Partager via


Processus d’authentification

 

Dernière rubrique modifiée : 2014-10-22

Dans UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd), certains téléphones IP prennent en charge l’authentification par code confidentiel et par certificat, d’autres l’authentification NTLM et par certificat, et d’autres les deux, comme décrit dans le tableau suivant. Pour l’authentification, le périphérique envoie les informations d’identification de l’utilisateur à des services web dans le cadre d’une demande d’authentification. En cas d’authentification NTLM, les informations d’identification correspondent au nom d’utilisateur et au mot de passe du domaine. En cas d’authentification par code confidentiel, les informations d’identification correspondent au numéro de téléphone et au code confidentiel. Dans les deux cas, le certificat Lync du client, obtenu lors de l’étape précédente, est utilisé pour négocier la sécurité du canal de communication pour toutes les communications ultérieures.

Téléphone Authentification par code confidentiel Authentification NTLM

Téléphone de partie commune Aastra 6721ip

Oui

Non

Téléphone de bureau Aastra 6725ip

Oui

Oui

Téléphone IP HP 4110 (téléphone de partie commune)

Oui

Non

Téléphone IP HP 4120 (téléphone de bureau)

Oui

Oui

Téléphone de partie commune IP Polycom CX500

Oui

Non

Téléphone de bureau IP Polycom CX600

Oui

Oui

Téléphone de bureau IP CX700

Oui

Téléphone de conférence IP Polycom CX3000

Oui

Oui

noteRemarque :
Si deux utilisateurs entrent le même numéro de téléphone, leur code confidentiel est utilisé pour les distinguer. Si une combinaison numéro de téléphone + code confidentiel n’est pas unique, le numéro de téléphone avec le poste est utilisé pour lever l’ambiguïté. La combinaison numéro de téléphone + poste doit toujours être unique. Ce scénario doit se produire lorsque le code confidentiel est défini pour la première fois, plutôt que pendant une authentification, toutefois, il est important de le comprendre dans le contexte de l’authentification par code confidentiel.

Problème 1 : le compte d’utilisateur est verrouillé (applicable à Aastra 6725ip, HP 4120 et Polycom CX600)

Problème : le nombre maximal de tentatives d’authentification a été effectué à l’aide d’un code confidentiel incorrect. Le nombre de nouvelles tentatives autorisées est défini dans la stratégie de code confidentiel du site ou de l’utilisateur.

Résolution : une fois que l’utilisateur a entré un code confidentiel incorrect à plus de reprises que le nombre de nouvelles tentatives autorisées, seul un administrateur peut déverrouiller le compte sur le serveur Lync Server. Pour ce faire, l’administrateur peut utiliser le Panneau de configuration Lync Server. Pour cela, il se connecte au Panneau de configuration Lync Server. Si l’administrateur n’est pas membre d’un rôle d’administrateur Lync Server, il ne peut pas se connecter. Dans le Panneau de configuration Lync Server, cliquez sur Utilisateur, puis tapez le nom de l’utilisateur dans le champ de recherche. Dans les résultats de la recherche, double-cliquez sur l’utilisateur pour afficher ses paramètres, puis réinitialisez son code confidentiel.

L’utilisateur peut également réinitialiser son code confidentiel sur la page Web Paramètres de conférence rendez-vous. Pour ouvrir cette page Web, procédez de l’une des manières suivantes :

  • Dans le client de messagerie et collaboration Microsoft Outlook, cliquez sur l’élément Conférence, puis cliquez sur Paramètres des appels entrants.

  • Dans UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd), cliquez sur Menu, sur Outils, puis sur Paramètres des appels entrants.

  • Dans une invitation à une réunion, cliquez sur Rechercher un numéro local ou Vous avez oublié votre code confidentiel de connexion ?.

Une fois que l’utilisateur a réinitialisé le code confidentiel, il peut à nouveau entrer le bon code confidentiel sur le périphérique pour que l’authentification se poursuive.

Problème 2 : le code confidentiel est arrivé à expiration (applicable à Aastra 6725ip, HP 4120 et Polycom CX600)

Problème : le code confidentiel du compte d’utilisateur est arrivé à expiration. L’expiration du code confidentiel est définie dans la stratégie de code confidentiel du site sur lequel l’utilisateur est hébergé ou d’un utilisateur spécifique.

Résolution : l’expiration du code confidentiel est l’un des attributs de la stratégie de code confidentiel attribué au site ou à l’utilisateur. Pour déterminer quelle est la stratégie de code confidentiel de l’utilisateur, il est nécessaire d’ouvrir une session en tant que membre d’un rôle d’administrateur Lync Server. Pour plus d’informations, voir Contrôle d’accès basé sur un rôle dans la documentation de planification. Tout d’abord, connectez-vous au Panneau de configuration Lync Server. Si l’administrateur n’est pas membre d’un rôle d’administrateur Lync Server, il ne peut pas se connecter.

Si le code confidentiel est arrivé à expiration, réinitialisez-le. Dans le Panneau de configuration Lync Server, cliquez sur Utilisateur, puis tapez le nom de l’utilisateur dans le champ de recherche. Dans les résultats de la recherche, double-cliquez sur l’utilisateur pour afficher ses paramètres, puis réinitialisez son code confidentiel.

Les utilisateurs peuvent également réinitialiser leur code confidentiel sur la page Web Paramètres de conférence rendez-vous. Pour ouvrir cette page Web, procédez de l’une des manières suivantes :

  • Dans le client de messagerie et collaboration Microsoft Outlook, cliquez sur l’élément Conférence, puis cliquez sur Paramètres des appels entrants.

  • Dans UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd), cliquez sur Menu, sur Outils, puis sur Paramètres des appels entrants.

  • Dans une invitation à une réunion, cliquez sur Rechercher un numéro local ou Vous avez oublié votre code confidentiel de connexion ?.

Une fois que le code confidentiel est réinitialisé, l’utilisateur peut à nouveau entrer le bon code confidentiel sur le périphérique pour que l’authentification se poursuive.

Problème 3 : l’utilisateur n’a pas de code confidentiel (applicable à Aastra 6725ip, HP 4120 et Polycom CX600)

Problème : l’utilisateur ne possède pas de code confidentiel à utiliser pour s’authentifier.

Résolution : créez un code confidentiel pour l’utilisateur. Pour cela, connectez-vous au Panneau de configuration Lync Server. Si l’administrateur n’est pas membre d’un rôle d’administrateur Lync Server, il ne peut pas se connecter.

Dans le Panneau de configuration Lync Server, cliquez sur Utilisateur, puis tapez le nom de l’utilisateur dans le champ de recherche. Dans les résultats de la recherche, double-cliquez sur l’utilisateur pour afficher ses paramètres, puis définissez son code confidentiel.

L’utilisateur peut également définir son code confidentiel sur la page Web Paramètres de conférence rendez-vous. Pour ouvrir cette page Web, procédez de l’une des manières suivantes :

  • Dans le client de messagerie et collaboration Microsoft Outlook, cliquez sur l’élément Conférence, puis cliquez sur Paramètres des appels entrants.

  • Dans UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd), cliquez sur Menu, sur Outils, puis sur Paramètres des appels entrants.

  • Dans une invitation à une réunion, cliquez sur Rechercher un numéro local ou Vous avez oublié votre code confidentiel de connexion ?.

Une fois que le code confidentiel est réinitialisé, l’utilisateur peut à nouveau entrer le bon code confidentiel sur le périphérique pour que l’authentification se poursuive. Vous pouvez fournir le nouveau code confidentiel à l’utilisateur (par exemple, dans un message électronique). Une fois que l’utilisateur a reçu son nouveau code confidentiel, il entre cette valeur ainsi que son numéro de téléphone dans le périphérique, puis il peut s’authentifier.

Problème 4 : numéro de téléphone ambigu (applicable à Aastra 6725ip, HP 4120 et Polycom CX600)

Problème : le numéro de téléphone entré par l’utilisateur sur le périphérique n’est pas unique ou ne peut pas être attribué à un utilisateur spécifique.

Résolution : réinitialisez le numéro de téléphone pour l’utilisateur. Pour cela, connectez-vous au Panneau de configuration Lync Server. Si l’administrateur n’est pas membre d’un rôle d’administrateur Lync Server, il ne peut pas se connecter.

Dans le Panneau de configuration Lync Server, cliquez sur Utilisateur, puis tapez le nom de l’utilisateur dans le champ de recherche. Dans les résultats de la recherche, double-cliquez sur le nom de l’utilisateur pour afficher ses paramètres, puis tapez le nouveau numéro de téléphone dans le champ URI de ligne. Pour enregistrer vos modifications, cliquez sur Valider. Envoyez le nouveau numéro de téléphone à l’utilisateur. Une fois qu’il l’a reçu, il doit entrer cette valeur, ainsi qu’un code confidentiel, dans le périphérique afin de pouvoir s’authentifier.

noteRemarque :
Si deux utilisateurs entrent le même numéro de téléphone, leur code confidentiel est utilisé pour les distinguer. Si une combinaison numéro de téléphone + code confidentiel n’est pas unique, le numéro de téléphone avec le poste est utilisé pour lever l’ambiguïté. La combinaison numéro de téléphone + poste doit toujours être unique.

Problème 5 : plusieurs périphériques rencontrent des problèmes avec l’authentification par code confidentiel (applicable à Aastra 6725ip, HP 4120 et Polycom CX600)

Problème : Cela indique un problème du côté serveur, plutôt qu’avec un utilisateur spécifique. Pour déterminer la source du problème, ouvrez Lync Server Management Shell et exécutez la cmdlet test-OcsAuth. Seul un administrateur doté du rôle CsVoiceAdministrator ou CsAdministrator possède les droits et autorisations suffisants pour exécuter la cmdlet test-OcsAuth. Pour plus d’informations sur les rôles d’administrateur Lync Server, voir Contrôle d’accès basé sur un rôle dans la documentation de planification.

Résolution   Exécutez la transaction synthétique suivante :

$cred = get-credential
test-CsClientAuth -UserSipAddress <SIP address> -UserCredential $cred -TargetFQDN

Ne spécifiez pas TargetFQDN si vous voulez utiliser la détection DHCP. Dans le cas contraire, indiquez le nom de domaine complet (FQDN) de destination dans la transaction synthétique afin de contourner la détection DHCP.

Le résultat vous indique à quel stade l’authentification a échoué. Par exemple, le message de détection DHCP ne reçoit peut-être pas de réponse. Suivez les instructions dans le résultat de la transaction pour remédier au problème.

Problème 6 : l’utilisateur ne parvient pas à se connecter à Lync Server

Problème : un utilisateur entre ses informations d’identification valides (qu’il utilise un code confidentiel et un numéro de téléphone sur un téléphone Aastra 6721ip, Aastra 6725ip, HP 4110, HP 4120, Polycom CX500 ou Polycom CX600, ou un nom d’utilisateur et un mot de passe de domaine sur un téléphone Polycom CX700), pourtant, Lync ne parvient pas à le connecter. L’utilisateur n’est pas activé pour les communications unifiées. Le périphérique affiche un message similaire au suivant : « Connexion impossible. Votre adresse de connexion est incorrecte ou votre compte n’est pas configuré. »

Résolution : activez l’utilisateur pour Lync Server. Pour cela, ouvrez le Panneau de configuration Lync Server. Si l’administrateur n’est pas membre d’un rôle d’administrateur Lync Server, il ne peut pas se connecter.

Dans le Panneau de configuration Lync Server, cliquez sur Utilisateur, puis tapez le nom de l’utilisateur dans le champ de recherche. Dans les résultats de la recherche, double-cliquez sur l’utilisateur pour afficher ses paramètres, puis activez la case à cocher Activé pour Lync Server. Sous Téléphonie, sélectionnez Voix Entreprise, puis tapez le numéro de téléphone de l’utilisateur dans le champ URI de ligne. Si nécessaire, modifiez la stratégie de plan de numérotation de l’utilisateur. Pour enregistrer vos modifications, cliquez sur Valider.

Lorsque l’utilisateur entre à nouveau ses informations d’identification dans le périphérique, il peut de nouveau s’authentifier et se connecter. Cette fois, il est en mesure de se connecter à Lync Server.

Problème 7 : échec de la publication du certificat

Problème : la demande d’obtention et de publication du certificat de l’utilisateur peut échouer si le serveur d’inscriptions ne parvient pas à publier ce certificat dans les services d’utilisateurs. Le périphérique ne reçoit pas le certificat de l’utilisateur, et ce dernier ne parvient pas à se connecter et doit recommencer.

Résolution : vérifiez que les services Web sont en mesure de générer et publier un certificat pour l’utilisateur, en exécutant la transaction synthétique suivante :

$cred = get-credential
test-CsClientAuth -UserSipAddress <sip address> -UserCredential $cred -TargetFQDN

Si vous voulez utiliser la détection DHCP, ne spécifiez pas TargetFQDN. Dans le cas contraire, indiquez le nom de domaine complet (FQDN) de destination dans la transaction synthétique afin de contourner la détection DHCP.

Le résultat vous indique à quel stade l’authentification a échoué. Par exemple, le message de détection DHCP ne reçoit peut-être pas de réponse. Pour résoudre le problème, suivez les instructions données dans le résultat de la transaction.

En cas de réussite, redémarrez le périphérique et demandez à l’utilisateur d’essayer de s’authentifier de nouveau. En cas d’échec, résolvez le problème indiqué.