精华内容
下载资源
问答
  • 2021-08-10 05:56:40

    信息技术中国移动信息系统集中

    账号口令管理 A 技术要求定

    中国移动支撑系统集中账号管理、认证、授权与审

    (4A)技术要求

    版 本 号 : 1 . 0 . 0

    目 次

    前 言1

    1. 目的和适用范围2

    2. 引用标准4

    3. 相关术语与缩略语解释5

    4. 综述6

    4.1. 账号口令管理现状与面临的困难6

    4.2. 4A 框架国内外现状 7

    4.3. 中国移动4A 框架9

    4.4. 4A 用例描述 10

    4.4.1. 管理员工作过程10

    4.4.2. 普通用户工作过程10

    4.5. 4A 框架的价值 11

    4.5.1. 企业角度11

    4.5.2. 管理员角度11

    4.5.3. 普通用户角度12

    4.5.4. 系统安全角度12

    4.5.5. 系统管理成本角度12

    5. 集中账号管理13

    5.1. 集中账号管理的目的13

    5.2. 对集中账号管理的要求13

    5.3. 账号生存期管理15

    5.3.1. 用户与账号的关系15

    5.3.2. 用户、账号的管理流程16

    5.4. 账号集中化管理架构17

    5.4.1. 一般模型17

    5.4.2. 主机、网络设备账号管理18

    5.4.3. 应用系统账号集中管理20

    5.4.4. 对集中账号管理的要求21

    5.5. 自我服务系统22

    6. 集中授权23

    6.1. 基本技术23

    6.1.1. 集中权限分配23

    . 权限定义23

    . 集中权限分配粒度24

    . 主流的授权技术25

    . 账号、用户、用户组、角色、权限关系26

    6.1.2. 集中访问控制28

    6.2. 网络设备和主机系统的集中授权30

    6.3. 应用系统基于角色的集中授权31

    6.4. 细粒度访问控制32

    7. 集中认证34

    7.1. 身份认证方式34

    7.1.1. 基于用户名/ 口令的认证方式34

    7.1.2. 基于动态口令的认证方式35

    7.1.3. 基于智能卡的认证方式35

    7.1.4. 基于生物特征的认证方式36

    7.1.5. 基于数字证书的认证体系37

    7.2. 认证方式选择37

    7.3. 单点登录(Single Sign-On ,SSO )38

    7.3.1. 单点登录要求39

    7.3.2. 单点登录系统模型39

    . 以服务器为中心的单点登录模型39

    . 以客户端为中心的单点登录模型41

    . 客户/服务器模式的单点登录模型42

    . 模型选择43

    7.3.3. 单点登录产品选择44

    7.3.4. 单点登录适用范围45

    7.3.5. 单点登录与集中身份认证46

    7.4. 集中身份认证46

    8. 集中安全审 49

    8.1. 4A 框架下的集中安全审 49

    8.2. 基本要求50

    8.3. 功能要求51

    8.4. 审计结果的处理方式51

    8.5. 集中存储策略52

    9. 中央管理平台53

    9.1. 目的53

    9.2. 功能描述53

    9.3. 功能要求54

    9.4. 技术要求55

    10. 实施建议56

    10.1. 总体原则56

    10.2. 技术建设建议

    更多相关内容
  • MT观摩账户管理软件,支持MT5与MT5观摩账户批量管理。可主要实现如下功能: 1、MT4与MT5账户集中批量管理分组备注。 2、MT4或MT5多开运行。 3、多窗口排列叠加,软件登录加密。 4、进程批量管理,隐藏进程窗口,MT4...
  • 其次详细介绍了从还原快照开始配置域环境、客户机接入、设置账户、设置OU、下发组策略(强制更换背景、上级强制、下级阻止继承、自动运行脚本、无需按ctrl+alt+del、命令及安全相关策略)。同时重点讲解了组策略的...

    0 引言

    本节首先简要介绍了域相关基本概念。其次详细介绍了从还原快照开始配置域环境、客户机接入、设置账户、设置OU、下发组策略(强制更换背景、上级强制、下级阻止继承、自动运行脚本、无需按ctrl+alt+del、命令及安全相关策略)。同时重点讲解了组策略的下发机制及执行原理。

    1 概述

    1.1 基本概念

    (1):Domain
    (2)作用:用于集中管理、统一管理
    (3)内网环境分类

    • 1)工作组:默认模式,人人平等。不方便集中管理。
    • 2)域:人人不平等,可以实现集中管理和统一管理。

    (4)查看方式:右键计算机→属性。
    在这里插入图片描述
    (5)域的组成

    • 1)域控制器:DC(Domain Controller)一般是服务器,可以设置多个。
    • 2)成员机:成员机之间平等。

    (6)管理员组

    • 本地管理员组:administrators
    • 域管理员组:Domain admins

    1.2 部署域核心条件

    (1)安装域控制器——就生成了域环境。
    (2)安装了活动目录——就生成了域控制器。
    (3)组策略:GPO(group policy),与活动目录配合完成对各成员机的命令下达,在组策略中新建一张表,表中是某条规则,然后把该组策略应用到活动目录中的某个部门。建立规则,将规则应用到域账号,要求域内主机仅能用域账号登录。
    (4)DNS服务器:负责解析域内各主机的域名与IP。域控制器兼做DNS服务器。只要加入域,DNS就会自动创建及更新区域配置文件。

    1.3 活动目录AD

    • 1)活动目录:AD(Active Directory)
    • 2)特点:集中管理、统一管理。
    • 3)概述:放着公司所有公共资源,可建立域账号,域账号可以登录域内所有成员机。AD是DC的核心,是域的核心,因此域也称AD域、活动目录技术。

    tips:
    (1)通常画一个三角形,代表域。
    (2)域有自己的名称,叫做域名(其实是域名后缀)。域中的每台计算机都有自己的主机名,与域名后缀组成FQDN.
    (3)凡是有域的环境,公司所有的电脑,都要指向公司的DNS,而不是互联网的DNS.
    (4)当用域账号登录成员机,成员机会去找DC,DC再去查看活动目录AD,能对应AD上的域账号和密码,则可以登录。

    2 部署域——以win2008为例。

    2.1 步骤1:网络设置

    (1)开启win2008虚拟机,关闭防火墙(>>点击运行>>控制面板>>系统和安全>>windows防火墙),需要设置磁盘分区(>>右键计算机>>管理>>存储>>磁盘管理)。

    tips(win2008相关知识):
    ①win2008调出桌面图标。开始→搜索→icon→调出。
    ②win2008中的相关windows组件已经内置到C盘中了,并不是像winxp那样插光盘进行安装。
    ③win2008中的相关windows组件去哪安装:>>右键计算机>>管理>>角色(服务器)>>添加角色。注意,本实验的AD不在这里安装,这里安装的效果没那么好,微软有AD特别的安装途径
    在这里插入图片描述
    (2)桥接到虚拟交换机上,如VMnet1.参考《IP地址详解及其相关概念》
    (3)配置静态IP地址,如10.1.1.1/24。调出网络适配器设置(右键网络选择属性或打开网络和共享中心)→更改适配器设置→右键本地连接→属性→注意不勾选IPv6(否则可能会影响实验),双击进入IPv4。参考《IP地址详解及其相关概念》.本实验可不配网关,由于不需要上网,另外不要指DNS,安装活动目录时才会弹出将DNS指向自己的对话框。

    2.2 步骤2:安装活动目录

    (1)开始→运行→dcpromo,该命令可安装/卸载活动目录。(卸载需要先将所有域成员剔除回工作组状态,再把自己扁为普通主机)
    (2)出现下图提示,说明系统在检测本机是否适合安装活动目录。
    在这里插入图片描述
    (3)合适即弹出安装向导。暂时不适用高级向导,直接点击下一步。
    在这里插入图片描述
    (4)提示系统差异兼容性问题。
    在这里插入图片描述
    (5)DNS相关配置。强烈建议在配置IP的时候不指定DNS服务器,在此处进行设置。
    在这里插入图片描述
    (6)新建域。绝大多数中大型公司只有一个域;特别大的公司总部设有一个父域如xxx.com,另外分公司设有子域xx.xxx.com,构成域树;更大的公司总部有父域xx1.com,后因新业务扩展新父域xx2.com,两个或多个域树构成域林。目前构成林的公司很少,林的命名以这个林中的第一个域来命名。
    在这里插入图片描述

    tips:
    ①一般公司只有一个域,而分公司与总公司之间通过拉专线,分公司的员工可以通过专线加入总部的域。
    ②有些特别大型的公司,总公司设置主域,分公司设置子域,构成域树。

    (7)设置第一个域的名称。程序会自动检查是否已经有林。
    在这里插入图片描述
    (8)设置林功能级别。根据公司规划限制后续域控制器最低功能,本次实验选择2003。
    在这里插入图片描述
    (9)设置域功能级别。此处设置的是本域的功能级别,域中的其他DC不能低于此版本,子域不受此域功能级别控制,但受林功能级别控制。本次实验设置2003。
    在这里插入图片描述
    (10)其他设置,直接点下一步。
    在这里插入图片描述
    (11)提示无法创建,点是。
    在这里插入图片描述
    (12)文件存储位置,不做修改,直接下一步。
    在这里插入图片描述
    (13)账户与密码,此处为活动目录的登录密码(还原密码),与win2008登录密码没有关系,仅当活动目录出现故障时还原使用。
    在这里插入图片描述
    (14)域设置摘要,检查设置是否满足自己要求。
    在这里插入图片描述
    (15)安装中,安装完毕后需要重启电脑。
    在这里插入图片描述

    2.3 验证活动目录是否安装成功

    (1)到此,该计算机已成为DC,原有管理员账号已迁移至活动列表中,自动成为域管理员账户。
    在这里插入图片描述

    (2)登录域。用原来的本地管理员账户密码登录,DC只能用域账户登录,其余成员机可以使用本地账户登录(在组策略允许的情况下),但是不能享受域资源,只有用域账户登录才能享受域资源。
    (3)查看是否生成了域环境。右键计算机选择属性,计算机属性显示已成为域成员,但是未能反映是否时DC。建议作为DC的主机先将计算机名修改为DC后,在进行活动目录安装。
    在这里插入图片描述
    (4)查看DNS。开始→管理工具→DNS。当有员工注册成为域成员时,将自动生成解析记录。
    在这里插入图片描述
    (5)查看域管理相关工具。开始→管理工具→Active Directory 用户和计算机。其中以AD用户与计算机最为重要,信息显示如下。
    在这里插入图片描述

    2.4 步骤4:将winXP与win7加入域

    (1)将winXP与win7与域设置在同一局域网下,均连接同一个交换机,如VMnet1,并配置固定IP(在同一网段),注意,一定要将DNS指向域控制器的IP地址,此实验为10.1.1.1。
    在这里插入图片描述
    (2)右键计算机属性→计算机名→更改→加入域。
    在这里插入图片描述
    (3)弹出登录窗口。新用户加入域,需要获取DC许可,建议使用域管理员账户登录确定。
    win7不需要输入域名,直接输入账户即可。
    在这里插入图片描述
    在这里插入图片描述
    (4)加入成功,会弹出“欢迎加入xx域”对话框,并点击确定重启计算机,只要重启才生效。
    在这里插入图片描述
    (5)在DC上查看活动目录,点击computers,可以看到新加入的成员机。
    在这里插入图片描述
    (6)DNS区域内容自动更新。
    在这里插入图片描述

    2.5 步骤5:创建普通域用户

    (1)进入DC,开始→管理工具→AD用户与计算机→右键user→新建→用户。
    在这里插入图片描述
    (2)设置显示名以及用户名,点下一步后设置密码,完成。
    在这里插入图片描述
    (3)客户机登录,界面跟服务器登录相似,需要按三键登录。对于winxp,点击>>选项,在登录到中可以选择登录域或登录本机;而对于win7,点击切换用户>>新建用户。可以通过组策略禁止登录本机。
    在这里插入图片描述
    在这里插入图片描述

    2.6 常见小问题

    (1)加入域不成功的问题

    • 1)是否位于同一局域网中,能否ping通?主要表现为①是否桥接到同一个交换机;②是否配了同一个网段的IP。
    • 2)解析是否能成功?主要表现为①是否指了DNS;②是否DC上没有出现域(此实验为zz.com)的解析记录(可能是IPV6没有取消勾选,使得域的解析记录没有自动生成)。
    • 3)是否有DNS假缓存?需要清空DNS缓存。

    (2)登入域失败的问题
    如winxp系统,如果已经勾选了域,账号就不用再写域的前缀,直接写域账号;win是否写了域的前缀,如本实验为"zz.com"。
    (3)域用户的权限
    在DC中设置的域用户,登入成员机时,仅仅是普通用户,未取得完全控制权限。当公司员工需要以域用户对自己的电脑具有完全控制权时,若将该域用户提升为域管理员是不合适的(太危险了,该员工可以完全控制其他员工的电脑),这时可以将该域用户加入到它自己的计算机的本地管理员组中,以域管理员身份登录成员机,>>右键计算机>>管理>>本地用户和组>>组>>右键administrators>>添加到组>>添加>>填写域用户名>>一直确定。
    在这里插入图片描述

    3 组织单元OU

    3.1 概念

    • 组织单位:OU(organization unit),用于归类域资源方便下发组策略(域用户、域计算机、域组,比如将资源按不同部门分类,如IT部的计算机及用户放到IT的OU中,市场部的计算机及用户放到市场部得OU中)。
    • 注意,OU与组类似,均是为了分类,不过组的目的是为了赋权限,而OU的目的是为了下发组策略。

    3.2 创建

    (1)进入DC,开始→管理工具→AD用户与计算机→右键域名(此实验为zz.com,zz.com可以称为最大的OU)→新建组织单元。
    在这里插入图片描述
    在这里插入图片描述
    (2)接下来可以在新建的zz公司这个OU下逐层建立组织架构,如下。
    在这里插入图片描述
    (3)当人事变动时,其OU也应相应调整。例如将上述设置的吴明移动到董事会(注意,不能删除,每个用户都有自己的SID,删了再建个吴明,就不是之前的了),在Users中找到李白→右键→所有任务→移动→选择“zz公司”下的董事会。同样将杜明移动到市场部的西北区。回到OU查看详情如下:
    在这里插入图片描述
    (4)同样可以对计算机也进行同样的移动操作,方便后续组策略可以对用户和对计算机分别进行限制和操作。
    在这里插入图片描述
    tips:
    (1)对计算机和对用户做限制是两个方向,一个限制的是电脑,一个限制的是用户。例如,要求某一部门所有用户登录电脑时,均显示公司背景,则该要求跟着用户走,在那登陆都显示公司背景;要求某一部门所有电脑登录时,均显示公司背景,则该要求跟着计算机走,无论谁登录都显示公司背景。
    (2)建议将某用户及其配套的电脑放到同一个OU中,方便控制和管理。

    4 组策略GPO

    4.1 概述

    (1)GPO(Group Policy)
    (2)作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数、登录密码复杂性、修改密码最短时间与最长时间等。
    (3)重点:组策略在域中,是基于OU来下发的。
    (4)组策略有针对计算机与针对用户两种,针对计算机的策略将在开机和关机时执行,针对用户的策略在登录与注销时执行。

    4.2 创建组策略

    (1)进入DC,开始→管理工具→组策略管理→右键zz公司→在这个域中创建GPO并在此处链接→命名建议与该OU一致。
    在这里插入图片描述
    在这里插入图片描述
    (2)对每一级别均设置一个组策略。
    在这里插入图片描述

    4.3 组策略下发原理及顺序☆☆☆

    4.3.1 正常情况下

    (1)一般情况下组策略执行顺序:LSDOU,按这个顺序逐级执行,当有冲突时,最后执行的会覆盖前面执行的,最后执行者生效

    • 1)L:本地组策略;
    • 2)S:站点;
    • 3)D:域组策略:
    • 4)OU:代表其所属的一系列OU,逐级OU组策略;

    (2)示例
    ①以吴明为例:
    本地桌面未配置;zz公司设置了zz.jpg,而后面一系列策略都未配置;
    执行结果:吴明的桌面为zz.jpg。
    ②以吴明为例,吴明属于董事会:
    本地:桌面,未配置;删除运行菜单:未配置
    上级OU(zz公司):桌面,zz.jpg;删除运行菜单:启用
    下级级OU(董事会):桌面,ceo.jpg;删除运行菜单:未配置
    吴明的执行结果:桌面,ceo.jpg;删除运行菜单:启用

    4.3.2 上级设置了强制,下级未做特殊设置

    (1)上级设置了强制:策略顺序执行至强制,后续OU的组策略不执行。
    (2)示例
    上级OU: 桌面墙纸:zz图片; 运行:删除
    下级OU: 桌面墙纸:ceo.jpg ;运行:不删除
    下级OU的执行结果:桌面墙纸:zz图片; 运行:删除

    4.3.3 上级未做特殊设置,下级设置阻止继承

    (1)下级设置阻止继承:该级OU前的所有组策略均无效,从该级逐级往下执行:
    (2)示例
    上级OU: 桌面墙纸:zz图片; 运行:删除
    下级OU: 桌面墙纸:未配置 ;运行:不删除
    下级OU的执行结果: 桌面墙纸:未配置 ;运行:不删除

    4.3.4 上级设置了强制,下级设置阻止继承

    (1)当上级强制与下级阻止继承同时设置时,强制生效,因为后续策略不执行。
    (2)示例
    上级OU: 桌面墙纸:zz图片; 运行:删除
    下级OU: 桌面墙纸:ceo.jpg ;运行:不删除
    下级OU的执行结果:桌面墙纸:zz图片; 运行:删除

    4.4 下发组策略

    举例讲解以下几种组策略

    4.4.1 桌面背景下发

    练习:zz公司员工统一用某图片为桌面背景。
    公司员工需要用统一的桌面背景,那么首先得有桌面背景图片,且员工都能下载该图片。那么桌面背景图片需要放在DC,且能供员工下载,要么通过共享下载,要么通过FTP下载,一般通过共享下载。共享文件得创建及权限参考《文件共享服务器—创建/访问共享文件及禁用共享服务》
    (1)DC机上设置共享文件夹,方便各个成员机在组策略需要时下载所需要的文件。在DC中→D盘→新建文件夹share→该文件夹应保证所有域用户都能访问→右键该文件夹→属性→共享→设置共享权限。
    在这里插入图片描述
    (2)设置本地NTFS权限,对该文件夹的安全选项,添加domain users组,并确保赋予读取下载的权限。
    在这里插入图片描述

    (3)将zz公司桌面背景图,存于share文件夹下,确保其扩展名是组策略所允许的jpg或bmp的格式。
    (4)将所有域用户统一设置桌面背景图片。右键zz公司组策略→依次展开→找到桌面壁纸→双击打开。
    在这里插入图片描述
    (5)点击已启用,在图纸名称栏填写网络地址+文件名+后缀。点击确定。
    在这里插入图片描述
    (6)先注销,再使用域用户登录winxp,查看桌面背景,若不成功,则刷新下或重新注销再登录。桌面背景如下,域组策略执行成功。
    在这里插入图片描述
    (7)假如公司规定董事会成员需要用另外的桌面背景。对董事会组策略另外设置桌面背景,类似操作设置。注意,填写路径时需要填写网络路径,且图片名需要带扩展名。
    在这里插入图片描述
    (8)确保账户吴明是位于董事会组下,重启电脑用吴明的账户登录,查看桌面变化。该策略与zz公司组策略冲突,会覆盖zz公司策略,而执行董事会这个组策略。
    在这里插入图片描述
    (9)假如公司改了规定,接下来一个月,公司所有成员的桌面背景均为zz.jpg。有两种方法,一种是将董事会组策略下的桌面墙纸那个策略改为未配置,第二种是将zz公司组策略设置强制执行,设置后组策略执行到此就截止了,不受后续策略的影响。右键zz公司组策略→勾选强制。注意,此处对准组策略右键。
    在这里插入图片描述

    (10)阻止继承的设置。右键董事会OU→阻止继承,该级OU前的所有组策略均无效,从该级逐级往下执行。注意,上一步的zz公司组策略的强制需要取消,否则这里不会生效;另外,此处对准OU右键。
    在这里插入图片描述

    4.3.2 禁用运行窗口

    从“开始”菜单中删除“运行”菜单,启用就删除,禁用就不删除,未配置就保持其他配置。当该项策略启用后,用户无法通过win+r启用运行窗口。
    在这里插入图片描述

    4.3.3 执行脚本配置,使用户注销时自动清空D盘垃圾文件

    (1)再DC上新建一个文件名为clear的文件,修改后缀名为bat,输入以下代码。

    d:
    cd\
    cd tmp		#进入垃圾文件夹
    rd ./s/q	#删除
    

    (2)在客户机D盘下先新建一个tmp文件夹,并生成一堆垃圾文件。
    (3)找到用户策略,双击注销。
    在这里插入图片描述
    (4)>>添加>>浏览,将刚刚写好的批处理文件黏贴到默认路径下,选中该文件,并·依次确定。
    在这里插入图片描述

    4.3.4 用户开机后不显示按ctrl+alt+del进入命令,直接显示账户密码

    (1)理解该功能的实现是针对计算机还是用户,由于是计算机开机时生效的,因此是针对计算机的。
    (2)依次展开→找到该策略并双击→启用。
    在这里插入图片描述
    在这里插入图片描述

    4.3.5 密码策略

    (1)依次展开→找到该策略→启用。
    在这里插入图片描述
    (2)复杂性原则:要求满足3/4原则,及大小写、特殊符号、数字,需要有其中至少三种。
    (3)最短使用期限:限制不能频繁修改密码。
    (4) 最长使用期限:要求定期改密码,默认是42天。
    (5)强制密码历史:不能重复使用历史上最近几种密码。
    练习:

    4.3.6 账户锁定策略

    (1)依次展开→找到该策略→启用。
    在这里插入图片描述

    (2)账户锁定阈值:防止暴力破解,当错误输入密码的次数达到设定的次数后锁定,之后即使输入正确的密码也进不去。需要等待一段时间或找域管理员在活动目录中找到该用户→右键→属性→解锁。
    (3)账户锁定时间:当账户锁定时需要等待的时间,过了这段时间后输入正确的密码才有效。
    (4)重置账户锁定计数器:设定时间,从开始输错密码后开始计时,达到设定时间后输错密码次数重置为0,可重新输密码。设置时间要等于或小于账户锁定时间。一般设置等于账户锁定时间。

    4.4 查看配置了哪些组策略

    在这里插入图片描述

    参考文献

    [1] 第15节 域

    展开全文
  • Watchmen提供了一个框架,可将AWS配置规则使用的lambda函数集中到一个AWS账户中,以便可以使用自动化轻松高效地对其进行管理。 实质上,我们将Watchmen堆栈部署到专用的AWS账户。 然后,我们获得其他AWS账户( ...
  • OpenLDAP应用之帐号集中管理.doc
  • 集中账号管理的目的】 随着信息系统复杂性的增加,对中国移动企业内部用户权限的管理要求,将大大超过手工管理跨异构系统的能力。管理上的复杂性还会导致出错机会和安全风险的增加。比如,人员的快速流转导致系统...

    集中账号管理的目的】

    随着信息系统复杂性的增加,对中国移动企业内部用户权限的管理要求,将大大超过手工管理跨异构系统的能力。管理上的复杂性还会导致出错机会和安全风险的增加。比如,人员的快速流转导致系统中大量存在孤立的账号,并且这些孤立的账号具有有效的权限,使企业暴露在内部和外部攻击之下。

    在一个大型的、信息化程度很高的企业当中,账号管理集中化是解决这些问题的出路,使企业能够从一个或几个集中点,控制用户对所有企业信息系统的访问。

    企业通过实施集中账号管理,达到以下目的:

    1. 管理员在一点上即可对不同系统中的账号进行管理,实现:

    1. 账号与人的关联;

    2. 网络设备、操作系统、甚至应用系统中已有账号的收集;

    3. 新建账号并同步到各系统中去;

    4. 实现集中的密码策略,并按照密码策略的要求,自动、集中、定期修改系统账号的口令;

    5. 实现集中删除一个自然人的所有或者部分系统账号;

    6. 通过4A之外的流程管理系统或者简单的记录手段保留账号创建、分配、变更、删除整个过程的信息,从而知道什么时间、哪些账号给了哪些人,每个人拥有什么样的账号,便于审计。

    对集中账号管理的要求】

    账号集中化管理系统需要做到:

    1、与各主机、网络设备、信息系统无缝连接

    对于采用账号/密码方式登录的应用系统,要求能够继承现有系统的账号数据,并将各种系统的账号数据统一到一种格式,集中存放。

    现有应用系统中的账号数据可能存放在关系数据库(RDB)中,也可能存放在LDAP数据库中,要求对这两种存储方式均提供支持,并且可以通过简单的数据库映射配置即可完成。

    能够自动发现主机、网络设备上的已有账号。可以定期,或手动触发,自动搜索所有被管理的系统,从中发现、收集所有新创建的账号。

    可以通过该平台设定密码策略,包括密码强度、生存周期等,并且能够将结果自动同步到所有被管理系统中去。

    2、与单点登录系统无缝连接

    账号管理数据能够实时的与SSO服务器中的数据同步,或者采用相同的数据库。同步的信息包括系统账号、口令等等。如账号管理模块自动修改操作系统账号的口令后,能够将新的口令同步到SSO,而不影响SSO功能。

    3、提供账号生存期管理

    账号生存期管理是指对账号从产生到删除各存在状态进行管理。包括对账号属性的更改,口令的重设,账号使用情况的审计等。

    账号生存期管理示意如图5.1所示,在后续章节中还要详细介绍。

    图: 账号的生存期管理

    用户账号集中化管理的带来的益处,需要从系统安全角度、用户角度和系统管理员角度进行体现:

    1. 系统安全角度:统一的管理策略保证用户账号的管理与实际情况紧密联系,增加了系统的安全性;

    2. 用户角度:先进的单点登录技术与用户账号的集中管理结合,方便了用户的登录,提高安全保护等级;

    系统管理员角度:对系统中的用户账号统一管理,可以减少系统管理员的劳动强度,提高生产效率,增强系统的安全性。

    账号生存期管理】

    账号生存期管理是指对账号从产生到删除各存在状态进行管理。包括对账号属性的更改,口令的重设,账号使用情况的审计等。集中账号管理系统必须覆盖整个生存期管理。

    【用户与账号的关系】

    在此先对用户和账号这两个基本概念进行澄清。

    用户是指使用信息系统的企业内正式或临时的员工、来自合作伙伴或设备供应商的工作人员等。

    账号是指具体使用系统和业务系统的主体。

    用户与账号的关系是这样的:一个用户可以拥有信息系统中的一个或多个账号,也可以不拥有任何账号;账号一般与一个特定的用户相关联,也可以不属于任何一个用户(孤立的账号),甚至可以属于多个用户(多个用户共享同一账号)。用户与账号之间的关系如图5.2所示。

    图5.2 信息系统中用户与账号的关系

    从图中可以看出用户与账号的对应关系主要有以下几种:

    1)孤立的用户

    孤立的用户一般是在用户刚刚在企业中注册还没有为其分配账号的时候。

    2)孤立的账号

    孤立的账号一般是在用户离职以后,但账号还没有删除的情况下存在。从安全的角度来看,这种孤立的账号对于信息系统的安全是一种潜在的威胁,因为这种账号是有效的,可以访问信息系统的资源。

    3)一个用户对应多个账号

    一个用户对应多个账号是比较普遍的情况,因为用户要访问不同的信息系统,而不同信息对账号的管理是独立的,即使是在同一个信息系统中,由于工作的需要,某些用户(如系统管理员)可能既需要高权限的账号,也需要低权限的账号。

    4)多个用户对应一个账号

    多个用户使用同一账号的情况主要出现同一个工作组中,因为工作的需要大家使用同一个账号。如在中国移动OA系统中,由于软件平台的管理员账号是唯一的,而有管理员权限的用户有多个,只能是这多个用户共享这唯一的管理员账号。这种方式也是不安全的,可能因为某个用户的失误导致系统安全被破坏。

    用户、账号的管理流程】

    用户在企业中的生命周期,从用户被录用开始一直到离职,这中间经过职位和岗位的变动、权限的变化等,企业中用户的管理将伴随着员工的整个生命周期。

    由于用户可能要访问多个信息系统,这些信息系统可能是异构的,所以在实施用户策略时,管理员应该可以一次性向多个异构的管理平台提交策略,并且策略在传播时也能够确保一致性。集中化用户管理工具应能发现企业内的所有被管理对象,并呈现给管理员。同样,对用户的管理也可以以目录的形式进行管理,对用户的创建、修改和删除能够方便地进行。

    对于应用系统来说,集中化的用户账号管理流程大体可以分为以下几步:

    1、用户主账号创建

    通过系统管理员或用户自助注册系统建立用户主账号,与实际人员对应,每人一个。在单点登录(SSO,详见本文7.3节)环境下,主账号用于第一次登录;在非SSO环境中,主账号仅仅是自然人的标识。

    2、分配角色

    管理员根据用户的工作部门和岗位,为用户分配相应的角色。

    4、创建从账号

    如果对企业内的应用还没有按照本要求附录二中的模式二实施改造,则用户在访问具体的应用系统时,还需要向应用服务器提交自己在应用系统中的账号(从账号)。管理员根据用户的工作部门和岗位,在集中账号管理平台上为用户创建相应的从账号,从账号会自动下发到对应的应用系统中。

    5、获得访问权限

    基于角色或已创建的从账号,用户获得访问信息系统相关资源的权限。

    对于网络设备、操作系统来说,集中化的用户账号管理流程包括:

    1、用户主账号创建

    通过系统管理员或用户自助注册系统建立用户主账号。在SSO环境下,主账号用于第一次登录;在非SSO环境中,主账号仅仅是自然人的标识。

    2、从账号建立与分配

    管理员根据用户的工作部门和岗位,通过集中账号管理平台为用户创建或关联相应的从账号。新建的从账号信息由集中账号管理平台自动下发到对应的主机或设备。

    3、账号使用

    基于已创建的从账号,用户获得访问信息系统相关资源的权限。

    4、账号维护

    包括根据密码策略,定期更改口令;从账号定期收集、同步;账号回收等。

    账号集中化管理架构】

    【一般模型】

    账号集中化管理系统架构如图所示。

    账号集中管理系统一般包括三个主要部分:

    1. 账号管理服务器,提供账号管理服务。为了与4A框架下其它模块有机结合,账号管理服务器需要提供适当的对外接口,经过授权的应用可以通过这些接口查询账号管理模块所管理的账号信息。

    2. 集中的账号管理数据库,用于存储内部的所有管理信息,包括所管理的设备、系统,各设备、系统下的所有从账号,从账号与主账号的对应关系等。在账号管理数据库中可以不存储个人信息,而是在需要的时候通过外部数据接口访问企业安全目录,获取个人信息。

    3. 适配层,用于将不同的网络设备、主机系统以及应用系统的账号管理机制通过标准化接口,统一到统一的管理架构中。

    由于主机、网络设备的账号管理与应用系统的账号管理有所不同,因此下面分别进行描述。在选购具体账号管理产品时,要求对主机、网络设备及应用系统账号管理均提供一体化的解决方案。

    主机、网络设备账号管理】

    在对主机、网络设备的账号进行集中管理时,一般的产品将适配层实现为具体的适配器,或称Agent(代理)。通过Agent,可以将不同的管理接口、协议,转换成统一的接口、协议,便于容纳、管理不同的设备、系统,包括:

    1. 将集中账号管理系统发出的账号管理指令,包括账号收集、账号创建、账号删除、密码更改等,转换成主机或设备能够识别的指令,发送给主机或设备。

    2. 将主机、设备返回的不同格式的信息,包括收集到的账号、命令执行结果等,转换成集中账号管理系统规定的统一格式,便于统一展现、管理。

    按照Agent部署方式的不同,对主机、网络设备的集中账号管理可以有两种实现方式:

    1. 内置Agent方式。即将Agent部署到被管理的主机、网络设备中,管理服务器通过标准或自定义的网络传输协议,与Agent通讯,实现具体的管理功能,如图所示。某些设备内置的radius协议,或SNMP,都可以看作是内置Agent的例子。

    2. 外置Agent方式。即将Agent部署在被管理的主机、网络设备之外,通过标准的管理协议、接口,与主机、网络设备进行通讯,实现管理功能,如图5.5所示。对于UNIX系统来说,最常用的管理协议是Telnet、SSH;对于Windows来说,除了Telnet、SSH外,还可以使用Windows自带的管理客户端。很多厂家实现的Agent,就是部署在主机外,通过Telnet与主机通讯,行使管理功能,这就是典型的外置Agent的例子。

    内置Agent方式与外置Agent方式比较

    内置Agent方式外置Agent方式
    优点1. 驻留在系统内部,可以使用系统提供的全部管理功能。

    2. 可以及时发现新账号。

    3. 可以使用自定义传输协议,便于加密。

    1. 不需要在系统内安装如何软件,符合管理员工作习惯。

    2. 部署在被管理系统外部,不会对被管理系统本身的运行效率产生影响。

    缺点1. 如果主机本身不提供,需要在主机内安装新的软件,管理员可能会有疑虑。而且对于固件化的网络设备,也很难安装新的软件。

    2. Agent在主机内运行,可能会对主机本身的运行效率产生影响。

    1. 只能通过被管主机、网络设备的操作系统提供的标准管理接口或协议进行管理,功能受接口或协议的限制。

    2. 通常为了安全起见,管理员会关闭某些不安全的公共管理协议,如Telnet,如果外置Agent基于这些协议,则可能会带来不兼容或安全问题。

    3. 对新账号的发现多通过定时轮询。

    适用范围主要适用于主机适用于主机、网络设备

    应用系统账号集中管理】

    对于应用的集中账号管理,需要分情况来考虑。

    对于按照本文附录二的模式二进行过改造的应用系统,已经将身份认证、权限管理等功能移交给了4A框架,则本身不再保留账号,也不需要进行账号管理,而是由4A框架实现基于角色的集中访问控制,包括:

    1. 通过4A框架创建、撤消用户。

    2. 通过4A框架创建、撤消角色。

    3. 通过4A框架分配角色权限,包括角色能够访问哪些应用,能够在应用中以什么样的方式访问哪些资源。

    4. 通过4A框架给用户分配角色。

    5. 用户登录时,集中身份认证系统可以识别用户的个人身份。

    6. 集中授权系统根据用户的个人身份,确认用户能够扮演的角色、角色的权限,并决定用户是否能够登录所访问的应用。

    7. 用户登录到应用后,应用服务器根据集中授权系统返回的角色权限信息,决定用户在应用内部的权限。

    如果应用还没有按照本文附录二的模式二进行过改造,在应用内部还保持有自己的账号,则4A框架对他们的集中账号管理,主要表现为账号同步:通常应用系统都有自己的数据库,用于存储自己的账号信息,因此集中账号管理系统对应用账号的管理,经常表现为数据库同步,即保持应用数据库与账号集中管理数据库中的账号数据的同步。这时图5.3中的适配层即表现为数据库同步工具。对于通过RDB存储账号信息的应用系统,集中账号系统可以通过类似ETL工具的数据库映射工具同步账号;而对于通过LDAP存储账号信息的数据库,可能需要专门的同步工具。

    这种同步可以有两种触发方式:

    1. 定时触发。即系统根据事先制定的策略,定期对数据库进行同步。

    2. 事件触发。即管理员在需要的时候,或者在管理员进行了某些操作后,自动进行数据库同步。

    具体的集中账号管理系统要求两种方式均支持,便于系统管理员根据需要选择使用。

    如果需要在保留应用系统账号的情况下实现单点登录(SSO,详见本文7.3节),则集中账号管理系统必须与应用系统保持从账号/密码的同步。如果应用数据库中的密码信息为加密存储,或存储的是加密后的摘要信息,则很难从应用数据库中抽取账号密码,在这种方式下,同步通常是单向的:集中账号管理系统根据密码策略,自动更改用户在应用系统中的密码,而不从应用数据库中抽取密码。当然前提条件是应用系统必须开放其密码加密方法,或提供相关的密码写入接口供集中账号管理系统调用,否则无法实现从上至下的密码管理。

    对于使用一次性动态密码进行身份认证的系统,按通常手段同步账号信息也存在困难。这个问题的解决办法是:对应用进行改造,把动态口令系统实现在主账号认证阶段,其它阶段按照普通的账号/密码方式实现,账号/密码传递过程进行数据加密。

    对集中账号管理的要求】

    虽然主机、网络设备的账号管理,与应用系统的账号管理有所不同,但是在呈现给管理员时,账号集中化管理系统应能够提供统一的管理界面,无论所管理的网络设备、服务器、工作站及应用系统为何种平台,都可视为被管理对象,都采用一致的管理方式进行用户管理,这样就可以屏蔽各平台之间的差异性。

    安全管理员应该可以通过方便的图形用户界面或Web浏览器与系统交互,对用户及信息资源进行管理。

    在进行产品采购时,如果主机、网络设备的账号管理,与应用系统的账号管理系统用的不是同一个系统,则需要系统集成商进行开发:

    1. 保证两个系统中用户主账号与企业安全目录中的主账号一致。

    2.提供一个集成的界面,将两个系统的功能集成在一起。这个界面不能通过简单的Portal进行界面堆叠,还必须考虑两个系统之间的数据交流,从而能够在屏蔽系统差异的基础上,为管理员提供统一的资源管理功能、账号管理功能和权限管理功能。

    自我服务系统】

    为了提高管理效率,降低管理成本,集中账号管理系统还需要提供基于web的自我服务功能,供普通用户使用。

    自我服务系统使用户不需要帮助桌面或支持人员的帮助,就能够对自己的基本信息如部门、职务、联系方式、职责等进行管理;能够在用户忘记账号口令时重设口令(如果未实施SSO,则用户可以更改所有从账号口令;如果已经实施SSO,则用户不再需要更改从账号口令,并且只有在SSO采用主账号/密码方式进行身份认证时才有必要让用户更改主账号口令),并且能够提供自动提醒用户修改主账号口令的手段等。自我服务系统使得系统的安全策略得以贯彻,并能显著减轻系统管理人员的维护负担。

    自我服务系统一般通过问答的方式对用户进行身份验证,验证通过后用户就可以对自己的信息,包括在某些系统中的口令进行设置和修改。

    对于采用了SSO的情形,用户一般通过自我服务系统修改自己在SSO服务器中的账号(主账号)信息。但用户在各系统中的账号(从账号),也必须能够由账号集中管理系统按照安全策略或者密码策略,自动进行修改。自动修改后的密码可以通过自我服务系统查询,或通过在自我服务系统中的设置,通过手机短消息等手段通知用户。管理员可以通过这种手段定期备份几个特殊账号的密码,供紧急情况下使用。

    对于没有采取SSO的情形,要求用户完全的自助服务,即用户可以修改自己在各系统中的从账号信息,包括口令及联系方式等个人信息。

    展开全文
  • 网御安全集中管理系统V3.0.7 用户使用手册
  • Steam多账号管理工具是一款可以方便用户管理多个Steam账号的软件,当用户拥有的游戏资源没有集中在一个账号本体上时切换会比较麻烦,此工具基于Steam参数启动原理将用户设置好的账号数据保存在本地,方便一键切换,...
  • 大家安装后需要重启,在域环境下能获取到本机的管理账号密码,密码随机生成。 控制端完整安装,客户端默认安装。
  • 账号管理系统

    2013-04-04 11:19:15
    一个用C#写的一个简单的账号管理系统,初学者还请多多指教。
  • 3. 4A系统管理功能4A系统是统一安全管理平台解决方案,指认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为统一安全管理...4A平台的管理功能包括:集中认证管理集中账号管理、集中权限...

    bfa084f14d7219ee9b614cb415dbb82b.png

    3. 4A系统管理功能

    4A系统是统一安全管理平台解决方案,指认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为 统一安全管理平台解决方案。即将身份认证、授权、审计和账号(即不可否认性及数据完整性)定义为网络安全的四大组成部分,从而确立了身份认证在整个网络安全系统中的地位与作用。

    4A平台的管理功能包括:集中认证管理、集中账号管理、集中权限管理和集中审计管理,具体如下:

    集中认证(authentication)管理:

    可以根据用户应用的实际需要,为用户提供不同强度的认证方式,既可以保持原有的静态口令方式,又可以提供具有双因子认证方式的高强度认证(一次性口令、数字证书、动态口令),而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理,并且能够为用户提供统一的认证门户,实现企业信息资源访问的单点登录。

    集中帐号(account)管理:

    为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。

    集中权限(authorization)管理:

    可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制,也可以实现对数据库、主机及网络设备的操作的权限控制,资源控制类型既包括B/S的URL、C/S的功能模块,也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。

    集中审计(audit)管理:

    将用户所有的操作日志集中记录管理和分析,不仅可以对用户行为进行监控,并且可以通过集中的审计数据进行数据挖掘,以便于事后的安全事故责任的认定。

    4. 4A系统实现的价值

    【管控范围提升】在传统堡垒主机管理主机、数据库等系统资源的基础上增加应用(业务)资源4个A方面管控。

    【管控能力提升】可以为企业提供全局的帐号管理视图,有效控制随意创建帐号、僵尸帐号等带来的安全管理问题,实现基于角色、菜单的细粒度应用资源授权管理使得企业可以清晰地梳理资源与人员间的关系, 及时发现不符合权限的人员、帐号共用等问题,基于业务场景的精确审计分析和预警。

    【数据安全提升】依托4A金库、个人文件夹、零下载功能,从数据的访问获取、传输、使用、销毁各个阶段实现全生命周期的管控,防止数据外泄。

    【使用效率提升】自动化运维和自动口令改密,减少安全运维人员日常重复工作,提升安全运维效率。集中账号、权限、认证、审计管理,解决日常分散管理问题,提升管理效率。“一次登录到处通行”提升使用人员业务操作登录效率。

    【运行保障提升】完善的应急保障措施,4A平台故障自动切换到应急系统,开启应急通道,保障业务的正常使用和运行。

    5. 应用实例

    75758ffdd66f69cab9cc94472a331d46.png

    参考:

    https://wenku.baidu.com/view/228aaca46294dd88d0d26bad.html

    https://www.venustech.com.cn/article/type/1/49.html

    展开全文
  • 业内在用户统一身份认证及授权管理领域,主要关注4个方面:集中账号管理(Account)、集中认证管理(Authentication)、集中授权管理(Authorization)和集中审计管理(Audit),简称4A管理。后来发展了IAM...
  • 天融信新ACM集中管理平台-配置手册天融信新ACM集中管理平台-配置手册天融信新ACM集中管理平台-配置手册天融信新ACM集中管理平台-配置手册
  • 海颐特权账号安全管理系统(HAIYI-PAS)让企业用户可以安全地、自动化地管理企业特权账号,包括各种操作系统平台、数据库系统、各种网络设备的管理密码以及业务系统中间件密码,建立系统化自动化的集中安全管理模式...
  • web后台支持不同账号管理不同环境的配置 支持水平扩展容,负载,部署多个服务器,客户端自动发现 支持用户自定义配置修改某些接口做扩展 支持手动触发引导配置到指定的例程 修改配置可以选择推送的例程,可用于做...
  • 项目是基于SpringBoot2的一整套后端管理平台,提供整套公共微服务服务模块:集中权限管理(单点登录)、内容管理、人事办公。旨在通过实战分享个人经验简洁高效,减少过渡封装,展现技术本质,以技术服务于业务。 ...
  • 银行账户管理系统

    千次阅读 2018-11-13 15:13:46
    System.out.println("*****************欢迎使用GEEK银行账户管理系统*****************"); System.out.println("******************************************************"); System.out.println("\t1.添加用户 ...
  • 账号管理和用户管理

    千次阅读 2020-03-25 13:00:11
    Linux系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。 用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪,...
  • 1、该程序界面和部分控件的引用程序在TelerikCommon.dll、Telerik.WinControls.dll和Telerik.WinControls.UI.dll程序集中,它们是Telerik控件的一部分,请勿任意使用以上程序集,否则后果自负。 2、本程序供学习使用...
  • 银企直连ukey 集中管理方案

    千次阅读 2021-05-18 11:39:07
    随着银行业务自动化和数据集中化的提高,很多企业客户需要柜台办理的业务都转移到在线办理,目前主流的银行都专门为企业客户提供了ukey,以及对应的网络接口,实现在线账务查询,转账等业务。 二、企业使用银行Ukey...
  • 集中账号管理(Account)、集中认证管理(Authentication)、集中授权管理(Authorization)和集中审计管理(Audit), 简称 4A 管理。 后来发展了 IAM(Identity and Access Management,即身份识别与访问管理)的...
  • ●为防止攻击者通过WindowsXP系统中正在运行的Telnet服务登录到用户的计算机,可以对Window 在windows系统运行中远程计算机桌面使用的命令是() 在WindowsServer2003操作系统中,设置域账户属性时()项目不能被设置。...
  • 账户管理和磁盘管理账号管理用户组管理磁盘管理 账号管理 简介 Linux系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。...
  • 员工管理账号管理

    2020-11-18 08:12:02
    员工管理账号管理 员工管理账号管理是B端产品经常遇到的功能模块,同属于账号体系内。 账号体系模块包含的几个必备功能点在此不做解释了,后面会有文章讲述。 这里只说说员工管理账号管理的关键点干货 一、...
  • 关于 NIS 账户集中管理的总结

    千次阅读 2017-03-27 14:00:42
    1. NIS 的架构 2. NIS Client ... NIS Client向Master/Slave 请求登陆者的验证数据。...1.NIS client 若有登入需求时,会先查询其本机的 /etc/passwd, /etc/...2.若在 NIS Client 本机找不到相关的账号
  • openldap集中权限管理

    千次阅读 2019-12-12 11:46:33
    管理过程中在各子系统中需要创建不同的账号,给管理及其他使用人员带来了极大的不便,需要记录各种登录密码。因此在消化总结其他人的知识图谱后,可以使用ldap来打通各子系统的账户体系,如zabbix、jenkins、...
  • 分布式配置集中管理框架Smconf

    千次阅读 2017-07-30 11:30:17
    Smconf专注于分布式环境下配置的统一管理目前只支持java,其他语言如果需要支持可以使用Smconf提供的Rest API目标 提供配置的统一管理 多个环境(生产环境:prod, 线上测试环境:online, 线下测试环境:test, 开发...
  • Android账号管理系统详解

    千次阅读 2017-10-12 09:42:24
    但是这样真的好吗?当服务器数据更新时,当一个应用具有多个账号时候,管理起来很不方便,并且安全性也不...在Android2.0中加入了一个新的包android.accounts,该包功能十分强大,主要包括了集中式的账户管理API,...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 62,836
精华内容 25,134
关键字:

集中账号管理