Integração com um serviço externo de diretório
26 de abril de 2024
ID 88722
O Kaspersky Secure Mail Gateway pode conectar-se a servidores de serviços de diretório externo usados por sua organização por meio do protocolo LDAP.
A conexão a um serviço de diretório externo por meio do protocolo LDAP permite ao administrador do Kaspersky Secure Mail Gateway:
- Adicionar remetentes ou destinatários de um serviço de diretório externo nas regras de processamento de mensagens.
- Usar o recurso de preenchimento automático nos campos E-mail do remetente e E-mail do destinatário ao filtrar eventos de processamento de tráfego de e-mail e mensagens de usuários corporativos da LAN no backup.
Caso a organização use diversos domínios, uma conexão LDAP deve ser configurada para cada domínio.
Diversas conexões LDAP podem ser configuradas para um único domínio no serviço do diretório externo, desde que cada conexão LDAP possua um único valor no campo Base de pesquisa.
Caso um domínio LDAP use diversos controladores de domínio para tolerância a falhas, não será necessário adicionar uma conexão LDAP extra. O programa seleciona automaticamente um controlador de domínio disponível como parte de uma conexão configurada previamente de acordo com as prioridades dos registros SRV no servidor DNS.
Após configurar a conexão do servidor LDAP, o programa sincroniza automaticamente os dados com o controlador de domínio do Active Directory a cada 30 minutos. É possível configurar a sincronização para ser executada conforme programação. Caso seja necessário atualizar os dados da conta de usuário imediatamente (por exemplo, após a adição de um usuário), é possível iniciar a sincronização manualmente.
Cada node do cluster é sincronizado de maneira independente de outros nodes. Como resultado de uma sincronização bem-sucedida, o cache LDAP armazenará as seguintes informações:
- Contas de todos os usuários no domínio
- Contatos do Active Directory (se os endereços de e-mail de recebimento de contatos estiver definido nas configurações de conexão do servidor LDAP)
- Grupos aos quais os usuários do domínio e contatos pertencem
- Endereços de e-mail de usuários, grupos e contatos do domínio
O programa armazena e usa esses dados até a próxima sincronização ser iniciada. Caso o controlador de domínio não esteja disponível, os últimos dados recebidos serão usados. Após excluir a conexão do servidor LDAP, todos os dados do cache LDAP serão apagados.
Após uma sincronização bem-sucedida, o Kaspersky Secure Mail Gateway verifica as contas LDAP quanto a dados duplicados. Os seguintes dados são verificados para descobrir duplicatas:
- Nomes de todos os usuários do domínio.
Para os usuários com nomes duplicados, a proteção contra spoofing do Active Directory está desativada; esses usuários também não podem usar o backup pessoal e as listas de bloqueio e de permissão pessoais dos endereços de remetentes.
- Grupos aos quais os usuários do domínio pertencem.
Para os grupos com nomes duplicados, a proteção contra spoofing do Active Directory está desativada.
- Contatos do Active Directory.
Para os contatos com nomes duplicados, a proteção contra spoofing do Active Directory está desativada.
- Contas de usuário Kerberos.
Os usuários com nomes Kerberos duplicados não podem usar o backup pessoal e as listas de bloqueio e de permissão pessoais dos endereços de remetentes.
- Contas de usuários NTLM.
Os usuários com nomes NTLM duplicados não podem usar o backup pessoal e as listas de bloqueio e de permissão pessoais dos endereços de remetentes.
- Endereços de e-mail dos usuários do domínio.
As mensagens direcionadas a endereços duplicados não são colocadas no backup pessoal do usuário, e as listas de bloqueio e de permissão pessoais dos endereços de remetentes não são aplicadas aos endereços duplicados.
Caso uma duplicata seja encontrada nas contas, a tabela de node do cluster exibirá um aviso.