Интеграция с внешней службой каталогов

23 мая 2024

ID 88722

Kaspersky Secure Mail Gateway позволяет подключаться к серверам внешних служб каталогов, используемых в вашей организации, по протоколу LDAP.

Соединение с внешней службой каталогов по протоколу LDAP предоставляет администратору Kaspersky Secure Mail Gateway следующие возможности:

  • Добавлять отправителей или получателей из внешней службы каталогов в правила обработки сообщений.
  • Использовать функцию автодополнения полей Email отправителя и Email получателя при фильтрации событий обработки почтового трафика и сообщений пользователей локальной сети организации в Хранилище.

Если в организации используется несколько доменов, то для каждого из них должно быть настроено LDAP-соединение.

Для одного домена во внешней службе каталогов может быть настроено несколько LDAP-соединений при условии, что каждое LDAP-соединение будет содержать уникальное значение поля База поиска (Search base).

Если в одном LDAP-домене используется несколько контроллеров домена для сценария отказоустойчивости, добавлять дополнительное LDAP-соединение не требуется. Приложение автоматически выбирает доступный контроллер домена в рамках ранее настроенного соединения в соответствии с приоритетами SRV-записей на сервере доменных имен (DNS).

После настройки соединения с LDAP-сервером приложение выполняет автоматическую синхронизацию данных с контроллером домена Active Directory каждые 30 минут. Вы можете настроить запуск синхронизации по расписанию. Если требуется обновить данные об учетных записях пользователей немедленно (например, при добавлении нового пользователя), вы можете запустить синхронизацию вручную.

Каждый узел кластера выполняет синхронизацию самостоятельно, независимо от других узлов. В результате успешной синхронизации в LDAP-кеше сохраняется следующая информация:

  • учетные записи всех пользователей домена;
  • контакты Active Directory (если в параметрах соединения с LDAP-сервером настроено получение адресов электронной почты контактов);
  • группы, в которых состоят пользователи домена и контакты;
  • адреса электронной почты пользователей домена, групп и контактов.

Приложение хранит и использует эти данные до следующего запуска синхронизации. Если контроллер домена недоступен, используются последние полученные данные. После удаления соединения с LDAP-сервером все данные LDAP-кеша удаляются.

После успешной синхронизации Kaspersky Secure Mail Gateway проверяет наличие дублирующихся данных в учетных записях LDAP. Следующие данные проверяются на наличие дубликатов:

  • Имена всех пользователей домена.

    Для пользователей с дублирующимися именами отключена защита от спуфинга Active Directory, а также таким пользователям недоступны персональное Хранилище и персональные списки разрешенных и запрещенных адресов отправителей.

  • Группы, в которых состоят пользователи домена.

    Для групп с дублирующимися именами отключена защита от спуфинга Active Directory.

  • Контакты Active Directory.

    Для контактов с дублирующимися именами отключена защита от спуфинга Active Directory.

  • Учетные записи пользователей Kerberos.

    Пользователям с дублирующимися именами Kerberos недоступны персональное Хранилище и персональные списки разрешенных и запрещенных адресов отправителей.

  • Учетные записи пользователей NTLM.

    Пользователям с дублирующимися именами NTLM недоступны персональное Хранилище и персональные списки разрешенных и запрещенных адресов отправителей.

  • Адреса электронной почты пользователей домена.

    Сообщения, предназначенные для дублирующихся адресов, не будут помещаться в персональное Хранилище пользователей, и к таким адресам не будут применяться персональные списки разрешенных и запрещенных адресов отправителей.

Если в учетных записях обнаружены дублирующиеся данные, в таблице узлов кластера отображается предупреждение.

В этом разделе справки

Создание keytab-файла

Добавление соединения с LDAP-сервером

Удаление соединения с LDAP-сервером

Изменение параметров соединения с LDAP-сервером

Настройка расписания синхронизации с контроллером домена Active Directory

Запуск синхронизации с контроллером домена Active Directory вручную

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!