Поделиться через

Проверка подлинности пользователей и клиентов для Skype для бизнеса Server

  • Статья

Доверенный пользователь — это пользователь, учетные данные которого проходят проверку подлинности на доверенном сервере в Skype для бизнеса Server. Этот сервер обычно является сервером Standard Edition, сервером переднего плана Enterprise Edition или директором. Skype для бизнеса Server использует доменные службы Active Directory в качестве единого доверенного серверного репозитория учетных данных пользователя.

Проверка подлинности представляет собой предоставление учетных данных пользователя доверенному серверу. Skype для бизнеса Server использует следующие протоколы проверки подлинности в зависимости от состояния и расположения пользователя.

  • Протокол безопасности Mit Kerberos версии 5 для внутренних пользователей с учетными данными Active Directory. Kerberos требует подключения клиента к доменным службам Active Directory, поэтому его нельзя использовать для проверки подлинности клиентов за пределами корпоративного брандмауэра.

  • Протокол NTLM для пользователей с учетными данными Active Directory, которые подключаются из конечной точки за пределами корпоративного брандмауэра. Служба Access Edge передает запросы на вход директору (при наличии) или серверу переднего плана для проверки подлинности. Сама служба Access Edge не выполняет проверку подлинности.

    Примечание.

    Протокол NTLM обеспечивает более слабую защиту от атак в сравнении с Kerberos, поэтому некоторые организации сводят использование NTLM к минимуму. В результате доступ к Skype для бизнеса Server может быть ограничен внутренними клиентами или клиентами, подключенными через ПОДКЛЮЧЕНИЕ VPN или DirectAccess.

  • Дайджест-проверка для так называемых анонимных пользователей. Анонимные пользователи — это внешние пользователи, у которых нет распознаваемых учетных данных Active Directory, но которые были приглашены на локальную конференцию и имеют действительный ключ конференции. Дайджест-проверка подлинности не используется для других взаимодействий с клиентом.

Проверка подлинности Skype для бизнеса Server состоит из двух этапов:

  1. Между клиентом и сервером устанавливается сопоставление безопасности.

  2. Клиент и сервер используют существующее сопоставление безопасности для подписи сообщений, которые они отправляют, и для проверки получения сообщений. Если на сервере включена проверка подлинности, сообщения, не прошли проверку подлинности от клиента, не принимаются.

Доверие пользователя прикрепляется к каждому сообщению, которое исходит от пользователя, но не к удостоверению пользователя. Сервер проверяет каждое сообщение на наличие действительных учетных данных пользователя. Если учетные данные пользователя действительны, сообщение принимается не только первым получившим его сервером, но и всеми другими серверами в доверенном облаке серверов.

Пользователи с действительными учетными данными, выданными федеративным партнером, являются доверенными, но при необходимости не могут воспользоваться всеми привилегиями, предоставляемыми внутренним пользователям.

Протоколы ICE и TURN также используют требование Digest, описанное в документе IETF TURN RFC.

Сертификаты клиента предоставляют альтернативный способ проверки подлинности пользователей с помощью Skype для бизнеса Server. Вместо предоставления имени пользователя и пароля пользователи имеют сертификат и закрытый ключ, соответствующий необходимому для решения криптографической задачи сертификату. (Этот сертификат должен иметь имя субъекта или альтернативное имя субъекта, которое идентифицирует пользователя и выдано корневым ЦС, который является доверенным для серверов, работающих под управлением Skype для бизнеса Server, находится в пределах срока действия сертификата и не был отозван.) Для проверки подлинности пользователям нужно ввести только личный идентификационный номер (ПИН-код). Сертификаты полезны для телефонов, мобильных телефонов и других устройств, где трудно ввести имя пользователя и пароль.

Требования к шифрованию из-за ASP .NET 4.5

В Skype для бизнеса Server 2015 CU5 AES не поддерживается для ASP.NET 4.6. Это может привести к сбою запуска приложения собраний Skype. Если клиент использует AES в качестве значения проверки ключа компьютера, необходимо сбросить значение ключа компьютера на SHA-1 или другой поддерживаемый алгоритм на уровне сайта приложения собраний Skype в IIS. При необходимости см. инструкции по управлению конфигурацией iis 8.0 ASP.NET .

Другие поддерживаемые значения.