Configurando a autenticação passiva do Lync Server 2013

 

Tópico última modificação: 11-07-2013

A seção a seguir descreve como configurar o Lync Server 2013 com o Atualizações cumulativo: julho de 2013 para dar suporte à autenticação passiva. Depois de habilitados, os usuários do Lync habilitados para autenticação de dois fatores precisarão usar um cartão inteligente físico ou virtual e um PIN válido para entrar usando o cliente Lync 2013 com o Atualizações Cumulativo: julho de 2013.

Nota

Recomendamos que os clientes habilitem a autenticação passiva para o Registrador e para os Serviços Web no nível de serviço. Se a autenticação passiva estiver habilitada para o Registrador e os Serviços Web no nível global, provavelmente resultará em falhas de autenticação em toda a organização para usuários que não estão entrando com o Lync 2013 com o cliente de área de trabalho do cliente Atualizações: julho de 2013.

Configuração dos Serviços Web

As etapas a seguir descrevem como criar uma configuração personalizada de serviços Web para servidores Diretores, pools Enterprise e Standard Edition que serão habilitados para a autenticação passiva.

Para criar uma configuração personalizada de serviços Web

1. Faça logon no Lync Server 2013 com o servidor de front-end cumulativo Atualizações: julho de 2013 usando uma conta de administrador do Lync.

2. Inicie o Shell de Gerenciamento do Lync Server 2013.

3. Na linha de comando do Shell de Gerenciamento do Lync Server, crie uma nova configuração de Serviço Web para cada diretor, pool empresarial e servidor Standard Edition que será habilitado para autenticação passiva executando o seguinte comando:

   New-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" -UseWsFedPassiveAuth $true -WsFedPassiveMetadataUri https://dc.contoso.com/federationmetadata/2007-06/federationmetadata.xml
   

   Aviso

   O valor para o FQDN WsFedPassiveMetadataUri é o Nome de Serviço de Federação do seu servidor AD FS 2.0. O valor do Nome de Serviço de Federação pode ser encontrado no Console de Gerenciamento do AD FS 2.0 clicando com o botão direito do mouse em Serviço a partir do painel de navegação, selecionando em seguida Editar propriedades do serviço de federação.

4. Verifique se os valores UseWsFedPassiveAuth e WsFedPassiveMetadataUri foram definidos corretamente executando o seguinte comando:

   Get-CsWebServiceConfiguration -identity "Service:WebServer:LyncPool01.contoso.com" | format-list UseWsFedPassiveAuth, WsFedPassiveMetadataUri
   

5. Para clientes, a Autenticação Passiva é o método de autenticação menos indicado para autenticação de webticket. Para todos os servidores Diretores, Pools Empresariais e Standard Edition que serão habilitados para autenticação passiva, todos os outros tipos de autenticação devem ser desabilitados nos Serviços Web do Lync executando o seguinte comando:

   Set-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" -UseCertificateAuth $false -UsePinAuth $false -UseWindowsAuth NONE
   

6. Verifique se todos os outros tipos de autenticação foram desabilitados com êxito executando o seguinte comando:

   Get-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" | format-list UseCertificateAuth, UsePinAuth, UseWindowsAuth
   

Configuração de proxy

Quando a autenticação de certificado estiver desabilitada para os Serviços Web do Lync, o cliente do Lync usará um tipo de autenticação menos preferencial, como Kerberos ou NTLM, para autenticar no serviço registrador. A autenticação de certificado ainda é necessária para permitir que o cliente do Lync recupere uma webticket, no entanto, Kerberos e NTLM devem ser desabilitados para o serviço Registrador.

As etapas a seguir descrevem como criar uma configuração personalizada de proxy para servidores de pools Edge, pools Enterprise e Standard Edition que serão habilitados para a autenticação passiva.

Para criar uma configuração personalizada de proxy

1. Na linha de comando do Shell de Gerenciamento do Lync Server, crie uma nova configuração de proxy para cada Lync Server 2013 com Atualizações Cumulativo: Pool de Borda de julho de 2013, Pool Enterprise e servidor Standard Edition que será habilitado para autenticação passiva executando os seguintes comandos:

    New-CsProxyConfiguration -Identity "Service:EdgeServer:EdgePool01.contoso.com" 
    -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
   

    New-CsProxyConfiguration -Identity "Service:Registrar:LyncPool01.contoso.com" 
    -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
   

2. Verifique se todos os outros tipos de autenticação de proxy foram desabilitados com sucesso executando o seguinte comando:

   Get-CsProxyConfiguration -Identity "Service:Registrar:LyncPool01.contoso.com"
        | format-list UseKerberosForClientToProxyAuth, UseNtlmForClientToProxyAuth, UseCertifcateForClientToProxyAuth