CN111092870A - 一种面向多个高性能计算集群的统一认证方法 - Google Patents

一种面向多个高性能计算集群的统一认证方法 Download PDF

Info

Publication number
CN111092870A
CN111092870A CN201911263591.0A CN201911263591A CN111092870A CN 111092870 A CN111092870 A CN 111092870A CN 201911263591 A CN201911263591 A CN 201911263591A CN 111092870 A CN111092870 A CN 111092870A
Authority
CN
China
Prior art keywords
authentication
login
user
information
pam
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911263591.0A
Other languages
English (en)
Inventor
李哲
唐德兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guoke Jinyun Technology Co Ltd
Original Assignee
Guoke Jinyun Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guoke Jinyun Technology Co Ltd filed Critical Guoke Jinyun Technology Co Ltd
Priority to CN201911263591.0A priority Critical patent/CN111092870A/zh
Publication of CN111092870A publication Critical patent/CN111092870A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明涉及一种面向多个高性能计算集群的统一认证方法,属于网络信息安全技术领域,具体包括在PAM模块中加入基于OAuth2.0的认证系统、加入基于OAuth2.0的认证接口、以及加入关系型数据库查询接口,在PAM模块中提高OAuth2.0的认证流程优先级,使用户在用户使用PAM模块中的SSH和Login操作时,先进行OAuth2.0的认证,认证通过后,通过查询接口读取与OAuth2.0的认证账号相关联的系统账号,并继续执行相关操作,这样在多计算集群认证时,仅需一个用户账号和密码可以实现多个计算集群的认证和使用,便对多计算集群的服务平台对外提供服务时使用,同时简化了租户的使用流程以及降低了租户的使用复杂度。

Description

一种面向多个高性能计算集群的统一认证方法
技术领域
本发明涉及一种面向多个高性能计算集群的统一认证方法,属于网络信息安全技术领域。
背景技术
在高性能计算集群管理当中,当面多租户需求时,需要针对不同的租户设置不同的高性能计算集群访问权限,用于不同得租户提供访问和使用权限,但高性能计算集群属于超级计算机,租户使用的账户为linux系统账号,Linux系统账号对用户名有一定要求,如:不能用数字开头,不能包含特殊字符@等等,但大多数平台系统的用户名为手机号或者QQ邮箱账号,不能作为系统账号使用,从而导致在基于高性能计算服务的平台中账号无法统一登录,需要多次输入等问题。
当前大多数高性能计算服务平台的用户账号为手机号码或者邮箱,而高性能计算的使用账号遵循Linux的用户名命名规则,手机号和部分邮箱不能适应Linux的命名规则。如果让高性能计算服务平台的用户账号按照Linux命名规则,就会缺失如短信验证和邮箱验证的安全模式,且违背当前互联网用户的使用习惯;如果要改变Linux用户名的命名规则,需要对Linux底层代码进行编译修改,工作难度极大,且更改后对Linux系统的稳定性造成影响,从而影响业务,且Linux系统版本众多,无法每一个系统更改底层代码。
因此,在当前使用环境中,在高性能计算服务平台登录并通过认证后,需要再次登录各个计算集群的系统账号并通过认证后,方能使用。大量的账号登录极大的降低了工作效率和用户平台服务的使用体验。
发明内容
为解决现有技术存在的技术问题,本发明提供了一种操作简单,效率高的面向多个高性能计算集群的统一认证方法。
为实现上述目的,本发明所采用的技术方案为一种面向多个高性能计算集群的统一认证方法,包括客户端、平台认证中心、系统认证中心、PAM认证模块、Linus系统及用户关联模块,
所述客户端,用于根据用户的登陆服务器平台,并根据用户的信息向PAM认证模块发送认证命令,同时用于接收授权命令,授权用户登陆;
所述PAM认证模块,用于根据认证流程的优先级依次进行认证;
所述平台认证中心,为采用基于OAuth2.0构建的用户登录账号认证中心,用于储存用户登录账号的数据库,并根据PAM认证模块的指令进行第一次认证;
所述系统认证中心,为采用LDAP/NIS构建的系统账户认证中心,用于储存用户系统账号的数据库,并根据PAM认证模块的指令进行第二次认证;
所述Linus系统,用于根据认证的结果,授予是否能够登陆的授权信息;
所述用户关联模块,用于将平台认证中心中用户登录账号的信息与系统认证中心内用户系统账号信息进行关联;
认证时,用户通过客户端输入登陆确认信息,并将登陆确认信息指令发送给PAM认证模块,PAM认证模块将信息发送至平台认证中心进行第一次认证,平台认证中心将登陆确认信息与用户登录账号进行比对;
若未查询到登录信息,则不允许登陆;若查询到登录信息,则第一次认证通过,PAM认证模块将信息发送至关联模块中查询对应的系统账号绑定关系,并基于查询结果去系统认证中心进行第二次认证,若未查询到登录信息,则不允许登陆;若查询到登录信息,则第二次认证通过,PAM认证模块向Linux系统发送认证通过指令,并获取系统的登录和操作权限,最后发送给客户端确认登陆。
优选的,所述用户关联模块在进行信息关联时,将用户认证中心的登录账号与系统账户认证中心的系统账户进行关联绑定,若为一对一的关联关系,那么设置LDAP/NIS中的uidNumber的数值与OAuth2.0中数据库id的数值一致;若为一对多的关联关系,创建一个数据库的中间表,每一个OAuth2.0中数据库id的数值,在中间表中对应两个数值,中间表中的每个数值对应LDAP/NIS中的uidNumber的数值。
与现有技术相比,本发明具有以下技术效果:本发明中在PAM模块中加入基于OAuth2.0的认证系统、加入基于OAuth2.0的认证接口、以及加入关系型数据库查询接口,在PAM模块中提高OAuth2.0的认证流程优先级,使用户在用户使用PAM模块中的SSH和Login操作时,先进行OAuth2.0的认证,认证通过后,通过查询接口读取与OAuth2.0的认证账号相关联的系统账号,并继续执行相关操作,这样在多计算集群认证时,仅需一个用户账号和密码可以实现多个计算集群的认证和使用,便对多计算集群的服务平台对外提供服务时使用,同时简化了租户的使用流程以及降低了租户的使用复杂度。
附图说明
图1为本发明的认证流程图。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,一种面向多个高性能计算集群的统一认证方法,包括客户端、平台认证中心、系统认证中心、PAM认证模块、Linus系统及用户关联模块,
所述客户端,用于根据用户的登陆服务器平台,并根据用户的信息向PAM认证模块发送认证命令,同时用于接收授权命令,授权用户登陆;
所述PAM认证模块,用于根据认证流程的优先级依次进行认证;
所述平台认证中心,为采用基于OAuth2.0构建的用户登录账号认证中心,用于储存用户登录账号的数据库,并根据PAM认证模块的指令进行第一次认证;
所述系统认证中心,为采用LDAP/NIS构建的系统账户认证中心,用于储存用户系统账号的数据库,并根据PAM认证模块的指令进行第二次认证;
所述Linus系统,用于根据认证的结果,授予是否能够登陆的授权信息;
所述用户关联模块,用于将平台认证中心中用户登录账号的信息与系统认证中心内用户系统账号信息进行关联。用户关联模块在进行信息关联时,将用户认证中心的登录账号与系统账户认证中心的系统账户进行关联绑定,若为一对一的关联关系,那么设置LDAP/NIS中的uidNumber的数值与OAuth2.0中数据库id的数值一致;若为一对多的关联关系,创建一个数据库的中间表,每一个OAuth2.0中数据库id的数值,在中间表中对应两个数值,中间表中的每个数值对应LDAP/NIS中的uidNumber的数值。
认证时,用户通过客户端输入登陆确认信息,并将登陆确认信息指令发送给PAM认证模块,PAM认证模块将信息发送至平台认证中心进行第一次认证,平台认证中心将登陆确认信息与用户登录账号进行比对;
若未查询到登录信息,则不允许登陆;若查询到登录信息,则第一次认证通过,PAM认证模块将信息发送至关联模块中查询对应的系统账号绑定关系,并基于查询结果去系统认证中心进行第二次认证,若未查询到登录信息,则不允许登陆;若查询到登录信息,则第二次认证通过,PAM认证模块向Linux系统发送认证通过指令,并获取系统的登录和操作权限,最后发送给客户端确认登陆。
本申请基于Linux的PAM模块进行改进,通过修改PAM模块,在PAM模块中加入基于OAuth2.0的认证系统、加入基于OAuth2.0的认证接口、以及加入关联模块关系查询接口,在PAM模块中提高OAuth2.0的认证流程优先级,使用户在用户使用PAM模块中的SSH和Login操作时,先进行OAuth2.0的认证,认证通过后,通过查询接口读取与OAuth2.0的认证账号相关联的系统账号,并继续执行相关操作。同时,为了本系统的便于管理和使用,加入与之适配的用户关联模块以及系统认证中心模块。
以上仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包在本发明范围内。

Claims (2)

1.一种面向多个高性能计算集群的统一认证方法,其特征在于:包括客户端、平台认证中心、系统认证中心、PAM认证模块、Linus系统及用户关联模块,
所述客户端,用于根据用户的登陆服务器平台,并根据用户的信息向PAM认证模块发送认证命令,同时用于接收授权命令,授权用户登陆;
所述PAM认证模块,用于根据认证流程的优先级依次进行认证;
所述平台认证中心,为采用基于OAuth2.0构建的用户登录账号认证中心,用于储存用户登录账号的数据库,并根据PAM认证模块的指令进行第一次认证;
所述系统认证中心,为采用LDAP/NIS构建的系统账户认证中心,用于储存用户系统账号的数据库,并根据PAM认证模块的指令进行第二次认证;
所述Linus系统,用于根据认证的结果,授予是否能够登陆的授权信息;
所述用户关联模块,用于将平台认证中心中用户登录账号的信息与系统认证中心内用户系统账号信息进行关联;
认证时,用户通过客户端输入登陆确认信息,并将登陆确认信息指令发送给PAM认证模块,PAM认证模块将信息发送至平台认证中心进行第一次认证,平台认证中心将登陆确认信息与用户登录账号进行比对;
若未查询到登录信息,则不允许登陆;若查询到登录信息,则第一次认证通过,PAM认证模块将信息发送至关联模块中查询对应的系统账号绑定关系,并基于查询结果去系统认证中心进行第二次认证,若未查询到登录信息,则不允许登陆;若查询到登录信息,则第二次认证通过,PAM认证模块向Linux系统发送认证通过指令,并获取系统的登录和操作权限,最后发送给客户端确认登陆。
2.根据权利要求1所述的一种面向多个高性能计算集群的统一认证方法,其特征在于:所述用户关联模块在进行信息关联时,将用户认证中心的登录账号与系统账户认证中心的系统账户进行关联绑定,若为一对一的关联关系,那么设置LDAP/NIS中的uidNumber的数值与OAuth2.0中数据库id的数值一致;若为一对多的关联关系,创建一个数据库的中间表,每一个OAuth2.0中数据库id的数值,在中间表中对应两个数值,中间表中的每个数值对应LDAP/NIS中的uidNumber的数值。
CN201911263591.0A 2019-12-11 2019-12-11 一种面向多个高性能计算集群的统一认证方法 Pending CN111092870A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911263591.0A CN111092870A (zh) 2019-12-11 2019-12-11 一种面向多个高性能计算集群的统一认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911263591.0A CN111092870A (zh) 2019-12-11 2019-12-11 一种面向多个高性能计算集群的统一认证方法

Publications (1)

Publication Number Publication Date
CN111092870A true CN111092870A (zh) 2020-05-01

Family

ID=70395419

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911263591.0A Pending CN111092870A (zh) 2019-12-11 2019-12-11 一种面向多个高性能计算集群的统一认证方法

Country Status (1)

Country Link
CN (1) CN111092870A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111753264A (zh) * 2020-07-01 2020-10-09 电子科技大学 一种基于Oauth 2.0的高校移动应用通用授权认证系统
CN112153025A (zh) * 2020-09-11 2020-12-29 浪潮电子信息产业股份有限公司 基于PAM实现OAuth2.0认证的方法、装置
CN114500002A (zh) * 2021-12-31 2022-05-13 济南超级计算技术研究院 一种基于ldap的集群账号分配方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101741558A (zh) * 2008-11-12 2010-06-16 上海长江数码科技有限公司 一种统一身份认证的实现方法
CN102571720A (zh) * 2010-12-27 2012-07-11 中国移动通信集团辽宁有限公司 一种异构信息内容处理方法及装置
US20160380988A1 (en) * 2015-06-23 2016-12-29 Veritas Technologies Llc System and Method for Centralized Configuration and Authentication
CN106657098A (zh) * 2016-12-29 2017-05-10 郑州云海信息技术有限公司 一种登录Linux操作系统的认证方法、装置以及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101741558A (zh) * 2008-11-12 2010-06-16 上海长江数码科技有限公司 一种统一身份认证的实现方法
CN102571720A (zh) * 2010-12-27 2012-07-11 中国移动通信集团辽宁有限公司 一种异构信息内容处理方法及装置
US20160380988A1 (en) * 2015-06-23 2016-12-29 Veritas Technologies Llc System and Method for Centralized Configuration and Authentication
CN106657098A (zh) * 2016-12-29 2017-05-10 郑州云海信息技术有限公司 一种登录Linux操作系统的认证方法、装置以及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
赵岸 等: "一种基于Linux-PAM模块的身份验证方法", 《计算机与数字工程 信息科技辑 电子信息科学综合》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111753264A (zh) * 2020-07-01 2020-10-09 电子科技大学 一种基于Oauth 2.0的高校移动应用通用授权认证系统
CN111753264B (zh) * 2020-07-01 2023-11-21 电子科技大学 一种基于Oauth 2.0的高校移动应用通用授权认证系统
CN112153025A (zh) * 2020-09-11 2020-12-29 浪潮电子信息产业股份有限公司 基于PAM实现OAuth2.0认证的方法、装置
CN114500002A (zh) * 2021-12-31 2022-05-13 济南超级计算技术研究院 一种基于ldap的集群账号分配方法及系统
CN114500002B (zh) * 2021-12-31 2023-11-10 济南超级计算技术研究院 一种基于ldap的集群账号分配方法及系统

Similar Documents

Publication Publication Date Title
EP3319299B1 (en) Method and apparatus for controlling internet of things device
CN102420690B (zh) 一种工业控制系统中身份与权限的融合认证方法及系统
CN111092870A (zh) 一种面向多个高性能计算集群的统一认证方法
CN109474632B (zh) 对用户进行认证和权限管理的方法、装置、系统和介质
CN101350720B (zh) 一种动态密码认证系统及方法
US9179312B2 (en) Registration and login method and mobile terminal
CN102739658B (zh) 一种单点登录的离线验证方法
US20100186075A1 (en) Method and system for accessing devices in a secure manner
CN111083220A (zh) 提供金融服务应用的方法
CN112651011B (zh) 运维系统登录验证方法、装置、设备以及计算机存储介质
CN102857501A (zh) 一种用户身份认证系统及其认证方法
CN112217793B (zh) 一种适用于电力物联网的跨体系信任管理系统
CN101977184B (zh) 多身份选择登录装置及服务系统
CN108881309A (zh) 大数据平台的访问方法、装置、电子设备及可读存储介质
CN108632241B (zh) 一种多应用系统统一登录方法和装置
CN109756446A (zh) 一种车载设备的访问方法和系统
CN110365483A (zh) 云平台认证方法、客户端、中间件及系统
CN101951385B (zh) 电子交易平台服务切换方法
KR102308172B1 (ko) 신뢰성 및 보안성이 강화된 사용자 인증 방법
CN112910904A (zh) 多业务系统的登录方法及装置
CN106453321A (zh) 一种认证服务器、系统和方法及待认证终端
CN101908967B (zh) Linux虚拟服务器配置方法和系统
CN103414732A (zh) 应用集成装置和应用集成处理方法
CN113688376A (zh) 一种基于cmdb系统和rbac模型实现容器云平台的租户权限控制方法
CN112948858A (zh) 一种支持实名制账号权限方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20200501