KSMG puede conectarse con servidores de servicios de directorio externos utilizados por su organización a través del protocolo LDAP.
Una conexión a un servicio de directorio externo mediante el protocolo LDAP le permite al administrador de KSMG hacer lo siguiente:
Si la organización utiliza varios dominios, se debe configurar una conexión LDAP para cada dominio.
Se pueden configurar varias conexiones LDAP para un único dominio en el servicio de directorio externo, siempre y cuando cada conexión LDAP tenga un único valor en el campo Base de búsqueda.
Si un dominio LDAP utiliza varios controladores de dominio para la tolerancia de fallos, no es necesario agregar una conexión LDAP adicional. El programa selecciona de forma automática un controlador de dominio disponible como parte de una conexión configurada anteriormente, de acuerdo con las prioridades de los registros SRV en el servidor DNS.
Después de configurar la conexión con el servidor LDAP, el programa sincroniza automáticamente los datos con el controlador de dominio de Active Directory cada 30 minutos. Puede configurar la sincronización para que se realice de forma programada. Si necesita actualizar los datos de su cuenta de usuario de inmediato (por ejemplo, después de añadir un usuario), puede iniciar la sincronización manualmente.
Cada nodo de clúster se sincroniza de forma independiente en relación con los demás nodos. Como resultado de una sincronización correcta, el LDAP en caché almacena la siguiente información:
El programa almacena y utiliza estos datos hasta que se inicia la próxima sincronización. Si el controlador de dominio no está disponible, se utilizan los últimos datos recibidos. Después de eliminar la conexión con el servidor LDAP, se eliminan todos los datos del LDAP en caché.
Después de una sincronización exitosa, KSMG verifica las cuentas LDAP en busca de información duplicada. Se verifican los siguientes datos en busca de duplicados:
Para usuarios con nombres duplicados, la protección contra ataques de suplantación de identidad de Active Directory está desactivada. Estos usuarios tampoco podrán usar el Depósito de copias de seguridad ni las listas de admitidos y rechazados de direcciones de remitentes.
Para grupos con nombres duplicados, la protección contra suplantación de identidad de Active Directory está desactivada.
Para contactos con nombres duplicados, la protección contra suplantación de identidad de Active Directory está desactivada.
Los usuarios con nombres de Kerberos duplicados no pueden utilizar el Depósito de copias de seguridad ni las listas personales de admitidos y rechazados de direcciones de remitentes.
Los usuarios con nombres de NTLM duplicados no pueden utilizar el Depósito de copias de seguridad ni las listas personales de admitidos y rechazados de direcciones de remitentes.
Los mensajes dirigidos a direcciones duplicadas no se colocan en el Depósito de copias de seguridad personal de los usuarios, y las listas personales de admitidos y rechazados de direcciones de remitentes no se aplican a direcciones duplicadas.
Si se encuentra información duplicada en las cuentas, la tabla de nodos de clúster muestra una advertencia.