Проверка подлинности пользователей и клиентов в Skype для бизнеса Server 2015User and client authentication for Skype for Business Server 2015

Надежные пользователя — это один, учетные данные прошедшие проверку подлинности доверенного сервера в Скайп для Business Server 2015.A trusted user is one whose credentials have been authenticated by a trusted server in Skype for Business Server 2015. Этот сервер — это обычно сервера Standard Edition, сервер переднего плана Enterprise Edition или директора.This server is usually a Standard Edition server, Enterprise Edition Front End Server, or Director. Скайп для Business Server использует доменных служб Active Directory как репозиторий серверной single, доверенных учетных данных пользователя.Skype for Business Server relies on Active Directory Domain Services as the single, trusted back-end repository of user credentials.

Проверка подлинности представляет собой предоставление учетных данных пользователя доверенному серверу.Authentication is the provision of user credentials to a trusted server. Скайп для Business Server с помощью следующих протоколов проверки подлинности, в зависимости от состояния и расположение пользователя.Skype for Business Server uses the following authentication protocols, depending on the status and location of the user.

  • Протокол MIT Kerberos версии 5 безопасности для внутренних пользователей с использованием учетных данных Active Directory.MIT Kerberos version 5 security protocol for internal users with Active Directory credentials. Kerberos требуется возможность подключения клиента для доменов Active Directory, поэтому он не может использоваться для проверки подлинности клиентов за пределами корпоративного брандмауэра.Kerberos requires client connectivity to Active Directory Domain Services, which is why it cannot be used for authenticating clients outside the corporate firewall.

  • Протокол NTLM для пользователей с использованием учетных данных Active Directory, подключающихся из конечную точку за пределами корпоративного брандмауэра.NTLM protocol for users with Active Directory credentials who are connecting from an endpoint outside the corporate firewall. Пограничная служба доступа передает запросы на вход директор, если этот параметр указан, или для проверки подлинности на сервере переднего плана.The Access Edge service passes logon requests to a Director, if present, or a Front End Server for authentication. Пограничная служба доступа самого выполняет без проверки подлинности.The Access Edge service itself performs no authentication.

    Примечание

    Протокол NTLM обеспечивает более слабую защиту от атак в сравнении с Kerberos, поэтому некоторые организации сводят использование NTLM к минимуму.NTLM protocol offers weaker attack protection than Kerberos, so some organizations minimize usage of NTLM. В результате запрещен доступ к Скайп для Business Server 2015 для внутренних или клиентов, подключенных через подключение к виртуальной частной сети или DirectAccess.As a result, access to Skype for Business Server 2015 might be restricted to internal or clients connected through a VPN or DirectAccess connection.

  • Дайджест-проверка для так называемых анонимных пользователей. Анонимные пользователи — это внешние пользователи, которые не имеют распознанных учетных данных Active Directory, но были приглашены в локальную конференцию и обладают действительным ключом конференции. Дайджест-проверка подлинности не используется для других клиентских взаимодействий.Digest protocol for so-called anonymous users. Anonymous users are outside users who do not have recognized Active Directory credentials but who have been invited to an on-premises conference and possess a valid conference key. Digest authentication is not used for other client interactions.

Скайп для проверки подлинности Business Server 2015 состоит из двух этапов:Skype for Business Server 2015 authentication consists of two phases:

  1. Между клиентом и сервером устанавливается сопоставление безопасности.A security association is established between the client and the server.

  2. Клиент и сервер используют существующее сопоставление безопасности для подписи сообщений, которые они отправляют, и для проверки получения сообщений. Не прошедшие проверку подлинности сообщения от клиента не принимаются при включенной на сервере проверке подлинности.The client and server use the existing security association to sign messages that they send and to verify the messages they receive. Unauthenticated messages from a client are not accepted when authentication is enabled on the server.

Доверие пользователя прикрепляется к каждому сообщению, которое исходит от пользователя, но не к удостоверению пользователя. Сервер проверяет каждое сообщение на наличие действительных учетных данных пользователя. Если учетные данные пользователя действительны, сообщение принимается не только первым получившим его сервером, но и всеми другими серверами в доверенном облаке серверов.User trust is attached to each message that originates from a user, not to the user identity itself. The server checks each message for valid user credentials. If the user credentials are valid, the message is unchallenged not only by the first server to receive it but by all other servers in the trusted server cloud.

Пользователи с действительными выданными федеративным партнером учетными данными являются доверенными, но к ним могут применяться другие ограничения привилегий, которые полностью доступны внутренним пользователям.Users with valid credentials issued by a federated partner are trusted but optionally prevented by additional constraints from enjoying the full range of privileges accorded to internal users.

Протоколы ICE и TURN также используют требование Digest, описанное в документе IETF TURN RFC.The ICE and TURN protocols also use the Digest challenge as described in the IETF TURN RFC.

Клиентские сертификаты предоставления альтернативного способа для пользователей проходить проверку подлинности с Скайп для Business Server 2015.Client certificates provide an alternate way for users to be authenticated by Skype for Business Server 2015. Вместо предоставления имени пользователя и пароля пользователи имеют сертификат и закрытый ключ, соответствующий необходимому для решения криптографической задачи сертификату.Instead of providing a user name and password, users have a certificate and the private key corresponding to the certificate that is required to resolve a cryptographic challenge. (Этот сертификат должен иметь имя субъекта или альтернативное имя субъекта, идентифицирующая пользователя и должны быть выданы корневого ЦС, которому доверяет серверов с Скайп для Business Server 2015, находиться внутри срок действия сертификата и не были отозваны). Проходить проверку подлинности, пользователям необходимо только введите в персональный идентификационный номер (ПИН-кода).(This certificate must have a subject name or subject alternative name that identifies the user and must be issued by a Root CA that is trusted by servers running Skype for Business Server 2015, be within the certificate's validity period, and not have been revoked.) To be authenticated, users only need to type in a personal identification number (PIN). Сертификаты особенно полезны при использовании на телефонах и других устройствах, где ввод имени пользователя и/или пароля затруднен.Certificates are particularly useful for telephones, mobile phones, and other devices where it is difficult to enter a user name and password.

Требования к шифрования из-за ASP .NET 4.5Cryptographic requirements due to ASP .NET 4.5

По состоянию на Скайп Business Server 2015 накопительным пакетом обновления 5 AES не поддерживается для ASP.NET 4.6 и это может привести к Скайп собраний приложения могут быть запуск.As of Skype for Business Server 2015 CU5, AES is not supported for ASP.NET 4.6 and this may cause Skype Meetings App to fail to start. Если клиент использует AES как значение ключа проверки компьютера необходимо сбросить значение ключа машины SHA-1 или другой поддерживаемый алгоритм на уровне веб-сайта Скайп собраний приложения в IIS.If a client is using AES as the machine key validation value you will need to reset the machine key value to SHA-1 or another supported algorithm on the Skype Meetings App site level on IIS. При необходимости просмотрите Управления конфигурации IIS 8.0 ASP.NET для получения инструкций.If necessary, see IIS 8.0 ASP.NET Configuration Management for instructions.

Другие поддерживаемые значения.Other supported values are: