Проверка подлинности пользователей и клиентов для Skype для бизнеса Server
Доверенный пользователь — это пользователь, учетные данные которого прошли проверку подлинности на доверенном сервере в Skype для бизнеса Server. Этот сервер обычно является сервером standard edition, выпуск Enterprise сервером переднего плана или директором. Skype для бизнеса Server использует доменные службы Active Directory как единый доверенный внутренний репозиторий учетных данных пользователя.
Проверка подлинности представляет собой предоставление учетных данных пользователя доверенному серверу. Skype для бизнеса Server использует следующие протоколы проверки подлинности в зависимости от состояния и расположения пользователя.
Протокол безопасности Mit Kerberos версии 5 для внутренних пользователей с учетными данными Active Directory. Kerberos требует подключения клиента к доменные службы Active Directory, поэтому его нельзя использовать для проверки подлинности клиентов за пределами корпоративного брандмауэра.
Протокол NTLM для пользователей с учетными данными Active Directory, которые подключаются из конечной точки за пределами корпоративного брандмауэра. Служба Access Edge передает запросы на вход в систему директору , если они есть, или серверу переднего плана для проверки подлинности. Сама служба Access Edge не выполняет проверку подлинности.
Примечание.
Протокол NTLM обеспечивает более слабую защиту от атак в сравнении с Kerberos, поэтому некоторые организации сводят использование NTLM к минимуму. В результате доступ к Skype для бизнеса Server может быть ограничен внутренними клиентами или клиентами, подключенными через ПОДКЛЮЧЕНИЕ VPN или DirectAccess.
Дайджест-проверка для так называемых анонимных пользователей. Анонимные пользователи — это внешние пользователи, которые не имеют распознанных учетных данных Active Directory, но были приглашены в локальную конференцию и обладают действительным ключом конференции. Дайджест-проверка подлинности не используется для других клиентских взаимодействий.
Skype для бизнеса Server проверка подлинности состоит из двух этапов:
Между клиентом и сервером устанавливается сопоставление безопасности.
Клиент и сервер используют существующее сопоставление безопасности для подписи сообщений, которые они отправляют, и для проверки получения сообщений. Не прошедшие проверку подлинности сообщения от клиента не принимаются при включенной на сервере проверке подлинности.
Доверие пользователя прикрепляется к каждому сообщению, которое исходит от пользователя, но не к удостоверению пользователя. Сервер проверяет каждое сообщение на наличие действительных учетных данных пользователя. Если учетные данные пользователя действительны, сообщение принимается не только первым получившим его сервером, но и всеми другими серверами в доверенном облаке серверов.
Пользователи с действительными выданными федеративным партнером учетными данными являются доверенными, но к ним могут применяться другие ограничения привилегий, которые полностью доступны внутренним пользователям.
Протоколы ICE и TURN также используют требование Digest, описанное в документе IETF TURN RFC.
Сертификаты клиента предоставляют альтернативный способ проверки подлинности пользователей с помощью Skype для бизнеса Server. Вместо предоставления имени пользователя и пароля пользователи имеют сертификат и закрытый ключ, соответствующий необходимому для решения криптографической задачи сертификату. (Этот сертификат должен иметь имя субъекта или альтернативное имя субъекта, которое идентифицирует пользователя и должно быть выдано корневым ЦС, доверенным для серверов под управлением Skype для бизнеса Server, срок действия сертификата не был отменен.) Для проверки подлинности пользователям нужно ввести только личный идентификационный номер (ПИН-код). Сертификаты особенно полезны при использовании на телефонах и других устройствах, где ввод имени пользователя и/или пароля затруднен.
Требования к шифрованию из-за ASP .NET 4.5
Начиная с Skype для бизнеса Server 2015 CU5, прекращена поддержка AES для ASP.NET 4.6, что может привести к сбоям при запуске приложения "Собрания Skype". Если клиент использует AES в качестве значения проверки ключа компьютера, необходимо сбросить значение ключа компьютера в SHA-1 или другой поддерживаемый алгоритм на уровне сайта приложения собраний Skype в IIS. При необходимости см. инструкции по управлению конфигурацией iis 8.0 ASP.NET .
Другие поддерживаемые значения.
HMACSHA256
HMACSHA384
HMACSHA512
Значения AES, 3DES и MD5 больше не поддерживаются, в отличие от ASP.NET 4. Дополнительные сведения см. в статье Усовершенствования шифрования в ASP.NET 4.5, пт. 2.