Настройка двухфакторной проверки подлинности в Skype для бизнеса Server 2015

Skype for Business Server 2015
 

Дата изменения раздела:2016-12-20

Сводка: настройка двухфакторной проверки подлинности в Skype для бизнеса Server 2015.

В следующих разделах приведена пошаговая процедура настройки двухфакторной проверки подлинности для развертывания. Дополнительные сведения о двухфакторной проверке подлинности см. в статье Включение многофакторной проверки подлинности Office 365 для администраторов в Интернете — пользовательские сообщения в сетке.

Ниже описан порядок действий по настройке корневого ЦС предприятия для проверки подлинности с помощью смарт-карт.

Об установке корневого центра сертификации на предприятии см. в разделе Установка корневого центра сертификации на предприятии.

  1. Войдите на компьютер ЦС предприятия с учетной записью администратора домена.

  2. Запустите приложение System Manager и убедитесь в том, что установлена роль регистрации сертификатов через Интернет.

  3. В меню Администрирование откройте консоль управления Центр сертификации .

  4. В области навигации разверните элемент Центр сертификации .

  5. Щелкните правой кнопкой Шаблоны сертификатов и выберите Создать , затем Выдаваемый шаблон сертификата .

  6. Выберите Агент подачи заявок , Пользователь со смарт-картой и Вход со смарт-картой .

  7. Нажмите ОК .

  8. Щелкните Шаблоны сертификатов правой кнопкой мыши.

  9. Выберите Управление .

  10. Откройте свойства шаблона пользователя смарт-карты.

  11. Перейдите на вкладку Безопасность .

  12. Задайте указанные ниже разрешения.

    • Добавьте учетные записи отдельных пользователей Active Directory с разрешениями на чтение и подачу заявок (разрешить).

    • Добавьте группу безопасности с пользователями смарт-карт, обладающую разрешениями на чтение и подачу заявок (разрешить).

    • Добавьте группу пользователей домена с разрешениями на чтение и подачу заявок (разрешить).

Одним их факторов, которые следует учитывать при развертывании двухфакторной проверки подлинности и технологии смарт-карт, является его стоимость. Среди новых возможностей в системе обеспечения безопасности Windows 8 одной из наиболее эффективных является поддержка виртуальных смарт-карт.

Если компьютеры оборудованы микросхемами доверенного платформенного модуля (TPM), соответствующими спецификации версии 1.2, организации могут пользоваться преимуществами регистрации по смарт-картам без дополнительных капиталовложений в оборудование. Дополнительные сведения см. в разделе Работа с виртуальными смарт-картами в Windows 8.

Настройка конфигурации Windows 8 для виртуальных смарт-карт
  1. Войдите в систему на компьютере под управлением Windows 8 по учетным данным пользователя, которому предоставлен доступ к Skype для бизнеса.

  2. На начальном экране Windows 8 переместите курсор в нижний правый угол.

  3. Выберите команду Поиск и найдите элемент Command Prompt .

  4. Щелкните Командная строка правой кнопкой мыши, затем выберите Запуск от имени администратора .

  5. Откройте консоль управления TPM, выполнив следующую команду:

  6. Убедитесь в том, что спецификация вашего TPM имеет версию 1.2 или выше.

    noteПримечание.
    При появлении диалогового окна с сообщением, что совместимый TPM не найден, убедитесь в том, что ваш компьютер имеет совместимый модуль TPM и что он включен в BIOS компьютера.
  7. Закройте консоль управления TPM

  8. Создайте новую виртуальную смарт-карту, введя в командную строку следующую команду:

    TpmVscMgr create /name MyVSC /pin default /adminkey random /generate
    
    noteПримечание.
    Чтобы сообщить настраиваемое значение ПИН-кода, используйте ключ командной строки /pin.
  9. Откройте консоль управления компьютером, введя в командную строку следующую команду:

    CompMgmt.msc
    
  10. В консоли управления компьютером выберите Управление устройствами .

  11. Разверните элемент Устройства чтения смарт-карт .

  12. Убедитесь в том, что создание нового устройства для чтения виртуальной смарт-карты успешно завершено.

Зарегистрировать пользователей для проверки подлинности с помощью смарт-карты можно двумя способами. Простой вариант — поручить пользователям самостоятельно зарегистрироваться с помощью функции регистрации через Интернет, в то время как сложный связан с использованием агента регистрации. В этом разделе рассматривается процедура самостоятельной регистрации для использования сертификатов смарт-карт.

Дополнительные сведения о регистрации от имени пользователей в качестве агента подачи заявок см. в разделе Регистрация для сертификатов от имени других пользователей.

Порядок регистрации пользователей для проверки подлинности с помощью смарт-карты
  1. Войдите в систему на рабочей станции Windows 8 по учетным данным пользователя, которому предоставлен доступ к Skype для бизнеса.

  2. Запустите браузер Internet Explorer.

  3. Перейдите на страницу Указать ЦС для службы подачи заявок в центр сертификации через Интернет (например, https://MyCA.contoso.com/certsrv).

    noteПримечание.
    В браузере Internet Explorer 10 эту страницу, возможно, потребуется открыть в режиме совместимости.
  4. На странице приветствия выберите Запросить сертификат .

  5. Затем выберите Расширенный запрос .

  6. Выберите Создать и выдать запрос к этому ЦС .

  7. В разделе Шаблон сертификата выберите Пользователь смарт-карты и введите в полях расширенного запроса сертификата следующие значения.

    • В разделе Параметры ключа задайте следующие значения.

      • Установите переключатель в положение Создать новый набор ключей .

      • Для параметра Поставщик служб шифрования выберите значение Базовый поставщик криптографии смарт-карт (Microsoft) .

      • Для параметра Использование ключа выберите значение Обмен (единственное доступное значение).

      • В поле Размер ключа введите значение 2048 .

      • Убедитесь в том, что флажок Автоматическое имя контейнера ключа установлен.

      • Оставьте остальные флажки снятыми.

    • В разделе Дополнительные параметры задайте следующие значения.

      • Для параметра Формат запроса выберите значение CMC .

      • Для параметра Алгоритм хэширования выберите значение sha1 .

      • В поле Понятное имя введите значение Smardcard Certificate .

  8. Если используется физическое устройство считывания смарт-карт, вставьте смарт-карту в устройство.

  9. Нажмите кнопку Отправить для отправки запроса сертификата.

  10. Когда будет предложено, введите ПИН-код, использовавшийся при создании виртуальной смарт-карты.

    noteПримечание.
    Значение ПИН-кода виртуальной смарт-карты по умолчанию — 12345678.
  11. После выдачи сертификата щелкните Установить этот сертификат для завершения процедуры регистрации.

    noteПримечание.
    Если запрос на получение сертификата завершается неудачей с ошибкой "Этот веб-браузер не поддерживает создание запросов на сертификат", устранить эту ошибку можно тремя способами.
    1. Включите режим совместимости в браузере Internet Explorer.

    2. Включите параметр "Включить параметры интрасети" в браузере Internet Explorer.

    3. Выберите параметр "Выбрать уровень безопасности по умолчанию для всех зон" на вкладке "Безопасность" в меню параметров Internet Explorer.

В этом разделе рассматривается настройка служб федерации Active Directory (AD FS 2.0) для поддержки многофакторной проверки подлинности. Об установке AD FS 2.0 см. в разделе Пошаговые инструкции и руководства по AD FS 2.0.

noteПримечание.
При установке AD FS 2.0 не добавляйте роль службы федерации Active Directory с помощью диспетчера серверов Windows. Вместо этого загрузите и установите пакет службы федерации Active Directory 2.0 RTW.
Настройка AD FS для двухфакторной проверки подлинности
  1. Войдите в систему на компьютере с AD FS 2.0 с помощью учетной записи администратора домена.

  2. Запустите Windows PowerShell.

  3. Введите в командной строке Windows PowerShell следующую команду:

    add-pssnapin Microsoft.Adfs.PowerShell
    
  4. Установите партнерское отношение с каждым сервером, на котором будет разрешена пассивная проверка подлинности; для этого выполните следующую команду, указав имя сервера в конкретном развертывании:

    Add-ADFSRelyingPartyTrust -Name SfBPool01-PassiveAuth -MetadataURL https://SfBpool01.contoso.com/passiveauth/federationmetadata/2007-06/federationmetadata.xml
    
  5. Запустите консоль управления AD FS 2.0 в меню "Средства администрирования".

  6. Разверните элемент Отношения доверия > Отношения доверия с проверяющей стороной .

  7. Убедитесь в создании нового отношения доверия для Skype для бизнеса Server.

  8. С помощью Windows PowerShell и следующих команд создайте и назначьте для отношения доверия с проверяющей стороны правило утверждения авторизации:

    $IssuanceAuthorizationRules = '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");'
    
    Set-ADFSRelyingPartyTrust -TargetName SfBPool01-PassiveAuth 
    -IssuanceAuthorizationRules $IssuanceAuthorizationRules
    
  9. С помощью Windows PowerShell и следующих команд создайте и назначьте для отношения доверия с проверяющей стороны правило утверждения преобразования:

    $IssuanceTransformRules = '@RuleTemplate = "PassThroughClaims" @RuleName = "Sid" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"]=> issue(claim = c);'
    
    Set-ADFSRelyingPartyTrust -TargetName SfBPool01-PassiveAuth -IssuanceTransformRules $IssuanceTransformRules
    
  10. В консоли управления AD FS 2.0 щелкните отношение доверия с проверяющей стороной правой кнопкой мыши и выберите команду редактирования правил утверждений .

  11. Перейдите на вкладку правил разрешения выпуска и убедитесь в том, что новое правило разрешения успешно создано.

  12. Перейдите на вкладку правил преобразования выпуска и убедитесь в том, что новое правило преобразования успешно создано.

Чтобы разрешить в AD FS 2.0 поддержку проверки подлинности с использованием смарт-карт, можно настроить два указанных ниже типа проверки подлинности.

  • Проверка подлинности на основе форм

  • Проверка подлинности клиента по протоколу TLS

На основе проверки подлинности по формам можно разработать веб-страницу, где подлинность пользователей будет проверяться по имени и паролю или по смарт-карте и PIN‑коду. В этой статье рассматривается преимущественно реализация проверки подлинности клиента по протоколу TLS с помощью AD FS 2.0. Дополнительные сведения о типах проверки подлинности AD FS 2.0 см. в статье AD FS 2.0: изменение типа локальной проверки подлинности.

Настройка AD FS 2.0 для поддержки проверки подлинности клиента
  1. Войдите в систему на компьютере с AD FS 2.0 с помощью учетной записи администратора домена.

  2. Запустите проводник.

  3. Перейдите в папку C:\inetpub\adfs\ls

  4. Сделайте резервную копию файла web.config.

  5. Откройте файл web.config с помощью Блокнота.

  6. В строке меню выберите Правка , затем Найти .

  7. Введите в поле поиска строку <localAuthenticationTypes> .

    Обратите внимание, что здесь будут перечислены четыре типа проверки подлинности, по одному на строку.

  8. Переместите строку, содержащую тип проверки подлинности TLSClient, в начало списка в разделе.

  9. Сохраните и закройте файл web.config.

  10. Запустите командную строку с повышенными привилегиями.

  11. Перезапустите службу IIS, выполнив следующую команду:

    IISReset /Restart /NoForce
    

В следующем разделе рассматривается настройка поддержки пассивной проверки подлинности в Skype для бизнеса Server 2015. После включения этой функции пользователям, которым разрешена двухфакторная проверка подлинности, для входа с клиента Skype для бизнеса потребуются физическая или виртуальная смарт-карта и действительный PIN‑код.

noteПримечание.
Заказчикам настоятельно рекомендуется включить пассивную проверку подлинности для регистратора и веб-служб на уровне служб. Включение пассивной проверки подлинности включена для регистратора и веб-служб на глобальном уровне с большой вероятностью приводит к сбоям проверки подлинности пользователей, входящих не с поддерживаемых клиентов для настольных компьютеров, во всей организации.

Ниже описана процедура создания настраиваемой конфигурации веб-служб для директоров, корпоративных пулов и серверов Standard Edition, для которых будет включена пассивная проверка подлинности.

Порядок создания настраиваемой конфигурации веб-служб
  1. Войдите на сервер переднего плана Skype для бизнеса Server 2015 по учетной записи администратораSkype для бизнеса.

  2. Запустите командную консоль Skype для бизнеса Server.

  3. В командной консоли Skype для бизнеса Server создайте новую конфигурацию веб-службы для каждого директора, корпоративного пула и сервера стандартного выпуска, где будет разрешена пассивная проверка подлинности, выполнив в командной строке следующие команды:

    New-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" -UseWsFedPassiveAuth $true -WsFedPassiveMetadataUri https://dc.contoso.com/federationmetadata/2007-06/federationmetadata.xml
    
    warningПредупреждение.
    Значением полного доменного имени WsFedPassiveMetadataUri является имя службы федерации сервера AD FS 2.0. Значение имени службы федерации можно найти в консоли управления AD FS 2.0, щелкнув Служба в области навигации правой кнопкой мыши и затем выбрав Изменить свойства службы федерации .
  4. Проверьте правильность значений UseWsFedPassiveAuth и WsFedPassiveMetadataUri, выполнив следующую команду:

    Get-CsWebServiceConfiguration -identity "Service:WebServer:SfBPool01.contoso.com" | format-list UseWsFedPassiveAuth, WsFedPassiveMetadataUri
    
  5. Для клиентов пассивная проверка подлинности является наименее предпочтительным способом проверки подлинности WebTicket. Для всех директоров, корпоративных пулов и серверов стандартного выпуска, где будет разрешена пассивная проверка подлинности, необходимо отключить в разделе веб-служб Skype для бизнеса все остальные типы проверки подлинности, выполнив следующий командлет:

    Set-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" -UseCertificateAuth $false -UsePinAuth $false -UseWindowsAuth NONE
    
  6. Убедитесь в том, что все остальные типы проверки подлинности успешно отключены, выполнив следующую команду:

    Get-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" | format-list UseCertificateAuth, UsePinAuth, UseWindowsAuth
    

Если для веб-служб Skype для бизнеса отключена проверка подлинности по сертификату, применяется менее предпочтительный тип проверки подлинности клиента Skype для бизнеса в службе регистратора, например, способы, такие как Kerberos и NTLM. Проверка подлинности по сертификату и в этом случае необходима для извлечения WebTicket клиентом, однако для службы регистратора необходимо отключить Kerberos и NTLM.

Ниже описана процедура создания настраиваемой конфигурации прокси-сервера для пограничных пулов, корпоративных пулов и серверов Standard Edition, для которых будет включена пассивная проверка подлинности.

Порядок создания настраиваемой конфигурации прокси-сервера
  1. В командной консоли Skype для бизнеса Server создайте новую конфигурацию прокси-сервера для каждого пограничного пула, корпоративного пула и сервера стандартного выпуска Skype для бизнеса Server 2015, где будет разрешена пассивная проверка подлинности, выполнив в командной строке следующие команды:

    New-CsProxyConfiguration -Identity "Service:EdgeServer:EdgePool01.contoso.com" 
    -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
    
    New-CsProxyConfiguration -Identity "Service:Registrar:SfBPool01.contoso.com" 
    -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
    
  2. Убедитесь, что все остальные типы проверки подлинности прокси-сервера успешно отключены, выполнив следующую команду:

    Get-CsProxyConfiguration -Identity "Service:Registrar:SfBPool01.contoso.com"
     | format-list UseKerberosForClientToProxyAuth, UseNtlmForClientToProxyAuth, UseCertifcateForClientToProxyAuth
    
 
Показ: