Compartilhar via

Autenticação de usuário e cliente para o Lync Server 2013

  • Artigo

 

Tópico Última Modificação: 11-11-2013

Um usuário confiável é aquele cujas credenciais foram autenticadas por um servidor confiável no Microsoft Lync Server 2013. Esse servidor geralmente é um servidor Standard Edition, Edição Enterprise Front-End Server ou Director. O Lync Server 2013 depende Active Directory Domain Services repositório de back-end único e confiável de credenciais de usuário.

Autenticação é o provisionamento de credenciais de usuário em um servidor confiável. O Lync Server 2013 usa os protocolos de autenticação a seguir, dependendo do status e do local do usuário.

  • Protocolo de segurança MIT Kerberos versão 5 para usuários internos com credenciais do Active Directory. O Kerberos requer conectividade do cliente com Active Directory Domain Services, por isso não pode ser usado para autenticar clientes fora do firewall corporativo.

  • Protocolo NTLM para usuários com credenciais do Active Directory que estão se conectando de um ponto de extremidade fora do firewall corporativo. O serviço do Access Edge passa solicitações de logon para um Diretor, se presente, ou um Servidor Front-End para autenticação. O próprio serviço do Access Edge não executa nenhuma autenticação.

    Nota

    O protocolo NTLM oferece proteção contra ataques mais fraca que o Kerberos; assim, algumas organizações minimizam o uso de NTLM. Como resultado, o acesso ao Lync Server 2013 pode ser restrito a clientes internos ou conectados por meio de uma conexão VPN ou DirectAccess.

  • Protocolo Digest para os chamados usuários anônimos. Usuários anônimos são usuários externos que não possuem credenciais reconhecidas do Active Directory, mas que foram convidados para uma conferência no local e possuem uma chave de conferência válida. A autenticação Digest não é usada para nenhuma outra interação do cliente.

A autenticação do Lync Server 2013 consiste em duas fases:

  1. Uma associação de segurança é estabelecida entre o cliente e o servidor.

  2. O cliente e o servidor usam a associação de segurança existente para assinar mensagens enviadas e para verificar as mensagens recebidas. Mensagens não autenticadas de um cliente não são aceitas quando uma autenticação está habilitada no servidor.

Uma marca da confiança do usuário é anexada a cada mensagem originária de um usuário, não à identidade do usuário em si. O servidor verifica se há credenciais de usuário válidas em cada mensagem. Se as credenciais de usuário forem válidas, a mensagem não será contestada nem pelo primeiro servidor, nem pelos outros servidores da nuvem de servidores confiáveis.

Usuários com credenciais válidas emitidas por um parceiro federado são confiáveis, porém são opcionalmente impedidos por restrições adicionais de aproveitar toda a gama de privilégios concedidos aos usuários internos.

Os protocolos ICE e TURN também utilizam o mecanismo de desafio Digest, conforme descrito no IETF TURN RFC.

Os certificados de cliente fornecem uma maneira alternativa para os usuários serem autenticados pelo Lync Server 2013. Em vez de fornecer um nome de usuário e senha, os usuários possuem um certificado e a chave privada correspondente ao certificado exigida para resolver um desafio criptográfico. (Esse certificado deve ter um nome de entidade ou um nome alternativo da entidade que identifique o usuário e deve ser emitido por uma AC raiz confiável para servidores que executam o Lync Server 2013, estar dentro do período de validade do certificado e não ter sido revogado.) Para serem autenticados, os usuários só precisam digitar um PIN (número de identificação pessoal). Os certificados são particularmente úteis para telefones e outros dispositivos que executam o Microsoft Lync 2013 Phone Edition, em que é difícil inserir um nome de usuário e/ou senha.