Autenticazione utente e client per Lync Server 2010

Ultima modifica dell'argomento: 2013-02-16

Un utente trusted è un utente le cui credenziali sono state autenticate da un server trusted in Microsoft Lync Server 2010. Tale server è in genere un server Standard Edition, Enterprise Edition Front End o Director. Lync Server 2010 si basa su Servizi di dominio Active Directory come unico archivio back-end attendibile per le credenziali utente.

Per autenticazione si intende la fornitura delle credenziali utente a un server trusted. Lync Server 2010 utilizza i protocolli di autenticazione seguenti, a seconda dello stato e della posizione dell'utente:

• Protocollo di sicurezza MIT Kerberos versione 5 per gli utenti interni con credenziali di Active Directory. Kerberos richiede la connettività client a Servizi di dominio Active Directory, pertanto non può essere utilizzato per l'autenticazione di client esterni al firewall aziendale.

• Protocollo NTLM per gli utenti con credenziali di Active Directory che si connettono da un endpoint esterno al firewall aziendale. Il servizio Access Edge passa le richieste di accesso a un Director, se presente, o a un Front End Server per l'autenticazione. Il servizio Access Edge in sé non esegue alcuna autenticazione.

  Nota

  Il protocollo NTLM offre una minore protezione dagli attacchi rispetto a Kerberos, pertanto viene utilizzato il meno possibile da alcune organizzazioni. L'accesso a Lync Server 2010 potrebbe quindi essere limitato agli utenti interni o ai client connessi mediante una connessione VPN.

• Protocollo digest per i cosiddetti utenti anonimi. Gli utenti anonimi sono utenti esterni che non dispongono di credenziali di Active Directory riconosciute, ma che sono stati invitati a una conferenza locale e sono in possesso di una chiave di conferenza valida. L'autenticazione del digest non viene utilizzata per altre interazioni client.

L'autenticazione di Lync Server 2010 prevede due fasi:

1. Viene stabilita un'associazione di sicurezza tra il client e il server.

2. Il client e il server utilizzano l'associazione di sicurezza esistente per firmare i messaggi inviati e per verificare i messaggi ricevuti. I messaggi non autenticati provenienti da un client non vengono accettati quando viene abilitata l'autenticazione nel server.

L'attendibilità utente è associata a ogni messaggio originato da un utente e non all'identità dell'utente. Il server verifica in ogni messaggio la validità delle credenziali utente. Se le credenziali utente sono valide, il messaggio non riceve richieste di autenticazione non solo dal primo server che lo riceve, ma anche da tutti gli altri server del cloud di server trusted.

Gli utenti con credenziali valide emesse da un partner federato sono attendibili, ma è possibile che a causa di vincoli aggiuntivi non sia loro consentito di usufruire di tutti i privilegi accordati agli utenti interni.

I protocolli ICE e TURN utilizzano inoltre la richiesta di autenticazione del digest come descritto nella specifica RFC TURN IETF. Per informazioni dettagliate, vedere Attraversamento multimediale.

I certificati client offrono agli utenti un'alternativa per l'autenticazione da parte di Lync Server 2010. Vengono creati e rilasciati da Lync Server per il client e vengono utilizzati solo a scopo identificativo. Il certificato viene rilasciato per il client e viene memorizzato nell'archivio personale dei certificati dell'utente del computer. Il rilascio su base utente consente di assicurare che per ogni utente sarà necessario un certificato separato per finalità di identificazione del client. Il certificato viene creato con il solo utilizzo chiavi avanzato per l'autenticazione client e non include informazioni sull'utilizzo delle chiavi.

Importante:

Lync Server crea e rilascia i certificati espressamente per finalità di autenticazione e identificazione del client tra Lync Server e l'utente richiedente. Poiché questo è il comportamento predefinito e fa parte della progettazione operativa di client e server, i certificati non possono essere creati e assegnati da un altro servizio di rilascio di certificati, un'altra infrastruttura di chiavi private e pubbliche o un'altra autorità di certificazione pubblica.

Oltre al software client basato su computer, i certificati sono particolarmente utili per telefoni e altri dispositivi che eseguono Microsoft Lync 2010 Phone Edition, in cui risulta difficile immettere un nome utente e/o una password. Viene invece utilizzato un codice PIN (Personal Identification Number).