Autenticación de usuario y cliente en Lync Server 2010
Última modificación del tema: 2013-02-16
Un usuario de confianza es aquel cuyas credenciales las ha autenticado un servidor Microsoft Lync Server 2010 de confianza. Este servidor es, por lo general, un servidor Standard Edition, un servidor front-end Enterprise Edition o un director. Lync Server 2010 usa los Servicios de dominio de Active Directory como único repositorio back-end de confianza para las credenciales de usuario.
La autenticación consiste en proporcionar credenciales de usuario a un servidor de confianza. Lync Server 2010 utiliza los siguientes protocolos de autenticación, según el estado y la ubicación del usuario.
Protocolo de seguridad MIT Kerberos, versión 5 para los usuarios internos con credenciales de Active Directory. Kerberos requiere la conectividad del cliente a los Servicios de dominio de Active Directory, por lo que no se puede usar para autenticar clientes ubicados fuera del firewall corporativo.
Protocolo NTLM para los usuarios con credenciales de Active Directory que se conectan desde un extremo ubicado fuera del firewall corporativo. El servicio perimetral de acceso pasa las solicitudes de inicio de sesión a un director, si lo hay, o a un servidor front-end para la autenticación. El servicio perimetral de acceso no realiza la autenticación.
Nota
El protocolo NTLM ofrece una protección contra ataques más débil que la de Kerberos, por lo que algunas organizaciones minimizan el uso de NTLM. Como consecuencia, es posible que el acceso a Lync Server 2010 esté restringido a usuarios internos o clientes con una conexión VPN.
Protocolo de autenticación implícita para los usuarios denominados anónimos. Los usuarios anónimos son usuarios externos que no tienen credenciales de Active Directory reconocidas, pero que han recibido una invitación a una conferencia local y tienen una clave de conferencia válida. La autenticación implícita no se utiliza para otras interacciones del cliente.
La autenticación de Lync Server 2010 consta de dos fases:
Se establece una asociación de seguridad entre el cliente y el servidor.
El cliente y el servidor utilizan la asociación de seguridad existente para firmar los mensajes que envían y comprobar los que reciben. Cuando la autenticación está habilitada en el servidor, no se aceptan los mensajes no autenticados de un cliente.
La confianza en un usuario se adjunta a cada mensaje que procede del usuario, no a la identidad del usuario. El servidor comprueba cada mensaje para determinar si las credenciales de usuario son válidas. Si son válidas, no solo el primer servidor en recibir el mensaje no lo desafía, sino que tampoco lo hacen los demás servidores de la nube de servidores de confianza.
Los usuarios con credenciales válidas emitidas por un socio federado son de confianza pero, de manera opcional, algunas restricciones adicionales impiden que disfruten de todos los privilegios otorgados a los usuarios internos.
Los protocolos ICE y TURN también usan el desafío de autenticación implícita que se describe en la RFC del IETF referente a TURN. Para obtener más información, consulte Cruce seguro de medios.
Los certificados de cliente proporcionan una forma alternativa de autenticar a los usuarios utilizando Lync Server 2010. Lync Server crea y emite los certificados al cliente. Una vez emitido, se guarda en el almacén de certificados personal del usuario del equipo. Al emitirlos en función del usuario, se asegura que cada usuario necesitará un certificado separado para la identificación del cliente. El certificado solo se crea con el uso mejorado de clave de autenticación del cliente y no contiene información de uso de la clave.
.gif "important") Importante: |
|---|
| Lync Server crea y emite los certificados explícitamente para la autenticación del cliente y su identificación entre Lync Server y el usuario solicitante. Dado que este es el comportamiento diseñado y forma parte del diseño operativo del cliente y el servidor, no puede haber otro servicio de emisión de certificados, infraestructura de clave pública o privada o autoridad de certificación pública que cree o asigne los certificados. |
A parte de usarlo para el software de cliente basado en equipos, los certificados resultan especialmente útiles para los teléfonos y otros dispositivos que ejecuten Microsoft Lync 2010 Phone Edition en los que resulte difícil introducir un nombre de usuario o contraseña. En su lugar se usa un número de identificación personal (PIN).