用于集中式配置和认证的系统和方法与流程

本发明涉及安全网络通信领域，并且更具体地涉及计算设备的认证信息和配置信息。

背景技术：

随着计算机存储器存储和数据带宽增加，商业和行业日常管理的数据量和复杂性也随之增加。随着数据量增长，能够创建、捕获、存储、分发、保护和消费信息的数据管理操作逐渐复杂。另外，数据管理操作诸如在企业信息管理中所使用的操作提供合规性。合规性确保文件和报告中所包含的数据的准确性和完整性、以及整个企业的数据的一致性。整个企业部署不同类型的存储设备，以提供这些操作。该存储设备可用于在数据中心、远程或分支机构、以及虚拟环境中。

企业和小型商业环境可部署多个存储设备，以提供上述数据管理操作。在一些示例中，该存储设备为存储装置。另外，该环境可部署多个计算设备，诸如台式计算机、膝上型计算机、和服务器。此类环境通常支持可在本地和/或远程登录一个或多个设备的多个用户。这些用户中的每个用户通常具有包括特权、许可和角色的配置信息。在许多情况下，该用户配置信息对于多个设备上的给定用户为一致的。在大多数情况下，系统管理员手动配置并维护每个对应设备上的用户配置信息。此外，对用户配置信息的任何更新要求系统管理员在对应设备中的每个对应设备上手动复制相同的更新。

企业环境通常利用用户目录服务来管理设备上的授权用户的身份。用户目录服务还可管理一些或全部用户的配置信息。为了使设备使用目录服务，系统管理员必须分别配置企业环境中的多个设备中的每个设备。因此，对用户目录服务的任何更新诸如对用户目录服务器属性的更新可能要求系统管理员在对应设备中的每个对应设备上手动复制相同的更新。在多个设备上执行手动更新可能非常繁琐、耗时并且由于所需时间较长而极少执行，并且在整个企业或小型商业环境中提供不一致的用户目录服务配置信息和/或用户配置信息。

鉴于以上情况，需要用于高效地获取给定设备的用户配置信息的改进的系统和方法。

技术实现要素：

设想用于高效地获取给定设备的用户配置信息的改进的系统和方法。在各种实施方案中，多个设备被部署在环境诸如小型商业环境、大型企业环境等中。在一些实施方案中，该设备可为存储装置。在各种实施方案中，该存储装置可被用作工作存储系统或备份存储系统。该环境可包括目录服务和认证服务。在一些实施方案中，目录服务和认证服务中的每一者位于单独的对应服务器上。

设备之间以及服务器和设备之间的连接可包括无线连接、直接局域网(lan)连接、广域网(wan)连接诸如互联网、路由器、传输控制协议/互联网协议(tcp/ip)硬件和/或软件等。一个或多个服务器和所部署的设备可位于本地，位于其他远程站点或分支机构，或通过基于云端的网络来访问。

设想其中所部署的设备中的一个或多个所部署的设备不存储用户配置信息诸如用户角色信息、用户许可和特权信息、以及其他用户配置信息的实施方案。另外，所部署的设备中的一个或多个部署设备不存储用于与目录服务和认证服务中的一者或多者进行通信的针对通信协议的配置信息。身份和访问管理器(iam)用于在给定用户请求给定设备上的登录会话时处理对验证给定设备的给定用户的请求。iam可位于其中一个所部署的设备上、位于托管目录服务或认证服务中的一者的同一服务器上、或者位于单独的服务器或其他计算设备上。另选地，iam可为基于云端的应用程序。

在各种实施方案中，iam可使用通信协议诸如轻量目录访问协议(ldap)来与目录服务和认证服务中的一者或多者进行通信。指示登录会话尝试是否成功以及是否包括用于成功确定的用户配置信息的响应从iam被发送至对应部署设备。

参考以下描述和附图将理解这些和其他实施方案。

附图说明

图1为示出了设备授权访问的一个实施方案的一般化框图。

图2为示出了设备授权访问的另一个实施方案的一般化框图。

图3为示出了用于在设备上针对用户创建登录会话的方法的一个实施方案的流程图。

图4为示出了用于所部署的设备的网络中的登录请求和响应步骤的方法的一个实施方案的流程图。

图5为示出了设备部署的一个实施方案的一般化框图。

图6为示出了设备部署的另一个实施方案的一般化框图。

图7为示出了设备部署的又一个实施方案的一般化框图。

尽管本发明易受各种修改形式和替代形式的影响，但是具体实施方案以举例的方式在附图中被示出并且将在本文中详细描述。但应当理解，附图以及对其进行的详细描述并不旨在将本发明限制为所公开的特定形式，恰恰相反，其目的在于涵盖落入由所附的权利要求所限定的本发明的实质和范围内的所有修改形式、等同形式和替代形式。

具体实施方式

在以下描述中，阐述了许多具体细节，以提供对本发明的彻底理解。但本领域的普通技术人员应当认识到，可在没有这些具体细节的情况下实施本发明。在一些情况下，未详细示出熟知的电路、结构、信号、计算机程序指令、以及技术，以避免模糊本发明。

参照图1，其示出了设备授权访问100的一个实施方案的一般化框图。在所示的实施方案中，单个设备110被连接到服务器150和160。然而，在各种其他实施方案中，多个设备连接到服务器150和160并连接到一个或多个其他设备。为了便于说明，未示出其他多个设备。如图所示，服务器150包括也可被称为目录服务152的用户目录服务152。服务器160包括也可被称为认证服务162的用户认证服务162。在一些实施方案中，目录服务152和认证服务162中的每一者在相同的服务器上执行。服务器150和160中的一个或多个服务器可为本地服务器。另选地，服务器150和160中的一个或多个服务器可为远程服务器。在其他实施方案中，目录服务152和认证服务162中的一者或多者为基于云端的应用程序。

在一些实施方案中，设备110为一种类型的存储装置，诸如磁盘存储装置、备份服务器、附网存储(nas)设备、存储区域网络(san)设备等。在其他实施方案中，该设备110为专用备份装置(pbba)。pbba也可被称为存储装置。通常，存储装置为基于与软件一起销售的通用的和认证的服务器硬件的服务器，其中硬件和软件由单个供应商提供。存储装置可能包括服务器、数据存储装置、操作系统、备份软件、和去重软件。存储装置的一体化方法可能导致相对较快的安装(部署)时间。存储装置可提供存储，使得能够在另一个设备或另一个存储介质上进行存储，和/或者为物理系统和虚拟系统两者提供去重。

存储装置通常提供具有在4兆兆位(tb)到500tb之间的容量的数据存储。因此，存储装置可取代基于磁带的备份和恢复处理。在其他环境诸如企业环境和大型机环境中，存储装置可能与基于磁带的系统一起被部署。存储装置可用于基于云端的存储或前提存储。

与服务器150和160的连接可包括各种技术，包括无线连接、直接局域网(lan)连接、广域网(wan)连接诸如互联网、路由器和其他技术。与服务器150和160的连接还可包括远程直接存储器访问(rdma)硬件和/或软件、传输控制协议/互联网协议(tcp/ip)硬件和/或软件、路由器、中继器、交换机、网格、和/或其他设备。如前所述，设备110和服务器150和160中的每一者可位于现场或者可为基于云端的。

设备110包括多个软件部件，诸如至少一个操作系统(os)120、web服务130、shell服务132、可插拔认证模块(pam)140、名称切换服务(nss)模块142、和目录协议配置文件144。在另选的实施方案中，该模块对应于自定义设计的电路，以执行本文所述的功能。另选地，该模块可对应于硬件和软件的组合。所有此类实施方案为可能的并且可被设想到。在各种实施方案中，nss模块142和pam140被具体配置为与目录服务152一起使用。因此，模块pam140和nss模块142中的每一者必须具有目录服务152的一些知识(例如，位置、协议等)。os120可代表多种特定操作系统中的任一种特定操作系统中，诸如例如symantec装置操作系统、linux、或sunsolaris。这样，操作系统可操作以提供可用于支持执行各种程序的软件框架，该各种程序诸如去重、自动备份、恢复、和针对授权用户(诸如系统管理员)的shell会话或基于web的浏览器会话创建。

shell进程132提供用于访问os120的服务的安全shell(ssh)用户界面。shell服务132向os120的服务和设备110上的其他软件应用程序提供命令行界面(cli)。当用户打开安全shell(ssh)会话并以授权用户成功登录时，向用户提供经认证的shell会话172。会话172可为在设备110上以批处理作业形式提供按照固定顺序重复执行多个任务的方式的cli。当批处理作业利用条件代码时，脚本可与语言java、perl、python等一起使用。cli命令可由用户以交互方式输入或以文件传送至cli。可在现场在具有设备110的本地监视器上提供经认证的shell会话172。另选地，当用户远程登录到设备110时，可在异地的远程监视器上提供经认证的shell会话172。

web服务130可为可用的互联网万维网浏览器中的任一者，诸如firefox，internetexplorer，googlechrome、和safari。web服务130可用于向os120的服务和设备110上的其他软件应用程序提供图形用户界面(gui)。当用户打开特定网页并以授权用户成功登录时，向用户提供经认证的浏览器会话170。可在现场在具有设备110的本地监视器上提供经认证的浏览器会话170。另选地，当用户远程登录到设备110时，可在异地远程监视器上提供经认证的浏览器会话170。gui认证的浏览器会话170可为用户提供易于使用的界面。如本领域技术人员所熟知的，gui认证的浏览器会话170可能缺乏对高效自动化操作序列诸如发送批处理作业的足够支持。

如图所示，目录服务152在服务器150上执行。目录服务152允许在整个给定网络或给定工作环境中共享关于用户、系统、网络、服务和应用程序的信息。目录服务152可确定工作环境中的给定用户的存在。例如，当用户尝试登录到设备110时，可向目录服务152发送用于验证与给定用户相关联的用户名或其他标识符的请求。目录服务152验证所提供的标识符是否识别设备110的有效用户并向设备110发送对应的回复。

另外，目录服务152可将用户角色信息提供至设备110。用户角色信息可包括用户角色诸如系统管理员或普通用户；以及针对该用户的特权和许可。目录服务152可在验证设备110的用户的存在的期间提供用户角色信息。另选地，目录服务152可稍后诸如在用户已被认证服务162认证之后的第二请求期间提供用户角色信息。目录服务152的示例包括microsoft活动目录、linux网络信息服务(nis)、apache目录等。

如图所示，认证服务162在服务器160上执行。在其他实施方案中，认证服务在具有目录服务152的服务器150上执行。在其他实施方案中，认证服务162与目录服务152集成在一起。认证服务162确定在尝试登录设备110期间由给定用户提供的凭据诸如密码是否与给定用户的所存储的授权密码匹配。

在一些实施方案中，当验证设备110上的给定用户的存在之后，从设备110向认证服务162发送请求以认证给定用户。对认证服务162的请求可包括在设备110的登录请求期间由给定用户提供的密码的加密版本。设备110可使用安全套接字层(ssl)来向认证服务162发送该请求。在一些实施方案中，针对在来自认证服务162的响应中指示的给定用户的授权访问的成功验证允许设备110检索该给定用户的用户角色信息并针对该给定用户来创建会话。用于实现认证服务162的一些服务器端web应用程序框架包括microsoftasp.net、kerberos认证服务、safenet认证服务等。另外，框架springsecurity可用于在企业应用程序诸如认证服务162中提供特征部。

目录服务152和认证服务162中的每一者可遵循用于通过互联网协议(ip)网络来访问和维护分布式目录信息服务的应用程序协议。但是，应用程序协议并未指定目录服务如何工作。此类协议的一个示例为基于客户端-服务器模型的轻量目录访问协议(ldap)。用于应用程序协议的应用编程接口(api)诸如ldap可简化目录服务应用程序的创建。

为了使设备110使用目录服务152和认证服务162中的每一者，设备110和服务器150和160中的每个服务器均被配置为使用应用程序协议诸如ldap。与应用程序协议对应的库可被安装在服务器150和160上。ssl和传输层安全(tls)的一者或多者可被设置，以用于加密与服务器150和160的通信。目录协议配置文件144为用于限定被安装在服务器150和160上的库的通信协议的配置文件。另外，文件144限定服务器150和160的位置、验证用户要联系的服务器的优先级、以及至少与服务器150和160的通信协议。在ldap示例中，文件144为ldap.config文件。

在各种实施方案中，名称服务切换(nss)模块142被配置为启用服务，以访问一个或多个服务器上的数据(例如，数据库)。nss模块142可将服务和对应的数据库组织成组或模块。例如，这些组可包括邮件别名、网络协议、主机名、以太网号、用户名、用户组名等。对于每个组，nss模块142可包括可根据优先级列出的一个或多个对应数据库。配置文件诸如nsswitch.conf文件可用于针对每个数据库来提供查找进程。例如，响应于给定用户请求登录到设备110，nss模块142的配置文件可指示目录服务152位于服务器150上。在一些实施方案中，nss模块142被包括在os120中。

nss模块142可在来自给定用户的登录请求期间从shell进程132或web服务130接收用户名。nss模块142可诸如通过访问nss模块142的配置文件来确定访问目录服务152，并进一步确定服务器150托管目录服务152。因此，用于针对设备110来确定给定用户是否存在的请求被发送至服务器150上的目录服务152。该请求至少包括由给定用户提供的用户名。在针对设备110确定给定用户是否存在之后，目录服务152向设备110发送响应。响应于接收到用于指示作为设备110的用户的给定用户存在的指示，可通知可插拔认证模块(pam)140确定登录请求是否被授权。

pam140提供用于建立或验证给定用户具有其声称的身份的方式。pam140包括库，该库为包括用于认证相关服务的模块库的一般化api。pam140允许系统管理员通过安装新库来添加新的认证方法。配置文件诸如pam.conf文件确定要选择哪些认证服务。

当pam140接收到用于指示请求登录到设备110的给定用户针对设备110存在的指示时，pam140诸如通过访问pam模块140的配置文件来确定访问认证服务162，并且进一步确定服务器160托管认证服务162。因此，用于确定给定用户是否被认证用于设备110的请求被发送至服务器160上的认证服务162。该请求包括至少由给定用户提供的密码的加密版本。认证服务162在确定给定用户是否为设备110的认证用户之后向设备110发送响应。响应于接收到用于指示给定用户针对设备110已被授权的指示，设备110可使用所存储的用户角色信息来为给定用户创建登录会话。

如前所述，示出了单个设备110，但是多个设备可使用目录服务152和认证服务162。例如，可部署并配置数百个设备，以使用目录服务152和认证服务162。对数百个设备中的每个设备上的目录协议配置文件144的更新可由系统管理员手动添加和维护。另外，给定用户的用户角色、特权和许可可在数百个设备上复制。在数百个设备中的适当设备上方手动更新对用户角色和/或用于托管目录服务152和认证服务162的服务器150和160进行的更改。手动维护所有这些信息对于系统管理员来说可能是低效和繁琐的。

在其他实施方案中，较少数量的设备诸如十二个可使用认证服务162。目录服务152可能不能在此类小型商业环境中使用。系统管理员可创建本地用户并授予每个设备上的相应角色、特权和许可。对用户角色和/或用于托管目录服务152和认证服务162的服务器150和160进行的更改仍可在适当的设备上手动更新。

现在转到图2，其示出了设备授权访问200的另一个实施方案的一般化框图。早前描述的电路和逻辑部件被相同地标号。在各种实施方案中，设备210可为类似于早前描述的设备110的专用备份装置(pbba)。pbba也可被称为存储装置。设备210包括操作系统120、web服务130、和shell服务132。在此，设备210不包括目录协议配置文件144，诸如ldap.config文件。在各种实施方案中，设备210可能不知道目录服务152的类型和认证服务162的类型，更不用说知道用于与目录服务152和认证服务162进行通信的协议的特定类型。服务器150和160中的每一者仍然被配置为使用应用程序协议诸如ldap，但设备210不再这样配置。另外，设备210可不存储任何用户配置数据诸如用户角色信息。设备210也可不存储用户特权和许可信息。

如图所示，设备210包括名称服务切换(nss)242。类似于先前针对nss142的描述，nss242将服务和对应的数据库组织成组。针对每个组，nss模块142可包括根据优先级列出的多个对应的数据库。配置文件诸如nsswitch.conf文件为每个数据库提供查找进程。与先前的nss142不同，nss242可不被配置成用于访问和维护分布式目录信息服务的任何特定应用程序协议，诸如ldap协议。

当nss242从web服务130或shell服务132接收到给定用户向设备210请求登录会话的指示时，nss242可创建临时(虚拟)用户，以模拟给定用户的存在。在各种实施方案中，模拟给定用户的存在给出给定用户已(先前)被配置为使用该设备的外观。将用户配置为使用设备通常包括在与用户相关的设备上存储详细说明。然而，在各种实施方案中，不存在被存储在设备上的与给定用户相关的详细说明。在此类实施方案中，设备对用户一无所知。出于所有意图和目的，设备可将由给定用户进行的登录理解为由完全未知的个体进行的尝试登录。在一些实施方案中，在会话之后可能存在留在设备上的用户的痕迹(例如，日志文件等)。然而，此类痕迹将不可用于验证用户在设备上的配置的存在的目的。

通过创建虚拟用户，设备(实际上)“假装”设备对用户为已知的并且用户先前已被配置为使用该设备。例如，nss242可创建具有多个字段的数据结构。这些字段可存储信息诸如用户标识符(id)、组id、用户名、用户主目录、默认shell类型等等。特定字段还可指示用户针对设备210是否存在。这些字段中的大部分字段为未知的，直到与目录服务152接触。然而，nss242可存储由给定用户在登录请求期间提供的用户名。另外，尽管还未执行与目录服务152的通信并且数据结构中的大多数字段未填充有效数据，但nss242仍可存储给定用户针对设备210存在的指示。

尽管目录服务152尚未被访问，但nss242可向pam240发送给定用户针对设备210存在的通知。类似于先前针对pam140的描述，pam240认证请求登录到设备210的用户。配置文件诸如pam.conf文件确定要选择哪些认证服务。与先前的pam140不同，pam240可不被配置成用于访问和维护分布式目录信息服务的任何特定应用程序协议，诸如ldap协议。响应于来自nss242的指示给定用户针对设备210存在的通知，尽管目录服务152尚未被访问，但pam240可生成用于发送至身份和访问管理器(iam)250的请求或事务。该请求可指示请求给定用户针对设备210的存在和针对给定用户的认证中的每一者。然而，该请求可不使用用于访问和维护分布式目录信息服务的任何特定应用程序协议，诸如ldap协议。与图1中示出的现有技术模块pam140和nss142相比，图2的模块240和模块242通常不具有对目录服务152的具体了解。相反，模块240和242中的每个模块比现有技术更通用，并且不需要被特别配置为与目录服务152合作和/或与其匹配。

iam250从pam240接收请求。在各种实施方案中，iam250为基于云端的应用程序。在其他实施方案中，iam250本地执行诸如在在pam240内执行、作为单独部件在设备210内执行、或者在位于现场的另一个设备(未示出)内执行。另选地，iam250在通过直接局域网(lan)连接、广域网(wan)连接诸如互联网、路由器及其他网络连接到设备210的另一个设备诸如另一个存储装置上执行。在其他实施方案中，iam250在服务器150和服160中的一个服务器上执行。

当iam250从pam240接收到请求时，iam250可至少接收在来自给定用户的登录请求期间所使用的用户名。类似于先前针对先前的nss模块142的描述，iam250可诸如通过访问iam250的对应配置文件来确定访问目录服务152，并且进一步确定服务器150托管目录服务152。另外，iam250确定与目录服务152一起使用的协议诸如ldap协议的类型。设备210内的pam240和nss242中的每一者可能不知道协议的类型，而iam250均知道该协议并使用该协议与目录服务152进行通信。另外，iam250可在与目录服务152和认证服务162中的一者或多者的通信期间使用框架springsecurity。

在从iam250接收到至少包括由给定用户提供的用户名的请求之后，目录服务152处理该请求并且向iam250返回响应。该响应指示给定用户针对设备210是否存在。iam250可包括用于认证相关服务的模块库。iam250可允许系统管理员通过安装新库来添加新的认证方法。另外，iam250可允许系统管理员针对不同的设备建立多个认证相关服务，其中对特定服务的选择至少基于认证请求的来源。尽管示出了单个设备210，但多个设备可与iam250进行通信。为了便于说明，未示出该多个设备。iam250的配置文件可指向模块库。另选地，配置文件可包括读取模块库、选择特定目录服务和特定认证服务，并可识别其位置，并且确定用于与所选择的目录服务和所选择的认证服务进行通信的合适的通信协议的选择逻辑。

如果iam250从目录服务152接收到用于指示请求登录到设备210的给定用户针对设备210不存在的指示，则iam250可准备发送至设备210的响应。该响应可包括指示给定用户针对设备210不存在的指示。iam250可不收集给定用户的任何用户角色信息和用户特权、以及许可信息。该信息可被存储在服务器150上并由目录服务152访问。

如果iam250从目录服务152接收到用于指示请求登录到设备210的给定用户针对设备210确实存在的指示，则iam250确定访问被托管在服务器160上的认证服务162。可使用配置文件、模块库和选择逻辑中的一者或多者来执行该确定。使用通信协议诸如ldap或其他协议来将用于确定给定用户是否为设备210的认证用户的请求从iam250发送至服务器160上的认证服务162。该请求至少包括由给定用户提供的密码的加密版本。在一些情况下，因为在相对小型的商业环境内使用设备210，所以不使用单独的目录服务。例如，十个或更少的设备可在小型商业环境内使用并且可访问iam250。iam250可在小型商业环境内确定给定用户针对特定设备是否存在，而不是使用单独的目录服务来执行该确定。

认证服务162在确定给定用户是否为设备210的认证用户之后向iam250发送响应。iam250准备发送至设备210的响应。该响应包括指示给定用户是否为设备210的认证用户的指示。如果该指示指示给定用户为设备210的授权用户，则iam250可检索给定用户的任何用户角色信息和用户特权、以及许可信息。该信息可被存储在服务器150上并由目录服务152访问，并且可响应于用户目录查找而被返回。另选地，该信息可被存储在服务器160上并由认证服务162访问。此外，该信息可被存储在别处，但iam250能够确定该信息的位置。iam250通过发送用于至少识别给定用户的请求并使用针对目的地位置的任何适当的通信协议来检索该信息。

当iam250向设备210发送响应时，用于目录服务152和认证服务162中的一者或多者的先前的通信协议诸如ldap可能是不必要的并且未被使用。响应于接收到用于指示给定用户针对设备210存在和针对设备210给定用户已被授权的指示，设备210可使用用户角色信息和用户特权、以及许可信息来为给定用户创建登录会话。设备210的操作系统120可执行这些步骤。另外，由nss242为虚拟用户创建的数据结构可利用与给定用户对应的信息来更新或修改其字段，以便将虚拟用户转变为给定用户。另选地，可丢弃虚拟用户信息并由给定用户来替换。如前所述，该信息可包括如用户标识符(id)、组id、用户名、用户主目录、默认shell类型等等。

现在参考图3，其示出了用于在设备上为用户创建登录会话的方法300的实施方案。出于讨论目的，按顺序示出了本实施方案中的步骤。然而，一些步骤可以不同于所示的顺序发生、一些步骤可同时执行、一些步骤可与其他步骤结合、并且一些步骤在另外实施方案中可不存在。

在框302中，给定用户尝试登录设备。在一些实施方案中，设备为存储装置。设备可与多个其他设备一起部署在小型商业环境或企业环境中。在框304中，可生成虚拟用户，以在设备上模拟给定用户的存在。例如，可创建具有多个字段的数据结构。这些字段可存储信息诸如用户标识符(id)、组id、用户名、用户主目录、默认shell类型等等。特定字段还可指示用户针对设备是否存在。尽管这些字段中的一个或多个字段未被填充，但可设置用于指示该用户针对设备存在的指示，尽管尚未执行任何验证。

在框306中，发送对针对给定用户的认证的请求。该请求可不使用用于认证服务的预先确定的通信协议，诸如ldap或其他协议。在框308中，设备外部的服务接收请求。执行对给定用户针对设备的存在的验证。在一些实施方案中，部件或单元(诸如早前描述的iam250)内的逻辑执行验证。在其他实施方案中，单独的目录服务(诸如早前描述的目录服务152)被用于执行验证。在任一种情况下，设备都可不被配置用于特定目录服务和用于特定目录服务的通信协议。

如果确定给定用户针对设备不存在(条件框310)，则在框312中，生成给定用户不存在并且需要其他凭据的通知。在框314中，响应于该通知，拒绝给定用户的登录。可生成并提供对其他凭据的请求。如果确定给定用户针对设备确实存在(条件框310)，则确定给定用户的凭据是否有效。例如，可将由给定用户在登录请求期间提供的密码与给定用户的所存储的密码进行比较。

用于认证的通信可使用密码的加密版本。认证进程可使用被托管在特定服务器上的认证服务。与认证服务对应的通信协议被用于向服务器发送事务处理和从服务器接收事务处理。然而，该设备可能不知道通信协议，并且不具有关于通信协议的所存储的配置信息。

如果给定用户的凭据(诸如至少为密码)为无效的并且给定用户针对该设备未经认证(条件框316)，则方法300的控制流程移动到框312。否则，在框318中，检索给定用户的用户角色信息和用户许可和特权、以及其他配置信息。设备可不存储该信息中的任何信息，而是在给定用户的对应登录会话期间接收所检索的信息以进行存储。当登录会话结束时，可移除给定用户的所检索的配置信息。

在框320中，响应被生成并被发送至设备。该响应包括给定用户针对设备存在的指示，并且给定用户被认证以使用该设备。该响应还可包括与给定用户对应的所检索的配置信息。在框322中，设备至少基于所检索的配置信息来为给定用户生成登录会话。如前所述，当登录会话结束时，所检索的配置信息不再被存储。在给定用户的任何随后的登录会话期间，重复以上步骤并再次检索对应的配置信息。

现在参考图4，其示出了用于在设备上为用户创建登录会话的方法400的实施方案。出于讨论目的，按顺序示出了本实施方案中的步骤。然而，一些步骤可以不同于所示的顺序发生、一些步骤可同时执行、一些步骤可与其他步骤结合、并且一些步骤在另外实施方案中可不存在。

多个设备被部署在小型商业环境或更大企业环境中。在各种实施方案中，所部署的设备为存储装置。设备可不存储用户的任何配置信息，诸如用户角色信息、用户许可和特权、以及其他信息。另外，所部署的设备可不被配置用于针对目录服务和认证服务的任何通信协议。

在框402中，所部署的设备中的给定设备接收登录请求。如果在到达外部服务以处理登录请求之前给定设备不是最终设备(条件框404)，则在框406中，将请求转发到由给定设备指定的目的地。例如，另一个所部署的设备可被指示为目的地。在到达外部服务以处理登录请求之前，该其他设备实际上可能不是最终设备。如果不是，则继续转发登录请求。如果在到达外部服务以处理登录请求之前给定设备为最终设备(条件框404)，则在框408中，通过到外部服务的一个或多个生成的查询来处理登陆请求。例如，可如前所述来使用目录服务和认证服务。在处理期间，身份和访问管理器(iam)可用于生成查询并处理来自目录服务和认证服务的响应。当完成处理时，iam向给定设备发送对应响应。

如果登录请求源于给定设备，则没有外部源生成登录请求。如果情况如此(条件框410)，则在框412中，响应于具有来自外部服务的信息的响应指示登录请求被准予，该响应被用于在给定设备上生成登录会话。否则，给定设备生成失败通知并向对应用户提供该失败通知。

如果登录请求源于除给定设备之外的另一个设备并且登录请求被转发到给定设备，则外部源生成登录请求。如果情况如此(条件框410)，则在框414中，给定设备将具有来自外部服务的信息的响应转发到将登录请求发送至给定设备的设备。该其他设备可能不是最初从对应用户接收登录请求的设备。在这种情况下，该其他设备也将响应转发到另一个设备，直到发起登录请求的实际源设备接收到具有来自外部服务的信息的响应。

现在参考图5，其示出了设备部署500的一个实施方案的一般化框图。早前描述的电路和逻辑被相同地标号。在各种实施方案中，设备510-542可为类似于早前描述的设备210的专用备份设备(pbba)。pbba也可被称为存储装置。尽管在部署500中示出了五个设备，但是用于该部署的其他数量的设备为可能的并可被设想到。

设备510-542中的一个或多个设备可不存储任何用户配置信息诸如用户角色信息、用户许可和特权信息、以及其他用户配置信息。另外，设备510-542中的一个或多个设备可不存储用于与目录服务152和认证服务162中的一者或多者进行通信的通信协议的任何配置信息。

如图所示，设备510为连接到iam250的唯一设备。iam250可用于如前所述的验证目的。如前所述，与服务器150和160的连接以及设备510-542之间的连接可包括各种技术，包括无线连接、直接局域网(lan)连接、广域网(wan)连接诸如互联网、路由器、远程直接存储器访问(rdma)硬件和/或软件、传输控制协议/互联网协议(tcp/ip)硬件和/或软件、中继器、交换机、栅格、和/或其他技术。设备510-542和服务器150和160中的每一者可位于现场、可位于远程站点或分支机构处、或者可为基于云端的。

设备520,530和540中的每个设备被示出连接到设备510。这些连接可指示设备520-540存储该设备510为针对用于处理来自用户的所接收的登录请求的请求的目的地的指示。例如，当设备520从给定用户接收到用于在设备520上创建会话的登录请求时，设备520生成发送至设备510的请求。该所生成的请求请求给定用户针对设备520是否存在，以及在登录请求中提供的凭据是否指示给定用户为设备520的认证用户。设备510与如前所述的iam250进行通信，以处理来自设备520的请求。针对设备530和设备540上的登录请求使用类似的步骤。

当设备542从给定用户接收到用于在设备542上创建会话的登录请求时，设备542生成发送至设备540的请求。该所生成的请求请求给定用户针对设备542是否存在，以及在登录请求中提供的凭据是否指示给定用户为设备542的认证用户。设备540从设备542接收请求，确定其自身不是该请求的最终目的地，进一步确定设备510为所接收的请求的目的地，并且将该请求转发到设备510。设备510与如前所述的iam250进行通信，以处理来自设备542的请求。将具有来自服务152和162的信息的响应从设备510路由到设备540并且从设备540路由到设备542。

现在参考图6，其示出了设备部署600的另一个实施方案的一般化框图。早前描述的电路和逻辑被相同地标号。如图所示，设备510-540中的每个设备被连接到iam250。iam250可用于如前所述的验证目的。这些连接可指示设备510-540存储iam250为针对用于处理来自用户的所接收的登录请求的请求的目的地的指示。设备510-540与如前所述的iam250进行通信，以处理用于认证所接收的登录请求的请求。具有来自服务152和162的信息的对应响应从iam250路由到设备510-540中的对应一个设备。

现在参考图7，其示出了设备部署700的又一个实施方案的一般化框图。早前描述的电路和逻辑被相同地标号。如图所示，设备510包括iam250。iam250可用于如前所述的验证目的。设备520-540中的每个设备被连接到设备510。这些连接可指示设备520-540存储设备510为针对用于处理来自用户的所接收的登录请求的请求的目的地的指示。设备520-540与设备510(如前所述，其与iam250进行通信，以处理用于认证所接收的登录请求的请求)进行通信。具有来自服务152和162的信息的对应响应从服务器150和160路由到设备510内的iam250，并且然后路由到设备520-540中的对应一个设备。使用如前所述的设备540来转发针对设备542的请求和响应。

在各种实施方案中，本文所述的方法和机制中的一个或多个部分可形成云计算环境的一部分。在此类实施方案中，可根据一个或多个不同模型通过互联网来提供作为服务的资源。这些模型可包括基础设施即服务(iaas)、平台即服务(paas)、和软件即服务(saas)。在iaas中，计算机基础设施作为服务而被递送。在此类情况下，计算设备通常由服务提供商拥有和操作。在paas模型中，开发人员用于开发软件解决方案的软件工具和底层设备可作为服务而被提供，并由服务提供商托管。saas通常按需包括作为服务的服务提供商许可软件。服务提供商可托管软件，或者可在给定时间段内将软件部署到客户。上述模型的许多组合为可能的并可被设想到。

尽管已相当详细地描述了上述实施方案，但是一旦完全理解上述公开内容，许多变型形式和修改形式对于本领域技术人员而言将变得显而易见。旨在将所附权利要求解释为包括所有这些变型形式和修改形式。