Planeamiento de la autenticación en dos fases en Lync Server 2013
Última modificación del tema: 04-04-2015
La siguiente es una lista de consideraciones de implementación al configurar un entorno de Microsoft Lync Server 2013 para admitir la autenticación en dos fases.
Compatibilidad con clientes
La Novedades acumulativa de Lync 2013 para Lync Server 2013: el cliente de escritorio de julio de 2013 y todos los clientes móviles admiten actualmente la autenticación en dos fases.
Requisitos de topología
Se recomienda encarecidamente a los clientes que implementen la autenticación en dos fases con Lync Server 2013 dedicado con Novedades acumulados para Lync Server 2013: grupos de usuarios, directores y perímetro de julio de 2013. Para habilitar la autenticación pasiva para los usuarios de Lync, es necesario deshabilitar otros métodos de autenticación para otros roles y servicios, incluidos los siguientes:
| Tipo de configuración | Tipo de servicio | Rol del servidor | Tipo de autenticación para deshabilitar |
|---|---|---|---|
Servicio web |
WebServer |
Director |
Kerberos, NTLM y certificado |
Servicio web |
WebServer |
Front-end |
Kerberos, NTLM y certificado |
Proxy |
EdgeServer |
Perimetral |
Kerberos y NTLM |
Proxy |
Registrador |
Front-end |
Kerberos y NTLM |
A menos que estos tipos de autenticación estén deshabilitados en el nivel de servicio, todas las demás versiones del cliente Lync no podrán iniciar sesión correctamente una vez que se habilite la autenticación de dos factores en la implementación.
Detección de servicios de Lync
Los registros DNS que usan los clientes internos y/o externos para detectar los servicios de Lync deben configurarse para resolverse en un servidor de Lync que no está habilitado para la autenticación de dos factores. Con esta configuración, los usuarios de grupos de Lync que no estén habilitados para la autenticación de dos factores no tendrán que introducir un PIN para autenticar, mientras que los usuarios de grupos de Lync habilitados para la autenticación de dos factores tendrán que escribir su PIN para autenticar.
Autenticación de Exchange
Es posible que los clientes que hayan implementado la autenticación en dos fases para Microsoft Exchange encuentren que determinadas características del cliente lync no están disponibles. Esto es por motivos de diseño, ya que el cliente de Lync no admite la autenticación en dos fases para las características que dependen de la integración de Exchange.
Contactos de Lync
Los usuarios de Lync configurados para usar la característica almacenamiento de contactos unificados verán que sus contactos ya no están disponibles después de iniciar sesión con la autenticación en dos fases.
Debe usar el cmdlet Invoke-CsUcsRollback para quitar los contactos de usuario existentes del almacenamiento de contactos unificado y almacenarlos en Lync Server 2013 antes de habilitar la autenticación en dos fases.
Búsqueda de aptitudes
Los clientes que han configurado la característica de búsqueda de aptitudes en su entorno de Lync verán que esta característica no funciona cuando Lync está habilitado para la autenticación en dos fases. Esto sucede por diseño, ya que Microsoft SharePoint no admite actualmente la autenticación en dos fases.
Credenciales de Lync
Hay una serie de consideraciones de implementación que implican credenciales guardadas de Lync que pueden afectar a los usuarios que están configurados para usar la autenticación en dos fases.
Eliminación de credenciales guardadas
Los usuarios de cliente de escritorio deben usar la opción Eliminar mi información de inicio de sesión en el cliente de Lync y eliminar su carpeta de perfil SIP de %localappdata%\Microsoft\Office\15.0\Lync antes de intentar iniciar sesión por primera vez con la autenticación en dos fases.
DisableNTCredentials
Con el método de autenticación NTLM o Kerberos, las credenciales de Windows de los usuarios se utilizan automáticamente para la autenticación. En una implementación típica de Lync Server 2013 donde Kerberos y/o NTLM están habilitados para la autenticación, los usuarios no deben tener que escribir sus credenciales cada vez que inicien sesión.
Si se les solicitan de manera no intencionada las credenciales a los usuarios antes de que se les pida especificar su PIN, la clave del Registro DisableNTCredentials puede configurarse de manera no intencionada en los equipos cliente, posiblemente a través de la directiva de grupo.
Para evitar que se le soliciten credenciales adicionales, cree la siguiente entrada del Registro en la estación de trabajo local o use la plantilla administrativa de Lync para aplicarla a todos los usuarios de un grupo determinado con directiva de grupo:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync
REG_DWORD: DisableNTCredentials
Valor: 0x0
SavePassword
Cuando un usuario inicia sesión en Lync por primera vez, se le pide que guarde su contraseña. Si se selecciona, esta opción permite que el certificado del cliente del usuario se almacene en el almacén de certificados personales y que las credenciales de Windows del usuario se almacenen en el Administrador de credenciales del equipo local.
La configuración del Registro SavePassword debe estar deshabilitada cuando Lync está configurado para admitir la autenticación en dos fases. Para evitar que los usuarios guarden sus contraseñas, cambie la siguiente entrada del Registro en la estación de trabajo local o use la plantilla administrativa de Lync para aplicarla a todos los usuarios de un grupo determinado con directiva de grupo:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync
REG_DWORD: SavePassword
Valor: 0x0
Reproducción de tokens de AD FS 2.0
AD FS 2.0 proporciona una característica que se conoce como detección de reproducción de tokens, con la cual varias solicitudes de tokens que usan el mismo token se pueden detectar y descartar. Cuando esta característica está habilitada, la detección de reproducción de tokens protege la integridad de las solicitudes de autenticación en el perfil pasivo de la federación WS y el perfil de SAML WebSSO asegurándose de que el mismo token nunca se use más de una vez.
Esta característica necesita habilitarse en situaciones donde la seguridad es extremadamente preocupante como cuando se usan quioscos. Para obtener más información sobre la detección de reproducción de tokens, vea Procedimientos recomendados para la planeación e implementación seguras de AD FS 2.0 en https://go.microsoft.com/fwlink/p/?LinkId=309215.
Acceso de usuarios externos
En estos temas no se describe la configuración de un proxy de AD FS o un proxy inverso para que admita la autenticación de dos factores de Lync desde redes externas.