Integración con un servicio de directorio externo
23 de mayo de 2024
ID 88722
KSMG puede conectarse con servidores de servicios de directorio externos utilizados por su organización a través del protocolo LDAP.
Una conexión a un servicio de directorio externo mediante el protocolo LDAP le permite al administrador de KSMG hacer lo siguiente:
- Añadir remitentes o destinatarios de un servicio de directorio externo a las reglas de procesamiento de mensajes.
- Utilizar la función de completar automáticamente en los campos Correo electrónico del remitente y Correo electrónico del destinatario al filtrar los eventos de procesamiento del tráfico de correo electrónico y mensajes de la LAN corporativa en el Depósito de copias de seguridad.
Si la organización utiliza varios dominios, se debe configurar una conexión LDAP para cada dominio.
Se pueden configurar varias conexiones LDAP para un único dominio en el servicio de directorio externo, siempre y cuando cada conexión LDAP tenga un único valor en el campo Base de búsqueda.
Si un dominio LDAP utiliza varios controladores de dominio para la tolerancia de fallos, no es necesario agregar una conexión LDAP adicional. El programa selecciona de forma automática un controlador de dominio disponible como parte de una conexión configurada anteriormente, de acuerdo con las prioridades de los registros SRV en el servidor DNS.
Después de configurar la conexión con el servidor LDAP, el programa sincroniza automáticamente los datos con el controlador de dominio de Active Directory cada 30 minutos. Puede configurar la sincronización para que se realice de forma programada. Si necesita actualizar los datos de su cuenta de usuario de inmediato (por ejemplo, después de añadir un usuario), puede iniciar la sincronización manualmente.
Cada nodo de clúster se sincroniza de forma independiente en relación con los demás nodos. Como resultado de una sincronización correcta, el LDAP en caché almacena la siguiente información:
- Cuentas de todos los usuarios en el dominio
- Contactos de Active Directory (si la recepción de direcciones de correo electrónico de los contactos está configurada en los ajustes de conexión con el servidor LDAP)
- Grupos a los cuales pertenecen los usuarios y contactos del dominio
- Direcciones de correo electrónico de los usuarios, grupos y contactos del dominio
El programa almacena y utiliza estos datos hasta que se inicia la próxima sincronización. Si el controlador de dominio no está disponible, se utilizan los últimos datos recibidos. Después de eliminar la conexión con el servidor LDAP, se eliminan todos los datos del LDAP en caché.
Después de una sincronización exitosa, KSMG verifica las cuentas LDAP en busca de información duplicada. Se verifican los siguientes datos en busca de duplicados:
- Nombres de todos los usuarios del dominio.
Para usuarios con nombres duplicados, la protección contra ataques de suplantación de identidad de Active Directory está desactivada. Estos usuarios tampoco podrán usar el Depósito de copias de seguridad ni las listas de admitidos y rechazados de direcciones de remitentes.
- Grupos a los cuales pertenecen los usuarios del dominio.
Para grupos con nombres duplicados, la protección contra suplantación de identidad de Active Directory está desactivada.
- Contactos de Active Directory.
Para contactos con nombres duplicados, la protección contra suplantación de identidad de Active Directory está desactivada.
- Cuentas de usuarios de Kerberos.
Los usuarios con nombres de Kerberos duplicados no pueden utilizar el Depósito de copias de seguridad ni las listas personales de admitidos y rechazados de direcciones de remitentes.
- Cuentas de usuarios de NTLM.
Los usuarios con nombres de NTLM duplicados no pueden utilizar el Depósito de copias de seguridad ni las listas personales de admitidos y rechazados de direcciones de remitentes.
- Direcciones de correo electrónico de los usuarios del dominio.
Los mensajes dirigidos a direcciones duplicadas no se colocan en el Depósito de copias de seguridad personal de los usuarios, y las listas personales de admitidos y rechazados de direcciones de remitentes no se aplican a direcciones duplicadas.
Si se encuentra información duplicada en las cuentas, la tabla de nodos de clúster muestra una advertencia.