Autenticação de usuário e cliente para o Lync Server 2010
Tópico modificado em: 2013-02-16
Um usuário confiável é um cujas credenciais foram autenticadas por um servidor confiável no Microsoft Lync Server 2010. Esse servidor geralmente é um Standard Edition, Front-End Enterprise Edition ou Diretor. O Lync Server 2010 confia nos Serviços de Domínio Active Directory como o único e confiável repositório de back-end das credencias do usuário.
A autenticação é a provisão das credenciais do usuário em um servidor confiável. O Lync Server 2010 usa os protocolos de autenticação a seguir, dependendo do status e da localização do usuário.
Protocolo de segurança MIT Kerberos versão 5 para usuários internos com credenciais do Active Directory. O protocolo Kerberos requer conectividade de cliente com os Serviços de Domínio Active Directory; é por isso que ele não pode ser usado para autenticar clientes fora do firewall corporativo.
Protocolo NTLM para usuários com credenciais do Active Directory que se conectam em um ponto de extremidade fora do firewall corporativo. O serviço de Borda de Acesso passa as solicitações de logon para um Diretor, caso ele esteja presente, ou para um Servidor Front-End para fins de autenticação. O próprio serviço de Borda de Acesso não executa nenhuma autenticação.
Observação: O protocolo NTLM oferece uma proteção contra ataques mais fraca que o Kerberos. Por isso, algumas organizações minimizam o uso do NTLM. Como resultado, o acesso ao Lync Server 2010 pode ser restrito a internos ou clientes conectados por uma conexão VPN. Protocolo Digest para os chamados usuários anônimos. Os usuários anônimos são usuários externos que não têm credenciais reconhecidas do Active Directory, mas que foram convidados para uma conferência no local e possuem uma chave de conferência válida. A autenticação Digest não é usada para outras interações de cliente.
A autenticação do Lync Server 2010 consiste em duas fases:
Uma associação de segurança é estabelecida entre o cliente e o servidor.
O cliente e o servidor usam a associação de segurança existente para assinar as mensagens enviadas por eles e verificar as mensagens recebidas. As mensagens não autenticadas de um cliente não são aceitas quando a autenticação é habilitada no servidor.
A confiança de usuário é anexada a cada mensagem originada por um usuário, e não à própria identidade do usuário. O servidor verifica cada mensagem para saber se as credenciais do usuário são válidas. Se as credenciais do usuário forem válidas, a mensagem não será desafiada, não somente pelo primeiro servidor a recebê-la, mas por todos os outros servidores da gama de servidores confiáveis.
Os usuários com credenciais válidas emitidas por um parceiro federado são confiáveis, mas opcionalmente impedidas por restrições adicionais de usufruir da gama completa de privilégios acordados para os usuários internos.
Os protocolos ICE e TURN também usam o desafio Digest, conforme descrito no IETF TURN RFC. Para obter detalhes, consulte Passagem de mídia.
Os certificados do cliente oferecem um caminho alternativo para que os usuários sejam autenticados pelo Lync Server 2010. Os certificados do cliente são criados e emitidos para o cliente pelo Lync Server. Eles são usados somente para fins de identificação. O certificado é emitido para o cliente e é armazenado no local de armazenamento de certificado pessoal do usuário. Com emissões com base no usuário, ele garante que cada usuário individual precisará de um certificado distinto para fins de identificação do cliente. O certificado é criado somente com o Uso da Chave Estendida de Autenticação do Cliente e não possui informações de uso de chave.
Importante: |
---|
O Lync Server cria e emite certificados para a finalidade expressa de autenticação e identificação do cliente entre o Lync Server e o usuário solicitante. Como esse é um comportamento planejado e parte do projeto operacional do cliente e do servidor, não é possível ter outro serviço de emissão de certificado, infraestrutura de chave pública privada ou autoridade de certificação pública, criação e emissão de certificados. |
Além do software com base no computador, os Certificados são particularmente úteis para telefones e outros dispositivos que executam o Microsoft Lync 2010 Phone Edition, nos quais é difícil inserir um nome de usuário e/ou senha. Em vez disso, um número de identificação pessoal (PIN) é usado.