Lync Server 2013 的用户和客户端身份验证

 

上次修改的主题: 2013-11-11

受信任的用户是其凭据已由 Microsoft Lync Server 2013 中的受信任服务器进行身份验证的用户。 此服务器通常是 Standard Edition 服务器、Enterprise Edition前端服务器或 Director。 Lync Server 2013 依赖于Active Directory 域服务作为用户凭据的单个受信任的后端存储库。

身份验证是向受信任的服务器提供用户凭据的过程。 Lync Server 2013 使用以下身份验证协议,具体取决于用户的状态和位置。

  • 具有 Active Directory 凭据的内部用户的 MIT Kerberos 版本 5 安全协议。 Kerberos 需要与Active Directory 域服务建立客户端连接,这就是为什么它不能用于在公司防火墙外部对客户端进行身份验证的原因。

  • 面向具有 Active Directory 凭据的用户的 NTLM 协议,这些用户从公司防火墙外部的终结点进行连接。 Access Edge 服务将登录请求传递给 Director(如果存在)或前端服务器进行身份验证。 Access Edge 服务本身不执行任何身份验证。

    注意

    与 Kerberos 相比,NTLM 协议提供的攻击保护较弱,所以有些组织最大程度地减少了对 NTLM 的使用。 因此,对 Lync Server 2013 的访问可能仅限于通过 VPN 或 DirectAccess 连接连接的内部或客户端。

  • 摘要式协议 - 用于所谓的匿名用户。 匿名用户是指满足以下条件的外部用户:这些用户虽然不具备认可的 Active Directory 凭据,但已被邀请参与内部会议并且拥有有效的会议密钥。 摘要式身份验证不用于其他客户端交互。

Lync Server 2013 身份验证包含两个阶段:

  1. 在客户端和服务器之间建立安全关联。

  2. 客户端和服务器使用现有的安全关联签署它们发送的消息,以及验证所收到的消息。 如果在服务器上启用了身份验证,则不会接受来自客户端的未经身份验证的消息。

用户信任会附加到用户发出的每条消息,而不会附加到用户标识本身。 服务器将检查每条消息是否具有有效的用户凭据。 如果用户凭据有效,则接收消息的第一台服务器以及受信任的服务器云中的所有其他服务器都不会对消息进行质询。

拥有联盟伙伴颁发的有效凭据的用户会受到信任,但其他限制可能会阻止这些用户享有与内部用户相同的全部权限。

ICE 和 TURN 协议也使用摘要式质询,如 IETF TURN RFC 中所述。

客户端证书为用户提供 Lync Server 2013 进行身份验证的替代方法。 用户无需提供用户名和密码,因为他们具有证书以及解析加密质询所需的与证书对应的私钥。 (此证书必须具有标识用户的使用者名称或使用者替代名称,并且必须由运行 Lync Server 2013 的服务器信任的根 CA 颁发,在证书的有效期内且尚未被吊销。) 要进行身份验证,用户只需键入个人标识号 (PIN) 。 证书对于运行 Microsoft Lync 2013 Phone Edition 的电话和其他设备特别有用,因为很难输入用户名和/或密码。