L'intégration au service d'annuaire externe

Kaspersky Secure Mail Gateway vous permet de vous connecter aux serveurs de services d'annuaire externes qu'utilise votre entreprise via le protocole LDAP.

La connexion à un service d'annuaire externe via le protocole LDAP donne à l'administrateur de Kaspersky Secure Mail Gateway les possibilités suivantes :

• Ajouter des expéditeurs ou des destinataires à la règle de traitement de messages depuis le service d'annuaire externe.
• Utiliser la fonction de remplissage automatique des champs Adresse email de l'expéditeur et Adresse email du destinataire lors du filtrage des événements de traitement du trafic de messagerie et des messages des utilisateurs du réseau local de l'organisation dans la Sauvegarde.

Si l'organisation utilise plusieurs domaines, il faut configurer une connexion LDAP pour chacun d'entre eux.

Il est possible de configurer plusieurs connexion LDAP pour un domaine dans un service externe, à condition que chaque connexion LDAP possède une valeur uniquement pour le champ Base de recherche (Search base).

Si un domaine LDAP utilise plusieurs contrôleurs de domaine pour un scénario de basculement, il n'est pas nécessaire d'ajouter une connexion LDAP supplémentaire. L'application choisit automatiquement le contrôleur de domaine disponible dans le cadre de la connexion configurée antérieurement conformément aux priorités des enregistrements SRV sur le serveur des noms de domaine (DNS).

Après avoir configuré la connexion au serveur LDAP, l'application synchronise automatiquement les données avec le contrôleur de domaine Active Directory toutes les 30 minutes. Vous pouvez configurer le lancement de la synchronisation planifiée. S'il faut mettre à jour les données relatives aux comptes des utilisateurs tout de suite (par exemple, lors de l'ajout d'un nouvel utilisateur), vous pouvez réaliser une synchronisation manuelle.

Chaque nœud du cluster effectue la synchronisation indépendamment des autres nœuds. Les informations suivantes sont stockées dans le cache LDAP à la suite d'une synchronisation réussie :

• les comptes de tous les utilisateurs du domaine ;
• contacts Active Directory (si les paramètres de connexion du serveur LDAP sont configurés pour recevoir les adresses email des contacts) ;
• les groupes auxquels les utilisateurs du domaine et les contacts appartiennent ;
• les adresses email des utilisateurs du domaine, des groupes et des contacts.

L'application stocke et utilise ces données jusqu'au prochain lancement de la synchronisation. Si le contrôleur de domaine n'est pas disponible, les données les plus récemment obtenues sont utilisées. Une fois que la connexion au serveur LDAP est supprimée, l'ensemble des données du cache LDAP sont effacées.

Après une synchronisation réussie, Kaspersky Secure Mail Gateway recherche la présence éventuelle de données en double dans les comptes utilisateur LDAP. La recherche de doublons concerne les données suivantes :

• Noms de l'ensemble des utilisateurs du domaine. Si un utilisateur possède des noms en double, la protection contre l'usurpation Active Directory est désactivée. De plus, cet utilisateur n'aura plus accès à la Sauvegarde personnelle, ni aux listes personnelles des adresses autorisées et interdites des expéditeurs.
• Groupes auxquels les utilisateurs du domaine appartiennent. Pour les groupes avec des noms en double, la protection contre l'usurpation Active Directory est désactivée.
• Contacts Active Directory. Pour les contacts avec des noms en double, la protection contre l'usurpation Active Directory est désactivée.
• Comptes utilisateur Kerberos. Les utilisateurs dotés de noms Kerberos en double n'ont pas accès à la Sauvegarde personnelle, ni aux listes personnelles des adresses autorisées et interdites des expéditeurs.
• Comptes utilisateur NTLM. Les utilisateurs dotés de noms NTLM en double n'ont pas accès à la Sauvegarde personnelle, ni aux listes personnelles des adresses autorisées et interdites des expéditeurs.
• Adresses email des utilisateurs du domaine. Les messages destinés à des adresses en double ne terminent pas dans la Sauvegarde personnelle des utilisateurs et ces adresses ne sont pas reprises dans les listes personnelles des adresses autorisées et interdites des expéditeurs.

En cas de découverte de données en double dans les comptes utilisateur, le tableau des nœuds du cluster affiche un avertissement.

Dans cette section de l'aide Création d'un fichier keytab Ajout d'une connexion au serveur LDAP Suppression de la connexion au serveur LDAP Modification des paramètres de connexion au serveur LDAP Planification de la synchronisation avec le contrôleur de domaine Active Directory Lancement de la synchronisation manuelle avec le contrôleur de domaine Active Directory

Haut de page