本期内容将通过一个实际案例讲清楚数据中心服务器身份认证场景的痛点及宁盾身份域管在其中的作用和价值。

很多行业，像金融、运营商，还有那些关系国计民生的服务单位，均会受到监管制度统一要求，对数据中心的服务器执行定期修改口令、统一身份认证和 MFA 多因素认证。另外，等保、密评同样要求对服务器运维进行安全管控。

但一般数据中心服务器规模较大，存在各种管理乱象，如：

1. 各种 Linux，如 Ubuntu、Redhat、Centos 等以及信创 OS 混用，且各种操作系统版本众多，导致无法统一管理。
2. IT 运维人员习惯了使用本地账号，要满足合规要求定期修改口令相当麻烦。
3. 多人共用账号的情况特别多，这样一来就会导致账号无法跟具体的 IT 人员一一对应上，审计追溯也就成了难题，更没办法针对不同用户配置对应服务器权限，经常出现权限过大或者权限收回不及时的问题。

在这种情况下，要实现对服务器的统一身份管理，最大的挑战就是要兼容足够多的服务器操作系统及版本，扩展性也要足够强。同时，还要有足够丰富的身份策略，比如简单好用的改密机制、支持临时账号、能设置账号有效期，可高度自定义服务器权限，对特定用户或者服务器支持采用动态密码认证登录。这样看来，客户在方案选型时，宁盾身份域管确实是理想选择。

再分享一个客户案例，这个客户的 IT 人员日常维护服务器都是通过堡垒机登录，实际上是在堡垒机中维护服务器的账号，账号信息都保存在堡垒机上。客户担心万一堡垒机被攻破，服务器账号信息就全都泄露了。所以，他们希望堡垒机只做跳板和录屏审计，不保存账号信息，服务器统一接入到身份认证管理系统，实现服务器登录入口和服务器身份认证分开。不少刚接触宁盾服务器加域方案的人，容易把它和堡垒机的作用混淆，通过这个案例应该能分清了。

另外，在数据中心场景，宁盾身份域管还能集中管理网络设备，如交换机、防火墙等设备，基于 TACACS+ 协议实现 AAA 管理。基于本土化厂商及信创产品的服务、价格、资质等种种优势，宁盾方案常被用于替代 Cisco 思科的 ISE 或 ACS 产品。

总的来说，在数据中心场景，宁盾身份域管凭借其对多种操作系统及版本的兼容性、扩展性和丰富的身份策略等优势，不仅能解决服务器统一加域管理的问题，提供统一认证、账号及密码管理（如执行定期修改口令、设置账号有限期、解锁/禁用账号及权限分配等）MFA 多因素认证等服务，满足信创、合规、等保、密评等要求，还可针对网络设备这些，基于 TACACS+ 进行 AAA 管理，适用于 Cisco 思科 ISE 或 ACS 替代。