加速信创落地，最新国产身份目录服务首发

众所周知，“信创”的内容和目标是在核心芯片、基础硬件、基础软件（操作系统、中间件、数据服务器）等领域实现国产替代。随着新基建理念的推出，“信创”的内容又得到了进一步的扩展。

随着云计算、人工智能、物联 等新兴信息技术的的日益深入应用，安全这一指标已经越来越为企业所重视，这其中既包含数据的安全，也包含应用持续性的安全。其中身份管理既属于基础软件又属于安全范畴，是必不可少的IT基础设施。因此，从政策层面来看，身份管理也面临重建。

目前身份管理基础设施以微软身份目录服务AD为核心，部署在Windows Server中，管理着身份、应用、终端三个层面的资源。

传统IT架构以Windows+Intel架构向自主可控架构演进

而信创体系下的IT环境则是由飞腾、龙芯等国产芯片构成的PC操作系统（统信、麒麟等）以及搭载国产身份目录的Linux服务器等设施构成。新的IT架构下，操作系统、终端、服务器均需重建，身份目录在这一环境下同样面临着重建。

政府、军队、金融、教育、医疗等信创建设重点行业，预计将涉及到数十万个单位需重构身份目录服务。

身份目录服务重构的两个主要技术原因

（1）AD对国产化服务器及终端兼容性问题

AD无法安装在Linux环境中，以及无法对国产操作系统（统信、麒麟等）兼容。

（2）信创身份目录既要兼容微软体系又要满足信创体系

以中立和开放为核心，增强厂商和客户信任

在构建新身份目录基础设施时，势必要通盘考虑产业生态的开放性与适配性。要提高产业链上下游相关产品的兼容适配能力，则采用中立的第三方身份管理基础设施是信创体系身份管理建设的主要方向之一。

信创身份目录既要兼容微软体系，也需要满足信创体系

针对信创体系设计的国产目录服务NDS

国产身份目录服务（Ningdun Directory Service，简称NDS）是由宁盾研发的一款专门面向信创场景的身份管理产品，通过它实现对信创环境下身份、应用、终端三个层面的资源管理以及既有AD体系兼容管理，包括：

NDS完全兼容AD，意味着当应用直接使用或替换成NDS时，无需单独定制或改造，只需简单修改配置即可实现LDAP认证交互，大大降低重复开发和对接的成本。

NDS核心功能

支持国密SM3算法，硬件令牌、手机app令牌、企业微信扫码快捷认证等。

宁盾目录服务NDS能增强AD在弱口令治理及泛终端管理能力，提供对统信、麒麟等国产操作系统的统一登录管理。

以往企业内的用户身份信息储存在AD上，用户基于AD域身份信息登录终端设备及企业业务系统。当AD无法支持国产操作系统、业务系统时，NDS的良好兼容性让企业操作系统与业务系统能无缝对接NDS，实现无感知过渡。

络准入是基础 络身份安全能力，在微软架构下，NPS负责 络策略服务。宁盾目录服务NDS内置 络准入能力，支持员工、访客等不同用户的Portal、802.1x认证方式。其中Portal认证方式灵活多样，适用不同角色用户。802.1x认证兼容AD，可复用操作系统自带的802.1x客户端。

除此之外，NDS提供高级组件，用于增强对Windows、Mac、Linux等操作系统终端合规性以及BYOD、IoT管理。

NDS信创场景应用示例

国产操作系统率先在政务、金融领域使用，当员工在登录国产操作系统时，宁盾目录服务器可基于LDAP目录结构储存用户身份数据，提供统一的目录用户认证。

业务系统无感知对接NDS。以JIRA应用为例，在宁盾目录服务中添加用户后，到JIRA后台配置宁盾目录服务器，与配置AD方式相同，导入宁盾目录服务中的用户后即配置成功。

通过纳管多种类型系统、终端，以加入域的终端为合规条件实施策略管控，提高企业内 终端合规率，提升企业内 安全。

NDS应用价值

后记：技术生态建设

更多应用对接及兼容适配，是推进信创产业能够快速落地的核心。因此，身份目录的后续工作目标是不断丰富与信创生态系统下基础硬件、基础软件、应用软件的兼容，帮助信创客户落地身份管理，充分发挥各系统联动的价值。