비즈니스용 Skype 서버 대한 사용자 및 클라이언트 인증

  • 아티클

신뢰할 수 있는 사용자는 비즈니스용 Skype 서버 신뢰할 수 있는 서버에서 자격 증명을 인증한 사용자입니다. 이 서버는 일반적으로 Standard Edition 서버, Enterprise Edition 프런트 엔드 서버 또는 디렉터입니다. 비즈니스용 Skype 서버 사용자 자격 증명의 신뢰할 수 있는 단일 백 엔드 리포지토리로 Active Directory Domain Services 사용합니다.

인증은 신뢰할 수 있는 서버에 사용자 자격 증명을 프로비전하는 것입니다. 비즈니스용 Skype 서버 사용자의 상태 위치에 따라 다음 인증 프로토콜을 사용합니다.

  • Active Directory 자격 증명을 사용하는 내부 사용자를 위한 MIT Kerberos 버전 5 보안 프로토콜입니다. Kerberos는 Active Directory Domain Services 클라이언트 연결이 필요하므로 회사 방화벽 외부에서 클라이언트를 인증하는 데 사용할 수 없습니다.

  • 회사 방화벽 외부의 엔드포인트에서 연결하는 Active Directory 자격 증명을 사용하는 사용자를 위한 NTLM 프로토콜입니다. Access Edge 서비스는 인증을 위해 디렉터( 있는 경우) 또는 프런트 엔드 서버에 로그온 요청을 전달합니다. Access Edge 서비스 자체는 인증을 수행하지 않습니다.

    참고

    NTLM 프로토콜은 Kerberos보다 약한 공격 보호를 제공하므로 일부 조직에서는 NTLM 사용을 최소화합니다. 결과적으로 비즈니스용 Skype 서버 대한 액세스는 VPN 또는 DirectAccess 연결을 통해 연결된 내부 또는 클라이언트로 제한될 수 있습니다.

  • 소위 익명 사용자에 대한 다이제스트 프로토콜입니다. 익명 사용자는 Active Directory 자격 증명을 인식하지 못했지만 온-프레미스 회의에 초대되어 유효한 회의 키를 보유한 외부 사용자입니다. 다이제스트 인증은 다른 클라이언트 상호 작용에 사용되지 않습니다.

비즈니스용 Skype 서버 인증은 다음 두 단계로 구성됩니다.

  1. 클라이언트와 서버 간에 보안 연결이 설정됩니다.

  2. 클라이언트와 서버는 기존 보안 연결을 사용하여 보내는 메시지에 서명하고 받는 메시지를 확인합니다. 서버에서 인증을 사용하도록 설정한 경우 클라이언트의 인증되지 않은 메시지는 허용되지 않습니다.

사용자 신뢰는 사용자 ID 자체가 아니라 사용자로부터 시작된 각 메시지에 연결됩니다. 서버는 각 메시지에서 유효한 사용자 자격 증명을 확인합니다. 사용자 자격 증명이 유효한 경우 메시지는 첫 번째 서버에서 수신할 뿐만 아니라 신뢰할 수 있는 서버 클라우드의 다른 모든 서버에 의해 도전되지 않습니다.

페더레이션된 파트너가 발급한 유효한 자격 증명을 가진 사용자는 신뢰할 수 있지만 필요에 따라 추가 제약 조건으로 인해 내부 사용자에게 부여된 모든 권한 범위를 이용할 수 없습니다.

ICE 및 TURN 프로토콜은 IETF TURN RFC에 설명된 대로 다이제스트 챌린지도 사용합니다.

클라이언트 인증서는 사용자가 비즈니스용 Skype 서버 인증할 수 있는 다른 방법을 제공합니다. 사용자에게 사용자 이름과 암호를 제공하는 대신 암호화 문제를 resolve 데 필요한 인증서에 해당하는 인증서와 프라이빗 키가 있습니다. (이 인증서에는 사용자를 식별하는 주체 이름 또는 주체 대체 이름이 있어야 하며, 비즈니스용 Skype 서버 실행하는 서버에서 신뢰할 수 있는 루트 CA에서 발급되어야 하며, 인증서의 유효 기간 내에 있어야 하며 해지되지 않았습니다.) 인증하려면 사용자가 PIN(개인 식별 번호)만 입력하면 됩니다. 인증서는 사용자 이름과 암호를 입력하기 어려운 전화, 휴대폰 및 기타 장치에 특히 유용합니다.

ASP .NET 4.5로 인한 암호화 요구 사항

비즈니스용 Skype 서버 2015 CU5부터 AES는 ASP.NET 4.6에 대해 지원되지 않으며 이로 인해 Skype 모임 앱이 시작되지 않을 수 있습니다. 클라이언트가 AES를 컴퓨터 키 유효성 검사 값으로 사용하는 경우 IIS의 Skype 모임 앱 사이트 수준에서 컴퓨터 키 값을 SHA-1 또는 지원되는 다른 알고리즘으로 다시 설정해야 합니다. 필요한 경우 지침은 IIS 8.0 ASP.NET 구성 관리를 참조하세요.

지원되는 다른 값은 다음과 같습니다.

  • Hmacsha256

  • Hmacsha384

  • Hmacsha512

    AES, 3DES 및 MD5 값은 ASP.NET 4에 있었기 때문에 더 이상 허용되지 않습니다. ASP.NET 4.5, pt. 2의 암호화 개선 사항에 대한 자세한 내용이 있습니다.