Freigeben über

  • Artikel

Authentifizierung für Office Communications Server 2007 R2

Letztes Änderungsdatum des Themas: 2009-03-10

Ein vertrauenswürdiger Benutzer ist ein Benutzer, dessen Anmeldeinformationen von einem vertrauenswürdigen Office Communications Server authentifiziert wurden. In den meisten Fällen handelt es sich bei diesem Server um einen Standard Edition-Server, einen Enterprise Edition-Front-End-Server oder einen Director. Office Communications Server 2007 R2 benötigt die Active Directory-Domänendienste. Sie sind das einzige vertrauenswürdige Back-End-Repository für die Benutzerinformationen.

Die Authentifizierung ist die Bereitstellung von Benutzerinformationen für einen vertrauenswürdigen Server. Office Communications Server 2007 R2 verwendet die drei folgenden Authentifizierungsprotokolle – abhängig vom Status und Standort des Benutzers.

  • Sicherheitsprotokoll MIT Kerberos Version 5 für interne Benutzer mit Active Directory-Anmeldeinformationen. Kerberos erfordert eine Clientverbindung zu den Active Directory-Domänendiensten. Aus diesem Grund kann es nicht zur Authentifizierung von Clients außerhalb der Unternehmensfirewall verwendet werden.
  • NTLM-Protokoll für Benutzer mit Active Directory-Anmeldeinformationen, die eine Verbindung über ein Endgerät von außerhalb der Unternehmensfirewall herstellen. Der Zugriffs-Edgedienst gibt Anmeldeanforderungen zur Authentifizierung an einen Direcotor (falls vorhanden) oder an einen Front-End-Server weiter. Der Zugriffs-Edgedienst selbst führt keine Authentifizierung durch.
  • Digestprotokoll für sogenannte anonyme Benutzer. Anonmyme Benutzer sind Benutzer von außerhalb, die über keine anerkannten Active Directory-Anmeldeinformationen verfügen, jedoch zu einer Konferenz im Unternehmen eingeladen wurden und im Besitz eines gültigen Konferenzschlüssels sind. Die Digestauthentifizierung wird für keine weiteren Clientinteraktionen verwendet.

Die Authentifizierung bei Office Communications Server 2007 R2 erfolgt in zwei Stufen:

  1. Zwischen Client und Server wird eine Sicherheitszuordnung erstellt.
  2. Client und Server verwenden die vorhandene Sicherheitszuordnung, um Nachrichten zu signieren und um empfangene Nachrichten zu prüfen. Wenn die Authentifizierung auf dem Server aktiviert ist, werden nicht authentifizierte Nachrichten eines Clients nicht akzeptiert.

Jede Nachricht von einem Benutzer (nicht die Benutzeridentität selbst) wird mit Vertrauensinformationen ("Benutzervertrauensstellung") versehen. Der Server überprüft die einzelnen Nachrichten auf gültige Benutzeranmeldeinformationen. Wenn die Benutzerinformationen gültig sind, wird die Nachricht nicht nur vom ersten Server, der die Nachricht empfängt, akzeptiert, sondern auch von allen anderen Servern der vertrauenswürdigen Serverwolke wird keine Authentifizierung angefordert.

Benutzer mit gültigen Anmeldeinformationen, die von einem Verbundpartner ausgestellt wurden, werden als vertrauenswürdig eingestuft. Möglicherweise gelten für sie jedoch zusätzliche Einschränkungen, sodass Sie nicht über dieselben Berechtigungen wie die internen Benutzer verfügen.

Die ICE- und TURN-Protokolle verwenden ebenfalls Digestabfrage wie in IETF TURN RFC beschrieben. Ausführliche Informationen finden Sie unter Mediendurchquerung.