Kaspersky Secure Mail Gateway vous permet de vous connecter aux serveurs de services d'annuaire externes qu'utilise votre entreprise via le protocole LDAP.
La connexion à un service d'annuaire externe via le protocole LDAP donne à l'administrateur de Kaspersky Secure Mail Gateway les possibilités suivantes :
Si l'organisation utilise plusieurs domaines, il faut configurer une connexion LDAP pour chacun d'entre eux.
Il est possible de configurer plusieurs connexion LDAP pour un domaine dans un service externe, à condition que chaque connexion LDAP possède une valeur uniquement pour le champ Base de recherche (Search base).
Si un domaine LDAP utilise plusieurs contrôleurs de domaine pour un scénario de basculement, il n'est pas nécessaire d'ajouter une connexion LDAP supplémentaire. L'application choisit automatiquement le contrôleur de domaine disponible dans le cadre de la connexion configurée antérieurement conformément aux priorités des enregistrements SRV sur le serveur des noms de domaine (DNS).
Après avoir configuré la connexion au serveur LDAP, l'application synchronise automatiquement les données avec le contrôleur de domaine Active Directory toutes les 30 minutes. Vous pouvez configurer le lancement de la synchronisation planifiée. S'il faut mettre à jour les données relatives aux comptes des utilisateurs tout de suite (par exemple, lors de l'ajout d'un nouvel utilisateur), vous pouvez réaliser une synchronisation manuelle.
Chaque nœud du cluster effectue la synchronisation indépendamment des autres nœuds. Les informations suivantes sont stockées dans le cache LDAP à la suite d'une synchronisation réussie :
L'application stocke et utilise ces données jusqu'au prochain lancement de la synchronisation. Si le contrôleur de domaine n'est pas disponible, les données les plus récemment obtenues sont utilisées. Une fois que la connexion au serveur LDAP est supprimée, l'ensemble des données du cache LDAP sont effacées.
Après une synchronisation réussie, Kaspersky Secure Mail Gateway recherche la présence éventuelle de données en double dans les comptes utilisateur LDAP. La recherche de doublons concerne les données suivantes :
Si un utilisateur possède des noms en double, la protection contre l'usurpation Active Directory est désactivée. De plus, cet utilisateur n'aura plus accès à la Sauvegarde personnelle, ni aux listes personnelles des adresses autorisées et interdites des expéditeurs.
Pour les groupes avec des noms en double, la protection contre l'usurpation Active Directory est désactivée.
Pour les contacts avec des noms en double, la protection contre l'usurpation Active Directory est désactivée.
Les utilisateurs dotés de noms Kerberos en double n'ont pas accès à la Sauvegarde personnelle, ni aux listes personnelles des adresses autorisées et interdites des expéditeurs.
Les utilisateurs dotés de noms NTLM en double n'ont pas accès à la Sauvegarde personnelle, ni aux listes personnelles des adresses autorisées et interdites des expéditeurs.
Les messages destinés à des adresses en double ne terminent pas dans la Sauvegarde personnelle des utilisateurs et ces adresses ne sont pas reprises dans les listes personnelles des adresses autorisées et interdites des expéditeurs.
En cas de découverte de données en double dans les comptes utilisateur, le tableau des nœuds du cluster affiche un avertissement.