Seguramente hayáis escuchado en alguna ocasión el término «Usuario Externo» en una instalación de Lync. Un usuario externo de Lync es un usuario que se conecta fuera del perímetro de seguridad de la empresa. Suelen ser usuarios que tienen acceso desde el exterior a comunicarse con usuarios que están dentro del perímetro de seguridad. Existen distintos tipos de usuarios que podemos habilitar para facilitarles el acceso desde el exterior:
Para poder implementar estas configuraciones necesitamos disponer de un servidor con el rol de EDGE (Edge Lync: Configuración de Red (Parte I), Edge Lync: Configuración de Red (Parte II), Edge Lync: Configuración de Red (Parte III)), y posteriormente configurar las distintas directivas que nos permitan controlar quien puede conectarse desde el exterior o con que tipo de usuarios se pueden conectar los usuarios de Lync de nuestra compañía. Vamos a describir cada uno de los tipo de usuarios
Usuarios Federados: Usuarios con los que hemos establecido una relación de confianza y tienen cuenta en otro Directorio Activo. Esto nos permite agregar usuarios de otra organización como contacto, y podemos ver su disponibilidad, mantener conversaciones de IM y Conferencias. Para configurar la federación entre las distintas organizaciones debemos cumplir los siguientes requisitos:
- Acceso al puerto 5061/TCP entre los servidores EDGE de cada organización
- Certificados Públicos o Privados en ambos servidores EDGE (indistintamente), en caso de tener certificados privados en alguno de los servidores (o ambos) debemos tener el certifidado raíz de confianza en el otro EDGE
- Configurar desde al Panel de Administración de Lync la federación entre las distintas organizaciones y, podemos configurar manualmente o habilitar la detección de dominio de socio.
Vamos a ver como podemos configurar la federación manual, para ello vamos al Panel de Administración de Lync y agregamos el servidor de Lync de la otra compañía (este procedimiento debemos hacerlo en ambos servidores). Primero vamos al Panel de Administración de Lync y vemos el listado de dominios SIP Federados que tengamos configurados
Ahora pulsamos en Agregar – Dominio Permitido
y cubrimos los datos del dominio con el cual queremos federarnos, escribirmos el nombre de dominio y el FQDN del Servicios Perimetral de Acceso
Para que esto funciona debemos tener creando un registro DNS de tipo SRV, el FQDN es _sipfederationtls._tcp.asirsl.com, puerto 5061/TCP y el host será el servidor perimetral de acceso
_sipfederationtls._tcp.asirsl.com SRV service location:
priority = 0
weight = 0
port = 5061
svr hostname = sip.asirsl.com
De esta forma cuando los usuarios intentan agregar usuarios de otros dominios SIP de otras organizaciones, el servidor EDGE consultará este registro SRV tratando de localizar el EDGE de dicho dominio SIP. La configuración manual de la federación prevalece sobre la configuración de detección de dominio de socio.
Usuarios de una IM Pública: Usuarios de otros sistemas de IM Públicos como son: Skype, Google Talk, MSN, AOL, et… Para configurar federación con MSN o AOL debemos solicitarlo a Microsoft desde la siguiente URL: Microsoft Lync Server Public IM Connectivity Provisioning. Debemos tener creado el mismo registro SRV utilizado para la detección de dominio de socio:
_sipfederationtls._tcp.asirsl.com SRV service location:
priority = 0
weight = 0
port = 5061
svr hostname = sip.asirsl.com
Es indispensable que los certificados del EDGE sean emitidos por una CA Pública, sino no funcionará la federación. La provisión del servicio por parte de Microsoft puede ser de 30 días, pero suelen habilitarlo en menos de 10 días. La configuración de este tipo de federación permite a los usuarios disfrutar de IM y AV (ad hoc). Como la migración a Skype ya está a punto de llegar y la migración será de Live Messenger directamente a Skype no hay nada que hacer en nuestros servidores de Lync si ya los tenemos federados con MSN (por lo menos hasta la fecha está funcionando la IM únicamente, pero en breve tendremos el A/V)
En Lync 2013 tenemos de format nativa la configuración de la federación con sistemas XMPP, utilizamos por ejemplo por Cisco y Google Talk. Para configurar la federación con Google Talk debemos realizar las siguientes configuraciones adicionales:
- Acceso al puerto 5269/TCP al servidor perimetral de acceso
- Crear un registro DNS tipo SRV: _xmpp-server._tcp.asirsl.com
_xmpp-server._tcp.asirsl.com
priority = 1
weight = 100
port = 5269
svr hostname = sip.asirsl.com
- Configurarlo el servidor XMPP con el que queremos federarlo, para ello vamos al Panel de Administración de Lync – Federación y acceso externo – Asociados XMPP federados
y agregamos el dominio con el que queramos federarnos, en este caso con GMAIL.COM
Si queremos crear una directiva para evitar que los usuarios tengan acceso a la mensajería pública, debemos pulsar en Agregar
escribimos un nombre descriptivo para la directiva y marcamos las opciones que queremos habilitar, en nuestro caso no marcaremos la casilla de Habilitar comuniaciones con usuarios públicos
Una vez guardada debemos asignársela al usuario o usuarios que queramos evitar que puedan agregar usuarios de Mensajería Pública (MSN, Skype, AOL)
Si queremos evitar que los usuarios puedan conectarse desde fuera de la organización, conectarse con usuarios federados o XMPP, solo debemos crear las directivas correspondientes y asignárselas a los usuarios.
La configuración de puertos en el Firewall es el mismo para todos los usuarios, y os dejo aquí algunos artículos anteriores en donde os muestro la configuración del EDGE a nivel de seguridad de puertos, etc…
Edge Lync: Configuración de Red (Parte I)
Edge Lync: Configuración de Red (Parte II)
Edge Lync: Configuración de Red (Parte III)
Espero que os sea de utilidad!!!
