Kaspersky Secure Mail Gateway erlaubt, eine Verbindung zu den externen Verzeichnisdiensten, die in Ihrem Unternehmen verwendet werden, über das LDAP-Protokoll herzustellen.
Die Verbindung mit dem externen Verzeichnisdienst über das LDAP-Protokoll ermöglicht es dem Administrator von Kaspersky Secure Mail Gateway Folgendes:
Wenn in der Organisation mehrere Domänen verwendet werden, muss für jede davon eine LDAP-Verbindung konfiguriert werden.
Für eine Domäne im externen Verzeichnisdienst können mehrere LDAP-Verbindungen unter der Bedingung eingerichtet sein, dass jede LDAP-Verbindung einen eindeutigen Wert im Feld Suchdatenbank (Search base) aufweist.
Wenn in einer LDAP-Domäne mehrere Domänencontroller für ein Ausfallsicherheitsszenarium verwendet werden, muss keine zusätzliche LDAP-Verbindung hinzugefügt werden. Die Anwendung wählt automatisch einen verfügbaren Domänencontroller im Rahmen der zuvor konfigurierten Verbindung in Übereinstimmung mit den Prioritäten der SRV-Einträge auf dem Server der Domänennamen (DNS) aus.
Nach der Konfiguration der Verbindung mit dem LDAP-Server führt die Anwendung alle 30 Minuten eine automatische Synchronisierung der Daten mit dem Domänencontroller Active Directory durch. Sie können die Ausführung einer Synchronisierung nach Zeitplan konfigurieren. Falls die Daten der Benutzerkonten der Benutzer sofort aktualisiert werden müssen (beispielsweise beim Hinzufügen eines neuen Benutzers), können Sie die Synchronisierung manuell starten.
Jeder Cluster-Knoten führt die Synchronisierung eigenständig durch, unabhängig von anderen Knoten. Nach einer erfolgreichen Synchronisierung werden im LDAP-Cache folgende Informationen gespeichert:
Die Anwendung speichert und nutzt diese Daten bis zum nächsten Start der Synchronisierung. Wenn der Controller der Domain nicht erreichbar ist, werden zuletzt verfügbare Daten genutzt. Nach der Löschung der Verbindung mit dem LDAP-Server werden alle Daten aus dem LDAP-Cache gelöscht.
Nach erfolgreicher Synchronisierung überprüft Kaspersky Secure Mail Gateway die LDAP-Benutzerkonten auf doppelt vorhandene Daten. Folgende Daten werden auf Duplikate überprüft:
Für Benutzer mit doppelten Namen wird der Schutz vor Active Directory-Spoofing deaktiviert und für diese Benutzer ist ferner der persönliche Speicher und die persönlichen Allow- und Deny-Listen der Absenderadressen nicht verfügbar.
Für Gruppen mit doppelten Namen wird der Schutz vor Active Directory-Spoofing deaktiviert.
Für Kontakte mit doppelten Namen wird der Schutz vor Active Directory-Spoofing deaktiviert.
Für Benutzer mit doppelten Kerberos-Namen ist der persönliche Speicher und die persönlichen Allow- und Deny-Listen der Absenderadressen nicht verfügbar.
Für Benutzer mit doppelten NTLM-Namen ist der persönliche Speicher und die persönlichen Allow- und Deny-Listen der Absenderadressen nicht verfügbar.
Nachrichten, die für doppelte Adressen vorgesehen waren, werden nicht in den persönlichen Speicher der Benutzer verschoben, und diesen Adressen werden keine persönlichen Allow- und Deny-Listen der Absenderadressen zugewiesen.
Wenn in den Benutzerkonten doppelte Daten gefunden wurden, wird in der Tabelle der Cluster-Knoten eine Warnung angezeigt.