Chinaunix首页 | 论坛 | 博客
  • 博客访问: 694883
  • 博文数量: 85
  • 博客积分: 1797
  • 博客等级: 上尉
  • 技术积分: 1238
  • 用 户 组: 普通用户
  • 注册时间: 2007-12-02 08:53
个人简介

职位:技术总监 1、精通c++(linux平台、vc++Mfc、qt)、java、php、unity3d,略懂python 2、用c++开发过嵌入式产品,用c++开发过大型银行运维产品 3、用java开发大型银行运维产品,学校教务系统 4、用php开发进销存系统(在销售中),用php开发淘宝小程序 5、用unity3d开发衣柜设计软件,在运营中

文章分类

全部博文(85)

分类: 网络与安全

2016-06-29 16:39:23

    前段时间,签了一个客户。客户原先是用ldap做统一认证,到现在觉得ldap的静态密码不安全,然后找到我们,我们给他们定制开发了一套,兼容他们原先的ldap服务器,又能兼容我们动态口令服务器的系统,完美解决他们的问题。

   随着局域网中主机的增多,以及人员的增多,原先的如windows登陆密码存储在本机的方式已经不利于管理。刚开始微软出了域控服务器,能做统一登陆,能设置一些策略。很多企业开始用域登陆方式统一管理用户。也有些用户选择了ldap服务器认证。随着安全行业的不断发展,静态密码的弊端越来越明显,很容易被盗用,然后出来动态密码。动态密码作为统一认证平台,非常方便。适用与各种系统以及业务。
    
   我们目前开发的动态口令适用目前所有的系统。
       1、网页。大家熟悉的网页登陆就不用说了,网页登陆要么是网页服务器集成了动态口令算法,要么是适用radius转到动态口令服务器认证。
       2、windows系统,windows系统是通过windows提供的认证插件gina技术改造的。改造后转到动态服务器认证。
       3、linux、unix系统。linux、unix系统的动态口令认证只适用于ssh、sftp和telnet协议,是通过linux、unix系统的认证插件实现。ftp由于ftp自身协议的问题,没有很好的支持linux、unix系统认证插件技术。不过ftp本身不加密,不安全。所以可以完全可以用sftp替代ftp。
       4、windows域登陆。这是对使用windows域控统一认证改造,从而支持动态口令认证。

   动态口令服务器支持两块以及三块令牌的认证,有些重要账号需要几个人的动态口令才能登陆。
  
   动态口令是对登陆的统一管理,另外随着主机大量增加,对主机的管理又出现了麻烦,所以又出现了资源管理系统,或者堡垒机,或者4A系统。当然这些除了主机管理还有其他功能如运维审计。先不说这个,只说对主机资源的管理。主机资源的统一管理,跟动态口令统一登陆结合是种很好的方式。但如何结合是个大问题。很多厂商的堡垒机或者4A系统,采用的都是在堡垒机或4A登陆时使用动态口令,这种方式是不安全的。主机(或路由器)的密码依然是静态口令,容易被盗。各大银行以及移动联通公司都明文规定主机的密码要一两个月修改一次,就是这个原因,主机(路由器)上使用动态口令登陆即可解决这问题。所以资源统一管理跟登陆统一管理的最好方式,是在主机(或连路由器)登陆时使用动态口令。堡垒机或4A登陆时可以使用动态口令也可以使用静态,重要权限账号必须使用动态口令即可。

   关于统一认证登陆、统一资源管理的话题就说这些吧。有需要技术咨询的或者我们产品咨询的可以加我qq:284904987
阅读(5323) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~