Authentification de l’utilisateur et du client pour Lync Server 2010
Dernière rubrique modifiée : 2013-02-16
Un utilisateur approuvé est un utilisateur dont les informations d’identification ont été authentifiées par un serveur Microsoft Lync Server 2010 approuvé. Il s’agit généralement d’un serveur Standard Edition, d’un serveur frontal Enterprise Edition ou d’un directeur. Lync Server 2010 utilise les services de domaine Active Directory comme unique référentiel centralisé approuvé pour le stockage des informations d’identification des utilisateurs.
L’authentification consiste à donner des informations d’identification des utilisateurs à un serveur approuvé. Lync Server 2010 utilise les trois protocoles d’authentification suivants, selon l’état et l’emplacement de l’utilisateur :
Le protocole MIT Kerberos, version 5 pour les utilisateurs internes disposant d’informations d’identification Active Directory. Kerberos nécessite la connectivité du client aux services de domaine Active Directory, raison pour laquelle il ne peut pas être utilisé pour authentifier des clients situés en dehors du pare-feu de l’entreprise.
Le protocole NTLM pour les utilisateurs disposant d’informations d’identification Active Directory qui se connectent à partir d’un système d’extrémité situé à l’extérieur du pare-feu de l’entreprise. Le service Edge d’accès transmet les demandes de connexion à un directeur, s’il existe, ou à un serveur frontal à des fins d’authentification. Le service lui-même ne procède pas à l’authentification.
.gif "note")
Remarque :Le protocole NTLM offre une protection contre les attaques plus faible que Kerberos, c’est pourquoi certaines organisations limitent son utilisation. Ainsi, l’accès à Lync Server 2010 peut être restreint en interne ou aux clients connectés via une connexion VPN. Le protocole Digest pour les utilisateurs dits « anonymes ». Les utilisateurs anonymes sont des utilisateurs externes qui n’ont pas d’informations d’identification Active Directory reconnues, mais qui ont été invités à une conférence sur site pour laquelle ils disposent d’une clé de conférence valide. L’authentification Digest n’est pas utilisée pour les autres interactions avec les clients.
L’authentification Lync Server 2010 consiste en deux étapes :
Une association de sécurité est établie entre le client et le serveur.
Le client et le serveur utilisent l’association de sécurité existante pour signer les messages envoyés et pour vérifier les messages reçus. Les messages non authentifiés d’un client sont refusés lorsque l’authentification est activée sur le serveur.
L’approbation d’un utilisateur est attachée à chaque message envoyé par l’utilisateur, et non à l’identité de l’utilisateur proprement dite. Le serveur vérifie la validité des informations d’identification de l’utilisateur pour chaque message. Si les informations d’identification de l’utilisateur sont valides, le message n’est vérifié ni par le premier serveur qui le reçoit, ni par tous les serveurs du nuage de serveurs approuvés.
Vous pouvez utiliser d’autres contraintes, si nécessaire, pour empêcher les utilisateurs disposant d’informations d’identification valides délivrées par un partenaire fédéré d’accéder à l’ensemble des privilèges accordés aux utilisateurs internes.
Les protocoles ICE et TURN utilisent également l’authentification Digest, comme décrit dans le document RFC TURN de l’IETF. Pour plus d’informations, voir Traversée du contenu multimédia.
Les certificats clients constituent pour les utilisateurs une autre manière d’être authentifiés par Lync Server 2010. Ils sont créés et remis au client par le serveur Lync Server. Ils sont utilisés à des fins d’identification uniquement. Le certificat est remis au client et stocké dans le magasin de certificats personnels de l’utilisateur de l’ordinateur. L’émission d’un certificat pour les utilisateurs individuels garantit que ceux-ci utiliseront un certificat distinct pour l’identification du client. Le certificat est créé avec l’utilisation améliorée de la clé Authentification du client uniquement et n’inclut aucune information sur l’utilisation de la clé.
.gif "important") Important : |
|---|
| Le serveur Lync Server crée et émet les certificats à des fins expresses d’authentification du client et d’identification entre le serveur Lync Server et l’utilisateur à l’origine de la demande. Ce comportement étant lié à la conception du produit et faisant partie de la conception opérationnelle du client et du serveur, il n’est pas possible d’utiliser un service d’émission de certificats, une infrastructure de clés publiques privée ou une autorité de certification publique autre pour créer et affecter les certificats. |
Outre le logiciel client basé sur un ordinateur, les certificats sont particulièrement utiles pour les téléphones et autres appareils exécutant Microsoft Lync 2010 Phone Edition lorsqu’il est difficile d’entrer un nom d’utilisateur et/ou un mot de passe. Un code confidentiel est utilisé à la place.