Проверка подлинности пользователей и клиентов в Skype для бизнеса Server 2015

Skype for Business Server 2015
 

Дата изменения раздела:2016-07-14

Доверенный пользователь — это пользователь, подлинность учетных данных которого была проверена доверенным сервером в Skype для бизнеса Server 2015. Этот сервер обычно является сервером Standard Edition, Enterprise Edition, сервером переднего плана или директором. В качестве единого доверенного внутреннего репозитория учетных данных пользователей Skype для бизнеса Server использует службу Active Directory.

Проверка подлинности представляет собой предоставление учетных данных пользователя доверенному серверу. Skype для бизнеса Server использует следующие протоколы проверки подлинности в зависимости от состояния и местоположения сервера.

  • Протокол безопасности MIT Kerberos версии 5 для внутренних пользователей с учетными данными Active Directory. Для Kerberos требуется подключение клиента к Active Directory, поэтому он не может использоваться для проверки подлинности клиентов за пределами корпоративного брандмауэра.

  • Протокол NTLM для пользователей с учетными данными Active Directory, которые подключаются с конечной точки за пределами корпоративного брандмауэра. Пограничная служба доступа передает запросы на вход в систему директору (при наличии) или серверу переднего плана для проверки подлинности. Сама служба проверку подлинности не выполняет.

    noteПримечание.
    Протокол NTLM обеспечивает более слабую защиту от атак в сравнении с Kerberos, поэтому некоторые организации сводят использование NTLM к минимуму. В результате этого доступ к Skype для бизнеса Server 2015 может быть ограничен до внутреннего или для клиентов, которые подключаются с помощью VPN или DirectAccess.
  • Дайджест-проверка для так называемых анонимных пользователей. Анонимные пользователи — это внешние пользователи, которые не имеют распознанных учетных данных Active Directory, но были приглашены в локальную конференцию и обладают действительным ключом конференции. Дайджест-проверка подлинности не используется для других клиентских взаимодействий.

Проверка подлинности Skype для бизнеса Server 2015 включает два этапа.

  1. Между клиентом и сервером устанавливается сопоставление безопасности.

  2. Клиент и сервер используют существующее сопоставление безопасности для подписи сообщений, которые они отправляют, и для проверки получения сообщений. Не прошедшие проверку подлинности сообщения от клиента не принимаются при включенной на сервере проверке подлинности.

Доверие пользователя прикрепляется к каждому сообщению, которое исходит от пользователя, но не к удостоверению пользователя. Сервер проверяет каждое сообщение на наличие действительных учетных данных пользователя. Если учетные данные пользователя действительны, сообщение принимается не только первым получившим его сервером, но и всеми другими серверами в доверенном облаке серверов.

Пользователи с действительными выданными федеративным партнером учетными данными являются доверенными, но к ним могут применяться другие ограничения привилегий, которые полностью доступны внутренним пользователям.

Протоколы ICE и TURN также используют требование Digest, описанное в документе IETF TURN RFC.

Сертификаты клиента позволяют выполнять проверку подлинности пользователей с помощью Skype для бизнеса Server 2015. Вместо предоставления имени пользователя и пароля пользователи имеют сертификат и закрытый ключ, соответствующий необходимому для решения криптографической задачи сертификату. (Этот сертификат должен иметь имя субъекта или альтернативное имя субъекта, которое определяет пользователя; он должен быть выдан корневым ЦС с доверием от серверов под управлением Skype для бизнеса Server 2015, а также не являться просроченным или отозванным.) Чтобы пройти проверку подлинности, пользователям достаточно ввести персональный идентификационный номер (ПИН-код). Сертификаты особенно полезны при использовании на телефонах и других устройствах, где ввод имени пользователя и/или пароля затруднен.

 
Показ: