• 아티클

Lync Server 2010용 온-프레미스 회의에 대한 위협 요소 해결

 

마지막으로 수정된 항목: 2011-05-02

Microsoft Lync Server 2010에서는 방화벽 내부 및 외부의 엔터프라이즈 사용자가 내부 Lync Server 2010 서버에서 호스트되는 실시간 웹 전화 회의를 만들어 참가할 수 있는 기능을 제공합니다. 또한 엔터프라이즈 사용자는 Active Directory 도메인 서비스 계정이 없는 외부 사용자가 이러한 모임에 참가하도록 초대할 수 있습니다. 인증된 보안 ID가 있는 페더레이션 파트너 소속 사용자도 모임에 참가하고 발표자로 승격된 경우 해당 역할을 수행할 수 있습니다. 익명 사용자는 모임을 만들거나 발표자로 참가할 수 없지만 참가한 후에 발표자로 승격될 수 있습니다.

온-프레미스 웹 회의는 Lync Server 2010의 기본 보안 프레임워크를 기반으로 구축됩니다.

  • 모든 서버는 트러스트됩니다.

  • 배치된 구성 요소 간의 모든 서버 연결 및 통신은 MTLS입니다.

  • 모든 통신은 암호화됩니다.

  • 모든 사용자는 인증됩니다.

외부 사용자가 온-프레미스 모임에 참가할 수 있도록 하면 이 기능의 가치가 크게 높아지지만, 이렇게 하면 보안상 위험해질 수도 있습니다. 이러한 위험을 해결하기 위해 Lync Server에서는 다음과 같은 보호 조치를 추가로 제공합니다.

  • 참가자 역할에 따라 전화 회의 제어 권한이 결정됩니다.

  • 참가자 유형을 사용하여 특정 모임에 대한 액세스 권한을 제한할 수 있습니다.

  • 정의된 모임 유형에 따라 참석 가능한 참가자 유형이 결정됩니다.

  • 내부 네트워크에서 Active Directory 자격 증명을 가지고 있으며 Lync Server 2010에 대해 활성화되어 있는 사용자만 전화 회의를 예약할 수 있습니다.

  • 전화 접속 전화 회의에 참가하려는 익명 즉, 인증되지 않은 사용자가 전화 접속 액세스 번호 중 하나로 전화를 걸면 전화 회의 ID를 입력하라는 메시지가 나타납니다. 또한 인증되지 않은 익명 사용자에게는 자신의 이름을 녹음하라는 메시지도 나타납니다. 녹음된 이름은 회의에서 인증되지 않은 사용자를 식별합니다. 익명 사용자는 하나 이상의 리더 또는 인증된 사용자가 참가할 때까지 전화 회의에 입장할 수 없으며 미리 정의된 역할이 할당될 수 없습니다.

참가자 역할

모임 참가자는 다음의 세 그룹 중 하나에 속하며, 각 그룹에는 해당 권한 및 제한이 적용됩니다.

  • 이끌이. 모임을 즉석에서 또는 예약하여 만드는 사용자입니다. 이끌이는 인증된 엔터프라이즈 사용자여야 하며 모임에서 최종 사용자와 관련된 모든 측면을 제어할 수 있어야 합니다.

  • 발표자. 모임에서 지원되는 모든 미디어를 사용하여 정보를 제공할 수 있는 권한이 있는 사용자입니다. 모임 이끌이는 정의상 발표자이기도 하며 발표자가 될 수 있는 다른 사용자를 결정합니다. 이끌이는 모임을 예약할 때나 모임이 진행 중일 때 이러한 결정을 내릴 수 있습니다.

  • 참석자. 모임에 참석하도록 초대되었지만 발표자 역할을 수행할 수 있는 권한이 없는 사용자입니다.

발표자는 모임 중에 참석자를 발표자 역할로 승격시킬 수도 있습니다.

참가자 유형

모임 참가자는 위치 및 자격 증명을 기준으로 분류되기도 합니다. 이러한 특징을 모두 사용하여 특정 모임에 액세스할 수 있는 사용자를 지정할 수 있습니다. 사용자는 크게 내부 사용자와 외부 사용자로 구분할 수 있습니다.

  • 내부 사용자는 엔터프라이즈 내에서 Active Directory 자격 증명을 가지며 회사 방화벽 내의 위치에서 연결합니다.

  • 외부 사용자는 회사 방화벽 외부의 위치에서 일시적 또는 영구적으로 엔터프라이즈에 연결하는 사용자입니다. 이러한 사용자는 Active Directory 자격 증명을 가질 수 있습니다. Lync Server 2010에서는 다음 유형의 외부 사용자에 대한 회의 지원을 제공합니다.

    • 엔터프라이즈 내에 영구 Active Directory ID가 있는 원격 사용자입니다. 자택이나 출장지에서 일하는 직원과 서비스 기간 동안 엔터프라이즈 자격 증명이 부여된 신뢰할 수 있는 공급업체 직원 등의 기타 사용자가 여기에 포함됩니다. 원격 사용자는 전화 회의를 만들어 참가하고 발표자가 될 수 있습니다.

    • 페더레이션 사용자는 페더레이션 파트너에 유효한 자격 증명을 소유하므로 Lync Server 2010에서 인증된 것으로 처리됩니다. 페더레이션 사용자는 전화 회의에 참가할 수 있으며 모임에 참가한 후에 발표자로 승격될 수 있지만, 자신이 페더레이션된 엔터프라이즈에서는 전화 회의를 만들 수 없습니다.

    • 익명 사용자는 Active Directory ID가 없으며 엔터프라이즈와 페더레이션되지 않습니다.

고객 데이터에 따르면 많은 전화 회의에 외부 사용자가 포함됩니다. 또한 이와 같은 고객들은 외부 사용자의 전화 회의 참가를 허용하기 전에 외부 사용자의 ID를 다시 확인하길 원합니다. 다음 섹션에서 설명하는 대로 Lync Server 2010에서는 명시적으로 허용된 사용자 유형만 모임에 액세스할 수 있도록 제한하며 모든 사용자 유형에게 모임에 입장할 때 적절한 자격 증명을 제시하도록 요구합니다.

참가자 입장

Lync Server 2010에서 익명 사용자와 인증에 실패한 참가자는 대기실이라는 대기 영역으로 전송됩니다. 그러면 발표자가 이러한 사용자의 입장을 허용하거나 거부할 수 있습니다. 즉, 전화 접속 회의를 사용하지만 인증에 실패한 참가자와 익명 사용자가 더 이상 연결을 끊었다가 다시 시도할 필요가 없습니다. 이러한 사용자는 대기실로 이동하여 리더의 알림을 받으며 리더가 허용하거나 거부할 때까지 또는 연결 시간이 초과될 때까지 대기실에서 기다릴 수 있습니다. 대기실에 있는 동안 사용자는 음악을 들을 수 있습니다. 익명 사용자와 인증에 실패한 참가자는 대기실이라는 대기 영역으로 전송됩니다. 그러면 발표자가 이러한 사용자의 입장을 허용하거나 거부할 수 있습니다. 기본적으로 PSTN으로부터 전화 접속하는 참가자는 모임으로 직접 이동하지만 전화 접속 사용자를 대기실로 강제로 이동하도록 이 옵션을 변경할 수 있습니다. 모임 이끌이는 참가자가 대기실에서 기다리지 않고 모임에 참가할 수 있는지를 제어합니다. 각 모임은 다음 방법 중 하나를 사용하여 액세스를 사용하도록 설정할 수 있습니다.

  • 이끌이만(잠김)   입장이 허용될 때까지 이끌이를 제외한 모든 사용자가 대기실에서 기다려야 합니다.

  • 내 회사에서 초대한 사용자   모임에 대해 메일 그룹에 있는 참가자를 제외한 모든 사용자가 입장이 허용될 때까지 로비에서 기다려야 합니다.

  • 내 회사의 사용자   메일 그룹에 없더라도 모든 내부 사용자가 대기실에서 기다리지 않고 모임에 참가할 수 있습니다. 모든 외부 및 익명 사용자를 포함하는 다른 모든 사용자는 입장이 허용될 때까지 대기실에서 기다려야 합니다.

  • 내 회사 외부 사용자를 포함한 모든 사용자(제한 없음)   모임에 참가하는 모든 사용자가 대기실을 건너뛰고 모임으로 직접 이동합니다.

**이끌이만(잠김)**을 제외한 다른 방법을 지정한 경우 모임 이끌이가 **전화 접속하는 사용자는 대기실을 바이패스합니다.**를 지정할 수도 있습니다.

발표자 기능

모임 이끌이는 참가자가 모임 중에 발표할 수 있는지 여부를 제어합니다. 각 모임은 다음 중 하나로 발표자를 제한하도록 설정할 수 있습니다.

  • 이끌이만   모임 이끌이만 발표할 수 있습니다.

  • 내 회사의 사용자   모든 내부 사용자가 발표할 수 있습니다.

  • 내 회사 외부 사용자를 포함한 모든 사용자(제한 없음)   모임에 참가하는 모든 사용자가 발표할 수 있습니다.

  • 내가 선택한 사용자   모임 이끌이가 사용자를 발표자 목록에 추가하여 발표할 수 있는 사용자를 지정합니다.