專利名稱:Ad域單點登錄的方法和服務器的制作方法
技術領域:
本發(fā)明涉及到安全認證領域,特別涉及到一種AD域單點登錄的方法和服務器。
背景技術:
目前的企業(yè)應用環(huán)境中,往往有很多的應用系統(tǒng),如辦公自動化(OA)系統(tǒng)、財務管理系統(tǒng)、檔案管理系統(tǒng)和信息查詢系統(tǒng)等。這些應用系統(tǒng)服務于企業(yè)的信息化建設,為企業(yè)帶來效益。用戶每次使用這些應用系統(tǒng),都必須輸入用戶名和密碼,進行身份驗證,而且, 應用系統(tǒng)不同,用戶名和密碼就不同,用戶必須同時牢記多套用戶名和密碼?;顒幽夸汚ctive Directory(AD)存儲了有關網絡對象的信息,管理員和用戶能夠輕松地查找和使用這些信息?;顒幽夸汚ctive Directory上的信息已經成為企業(yè)各種應用系統(tǒng)信息同步的對象。安全認證設備要實現(xiàn)AD域的單點登錄,傳統(tǒng)的方式有以下幾種(1)在AD域的服務器上安裝控件,偵聽到某些事件后將相應的信息發(fā)到安全認證設備進行安全認證。這種方式的缺點是在服務器上安裝控件,會對服務器造成不穩(wěn)定,且可能對服務器的性能造成一定的影響。(2)在AD域的服務器上配置策略,下發(fā)logon, exe腳本和logoff, exe腳本,獲取 IP和登錄的用戶名,并發(fā)送至安全認證設備進行認證。這種方式的缺點是要在服務器上配置策略,雖然不會對服務器造成不穩(wěn)定和性能上的問題,但是客戶的域可能在多個地方, 某一管理員只對某個域有權限操作,而對其他的域沒有權限管理,這樣就導致有的域無法配置策略。(3)在客戶的個人電腦(PC)上通過網頁控件的方式安裝腳本,然后通過腳本獲取用戶名和IP后再發(fā)給安全認證設備。這種方式的缺點是要在每一客戶的PC上安裝該網頁控件,否則就無法實現(xiàn)。
發(fā)明內容
本發(fā)明的主要目的為提供一種AD域單點登錄的方法,提升域內認證的安全性及效率。本發(fā)明提出一種AD域單點登錄的方法,包括服務器獲取各個域中當前登錄的用戶參數;發(fā)送所述用戶參數至安全認證設備進行認證;認證通過時,允許所述用戶參數對應的用戶訪問網絡。優(yōu)選地,在執(zhí)行所述發(fā)送用戶參數至安全認證設備進行認證之后,還包括認證不通過時,重定向至服務器頁面程序。優(yōu)選地,所述提示用戶登錄至域包括判斷用戶是否已登錄至所屬域;當未登錄時,顯示Windows認證框,供用戶輸入域名、用戶名和密碼。優(yōu)選地,所述用戶參數包括用戶名和當前登錄PC的IP地址。
優(yōu)選地,所述認證包括判斷用戶名是否過期或禁用;以及IP地址是否已經登錄。本發(fā)明還提出一種AD域單點登錄的服務器,包括獲取模塊,用于獲取各個域中當前登錄的用戶參數;發(fā)送模塊,用于發(fā)送所述用戶參數至安全認證設備進行認證;允許訪問模塊,用于認證通過時,允許所述用戶參數對應的用戶訪問網絡。優(yōu)選地,所述服務器還包括提示模塊,用于認證不通過時,重定向至服務器頁面程序。優(yōu)選地,所述提示模塊具體用于判斷用戶是否已登錄至所屬域;當未登錄時,顯示 Windows認證框,供用戶輸入域名、用戶名和密碼。優(yōu)選地,所述用戶參數包括用戶名和當前登錄PC的IP地址。優(yōu)選地,所述認證包括判斷用戶名是否過期或禁用;以及IP地址是否已經登錄。本發(fā)明中當用戶到安全認證設備認證時,獲取到當前PC登錄的域的用戶名和當前PC的IP地址,并提交到安全認證設備,提交成功后,頁面自動跳轉到用戶訪問的網頁,從而就實現(xiàn)了 AD域單點登錄。本發(fā)明不會對域內的服務器性能造成影響,僅通過設置一臺服務器對所有域進行管理,且由于集成了 Windows認證,使用域用戶名登錄PC后,就可不用再次輸入用戶名和密碼就可訪問網絡。
圖1為本發(fā)明AD域單點登錄的方法一實施例的流程示意圖;圖2為本發(fā)明AD域單點登錄的服務器一實施例的結構示意圖。本發(fā)明目的的實現(xiàn)、功能特點及優(yōu)點將結合實施例,參照附圖做進一步說明。
具體實施例方式應當理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。參照圖1,提出本發(fā)明AD域單點登錄的方法一實施例,包括步驟S101、服務器獲取各個域中當前登錄的用戶參數;本發(fā)明在內網安裝一臺IISanternet Information Services,互聯(lián)網信息服務) 服務器,將該IIS服務器配置集成windows認證,并在IIS服務器上安裝一網頁程序。用戶登錄PC時,可選擇本機登錄或域登錄。如用戶選擇本機登錄,當通過瀏覽器請求訪問網頁時,安全認證設備對該用戶認證不通過,并將該請求重定向至IIS服務器的網頁程序,該網頁程序在當前登錄的PC上彈出提示框,提示用戶輸入用戶名和密碼,登錄域,并將用戶名發(fā)送給Iis服務器。如用戶選擇域登錄,當用戶通過瀏覽器請求訪問網頁時,安全認證設備對用戶進行認證,當該用戶的用戶名和當前登錄的IP地址已經登錄域時,則用戶可直接訪問網頁,否則安全認證設備將訪問請求重定向至Iis服務器的網頁程序,由IIS服務器獲取用戶名及當前登錄的IP地址。步驟S102、發(fā)送所述用戶參數至安全認證設備進行認證;IIS服務器獲取登錄至域的用戶名和IP地址后,將該用戶名和IP地址等用戶參數發(fā)送安全認證設備進行認證。安全認證設備認證用戶名是否過期或被禁用,以及IP地址是否已經登錄至域。
步驟S103、認證通過時,允許所述用戶參數對應的用戶訪問網絡。IIS服務器獲取用戶名和IP地址的同時,還獲取用戶請求訪問的網頁。當安全認證設備認證通過時,則允許用戶訪問該網頁。步驟S104、認證不通過時,重定向至服務器頁面程序;步驟S105、判斷用戶是否已登錄至所屬域;如是,進行步驟SlOl ;如否,進行步驟 S106 ;步驟S106、顯示Windows認證框,供用戶輸入域名、用戶名和密碼。當安全認證設備對用戶名和IP地址認證不通過時,將用戶訪問頁面的請求重定向至IIS服務器的網頁程序,再判斷用戶是否已經登錄至該用戶所屬的域,并在未登錄時, 該網頁程序彈出提示框,提示用戶重新登錄至域。即提示用戶重新輸入域用戶名和密碼,并返回步驟S101。本實施例在內網安裝一臺裝有網頁程序的IIS服務器,配置好集成windows認證, 當用戶到安全認證設備認證時,重定向到該網頁程序上,網頁程序可獲取到當前PC登錄的域的用戶名和當前PC的IP地址,并提交到安全認證設備,提交成功后,頁面自動跳轉到用戶訪問的網頁。從而就實現(xiàn)了 AD域單點登錄。該方法不會對域內的服務器性能造成影響, 僅在一臺IIS服務器上安裝一次網頁程序就可對所有域進行管理,且由于集成了 Windows 認證,使用域用戶名登錄PC后,就可不用再次輸入用戶名和密碼就可訪問網絡。參照圖2,提出本發(fā)明AD域單點登錄的服務器一實施例,包括獲取模塊10,用于獲取各個域中當前登錄的用戶參數;發(fā)送模塊20,用于發(fā)送所述用戶參數至安全認證設備進行認證;允許訪問模塊30,用于認證通過時,允許所述用戶參數對應的用戶訪問網絡。提示模塊40,用于認證不通過時,重定向至服務器頁面程序;判斷用戶是否已登錄至所屬域;當未登錄時,顯示Windows認證框,供用戶輸入域名、用戶名和密碼。本實施例的AD域單點登錄的服務器可以是安裝在內網的一臺IIS服務器,且將該服務器配置集成windows認證。用戶登錄PC時,可選擇本機登錄或域登錄。如用戶選擇本機登錄,當通過瀏覽器請求訪問網頁時,安全認證設備對該用戶認證不通過,并將該請求重定向至AD域單點登錄的服務器,AD域單點登錄的服務器在當前登錄的PC上彈出提示框,提示用戶輸入用戶名和密碼以登錄域,并將用戶名發(fā)送給IIS服務器。如用戶選擇域登錄,當用戶通過瀏覽器請求訪問網頁時,安全認證設備對用戶進行認證,當該用戶的用戶名和當前登錄的IP地址已經登錄域時,則用戶可直接訪問網頁,否則安全認證設備將訪問請求重定向至AD域單點登錄的服務器,由獲取模塊10獲取用戶名及當前登錄的IP地址。獲取模塊10獲取登錄至域的用戶名和IP地址后,發(fā)送模塊20將該用戶名和IP地址等用戶參數發(fā)送安全認證設備進行認證。安全認證設備認證用戶名是否過期或被禁用, 以及IP地址是否已經登錄至域。獲取模塊10獲取用戶名和IP地址的同時,還獲取用戶請求訪問的網頁。當安全認證設備認證通過時,則允許訪問模塊30允許用戶訪問該網頁。當安全認證設備對用戶名和IP地址認證不通過時,將用戶訪問頁面的請求重定向至AD域單點登錄的服務器,再判斷用戶是否已經登錄至該用戶所屬的域,并在未登錄時,通過提示模塊40彈出提示框,提示用戶重新登錄至域。即提示用戶重新輸入域用戶名和密碼,并返回由獲取模塊10獲取當前登錄的用戶名和IP地址。本實施例在內網設置一臺AD域單點登錄的服務器,配置成集成windows認證,當用戶到安全認證設備認證時,重定向到該服務器,即可獲取到當前PC登錄的域的用戶名和當前PC的IP地址,AD域單點登錄的服務器將用戶名和IP地址提交到安全認證設備,提交成功后,頁面自動跳轉到用戶訪問的網頁。從而就實現(xiàn)了 AD域單點登錄。AD域單點登錄的服務器不會對域內的服務器性能造成影響,僅安裝一次就可對所有域進行管理,且集成了 Windows認證,使用域用戶名登錄PC后,就可不用再次輸入用戶名和密碼就可訪問網絡。以上所述僅為本發(fā)明的優(yōu)選實施例,并非因此限制本發(fā)明的專利范圍,凡是利用本發(fā)明說明書及附圖內容所作的等效結構或等效流程變換,或直接或間接運用在其他相關的技術領域,均同理包括在本發(fā)明的專利保護范圍內。
權利要求
1.一種AD域單點登錄的方法,其特征在于,包括服務器獲取各個域中當前登錄的用戶參數;發(fā)送所述用戶參數至安全認證設備進行認證;認證通過時,允許所述用戶參數對應的用戶訪問網絡。
2.如權利要求1所述的方法,其特征在于,在執(zhí)行所述發(fā)送用戶參數至安全認證設備進行認證之后,還包括認證不通過時,重定向至服務器頁面程序。
3.如權利要求2所述的方法,其特征在于,所述提示用戶登錄至域包括判斷用戶是否已登錄至所屬域;當未登錄時,顯示Windows認證框,供用戶輸入域名、用戶名和密碼。
4.如權利要求1或2所述的方法,其特征在于,所述用戶參數包括用戶名和當前登錄 PC的IP地址。
5.如權利要求1或2所述的方法,其特征在于,所述認證包括判斷用戶名是否過期或禁用;以及IP地址是否已經登錄。
6.一種AD域單點登錄的服務器,其特征在于,包括獲取模塊,用于獲取各個域中當前登錄的用戶參數;發(fā)送模塊,用于發(fā)送所述用戶參數至安全認證設備進行認證;允許訪問模塊,用于認證通過時,允許所述用戶參數對應的用戶訪問網絡。
7.如權利要求6所述的服務器,其特征在于,還包括提示模塊,用于認證不通過時,重定向至服務器頁面程序。
8.如權利要求7所述的服務器,其特征在于,所述提示模塊具體用于判斷用戶是否已登錄至所屬域;當未登錄時,顯示Windows認證框,供用戶輸入域名、用戶名和密碼。
9.如權利要求6或7所述的服務器,其特征在于,所述用戶參數包括用戶名和當前登錄 PC的IP地址。
10.如權利要求6或7所述的服務器,其特征在于,所述認證包括判斷用戶名是否過期或禁用;以及IP地址是否已經登錄。
全文摘要
本發(fā)明揭示了一種AD域單點登錄的方法,包括服務器獲取各個域中當前登錄的用戶參數;發(fā)送所述用戶參數至安全認證設備進行認證;認證通過時,允許所述用戶參數對應的用戶訪問網絡。本發(fā)明還提出了對應的服務器。本發(fā)明提出的AD域單點登錄的方法和服務器,僅在通過設置一臺服務器可對所有域進行管理,且由于集成了Windows認證,使用域用戶名登錄PC后,就可不用再次輸入用戶名和密碼就可訪問網絡。
文檔編號H04L29/06GK102325029SQ201110280149
公開日2012年1月18日 申請日期2011年9月20日 優(yōu)先權日2011年9月20日
發(fā)明者何錦勝 申請人:深圳市深信服電子科技有限公司