Lync Server 2013 のユーザー認証とクライアント認証
トピック最終更新日: 2013-11-11
信頼されたユーザーとは、Microsoft Lync Server 2013 で信頼されたサーバーによって資格情報が認証されたユーザーです。 通常、このサーバーは Standard Edition サーバー、Enterprise Edition フロント エンド サーバー、またはディレクターです。 Lync Server 2013 は、ユーザー資格情報の単一の信頼されたバックエンド リポジトリとしてのActive Directory Domain Servicesに依存しています。
認証では、ユーザーの資格情報が信頼されたサーバーに渡されます。 Lync Server 2013 では、ユーザーの状態と場所に応じて、次の認証プロトコルが使用されます。
ACTIVE Directory 資格情報を持つ内部ユーザー用の MIT Kerberos バージョン 5 セキュリティ プロトコル。 Kerberos ではActive Directory Domain Servicesへのクライアント接続が必要です。そのため、企業ファイアウォールの外部のクライアントの認証には使用できません。
企業ファイアウォールの外部のエンドポイントから接続している Active Directory 資格情報を持つユーザーの NTLM プロトコル。 Access Edge サービスは、ディレクトリ (存在する場合) またはフロントエンド サーバーにログオン要求を渡して認証を行います。 Access Edge サービス自体は認証を実行しません。
注意
NTLM プロトコルは Kerberos ほど攻撃に対して強くないので、NTLM の使用を最小限にしている組織もあります。 その結果、Lync Server 2013 へのアクセスは、VPN または DirectAccess 接続を介して接続された内部またはクライアントに制限される可能性があります。
ダイジェスト プロトコル: いわゆる匿名ユーザーに対して使用されます。 匿名ユーザーは、有効な Active Directory の資格情報は持たないが、社内会議に招待され、有効な会議キーを持つ外部ユーザーです。 ダイジェスト認証は、他のクライアント操作には使用されません。
Lync Server 2013 認証は、次の 2 つのフェーズで構成されます。
クライアントとサーバーの間に、セキュリティ アソシエーションが確立されます。
クライアントとサーバーは、既存のセキュリティ アソシエーションを使用して、送信するメッセージに署名し、受信するメッセージを検証します。 サーバーで認証が有効になっている場合、クライアントからの認証されていないメッセージは受信されません。
ユーザーの信用情報は、ユーザー ID 自体ではなく、ユーザーから送信される各メッセージに添付されます。 サーバーは、各メッセージについて、送信元ユーザーの資格情報が有効であるかどうか確認します。 ユーザーの資格情報が有効な場合、そのメッセージを受け取る最初のサーバーだけでなく、信頼済みサーバー クラウドに属する他のすべてのサーバーで、そのメッセージが受信できるようになります。
フェデレーション パートナーが発行した有効な資格情報を持つユーザーは信頼されますが、これらのユーザーに対しては、内部ユーザーに与えられる権限のうち一部の使用を、必要に応じて制限できます。
ICE プロトコルおよび TURN プロトコルでも、IETF TURN RFC に記載されているとおり、ダイジェスト認証が使用されます。
クライアント証明書は、ユーザーが Lync Server 2013 によって認証される別の方法を提供します。 ユーザー名とパスワードを提供する代わりに、ユーザーは証明書と、暗号化認証の解決に必要な証明書に対応する秘密キーを持ちます。 (この証明書には、ユーザーを識別するサブジェクト名またはサブジェクトの別名が必要であり、Lync Server 2013 を実行しているサーバーによって信頼され、証明書の有効期間内にあり、失効していないルート CA によって発行される必要があります)。認証するには、ユーザーが個人識別番号 (PIN) を入力するだけで済む。 証明書は、ユーザー名やパスワードの入力が困難な Microsoft Lync 2013 Phone Edition を実行している電話やその他のデバイスに特に役立ちます。