Autenticación de usuario y cliente para Lync Server 2013
Última modificación del tema: 11-2013-11
Un usuario de confianza es aquel cuyas credenciales se han autenticado mediante un servidor de confianza en Microsoft Lync Server 2013. Este servidor suele ser un servidor Standard Edition, Enterprise Edition Front-End Server o Director. Lync Server 2013 se basa en Servicios de dominio de Active Directory como el único repositorio back-end de confianza de credenciales de usuario.
La autenticación consiste en proporcionar credenciales de usuario a un servidor de confianza. Lync Server 2013 usa los siguientes protocolos de autenticación, según el estado y la ubicación del usuario.
Protocolo de seguridad Kerberos versión 5 del MIT para usuarios internos con credenciales de Active Directory. Kerberos requiere conectividad de cliente a Servicios de dominio de Active Directory, por lo que no se puede usar para autenticar clientes fuera del firewall corporativo.
Protocolo NTLM para usuarios con credenciales de Active Directory que se conectan desde un punto de conexión fuera del firewall corporativo. El servicio perimetral de acceso pasa solicitudes de inicio de sesión a un director, si está presente, o a un servidor front-end para la autenticación. El servicio Perimetral de acceso no realiza ninguna autenticación.
Nota
El protocolo NTLM ofrece una protección contra ataques más débil que la de Kerberos, por lo que algunas organizaciones minimizan el uso de NTLM. Como resultado, el acceso a Lync Server 2013 podría restringirse a clientes internos o conectados a través de una conexión VPN o DirectAccess.
Protocolo de autenticación implícita para los usuarios denominados anónimos. Los usuarios anónimos son usuarios externos que no tienen credenciales de Active Directory reconocidas, pero que han recibido una invitación a una conferencia local y tienen una clave de conferencia válida. La autenticación implícita no se utiliza para otras interacciones del cliente.
La autenticación de Lync Server 2013 consta de dos fases:
Se establece una asociación de seguridad entre el cliente y el servidor.
El cliente y el servidor utilizan la asociación de seguridad existente para firmar los mensajes que envían y comprobar los que reciben. Cuando la autenticación está habilitada en el servidor, no se aceptan los mensajes no autenticados de un cliente.
La confianza en un usuario se adjunta a cada mensaje que procede del usuario, no a la identidad del usuario. El servidor comprueba cada mensaje para determinar si las credenciales de usuario son válidas. Si lo son, no solo el primer servidor en recibir el mensaje no lo desafía, sino que tampoco lo hacen los demás servidores de la nube de servidores de confianza.
Los usuarios con credenciales válidas emitidas por un socio federado son de confianza pero, de manera opcional, algunas restricciones adicionales impiden que disfruten de todos los privilegios otorgados a los usuarios internos.
Los protocolos ICE y TURN también usan el desafío de autenticación implícita que se describe en la RFC del IETF referente a TURN.
Los certificados de cliente proporcionan un modo alternativo para que los usuarios se autentiquen mediante Lync Server 2013. En vez de proporcionar un nombre de usuario y una contraseña, los usuarios cuentan con un certificado y una clave privada correspondiente al certificado necesario para resolver un desafío criptográfico. (Este certificado debe tener un nombre de asunto o un nombre alternativo del asunto que identifique al usuario y debe ser emitido por una CA raíz de confianza por los servidores que ejecutan Lync Server 2013, estar dentro del período de validez del certificado y no se ha revocado). Para autenticarse, los usuarios solo necesitan escribir un número de identificación personal (PIN). Los certificados son especialmente útiles para teléfonos y otros dispositivos que ejecutan Microsoft Lync 2013 Phone Edition donde es difícil escribir un nombre de usuario o una contraseña.