Lync Server 2010 でのユーザーとクライアントの認証
トピックの最終更新日: 2013-02-16
信頼されたユーザーとは、Microsoft Lync Server 2010 の信頼されたサーバーによって資格情報が認証されたユーザーを指します。このサーバーは、通常、Standard Edition サーバー、Enterprise Edition フロント エンド サーバー、またはディレクターです。Lync Server 2010 は、ユーザー資格情報の信頼された単一のバックエンド リポジトリとして、Active Directory ドメイン サービスを使用します。
認証では、ユーザーの資格情報が信頼されたサーバーに渡されます。Lync Server 2010 では、ユーザーの状態や場所に応じて、次の認証プロトコルを使用します。
MIT Kerberos Version 5 セキュリティ プロトコル: Active Directory の資格情報を持つ内部ユーザーに対して使用されます。Kerberos では、クライアントが Active Directory ドメイン サービスに接続できる状態であることが必要です。このため、Kerberos は企業のファイアウォールの外側にいるクライアントの認証には使用できません。
NTLM プロトコル: Active Directory の資格情報を持ち、企業のファイアウォールの外側にあるエンドポイントから接続しているユーザーに対して使用されます。アクセス エッジ サービスによってログオン要求がディレクター (ある場合) またはフロントエンド サーバーに渡され、そこで認証が行われます。アクセス エッジ サービス自体では認証は行われません。
.gif "note")
注:NTLM プロトコルは Kerberos ほど攻撃に対して強くないので、NTLM の使用を最小限にしている組織もあります。その結果、Lync Server 2010 へのアクセスは、内部のクライアント、または VPN 接続で接続するクライアントに制限される場合があります。 ダイジェスト プロトコル: いわゆる匿名ユーザーに対して使用されます。匿名ユーザーは、有効な Active Directory の資格情報は持たないが、社内会議に招待され、有効な会議キーを持つ外部ユーザーです。ダイジェスト認証は、他のクライアント操作には使用されません。
Lync Server 2010 の認証は 2 つのフェーズで構成されます。
クライアントとサーバーの間に、セキュリティ アソシエーションが確立されます。
クライアントとサーバーは、既存のセキュリティ アソシエーションを使用して、送信するメッセージに署名し、受信するメッセージを検証します。サーバーで認証が有効になっている場合、クライアントからの認証されていないメッセージは受信されません。
ユーザーの信用情報は、ユーザー ID 自体ではなく、ユーザーから送信される各メッセージに添付されます。サーバーは、各メッセージについて、送信元ユーザーの資格情報が有効であるかどうか確認します。ユーザーの資格情報が有効な場合、そのメッセージを受け取る最初のサーバーだけでなく、信頼済みサーバー クラウドに属する他のすべてのサーバーで、そのメッセージが受信できるようになります。
フェデレーション パートナーが発行した有効な資格情報を持つユーザーは信頼されますが、これらのユーザーに対しては、内部ユーザーに与えられる権限のうち一部の使用を、必要に応じて制限できます。
ICE プロトコルおよび TURN プロトコルでも、IETF TURN RFC に記載されているとおり、ダイジェスト認証が使用されます。詳細については、「メディアの通過」を参照してください。
クライアント証明書を使用すると、ユーザーは Lync Server 2010 によって別の方法で認証を受けることができます。クライアント証明書は Lync Server によって作成され、クライアントに対して発行されます。クライアント証明書は識別のみを目的として使用されます。クライアントに対して発行された証明書は、コンピューターのユーザーの個人用証明書ストアに格納されます。発行はユーザー単位で行われるため、各ユーザーがクライアント識別を目的として個別の証明書を要求することが保証されます。証明書はクライアント認証拡張キー使用法のみを使用して作成され、キー使用法の情報は含まれません。
.gif "important") 重要: |
|---|
| Lync Server は、クライアントの認証、および Lync Server と要求ユーザーとの間の識別という明確な目的のために証明書を作成し、発行します。これは意図された動作であり、クライアントとサーバーの運用設計の一環であるため、別の証明書発行サービス、プライベートな公開キー基盤、または公的な証明機関を利用して証明書の作成と割り当てを行うことはできません。 |
証明書は、コンピューターベースのクライアント ソフトウェアだけでなく、Microsoft Lync 2010 Phone Edition を実行する電話やその他のデバイスでも特に便利です。これらのデバイスではユーザー名やパスワードを入力するのが難しく、その代わりに暗証番号 (PIN) が使用されます。