寧盾一體化認證系統在為企業各種應用系統在原有賬號密碼認證基礎增加動態密碼認證保護，用戶可根據需要選擇使用短信密碼、手機令牌、硬件令牌等動態密碼形式，為企業員工、IT管理員、訪客接入企業應用及網絡提供便捷、提升安全，同時減小企業密碼管理成本。

寧盾認證系統可以為企業VPN、網絡設備、操作系統、WLAN、WAP、思杰虛擬桌面發布等提供強有力登錄身份認證保護。

為解決VPN登錄弱密碼問題，使用寧盾TMS認證系統做雙因素登錄保護，后來由于功能更新以及業務需要，本次割接要做到使用寧盾AM認證系統代替TMS系統做hillstone設備vpn的認證。

• a. 認證系統割:vpn的認證請求指向新AM系統做處理，用戶的認證日志信息均可在AM系統查看。
• b. 對接TMS系統:之前TMS系統內存在用戶與令牌之間的綁定，通過TMS系統與AM系統對接，TMS內的本地用戶和動態令牌還可以使用，直到TMS內的動態令牌全部到期后拆除TMS系統.
• c. 對接AD域用戶:同步AD域控用戶作為vpn的用戶，后期新采購的動態令牌導入AM系統內和AD用戶進行綁定使用。

3.方案拓撲

• 通過在Hillstone VPN配置第三方RADIUS認證，指向寧盾雙因素認證服務器（內置RADIUS SERVER），TMS認證系統校驗用戶的用戶名密碼以及動態密碼通過后，返回登錄成功的消息，用戶撥入成功。
• 如右圖所示：hillstone-vpn將認證配置為radius認證，并將radius服務器地址指向AM認證服務器上，用戶撥入vpn的請求，將會被指到AM服務器上做校驗。
• AM收到用戶的認證請求，首先會校驗本地是否存在該用戶，有則驗證密碼與動態密碼，驗證通過后返回成功消息，如果AM平臺沒有該用戶，AM會到TMS系統調取該用戶信息，有則校驗密碼，校驗成功用戶撥入成功。AM與TMS均沒有該用戶則報用戶名或密碼錯誤。

• a. 用戶使用靜態加動態密碼撥入VPN;
•  
• 
•  
• b. 同步AD域作為vpn用戶，方便后續加令牌;
•  
• 
•  
• c. 登錄日志信息可視化.
•  
• 
•  

• 通過此方案，客戶將vpn的認證切到AM認證服務器上，員工的賬號信息硬件令牌等還是存在于TMS系統內，vpn的認證請求到AM后，AM會調取TMS的賬戶信息進行校驗，對客戶現有的環境影響最小。
• 之后采購的硬件令牌將在AM系統內于用戶綁定使用，TMS內的令牌完全過期后拆除這臺服務器，vpn認證的請求以及用戶源均在AM上做校驗。