Kaspersky Secure Mail Gateway позволяет подключаться к серверам внешних служб каталогов, используемых в вашей организации, по протоколу LDAP.
Соединение с внешней службой каталогов по протоколу LDAP предоставляет администратору Kaspersky Secure Mail Gateway следующие возможности:
Если в организации используется несколько доменов, то для каждого из них должно быть настроено LDAP-соединение.
Для одного домена во внешней службе каталогов может быть настроено несколько LDAP-соединений при условии, что каждое LDAP-соединение будет содержать уникальное значение поля База поиска (Search base).
Если в одном LDAP-домене используется несколько контроллеров домена для сценария отказоустойчивости, добавлять дополнительное LDAP-соединение не требуется. Приложение автоматически выбирает доступный контроллер домена в рамках ранее настроенного соединения в соответствии с приоритетами SRV-записей на сервере доменных имен (DNS).
После настройки соединения с LDAP-сервером приложение выполняет автоматическую синхронизацию данных с контроллером домена Active Directory каждые 30 минут. Вы можете настроить запуск синхронизации по расписанию. Если требуется обновить данные об учетных записях пользователей немедленно (например, при добавлении нового пользователя), вы можете запустить синхронизацию вручную.
Каждый узел кластера выполняет синхронизацию самостоятельно, независимо от других узлов. В результате успешной синхронизации в LDAP-кеше сохраняется следующая информация:
Приложение хранит и использует эти данные до следующего запуска синхронизации. Если контроллер домена недоступен, используются последние полученные данные. После удаления соединения с LDAP-сервером все данные LDAP-кеша удаляются.
После успешной синхронизации Kaspersky Secure Mail Gateway проверяет наличие дублирующихся данных в учетных записях LDAP. Следующие данные проверяются на наличие дубликатов:
Для пользователей с дублирующимися именами отключена защита от спуфинга Active Directory, а также таким пользователям недоступны персональное Хранилище и персональные списки разрешенных и запрещенных адресов отправителей.
Для групп с дублирующимися именами отключена защита от спуфинга Active Directory.
Для контактов с дублирующимися именами отключена защита от спуфинга Active Directory.
Пользователям с дублирующимися именами Kerberos недоступны персональное Хранилище и персональные списки разрешенных и запрещенных адресов отправителей.
Пользователям с дублирующимися именами NTLM недоступны персональное Хранилище и персональные списки разрешенных и запрещенных адресов отправителей.
Сообщения, предназначенные для дублирующихся адресов, не будут помещаться в персональное Хранилище пользователей, и к таким адресам не будут применяться персональные списки разрешенных и запрещенных адресов отправителей.
Если в учетных записях обнаружены дублирующиеся данные, в таблице узлов кластера отображается предупреждение.