Remove From My Forums

第三方应用服务器与AD集成的连接用户，如何创建？

问题
0

登录进行投票

第三方应用服务器与AD集成的连接用户，如何创建？

问题1：

无线、深信服这些系统都可以做AD集成，需要在AD上创建一个用户，用于第三方系统对接时的验证，这个创建的用户，如何设置比较合理？

如果创建一个普通用户，会授审计的影响，每3个月要改一次密码，很容易忘了改密码而导致出错。

有没有一个推荐的方法，解决AD与其他系统对接时创建专用用户的方法？

问题2：

第三方应用与AD集成，有没有系统对接的介绍？

看到有的系统使用的是主机账户验证，有的使用用户验证，有的使用Ldap认证，还有的使用Radius认证，不清楚这些认证的优缺点。

2020年2月6日 6:32

回复

|

引用

全部回复

0

登录进行投票
您好！

关于您的问题，以下是我的解答。

问题一：无线、深信服这些系统都可以做AD集成，需要在AD上创建一个用户，用于第三方系统对接时的验证，这个创建的用户，如何设置比较合理？
如果创建一个普通用户，会授审计的影响，每3个月要改一次密码，很容易忘了改密码而导致出错。有没有一个推荐的方法，解决AD与其他系统对接时创建专用用户的方法？
解答：这要看您应用需要访问哪些资源，决定他需要哪些权限。如果您不想账号密码过期，您可以在创建的时候。选择密码永不过期。

问题二：第三方应用与AD集成，有没有系统对接的介绍？看到有的系统使用的是主机账户验证，有的使用用户验证，有的使用Ldap认证，还有的使用Radius认证，不清楚这些认证的优缺点。
解答：关于您提到的这些认证，似乎是网络上的认证。我这边搜了下，找到以下英文文章讲了些区别，您可以参考：

https://jumpcloud.com/blog/ldap-vs-radius/

https://security.stackexchange.com/questions/130095/what-is-the-difference-between-a-radius-server-and-active-directory

提示：三方文章，仅供参考。

希望以上信息能够帮到您。祝您工作愉快。

此致！
敬礼！
Crystal

本帖子以”现状”提供且没有任何担保，同时也没有授予任何权利。

如果您的问题得到解答，请在登录后将此回复标记为“答案”，非常感谢您的支持。
- 已编辑 Crystal ShenMicrosoft contingent staff 2020年2月7日 1:40
2020年2月7日 1:37

回复

|

引用
0

登录进行投票

谢谢你的答复。

1，密码永不过期是个常用的方法。但是会被审计人员问到，这个用户密码永不过期的用户不符合管理员密码的管理规定。公司要求管理员密码三个月必需改密码。我如何说明这个只是用来做同步的用户，而不是管理员账户？类似于Managed Service Accounts一样.

2，你发的链接我看了，没有相关认证的流程图不是太好理解。

2020年2月10日 3:10

回复

|

引用
0

登录进行投票
您好！

关于您提到的MSA, 是一种托管域帐户，可提供自动密码管理、简化的服务主体名称（SPN）管理以及将管理委派给其他管理员的能力。一个托管服务帐户只能与一台计算机一起使用。但是有些操作要求在多个主机上共享同一服务帐户。在Windows server 2012引入GMSA，它提供与托管服务帐户MSA相同的功能，但是将其功能扩展到主机组级别。如果您的应用支持GMSA的使用，那我们可以通创建GMSA账号，通过KDC来完成GMSA账号密码的创建与管理。

以下是一些关于GSMA介绍和创建的文章，您可以参考下：

Group Managed Service Accounts Overview

https://docs.microsoft.com/zh-cn/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview

Windows Server 2012: Group Managed Service Accounts

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/windows-server-2012-group-managed-service-accounts/ba-p/255910

Step-by-Step: How to work with Group Managed Service Accounts (gMSA)

https://techcommunity.microsoft.com/t5/itops-talk-blog/step-by-step-how-to-work-with-group-managed-service-accounts/ba-p/329864

关于您提到的这些网络认证的流程图，我这边搜了一下，找到以下信息，您可以参考下，

Radius 认证：

https://en.wikipedia.org/wiki/RADIUS

https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fireware/authentication/radius_how_works_c.html

LDAP authentication:

https://docs.bmc.com/docs/sso90/using-ldap-active-directory-for-authentication-474057091.html

https://medium.com/tcp-ip/ldap-flow-with-kerberos-authentication-514b958397e

https://connect2id.com/products/ldapauth/auth-explained

计算机认证与用户认证：

https://www.networkworld.com/article/2940463/machine-authentication-and-user-authentication.html

提示：以上文章是非微软文章，仅供参考。

根据我的理解，Radius 认证适合一些未加域的机器做比较简单的认证。为了增加安全性，很多管理员会考虑吧Radius和AD集成做双因素认证。单独的LDAP认证也是相对简单的。出于安全考虑，一般推荐带有Kerberos的认证

希望以上信息对您有帮助，祝您工作愉快。

此致！

敬礼！

Crystal

本帖子以”现状”提供且没有任何担保，同时也没有授予任何权利。

如果您的问题得到解答，请在登录后将此回复标记为“答案”，非常感谢您的支持。
- 已编辑 Crystal ShenMicrosoft contingent staff 2020年2月10日 6:36
2020年2月10日 6:30

回复

|

引用