Office Communications Server 2007 R2 における認証
トピックの最終更新日: 2009-03-10
信頼されたユーザーとは、信頼された Office Communications Server によって資格情報が認証されたユーザーを指します。このサーバーは、通常、Standard Edition サーバー、Enterprise Edition フロントエンド サーバー、またはディレクタです。Office Communications Server 2007 R2 は、ユーザー資格情報の信頼された単一のバックエンド リポジトリとして、Active Directory ドメイン サービスを使用します。
認証では、ユーザーの資格情報が信頼されたサーバーに渡されます。Office Communications Server 2007 R2 では、ユーザーの状態や場所に応じて、次の 3 種類の認証プロトコルを使用します。
- MIT Kerberos Version 5 セキュリティ プロトコル: Active Directory の資格情報を持つ内部ユーザーに対して使用されます。Kerberos では、クライアントが Active Directory ドメイン サービスに接続できる状態であることが必要です。このため、Kerberos は企業のファイアウォールの外側にいるクライアントの認証には使用できません。
- NTLM プロトコル: Active Directory の資格情報を持ち、企業のファイアウォールの外側にあるエンドポイントから接続しているユーザーに対して使用されます。アクセス エッジ サービスによってログオン要求がディレクタ (ある場合) またはフロントエンド サーバーに渡され、そこで認証が行われます。アクセス エッジ サービス自体では認証は行われません。
- ダイジェスト プロトコル: いわゆる匿名ユーザーに対して使用されます。匿名ユーザーは、有効な Active Directory の資格情報は持たないが、社内会議に招待され、有効な会議キーを持つ外部ユーザーです。ダイジェスト認証は、他のクライアント操作には使用されません。
Office Communications Server 2007 R2 の認証は、次の 2 段階に分けて行われます。
- クライアントとサーバーの間に、セキュリティ アソシエーションが確立されます。
- クライアントとサーバーは、既存のセキュリティ アソシエーションを使用して、送信するメッセージに署名し、受信するメッセージを検証します。サーバーで認証が有効になっている場合、クライアントからの認証されていないメッセージは受信されません。
ユーザーの信用情報は、ユーザー ID 自体ではなく、ユーザーから送信される各メッセージに添付されます。サーバーは、各メッセージについて、送信元ユーザーの資格情報が有効であるかどうか確認します。ユーザーの資格情報が有効な場合、そのメッセージを受け取る最初のサーバーだけでなく、信頼済みサーバー クラウドに属する他のすべてのサーバーで、そのメッセージが受信できるようになります。
フェデレーション パートナーが発行した有効な資格情報を持つユーザーは信頼されますが、これらのユーザーに対しては、内部ユーザーに与えられる権限のうち一部の使用を、必要に応じて制限できます。
ICE プロトコルおよび TURN プロトコルでも、IETF TURN RFC に記載されているとおり、ダイジェスト認証が使用されます。詳細については、「メディアの通過」を参照してください。