Office Communications Server 2007 R2 的驗證
上次修改主題的時間: 2009-03-10
受信任使用者是已由受信任 Communications Server 驗證過憑證的使用者。此伺服器通常是 Standard Edition 伺服器、Enterprise Edition 前端伺服器或 Director。Office Communications Server 2007 R2 仰賴 Active Directory 網域服務做為使用者認證的單一、受信任後端儲存機制。
驗證是將使用者憑證佈建到受信任伺服器的歷程。Office Communications Server 2007 R2 會根據使用者的狀態和位置,使用下列三種驗證通訊協定。
- MIT Kerberos 5 安全性通訊協定:用於具有 Active Directory 認證的內部使用者。Kerberos 需要用戶端連線至 Active Directory 網域服務,這也是為什麼它無法用來驗證企業防火牆外部的用戶端。
- NTLM 通訊協定:用於具有 Active Directory 認證,並且從企業防火牆外部端點連線的使用者。Access Edge Service 會將登入要求傳遞至 Director (如果存在) 或是前端伺服器進行驗證。Access Edge Service 本身不執行驗證工作。
- 摘要式通訊協定:用於所謂的匿名使用者。匿名使用者是沒有認可的 Active Directory 認證,但受邀參加內部會議且擁有有效會議金鑰的外部使用者。摘要式驗證並非用以與其他用戶端互動。
Office Communications Server 2007 R2 驗證共分兩個階段:
- 在用戶端和伺服器之間建立安全性關聯。
- 用戶端和伺服器使用現有的安全性關聯,簽署所傳送的訊息,並驗證接收的訊息。伺服器啟用驗證時,將不接受來自用戶端的任何未驗證訊息。
使用者信任是附加於每個使用者發出的訊息中,而不是附加於使用者的識別證明上。伺服器會檢查每個訊息,看看是否具有有效的使用者憑證。如果使用者憑證有效,不但接收訊息的第一個伺服器不會驗證訊息,受信任伺服器 Cloud 中的所有伺服器也都不會驗證訊息。
具有同盟夥伴所發出之有效認證的使用者會受到信任,但是可能會選擇性地受到其他限制,而無法享有與內部使用者相同的完整權限。
ICE 和 TURN 通訊協定也會使用 IETF TURN RFC 中所述的摘要式挑戰。如需詳細資訊,請參閱媒體周遊。