Skype for Business Server的用户和客户端身份验证

  • 项目

受信任的用户是凭据已在 Skype for Business Server 中由受信任的服务器进行身份验证的用户。 此服务器通常是 Standard Edition 服务器、Enterprise Edition前端服务器或控制器。 Skype for Business Server依赖于 Active Directory 域服务 作为用户凭据的单个受信任后端存储库。

身份验证是向受信任的服务器提供用户凭据的过程。 Skype for Business Server使用以下身份验证协议,具体取决于用户的状态和位置。

  • 适用于具有 Active Directory 凭据的内部用户的 MIT Kerberos 版本 5 安全协议。 Kerberos 需要客户端连接才能Active Directory 域服务,这就是为什么它不能用于对企业防火墙外部的客户端进行身份验证的原因。

  • NTLM 协议 适用于从企业防火墙外部的终结点连接的具有 Active Directory 凭据的用户。 访问边缘服务将登录请求传递到控制器(如果存在)或前端服务器进行身份验证。 Access Edge 服务本身不执行身份验证。

    注意

    与 Kerberos 相比,NTLM 协议提供的攻击保护较弱,所以有些组织最大程度地减少了对 NTLM 的使用。 因此,对Skype for Business Server的访问可能仅限于通过 VPN 或 DirectAccess 连接进行连接的内部或客户端。

  • 摘要式协议 - 用于所谓的匿名用户。 匿名用户是指满足以下条件的外部用户:这些用户虽然不具备认可的 Active Directory 凭据,但已被邀请参与内部会议并且拥有有效的会议密钥。 摘要式身份验证不用于其他客户端交互。

Skype for Business Server身份验证由两个阶段组成:

  1. 在客户端和服务器之间建立安全关联。

  2. 客户端和服务器使用现有的安全关联签署它们发送的消息,以及验证所收到的消息。 如果在服务器上启用了身份验证,则不会接受来自客户端的未经身份验证的消息。

用户信任会附加到用户发出的每条消息,而不会附加到用户标识本身。 服务器将检查每条消息是否具有有效的用户凭据。 如果用户凭据有效,则接收消息的第一台服务器以及受信任的服务器云中的所有其他服务器都不会对消息进行质询。

拥有联盟伙伴颁发的有效凭据的用户会受到信任,但其他限制可能会阻止这些用户享有与内部用户相同的全部权限。

ICE 和 TURN 协议也使用摘要式质询,如 IETF TURN RFC 中所述。

客户端证书为Skype for Business Server用户进行身份验证提供了一种替代方法。 用户无需提供用户名和密码,因为他们具有证书以及解析加密质询所需的与证书对应的私钥。 (此证书必须具有使用者名称或使用者可选名称,该名称必须标识用户,并且必须由运行 Skype for Business Server 的服务器信任的根 CA 颁发,该证书在证书的有效期内,并且尚未吊销。) 若要进行身份验证,用户只需键入个人标识号 (PIN) 。 证书对电话、移动电话和其他难以输入用户名和密码的设备特别有用。

ASP .NET 4.5 导致的加密要求

自 Skype for Business Server 2015 CU5 起,ASP.NET 4.6 不支持 AES,这可能会导致 Skype 会议应用无法启动。 如果客户端使用 AES 作为计算机密钥验证值,则需要将计算机密钥值重置为 IIS 上的 Skype 会议应用站点级别上的 SHA-1 或其他受支持的算法。 如有必要,请参阅 IIS 8.0 ASP.NET 配置管理 获取说明。

其他支持的值包括: