Compartilhar via

  • Artigo

Autenticação no Office Communications Server 2007 R2

Tópico modificado em: 2009-03-10

Um usuário confiável é aquele cujas credenciais foram autenticadas por um Office Communications Server confiável. Esse servidor é normalmente um servidor Standard Edition, Servidor Front-end Enterprise Edition ou Diretor. O Office Communications Server 2007 R2 conta com os Serviços de Domínio Active Directory como um repositório back-end confiável de credenciais de usuário.

A autenticação é a provisão de credenciais de usuário a um servidor confiável. O Office Communications Server 2007 R2 usa os três protocolos de autenticação a seguir, dependendo do status e da localização do usuário.

  • Protocolo de segurança MIT Kerberos versão 5 para usuários internos com credenciais do Active Directory. O protocolo Kerberos requer conectividade de cliente com os Serviços de Domínio Active Directory; é por isso que ele não pode ser usado para autenticar clientes fora do firewall corporativo.
  • Protocolo NTLM para usuários com credenciais do Active Directory que se conectam em um ponto de extremidade fora do firewall corporativo. O serviço de Borda de Acesso passa as solicitações de logon para um Diretor, caso ele esteja presente, ou um Servidor Front-End para fins de autenticação. O próprio serviço de Borda de Acesso não executa nenhuma autenticação.
  • Protocolo Digest para os chamados usuários anônimos. Os usuários anônimos são usuários externos que não têm credenciais reconhecidas do Active Directory, mas que foram convidados para uma conferência no local e possuem uma chave de conferência válida. A autenticação Digest não é usada para outras interações de cliente.

A autenticação do Office Communications Server 2007 R2 é composta por duas fases:

  1. Uma associação de segurança é estabelecida entre o cliente e o servidor.
  2. O cliente e o servidor usam a associação de segurança existente para assinar as mensagens enviadas por eles e verificar as mensagens recebidas. As mensagens não autenticadas de um cliente não são aceitas quando a autenticação é habilitada no servidor.

A confiança de usuário é anexada a cada mensagem originada por um usuário, e não à própria identidade do usuário. O servidor verifica cada mensagem para saber se as credenciais do usuário são válidas. Se as credenciais do usuário forem válidas, a mensagem não será desafiada, não somente pelo primeiro servidor a recebê-la, mas por todos os outros servidores da gama de servidores confiáveis.

Os usuários com credenciais válidas emitidas por um parceiro federado são confiáveis, mas opcionalmente impedidas por restrições adicionais de usufruir da gama completa de privilégios acordados para os usuários internos.

Os protocolos ICE e TURN também usam o desafio Digest conforme descrito na IETF TURN RFC. Para obter informações detalhadas, consulte Passagem da mídia.