CN107925877B - 用于集中式配置和认证的系统和方法 - Google Patents
用于集中式配置和认证的系统和方法 Download PDFInfo
- Publication number
- CN107925877B CN107925877B CN201680035680.8A CN201680035680A CN107925877B CN 107925877 B CN107925877 B CN 107925877B CN 201680035680 A CN201680035680 A CN 201680035680A CN 107925877 B CN107925877 B CN 107925877B
- Authority
- CN
- China
- Prior art keywords
- user
- given user
- request
- response
- given
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种用于高效地获取给定设备的用户配置信息的系统和方法。多个设备被部署在环境中并且可为存储装置。目录服务和认证服务可用于确定所部署的设备上的登录会话尝试是否成功。身份和访问管理器(IAM)用于该确定并用于与目录服务和认证服务进行通信。所部署的设备中的一个或多个所部署的设备中的设备不存储用户配置信息。响应于由用户进行的尝试登录,该设备模拟用户的存在并生成对被传送至外部设备的针对用户的目录查找和认证的请求。如果响应于该请求而接收到肯定响应,则该用户被允许登录到该设备并针对用户来创建会话。
Description
技术领域
本发明涉及安全网络通信领域,并且更具体地涉及计算设备的认证信息和配置信息。
背景技术
随着计算机存储器存储和数据带宽增加,商业和行业日常管理的数据量和复杂性也随之增加。随着数据量增长,能够创建、捕获、存储、分发、保护和消费信息的数据管理操作逐渐复杂。另外,数据管理操作诸如在企业信息管理中所使用的操作提供合规性。合规性确保文件和报告中所包含的数据的准确性和完整性、以及整个企业的数据的一致性。整个企业部署不同类型的存储设备,以提供这些操作。该存储设备可用于在数据中心、远程或分支机构、以及虚拟环境中。
企业和小型商业环境可部署多个存储设备,以提供上述数据管理操作。在一些示例中,该存储设备为存储装置。另外,该环境可部署多个计算设备,诸如台式计算机、膝上型计算机、和服务器。此类环境通常支持可在本地和/或远程登录一个或多个设备的多个用户。这些用户中的每个用户通常具有包括特权、许可和角色的配置信息。在许多情况下,该用户配置信息对于多个设备上的给定用户为一致的。在大多数情况下,系统管理员手动配置并维护每个对应设备上的用户配置信息。此外,对用户配置信息的任何更新要求系统管理员在对应设备中的每个对应设备上手动复制相同的更新。
企业环境通常利用用户目录服务来管理设备上的授权用户的身份。用户目录服务还可管理一些或全部用户的配置信息。为了使设备使用目录服务,系统管理员必须分别配置企业环境中的多个设备中的每个设备。因此,对用户目录服务的任何更新诸如对用户目录服务器属性的更新可能要求系统管理员在对应设备中的每个对应设备上手动复制相同的更新。在多个设备上执行手动更新可能非常繁琐、耗时并且由于所需时间较长而极少执行,并且在整个企业或小型商业环境中提供不一致的用户目录服务配置信息和/或用户配置信息。
鉴于以上情况,需要用于高效地获取给定设备的用户配置信息的改进的系统和方法。
发明内容
设想用于高效地获取给定设备的用户配置信息的改进的系统和方法。在各种实施方案中,多个设备被部署在环境诸如小型商业环境、大型企业环境等中。在一些实施方案中,该设备可为存储装置。在各种实施方案中,该存储装置可被用作工作存储系统或备份存储系统。该环境可包括目录服务和认证服务。在一些实施方案中,目录服务和认证服务中的每一者位于单独的对应服务器上。
设备之间以及服务器和设备之间的连接可包括无线连接、直接局域网 (LAN)连接、广域网(WAN)连接诸如互联网、路由器、传输控制协议/互联网协议(TCP/IP)硬件和/或软件等。一个或多个服务器和所部署的设备可位于本地,位于其他远程站点或分支机构,或通过基于云端的网络来访问。
设想其中所部署的设备中的一个或多个所部署的设备不存储用户配置信息诸如用户角色信息、用户许可和特权信息、以及其他用户配置信息的实施方案。另外,所部署的设备中的一个或多个部署设备不存储用于与目录服务和认证服务中的一者或多者进行通信的针对通信协议的配置信息。身份和访问管理器(IAM)用于在给定用户请求给定设备上的登录会话时处理对验证给定设备的给定用户的请求。IAM可位于其中一个所部署的设备上、位于托管目录服务或认证服务中的一者的同一服务器上、或者位于单独的服务器或其他计算设备上。另选地,IAM可为基于云端的应用程序。
在各种实施方案中,IAM可使用通信协议诸如轻量目录访问协议 (LDAP)来与目录服务和认证服务中的一者或多者进行通信。指示登录会话尝试是否成功以及是否包括用于成功确定的用户配置信息的响应从IAM被发送至对应部署设备。
参考以下描述和附图将理解这些和其他实施方案。
附图说明
图1为示出了设备授权访问的一个实施方案的一般化框图。
图2为示出了设备授权访问的另一个实施方案的一般化框图。
图3为示出了用于在设备上针对用户创建登录会话的方法的一个实施方案的流程图。
图4为示出了用于所部署的设备的网络中的登录请求和响应步骤的方法的一个实施方案的流程图。
图5为示出了设备部署的一个实施方案的一般化框图。
图6为示出了设备部署的另一个实施方案的一般化框图。
图7为示出了设备部署的又一个实施方案的一般化框图。
尽管本发明易受各种修改形式和替代形式的影响,但是具体实施方案以举例的方式在附图中被示出并且将在本文中详细描述。但应当理解,附图以及对其进行的详细描述并不旨在将本发明限制为所公开的特定形式,恰恰相反,其目的在于涵盖落入由所附的权利要求所限定的本发明的实质和范围内的所有修改形式、等同形式和替代形式。
具体实施方式
在以下描述中,阐述了许多具体细节,以提供对本发明的彻底理解。但本领域的普通技术人员应当认识到,可在没有这些具体细节的情况下实施本发明。在一些情况下,未详细示出熟知的电路、结构、信号、计算机程序指令、以及技术,以避免模糊本发明。
参照图1,其示出了设备授权访问100的一个实施方案的一般化框图。在所示的实施方案中,单个设备110被连接到服务器150和160。然而,在各种其他实施方案中,多个设备连接到服务器150和160并连接到一个或多个其他设备。为了便于说明,未示出其他多个设备。如图所示,服务器150包括也可被称为目录服务152的用户目录服务152。服务器160 包括也可被称为认证服务162的用户认证服务162。在一些实施方案中,目录服务152和认证服务162中的每一者在相同的服务器上执行。服务器150 和160中的一个或多个服务器可为本地服务器。另选地,服务器150和160 中的一个或多个服务器可为远程服务器。在其他实施方案中,目录服务152 和认证服务162中的一者或多者为基于云端的应用程序。
在一些实施方案中,设备110为一种类型的存储装置,诸如磁盘存储装置、备份服务器、附网存储(NAS)设备、存储区域网络(SAN)设备等。在其他实施方案中,该设备110为专用备份装置(PBBA)。PBBA也可被称为存储装置。通常,存储装置为基于与软件一起销售的通用的和认证的服务器硬件的服务器,其中硬件和软件由单个供应商提供。存储装置可能包括服务器、数据存储装置、操作系统、备份软件、和去重软件。存储装置的一体化方法可能导致相对较快的安装(部署)时间。存储装置可提供存储,使得能够在另一个设备或另一个存储介质上进行存储,和/或者为物理系统和虚拟系统两者提供去重。
存储装置通常提供具有在4兆兆位(TB)到500TB之间的容量的数据存储。因此,存储装置可取代基于磁带的备份和恢复处理。在其他环境诸如企业环境和大型机环境中,存储装置可能与基于磁带的系统一起被部署。存储装置可用于基于云端的存储或前提存储。
与服务器150和160的连接可包括各种技术,包括无线连接、直接局域网(LAN)连接、广域网(WAN)连接诸如互联网、路由器和其他技术。与服务器150和160的连接还可包括远程直接存储器访问(RDMA)硬件和/或软件、传输控制协议/互联网协议(TCP/IP)硬件和/或软件、路由器、中继器、交换机、网格、和/或其他设备。如前所述,设备110和服务器150和160 中的每一者可位于现场或者可为基于云端的。
设备110包括多个软件部件,诸如至少一个操作系统(OS)120、web服务130、shell进程132、可插拔认证模块(PAM)140、名称服务切换(NSS)模块142、和目录协议配置文件144。在另选的实施方案中,该模块对应于自定义设计的电路,以执行本文所述的功能。另选地,该模块可对应于硬件和软件的组合。所有此类实施方案为可能的并且可被设想到。在各种实施方案中,NSS模块142和PAM 140被具体配置为与目录服务152一起使用。因此,模块PAM 140和NSS模块142中的每一者必须具有目录服务 152的一些知识(例如,位置、协议等)。OS 120可代表多种特定操作系统中的任一种特定操作系统中,诸如例如Symantec装置操作系统、Linux、或Sun Solaris。这样,操作系统可操作以提供可用于支持执行各种程序的软件框架,该各种程序诸如去重、自动备份、恢复、和针对授权用户(诸如系统管理员)的shell会话或基于web的浏览器会话创建。
Shell进程132提供用于访问OS 120的服务的安全shell(SSH)用户界面。Shell进程132向OS 120的服务和设备110上的其他软件应用程序提供命令行界面(CLI)。当用户打开安全shell(SSH)会话并以授权用户成功登录时,向用户提供经认证的shell会话172。会话172可为在设备110上以批处理作业形式提供按照固定顺序重复执行多个任务的方式的CLI。当批处理作业利用条件代码时,脚本可与语言Java、Perl、Python等一起使用。 CLI命令可由用户以交互方式输入或以文件传送至CLI。可在现场在具有设备110的本地监视器上提供经认证的shell会话172。另选地,当用户远程登录到设备110时,可在异地的远程监视器上提供经认证的shell会话 172。
Web服务130可为可用的互联网万维网浏览器中的任一者,诸如 Firefox,Internet Explorer,Google Chrome、和Safari。Web服务130可用于向OS 120的服务和设备110上的其他软件应用程序提供图形用户界面 (GUI)。当用户打开特定网页并以授权用户成功登录时,向用户提供经认证的浏览器会话170。可在现场在具有设备110的本地监视器上提供经认证的浏览器会话170。另选地,当用户远程登录到设备110时,可在异地远程监视器上提供经认证的浏览器会话170。GUI认证的浏览器会话170可为用户提供易于使用的界面。如本领域技术人员所熟知的,GUI认证的浏览器会话170可能缺乏对高效自动化操作序列诸如发送批处理作业的足够支持。
如图所示,目录服务152在服务器150上执行。目录服务152允许在整个给定网络或给定工作环境中共享关于用户、系统、网络、服务和应用程序的信息。目录服务152可确定工作环境中的给定用户的存在。例如,当用户尝试登录到设备110时,可向目录服务152发送用于验证与给定用户相关联的用户名或其他标识符的请求。目录服务152验证所提供的标识符是否识别设备110的有效用户并向设备110发送对应的回复。
另外,目录服务152可将用户角色信息提供至设备110。用户角色信息可包括用户角色诸如系统管理员或普通用户;以及针对该用户的特权和许可。目录服务152可在验证设备110的用户的存在的期间提供用户角色信息。另选地,目录服务152可稍后诸如在用户已被认证服务162认证之后的第二请求期间提供用户角色信息。目录服务152的示例包括Microsoft 活动目录、Linux网络信息服务(NIS)、Apache目录等。
如图所示,认证服务162在服务器160上执行。在其他实施方案中,认证服务在具有目录服务152的服务器150上执行。在其他实施方案中,认证服务162与目录服务152集成在一起。认证服务162确定在尝试登录设备110期间由给定用户提供的凭据诸如密码是否与给定用户的所存储的授权密码匹配。
在一些实施方案中,当验证设备110上的给定用户的存在之后,从设备110向认证服务162发送请求以认证给定用户。对认证服务162的请求可包括在设备110的登录请求期间由给定用户提供的密码的加密版本。设备110可使用安全套接字层(SSL)来向认证服务162发送该请求。在一些实施方案中,针对在来自认证服务162的响应中指示的给定用户的授权访问的成功验证允许设备110检索该给定用户的用户角色信息并针对该给定用户来创建会话。用于实现认证服务162的一些服务器端Web应用程序框架包括Microsoft ASP.NET、Kerberos认证服务、SafeNet认证服务等。另外,框架Spring Security可用于在企业应用程序诸如认证服务162中提供特征部。
目录服务152和认证服务162中的每一者可遵循用于通过互联网协议 (IP)网络来访问和维护分布式目录信息服务的应用程序协议。但是,应用程序协议并未指定目录服务如何工作。此类协议的一个示例为基于客户端-服务器模型的轻量目录访问协议(LDAP)。用于应用程序协议的应用编程接口 (API)诸如LDAP可简化目录服务应用程序的创建。
为了使设备110使用目录服务152和认证服务162中的每一者,设备 110和服务器150和160中的每个服务器均被配置为使用应用程序协议诸如 LDAP。与应用程序协议对应的库可被安装在服务器150和160上。SSL和传输层安全(TLS)的一者或多者可被设置,以用于加密与服务器150和160 的通信。目录协议配置文件144为用于限定被安装在服务器150和160上的库的通信协议的配置文件。另外,文件144限定服务器150和160的位置、验证用户要联系的服务器的优先级、以及至少与服务器150和160的通信协议。在LDAP示例中,文件144为ldap.config文件。
在各种实施方案中,名称服务切换(NSS)模块142被配置为启用服务,以访问一个或多个服务器上的数据(例如,数据库)。NSS模块142可将服务和对应的数据库组织成组或模块。例如,这些组可包括邮件别名、网络协议、主机名、以太网号、用户名、用户组名等。对于每个组,NSS模块142可包括可根据优先级列出的一个或多个对应数据库。配置文件诸如nsswitch.conf文件可用于针对每个数据库来提供查找进程。例如,响应于给定用户请求登录到设备110,NSS模块142的配置文件可指示目录服务152 位于服务器150上。在一些实施方案中,NSS模块142被包括在OS 120 中。
NSS模块142可在来自给定用户的登录请求期间从shell进程132或 web服务130接收用户名。NSS模块142可诸如通过访问NSS模块142的配置文件来确定访问目录服务152,并进一步确定服务器150托管目录服务 152。因此,用于针对设备110来确定给定用户是否存在的请求被发送至服务器150上的目录服务152。该请求至少包括由给定用户提供的用户名。在针对设备110确定给定用户是否存在之后,目录服务152向设备110发送响应。响应于接收到用于指示作为设备110的用户的给定用户存在的指示,可通知可插拔认证模块(PAM)140确定登录请求是否被授权。
PAM 140提供用于建立或验证给定用户具有其声称的身份的方式。 PAM 140包括库,该库为包括用于认证相关服务的模块库的一般化API。 PAM 140允许系统管理员通过安装新库来添加新的认证方法。配置文件诸如pam.conf文件确定要选择哪些认证服务。
当PAM 140接收到用于指示请求登录到设备110的给定用户针对设备 110存在的指示时,PAM 140诸如通过访问PAM140的配置文件来确定访问认证服务162,并且进一步确定服务器160托管认证服务162。因此,用于确定给定用户是否被认证用于设备110的请求被发送至服务器160 上的认证服务162。该请求包括至少由给定用户提供的密码的加密版本。认证服务162在确定给定用户是否为设备110的认证用户之后向设备110发送响应。响应于接收到用于指示给定用户针对设备110已被授权的指示,设备110可使用所存储的用户角色信息来为给定用户创建登录会话。
如前所述,示出了单个设备110,但是多个设备可使用目录服务152 和认证服务162。例如,可部署并配置数百个设备,以使用目录服务152和认证服务162。对数百个设备中的每个设备上的目录协议配置文件144的更新可由系统管理员手动添加和维护。另外,给定用户的用户角色、特权和许可可在数百个设备上复制。在数百个设备中的适当设备上方手动更新对用户角色和/或用于托管目录服务152和认证服务162的服务器150和160 进行的更改。手动维护所有这些信息对于系统管理员来说可能是低效和繁琐的。
在其他实施方案中,较少数量的设备诸如十二个可使用认证服务 162。目录服务152可能不能在此类小型商业环境中使用。系统管理员可创建本地用户并授予每个设备上的相应角色、特权和许可。对用户角色和/或用于托管目录服务152和认证服务162的服务器150和160进行的更改仍可在适当的设备上手动更新。
现在转到图2,其示出了设备授权访问200的另一个实施方案的一般化框图。早前描述的电路和逻辑部件被相同地标号。在各种实施方案中,设备210可为类似于早前描述的设备110的专用备份装置(PBBA)。PBBA 也可被称为存储装置。设备210包括操作系统120、web服务130、和shell 进程132。在此,设备210不包括目录协议配置文件144,诸如ldap.config 文件。在各种实施方案中,设备210可能不知道目录服务152的类型和认证服务162的类型,更不用说知道用于与目录服务152和认证服务162进行通信的协议的特定类型。服务器150和160中的每一者仍然被配置为使用应用程序协议诸如LDAP,但设备210不再这样配置。另外,设备210可不存储任何用户配置数据诸如用户角色信息。设备210也可不存储用户特权和许可信息。
如图所示,设备210包括名称服务切换(NSS)模块242。类似于先前针对NSS模块142的描述,NSS模块242将服务和对应的数据库组织成组。针对每个组,NSS模块142可包括根据优先级列出的多个对应的数据库。配置文件诸如nsswitch.conf文件为每个数据库提供查找进程。与先前的 NSS模块142不同,NSS模块242可不被配置成用于访问和维护分布式目录信息服务的任何特定应用程序协议,诸如LDAP协议。
当NSS模块242从web服务130或shell进程132接收到给定用户向设备210请求登录会话的指示时,NSS模块242可创建临时(虚拟)用户,以模拟给定用户的存在。在各种实施方案中,模拟给定用户的存在给出给定用户已(先前)被配置为使用该设备的外观。将用户配置为使用设备通常包括在与用户相关的设备上存储详细说明。然而,在各种实施方案中,不存在被存储在设备上的与给定用户相关的详细说明。在此类实施方案中,设备对用户一无所知。出于所有意图和目的,设备可将由给定用户进行的登录理解为由完全未知的个体进行的尝试登录。在一些实施方案中,在会话之后可能存在留在设备上的用户的痕迹(例如,日志文件等)。然而,此类痕迹将不可用于验证用户在设备上的配置的存在的目的。
通过创建虚拟用户,设备(实际上)“假装”设备对用户为已知的并且用户先前已被配置为使用该设备。例如,NSS模块242可创建具有多个字段的数据结构。这些字段可存储信息诸如用户标识符(ID)、组ID、用户名、用户主目录、默认shell类型等等。特定字段还可指示用户针对设备 210是否存在。这些字段中的大部分字段为未知的,直到与目录服务152接触。然而,NSS模块242可存储由给定用户在登录请求期间提供的用户名。另外,尽管还未执行与目录服务152的通信并且数据结构中的大多数字段未填充有效数据,但NSS模块242仍可存储给定用户针对设备210存在的指示。
尽管目录服务152尚未被访问,但NSS模块242可向PAM 240发送给定用户针对设备210存在的通知。类似于先前针对PAM 140的描述,PAM 240认证请求登录到设备210的用户。配置文件诸如pam.conf文件确定要选择哪些认证服务。与先前的PAM 140不同,PAM 240可不被配置成用于访问和维护分布式目录信息服务的任何特定应用程序协议,诸如LDAP协议。响应于来自NSS模块242的指示给定用户针对设备210存在的通知,尽管目录服务152尚未被访问,但PAM 240可生成用于发送至身份和访问管理器(IAM)250的请求或事务。该请求可指示请求给定用户针对设备210 的存在和针对给定用户的认证中的每一者。然而,该请求可不使用用于访问和维护分布式目录信息服务的任何特定应用程序协议,诸如LDAP协议。与图1中示出的现有技术模块PAM 140和NSS模块142相比,图2的 PAM 240和NSS模块242通常不具有对目录服务152的具体了解。相反, PAM 240和NSS模块242中的每个模块比现有技术更通用,并且不需要被特别配置为与目录服务152合作和/或与其匹配。
IAM 250从PAM 240接收请求。在各种实施方案中,IAM 250为基于云端的应用程序。在其他实施方案中,IAM 250本地执行诸如在PAM 240 内执行、作为单独部件在设备210内执行、或者在位于现场的另一个设备 (未示出)内执行。另选地,IAM 250在通过直接局域网(LAN)连接、广域网(WAN)连接诸如互联网、路由器及其他网络连接到设备210的另一个设备诸如另一个存储装置上执行。在其他实施方案中,IAM 250在服务器150 和服160中的一个服务器上执行。
当IAM 250从PAM 240接收到请求时,IAM 250可至少接收在来自给定用户的登录请求期间所使用的用户名。类似于先前针对先前的NSS模块 142的描述,IAM 250可诸如通过访问IAM 250的对应配置文件来确定访问目录服务152,并且进一步确定服务器150托管目录服务152。另外,IAM 250确定与目录服务152一起使用的协议诸如LDAP协议的类型。设备210 内的PAM 240和NSS模块242中的每一者可能不知道协议的类型,而IAM 250均知道该协议并使用该协议与目录服务152进行通信。另外,IAM 250 可在与目录服务152和认证服务162中的一者或多者的通信期间使用框架 Spring Security。
在从IAM 250接收到至少包括由给定用户提供的用户名的请求之后,目录服务152处理该请求并且向IAM 250返回响应。该响应指示给定用户针对设备210是否存在。IAM 250可包括用于认证相关服务的模块库。IAM 250可允许系统管理员通过安装新库来添加新的认证方法。另外,IAM 250 可允许系统管理员针对不同的设备建立多个认证相关服务,其中对特定服务的选择至少基于认证请求的来源。尽管示出了单个设备210,但多个设备可与IAM 250进行通信。为了便于说明,未示出该多个设备。IAM 250的配置文件可指向模块库。另选地,配置文件可包括读取模块库、选择特定目录服务和特定认证服务,并可识别其位置,并且确定用于与所选择的目录服务和所选择的认证服务进行通信的合适的通信协议的选择逻辑。
如果IAM 250从目录服务152接收到用于指示请求登录到设备210的给定用户针对设备210不存在的指示,则IAM 250可准备发送至设备210 的响应。该响应可包括指示给定用户针对设备210不存在的指示。IAM 250 可不收集给定用户的任何用户角色信息和用户特权、以及许可信息。该信息可被存储在服务器150上并由目录服务152访问。
如果IAM 250从目录服务152接收到用于指示请求登录到设备210的给定用户针对设备210确实存在的指示,则IAM 250确定访问被托管在服务器160上的认证服务162。可使用配置文件、模块库和选择逻辑中的一者或多者来执行该确定。使用通信协议诸如LDAP或其他协议来将用于确定给定用户是否为设备210的认证用户的请求从IAM 250发送至服务器160 上的认证服务162。该请求至少包括由给定用户提供的密码的加密版本。在一些情况下,因为在相对小型的商业环境内使用设备210,所以不使用单独的目录服务。例如,十个或更少的设备可在小型商业环境内使用并且可访问IAM 250。IAM 250可在小型商业环境内确定给定用户针对特定设备是否存在,而不是使用单独的目录服务来执行该确定。
认证服务162在确定给定用户是否为设备210的认证用户之后向IAM 250发送响应。IAM 250准备发送至设备210的响应。该响应包括指示给定用户是否为设备210的认证用户的指示。如果该指示指示给定用户为设备 210的授权用户,则IAM 250可检索给定用户的任何用户角色信息和用户特权、以及许可信息。该信息可被存储在服务器150上并由目录服务152 访问,并且可响应于用户目录查找而被返回。另选地,该信息可被存储在服务器160上并由认证服务162访问。此外,该信息可被存储在别处,但 IAM 250能够确定该信息的位置。IAM 250通过发送用于至少识别给定用户的请求并使用针对目的地位置的任何适当的通信协议来检索该信息。
当IAM 250向设备210发送响应时,用于目录服务152和认证服务 162中的一者或多者的先前的通信协议诸如LDAP可能是不必要的并且未被使用。响应于接收到用于指示给定用户针对设备210存在和针对设备210 给定用户已被授权的指示,设备210可使用用户角色信息和用户特权、以及许可信息来为给定用户创建登录会话。设备210的操作系统120可执行这些步骤。另外,由NSS模块242为虚拟用户创建的数据结构可利用与给定用户对应的信息来更新或修改其字段,以便将虚拟用户转变为给定用户。另选地,可丢弃虚拟用户信息并由给定用户来替换。如前所述,该信息可包括如用户标识符(ID)、组ID、用户名、用户主目录、默认shell类型等等。
现在参考图3,其示出了用于在设备上为用户创建登录会话的方法300 的实施方案。出于讨论目的,按顺序示出了本实施方案中的步骤。然而,一些步骤可以不同于所示的顺序发生、一些步骤可同时执行、一些步骤可与其他步骤结合、并且一些步骤在另外实施方案中可不存在。
在框302中,给定用户尝试登录设备。在一些实施方案中,设备为存储装置。设备可与多个其他设备一起部署在小型商业环境或企业环境中。在框304中,可生成虚拟用户,以在设备上模拟给定用户的存在。例如,可创建具有多个字段的数据结构。这些字段可存储信息诸如用户标识符 (ID)、组ID、用户名、用户主目录、默认shell类型等等。特定字段还可指示用户针对设备是否存在。尽管这些字段中的一个或多个字段未被填充,但可设置用于指示该用户针对设备存在的指示,尽管尚未执行任何验证。
在框306中,发送对针对给定用户的认证的请求。该请求可不使用用于认证服务的预先确定的通信协议,诸如LDAP或其他协议。在框308 中,设备外部的服务接收请求。执行对给定用户针对设备的存在的验证。在一些实施方案中,部件或单元(诸如早前描述的IAM250)内的逻辑执行验证。在其他实施方案中,单独的目录服务(诸如早前描述的目录服务152)被用于执行验证。在任一种情况下,设备都可不被配置用于特定目录服务和用于特定目录服务的通信协议。
如果确定给定用户针对设备不存在(条件框310),则在框312中,生成给定用户不存在并且需要其他凭据的通知。在框314中,响应于该通知,拒绝给定用户的登录。可生成并提供对其他凭据的请求。如果确定给定用户针对设备确实存在(条件框310),则确定给定用户的凭据是否有效。例如,可将由给定用户在登录请求期间提供的密码与给定用户的所存储的密码进行比较。
用于认证的通信可使用密码的加密版本。认证进程可使用被托管在特定服务器上的认证服务。与认证服务对应的通信协议被用于向服务器发送事务处理和从服务器接收事务处理。然而,该设备可能不知道通信协议,并且不具有关于通信协议的所存储的配置信息。
如果给定用户的凭据(诸如至少为密码)为无效的并且给定用户针对该设备未经认证(条件框316),则方法300的控制流程移动到框312。否则,在框318中,检索给定用户的用户角色信息和用户许可和特权、以及其他配置信息。设备可不存储该信息中的任何信息,而是在给定用户的对应登录会话期间接收所检索的信息以进行存储。当登录会话结束时,可移除给定用户的所检索的配置信息。
在框320中,响应被生成并被发送至设备。该响应包括给定用户针对设备存在的指示,并且给定用户被认证以使用该设备。该响应还可包括与给定用户对应的所检索的配置信息。在框322中,设备至少基于所检索的配置信息来为给定用户生成登录会话。如前所述,当登录会话结束时,所检索的配置信息不再被存储。在给定用户的任何随后的登录会话期间,重复以上步骤并再次检索对应的配置信息。
现在参考图4,其示出了用于在设备上为用户创建登录会话的方法400 的实施方案。出于讨论目的,按顺序示出了本实施方案中的步骤。然而,一些步骤可以不同于所示的顺序发生、一些步骤可同时执行、一些步骤可与其他步骤结合、并且一些步骤在另外实施方案中可不存在。
多个设备被部署在小型商业环境或更大企业环境中。在各种实施方案中,所部署的设备为存储装置。设备可不存储用户的任何配置信息,诸如用户角色信息、用户许可和特权、以及其他信息。另外,所部署的设备可不被配置用于针对目录服务和认证服务的任何通信协议。
在框402中,所部署的设备中的给定设备接收登录请求。如果在到达外部服务以处理登录请求之前给定设备不是最终设备(条件框404),则在框406中,将请求转发到由给定设备指定的目的地。例如,另一个所部署的设备可被指示为目的地。在到达外部服务以处理登录请求之前,该其他设备实际上可能不是最终设备。如果不是,则继续转发登录请求。如果在到达外部服务以处理登录请求之前给定设备为最终设备(条件框404),则在框408中,通过到外部服务的一个或多个生成的查询来处理登陆请求。例如,可如前所述来使用目录服务和认证服务。在处理期间,身份和访问管理器(IAM)可用于生成查询并处理来自目录服务和认证服务的响应。当完成处理时,IAM向给定设备发送对应响应。
如果登录请求源于给定设备,则没有外部源生成登录请求。如果情况如此(条件框410),则在框412中,响应于具有来自外部服务的信息的响应指示登录请求被准予,该响应被用于在给定设备上生成登录会话。否则,给定设备生成失败通知并向对应用户提供该失败通知。
如果登录请求源于除给定设备之外的另一个设备并且登录请求被转发到给定设备,则外部源生成登录请求。如果情况如此(条件框410),则在框414中,给定设备将具有来自外部服务的信息的响应转发到将登录请求发送至给定设备的设备。该其他设备可能不是最初从对应用户接收登录请求的设备。在这种情况下,该其他设备也将响应转发到另一个设备,直到发起登录请求的实际源设备接收到具有来自外部服务的信息的响应。
现在参考图5,其示出了设备部署500的一个实施方案的一般化框图。早前描述的电路和逻辑被相同地标号。在各种实施方案中,设备510- 542可为类似于早前描述的设备210的专用备份设备(PBBA)。PBBA也可被称为存储装置。尽管在部署500中示出了五个设备,但是用于该部署的其他数量的设备为可能的并可被设想到。
设备510-542中的一个或多个设备可不存储任何用户配置信息诸如用户角色信息、用户许可和特权信息、以及其他用户配置信息。另外,设备 510-542中的一个或多个设备可不存储用于与目录服务152和认证服务162 中的一者或多者进行通信的通信协议的任何配置信息。
如图所示,设备510为连接到IAM 250的唯一设备。IAM 250可用于如前所述的验证目的。如前所述,与服务器150和160的连接以及设备 510-542之间的连接可包括各种技术,包括无线连接、直接局域网(LAN)连接、广域网(WAN)连接诸如互联网、路由器、远程直接存储器访问(RDMA) 硬件和/或软件、传输控制协议/互联网协议(TCP/IP)硬件和/或软件、中继器、交换机、栅格、和/或其他技术。设备510-542和服务器150和160中的每一者可位于现场、可位于远程站点或分支机构处、或者可为基于云端的。
设备520,530和540中的每个设备被示出连接到设备510。这些连接可指示设备520-540存储该设备510为针对用于处理来自用户的所接收的登录请求的请求的目的地的指示。例如,当设备520从给定用户接收到用于在设备520上创建会话的登录请求时,设备520生成发送至设备510的请求。该所生成的请求请求给定用户针对设备520是否存在,以及在登录请求中提供的凭据是否指示给定用户为设备520的认证用户。设备510与如前所述的IAM 250进行通信,以处理来自设备520的请求。针对设备530 和设备540上的登录请求使用类似的步骤。
当设备542从给定用户接收到用于在设备542上创建会话的登录请求时,设备542生成发送至设备540的请求。该所生成的请求请求给定用户针对设备542是否存在,以及在登录请求中提供的凭据是否指示给定用户为设备542的认证用户。设备540从设备542接收请求,确定其自身不是该请求的最终目的地,进一步确定设备510为所接收的请求的目的地,并且将该请求转发到设备510。设备510与如前所述的IAM 250进行通信,以处理来自设备542的请求。将具有来自服务152和162的信息的响应从设备510路由到设备540并且从设备540路由到设备542。
现在参考图6,其示出了设备部署600的另一个实施方案的一般化框图。早前描述的电路和逻辑被相同地标号。如图所示,设备510-540中的每个设备被连接到IAM 250。IAM250可用于如前所述的验证目的。这些连接可指示设备510-540存储IAM 250为针对用于处理来自用户的所接收的登录请求的请求的目的地的指示。设备510-540与如前所述的IAM250进行通信,以处理用于认证所接收的登录请求的请求。具有来自服务152和 162的信息的对应响应从IAM 250路由到设备510-540中的对应一个设备。
现在参考图7,其示出了设备部署700的又一个实施方案的一般化框图。早前描述的电路和逻辑被相同地标号。如图所示,设备510包括IAM 250。IAM 250可用于如前所述的验证目的。设备520-540中的每个设备被连接到设备510。这些连接可指示设备520-540存储设备510为针对用于处理来自用户的所接收的登录请求的请求的目的地的指示。设备520-540与设备510(如前所述,其与IAM 250进行通信,以处理用于认证所接收的登录请求的请求)进行通信。具有来自服务152和162的信息的对应响应从服务器150和160路由到设备510内的IAM 250,并且然后路由到设备 520-540中的对应一个设备。使用如前所述的设备540来转发针对设备542 的请求和响应。
在各种实施方案中,本文所述的方法和机制中的一个或多个部分可形成云计算环境的一部分。在此类实施方案中,可根据一个或多个不同模型通过互联网来提供作为服务的资源。这些模型可包括基础设施即服务 (IaaS)、平台即服务(PaaS)、和软件即服务(SaaS)。在IaaS中,计算机基础设施作为服务而被递送。在此类情况下,计算设备通常由服务提供商拥有和操作。在PaaS模型中,开发人员用于开发软件解决方案的软件工具和底层设备可作为服务而被提供,并由服务提供商托管。SaaS通常按需包括作为服务的服务提供商许可软件。服务提供商可托管软件,或者可在给定时间段内将软件部署到客户。上述模型的许多组合为可能的并可被设想到。
尽管已相当详细地描述了上述实施方案,但是一旦完全理解上述公开内容,许多变型形式和修改形式对于本领域技术人员而言将变得显而易见。旨在将所附权利要求解释为包括所有这些变型形式和修改形式。
Claims (15)
1.一种计算系统,包括:
多个设备;和
身份和访问管理器;
其中响应于所述多个设备中的第一设备从给定用户接收到用于登录到所述第一设备的第一请求,所述第一设备被配置为:
在验证所述给定用户在所述第一设备上的存在之前,生成虚拟用户以模拟所述给定用户在所述第一设备上的存在;以及
向所述身份和访问管理器发送与所述给定用户对应的第二请求,其中所述第二请求包括对所述给定用户针对所述第一设备的存在和由所述给定用户进行的针对所述第一设备的使用授权两者的验证的请求;
其中响应于从所述身份和访问管理器接收到所述给定用户为所述第一设备的授权用户的指示,所述第一设备被配置为利用由从所述身份和访问管理器接收到的用户角色信息所确定的特权针对所述给定用户来创建会话,其中针对所述给定用户来创建会话包括更新或替换与所述虚拟用户相关联的信息,以便将所述虚拟用户转变为所述给定用户。
2.根据权利要求1所述的计算系统,还包括:
用户目录服务模块,所述用户目录服务模块被配置为存储一个或多个用户的用户识别信息;和
认证服务模块,所述认证服务模块被配置为存储所述一个或多个用户的用户凭据信息;
其中响应于从所述第一设备接收到所述第二请求,所述身份和访问管理器包括被配置为执行以下操作的电路或程序代码中的至少一个:
向所述用户目录服务模块发送第一查询,以验证所述给定用户的存在;以及
响应于从所述用户目录服务模块接收到用于指示所述给定用户的所述存在的指示,向所述认证服务模块发送第二查询,以验证所述给定用户是否为所述第一设备的授权用户。
3.根据权利要求2所述的计算系统,其中响应于从所述认证服务模块接收到用于指示所述给定用户为所述第一设备的授权用户的指示,所述身份和访问管理器被进一步配置为向所述第一设备发送响应,其中所述响应包括用户角色信息和关于所述给定用户为所述第一设备的所述授权用户的指示。
4.根据权利要求1所述的计算系统,其中所述多个设备中的所述第一设备为存储装置,并且所述第一设备尚未被配置为由所述给定用户使用。
5.根据权利要求1所述的计算系统,其中所述第一设备为存储装置,并且其中所述第二请求被传送至为存储装置的第二设备,并且响应于所述第二设备从所述第一设备接收到所述第二请求,所述第二设备被配置为将所述第二请求转发到包括所述身份和访问管理器的第三设备。
6.一种用于安全网络通信的设备,包括:
名称切换服务模块;和
可插拔认证管理模块;
其中响应于从给定用户接收到用于登录到所述设备的第一请求,所述名称切换服务模块包括被配置为执行以下操作的电路和程序代码中的至少一个:在验证所述给定用户针对所述设备的存在之前生成虚拟用户,以模拟所述给定用户在所述设备上的存在;并且
其中响应于从所述名称切换服务模块接收到用于指示所述存在的指示,所述可插拔认证管理模块包括被配置为执行以下操作的电路和程序代码中的至少一个:传送与所述给定用户对应的第二请求,其中所述第二请求包括对所述给定用户的存在和由所述给定用户进行的针对所述设备的使用授权两者的验证的请求;
其中响应于接收到用于指示所述给定用户为所述设备的授权用户的指示,所述设备被配置为通过更新或替换与所述虚拟用户相关联的信息以便将所述虚拟用户转变为所述给定用户而针对所述给定用户来创建会话。
7.根据权利要求6所述的设备,其中为了在所述设备上将所述虚拟用户更新为所述给定用户,所述名称切换服务模块被进一步配置为利用所接收的信息来更新与所述给定用户对应的数据结构,所接收的信息包括所述给定用户的用户标识符(ID)、组ID和主目录中的至少一者。
8.根据权利要求6所述的设备,其中当接收到所述第一请求时,所述设备尚未被配置为由所述给定用户使用。
9.根据权利要求6所述的设备,其中所述设备为存储装置,并且其中所述第二请求被传送至为存储装置的第二设备。
10.根据权利要求6所述的设备,其中所述设备被配置为用作存储装置的分级结构的一部分。
11.一种用于在处理器上执行的用于安全网络通信的方法,所述方法包括:
在第一设备处从给定用户接收用于登录到所述第一设备的第一请求;
在验证所述给定用户在所述第一设备上的存在之前,生成虚拟用户以模拟所述给定用户在所述第一设备上的存在;以及
向身份和访问管理器发送与所述给定用户对应的第二请求,其中所述第二请求包括对所述给定用户针对所述第一设备的存在和由所述给定用户进行的针对所述第一设备的使用授权两者的验证的请求;
其中响应于从所述身份和访问管理器接收到所述给定用户为所述第一设备的授权用户的指示,所述第一设备被配置为利用由从所述身份和访问管理器接收到的用户角色信息所确定的特权针对所述给定用户来创建会话;其中针对所述给定用户来创建会话包括更新或替换与所述虚拟用户相关联的信息,以便将所述虚拟用户转变为所述给定用户。
12.根据权利要求11所述的方法,其中响应于接收到所述第二请求,所述方法还包括:
向用户目录服务模块发送第一查询,以验证所述给定用户的存在,其中所述用户目录服务模块存储一个或多个用户的至少用户识别信息;以及
响应于从所述用户目录服务模块接收到用于指示所述给定用户的所述存在的指示,向认证服务模块发送第二查询,以验证所述给定用户是否为所述第一设备的授权用户。
13.根据权利要求12所述的方法,其中响应于从所述认证服务模块接收到用于指示所述给定用户为所述第一设备的授权用户的指示,所述方法还包括所述身份和访问管理器向所述第一设备发送响应,其中所述响应包括用户角色信息和关于所述给定用户是否为所述第一设备的所述授权用户的指示。
14.根据权利要求11所述的方法,其中所述第一设备为存储装置,并且所述第一设备尚未被配置为由所述给定用户使用。
15.根据权利要求11所述的方法,其中所述第一设备为存储装置,并且其中所述第二请求被传送至为存储装置的第二设备,并且响应于所述第二设备从所述第一设备接收到所述第二请求,所述第二设备被配置为将所述第二请求转发到包括所述身份和访问管理器的第三设备。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/747,440 US9887978B2 (en) | 2015-06-23 | 2015-06-23 | System and method for centralized configuration and authentication |
US14/747440 | 2015-06-23 | ||
PCT/US2016/038835 WO2016210013A1 (en) | 2015-06-23 | 2016-06-23 | System and method for centralized configuration and authentication |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107925877A CN107925877A (zh) | 2018-04-17 |
CN107925877B true CN107925877B (zh) | 2021-07-13 |
Family
ID=56550317
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680035680.8A Active CN107925877B (zh) | 2015-06-23 | 2016-06-23 | 用于集中式配置和认证的系统和方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9887978B2 (zh) |
EP (1) | EP3314936B1 (zh) |
JP (1) | JP6605628B2 (zh) |
CN (1) | CN107925877B (zh) |
WO (1) | WO2016210013A1 (zh) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9544293B2 (en) | 2013-09-20 | 2017-01-10 | Oracle International Corporation | Global unified session identifier across multiple data centers |
US10693859B2 (en) | 2015-07-30 | 2020-06-23 | Oracle International Corporation | Restricting access for a single sign-on (SSO) session |
US10237115B2 (en) * | 2015-11-10 | 2019-03-19 | Ca, Inc. | Role based configuration and management tool based on SNMP and LDAP |
US10547612B2 (en) * | 2016-09-21 | 2020-01-28 | International Business Machines Corporation | System to resolve multiple identity crisis in indentity-as-a-service application environment |
US20190007455A1 (en) * | 2017-06-30 | 2019-01-03 | Fortinet, Inc. | Management of a hosts file by a client security application |
US10872023B2 (en) | 2017-09-24 | 2020-12-22 | Microsoft Technology Licensing, Llc | System and method for application session monitoring and control |
US11050730B2 (en) | 2017-09-27 | 2021-06-29 | Oracle International Corporation | Maintaining session stickiness across authentication and authorization channels for access management |
US11134078B2 (en) | 2019-07-10 | 2021-09-28 | Oracle International Corporation | User-specific session timeouts |
CN111092870A (zh) * | 2019-12-11 | 2020-05-01 | 国科晋云技术有限公司 | 一种面向多个高性能计算集群的统一认证方法 |
US20210409403A1 (en) * | 2020-06-25 | 2021-12-30 | Microsoft Technology Licensing, Llc | Service to service ssh with authentication and ssh session reauthentication |
CN111953491B (zh) * | 2020-09-01 | 2022-06-10 | 杭州视洞科技有限公司 | 一种基于SSH Certificate和LDAP两步鉴权审计方法 |
CN113792273A (zh) * | 2021-09-13 | 2021-12-14 | 数字广东网络建设有限公司 | 一种身份认证的方法、装置、设备和存储介质 |
CN114844714A (zh) * | 2022-05-24 | 2022-08-02 | 中国民生银行股份有限公司 | 用户身份认证的方法和基于ldap协议的代理服务端 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1805336A (zh) * | 2005-01-12 | 2006-07-19 | 北京航空航天大学 | 面向asp模式的单一登录方法及系统 |
CN101183940A (zh) * | 2007-12-11 | 2008-05-21 | 中兴通讯股份有限公司 | 一种多应用系统对用户身份进行认证的方法 |
CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
Family Cites Families (50)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5764890A (en) | 1994-12-13 | 1998-06-09 | Microsoft Corporation | Method and system for adding a secure network server to an existing computer network |
US6088451A (en) | 1996-06-28 | 2000-07-11 | Mci Communications Corporation | Security system and method for network element access |
US5784463A (en) | 1996-12-04 | 1998-07-21 | V-One Corporation | Token distribution, registration, and dynamic configuration of user entitlement for an application level security system and method |
US6587867B1 (en) | 1997-05-22 | 2003-07-01 | Mci Communications Corporation | Internet-based subscriber profile management of a communications system |
US6032217A (en) | 1997-11-04 | 2000-02-29 | Adaptec, Inc. | Method for reconfiguring containers without shutting down the system and with minimal interruption to on-line processing |
US6263446B1 (en) | 1997-12-23 | 2001-07-17 | Arcot Systems, Inc. | Method and apparatus for secure distribution of authentication credentials to roaming users |
US6385729B1 (en) | 1998-05-26 | 2002-05-07 | Sun Microsystems, Inc. | Secure token device access to services provided by an internet service provider (ISP) |
US6216202B1 (en) | 1998-06-30 | 2001-04-10 | Emc Corporation | Method and apparatus for managing virtual storage devices in a storage system |
US6453362B1 (en) | 1998-08-12 | 2002-09-17 | International Business Machines Corporation | Systems, methods and computer program products for invoking server applications using tickets registered in client-side remote object registries |
US6594698B1 (en) | 1998-09-25 | 2003-07-15 | Ncr Corporation | Protocol for dynamic binding of shared resources |
US7111324B2 (en) | 1999-01-15 | 2006-09-19 | Safenet, Inc. | USB hub keypad |
US6584466B1 (en) | 1999-04-07 | 2003-06-24 | Critical Path, Inc. | Internet document management system and methods |
US6615264B1 (en) | 1999-04-09 | 2003-09-02 | Sun Microsystems, Inc. | Method and apparatus for remotely administered authentication and access control |
US6324537B1 (en) | 1999-09-30 | 2001-11-27 | M-Systems Flash Disk Pioneers Ltd. | Device, system and method for data access control |
US6606651B1 (en) | 2000-05-03 | 2003-08-12 | Datacore Software Corporation | Apparatus and method for providing direct local access to file level data in client disk images within storage area networks |
US6745207B2 (en) | 2000-06-02 | 2004-06-01 | Hewlett-Packard Development Company, L.P. | System and method for managing virtual storage |
US7774455B1 (en) | 2000-09-26 | 2010-08-10 | Juniper Networks, Inc. | Method and system for providing secure access to private networks |
US6574705B1 (en) | 2000-11-16 | 2003-06-03 | International Business Machines Corporation | Data processing system and method including a logical volume manager for storing logical volume data |
US7134138B2 (en) | 2001-02-15 | 2006-11-07 | Emc Corporation | Methods and apparatus for providing security for a data storage system |
US20030172265A1 (en) | 2001-05-04 | 2003-09-11 | Vu Son Trung | Method and apparatus for secure processing of cryptographic keys |
US6856800B1 (en) | 2001-05-14 | 2005-02-15 | At&T Corp. | Fast authentication and access control system for mobile networking |
US7103663B2 (en) * | 2001-06-11 | 2006-09-05 | Matsushita Electric Industrial Co., Ltd. | License management server, license management system and usage restriction method |
GB2378780B (en) | 2001-08-14 | 2003-07-09 | Elan Digital Systems Ltd | Data integrity |
US7305548B2 (en) | 2001-10-22 | 2007-12-04 | Microsoft Corporation | Using atomic messaging to increase the security of transferring data across a network |
US7231526B2 (en) | 2001-10-26 | 2007-06-12 | Authenex, Inc. | System and method for validating a network session |
US20030084171A1 (en) | 2001-10-29 | 2003-05-01 | Sun Microsystems, Inc., A Delaware Corporation | User access control to distributed resources on a data communications network |
US7631084B2 (en) * | 2001-11-02 | 2009-12-08 | Juniper Networks, Inc. | Method and system for providing secure access to private networks with client redirection |
DE10162310A1 (de) | 2001-12-19 | 2003-07-03 | Philips Intellectual Property | Verfahren und Anordnung zur Übertragung von Signalen von erzeugenden Funktionseinheiten an verarbeitende Funktionseinheiten elektrischer Schaltungen |
US7191467B1 (en) | 2002-03-15 | 2007-03-13 | Microsoft Corporation | Method and system of integrating third party authentication into internet browser code |
US7007047B2 (en) | 2002-03-29 | 2006-02-28 | Panasas, Inc. | Internally consistent file system image in distributed object-based data storage |
US7840803B2 (en) | 2002-04-16 | 2010-11-23 | Massachusetts Institute Of Technology | Authentication of integrated circuits |
US6944732B2 (en) | 2002-05-08 | 2005-09-13 | Hewlett-Packard Development Company, L.P. | Method and apparatus for supporting snapshots with direct I/O in a storage area network |
US7028090B2 (en) | 2002-05-30 | 2006-04-11 | International Business Machines Corporation | Tokens utilized in a server system that have different access permissions at different access times and method of use |
US7191344B2 (en) | 2002-08-08 | 2007-03-13 | Authenex, Inc. | Method and system for controlling access to data stored on a data storage device |
EP1567929A2 (en) | 2002-11-15 | 2005-08-31 | Creo Inc. | Methods and systems for sharing data |
US20040103325A1 (en) | 2002-11-27 | 2004-05-27 | Priebatsch Mark Herbert | Authenticated remote PIN unblock |
US7275259B2 (en) | 2003-06-18 | 2007-09-25 | Microsoft Corporation | System and method for unified sign-on |
US8042163B1 (en) | 2004-05-20 | 2011-10-18 | Symatec Operating Corporation | Secure storage access using third party capability tokens |
US7328287B1 (en) | 2004-07-26 | 2008-02-05 | Symantec Operating Corporation | System and method for managing I/O access policies in a storage environment employing asymmetric distributed block virtualization |
JP4788297B2 (ja) * | 2005-11-02 | 2011-10-05 | 富士ゼロックス株式会社 | 画像処理装置 |
US20070174429A1 (en) * | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
US7730524B2 (en) * | 2006-02-01 | 2010-06-01 | Xerox Corporation | Dynamic collation of domain for user authentication on existing devices |
US8429712B2 (en) * | 2006-06-08 | 2013-04-23 | Quest Software, Inc. | Centralized user authentication system apparatus and method |
JP4551367B2 (ja) * | 2006-07-07 | 2010-09-29 | 日本電信電話株式会社 | サービスシステムおよびサービスシステム制御方法 |
US8966594B2 (en) | 2008-02-04 | 2015-02-24 | Red Hat, Inc. | Proxy authentication |
CN101827110B (zh) * | 2010-05-13 | 2012-09-26 | 中国工商银行股份有限公司 | 一种企业局域网中的应用服务器访问系统 |
US9582384B2 (en) * | 2011-03-23 | 2017-02-28 | Stormagic Limited | Method and system for data replication |
JP5797060B2 (ja) * | 2011-08-24 | 2015-10-21 | 株式会社野村総合研究所 | アクセス管理方法およびアクセス管理装置 |
US8484711B1 (en) | 2012-10-31 | 2013-07-09 | Fmr Llc | System and method for providing access to a software application |
US9083690B2 (en) | 2013-01-30 | 2015-07-14 | Oracle International Corporation | Communication session termination rankings and protocols |
-
2015
- 2015-06-23 US US14/747,440 patent/US9887978B2/en active Active
-
2016
- 2016-06-23 CN CN201680035680.8A patent/CN107925877B/zh active Active
- 2016-06-23 JP JP2017565701A patent/JP6605628B2/ja active Active
- 2016-06-23 WO PCT/US2016/038835 patent/WO2016210013A1/en active Application Filing
- 2016-06-23 EP EP16742463.9A patent/EP3314936B1/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1805336A (zh) * | 2005-01-12 | 2006-07-19 | 北京航空航天大学 | 面向asp模式的单一登录方法及系统 |
CN101183940A (zh) * | 2007-12-11 | 2008-05-21 | 中兴通讯股份有限公司 | 一种多应用系统对用户身份进行认证的方法 |
CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
Non-Patent Citations (1)
Title |
---|
pGina User"s Guide;anonymous;《http://pgina.org/docs/v3.1/user.html》;20130709;第1-4页 * |
Also Published As
Publication number | Publication date |
---|---|
EP3314936A1 (en) | 2018-05-02 |
US20160380988A1 (en) | 2016-12-29 |
JP2018526718A (ja) | 2018-09-13 |
US9887978B2 (en) | 2018-02-06 |
CN107925877A (zh) | 2018-04-17 |
JP6605628B2 (ja) | 2019-11-13 |
EP3314936B1 (en) | 2020-11-04 |
WO2016210013A1 (en) | 2016-12-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107925877B (zh) | 用于集中式配置和认证的系统和方法 | |
JP6556943B2 (ja) | アプライアンスセキュアシェルのためのシングルサインオン方法 | |
US11770381B2 (en) | Managing security groups for data instances | |
US10929275B2 (en) | Automatic test stack creation via production system replication | |
US10757104B1 (en) | System and method for authentication in a computing system | |
US10812462B2 (en) | Session management for mobile devices | |
WO2016173199A1 (zh) | 一种移动应用单点登录方法及装置 | |
US10681023B2 (en) | Self-service portal for provisioning passwordless access | |
WO2014200950A1 (en) | User authentication in a cloud environment | |
EP2792104A1 (en) | Automated access, key, certificate, and credential management | |
CN118159967A (zh) | 对在隔离环境中实现的计算资源的访问的控制 | |
JP2022506847A (ja) | 仮想デスクトップのための自動キーボードマッピング | |
CN111327578A (zh) | 一种用户ssh登录认证方法 | |
CN117131493A (zh) | 权限管理系统构建方法、装置、设备及存储介质 | |
US11379434B2 (en) | Efficient and automatic database patching using elevated privileges | |
US20240080306A1 (en) | Automated sharing of remote devices by multiple users using a file system | |
US11489824B2 (en) | Automated key management for remote devices using single sign-on techniques | |
CN115834252B (zh) | 一种服务访问方法及系统 | |
US20230195493A1 (en) | Virtual device enrollment and management | |
US20240061736A1 (en) | Repair mode for computing devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |