[发明专利]域用户集中授权和管理系统

说明书

技术领域

本发明涉及身份认证、授权与网络安全的方法，尤其涉及对域用户集中授权和管理的系统。

背景技术

在一个网络集成系统中，对于用户的管理和授权的重要性往往是居于第一位的。如果用户的管理和授权有问题，整个网络将是不安全的，通常会被黑客们突破安全系统中的第一道关卡，发现其他更多的漏洞，导致无法挽回的损失。在比较大的网络集成系统中，通常存在多种类型的机器和操作系统，例如Windows 95/98、Windows NT Server、Windows 2000 Server等。同时也会存在多个主域服务器。这时，系统管理员需要管理两个以上的主域服务器以及两个以上的操作系统的用户和组，增加了系统维护费用。随着企业全球化加快，其分支机构地理跨度很大，如何管理这些主域服务器是系统管理员关心的问题。

对于域用户管理，绝大多数的操作人员使用的是Windows的域用户管理器，不少系统管理人员感到在使用的时候非常不方便。虽然微软公司正着力在Windows的较高版本中改进域用户管理器，至少目前，我们仍然没有一个很理想的管理工具。虽然Windows域用户管理器提供了非常友好的界面来帮助操作人员实施用户管理，但其实际效果并不尽人意。如果不能对网络中的用户实施有效的管理，将会给企业造成巨大的浪费。系统管理员迫切需要一种集中的管理模式。

传统域用户管理方法如图1所示，如果让其中一台计算机集中管理所有账号，其它计算机依靠它来保证账号安全，这种基于服务器的网络在Windows NT中称为域(Domain)，集中管理账户的计算机称为主域控制器(Primary Domain Controller，PDC)，域中还可以设置备份域控制器(Backup Domain Controller，BDC)。只有安装了Windows NTServer的计算机才能担当。若是网络设计成域模型，则必须有且只能有一个主域控制器，而且PDC必须首先安装。BDC则不是网络中必须的。

在传统的方案中，管理员很难同时管理多个主域服务器，无法统一对各个普通用户集中授权。各个主域服务器时间可能有所差异，无法同步。由于一个用户可能拥有多个用户帐号，用户可能采用相同的登录口令或强度较低的口令。

发明内容

本发明的目的主要是解决当前Windows主域服务器域用户管理中存在的问题，实现当前Windows域用户管理技术无法实现的功能，使系统中所有主域服务器中的域用户由域用户管理中心控制台统一控制，极大地增强了域用户管理的有效性和便利性。

本发明的目的是这样实现的，一种域用户集中授权和管理系统，包括一个安全管理中心，若干个主域服务器和若干个客户端主机构成，所述安全管理中心由一个管理控制台和一个安全数据库组成，所述系统在所述主域服务器上安装相应的域管理代理软件后，通过所述安全管理中心的管理控制台这些主域服务器的进行集中授权和管理，所述的管理控制台是一个在Windows系列上运行应用程序，实现了统一的管理界面，通过所述的管理界面用户、用户组、域、应用及其它们之间的关系进行管理；用户、用户组的全局同步；用户进行授权。

上述安全管理中心的管理控制台实现主域服务器的集中授权和管理，包括如下步骤：

a.在各个主域服务器上安装域管理代理软件；

b.在所述管理控制台上添加各个安装好了域管理代理软件的主域服务器；

c.在添加好的主域服务器上再添加各个用户组；

d.在所述管理控制台上添加用户基本信息；

e.所述用户基本信息被存放到所述安全数据库中；用户基本信息包括各个应用的用户名、用户口令以及应用所涉及的主域服务器，所添加的用户可以在不同的主域服务器及用户组上有帐号；

f.所述管理控制台同步将用户基本信息传输到所述主域服务器，与主域服务器的域用户代理进行socket通讯；

g.所述主域服务器的域用户代理通过用户数据处理函数处理用户基本信息；

h.所述客户端主机上用户登录或执行某些被授权的应用，客户端主机登录主域服务器之前需访问所述安全数据库，从所述安全数据库中得到授权用户的基本信息，所述客户端主机根据从所述安全数据库中得到的用户基本信息发出向所述主域服务器的登录。

上述安全管理中心上具有一网络服务提供程序，该程序提供客户端用户身份认证的接口和客户端应用程序SSO的接口。

前述的域管理代理软件包括两个独立模块，用户数据处理模块和Socket通讯模块，在步骤g中，所述域管理代理软件处理用户基本信息的流程如下：

a.系统启动后，由WindowsNT服务控制程序启动用户管理服务；