Office Communications Server 2007 R2 的身份验证
上一次修改主题: 2009-03-10
可信用户是指其凭据已经过受信任的 Office Communications Server 验证的用户。此服务器通常是 Standard Edition Server、Enterprise Edition 前端服务器或 Director。Office Communications Server 2007 R2 依靠 Active Directory 域服务来作为用户凭据的单一可信的后端存储库。
身份验证是向可信服务器提供用户凭据的过程。Office Communications Server 2007 R2 使用以下三种身份验证协议,具体取决于用户的状态和位置。
- MIT Kerberos 版本 5 安全协议 - 用于具有 Active Directory 凭据的内部用户。Kerberos 要求客户端与 Active Directory 域服务器建立连接,这就是此协议不能用于对企业防火墙外部的客户端进行身份验证的原因。
- NTLM 协议 - 用于具有 Active Directory 凭据且从企业防火墙外部的终结点进行连接的用户。访问边缘服务将登录请求传递给 Director(如果存在)或前端服务器以进行身份验证。而访问边缘服务本身不执行任何身份验证。
- 摘要式协议 - 用于所谓的匿名用户。匿名用户是指满足以下条件的外部用户:这些用户虽然不具备认可的 Active Directory 凭据,但已被邀请参与内部会议并且拥有有效的会议密钥。摘要式身份验证不能用于其他客户端交互活动。
Office Communications Server 2007 R2 身份验证包括以下两个阶段:
- 在客户端和服务器之间建立安全关联。
- 客户端和服务器使用现有的安全关联签署它们发送的消息并验证接收到的消息。如果在服务器上启用了身份验证,则不会接受来自客户端的未经身份验证的消息。
用户信任将会附加在用户发出的每条消息上,而不是附加在用户标识本身上。服务器检查每条消息,查看是否具有有效的用户凭据。如果用户凭据有效,则接收消息的第一台服务器以及可信服务器云中的所有其他服务器都不会对消息进行质询。
拥有联盟伙伴颁发的有效凭据的用户会受到信任,但其他限制可能会阻止这些用户享有与内部用户相同的全部权限。
ICE 和 TURN 协议也会使用摘要式质询,如 IETF TURN RFC 中所述。有关详细信息,请参阅媒体遍历。