Configuration de l’authentification passive Lync Server 2013

 

Rubrique Dernière modification : 2013-07-11

La section suivante décrit comment configurer Lync Server 2013 avec des mises à jour cumulatives : juillet 2013 pour prendre en charge l’authentification passive. Une fois activés, les utilisateurs Lync qui sont activés pour l’authentification à deux facteurs devront utiliser une carte à puce physique ou virtuelle et un code pin valide pour se connecter à l’aide de Lync 2013 avec les mises à jour cumulatives : juillet 2013 client.

Remarque

Il est vivement recommandé que les clients activent l’authentification passive pour les services Serveur d’inscriptions et web au niveau du service. Si l’authentification passive est activée pour le bureau d’enregistrement et les services web au niveau mondial, cela entraînera probablement des échecs d’authentification à l’échelle de l’organisation pour les utilisateurs qui ne se connectent pas avec Lync 2013 avec les mises à jour cumulatives : client de bureau client de juillet 2013.

Configuration des services web

La procédure ci-dessous décrit la création d’une configuration de service web personnalisée pour les directeurs, les pools d’entreprise et les serveurs Standard Edition pour lesquels l’authentification passive sera activée.

Pour créer une configuration de service web personnalisée

1. Connectez-vous à votre serveur Lync Server 2013 avec les mises à jour cumulatives : serveur frontal de juillet 2013 à l’aide d’un compte d’administrateur Lync.

2. Lancez Lync Server 2013 Management Shell.

3. À partir de la ligne de commande Lync Server Management Shell, créez une configuration de service web pour chaque serveur Director, Enterprise Pool et Standard Edition qui sera activée pour l’authentification passive en exécutant la commande suivante :

   New-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" -UseWsFedPassiveAuth $true -WsFedPassiveMetadataUri https://dc.contoso.com/federationmetadata/2007-06/federationmetadata.xml
   

   Avertissement

   La valeur du nom de domaine complet WsFedPassiveMetadataUri correspond au nom du service de fédération de votre serveur AD FS 2.0. Pour consulter la valeur Nom du service de fédération dans la console de gestion AD FS 2.0, cliquez avec le bouton droit sur Service dans le volet de navigation, puis sélectionnez Modifier les propriétés du service de fédération.

4. Vérifiez que les valeurs UseWsFedPassiveAuth et WsFedPassiveMetadataUri ont été définies correctement en exécutant la commande suivante :

   Get-CsWebServiceConfiguration -identity "Service:WebServer:LyncPool01.contoso.com" | format-list UseWsFedPassiveAuth, WsFedPassiveMetadataUri
   

5. Pour les clients, l’authentification passive est la méthode d’authentification la moins privilégiée pour l’authentification de ticket web. Pour tous les administrateurs, pools d’entreprise et serveurs Standard Edition qui seront activés pour l’authentification passive, tous les autres types d’authentification doivent être désactivés dans les services web Lync en exécutant la commande suivante :

   Set-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" -UseCertificateAuth $false -UsePinAuth $false -UseWindowsAuth NONE
   

6. Vérifiez que tous les autres types d’authentification ont été désactivés avec succès en exécutant la commande suivante :

   Get-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" | format-list UseCertificateAuth, UsePinAuth, UseWindowsAuth
   

Configuration du serveur proxy

Lorsque l’authentification par certificat est désactivée pour les services web Lync, le client Lync utilise un type d’authentification moins préféré, tel que Kerberos ou NTLM, pour s’authentifier auprès du service registrar. L’authentification par certificat est toujours nécessaire pour permettre au client Lync de récupérer un webticket. Toutefois, Kerberos et NTLM doivent être désactivés pour le service registrar.

La procédure ci-dessous décrit la création d’une configuration de proxy personnalisée pour les pools Edge, les pools d’entreprise et les serveurs Standard Edition pour lesquels l’authentification passive sera activée.

Pour créer une configuration de proxy personnalisée

1. À partir de la ligne de commande Lync Server Management Shell, créez une configuration de proxy pour chaque serveur Lync Server 2013 avec des mises à jour cumulatives : pool Edge de juillet 2013, pool d’entreprise et serveur Standard Edition qui seront activés pour l’authentification passive en exécutant les commandes suivantes :

    New-CsProxyConfiguration -Identity "Service:EdgeServer:EdgePool01.contoso.com" 
    -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
   

    New-CsProxyConfiguration -Identity "Service:Registrar:LyncPool01.contoso.com" 
    -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
   

2. Vérifiez que tous les autres types d’authentification proxy ont été désactivés correctement en exécutant la commande suivante :

   Get-CsProxyConfiguration -Identity "Service:Registrar:LyncPool01.contoso.com"
        | format-list UseKerberosForClientToProxyAuth, UseNtlmForClientToProxyAuth, UseCertifcateForClientToProxyAuth