Соединение с LDAP-сервером

Этот раздел содержит информацию о соединении Kaspersky Secure Mail Gateway с LDAP-сервером и о настройке параметров и фильтров соединения с LDAP-сервером.

О соединении с LDAP-сервером

Kaspersky Secure Mail Gateway позволяет подключаться к серверам внешних служб каталогов, используемых в вашей организации, по протоколу LDAP.

Служба каталогов – программный комплекс, позволяющий хранить в одном месте информацию о сетевых ресурсах (например, о пользователях) и обеспечивающий централизованное управление ими.

LDAP (Lightweight Directory Access Protocol) – облегченный клиент-серверный протокол доступа к службам каталогов.

Соединение с внешней службой каталогов по протоколу LDAP предоставляет администратору Kaspersky Secure Mail Gateway возможность выполнять следующие задачи:

• Добавлять отправителей или получателей из внешней службы каталогов в правила обработки сообщений.
• Создавать, изменять и просматривать персональные черные и белые списки адресов пользователей локальной сети организации.
• Просматривать копии сообщений пользователей локальной сети организации в хранилище.

Подключение и отключение от LDAP-сервера

Чтобы подключиться к LDAP-серверу или отключиться от LDAP-сервера, выполните следующие действия:

1. В главном окне веб-интерфейса программы в дереве консоли управления выберите раздел Параметры, подраздел LDAP.
2. По ссылке Соединение с LDAP-сервером откройте окно Соединение с LDAP-сервером.
3. Выберите один из следующих вариантов подключения к LDAP-серверу:
   • Не используется, если вы не хотите использовать LDAP-сервер в работе Kaspersky Secure Mail Gateway.
   • Active Directory или generic LDAP, если вы хотите подключиться к LDAP-серверу Microsoft Active Directory или любой другой LDAP-совместимой службы каталогов (например, Red Hat Directory Server).
4. Если вы хотите ограничить время ожидания ответа сервера, установите флажок рядом с названием параметра Ограничить время ожидания ответа сервера.
5. Если вы установили флажок рядом с названием параметра Ограничить время ожидания ответа сервера, в поле Время ожидания ответа сервера в секундах укажите максимальное время, в течение которого должен быть получен ответ от LDAP-сервера в секундах.

   Значение по умолчанию: 20 сек.

6. Нажмите на кнопку Применить.

Окно Соединение с LDAP-сервером закроется.

Добавление соединения с LDAP-сервером

Вы можете добавить соединение с одним или несколькими LDAP-серверами.

Чтобы добавить соединение с LDAP-сервером, выполните следующие действия:

1. В главном окне веб-интерфейса программы в дереве консоли управления выберите раздел Параметры, подраздел LDAP.
2. Если в рабочей области отобразилось значение параметра Соединение с LDAP-сервером Не используется, выполните следующие действия:
   1. По ссылке Соединение с LDAP-сервером откройте окно Соединение с LDAP-сервером.
   2. В списке LDAP-сервер выберите Active Directory или generic LDAP.
   3. Если вы хотите ограничить время ожидания ответа сервера, установите флажок рядом с названием параметра Ограничить время ожидания ответа сервера.
   4. Если вы установили флажок рядом с названием параметра Ограничить время ожидания ответа сервера, в поле Время ожидания ответа сервера в секундах укажите максимальное время, в течение которого должен быть получен ответ от LDAP-сервера в секундах.

      Значение по умолчанию: 20 сек.

   5. Нажмите на кнопку Применить.

      Окно Соединение с LDAP-сервером закроется.

3. В рабочей области нажмите на кнопку Добавить.

   Откроется окно Мастер подключения к LDAP-серверу.

4. На закладке Параметры соединения в блоке параметров Параметры LDAP-сервера в раскрывающемся списке LDAP-сервер выберите одну из следующих внешних служб каталогов:
   • generic LDAP, если вы хотите добавить соединение с сервером LDAP-совместимой службы каталогов (например, Red Hat Directory Server).
   • Active Directory, если вы хотите добавить соединение с сервером Microsoft Active Directory.
5. В блоке параметров Параметры LDAP-сервера в поле Адрес сервера введите IP-адрес в формате IPv4 или FQDN-имя LDAP-сервера, к которому вы хотите подключиться.
6. В блоке параметров Параметры LDAP-сервера в списке Порт подключения укажите порт подключения к LDAP-серверу.

   LDAP-сервер, как правило, принимает входящие соединения на порт 389 по протоколам TCP или UDP. Для подключения к LDAP-серверу по протоколу SSL обычно используется порт 636.

7. В блоке параметров Параметры LDAP-сервера в списке Тип подключения выберите один из вариантов использования шифрования данных при подключении к LDAP-серверу:
   • SSL, если вы хотите использовать SSL.
   • TLS, если вы хотите использовать TLS.
   • Без шифрования, если вы не хотите использовать технологии шифрования данных при подключении к LDAP-серверу.

     После выхода обновления Microsoft (подробнее см. ADV190023 LDAP Channel Binding and LDAP Signing) необходимо будет использовать SSL- или TLS-шифрование при подключении к Active Directory. Если вы продолжите использовать вариант Без шифрования, программа не сможет подключаться к Active Directory, могут возникнуть ошибки в правилах обработки сообщений, пользователи не смогут подключаться к персональному хранилищу.

8. В блоке параметров Параметры аутентификации в поле Имя пользователя LDAP-сервера введите имя пользователя LDAP-сервера, у которого есть права на чтение записей каталога (BindDN). Введите имя пользователя в одном из следующих форматов:
   • cn=<имя пользователя>, ou=<название подразделения> (если требуется), dc=<имя домена>, dc=<имя родительского домена>, если вы хотите добавить соединение с сервером LDAP-совместимой службы каталогов (например, Red Hat Directory Server).

     Например, вы можете ввести имя пользователя cn=LdapServerUser, dc=example, dc=com, где LdapServerUser – имя пользователя LDAP-сервера, example – доменное имя каталога, к которому относится учетная запись пользователя, com – имя родительского домена, в котором находится каталог.

   • cn=<имя пользователя>, ou=<название подразделения> (если требуется), dc=<имя домена>, dc=<имя родительского домена> или <имя пользователя>@<имя домена>.<имя родительского домена>, если вы хотите добавить соединение с сервером Microsoft Active Directory.

     Например, вы можете ввести имя пользователя LdapServerUser@example.com, где LdapServerUser – имя пользователя LDAP-сервера, example.com – доменное имя каталога, к которому относится учетная запись пользователя.

9. В блоке параметров Параметры аутентификации в поле Пароль пользователя LDAP-сервера введите пароль доступа к LDAP-серверу пользователя, указанного в поле Имя пользователя LDAP-сервера.
10. В блоке Параметры поиска в поле База поиска введите DN (Distinguished Name – уникальное имя) объекта каталога, начиная с которого Kaspersky Secure Mail Gateway осуществляет поиск записей.

    Вводите базу поиска в формате ou=<название подразделения> (если требуется), dc=<имя домена>, dc=<имя родительского домена>.

    Например, вы можете ввести базу поиска ou=people, dc=example, dc=com, где people – уровень в схеме каталога, начиная с которого Kaspersky Secure Mail Gateway осуществляет поиск записей (поиск осуществляется на уровне people и ниже. Объекты, расположенные выше этого уровня, исключаются из поиска), example – доменное имя каталога, в котором Kaspersky Secure Mail Gateway осуществляет поиск записей, com – имя родительского домена, в котором находится каталог.

11. Нажмите на кнопку Проверить.

    Kaspersky Secure Mail Gateway проверит подключение к LDAP-серверу с указанными вами значениями параметров соединения и аутентификации.

12. Нажмите на кнопку Далее.

    Откроется закладка Фильтры.

13. В блоке параметров Настройте LDAP-фильтры в поле Авторизация пользователя задайте фильтр авторизации пользователя (например, для получения доступа пользователя к своим сообщениям в хранилище).
14. Если вы хотите установить стандартные значения фильтра авторизации пользователя, перейдите по ссылке Установить значения по умолчанию под полем Авторизация пользователя.
15. В блоке параметров Настройте LDAP-фильтры в поле Поиск пользователя или группы задайте фильтр поиска пользователей или группы пользователей.
16. Если вы хотите установить стандартные значения фильтра поиска пользователей или группы пользователей, перейдите по ссылке Установить значения по умолчанию под полем Поиск пользователя или группы.
17. В блоке параметров Настройте LDAP-фильтры в поле Поиск DN пользователей и групп по адресу эл. почты задайте фильтр поиска DN пользователей и групп, в которые они входят, по адресу электронной почты.
18. Если вы хотите установить стандартные значения фильтра поиска DN пользователей и групп, в которые они входят, по адресу электронной почты, перейдите по ссылке Установить значения по умолчанию под полем Поиск DN пользователей и групп по адресу эл. почты.
19. В блоке параметров Настройте LDAP-фильтры в поле Поиск групп по DN пользователей задайте фильтр поиска групп, членом которых является пользователь, по DN пользователя. Этот фильтр используется в случае, если не удалось определить группу пользователей с помощью фильтра, заданного в поле Поиск DN пользователей и групп по адресу эл. почты.
20. Если вы хотите установить стандартные значения фильтра поиска групп, членом которых является пользователь, по DN пользователя, перейдите по ссылке Установить значения по умолчанию под полем Поиск групп по DN пользователей.
21. Установите флажок Использовать рекурсивный поиск, если вы хотите включить поиск LDAP-записей во вложенных группах.
22. Нажмите на кнопку Завершить.

    Окно Мастер подключения к LDAP-серверу закроется.

Добавленное вами соединение с внешней службой каталогов отобразится в рабочей области раздела LDAP главного окна веб-интерфейса программы.

Удаление соединения с LDAP-сервером

Вы можете удалить соединение с одним или несколькими LDAP-серверами.

Чтобы удалить соединение с LDAP-сервером, выполните следующие действия:

1. В главном окне веб-интерфейса программы в дереве консоли управления выберите раздел Параметры, подраздел LDAP.
2. В нижней части рабочей области установите флажок рядом с адресом того LDAP-сервера, который вы хотите удалить.
3. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия Удаление.

4. Нажмите на кнопку Да.

   Окно Удаление закроется.

Соединение с LDAP-сервером будет удалено.

Включение и отключение соединения с LDAP-сервером

Вы можете включить для использования или отключить соединение с одним или несколькими LDAP-серверами.

Чтобы включить или отключить использование соединения с LDAP-сервером, выполните следующие действия:

1. В главном окне веб-интерфейса программы в дереве консоли управления выберите раздел Параметры, подраздел LDAP.
2. В нижней части рабочей области выполните одно из следующих действий:
   • Включите переключатель рядом с адресом того LDAP-сервера, соединение с которым вы хотите включить.
   • Выключите переключатель рядом с адресом того LDAP-сервера, соединение с которым вы хотите отключить.

Настройка параметров соединения с LDAP-сервером

Чтобы настроить параметры соединения с LDAP-сервером, выполните следующие действия:

1. В главном окне веб-интерфейса программы в дереве консоли управления выберите раздел Параметры, подраздел LDAP.
2. В нижней части рабочей области выберите LDAP-сервер, параметры соединения с которым вы хотите настроить.
3. В блоке параметров Параметры соединения c LDAP-сервером выбранного сервера по любой ссылке откройте окно Параметры соединения c LDAP-сервером.
4. В блоке параметров Параметры LDAP-сервера в списке LDAP-сервер выберите одну из следующих внешних служб каталогов:
   • generic LDAP, если вы хотите добавить соединение с сервером LDAP-совместимой службы каталогов (например, Red Hat Directory Server).
   • Active Directory, если вы хотите добавить соединение с сервером Microsoft Active Directory.
5. В блоке параметров Параметры LDAP-сервера в поле Адрес сервера введите IP-адрес в формате IPv4 или FQDN-имя LDAP-сервера, к которому вы хотите подключиться.
6. В блоке параметров Параметры LDAP-сервера в списке Порт подключения укажите порт подключения к LDAP-серверу.

   LDAP-сервер, как правило, принимает входящие соединения на порт 389 по протоколам TCP или UDP. Для подключения к LDAP-серверу по протоколу SSL обычно используется порт 636.

7. В блоке параметров Параметры LDAP-сервера в списке Тип подключения выберите один из вариантов использования шифрования данных при подключении к LDAP-серверу:
   • SSL, если вы хотите использовать SSL.
   • TLS, если вы хотите использовать TLS.
   • Без шифрования, если вы не хотите использовать технологии шифрования данных при подключении к LDAP-серверу.

     После выхода обновления Microsoft (подробнее см. ADV190023 LDAP Channel Binding and LDAP Signing) необходимо будет использовать SSL- или TLS-шифрование при подключении к Active Directory. Если вы продолжите использовать вариант Без шифрования, программа не сможет подключаться к Active Directory, могут возникнуть ошибки в правилах обработки сообщений, пользователи не смогут подключаться к персональному хранилищу.

8. В блоке параметров Параметры аутентификации в поле Имя пользователя LDAP-сервера введите имя пользователя LDAP-сервера, у которого есть права на чтение записей каталога (BindDN). Введите имя пользователя в одном из следующих форматов:
   • cn=<имя пользователя>, ou=<название подразделения> (если требуется), dc=<имя домена>, dc=<имя родительского домена>, если вы хотите добавить соединение с сервером LDAP-совместимой службы каталогов (например, Red Hat Directory Server).

     Например, вы можете ввести имя пользователя cn=LdapServerUser, dc=example, dc=com, где LdapServerUser – имя пользователя LDAP-сервера, example – доменное имя каталога, к которому относится учетная запись пользователя, com – имя родительского домена, в котором находится каталог.

   • cn=<имя пользователя>, ou=<название подразделения> (если требуется), dc=<имя домена>, dc=<имя родительского домена> или <имя пользователя>@<имя домена> <имя родительского домена>, если вы хотите добавить соединение с сервером Microsoft Active Directory.

     Например, вы можете ввести имя пользователя LdapServerUser@example.com, где LdapServerUser – имя пользователя LDAP-сервера, example.com – доменное имя каталога, к которому относится учетная запись пользователя.

9. В блоке параметров Параметры аутентификации в поле Пароль пользователя LDAP-сервера введите пароль доступа к LDAP-серверу пользователя, указанного в поле Имя пользователя LDAP-сервера.
10. В блоке Параметры поиска в поле База поиска введите DN (Distinguished Name – уникальное имя) объекта каталога, начиная с которого Kaspersky Secure Mail Gateway осуществляет поиск записей.

    Вводите базу поиска в формате ou=<название подразделения> (если требуется), dc=<имя домена>, dc=<имя родительского домена>.

    Например, вы можете ввести базу поиска ou=people, dc=example, dc=com, где people – уровень в схеме каталога, начиная с которого Kaspersky Secure Mail Gateway осуществляет поиск записей (поиск осуществляется на уровне people и ниже. Объекты, расположенные выше этого уровня, исключаются из поиска), example – доменное имя каталога, в котором Kaspersky Secure Mail Gateway осуществляет поиск записей, com – имя родительского домена, в котором находится каталог.

11. Нажмите на кнопку Проверить.

    Kaspersky Secure Mail Gateway проверит подключение к LDAP-серверу с указанными вами значениями параметров соединения и аутентификации.

12. Нажмите на кнопку Применить.

    Окно Параметры соединения c LDAP-сервером закроется.

Настройка фильтров соединения с LDAP-сервером

Чтобы настроить фильтры соединения с LDAP-серверами, выполните следующие действия:

1. В главном окне веб-интерфейса программы в дереве консоли управления выберите раздел Параметры, подраздел LDAP.
2. В нижней части рабочей области выберите LDAP-сервер, фильтры соединения с которым вы хотите настроить.
3. В блоке параметров Параметры LDAP-фильтров выбранного сервера по любой ссылке откройте окно Параметры LDAP-фильтров.
4. В блоке параметров Настройте LDAP-фильтры в поле Авторизация пользователя задайте фильтр авторизации пользователя (например, для получения доступа пользователя к своим сообщениям в хранилище).
5. Если вы хотите установить стандартные значения фильтра авторизации пользователя, перейдите по ссылке Установить значения по умолчанию под полем Авторизация пользователя.
6. В блоке параметров Настройте LDAP-фильтры в поле Поиск пользователя или группы задайте фильтр поиска пользователей или группы пользователей.
7. Если вы хотите установить стандартные значения фильтра поиска пользователей или группы пользователей, перейдите по ссылке Установить значения по умолчанию под полем Поиск пользователя или группы.
8. В блоке параметров Настройте LDAP-фильтры в поле Поиск DN пользователей и групп по адресу эл. почты задайте фильтр поиска DN пользователей и групп, в которые они входят, по адресу электронной почты.
9. Если вы хотите установить стандартные значения фильтра поиска DN пользователей и групп, в которые они входят, по адресу электронной почты, перейдите по ссылке Установить значения по умолчанию под полем Поиск DN пользователей и групп по адресу эл. почты.
10. В блоке параметров Настройте LDAP-фильтры в поле Поиск групп по DN пользователей задайте фильтр поиска групп, членом которых является пользователь, по DN пользователя. Этот фильтр используется в случае, если не удалось определить группу пользователей с помощью фильтра, заданного в поле Поиск DN пользователей и групп по адресу эл. почты.
11. Если вы хотите установить стандартные значения фильтра поиска групп, членом которых является пользователь, по DN пользователя, перейдите по ссылке Установить значения по умолчанию под полем Поиск групп по DN пользователей.
12. Установите флажок Использовать рекурсивный поиск, если вы хотите включить поиск LDAP-записей во вложенных группах.
13. Нажмите на кнопку ОК.

    Окно Параметры LDAP-фильтров закроется.