CN1313950C - 域用户集中授权管理系统及其方法 - Google Patents
域用户集中授权管理系统及其方法 Download PDFInfo
- Publication number
- CN1313950C CN1313950C CNB01132340XA CN01132340A CN1313950C CN 1313950 C CN1313950 C CN 1313950C CN B01132340X A CNB01132340X A CN B01132340XA CN 01132340 A CN01132340 A CN 01132340A CN 1313950 C CN1313950 C CN 1313950C
- Authority
- CN
- China
- Prior art keywords
- user
- main domain
- territory
- management
- domain server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
一种域用户集中授权管理系统及其方法,该系统包括多台主域服务器和多台客户端主机,每台主域服务器分别与该多台客户端主机连接,特点是,还设有一管理控制台,分别与该多台主域服务器连接,和一安全数据库,分别与该多台客户端主机连接;该多台主域服务器上分别安装相应的域管理代理软件,通过该管理控制台对这些主域服务器进行集中授权和管理。该方法是在该管理控制台上添加用户基本信息,并同步传输到安全数据库和主域服务器的域管理代理系统中,利用用户数据处理模块和通讯模块进行处理,将处理完的用户信息传送到主域服务器的域用户管理器中,用户得到集中授权,从而实现对这些主域服务器的集中授权和管理。
Description
技术领域
本发明涉及身份认证、授权与网络安全的系统和方法,尤其涉及对域用户集中授权管理的系统和方法。
背景技术
在一个网络集成系统中,对于用户的管理和授权的重要性往往是居于第一位的。如果用户的管理和授权有问题,整个网络将是不安全的,通常会被黑客们突破安全系统中的第一道关卡,发现其他更多的漏洞,导致无法挽回的损失。在比较大的网络集成系统中,通常存在多种类型的机器和操作系统,例如Windows 95/98、Windows NT Server、Windows2000 Server等。同时也会存在多个主域服务器。这时,系统管理员需要管理两个以上的主域服务器以及两个以上的操作系统的用户和组,增加了系统维护费用。随着企业全球化加快,其分支机构地理跨度很大,如何管理这些主域服务器是系统管理员关心的问题。
对于域用户管理,绝大多数的操作人员使用的是Windows的域用户管理器,不少系统管理人员感到在使用的时候非常不方便。虽然微软公司正着力在Windows的较高版本中改进域用户管理器,至少目前,我们仍然没有一个很理想的管理工具。虽然Windows域用户管理器提供了非常友好的界面来帮助操作人员实施用户管理,但其实际效果并不尽人意。如果不能对网络中的用户实施有效的管理,将会给企业造成巨大的浪费。系统管理员迫切需要一种集中的管理模式。
传统域用户管理方法如图1所示,如果让其中一台计算机集中管理所有账号,其它计算机依靠它来保证账号安全,这种基于服务器的网络在Windows NT中称为域(Domain),集中管理账户的计算机称为主域控制器(Primary Domain Controller,PDC),域中还可以设置备份域控制器(Backup Domain Controller,BDC)。只有安装了Windows NT Server的计算机才能担当。若是网络设计成域模型,则必须有且只能有一个主域控制器,而且PDC必须首先安装。BDC则不是网络中必须的。
在传统的方案中,管理员很难同时管理多个主域服务器,无法统一对各个普通用户集中授权。各个主域服务器时间可能有所差异,无法同步。由于一个用户可能拥有多个用户帐号,用户可能采用相同的登录口令或强度较低的口令。
发明内容
本发明主要是解决当前Windows主域服务器域用户管理中存在的技术问题,为此,本发明的目的在于提供一种域用户集中授权管理系统,以及使用所提供的系统而提供一种域用户集中授权管理方法,用以实现当前Windows域用户管理技术无法实现的功能,使系统中所有主域服务器中的域用户由域用户管理中心控制台统一控制,极大地增强了域用户管理的有效性和便利性。
根据本发明的一种域用户集中授权管理系统,包括至少个数为2的多台主域服务器和至少个数为2的多台客户端主机,所述多台主域服务器中的每台主域服务器分别与该多台客户端主机连接,其特征在于,还包括相互连接的一个管理控制台和一个安全数据库,该管理控制台分别与该多台主域服务器连接,该安全数据库则分别与该多台客户端主机连接,所述安全数据库中存放使用本系统的用户、用户组的基本资料,所述多台主域服务器分别安装相应的域管理代理软件,通过所述管理控制台同步得到主域服务器上的用户和用户组信息,并将管理控制台上添加的用户基本信息同步传送至所述安全数据库和所述主域服务器,实现用户、用户组全局同步,从而对多台主域服务器的用户进行集中授权和管理。
本发明还包括一种集中授权管理方法,包括如下步骤:
a.在多台主域服务器分别安装域管理代理软件;
b.在所述多台主域服务器上再添加各个用户和用户组;
c.在管理控制台上添加所述主域服务器上的用户和用户组信息;
d.在所述管理控制台上添加用户基本信息;
e.将所述用户基本信息存放到安全数据库中;
f.所述管理控制台同步将用户基本信息传输到一个主域服务器,与主域服务器的域管理代理软件进行socket通讯;
g.所述主域服务器的域管理代理软件通过包括在所述域管理代理软件中的用户数据处理模块处理用户基本信息;
h.所述主域服务器根据经过处理的用户基本信息使用户得到授权。所述用户基本信息包括各个应用的用户名、用户口令以及应用所涉及的主域服务器,所添加的用户可以在不同的主域服务器及用户组上有帐号;
本发明在不改变网络物理结构,不加重网络负担,不加重邮件服务器负担的情况下实现了用户身份认证及授权。系统安全认证解决方案,保证了与用户应用程序的无关性,大大降低程序的移植成本。并且改变了以往只能对单个主域服务器管理并且只能在本机上进行管理的局面,可以对多个主域服务器进行管理,对一个比较大的网络集成系统中用户信息的集中控制。在这种方法之上,本发明在一个管理控制台上对多个主域服务器中的用户组、用户集中管理,统一授权。对于一个稳定的系统,成功的实现了各个主域服务器时间上的同步。同时,为用户分配高强度的用户口令,不易被黑客通过字典攻击的方法进行口令攻击。如果系统中某个主域服务器出现问题,仍然可以实施有效的认证与授权。
附图说明
图1是传统的域用户授权管理系统的结构示意图。
图2是本发明的域用户授权管理系统的结构示意图。
图3是本发明中的域管理代理软件的基本处理流程图。
具体实施方式
下面结合附图和实施例来进一步说明本发明。
如图2所示,本发明人设计了一个域用户授权管理系统,域管理同步技术应用在一个身份认证系统中,网络环境是百兆以太网,硬件设备包括HP服务器或其它服务器、百兆以太网卡,运行平台是中文Windows NT Server4.0+Service Pack6。
该系统包括一个安全管理中心中的管理控制台14和一个安全数据库13、十几个主域服务器11、几百台客户端主机12。客户端主机12分别与各个主域服务器11连接,安全数据库13与管理控制台14连接。在安全管理中心的管理控制台14上安装管理控制软件,在各个主域服务器11上安装域管理代理软件,在各个客户端主机12安装客户端软件。在本系统中用户基本信息将通过安全管理中心存放在IC卡中。
用户得到授权的过程为,在管理控制台14上添加各个安装好了域管理代理软件的主域服务器11,这样管理控制台14就可以管理控制这些主域上的用户组和用户;在管理控制台14输入用户基本信息;将用户基本信息存放到安全数据库13中;将用户基本信息传输到主域服务器11,与主域服务器11的域管理代理软件进行Socket通讯;主域服务器11的域管理代理软件通过用户数据处理模块处理用户基本信息,将这些信息输入到主域服务器11操作系统本身的域用户管理器中,这样用户就得到了操作系统的授权。
域管理代理软件具有两个模块,即用户数据处理模块和Socket通讯模块,其处理流程如图3所示,由于采用Windows NT服务程序模式,当系统启动后由Windows NT服务控制程序(Service controller)启动用户管理服务。用户管理服务启动一个用户数据处理部分的主线程,并调用socket初始化函数,登记主线程(MainProcThread)的入口函数(MainProcThread.ThreadMain)地址。socket初始化程序调用主线程(MainProcThread)的入口函数(MainProcThread.ThreadMain),获得一个对应于端口的消息处理函数入口(MainProcThread.Dispatch),启动一个socket主线程(SocketMainThread),完成Socket的初始化,并绑定监听端口。
当有连接到来时,socket主线程(SocketMainThread)调用用户数据处理主线程的消息处理函数(MainProcThread.Dispatch),要求建立该连接的数据处理子线程(NetDataProcess);用户数据处理主线程的消息处理函数(MainProcThread.Dispatch)根据收到的消息建立数据处理子线程(NetDataProcess),并返回针对该连接的数据处理函数入口(NetDataProcess.DataProcess)。socket创建一个对应于连接的子线程(SocketConnectThread),接收数据,查询数据处理子线程(NetDataProcess)的状态(通过MainProcThread.Dispatch)并调用数据处理函数(NetDataProcess.DataProcess),发送数据,循环直至连接结束。
上述过程是由系统自动完成的,系统的组件功能如下:安全管理中心的控制台是一个在Windows 95/98、Windows NT、Windows2000上运行的应用程序,其实现了集成的管理界面,管理员通过安全管理中心管理多个主域服务器,并通过这个管理界面,对用户、用户组、域、用户与用户组的关系及用户在各个主域服务器上的授权进行统一的管理。客户端主机登录主域服务器之前需访问所述安全数据库,从所述安全数据库中得到授权用户的基本信息,所述客户端主机根据从所述安全数据库中得到的用户基本信息发出向所述主域服务器的登录。安全数据库存放用户数据、用户组数据、域数据及三者相互关系的关系数据。各个主域服务器上安装有域管理代理软件,域管理代理软件和各个主域服务器相结合,实现集中统一的用户、用户组管理。
Claims (5)
1、一种域用户集中授权管理系统,包括至少个数为2的多台主域服务器和至少个数为2的多台客户端主机,所述多台主域服务器中的每台主域服务器分别与该多台客户端主机连接,其特征在于,还包括相互连接的一个管理控制台和一个安全数据库,该管理控制台分别与该多台主域服务器连接,该安全数据库则分别与该多台客户端主机连接,所述安全数据库中存放使用本系统的用户、用户组的基本资料,所述多台主域服务器分别安装相应的域管理代理软件,通过所述管理控制台同步得到主域服务器上的用户和用户组信息,并将管理控制台上添加的用户基本信息同步传送至所述安全数据库和所述主域服务器,实现用户、用户组全局同步,从而对多台主域服务器的用户进行集中授权和管理。
2、如权利要求1所述的域用户集中授权管理系统,其特征在于,所述域管理代理软件包括一个用户数据处理模块和一个Socket通讯模块,所述用户数据处理模块用于对用户信息进行处理使得用户得到授权,所述Socket通讯模块用于主域服务器与管理控制台之间进行通讯。
3、如权利要求1所述的域用户集中授权管理系统,其特征在于,所述管理控制台是一个在Windows系列上运行的应用程序的统一管理界面,通过所述的管理界面对用户、用户组、域、用户与用户组的关系以及用户在各个主域服务器上的授权进行统一管理。
4、一种域用户集中授权管理方法,包括如下步骤:
a.在多台主域服务器分别安装域管理代理软件;
b.在所述多台主域服务器上添加各个用户和用户组;
c.在管理控制台上添加所述主域服务器上的用户和用户组信息;
d.在所述管理控制台上添加用户基本信息;
e.将所述用户基本信息同步存放到安全数据库中;
f.所述管理控制台同步将用户基本信息传输到一个主域服务器,与主域服务器的域管理代理软件进行socket通讯;
g.所述主域服务器的域管理代理软件通过包括在所述域管理代理软件中的用户数据处理模块处理用户基本信息;
h.所述主域服务器根据经过处理的用户基本信息对用户授权。
5、如权利要求4所述的域用户集中授权管理的方法,其特征在于,步骤d中,所述用户基本信息包括各个应用的用户名、用户口令以及应用所涉及的主域服务器,所添加的用户可以在不同的主域服务器及用户组上有帐号。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB01132340XA CN1313950C (zh) | 2001-11-29 | 2001-11-29 | 域用户集中授权管理系统及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB01132340XA CN1313950C (zh) | 2001-11-29 | 2001-11-29 | 域用户集中授权管理系统及其方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1352429A CN1352429A (zh) | 2002-06-05 |
CN1313950C true CN1313950C (zh) | 2007-05-02 |
Family
ID=4671372
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB01132340XA Expired - Fee Related CN1313950C (zh) | 2001-11-29 | 2001-11-29 | 域用户集中授权管理系统及其方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1313950C (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100432993C (zh) * | 2002-11-06 | 2008-11-12 | 甲骨文国际公司 | 成比例地存取任意大文档中的数据 |
JP4574335B2 (ja) * | 2004-11-19 | 2010-11-04 | 株式会社日立製作所 | セキュリティシステム、認証サーバ、認証方法、およびプログラム |
CN100461690C (zh) * | 2005-07-21 | 2009-02-11 | 华为技术有限公司 | 通用网管安全管理系统及其方法 |
CN1913431A (zh) * | 2006-08-24 | 2007-02-14 | 华为技术有限公司 | 管理网络设备的用户口令的方法、系统及口令管理服务器 |
CN1917515B (zh) * | 2006-09-04 | 2010-05-12 | 华为技术有限公司 | 多业务进程管理系统及管理方法 |
CN101163066B (zh) * | 2006-12-19 | 2011-05-11 | 冲浪平台(北京)网络技术有限公司 | 分布式电子邮件系统 |
CN101282233B (zh) * | 2007-04-02 | 2010-10-27 | 华为技术有限公司 | 网元管理安全系统及方法 |
CN101917300B (zh) * | 2007-05-16 | 2012-07-04 | 华为技术有限公司 | 一种控制多设备的授权方法、通信设备和服务器 |
CN101796523A (zh) * | 2007-09-26 | 2010-08-04 | 朗讯科技公司 | 用于集中式系统最小化和强化管理的体系结构和方法 |
CN101996081B (zh) * | 2009-08-20 | 2013-09-04 | 精品科技股份有限公司 | 在客户端电脑安装软件的方法 |
CN102307097A (zh) * | 2011-09-02 | 2012-01-04 | 深圳中兴网信科技有限公司 | 一种用户身份认证方法及系统 |
CN104239814B (zh) * | 2014-09-17 | 2017-10-20 | 上海斐讯数据通信技术有限公司 | 一种移动办公安全方法及系统 |
CN105591775B (zh) * | 2014-10-23 | 2019-10-25 | 华为技术有限公司 | 一种网络的操作管理维护oam方法、装置和系统 |
CN104765991A (zh) * | 2015-03-17 | 2015-07-08 | 成都智慧之芯科技有限公司 | 集中控制系统中设备授权管理方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000099424A (ja) * | 1997-08-12 | 2000-04-07 | Lucent Technol Inc | 通信網において網要素を制御する方法 |
EP1035462A1 (en) * | 1999-03-08 | 2000-09-13 | Software Ag | Method for checking user access |
-
2001
- 2001-11-29 CN CNB01132340XA patent/CN1313950C/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000099424A (ja) * | 1997-08-12 | 2000-04-07 | Lucent Technol Inc | 通信網において網要素を制御する方法 |
EP1035462A1 (en) * | 1999-03-08 | 2000-09-13 | Software Ag | Method for checking user access |
Also Published As
Publication number | Publication date |
---|---|
CN1352429A (zh) | 2002-06-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1313950C (zh) | 域用户集中授权管理系统及其方法 | |
US7761551B2 (en) | System and method for secure remote access | |
US6928547B2 (en) | System and method for authenticating users in a computer network | |
CN100461690C (zh) | 通用网管安全管理系统及其方法 | |
CN101821992B (zh) | 实施网络装置供应策略的系统和方法 | |
US6529938B1 (en) | Method, system, and program for executing operations on a client in a network environment | |
EP0689326A2 (en) | Method of operating a computer network | |
US20050080897A1 (en) | Remote management utility | |
CN101488857B (zh) | 认证服务虚拟化 | |
EP1141828A1 (en) | An apparatus and method for determining a program neighborhood for a client node in a client-server network | |
EP0977399A3 (en) | Authentication and access control in a management console program for managing services in a computer network | |
CN1741104A (zh) | 异地授权系统及方法 | |
CN109714348A (zh) | 基于区块链实现的权限处理方法、装置、设备和介质 | |
EP2250598A2 (de) | Client/server-system zur kommunikation gemäss dem standardprotokoll opc ua und mit single sign-on mechanismen zur authentifizierung sowie verfahren zur durchführung von single sign-on in einem solchen system | |
CN104754582A (zh) | 维护byod安全的客户端及方法 | |
US20090260066A1 (en) | Single Sign-On To Administer Target Systems with Disparate Security Models | |
CN103188332B (zh) | 一种远程桌面访问控制管理方法、设备及系统 | |
CN106534082A (zh) | 一种用户注册方法和装置 | |
CN101090336A (zh) | 一种网络设备的命令行接口权限分级方法 | |
CN113296959A (zh) | 基于aop功能组件的服务处理方法、装置及计算机设备 | |
CN108447163A (zh) | 一种家校通云控制门禁系统及其控制方法 | |
DE602004013254T2 (de) | Verfahren und System zur Generierung von Authentifizierungsstapeln in Kommunikationsnetzen | |
CN1417972A (zh) | 利用终端管理传输网的方法 | |
CN105005716B (zh) | 一种应用程序远程交付系统及远程交付方法 | |
CN106411674B (zh) | 一种接入dhcp代理的eoc网络系统及其工作方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C06 | Publication | ||
PB01 | Publication | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070502 Termination date: 20131129 |