O KSMG pode conectar-se a servidores de serviços de diretório externos, usados por sua organização por meio do protocolo LDAP.
A conexão a um serviço de diretório externo por meio do protocolo LDAP permite ao administrador do KSMG:
Caso a organização use diversos domínios, uma conexão LDAP deve ser configurada para cada domínio.
Diversas conexões LDAP podem ser configuradas para um único domínio no serviço do diretório externo, desde que cada conexão LDAP possua um único valor no campo Base de pesquisa.
Caso um domínio LDAP use diversos controladores de domínio para tolerância a falhas, não será necessário adicionar uma conexão LDAP extra. O programa seleciona automaticamente um controlador de domínio disponível como parte de uma conexão configurada previamente de acordo com as prioridades dos registros SRV no servidor DNS.
Após configurar a conexão do servidor LDAP, o programa sincroniza automaticamente os dados com o controlador de domínio do Active Directory a cada 30 minutos. É possível configurar a sincronização para ser executada conforme programação. Caso seja necessário atualizar os dados da conta de usuário imediatamente (por exemplo, após a adição de um usuário), é possível iniciar a sincronização manualmente.
Cada node do cluster é sincronizado de maneira independente de outros nodes. Como resultado de uma sincronização bem-sucedida, o cache LDAP armazenará as seguintes informações:
O programa armazena e usa esses dados até a próxima sincronização ser iniciada. Caso o controlador de domínio não esteja disponível, os últimos dados recebidos serão usados. Após excluir a conexão do servidor LDAP, todos os dados do cache LDAP serão apagados.
Após uma sincronização bem-sucedida, o KSMG verifica as contas LDAP quanto a dados duplicados. Os seguintes dados são verificados para descobrir duplicatas:
Para os usuários com nomes duplicados, a proteção contra spoofing do Active Directory está desativada; esses usuários também não podem usar o backup pessoal e as listas de bloqueio e de permissão pessoais dos endereços de remetentes.
Para os grupos com nomes duplicados, a proteção contra spoofing do Active Directory está desativada.
Para os contatos com nomes duplicados, a proteção contra spoofing do Active Directory está desativada.
Os usuários com nomes Kerberos duplicados não podem usar o backup pessoal e as listas de bloqueio e de permissão pessoais dos endereços de remetentes.
Os usuários com nomes NTLM duplicados não podem usar o backup pessoal e as listas de bloqueio e de permissão pessoais dos endereços de remetentes.
As mensagens direcionadas a endereços duplicados não são colocadas no backup pessoal do usuário, e as listas de bloqueio e de permissão pessoais dos endereços de remetentes não são aplicadas aos endereços duplicados.
Caso uma duplicata seja encontrada nas contas, a tabela de node do cluster exibirá um aviso.