Проверка подлинности пользователей и клиентов для Lync Server 2013

  • Статья

 

Последнее изменение раздела: 2013-11-11

Доверенным пользователем является пользователь, учетные данные которого были аутентифицированы доверенным сервером в Microsoft Lync Server 2013. Этот сервер обычно является сервером Standard Edition, выпуск Enterprise сервером переднего плана или директором. Lync Server 2013 использует доменные службы Active Directory как единый надежный внутренний репозиторий учетных данных пользователя.

Проверка подлинности представляет собой предоставление учетных данных пользователя доверенному серверу. В Lync Server 2013 используются следующие протоколы проверки подлинности в зависимости от состояния и расположения пользователя.

  • Протокол безопасности MIT Kerberos версии 5 для внутренних пользователей с учетными данными Active Directory. Kerberos требует подключения клиентов к доменные службы Active Directory, поэтому его нельзя использовать для проверки подлинности клиентов за пределами корпоративного брандмауэра.

  • Протокол NTLM для пользователей с учетными данными Active Directory, которые подключаются из конечной точки за пределами корпоративного брандмауэра. Служба Access Edge передает запросы на вход в систему директору(при наличии) или серверу переднего плана для проверки подлинности. Сама служба Access Edge не выполняет проверку подлинности.

    Примечание.

    Протокол NTLM обеспечивает более слабую защиту от атак в сравнении с Kerberos, поэтому некоторые организации сводят использование NTLM к минимуму. В результате доступ к Lync Server 2013 может быть ограничен внутренним или клиентом, подключенным через VPN-подключение или подключение DirectAccess.

  • Дайджест-проверка для так называемых анонимных пользователей. Анонимные пользователи — это внешние пользователи, которые не имеют распознанных учетных данных Active Directory, но были приглашены в локальную конференцию и обладают действительным ключом конференции. Дайджест-проверка подлинности не используется для других клиентских взаимодействий.

Проверка подлинности Lync Server 2013 состоит из двух этапов:

  1. Между клиентом и сервером устанавливается сопоставление безопасности.

  2. Клиент и сервер используют существующее сопоставление безопасности для подписи сообщений, которые они отправляют, и для проверки получения сообщений. Не прошедшие проверку подлинности сообщения от клиента не принимаются при включенной на сервере проверке подлинности.

Доверие пользователя прикрепляется к каждому сообщению, которое исходит от пользователя, но не к удостоверению пользователя. Сервер проверяет каждое сообщение на наличие действительных учетных данных пользователя. Если учетные данные пользователя действительны, сообщение принимается не только первым получившим его сервером, но и всеми другими серверами в доверенном облаке серверов.

Пользователи с действительными выданными федеративным партнером учетными данными являются доверенными, но к ним могут применяться другие ограничения привилегий, которые полностью доступны внутренним пользователям.

Протоколы ICE и TURN также используют требование Digest, описанное в документе IETF TURN RFC.

Сертификаты клиента предоставляют альтернативный способ проверки подлинности пользователей в Lync Server 2013. Вместо предоставления имени пользователя и пароля пользователи имеют сертификат и закрытый ключ, соответствующий необходимому для решения криптографической задачи сертификату. (Этот сертификат должен иметь альтернативное имя субъекта или субъекта, которое идентифицирует пользователя и должно быть выдано корневым ЦС, который является доверенным для серверов под управлением Lync Server 2013, должен находиться в пределах срока действия сертификата и не был отозван.) Для проверки подлинности пользователям нужно ввести только персональный идентификационный номер (ПИН-код). Сертификаты особенно полезны для телефонов и других устройств под управлением Microsoft Lync 2013 Phone Edition, где сложно ввести имя пользователя и (или) пароль.