CN104270368B - 认证方法、认证服务器和认证*** - Google Patents
认证方法、认证服务器和认证*** Download PDFInfo
- Publication number
- CN104270368B CN104270368B CN201410524606.5A CN201410524606A CN104270368B CN 104270368 B CN104270368 B CN 104270368B CN 201410524606 A CN201410524606 A CN 201410524606A CN 104270368 B CN104270368 B CN 104270368B
- Authority
- CN
- China
- Prior art keywords
- windows
- certificate server
- domain servers
- upn
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种认证方法、认证服务器和认证***,其中,认证服务器获取用户名后,向网络中的多个Windows AD域服务器发送携带用户名的查询消息,以使Windows AD域服务器确定是否保存与用户名对应的用户主体名称UPN,若接收一个目标Windows AD域服务器返回的携带UPN的查询响应,则根据UPN构造轻型目录访问协议LDAP认证请求报文,并发送至目标Windows AD域服务器,接收目标Windows AD域服务器发送的认证结果信息。其中,认证服务器根据Windows AD域服务器发送的与用户名对应的UPN构造LDAP认证请求报文,可以使得子域用户认证成功,进一步的使得与用户对应的计算机正常接入网络通信。
Description
技术领域
本发明涉及网络认证技术,尤其涉及一种认证方法、认证服务器和认证***。
背景技术
随着局域网技术的迅速发展,大中型企业的网络安全问题日益突出,各企业面临的网络安全威胁之一就是来自内部的非法访问,因此建立企业内部网络接入防御体系势在必行,现在的企业一般都采用通过802.1X协议和Windows活动目录(Windows ActiveDirectory,简称为:Windows AD)域技术相结合的方案,来实现设备接入的合法验证和管理,并且只有通过Windows AD域认证的计算机才能正常进行网络通信。
现有技术中,当有多个Windows AD域时,此时的Windows AD域认证过程为:用户会首先在认证客户端输入用户名和密码,认证客户端将用户名和密码转发至认证服务器,由于认证服务器并不知道此用户名属于哪个Windows AD域,因此认证服务器会轮询各个Windows AD域服务器,具体为:首先认证服务器根据用户名、密码和当前需查询的WindowsAD域对应的域名构造轻型目录访问协议(Lightweight Directory Access Protocol,简称为:LDAP)认证请求报文,并且在设置LDAP认证请求报文中的用户主体名称(UserPrincipal Name,简称为:UPN)时,采用固定的方式,即将用户名与当前需查询的WindowsAD域对应的域名拼接起来,然后将构造的LDAP认证请求报文发送给当前需查询的WindowsAD域服务器,Windows AD域服务器接收到LDAP认证请求报文后,校验用户身份并将结果反馈给认证服务器,认证服务器接收到校验结果后,如果登录失败,则继续轮询其他WindowsAD域服务器;如果认证成功,则从Windows AD域服务器中获取用户信息并保存在本地,同时打开用户所属的802.1X交换机的受控口,使得用户的计算机可以正常接入网络通信。
但如果多个Windows AD域服务器的配置环境为Windows AD域森林,由于WindowsAD域森林自身的特殊性,Windows AD域服务器上一般将子域的UPN中的域名部分可以配置为父域域名,而利用现有技术中构造UPN的方式,认证服务器会将请求认证的用户名直接与该子域对应的子域自身的域名拼接,从而导致用户名认证失败,用户的计算机无法正常接入网络通信。
发明内容
本发明实施例提供一种认证方法、认证服务器和认证***,以克服现有技术中无法使得子域用户得到认证的问题。
本发明第一方面提供一种认证方法,包括:
认证服务器获取用户名;
所述认证服务器向网络中的多个Windows活动目录AD域服务器发送查询消息,所述查询消息中携带所述用户名,以使所述Windows AD域服务器确定是否保存有与所述用户名对应的用户主体名称UPN;
若所述认证服务器接收一个目标所述Windows AD域服务器返回的查询响应,所述查询响应中携带所述UPN,则所述认证服务器根据所述UPN构造轻型目录访问协议LDAP认证请求报文,并将所述LDAP认证请求报文发送至所述目标Windows AD域服务器;
所述认证服务器接收所述目标Windows AD域服务器发送的认证结果信息。
在第一方面的第一种可能的实现方式中,所述认证服务器向网络中的多个Windows AD域服务器发送查询消息之前,还包括:
所述认证服务器确定与各个Windows AD域服务器对应的公用查询账号,并将所述公用查询账号携带在所述查询消息中。
结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述认证服务器向网络中的多个Windows AD域服务器发送查询消息,具体包括:
所述认证服务器采用轮询方式依次向所述多个Windows AD域服务器发送查询消息,直至所述认证服务器接收所述目标Windows AD域服务器发送的所述查询响应。
结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第三种可能的实现方式中,所述认证服务器接收一个目标所述Windows AD域服务器返回的查询响应之后,还包括:
所述认证服务器保存与所述用户名对应的UPN,以便与所述UPN对应的所述目标Windows AD域服务器进行后续的用户名认证。
本发明第二方面提供一种认证服务器,包括:
获取模块,用于获取用户名;
发送模块,用于向网络中的多个Windows活动目录AD域服务器发送查询消息,所述查询消息中携带所述获取模块获取的所述用户名,以使所述Windows AD域服务器确定是否保存有与所述用户名对应的用户主体名称UPN;
第一确定模块,若接收一个目标所述Windows AD域服务器返回的查询响应,所述查询响应中携带所述UPN,则根据所述UPN构造轻型目录访问协议LDAP认证请求报文,并将所述LDAP认证请求报文发送至所述目标Windows AD域服务器;
接收模块,用于接收所述目标Windows AD域服务器发送的认证结果信息。
在第二方面的第一种可能的实现方式中,还包括:第二确定模块,用于在所述发送模块向网络中的多个Windows AD域服务器发送查询消息之前,确定与各个Windows AD域服务器对应的公用查询账号,并将所述公用查询账号携带在所述查询消息中。
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述发送模块,具体用于:采用轮询方式依次向所述多个Windows AD域服务器发送查询消息,直至所述认证服务器接收所述目标Windows AD域服务器发送的所述查询响应。
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第三种可能的实现方式中,还包括:存储模块,用于在所述第一确定模块接收一个目标所述Windows AD域服务器返回的查询响应之后,保存与所述用户名对应的UPN,以便与所述UPN对应的所述目标Windows AD域服务器进行后续的用户名认证。
本发明第三方面提供一种认证***,包括:如权利要求第二方面或第二方面的第一种可能的实现方式中所述的认证服务器和多个Windows活动目录AD域服务器。
在第三方面的第一种可能的实现方式中,所述Windows AD域服务器用于接收所述认证服务器发送的查询消息,所述查询消息中携带用户名;
所述Windows AD域服务器查询是否保存有与所述用户名对应的用户主体名称UPN,
若保存有,所述Windows AD域服务器向所述认证服务器发送查询响应,所述查询响应中携带所述UPN,以使所述认证服务器根据所述UPN构造轻型目录访问协议LDAP认证请求报文;
所述Windows AD域服务器接收所述认证服务器发送的LDAP认证请求报文;
所述Windows AD域服务器根据接收的所述LDAP认证请求报文,发送认证结果信息至所述认证服务器。
本发明提了一种认证方法、认证服务器和认证***,其中,认证服务器获取用户名后,向网络中的多个Windows AD域服务器发送携带用户名的查询消息,以使Windows AD域服务器确定是否保存有与用户名对应的用户主体名称UPN,若认证服务器接收一个目标Windows AD域服务器返回的查询响应,查询响应中携带UPN,则认证服务器根据UPN构造轻型目录访问协议LDAP认证请求报文,并将LDAP认证请求报文发送至目标Windows AD域服务器,并接收目标Windows AD域服务器发送的认证结果信息。其中,认证服务器根据查询到的目标Windows AD域服务器发送的与用户名对应的UPN构造LDAP认证请求报文,可以使得子域用户认证成功,进一步的使得与用户对应的计算机正常接入网络通信。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种认证方法的流程图;
图2为本发明实施例提供的一种认证服务器的结构示意图一;
图3为本发明实施例提供的一种认证服务器的结构示意图二;
图4为本发明实施例提供的一种认证服务器的结构示意图三;
图5为本发明实施例提供的一种认证***的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种认证方法的流程图,如图1所示,本实施例的方法可以包括:
步骤101:认证服务器获取用户名。
具体的,认证服务器会获取待认证的用户名和密码。
步骤102:认证服务器向网络中的多个Windows活动目录AD域服务器发送查询消息,查询消息中携带用户名,以使Windows AD域服务器确定是否保存有与用户名对应的用户主体名称UPN。
具体的,当认证服务器获取到待认证的用户名后,认证服务器会采用轮询方式依次向多个Windows AD域服务器发送查询消息,其中,查询消息中包括Windows AD域服务器对应的公用查询账号以及待认证的用户名。
当Windows AD域服务器接收到认证服务器发送的查询消息后,根据查询消息中携带的待认证用户名,在自身维护的域用户表中查询是否保存有与待认证用户名对应的UPN,然后发送查询结果至认证服务器,若Windows AD域服务器查询到自身保存有与待认证用户名对应的UPN,则发送查询响应至认证服务器,查询响应中携带所查询到的与待认证用户名对应的UPN,以使认证服务器根据查询到的UPN执行后续认证过程;若Windows AD域服务器查询自身并未保存有与待认证用户名对应的UPN,则直接发送查询响应至认证服务器,查询响应中携带查询失败消息,以使认证服务器向其他Windows AD域服务器发送查询消息。
其中,域用户表保存UPN与密码的对应关系,Windows AD域服务器对应的公用查询账号可以提前预置在认证服务器中,也可为认证服务器主动向Windows AD域服务器发送请求公用查询账号,以使自身具备查询Windows AD域服务器的权限,本发明不对获取公用查询账号的方式加以限制。
步骤103:若认证服务器接收一个目标Windows AD域服务器返回的查询响应,查询响应中携带UPN,则认证服务器根据UPN构造轻型目录访问协议LDAP认证请求报文,并将LDAP认证请求报文发送至目标Windows AD域服务器。
具体的,当认证服务器接收到一个目标Windows AD域服务器返回的查询响应后,根据查询响应消息中携带的UPN构造LDAP认证请求报文,并将LDAP认证请求报文发送至目标Windows AD域服务器,其中,LDAP认证请求报文不仅携带与待认证用户名对应的UPN,还携带认证服务器获取的与待认证用户名对应的密码。
步骤104:认证服务器接收目标Windows AD域服务器发送的认证结果信息。
具体的,认证服务器发送LDAP认证请求报文至目标Windows AD域服务器后,如果目标Windows AD域服务器校验LDAP认证请求报文中携带的UPN与密码正确,则发送认证响应结果消息至认证服务器,以使待认证的用户名和密码对应的计算机可以正常接入网络通信。
可选的,本发明可以应用于基于802.1X与Windows AD域联动认证的过程,具体的,用户在802.1X认证客户端输入用户名和密码发起认证,其中,802.1X客户端是客户端设备中运行的软件或独立运行的计算机软件,作用是接收认证必须的信息(通常是用户名和密码),按照802.1X协议规定的格式,封装成相应报文,发送给认证者,同时处理认证者回应的响应报文,执行客户端的认证流程。
认证者(认证设备)接收802.1X认证客户端发起的认证请求,并将认证请求进行相应的处理,然后封装成高层协议(IP层之上的协议)转发到认证服务器中进行认证,如果认证服务器认为802.1X客户端中用户输入的用户名和密码认证成功,则允许802.1X认证客户端访问需要的网络资源,如果认证服务器认为802.1X客户端中用户输入的用户名和密码认证失败,则不允许802.1X认证客户端访问网络资源。本发明中,认证者可以为802.1X交换机。
其中,802.1X认证客户端和802.1X交换机之间采用扩展认证协议(ExpandedAuthentication Protocol,简称:EAP)交换认证信息,因为EAP报文是封装在以太网的802.3帧进行发送的,所以802.1X认证客户端和802.1X交换机之间实际交互的报文是EAPOL(EAP Over LAN)报文。
802.1X交换机和认证服务器之间也是交互EAP报文,但通常将EAP报文封装在远程用户拨号认证***协议(Remote Authentication Dial In User Service,简称:Radius)这类高层协议中进行交互。
802.1X认证客户端连接802.1X交换机的端口,其端口内部被逻辑的分成受控端口(Controlled Port)和非受控端口(UnControlled Port)两种。非受控端口用来传递EAPOL报文,始终处于双向联通状态,可以随时接收和发送EAPOL报文;受控端口用来传递其他网络报文(客户端访问网络资源的数据报文),默认不开启,即不转发任何报文,只有802.1X认证成功后,才允许转发网络报文。
可选的,在本发明的一种可实现的方式中,执行认证的过程可以为:在认证服务器获取到待认证的用户名和密码后,首先会查询自身是否已经保存与用户名对应的WindowsAD域服务器信息和UPN信息,若认证服务器自身已经保存,直接建立LDAP认证请求报文,并将LDAP认证请求报文发送至对应的Windows AD域服务器,其中,LDAP认证请求报文中携带与用户名对应的UPN以及与待认证的用户名对应的密码,当Windows AD域服务器接收到认证服务器发送的LDAP认证请求报文后,检查自身是否维护LDAP认证请求报文中携带的UPN,并且校验密码是否正确,若Windows AD域服务器检查自身维护UPN,且密码正确,则WindowsAD域服务器发送认证响应结果信息至认证服务器,认证服务器接收认证响应结果信息,并确定认证成功,将认证响应结果消息转发至802.1X交换机,以使802.1X交换机中的受控端口开启,使得用户的计算机正常接入网络,进行通信。
在本发明的另一种可实现的方式中,执行认证的过程可以为:若认证服务器自身没有保存与用户名对应的Windows AD域服务器信息和UPN信息,认证服务器发送查询消息至认证服务器,查询与用户名对应的UPN,其中查询消息中携带待认证的用户名以及与待查询的Windows AD域服务器对应的公用查询账号,当Windows AD域服务器接收到查询消息后,若Windows AD域服务器查询自身并未保存与用户名对应的UPN,则直接发送查询响应至认证服务器,查询响应中携带查询失败消息,以使认证服务器向其他Windows AD域服务器发送查询消息。
认证服务器接收查询响应后,向其他Windows AD域服务器继续发送查询消息,直到接收到目标Windows AD域服务器发送的查询响应,且查询响应中携带与待认证的用户名对应的UPN,认证服务器根据接收到的与待认证的用户名对应的UPN,构造LDAP认证请求报文,此报文中包括目标Windows AD域服务器发送的与用户名对应的UPN以及待认证的用户名对应的密码,并将该LDAP认证请求报文发送至目标Windows AD域服务器,如果认证成功,也即与待认证的用户名对应的UPN以及密码正确,则目标Windows AD域服务器发送认证响应结果至认证服务器,然后,认证服务器将认证结果发送至802.1X交换机,以使802.1X交换机开启受控端口,并使待认证的用户名和密码对应的计算机可以正常接入网络。
可选的,当认证服务器接收目标Windows AD域服务器发送的与用户名对应的UPN后,会将此UPN保存至本地,以便和与UPN对应的目标Windows AD域服务器进行后续的用户名认证。
可选的,本发明的提供的方法可应用于Windows AD域为Windows AD域森林的场景,由于在现有技术中构造UPN的方式,即UPN=username@domainName,其中,username为用户输入的用户名,而domainName为用户名本身对应的域名服务器的域名,具体的,WindowsAD域服务器上保存的子域的UPN中的域名可以父域域名,认证服务器构造LDAP认证请求报文中的UPN时,子域的UPN对应的域名部分会配置为子域自身的域名,例如,有父域yf8b.com和子域test.yf8b.com,则认证服务器在为子域test.yf8b.com上的用户构造LDAP认证请求报文时,会选择test.yf8b.com域名构造UPN,其中UPN=username@domainName,也即,UPN只是单纯的将用户名和域名拼接(即父域用户拼接父域域名,子域用户拼接子域域名),但这种单纯的将用户名和域名拼接的方式将会导致子域用户(Windows AD域服务器上保存的子域用户的UPN域名部分为父域域名)无法被认证,从而无法接入网络正常通信。
例如:下表所示三个AD域账号,其中rootuser为父域的用户,subuser1和subuser3为子域的用户,UPN采取拼接的做法就会导致subuser1无法正确认证。
| 用户名 | 所属AD域域名 | 所属AD域IP | userPrincipalName实际值 |
| rootuser | yf8b.com | 172.18.34.43 | [email protected] |
| subuser1 | test.yf8b.com | 172.18.34.42 | [email protected] |
| subuser3 | test.yf8b.com | 172.18.34.42 | [email protected] |
其中,subuser1采用现有技术中的构造UPN的方式,即单纯的将用户名和域名拼接的方式,就会将本来应该为[email protected]的UPN拼接成为[email protected],从而导致subuser1用户无法得到认证,无法接入网络进行正常通信。
而根据本申请提供的认证方法,首先会根据用户名subuser1构造查询消息,并轮询Windows AD域森林中的所有Windows AD域服务器,直到接收到Windows AD域服务器发送的与用户名subuser1相关的UPN,即接收到UPN=[email protected](查询到的实际值),此时认证服务器就可以直接根据接收到的UPN构造LDAP认证请求报文,其中,LDAP请求报文中还包括认证服务器获取的用户输入的与待认证的用户名对应的密码,然后将LDAP认证请求报文发送至对应的Windows AD域服务器,然后由Windows AD域服务器执行后续的认证过程,此过程与现有技术中认证的方式相同,此处不再赘述。
可选的,本实施例仅为Windows AD域森林为二级域结构(父域和子域)时的情景,但在实际中本实施例提供的认证方法还可以应用于Windows AD域森林为多级域结构的情景。
本发明实施例提了一种认证方法,其中,认证服务器获取用户名后,向网络中的多个Windows AD域服务器发送携带用户名的查询消息,以使Windows AD域服务器确定是否保存有与用户名对应的用户主体名称UPN,若认证服务器接收一个目标Windows AD域服务器返回的查询响应,查询响应中携带UPN,则认证服务器根据UPN构造轻型目录访问协议LDAP认证请求报文,并将LDAP认证请求报文发送至目标Windows AD域服务器,并接收目标Windows AD域服务器发送的认证结果信息。其中,认证服务器根据查询到的目标WindowsAD域服务器发送的与用户名对应的UPN构造LDAP认证请求报文,可以使得子域用户认证成功,进一步的使得与用户对应的计算机正常接入网络通信。
图2为本发明实施例提供的一种认证服务器的结构示意图,如图2所示,本实施例提供的认证服务器200,包括:
获取模块201,用于获取用户名;
发送模块202,用于向网络中的多个Windows活动目录AD域服务器发送查询消息,所述查询消息中携带所述获取模块201获取的所述用户名,以使所述Windows AD域服务器确定是否保存有与所述用户名对应的用户主体名称UPN;
第一确定模块203,若接收一个目标所述Windows AD域服务器返回的查询响应,所述查询响应中携带所述UPN,则根据所述UPN构造轻型目录访问协议LDAP认证请求报文,并将所述LDAP认证请求报文发送至所述目标Windows AD域服务器;
接收模块204,用于接收所述目标Windows AD域服务器发送的认证结果信息。
进一步的,如图3所示,本发明实施例提供的认证服务器200,还包括:第二确定模块205,用于在所述发送模块202向网络中的多个Windows AD域服务器发送查询消息之前,确定与各个Windows AD域服务器对应的公用查询账号,并将所述公用查询账号携带在所述查询消息中。
可选的,所述发送模块202,具体用于:采用轮询方式依次向所述多个Windows AD域服务器发送查询消息,直至所述认证服务器接收所述目标Windows AD域服务器发送的所述查询响应。
进一步的,如图4所示,本发明实施例提供的认证服务器200还包括:存储模块206,用于在所述第一确定模块203接收一个目标所述Windows AD域服务器返回的查询响应之后,保存与所述用户名对应的UPN,以便与所述UPN对应的所述目标Windows AD域服务器进行后续的用户名认证。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图5为本发明实施例提供一种认证***的结构示意图,如图5所示,本实施例提供的认证***300包括:认证服务器301和多个Windows AD域服务器302,其中认证服务器301可以采用图2-图4任一认证服务器实施例的结构,并可执行图1中方法实施例的技术方案,多个Windows AD域服务器302中的每一个Windows AD域服务器302用于执行:
所述Windows AD域服务器302用于接收所述认证服务器301发送的查询消息,所述查询消息中携带用户名;
所述Windows AD域服务器302查询是否保存有与所述用户名对应的用户主体名称UPN,
若保存有,所述Windows AD域服务器302向所述认证服务器301发送查询响应,所述查询响应中携带所述UPN,以使所述认证服务器301根据所述UPN构造轻型目录访问协议LDAP认证请求报文;
所述Windows AD域服务器302接收所述认证服务器301发送的LDAP认证请求报文;
所述Windows AD域服务器302根据接收的所述LDAP认证请求报文,发送认证结果信息至所述认证服务器301。
本实施例提供的认证***300与图1中方法实施例的实现原理和技术效果类似,此处不再赘述。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种认证方法,其特征在于,包括:
认证服务器获取用户名;
所述认证服务器向网络中的多个Windows活动目录AD域服务器发送查询消息,所述查询消息中携带所述用户名,以使所述Windows AD域服务器确定是否保存有与所述用户名对应的用户主体名称UPN;
若所述认证服务器接收一个目标所述Windows AD域服务器返回的查询响应,所述查询响应中携带所述UPN,则所述认证服务器根据所述UPN构造轻型目录访问协议LDAP认证请求报文,并将所述LDAP认证请求报文发送至所述目标Windows AD域服务器;
所述认证服务器接收所述目标Windows AD域服务器发送的认证结果信息。
2.根据权利要求1所述的方法,其特征在于,所述认证服务器向网络中的多个WindowsAD域服务器发送查询消息之前,还包括:
所述认证服务器确定与各个Windows AD域服务器对应的公用查询账号,并将所述公用查询账号携带在所述查询消息中。
3.根据权利要求1或2所述的方法,其特征在于,所述认证服务器向网络中的多个Windows AD域服务器发送查询消息,具体包括:
所述认证服务器采用轮询方式依次向所述多个Windows AD域服务器发送查询消息,直至所述认证服务器接收所述目标Windows AD域服务器发送的所述查询响应。
4.根据权利要求1或2所述的方法,其特征在于,所述认证服务器接收一个目标所述Windows AD域服务器返回的查询响应之后,还包括:
所述认证服务器保存与所述用户名对应的UPN,以便与所述UPN对应的所述目标Windows AD域服务器进行后续的用户名认证。
5.一种认证服务器,其特征在于,包括:
获取模块,用于获取用户名;
发送模块,用于向网络中的多个Windows活动目录AD域服务器发送查询消息,所述查询消息中携带所述获取模块获取的所述用户名,以使所述Windows AD域服务器确定是否保存有与所述用户名对应的用户主体名称UPN;
第一确定模块,若接收一个目标所述Windows AD域服务器返回的查询响应,所述查询响应中携带所述UPN,则根据所述UPN构造轻型目录访问协议LDAP认证请求报文,并将所述LDAP认证请求报文发送至所述目标Windows AD域服务器;
接收模块,用于接收所述目标Windows AD域服务器发送的认证结果信息。
6.根据权利要求5所述的认证服务器,其特征在于,还包括:第二确定模块,用于在所述发送模块向网络中的多个Windows AD域服务器发送查询消息之前,确定与各个Windows AD域服务器对应的公用查询账号,并将所述公用查询账号携带在所述查询消息中。
7.根据权利要求5或6所述的认证服务器,其特征在于,所述发送模块,具体用于:采用轮询方式依次向所述多个Windows AD域服务器发送查询消息,直至所述认证服务器接收所述目标Windows AD域服务器发送的所述查询响应。
8.根据权利要求5或6所述的认证服务器,其特征在于,还包括:存储模块,用于在所述第一确定模块接收一个目标所述Windows AD域服务器返回的查询响应之后,保存与所述用户名对应的UPN,以便与所述UPN对应的所述目标Windows AD域服务器进行后续的用户名认证。
9.一种认证***,其特征在于,包括:如权利要求5-8任一项所述的认证服务器和多个Windows活动目录AD域服务器。
10.根据权利要求9所述的认证***,其特征在于,所述Windows AD域服务器用于接收所述认证服务器发送的查询消息,所述查询消息中携带用户名;
所述Windows AD域服务器查询是否保存有与所述用户名对应的用户主体名称UPN,
若保存有,所述Windows AD域服务器向所述认证服务器发送查询响应,所述查询响应中携带所述UPN,以使所述认证服务器根据所述UPN构造轻型目录访问协议LDAP认证请求报文;
所述Windows AD域服务器接收所述认证服务器发送的LDAP认证请求报文;
所述Windows AD域服务器根据接收的所述LDAP认证请求报文,发送认证结果信息至所述认证服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410524606.5A CN104270368B (zh) | 2014-10-08 | 2014-10-08 | 认证方法、认证服务器和认证*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410524606.5A CN104270368B (zh) | 2014-10-08 | 2014-10-08 | 认证方法、认证服务器和认证*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104270368A CN104270368A (zh) | 2015-01-07 |
| CN104270368B true CN104270368B (zh) | 2017-11-03 |
Family
ID=52161858
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410524606.5A Active CN104270368B (zh) | 2014-10-08 | 2014-10-08 | 认证方法、认证服务器和认证*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104270368B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230683B (zh) * | 2016-07-29 | 2019-06-21 | 北京北信源软件股份有限公司 | 一种联动认证动态vlan切换的方法及*** |
| CN106506239B (zh) * | 2016-12-09 | 2020-02-11 | 上海斐讯数据通信技术有限公司 | 在组织单位域中进行认证的方法及*** |
| CN110399713B (zh) * | 2018-07-27 | 2024-06-25 | 腾讯科技(北京)有限公司 | 一种信息认证的方法及相关装置 |
| CN111787007B (zh) * | 2020-06-30 | 2022-09-16 | 北京天融信网络安全技术有限公司 | 信息处理方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986598A (zh) * | 2010-10-27 | 2011-03-16 | 北京星网锐捷网络技术有限公司 | 认证方法、服务器及*** |
| CN102307099A (zh) * | 2011-09-06 | 2012-01-04 | 北京星网锐捷网络技术有限公司 | 认证方法、***及认证服务器 |
| CN102325029A (zh) * | 2011-09-20 | 2012-01-18 | 深圳市深信服电子科技有限公司 | Ad域单点登录的方法和服务器 |
| CN102970308A (zh) * | 2012-12-21 | 2013-03-13 | 北京网康科技有限公司 | 一种用户认证方法及服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE539413T1 (de) * | 2007-06-14 | 2012-01-15 | Software Ag | Verfahren und system zur authentifizierung eines benutzers |
-
2014
- 2014-10-08 CN CN201410524606.5A patent/CN104270368B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986598A (zh) * | 2010-10-27 | 2011-03-16 | 北京星网锐捷网络技术有限公司 | 认证方法、服务器及*** |
| CN102307099A (zh) * | 2011-09-06 | 2012-01-04 | 北京星网锐捷网络技术有限公司 | 认证方法、***及认证服务器 |
| CN102325029A (zh) * | 2011-09-20 | 2012-01-18 | 深圳市深信服电子科技有限公司 | Ad域单点登录的方法和服务器 |
| CN102970308A (zh) * | 2012-12-21 | 2013-03-13 | 北京网康科技有限公司 | 一种用户认证方法及服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104270368A (zh) | 2015-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10972478B2 (en) | Data processing method and apparatus, terminal, and access point computer | |
| US9344421B1 (en) | User access authentication based on network access point | |
| CN104753887B (zh) | 安全管控实现方法、***及云桌面*** | |
| CN105187431B (zh) | 第三方应用的登录方法、服务器、客户端及通信*** | |
| CN107493280A (zh) | 用户认证的方法、智能网关及认证服务器 | |
| CN105493453B (zh) | 一种实现远程接入的方法、装置及*** | |
| CN108667612A (zh) | 一种基于区块链的信任服务架构及方法 | |
| ES2607495T3 (es) | Testigo móvil | |
| CN104159225A (zh) | 一种基于无线网络的实名制管理方法及*** | |
| CN107070945A (zh) | 身份登录方法及设备 | |
| CN103503408A (zh) | 用于提供访问凭证的***和方法 | |
| CN101986598B (zh) | 认证方法、服务器及*** | |
| CN101714918A (zh) | 一种登录vpn的安全***以及登录vpn的安全方法 | |
| CN104270368B (zh) | 认证方法、认证服务器和认证*** | |
| CN108881308A (zh) | 一种用户终端及其认证方法、***、介质 | |
| CN106230594B (zh) | 一种基于动态口令进行用户认证的方法 | |
| CN101087236B (zh) | Vpn接入方法和设备 | |
| CN106656911A (zh) | 一种Portal认证方法、接入设备和管理服务器 | |
| CN104702562B (zh) | 终端融合业务接入方法、***与终端 | |
| CN104580553A (zh) | 网络地址转换设备的识别方法和装置 | |
| CN109495503A (zh) | 一种ssl vpn认证方法、客户端、服务器及网关 | |
| CN103634111B (zh) | 单点登录方法和***及单点登录客户端 | |
| CN108600234A (zh) | 一种身份验证方法、装置和移动终端 | |
| CN109548022A (zh) | 一种移动终端用户远程接入本地网络的方法 | |
| CN105592180A (zh) | 一种Portal认证的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee after: RUIJIE NETWORKS Co.,Ltd. Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee before: Beijing Star-Net Ruijie Networks Co.,Ltd. |