亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

認證方法、認證服務(wù)器和認證系統(tǒng)的制作方法

文檔序號:7816284閱讀:281來源:國知局
認證方法、認證服務(wù)器和認證系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種認證方法、認證服務(wù)器和認證系統(tǒng),其中,認證服務(wù)器獲取用戶名后,向網(wǎng)絡(luò)中的多個Windows AD域服務(wù)器發(fā)送攜帶用戶名的查詢消息,以使Windows AD域服務(wù)器確定是否保存與用戶名對應(yīng)的用戶主體名稱UPN,若接收一個目標Windows AD域服務(wù)器返回的攜帶UPN的查詢響應(yīng),則根據(jù)UPN構(gòu)造輕型目錄訪問協(xié)議LDAP認證請求報文,并發(fā)送至目標Windows AD域服務(wù)器,接收目標Windows AD域服務(wù)器發(fā)送的認證結(jié)果信息。其中,認證服務(wù)器根據(jù)Windows AD域服務(wù)器發(fā)送的與用戶名對應(yīng)的UPN構(gòu)造LDAP認證請求報文,可以使得子域用戶認證成功,進一步的使得與用戶對應(yīng)的計算機正常接入網(wǎng)絡(luò)通信。
【專利說明】認證方法、認證服務(wù)器和認證系統(tǒng)

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)認證技術(shù),尤其涉及一種認證方法、認證服務(wù)器和認證系統(tǒng)。

【背景技術(shù)】
[0002] 隨著局域網(wǎng)技術(shù)的迅速發(fā)展,大中型企業(yè)的網(wǎng)絡(luò)安全問題日益突出,各企業(yè)面臨 的網(wǎng)絡(luò)安全威脅之一就是來自內(nèi)部的非法訪問,因此建立企業(yè)內(nèi)部網(wǎng)絡(luò)接入防御體系勢 在必行,現(xiàn)在的企業(yè)一般都采用通過802. IX協(xié)議和Windows活動目錄(Windows Active Directory,簡稱為:Windows AD)域技術(shù)相結(jié)合的方案,來實現(xiàn)設(shè)備接入的合法驗證和管 理,并且只有通過Windows AD域認證的計算機才能正常進行網(wǎng)絡(luò)通信。
[0003] 現(xiàn)有技術(shù)中,當有多個Windows AD域時,此時的Windows AD域認證過程為:用戶 會首先在認證客戶端輸入用戶名和密碼,認證客戶端將用戶名和密碼轉(zhuǎn)發(fā)至認證服務(wù)器, 由于認證服務(wù)器并不知道此用戶名屬于哪個Windows AD域,因此認證服務(wù)器會輪詢各個 Windows AD域服務(wù)器,具體為:首先認證服務(wù)器根據(jù)用戶名、密碼和當前需查詢的Windows AD域?qū)?yīng)的域名構(gòu)造輕型目錄訪問協(xié)議(Lightweight Directory Access Protocol, 簡稱為:LDAP)認證請求報文,并且在設(shè)置LDAP認證請求報文中的用戶主體名稱(User Principal Name,簡稱為:UPN)時,米用固定的方式,即將用戶名與當前需查詢的Windows AD域?qū)?yīng)的域名拼接起來,然后將構(gòu)造的LDAP認證請求報文發(fā)送給當前需查詢的Windows AD域服務(wù)器,Windows AD域服務(wù)器接收到LDAP認證請求報文后,校驗用戶身份并將結(jié)果反 饋給認證服務(wù)器,認證服務(wù)器接收到校驗結(jié)果后,如果登錄失敗,則繼續(xù)輪詢其他Windows AD域服務(wù)器;如果認證成功,則從Windows AD域服務(wù)器中獲取用戶信息并保存在本地,同 時打開用戶所屬的802. IX交換機的受控口,使得用戶的計算機可以正常接入網(wǎng)絡(luò)通信。
[0004] 但如果多個Windows AD域服務(wù)器的配置環(huán)境為Windows AD域森林,由于Windows AD域森林自身的特殊性,Windows AD域服務(wù)器上一般將子域的UPN中的域名部分可以配置 為父域域名,而利用現(xiàn)有技術(shù)中構(gòu)造 UPN的方式,認證服務(wù)器會將請求認證的用戶名直接 與該子域?qū)?yīng)的子域自身的域名拼接,從而導(dǎo)致用戶名認證失敗,用戶的計算機無法正常 接入網(wǎng)絡(luò)通信。


【發(fā)明內(nèi)容】

[0005] 本發(fā)明實施例提供一種認證方法、認證服務(wù)器和認證系統(tǒng),以克服現(xiàn)有技術(shù)中無 法使得子域用戶得到認證的問題。
[0006] 本發(fā)明第一方面提供一種認證方法,包括:
[0007] 認證服務(wù)器獲取用戶名;
[0008] 所述認證服務(wù)器向網(wǎng)絡(luò)中的多個Windows活動目錄AD域服務(wù)器發(fā)送查詢消息,所 述查詢消息中攜帶所述用戶名,以使所述Windows AD域服務(wù)器確定是否保存與所述用戶名 對應(yīng)的用戶主體名稱UPN ;
[0009] 若所述認證服務(wù)器接收一個目標所述Windows AD域服務(wù)器返回的查詢響應(yīng),所述 查詢響應(yīng)中攜帶所述UPN,則所述認證服務(wù)器根據(jù)所述UPN構(gòu)造輕型目錄訪問協(xié)議LDAP認 證請求報文,并將所述LDAP認證請求報文發(fā)送至所述目標Windows AD域服務(wù)器;
[0010] 所述認證服務(wù)器接收所述目標Windows AD域服務(wù)器發(fā)送的認證結(jié)果信息。
[0011] 在第一方面的第一種可能的實現(xiàn)方式中,所述認證服務(wù)器向網(wǎng)絡(luò)中的多個 Windows AD域服務(wù)器發(fā)送查詢消息之前,還包括:
[0012] 所述認證服務(wù)器確定與各個Windows AD域服務(wù)器對應(yīng)的公用查詢賬號,并將所述 公用查詢賬號攜帶在所述查詢消息中。
[0013] 結(jié)合第一方面或第一方面的第一種可能的實現(xiàn)方式,在第一方面的第二種可能的 實現(xiàn)方式中,所述認證服務(wù)器向網(wǎng)絡(luò)中的多個Windows AD域服務(wù)器發(fā)送查詢消息,具體包 括:
[0014] 所述認證服務(wù)器采用輪詢方式依次向所述多個Windows AD域服務(wù)器發(fā)送查詢消 息,直至所述認證服務(wù)器接收所述目標Windows AD域服務(wù)器發(fā)送的所述查詢響應(yīng)。
[0015] 結(jié)合第一方面或第一方面的第一種可能的實現(xiàn)方式,在第一方面的第三種可能的 實現(xiàn)方式中,所述認證服務(wù)器接收一個目標所述Windows AD域服務(wù)器返回的查詢響應(yīng)之 后,還包括:
[0016] 所述認證服務(wù)器保存與所述用戶名對應(yīng)的UPN,以便與所述UPN對應(yīng)的所述目標 Windows AD域服務(wù)器進行后續(xù)的用戶名認證。
[0017] 本發(fā)明第二方面提供一種認證服務(wù)器,包括:
[0018] 獲取模塊,用于獲取用戶名;
[0019] 發(fā)送模塊,用于向網(wǎng)絡(luò)中的多個Windows活動目錄AD域服務(wù)器發(fā)送查詢消息,所 述查詢消息中攜帶所述獲取模塊獲取的所述用戶名,以使所述Windows AD域服務(wù)器確定是 否保存與所述用戶名對應(yīng)的用戶主體名稱UPN ;
[0020] 第一確定模塊,若接收一個目標所述Windows AD域服務(wù)器返回的查詢響應(yīng),所述 查詢響應(yīng)中攜帶所述UPN,則根據(jù)所述UPN構(gòu)造輕型目錄訪問協(xié)議LDAP認證請求報文,并將 所述LDAP認證請求報文發(fā)送至所述目標Windows AD域服務(wù)器;
[0021] 接收模塊,用于接收所述目標Windows AD域服務(wù)器發(fā)送的認證結(jié)果信息。
[0022] 在第二方面的第一種可能的實現(xiàn)方式中,還包括:第二確定模塊,用于在所述發(fā)送 模塊向網(wǎng)絡(luò)中的多個Windows AD域服務(wù)器發(fā)送查詢消息之前,確定與各個Windows AD域 服務(wù)器對應(yīng)的公用查詢賬號,并將所述公用查詢賬號攜帶在所述查詢消息中。
[0023] 結(jié)合第二方面或第二方面的第一種可能的實現(xiàn)方式,在第二方面的第二種可能的 實現(xiàn)方式中,所述發(fā)送模塊,具體用于:采用輪詢方式依次向所述多個Windows AD域服務(wù) 器發(fā)送查詢消息,直至所述認證服務(wù)器接收所述目標Windows AD域服務(wù)器發(fā)送的所述查詢 響應(yīng)。
[0024] 結(jié)合第二方面或第二方面的第一種可能的實現(xiàn)方式,在第二方面的第三種可能的 實現(xiàn)方式中,還包括:存儲模塊,用于在所述第一確定模塊接收一個目標所述Windows AD 域服務(wù)器返回的查詢響應(yīng)之后,保存與所述用戶名對應(yīng)的UPN,以便與所述UPN對應(yīng)的所述 目標Windows AD域服務(wù)器進行后續(xù)的用戶名認證。
[0025] 本發(fā)明第三方面提供一種認證系統(tǒng),包括:如權(quán)利要求第二方面或第二方面的第 一種可能的實現(xiàn)方式中所述的認證服務(wù)器和多個Windows活動目錄AD域服務(wù)器。
[0026] 在第三方面的第一種可能的實現(xiàn)方式中,所述Windows AD域服務(wù)器用于接收所述 認證服務(wù)器發(fā)送的查詢消息,所述查詢消息中攜帶用戶名;
[0027] 所述Windows AD域服務(wù)器查詢是否保存與所述用戶名對應(yīng)的用戶主體名稱UPN,
[0028] 若保存,所述Windows AD域服務(wù)器向所述認證服務(wù)器發(fā)送查詢響應(yīng),所述查詢響 應(yīng)中攜帶所述UPN,以使所述認證服務(wù)器根據(jù)所述UPN構(gòu)造輕型目錄訪問協(xié)議LDAP認證請 求報文;
[0029] 所述Windows AD域服務(wù)器接收所述認證服務(wù)器發(fā)送的LDAP認證請求報文;
[0030] 所述Windows AD域服務(wù)器根據(jù)接收的所述LDAP認證請求報文,發(fā)送認證結(jié)果信 息至所述認證服務(wù)器。
[0031] 本發(fā)明提了一種認證方法、認證服務(wù)器和認證系統(tǒng),其中,認證服務(wù)器獲取用戶名 后,向網(wǎng)絡(luò)中的多個Windows AD域服務(wù)器發(fā)送攜帶用戶名的查詢消息,以使Windows AD 域服務(wù)器確定是否保存與用戶名對應(yīng)的用戶主體名稱UPN,若認證服務(wù)器接收一個目標 Windows AD域服務(wù)器返回的查詢響應(yīng),查詢響應(yīng)中攜帶UPN,則認證服務(wù)器根據(jù)UPN構(gòu)造輕 型目錄訪問協(xié)議LDAP認證請求報文,并將LDAP認證請求報文發(fā)送至目標Windows AD域服 務(wù)器,并接收目標Windows AD域服務(wù)器發(fā)送的認證結(jié)果信息。其中,認證服務(wù)器根據(jù)查詢 到的目標Windows AD域服務(wù)器發(fā)送的與用戶名對應(yīng)的UPN構(gòu)造 LDAP認證請求報文,可以 使得子域用戶認證成功,進一步的使得與用戶對應(yīng)的計算機正常接入網(wǎng)絡(luò)通信。

【專利附圖】

【附圖說明】
[0032]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作一簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā) 明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以 根據(jù)這些附圖獲得其他的附圖。
[0033] 圖1為本發(fā)明實施例提供的一種認證方法的流程圖;
[0034] 圖2為本發(fā)明實施例提供的一種認證服務(wù)器的結(jié)構(gòu)示意圖一;
[0035] 圖3為本發(fā)明實施例提供的一種認證服務(wù)器的結(jié)構(gòu)示意圖二;
[0036] 圖4為本發(fā)明實施例提供的一種認證服務(wù)器的結(jié)構(gòu)示意圖三;
[0037] 圖5為本發(fā)明實施例提供的一種認證系統(tǒng)的結(jié)構(gòu)示意圖。

【具體實施方式】
[0038]為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合本發(fā)明實施例 中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例是 本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員 在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0039]圖1為本發(fā)明實施例提供的一種認證方法的流程圖,如圖1所示,本實施例的方法 可以包括:
[0040]步驟101 :認證服務(wù)器獲取用戶名。
[0041] 具體的,認證服務(wù)器會獲取待認證的用戶名和密碼。
[0042]步驟102 :認證服務(wù)器向網(wǎng)絡(luò)中的多個Windows活動目錄AD域服務(wù)器發(fā)送查詢消 息,查詢消息中攜帶用戶名,以使Windows AD域服務(wù)器確定是否保存與用戶名對應(yīng)的用戶 主體名稱UPN。
[0043] 具體的,當認證服務(wù)器獲取到待認證的用戶名后,認證服務(wù)器會采用輪詢方式依 次向多個Windows AD域服務(wù)器發(fā)送查詢消息,其中,查詢消息中包括Windows AD域服務(wù)器 對應(yīng)的公用查詢賬號以及待認證的用戶名。
[0044] 當Windows AD域服務(wù)器接收到認證服務(wù)器發(fā)送的查詢消息后,根據(jù)查詢消息中攜 帶的待認證用戶名,在自身維護的域用戶表中查詢是否保存有與待認證用戶名對應(yīng)的UPN, 然后發(fā)送查詢結(jié)果至認證服務(wù)器,若Windows AD域服務(wù)器查詢到自身保存與待認證用戶名 對應(yīng)的UPN,則發(fā)送查詢響應(yīng)至認證服務(wù)器,查詢響應(yīng)中攜帶所查詢到的與待認證用戶名對 應(yīng)的UPN,以使認證服務(wù)器根據(jù)查詢到的UPN執(zhí)行后續(xù)認證過程;若Windows AD域服務(wù)器 查詢自身并未保存與待認證用戶名對應(yīng)的UPN,則直接發(fā)送查詢響應(yīng)至認證服務(wù)器,查詢響 應(yīng)中攜帶查詢失敗消息,以使認證服務(wù)器向其他Windows AD域服務(wù)器發(fā)送查詢消息。
[0045] 其中,域用戶表保存UPN與密碼的對應(yīng)關(guān)系,Windows AD域服務(wù)器對應(yīng)的公用查 詢賬號可以提前預(yù)置在認證服務(wù)器中,也可為認證服務(wù)器主動向Windows AD域服務(wù)器發(fā)送 請求公用查詢賬號,以使自身具備查詢Windows AD域服務(wù)器的權(quán)限,本發(fā)明不對獲取公用 查詢賬號的方式加以限制。
[0046] 步驟103 :若認證服務(wù)器接收一個目標Windows AD域服務(wù)器返回的查詢響應(yīng),查 詢響應(yīng)中攜帶UPN,則認證服務(wù)器根據(jù)UPN構(gòu)造輕型目錄訪問協(xié)議LDAP認證請求報文,并將 LDAP認證請求報文發(fā)送至目標Windows AD域服務(wù)器。
[0047] 具體的,當認證服務(wù)器接收到一個目標Windows AD域服務(wù)器返回的查詢響應(yīng)后, 根據(jù)查詢響應(yīng)消息中攜帶的UPN構(gòu)造 LDAP認證請求報文,并將LDAP認證請求報文發(fā)送至 目標Windows AD域服務(wù)器,其中,LDAP認證請求報文不僅攜帶與待認證用戶名對應(yīng)的UPN, 還攜帶認證服務(wù)器獲取的與待認證用戶名對應(yīng)的密碼。
[0048] 步驟104 :認證服務(wù)器接收目標Windows AD域服務(wù)器發(fā)送的認證結(jié)果信息。
[0049] 具體的,認證服務(wù)器發(fā)送LDAP認證請求報文至目標Windows AD域服務(wù)器后,如果 目標Windows AD域服務(wù)器校驗LDAP認證請求報文中攜帶的UPN與密碼正確,則發(fā)送認證 響應(yīng)結(jié)果消息至認證服務(wù)器,以使待認證的用戶名和密碼對應(yīng)的計算機可以正常接入網(wǎng)絡(luò) 通信。
[0050] 可選的,本發(fā)明可以應(yīng)用于基于802. IX與Windows AD域聯(lián)動認證的過程,具體 的,用戶在802. IX認證客戶端輸入用戶名和密碼發(fā)起認證,其中,802. IX客戶端是客戶端 設(shè)備中運行的軟件或獨立運行的計算機軟件,作用是接收認證必須的信息(通常是用戶名 和密碼),按照802. IX協(xié)議規(guī)定的格式,封裝成相應(yīng)報文,發(fā)送給認證者,同時處理認證者 回應(yīng)的響應(yīng)報文,執(zhí)行客戶端的認證流程。
[0051] 認證者(認證設(shè)備)接收802. IX認證客戶端發(fā)起的認證請求,并將認證請求進 行相應(yīng)的處理,然后封裝成高層協(xié)議(IP層之上的協(xié)議)轉(zhuǎn)發(fā)到認證服務(wù)器中進行認證, 如果認證服務(wù)器認為802. IX客戶端中用戶輸入的用戶名和密碼認證成功,則允許802. IX 認證客戶端訪問需要的網(wǎng)絡(luò)資源,如果認證服務(wù)器認為802. D(客戶端中用戶輸入的用戶 名和密碼認證失敗,則不允許802. IX認證客戶端訪問網(wǎng)絡(luò)資源。本發(fā)明中,認證者可以為 802. IX交換機。
[0052] 其中,802. IX認證客戶端和8〇2· IX交換機之間采用擴展認證協(xié)議(Expanded Authentication Protocol,簡稱:ΕΑΡ)交換認證信息,因為ΕΑΡ報文是封裝在以太網(wǎng)的 802. 3幀進行發(fā)送的,所以802· IX認證客戶端和8〇2· IX交換機之間實際交互的報文是 EAKIL (EAP Over LAN)報文。
[0053] 802. IX交換機和認證服務(wù)器之間也是交互ΕΑΡ報文,但通常將ΕΑΡ報文封裝在 遠程用戶撥號認證系統(tǒng)協(xié)議(Remote Authentication Dial In User Service,簡稱: Radius)這類高層協(xié)議中進行交互。
[0054] 802. IX認證客戶端連接802. IX交換機的端口,其端口內(nèi)部被邏輯的分成受控端 口(Controlled Port)和非受控端口(Uncontrolled Port)兩種。非受控端口用來傳遞 EAP0L報文,始終處于雙向聯(lián)通狀態(tài),可以隨時接收和發(fā)送EAP0L報文;受控端口用來傳遞 其他網(wǎng)絡(luò)報文(客戶端訪問網(wǎng)絡(luò)資源的數(shù)據(jù)報文),默認不開啟,即不轉(zhuǎn)發(fā)任何報文,只有 802. IX認證成功后,才允許轉(zhuǎn)發(fā)網(wǎng)絡(luò)報文。
[0055] 可選的,在本發(fā)明的一種可實現(xiàn)的方式中,執(zhí)行認證的過程可以為:在認證服務(wù)器 獲取到待認證的用戶名和密碼后,首先會查詢自身是否已經(jīng)保存與用戶名對應(yīng)的Windows AD域服務(wù)器信息和UPN信息,若認證服務(wù)器自身已經(jīng)保存,直接建立LDAP認證請求報文, 并將LDAP認證請求報文發(fā)送至對應(yīng)的Windows AD域服務(wù)器,其中,LDAP認證請求報文中 攜帶與用戶名對應(yīng)的UPN以及與待認證的用戶名對應(yīng)的密碼,當Windows AD域服務(wù)器接收 到認證服務(wù)器發(fā)送的LDAP認證請求報文后,檢查自身是否維護LDAP認證請求報文中攜帶 的UPN,并且校驗密碼是否正確,若Windows AD域服務(wù)器檢查自身維護UPN,且密碼正確,則 Windows AD域服務(wù)器發(fā)送認證響應(yīng)結(jié)果信息至認證服務(wù)器,認證服務(wù)器接收認證響應(yīng)結(jié)果 信息,并確定認證成功,將認證響應(yīng)結(jié)果消息轉(zhuǎn)發(fā)至802. IX交換機,以使802. IX交換機中 的受控端口開啟,使得用戶的計算機正常接入網(wǎng)絡(luò),進行通信。
[0056] 在本發(fā)明的另一種可實現(xiàn)的方式中,執(zhí)行認證的過程可以為:若認證服務(wù)器自身 沒有保存與用戶名對應(yīng)的Windows AD域服務(wù)器信息和UPN信息,認證服務(wù)器發(fā)送查詢消息 至認證服務(wù)器,查詢與用戶名對應(yīng)的UPN,其中查詢消息中攜帶待認證的用戶名以及與待查 詢的Windows AD域服務(wù)器對應(yīng)的公用查詢賬號,當Windows AD域服務(wù)器接收到查詢消息 后,若Windows AD域服務(wù)器查詢自身并未保存與用戶名對應(yīng)的UPN,則直接發(fā)送查詢響應(yīng) 至認證服務(wù)器,查詢響應(yīng)中攜帶查詢失敗消息,以使認證服務(wù)器向其他Windows AD域服務(wù) 器發(fā)送查詢消息。
[0057] 認證服務(wù)器接收查詢響應(yīng)后,向其他Windows AD域服務(wù)器繼續(xù)發(fā)送查詢消息,直 到接收到目標Windows AD域服務(wù)器發(fā)送的查詢響應(yīng),且查詢響應(yīng)中攜帶與待認證的用戶名 對應(yīng)的UPN,認證服務(wù)器根據(jù)接收到的與待認證的用戶名對應(yīng)的UPN,構(gòu)造 LDAP認證請求 報文,此報文中包括目標Windows AD域服務(wù)器發(fā)送的與用戶名對應(yīng)的UPN以及待認證的 用戶名對應(yīng)的密碼,并將該LDAP認證請求報文發(fā)送至目標Windows AD域服務(wù)器,如果認 證成功,也即與待認證的用戶名對應(yīng)的UPN以及密碼正確,則目標Windows AD域服務(wù)器發(fā) 送認證響應(yīng)結(jié)果至認證服務(wù)器,然后,認證服務(wù)器將認證結(jié)果發(fā)送至802. IX交換機,以使 802. IX交換機開啟受控端口,并使待認證的用戶名和密碼對應(yīng)的計算機可以正常接入網(wǎng) 絡(luò)。
[0058] 可選的,當認證服務(wù)器接收目標Windows AD域服務(wù)器發(fā)送的與用戶名對應(yīng)的UPN 后,會將此UPN保存至本地,以便和與UPN對應(yīng)的目標Windows AD域服務(wù)器進行后續(xù)的用 戶名認證。
[0059] 可選的,本發(fā)明的提供的方法可應(yīng)用于Windows AD域為Windows AD域森林的場 景,由于在現(xiàn)有技術(shù)中構(gòu)造 UPN的方式,即UPN = username@domainName,其中,username 為用戶輸入的用戶名,而domainName為用戶名本身對應(yīng)的域名服務(wù)器的域名,具體的, Windows AD域服務(wù)器上保存的子域的UPN中的域名可以父域域名,認證服務(wù)器構(gòu)造 LDAP 認證請求報文中的UPN時,子域的UPN對應(yīng)的域名部分會配置為子域自身的域名,例如,有 父域yf8b. com和子域test. yf8b. com,則認證服務(wù)器在為子域test.. yf8b. com上的用戶 構(gòu)造 LDAP認證請求報文時,會選擇test. yf8b. com域名構(gòu)造 UPN,其中UPN = username@ domainName,也即,UPN只是單純的將用戶名和域名拼接(即父域用戶拼接父域域名, 子域用戶拼接子域域名),但這種單純的將用戶名和域名拼接的方式將會導(dǎo)致子域用戶 (Windows AD域服務(wù)器上保存的子域用戶的UPN域名部分為父域域名)無法被認證,從而無 法接入網(wǎng)絡(luò)正常通信。
[0060] 例如:下表所示三個AD域賬號,其中rootuser為父域的用戶,subuserl和 subuser3為子域的用戶,UPN采取拼接的做法就會導(dǎo)致subuserl無法正確認證。
[0061]

【權(quán)利要求】
1. 一種認證方法,其特征在于,包括: 認證服務(wù)器獲取用戶名; 所述認證服務(wù)器向網(wǎng)絡(luò)中的多個Windows活動目錄AD域服務(wù)器發(fā)送查詢消息,所述查 詢消息中攜帶所述用戶名,以使所述Windows AD域服務(wù)器確定是否保存與所述用戶名對應(yīng) 的用戶主體名稱UPN; 若所述認證服務(wù)器接收一個目標所述Windows AD域服務(wù)器返回的查詢響應(yīng),所述查詢 響應(yīng)中攜帶所述UPN,則所述認證服務(wù)器根據(jù)所述UPN構(gòu)造輕型目錄訪問協(xié)議LDAP認證請 求報文,并將所述LDAP認證請求報文發(fā)送至所述目標Windows AD域服務(wù)器; 所述認證服務(wù)器接收所述目標Windows AD域服務(wù)器發(fā)送的認證結(jié)果信息。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述認證服務(wù)器向網(wǎng)絡(luò)中的多個Windows AD域服務(wù)器發(fā)送查詢消息之前,還包括: 所述認證服務(wù)器確定與各個Windows AD域服務(wù)器對應(yīng)的公用查詢賬號,并將所述公用 查詢賬號攜帶在所述查詢消息中。
3. 根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述認證服務(wù)器向網(wǎng)絡(luò)中的多個 Windows AD域服務(wù)器發(fā)送查詢消息,具體包括: 所述認證服務(wù)器采用輪詢方式依次向所述多個Windows AD域服務(wù)器發(fā)送查詢消息,直 至所述認證服務(wù)器接收所述目標Windows AD域服務(wù)器發(fā)送的所述查詢響應(yīng)。
4. 根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述認證服務(wù)器接收一個目標所述 Windows AD域服務(wù)器返回的查詢響應(yīng)之后,還包括: 所述認證服務(wù)器保存與所述用戶名對應(yīng)的UPN,以便與所述UPN對應(yīng)的所述目標 Windows AD域服務(wù)器進行后續(xù)的用戶名認證。
5. -種認證服務(wù)器,其特征在于,包括: 獲取模塊,用于獲取用戶名; 發(fā)送模塊,用于向網(wǎng)絡(luò)中的多個Windows活動目錄AD域服務(wù)器發(fā)送查詢消息,所述查 詢消息中攜帶所述獲取模塊獲取的所述用戶名,以使所述Windows AD域服務(wù)器確定是否保 存與所述用戶名對應(yīng)的用戶主體名稱UPN ; 第一確定模塊,若接收一個目標所述Windows AD域服務(wù)器返回的查詢響應(yīng),所述查詢 響應(yīng)中攜帶所述UPN,則根據(jù)所述UPN構(gòu)造輕型目錄訪問協(xié)議LDAP認證請求報文,并將所述 LDAP認證請求報文發(fā)送至所述目標Windows AD域服務(wù)器; 接收模塊,用于接收所述目標Windows AD域服務(wù)器發(fā)送的認證結(jié)果信息。
6. 根據(jù)權(quán)利要求5所述的認證服務(wù)器,其特征在于,還包括:第二確定模塊,用于在所 述發(fā)送模塊向網(wǎng)絡(luò)中的多個Windows AD域服務(wù)器發(fā)送查詢消息之前,確定與各個Windows AD域服務(wù)器對應(yīng)的公用查詢賬號,并將所述公用查詢賬號攜帶在所述查詢消息中。
7. 根據(jù)權(quán)利要求5或6所述的認證服務(wù)器,其特征在于,所述發(fā)送模塊,具體用于:采 用輪詢方式依次向所述多個Windows AD域服務(wù)器發(fā)送查詢消息,直至所述認證服務(wù)器接收 所述目標Windows AD域服務(wù)器發(fā)送的所述查詢響應(yīng)。
8. 根據(jù)權(quán)利要求5或6所述的認證服務(wù)器,其特征在于,還包括:存儲模塊,用于在所 述第一確定模塊接收一個目標所述Windows AD域服務(wù)器返回的查詢響應(yīng)之后,保存與所述 用戶名對應(yīng)的UPN,以便與所述UPN對應(yīng)的所述目標Windows AD域服務(wù)器進行后續(xù)的用戶 名認證。
9. 一種認證系統(tǒng),其特征在于,包括:如權(quán)利要求5-8任一項所述的認證服務(wù)器和多個 Windows活動目錄AD域服務(wù)器。
10. 根據(jù)權(quán)利要求9所述的認證系統(tǒng),其特征在于,所述Windows AD域服務(wù)器用于接收 所述認證服務(wù)器發(fā)送的查詢消息,所述查詢消息中攜帶用戶名; 所述Windows AD域服務(wù)器查詢是否保存與所述用戶名對應(yīng)的用戶主體名稱UPN, 若保存,所述Windows AD域服務(wù)器向所述認證服務(wù)器發(fā)送查詢響應(yīng),所述查詢響應(yīng)中 攜帶所述UPN,以使所述認證服務(wù)器根據(jù)所述UPN構(gòu)造輕型目錄訪問協(xié)議LDAP認證請求報 文; 所述Windows AD域服務(wù)器接收所述認證服務(wù)器發(fā)送的LDAP認證請求報文; 所述Windows AD域服務(wù)器根據(jù)接收的所述LDAP認證請求報文,發(fā)送認證結(jié)果信息至 所述認證服務(wù)器。
【文檔編號】H04L29/06GK104270368SQ201410524606
【公開日】2015年1月7日 申請日期:2014年10月8日 優(yōu)先權(quán)日:2014年10月8日
【發(fā)明者】李健強 申請人:福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1