Настройка двухфакторной проверки подлинности в Skype для бизнеса Server 2015

Skype for Business Server 2015
 

Дата изменения раздела:2016-12-20

Сводка: настройка двухфакторной проверки подлинности в Skype для бизнеса Server 2015.

В следующих разделах приведена пошаговая процедура настройки двухфакторной проверки подлинности для развертывания. Дополнительные сведения о двухфакторной проверки подлинности можно многофакторная проверка подлинности Включение Office 365 для администраторов online - Post пользователя сетки.

Ниже описан порядок действий по настройке корневого ЦС предприятия для проверки подлинности с помощью смарт-карт.

Сведения по установке корневой Сертификат предприятия можно установить корневой центр сертификации предприятия.

  1. Войдите на компьютер ЦС предприятия с учетной записью администратора домена.

  2. Запустите приложение System Manager и убедитесь в том, что установлена роль регистрации сертификатов через Интернет.

  3. В меню Администрирование откройте консоль управления Центр сертификации .

  4. В области навигации разверните элемент Центр сертификации .

  5. Щелкните правой кнопкой Шаблоны сертификатов и выберите Создать , затем Выдаваемый шаблон сертификата .

  6. Выберите Агент подачи заявок , Пользователь со смарт-картой и Вход со смарт-картой .

  7. Нажмите ОК .

  8. Щелкните Шаблоны сертификатов правой кнопкой мыши.

  9. Выберите Управление .

  10. Откройте свойства шаблона пользователя смарт-карты.

  11. Перейдите на вкладку Безопасность .

  12. Задайте указанные ниже разрешения.

    • Добавьте учетные записи отдельных пользователей Active Directory с разрешениями на чтение и подачу заявок (разрешить).

    • Добавьте группу безопасности с пользователями смарт-карт, обладающую разрешениями на чтение и подачу заявок (разрешить).

    • Добавьте группу пользователей домена с разрешениями на чтение и подачу заявок (разрешить).

Одним их факторов, которые следует учитывать при развертывании двухфакторной проверки подлинности и технологии смарт-карт, является его стоимость. Среди новых возможностей в системе обеспечения безопасности Windows 8 одной из наиболее эффективных является поддержка виртуальных смарт-карт.

Если компьютеры оборудованы микросхемами доверенного платформенного модуля (TPM), соответствующими спецификации версии 1.2, организации могут пользоваться преимуществами регистрации по смарт-картам без дополнительных капиталовложений в оборудование. Дополнительные сведения можно с помощью виртуальных смарт-карт с Windows 8.

Настройка конфигурации Windows 8 для виртуальных смарт-карт
  1. Войдите в систему на компьютере под управлением Windows 8 по учетным данным пользователя, которому предоставлен доступ к Skype для бизнеса.

  2. На начальном экране Windows 8 переместите курсор в нижний правый угол.

  3. Выберите команду Поиск и найдите элемент Command Prompt .

  4. Щелкните Командная строка правой кнопкой мыши, затем выберите Запуск от имени администратора .

  5. Откройте консоль управления TPM, выполнив следующую команду:

  6. Убедитесь в том, что спецификация вашего TPM имеет версию 1.2 или выше.

    noteПримечание.
    При появлении диалогового окна с сообщением, что совместимый TPM не найден, убедитесь в том, что ваш компьютер имеет совместимый модуль TPM и что он включен в BIOS компьютера.
  7. Закройте консоль управления TPM

  8. Создайте новую виртуальную смарт-карту, введя в командную строку следующую команду:

    TpmVscMgr create /name MyVSC /pin default /adminkey random /generate
    
    noteПримечание.
    Чтобы сообщить настраиваемое значение ПИН-кода, используйте ключ командной строки /pin.
  9. Откройте консоль управления компьютером, введя в командную строку следующую команду:

    CompMgmt.msc
    
  10. В консоли управления компьютером выберите Управление устройствами .

  11. Разверните элемент Устройства чтения смарт-карт .

  12. Убедитесь в том, что создание нового устройства для чтения виртуальной смарт-карты успешно завершено.

Зарегистрировать пользователей для проверки подлинности с помощью смарт-карты можно двумя способами. Простой вариант — поручить пользователям самостоятельно зарегистрироваться с помощью функции регистрации через Интернет, в то время как сложный связан с использованием агента регистрации. В этом разделе рассматривается процедура самостоятельной регистрации для использования сертификатов смарт-карт.

Дополнительные сведения о регистрации от имени пользователей и как агент регистрации видеть Заявка на сертификаты от имени других пользователей.

Порядок регистрации пользователей для проверки подлинности с помощью смарт-карты
  1. Войдите в систему на рабочей станции Windows 8 по учетным данным пользователя, которому предоставлен доступ к Skype для бизнеса.

  2. Запустите браузер Internet Explorer.

  3. Перейдите на страницу Указать ЦС для службы подачи заявок в центр сертификации через Интернет (например, https://MyCA.contoso.com/certsrv).

    noteПримечание.
    В браузере Internet Explorer 10 эту страницу, возможно, потребуется открыть в режиме совместимости.
  4. На странице приветствия выберите Запросить сертификат .

  5. Затем выберите Расширенный запрос .

  6. Выберите Создать и выдать запрос к этому ЦС .

  7. В разделе Шаблон сертификата выберите Пользователь смарт-карты и введите в полях расширенного запроса сертификата следующие значения.

    • В разделе Параметры ключа задайте следующие значения.

      • Установите переключатель в положение Создать новый набор ключей .

      • Для параметра Поставщик служб шифрования выберите значение Базовый поставщик криптографии смарт-карт (Microsoft) .

      • Для параметра Использование ключа выберите значение Обмен (единственное доступное значение).

      • В поле Размер ключа введите значение 2048 .

      • Убедитесь в том, что флажок Автоматическое имя контейнера ключа установлен.

      • Оставьте остальные флажки снятыми.

    • В разделе Дополнительные параметры задайте следующие значения.

      • Для параметра Формат запроса выберите значение CMC .

      • Для параметра Алгоритм хэширования выберите значение sha1 .

      • В поле Понятное имя введите значение Smardcard Certificate .

  8. Если используется физическое устройство считывания смарт-карт, вставьте смарт-карту в устройство.

  9. Нажмите кнопку Отправить для отправки запроса сертификата.

  10. Когда будет предложено, введите ПИН-код, использовавшийся при создании виртуальной смарт-карты.

    noteПримечание.
    Значение ПИН-кода виртуальной смарт-карты по умолчанию — 12345678.
  11. После выдачи сертификата щелкните Установить этот сертификат для завершения процедуры регистрации.

    noteПримечание.
    Если запрос на получение сертификата завершается неудачей с ошибкой "Этот веб-браузер не поддерживает создание запросов на сертификат", устранить эту ошибку можно тремя способами.
    1. Включите режим совместимости в браузере Internet Explorer.

    2. Включите параметр "Включить параметры интрасети" в браузере Internet Explorer.

    3. Выберите параметр "Выбрать уровень безопасности по умолчанию для всех зон" на вкладке "Безопасность" в меню параметров Internet Explorer.

В этом разделе рассматривается настройка служб федерации Active Directory (AD FS 2.0) для поддержки многофакторной проверки подлинности. Сведения о том, как установить AD FS 2.0 можно AD FS 2.0 Step-by-Step и как для руководства по.

noteПримечание.
При установке AD FS 2.0 не добавляйте роль службы федерации Active Directory с помощью диспетчера серверов Windows. Вместо этого загрузите и установите пакет Active Directory Federation Services 2.0 RTW.
Настройка AD FS для двухфакторной проверки подлинности
  1. Войдите в систему на компьютере с AD FS 2.0 с помощью учетной записи администратора домена.

  2. Запустите Windows PowerShell.

  3. Введите в командной строке Windows PowerShell следующую команду:

    add-pssnapin Microsoft.Adfs.PowerShell
    
  4. Установите партнерское отношение с каждым сервером, на котором будет разрешена пассивная проверка подлинности; для этого выполните следующую команду, указав имя сервера в конкретном развертывании:

    Add-ADFSRelyingPartyTrust -Name SfBPool01-PassiveAuth -MetadataURL https://SfBpool01.contoso.com/passiveauth/federationmetadata/2007-06/federationmetadata.xml
    
  5. Запустите консоль управления AD FS 2.0 в меню "Средства администрирования".

  6. Разверните элемент Отношения доверия > Отношения доверия с проверяющей стороной .

  7. Убедитесь в создании нового отношения доверия для Skype для бизнеса Server.

  8. С помощью Windows PowerShell и следующих команд создайте и назначьте для отношения доверия с проверяющей стороны правило утверждения авторизации:

    $IssuanceAuthorizationRules = '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");'
    
    Set-ADFSRelyingPartyTrust -TargetName SfBPool01-PassiveAuth 
    -IssuanceAuthorizationRules $IssuanceAuthorizationRules
    
  9. С помощью Windows PowerShell и следующих команд создайте и назначьте для отношения доверия с проверяющей стороны правило утверждения преобразования:

    $IssuanceTransformRules = '@RuleTemplate = "PassThroughClaims" @RuleName = "Sid" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"]=> issue(claim = c);'
    
    Set-ADFSRelyingPartyTrust -TargetName SfBPool01-PassiveAuth -IssuanceTransformRules $IssuanceTransformRules
    
  10. В консоли управления AD FS 2.0 щелкните отношение доверия с проверяющей стороной правой кнопкой мыши и выберите команду редактирования правил утверждений .

  11. Перейдите на вкладку правил разрешения выпуска и убедитесь в том, что новое правило разрешения успешно создано.

  12. Перейдите на вкладку правил преобразования выпуска и убедитесь в том, что новое правило преобразования успешно создано.

Чтобы разрешить в AD FS 2.0 поддержку проверки подлинности с использованием смарт-карт, можно настроить два указанных ниже типа проверки подлинности.

  • Проверка подлинности на основе форм

  • Проверка подлинности клиента по протоколу TLS

На основе проверки подлинности по формам можно разработать веб-страницу, где подлинность пользователей будет проверяться по имени и паролю или по смарт-карте и PIN‑коду. В этой статье рассматривается преимущественно реализация проверки подлинности клиента по протоколу TLS с помощью AD FS 2.0. Дополнительные сведения о типах AD FS 2.0 проверки подлинности можно AD FS 2.0: изменение локального типа проверки подлинности.

Настройка AD FS 2.0 для поддержки проверки подлинности клиента
  1. Войдите в систему на компьютере с AD FS 2.0 с помощью учетной записи администратора домена.

  2. Запустите проводник.

  3. Перейдите в папку C:\inetpub\adfs\ls

  4. Сделайте резервную копию файла web.config.

  5. Откройте файл web.config с помощью Блокнота.

  6. В строке меню выберите Правка , затем Найти .

  7. Введите в поле поиска строку <localAuthenticationTypes> .

    Обратите внимание, что здесь будут перечислены четыре типа проверки подлинности, по одному на строку.

  8. Переместите строку, содержащую тип проверки подлинности TLSClient, в начало списка в разделе.

  9. Сохраните и закройте файл web.config.

  10. Запустите командную строку с повышенными привилегиями.

  11. Перезапустите службу IIS, выполнив следующую команду:

    IISReset /Restart /NoForce
    

В следующем разделе рассматривается настройка поддержки пассивной проверки подлинности в Skype для бизнеса Server 2015. После включения этой функции пользователям, которым разрешена двухфакторная проверка подлинности, для входа с клиента Skype для бизнеса потребуются физическая или виртуальная смарт-карта и действительный PIN‑код.

noteПримечание.
Заказчикам настоятельно рекомендуется включить пассивную проверку подлинности для регистратора и веб-служб на уровне служб. Включение пассивной проверки подлинности включена для регистратора и веб-служб на глобальном уровне с большой вероятностью приводит к сбоям проверки подлинности пользователей, входящих не с поддерживаемых клиентов для настольных компьютеров, во всей организации.

Ниже описана процедура создания настраиваемой конфигурации веб-служб для директоров, корпоративных пулов и серверов Standard Edition, для которых будет включена пассивная проверка подлинности.

Порядок создания настраиваемой конфигурации веб-служб
  1. Войдите на сервер переднего плана Skype для бизнеса Server 2015 по учетной записи администратораSkype для бизнеса.

  2. Запуск Командная консоль Skype для бизнеса Server.

  3. Из Командная консоль Skype для бизнеса Server командной строки, создать новую конфигурацию веб-службы для каждого директора, корпоративного пула и сервера Standard Edition, который будет включен для пассивной проверки подлинности, выполнив следующую команду:

    New-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" -UseWsFedPassiveAuth $true -WsFedPassiveMetadataUri https://dc.contoso.com/federationmetadata/2007-06/federationmetadata.xml
    
    warningПредупреждение.
    Значением полного доменного имени WsFedPassiveMetadataUri является имя службы федерации сервера AD FS 2.0. Значение имени службы федерации можно найти в консоли управления AD FS 2.0, щелкнув Служба в области навигации правой кнопкой мыши и затем выбрав Изменить свойства службы федерации .
  4. Проверьте правильность значений UseWsFedPassiveAuth и WsFedPassiveMetadataUri, выполнив следующую команду:

    Get-CsWebServiceConfiguration -identity "Service:WebServer:SfBPool01.contoso.com" | format-list UseWsFedPassiveAuth, WsFedPassiveMetadataUri
    
  5. Для клиентов пассивная проверка подлинности является наименее предпочтительным способом проверки подлинности WebTicket. Для всех директоров, корпоративных пулов и серверов стандартного выпуска, где будет разрешена пассивная проверка подлинности, необходимо отключить в разделе веб-служб Skype для бизнеса все остальные типы проверки подлинности, выполнив следующий командлет:

    Set-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" -UseCertificateAuth $false -UsePinAuth $false -UseWindowsAuth NONE
    
  6. Убедитесь в том, что все остальные типы проверки подлинности успешно отключены, выполнив следующую команду:

    Get-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" | format-list UseCertificateAuth, UsePinAuth, UseWindowsAuth
    

Если для веб-служб Skype для бизнеса отключена проверка подлинности по сертификату, применяется менее предпочтительный тип проверки подлинности клиента Skype для бизнеса в службе регистратора, например, способы, такие как Kerberos и NTLM. Проверка подлинности по сертификату и в этом случае необходима для извлечения WebTicket клиентом, однако для службы регистратора необходимо отключить Kerberos и NTLM.

Ниже описана процедура создания настраиваемой конфигурации прокси-сервера для пограничных пулов, корпоративных пулов и серверов Standard Edition, для которых будет включена пассивная проверка подлинности.

Порядок создания настраиваемой конфигурации прокси-сервера
  1. Из Командная консоль Skype для бизнеса Server командной строки, создать новую конфигурацию прокси-сервера для каждого из них Skype для бизнеса Server 2015 пограничного пула, корпоративный пул и Standard Edition server, который будет использоваться для пассивной проверки подлинности, выполнив следующие команды:

    New-CsProxyConfiguration -Identity "Service:EdgeServer:EdgePool01.contoso.com" 
    -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
    
    New-CsProxyConfiguration -Identity "Service:Registrar:SfBPool01.contoso.com" 
    -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
    
  2. Убедитесь, что все остальные типы проверки подлинности прокси-сервера успешно отключены, выполнив следующую команду:

    Get-CsProxyConfiguration -Identity "Service:Registrar:SfBPool01.contoso.com"
     | format-list UseKerberosForClientToProxyAuth, UseNtlmForClientToProxyAuth, UseCertifcateForClientToProxyAuth
    
 
Показ: