据不准确。同时客户端维护成本较高，也不利于学校安全、高效地进行统一的人员管理及权限管理。

因此为了为面向多校区办学做充分的理论和实践准备，我们需要一个可以满足师生只需注册一次并且登录一次就可以在访问多个校区需求的单点登录[2]身份认证方式，这就需要在优化现有的东丽校区的AD架构基础上拓宽AD功能，实现高效可重构，从而实现基于AD的多校区高效可重构统一身份认证架构。

2  高校应用统一认证方式概述

通过对高校内部身份认证方式的研究，可以发现AD是基础架构的根本，是统一认证管理的基础。随着学校不断发展壮大，面对跨地域、跨地区、多校区办学，人员管理、权限管理的问题有待优化，为实现高效应用统一认证方式，重新搭建扩建原有AD架构很有必要。

经现有AD架构分析，实现多校区高校可重构统一身份认证架构可包括以下几个部分。

（1）梳理现有AD架构。

由于现有AD架构已经有十几年的历史，其中历史用户、计算机、日志数量众多，该部分在模拟学校现有的AD架构以及大量数据基础上，研究当前的身份认证原理，进行梳理、分析现有AD中用户管理组织结构。

（2）拓展AD架构功能。

由于现有架构只停留在“一棵域树”、一个节点的阶段。该部分在模拟学校现有的AD架构基础上，进一步拓展现有AD功能，如组策略，以根据用户需求针对计算机或是特定用户来设置多种策略配置，包括桌面配置和安全配置等，实现更安全、高效的统一人员管理及权限管理。

（3）多校区重构现有AD架构。

多校区运行的AD架构面向的用户对象更广泛、用户基数更庞大、传输距离更长。面向多校区重构现有AD架构时，将同一站点内隶属同一个域的域控制器的应用系统作为同一个信任域，在每个信任域内都设有独立的身份认证管理系统，以实现高效完成新校区投入使用后统一身份认证的管理工作。

3  基于AD的多校区应用统一认证架构

随着高校规模的不断扩大，尤其是高校的跨区域建设，这些各自为政所实施的局部应用系统使得各系统之间彼此独立，需要进行在不同信息系统之间来回穿梭，容易造成信息混乱。在高校发展建设过程中，应基于现有的环境，选择不同的企业应用进行统一身份认证架构。由于微软系列产品在个人办公电脑和桌面应用上属于绝对的主流产品，所有基于AD统一身份认证架构，是很多高校的选择。

在实际应用中，微软的AD产品和微软系列应用结合得十分紧密，在Windows Server 服务器中，通过简单的设置，即可实现应用与微软AD的整合，从而实现身份的统一认证[3]。

该文所描述的架构方式以AD目录服务作为统一认证的基础，针对跨区域高校的地理分布、系统部署、网络状况等实际情况，高校的AD系统采用总校区/分校区两级架构设计。中国民航大学东丽校区、朝阳校区相距550km左右;东丽校区距离宁河校区30km左右，采用高速光缆快速传输，网络传输速度较快，宁河校区内部基础设施也会比现有校区要更好，根据实际需求，将朝阳校区作为单独站点，建立RODC只读域控制器，复制来自主校区域的数据;将宁河校区作为主校区下的子域，建立一定数量的AD目录服务器，保证各个域之间相互信任关系，通过本地站点可以访问各个站点内的服务器数据。各校区在本地身份认证目录中存放和管理本校区内的用户身份信息，身份认证系统将这些目录自动同步到总校区的身份认证目录中。因此，用户在分校区和总校区都具有身份信息，根据属性关联，选择标识作为用户关键信息。

在AD框架中，系统由网关和身份认证管理服务器组成。网关作为用户的统一访问入口，身份认证服务器管理相关的访问控制策略[4]。以中国民航大学为例，其架构如图2所示，各大高校应根据自身状况合理设置相应构架。

4  架构管理策略

为实现面向多校区重构现有架构，以高效完成新校区投入使用后统一身份认证的管理工作，在实验环境中搭建了基于AD的多校区高效可重构统一身份认证架构，并提出该架构的管理策略。

（1）确定校内统一账号库[2]：建立基于AD的唯一用户信息数据库。唯一的用户账号管理策略是实现统一身份认证和单点登录的基础。一方面，不同的应用系统采用不同的管理模式，用户使用统一的账号、密码能规范不同系统的用户信息，做到不同用户有唯一标识，能更安全、高效地竞选统一人员管理及权限管理。另一方面，用户使用一套账号和密码登录多个应用系统能方便用户记忆个人信息，用一套账号密码就能登录不同应用系统，同时能够在因学生毕业、教工退休或离职等情况而发生人员调度问题时，及时封锁账号，降低可能存在的安全隐患，降低安全管理复杂度。

（2）设计基于AD的用户单点登录：用户的单点登录[5]主要是实现身份认证管理系统将经过鉴定的用户信息以安全的方式传递给应用系统，应用系统利用身份认证系统传递的用户信息确认用户身份，完成登录。单点登录涉及两种情况[4]：一种是用户访问当前域的应用系统，即用户所在校区，一种是用户访问其他子域的分校区或直接访问主校区所在的父域的应用系统。在设计AD架构时将同一站点内隶属同一个域的域控制器的应用系统，如教务管理系统、OA办公系统、学生选课系统等作为一个信任域，每个信任域内都设有独立的身份认证管理系统。用户单点登录能实现登录AD域后[6]，以AD用户身份访问该应用系统，不需要再次输入用户名和密码，极大程度优化了用户体验。

（3）利用组策略针对计算机或是特定用户来设置多种策略配置：组策略 group policy object（简称GPO）是Windows中的一种自动配置桌面设置的机制，可帮助管理员进行桌面配置和安全配置等，从而根据用户需求对不同用户的设置进行管理和配置。通过组策略[7]，可设置集中化和分散化策略，管理用户桌面环境的各种组件，控制用户和计算机的环境，如软件安装、软件限制、基于注册表的管理模板、文件夹重定向和 Internet Explorer维护等。

5  结语

统一身份认证技术加强了多校区的数据管理：对于学生来说，统一身份认证实现了仅使用一套用户名、密码来完成多平台认证;对于学校管理来说，统一身份认证使得数据管理更高效、更便捷，适用于跨地域、跨地区、多校区办学。优化后多校区运行的AD架构能够安全、稳定、高效的进行统一身份认证数据存储和传输，有利于保障学校内部数据的安全水平。

参考文献

[1] 吴金洋.智慧校园统一身份认证技术分析[J].科技创新与应用，2017（4）：12.

[2] 查礼.基于LDAP的网格监控系统[J].计算机研究与发展，2002，39（8）：931-936.

[3] 张波.基于AD的企业统一认证方式概述[J].电脑知识与技术，2015（2X）：102-103.

[4] 赵华.统一身份认证在跨区域信息化企业中的设计[J].计算机与现代化，2011（6）：57-59.

[5] 任军.基于LDAP的目录服务综述[J].计算机应用研究，2005（5）：8-10.

[6] 刘芳，孙华文.基于AD的统一身份认证服务技术实现和管理策略[J].信息系统工程，2013（6）：34-35.

[7] 沈卫强.AD域环境中组策略的规划与实践[J].计算机安全，2006（9）：16-18.

①基金项目：中国民航大学大学生创新创业计划项目（项目编号：201810059126）。

作者简介：汤若昕（1998—），女，漢族，江西南昌人，本科在读，研究方向：计算机科学与技术。