新增到 LDAP 伺服器的連線
您可新增到一個或多個 LDAP 伺服器的連線。
新增到 LDAP 伺服器的連線:
- 在程式 Web 介面的主視窗中,開啟管理主控台樹狀目錄,然後選擇“設定”部分和“LDAP”子部分。
- 如果工作區將“LDAP 伺服器連線”設定的值顯示為“未使用”,請執行以下操作:
- 點擊LDAP 伺服器連線連結以開啟LDAP 伺服器連線視窗。
- 在LDAP 伺服器清單,選擇Active Directory 或通用 LDAP。
- 如果想要限制伺服器回應逾時,選中“設定伺服器逾時時間限制”設定名稱旁邊的核取方塊。
- 如果已選中“設定伺服器逾時時間限制”設定名稱旁邊的核取方塊,請在“伺服器逾時(秒)”區域中指定必須接收 LDAP 伺服器回應的最大時間(秒)。
預設值為 20 秒。
- 點擊“套用”按鈕。
“LDAP 伺服器連線”視窗將關閉。
- 點擊工作區中的“新增”按鈕。
將開啟“LDAP 伺服器連線精靈”視窗。
- 在 連線設定 標籤,在 LDAP 伺服器設定 區域,在 LDAP 伺服器 清單中選擇以下外部目錄服務之一:
- “一般 LDAP”,表示希望將連線新增到與 LDAP 相容的目錄服務的伺服器(如,Red Hat Directory Server)。
- “Active Directory”,表示希望將連線新增到 Microsoft Active Directory 伺服器。
- 在“LDAP 伺服器設定”部分的“伺服器位址”區域中,以 IPv4 格式鍵入 IP 位址或鍵入想要連線的 LDAP 伺服器的 FQDN 名稱。
- 在“LDAP 伺服器設定”部分的“連線連接埠號”清單中,指定用於連線到 LDAP 伺服器的連接埠。
LDAP 伺服器通常會透過 TCP 或 UDP 協定在連接埠 389 上接收入站連線。連接埠 636 通常用於透過 SSL 協定連線到 LDAP 伺服器。
- 在“LDAP 伺服器設定”部分的“連線類型”清單中,選擇連線到 LDAP 伺服器時的資料加密選項之一:
- “SSL”,表示希望使用 SSL。
- “TLS”,表示希望使用 TLS。
- 不加密,表示在連線到 LDAP 伺服器時不希望使用資料加密技術。
Microsoft 更新發佈後(請參見ADV190023 LDAP Channel Binding 和 LDAP Signing 了解詳情),連線到 Active Directory 時將需要 SSL 或TLS 加密。如果繼續使用"不加密"選項,應用程式可能出現以下操作問題:無法連線 Active Directory;無法存取個人儲存中的訊息副本;訊息處理規則問題。
- 在“身分驗證設定”部分的“LDAP 伺服器使用者名稱”區域中,鍵入有權讀取目錄記錄的 LDAP 伺服器使用者的名稱 (BindDN)。採用以下格式之一輸入使用者名稱:
cn=<使用者名稱>, ou=<部門名稱>
(如果需要), dc=<網域名稱>, dc=<父系網網域名稱>
,如果希望將連線新增到與 LDAP 相容的目錄服務的伺服器(如,Red Hat Directory Server)。例如,您可輸入以下使用者名稱:
cn=LdapServerUser, dc=example, dc=com
,其中LdapServerUser
是 LDAP 伺服器使用者的名稱;example
是使用者帳戶所屬目錄的網域名稱;com
是目錄所處的父目錄的名稱。cn=<使用者名稱>, ou=<部門名稱>
(如果需要), dc=<網域名稱>, dc=<父系網網域名稱>
或<user name>@<domain name>.<parent domain name>
,如果希望將連線新增到 Microsoft Active Directory 伺服器。例如,可輸入以下使用者名稱:
LdapServerUser@example.com
,其中,LdapServerUser
是 LDAP 伺服器使用者的名稱;example.com
是使用者帳戶所屬的目錄的網域名稱。
- 在身分驗證設定部分,在LDAP 伺服器使用者帳戶密碼欄位中,輸入指定在LDAP 伺服器使用者名稱欄位的 LDAP 伺服器存取密碼。
- 在“搜尋設定”部分的“搜尋基礎”區域中,鍵入 Kaspersky Secure Mail Gateway 從其開始搜尋目錄記錄的目錄物件的 DN(可分辨名稱)。
採用以下格式輸入搜尋資料庫:
ou=<部門名稱>
(如果需要), dc=<網域名稱>
,dc=<父系網網域名稱>
。例如,您可輸入以下搜尋資料庫:
ou=people, dc=example, dc=com
,其中people
是 Kaspersky Secure Mail Gateway 從其開始搜尋目錄的目錄級別(搜尋在people
級別和更低級別執行。位於此級別以上的物件排除在搜尋範圍以外);example
是 Kaspersky Secure Mail Gateway 在其中搜尋記錄的目錄的網域名稱;com
是目錄所在的父系網網域的名稱。 - 點擊“檢查”按鈕。
Kaspersky Secure Mail Gateway 使用已指定的連線和身分驗證設定檢查到 LDAP 伺服器的連線。
- 點擊“下一個”按鈕。
“篩選器”標籤將開啟。
- 在“設定 LDAP 篩選器”設定群組的“使用者身分驗證”區域中,指定使用者身分驗證篩選器(例如,允許使用者存取備份中的使用者郵件)。
- 要設定使用者身分驗證篩選器的標準值,點擊“設定預設值”區域下方的“使用者身分驗證”連結。
- 在設定 LDAP 篩選器設定群組,在使用者和群組搜尋欄位,為使用者或使用者群組指定搜尋篩選。
- 要設定使用者和群組搜尋篩選器的標準值,點擊“使用者和群組搜尋”欄位下方的“設定預設值”連結。
- 在“設定 LDAP 篩選器”設定群組,在“使用電子郵件信箱搜尋使用者的 DN 和使用者群組”欄位,指定篩選器以搜尋使用者和群組的根據其郵件位址所屬的 DN 記錄。
- 要設定基於電子郵件信箱搜尋使用者和其所屬群組的 DN 記錄的篩選器的標準值,點擊“使用電子郵件信箱搜尋使用者的 DN 和使用者群組”下方的“設定預設值”連結。
- 在“設定 LDAP 篩選器”設定群組的“按使用者的 DN 搜尋群組”區域中,配置基於使用者的 DN 記錄搜尋使用者所屬群組的篩選器。該篩選器在當指定在使用電子郵件信箱搜尋使用者的 DN 和使用者群組欄位的篩選器無法確定使用者群組的時候被使用。
- 要設定基於使用者的 DN 記錄搜尋使用者所屬群組的篩選器的標準值,點擊“設定預設值”區域下方的“按使用者的 DN 搜尋群組”連結。
- 選中“使用遞迴搜尋”核取方塊以啟用在子群組中搜尋 LDAP 帳戶。
- 點擊“完成”按鈕。
“LDAP 伺服器連線精靈”視窗將關閉。
已新增的外部目錄服務的連接顯示在程式介面主視窗的LDAP部分的工作區中。