Kaspersky Secure Mail Gateway 帮助

添加到 LDAP 服务器的连接

您可添加到一个或多个 LDAP 服务器的连接。

添加到 LDAP 服务器的连接：

1. 在程序 Web 界面的主窗口中，打开管理控制台树，然后选择“设置”部分和“LDAP”子部分。
2. 如果工作区将“LDAP 服务器连接”的值显示为“未使用”，则执行以下操作：
   1. 点击“LDAP 服务器连接”链接打开“LDAP 服务器连接”窗口。
   2. 在“LDAP 服务器”列表中，选择“Active Directory 或通用 LDAP”。
   3. 如果想要限制服务器响应超时，选中“限制服务器响应超时”设置名称旁边的复选框。
   4. 如果已选中“设置服务器超时时间限制”设置名称旁边的复选框，在“服务器超时(秒)”区域中指定必须接收 LDAP 服务器响应的最大时间（秒）。

      默认值为 20 秒。

   5. 点击“应用”按钮。

      “LDAP 服务器连接”窗口将关闭。

3. 点击工作区中的“添加”按钮。

   “LDAP 服务器连接向导”窗口将打开。

4. 在“LDAP 服务器设置”部分的“连接设置”选项卡中，从“LDAP 服务器”下拉列表选择以下外部目录服务之一：
   • “一般 LDAP”，表示希望将连接添加到与 LDAP 兼容的目录服务的服务器（如，Red Hat Directory Server）。
   • “活动目录”，表示希望将连接添加到 Microsoft Active Directory 服务器。
5. 在“LDAP 服务器设置”部分的“服务器地址”区域中，以 IPv4 格式键入 IP 地址或键入想要连接的 LDAP 服务器的 FQDN 名称。
6. 在“LDAP 服务器设置”部分的“连接端口号”列表中，指定用于连接到 LDAP 服务器的端口。

   LDAP 服务器通常会通过 TCP 或 UDP 协议在端口 389 上接收入站连接。端口 636 通常用于通过 SSL 协议连接到 LDAP 服务器。

7. 在“LDAP 服务器设置”部分的“连接类型”列表中，选择连接到 LDAP 服务器时的数据加密选项之一：
   • SSL，表示希望使用 SSL。
   • TLS，表示希望使用 TLS。
   • 不加密，表示在连接到 LDAP 服务器时不希望使用数据加密技术。

     Microsoft 更新发布后（请参见ADV190023 LDAP Channel Binding 和 LDAP Signing了解详情）， 连接到 Active Directory 时将需要 SSL 或 TLS 加密。如果继续使用“不加密”选项，应用程序可能 出现以下操作问题：无法连接 Active Directory；无法访问个人存储中的消息副本；消息处理规则问题。

8. 在“身份验证设置”部分的“LDAP 服务器用户名”区域中，键入有权读取目录记录的 LDAP 服务器用户的名称 (BindDN)。采用以下格式之一输入用户名：
   • cn=<用户名>, ou=<部门名称>（如果需要）, dc=<域名>, dc=<父域名>，如果希望将连接添加到与 LDAP 兼容的目录服务的服务器（如，Red Hat Directory Server）。

     例如，您可输入以下用户名： cn=LdapServerUser, dc=example, dc=com，其中 LdapServerUser 是 LDAP 服务器用户的名称； example 是用户帐户所属目录的域名；com 是目录所处的父目录的名称。

   • cn=<用户名>, ou=<部门名称>（如果需要）, dc=<域名>, dc=<父域名> 或 <user name>@<domain name>.<parent domain name>，如果希望将连接添加到 Microsoft Active Directory 服务器。

     例如，可输入以下用户名：LdapServerUser@example.com，其中，LdapServerUser 是 LDAP 服务器用户的名称； example.com 是用户帐户所属的目录的域名。

9. 在“身份验证设置”部分的“LDAP 服务器用户密码”字段中，键入在“LDAP 服务器用户名”区域指定的用户的 LDAP 服务器访问密码。
10. 在“搜索设置”部分的“搜索数据库”区域中，键入 Kaspersky Secure Mail Gateway 从其开始搜索目录记录的目录对象的 DN（可分辨名称）。

    采用以下格式输入搜索数据库： ou=<部门名称>（如果需要）, dc=<域名>, dc=<父域名>。

    例如，可输入以下搜索数据库：ou=people, dc=example, dc=com，其中 people 是 Kaspersky Secure Mail Gateway 从其开始搜索目录的目录级别（搜索在 people 级别和更低级别运行。位于此级别以上的对象排除在搜索范围以外）； example 是 Kaspersky Secure Mail Gateway 在其中搜索记录的目录的域名；com 是目录所在的父域的名称。

11. 点击“检查”按钮。

    Kaspersky Secure Mail Gateway 使用已指定的连接和身份验证设置检查到 LDAP 服务器的连接。

12. 点击下一步按钮。

    “过滤器”选项卡将打开。

13. 在“设置 LDAP 过滤器”设置组的“用户身份验证”区域中，指定用户身份验证过滤器（例如，允许用户访问备份中的用户邮件）。
14. 要设置用户身份验证过滤器的标准值，点击“用户身份验证”区域下方的“设置默认值”链接。
15. 在“设置 LDAP 过滤器”设置组的“用户和组搜索”区域中，配置用户和组搜索过滤器。
16. 要设置用户和组搜索过滤器的标准值，点击“用户和组搜索”区域下方的“设置默认值”链接。
17. 在“设置 LDAP 过滤器”设置组的“使用电子邮件地址搜索用户的 DN 和用户组”区域中，指定基于电子邮件地址搜索用户和其所属组的 DN 的过滤器。
18. 要设置基于电子邮件地址搜索用户和其所属组的 DN 的过滤器的标准值，点击“使用电子邮件地址搜索用户的 DN 和用户组”下方的“设置默认值”链接。
19. 在“设置 LDAP 过滤器”设置组的“按用户的 DN 搜索用户组”区域中，配置基于用户的 DN 搜索用户所属组的过滤器。当无法使用“使用电子邮件地址搜索用户的 DN 和用户组”区域中指定的过滤器确定用户组时，使用此过滤器。
20. 要设置基于用户的 DN 搜索用户所属组的过滤器的标准值，点击“按用户的 DN 搜索用户组”区域下方的“设置默认值”链接。
21. 选中“使用递归搜索”复选框以启用在子组中搜索 LDAP 帐户。
22. 点击“完成”按钮。

    “LDAP 服务器连接向导”窗口将关闭。

已添加的外部目录服务的连接显示在程序界面主窗口的 LDAP 部分的工作区中。