Compartir a través de

Configurar la autenticación pasiva de Lync Server 2013

  • Artículo

 

Última modificación del tema: 2013-07-11

En la siguiente sección se describe cómo configurar Lync Server 2013 con Novedades acumulado: julio de 2013 para admitir la autenticación pasiva. Una vez habilitado, los usuarios de Lync habilitados para la autenticación de dos factores tendrán que usar una tarjeta inteligente física o virtual y un PIN válido para iniciar sesión con el cliente de Lync 2013 con Novedades acumulado: julio de 2013.

Nota

Se recomienda encarecidamente a los clientes que habiliten la autenticación pasiva del registrador y los servicios web en el nivel de servicios. Si se habilita la autenticación pasiva para los servicios registradores y web en el nivel global, probablemente producirá errores de autenticación en toda la organización para los usuarios que no inician sesión con Lync 2013 con Novedades acumulado: cliente de escritorio cliente de julio de 2013.

Configuración de servicios web

En los siguientes pasos, se describe cómo crear una configuración de servicios web personalizada para los Directores, grupos de servidores Enterprise y servidores Standard Edition que estarán habilitados para la autenticación pasiva.

Para crear una configuración de servicios web personalizada

  1. Inicie sesión en Lync Server 2013 con la Novedades acumulativa: julio de 2013, servidor front-end con una cuenta de administrador de Lync.

  2. Inicie el Shell de administración de Lync Server 2013.

  3. Desde la línea de comandos del Shell de administración de Lync Server, cree una nueva configuración de servicio web para cada director, grupo de empresa y servidor Standard Edition que se habilitará para la autenticación pasiva mediante la ejecución del siguiente comando:

    New-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" -UseWsFedPassiveAuth $true -WsFedPassiveMetadataUri https://dc.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    Advertencia

    El valor del FQDN WsFedPassiveMetadataUri es el Nombre del servicio de federación de su servidor AD FS 2.0. El valor de Nombre del servicio de federación se puede consultar en la consola de administración de AD FS 2.0 al hacer clic en Servicio en el panel de navegación y, luego, elegir Editar propiedades del servicio de federación.

  4. Para comprobar que los valores de UseWsFedPassiveAuth y WsFedPassiveMetadataUri se configuraron correctamente, ejecute el siguiente comando:

    Get-CsWebServiceConfiguration -identity "Service:WebServer:LyncPool01.contoso.com" | format-list UseWsFedPassiveAuth, WsFedPassiveMetadataUri

  5. En los clientes, la autenticación pasiva es el método de autenticación menos preferido para la autenticación de WebTicket. Para todos los servidores de directores, grupos de empresa y edición estándar que se habilitarán para la autenticación pasiva, todos los demás tipos de autenticación deben deshabilitarse en Lync Web Services mediante la ejecución del comando siguiente:

    Set-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" -UseCertificateAuth $false -UsePinAuth $false -UseWindowsAuth NONE

  6. Compruebe que todos los demás tipos de autenticación se han deshabilitado correctamente ejecutando el siguiente comando:

    Get-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" | format-list UseCertificateAuth, UsePinAuth, UseWindowsAuth

Configuración de proxy

Cuando se deshabilita la autenticación de certificados para servicios web de Lync, el cliente de Lync usará un tipo de autenticación menos preferido, como Kerberos o NTLM, para autenticarse con el servicio de registrador. La autenticación de certificados sigue siendo necesaria para permitir que el cliente de Lync recupere una webticket, pero Kerberos y NTLM deben estar deshabilitados para el servicio registrador.

En los siguientes pasos, se describe cómo crear una configuración de proxy personalizada para los grupos de servidores perimetrales, grupos de servidores Enterprise y servidores Standard Edition que estarán habilitados para la autenticación pasiva.

Para crear una configuración de proxy personalizada

  1. Desde la línea de comandos del Shell de administración de Lync Server, cree una nueva configuración de proxy para cada Lync Server 2013 con Novedades acumulado: grupo de servidores perimetrales de julio de 2013, grupo de empresa y servidor Standard Edition que se habilitarán para la autenticación pasiva mediante la ejecución de los siguientes comandos:

     New-CsProxyConfiguration -Identity "Service:EdgeServer:EdgePool01.contoso.com" 
 -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False

     New-CsProxyConfiguration -Identity "Service:Registrar:LyncPool01.contoso.com" 
 -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False

  2. Para comprobar que se han deshabilitado correctamente todos los demás tipos de autenticación de proxy, ejecute el siguiente comando:

    Get-CsProxyConfiguration -Identity "Service:Registrar:LyncPool01.contoso.com"
     | format-list UseKerberosForClientToProxyAuth, UseNtlmForClientToProxyAuth, UseCertifcateForClientToProxyAuth