Benutzer- und Clientauthentifizierung für Lync Server 2010
Letztes Änderungsdatum des Themas: 2013-02-16
Ein vertrauenswürdiger Benutzer ist ein Benutzer, dessen Anmeldeinformationen von einem vertrauenswürdigen Server in Microsoft Lync Server 2010 authentifiziert wurden. In den meisten Fällen handelt es sich bei diesem Server um einen Standard Edition-Server, einen Enterprise Edition-Front-End-Server oder einen Director. Lync Server 2010 benötigt die Active Directory-Domänendienste. Sie sind das einzige vertrauenswürdige Back-End-Repository für die Benutzerinformationen.
Die Authentifizierung ist die Bereitstellung von Benutzerinformationen für einen vertrauenswürdigen Server. Lync Server 2010 verwendet die folgenden Authentifizierungsprotokolle – abhängig vom Status und Standort des Benutzers.
Sicherheitsprotokoll MIT Kerberos Version 5 für interne Benutzer mit Active Directory-Anmeldeinformationen. Kerberos erfordert eine Clientverbindung zu den Active Directory-Domänendiensten. Aus diesem Grund kann es nicht zur Authentifizierung von Clients außerhalb der Unternehmensfirewall verwendet werden.
NTLM-Protokoll für Benutzer mit Active Directory-Anmeldeinformationen, die eine Verbindung über ein Endgerät von außerhalb der Unternehmensfirewall herstellen. Der Zugriffs-Edgedienst gibt Anmeldeanforderungen zur Authentifizierung an einen Director (falls vorhanden) oder an einen Front-End-Server weiter. Der Zugriffs-Edgedienst selbst führt keine Authentifizierung durch.
.gif "note")
Hinweis:NTLM-Protokoll bietet weniger Schutz vor Angriffen als Kerberos, daher reduzieren einige Organisationen die Verwendung von NTLM. Lync Server 2010 ist daher u. U. auf interne Benutzer oder Kunden beschränkt, die über eine VPN-Verbindung verbunden sind. Digestprotokoll für sogenannte anonyme Benutzer. Anonyme Benutzer sind Benutzer von außerhalb, die über keine anerkannten Active Directory-Anmeldeinformationen verfügen, jedoch zu einer Konferenz im Unternehmen eingeladen wurden und im Besitz eines gültigen Konferenzschlüssels sind. Die Digestauthentifizierung wird für keine weiteren Clientinteraktionen verwendet.
Die Authentifizierung bei Lync Server 2010 erfolgt in zwei Phasen:
Zwischen Client und Server wird eine Sicherheitszuordnung erstellt.
Client und Server verwenden die vorhandene Sicherheitszuordnung, um Nachrichten zu signieren und um empfangene Nachrichten zu prüfen. Wenn die Authentifizierung auf dem Server aktiviert ist, werden nicht authentifizierte Nachrichten eines Clients nicht akzeptiert.
Jede Nachricht von einem Benutzer (nicht die Benutzeridentität selbst) wird mit Vertrauensinformationen ("Benutzervertrauensstellung") versehen. Der Server überprüft die einzelnen Nachrichten auf gültige Benutzeranmeldeinformationen. Wenn die Benutzerinformationen gültig sind, wird die Nachricht nicht nur vom ersten Server, der die Nachricht empfängt, akzeptiert, sondern auch von allen anderen Servern der vertrauenswürdigen Serverwolke wird keine Authentifizierung angefordert.
Benutzer mit gültigen Anmeldeinformationen, die von einem Verbundpartner ausgestellt wurden, werden als vertrauenswürdig eingestuft. Möglicherweise gelten für sie jedoch zusätzliche Einschränkungen, sodass sie nicht über dieselben Berechtigungen wie die internen Benutzer verfügen.
Die ICE- und TURN-Protokolle verwenden ebenfalls Digestabfrage wie in IETF TURN RFC beschrieben. Ausführliche Informationen finden Sie unter Mediendurchquerung.
Clientzertifikate stellen ein alternatives Verfahren zur Authentifizierung von Benutzern durch Lync Server 2010 dar. Clientzertifikate werden erstellt und von Lync Server für den Client ausgestellt. Sie dienen nur zu Identifikationszwecken. Das Zertifikat wird an den Client ausgegeben und im persönlichen Zertifikatspeicher des Computerbenutzers gespeichert. Die Ausgabe auf Benutzerbasis stellt sicher, dass für jeden Benutzer ein eigenes Zertifikat für die Clientidentifikation erforderlich ist. Das Zertifikat wird nur mit erweiterter Schlüsselverwendung für die Clientauthentifizierung erstellt und enthält keine Informationen zur Schlüsselverwendung.
.gif "important") Wichtig: |
|---|
| Lync Server erstellt die Zertifikate ausdrücklich zum Zweck der Clientauthentifizierung und -identifikation zwischen Lync Server und dem anfordernden Benutzer und gibt sie entsprechend aus. Da dies das konstruktiv vorgesehene Verhalten darstellt und Bestandteil des Betriebslayouts von Client und Server ist, kann das Erstellen und Zuweisen der Zertifikate nicht durch einen anderen Zertifikatdienst, eine Private/Public Key-Infrastruktur oder eine öffentliche Zertifizierungsstelle erfolgen. |
Abgesehen von computerbasierter Clientsoftware sind Zertifikate insbesondere für Telefone und andere Geräte nützlich, auf denen Microsoft Lync 2010 Phone Edition ausgeführt wird, und bei denen die Eingabe von Benutzernamen und/oder Kennwörtern schwierig ist. Stattdessen wird eine PIN (Personal Identification Number) verwendet.