与外部目录服务的集成

Kaspersky Secure Mail Gateway 可通过 LDAP 协议连接到您组织使用的外部目录服务的服务器。

通过 LDAP 协议连接到外部目录服务允许 Kaspersky Secure Mail Gateway 管理员：

• 添加来自外部目录服务的发件人或收件人至邮件处理规则。
• 在备份区中筛选电子邮件流量处理事件和公司 LAN 用户的邮件时，在 发件人电子邮件 和 收件人电子邮件 字段上使用自动完成功能。

如果组织使用多个域，则必须为每个域配置 LDAP 连接。

可以为外部目录服务中的单个域配置多个 LDAP 连接，前提是每个 LDAP 连接都具有唯一的搜索库字段值。

如果 LDAP 域使用多个域控制器进行容错，则无需添加额外的 LDAP 连接。程序会根据 DNS 服务器上 SRV 记录的优先级自动选择可用的域控制器作为先前配置的连接的一部分。

配置 LDAP 服务器连接后，程序会每隔 30 分钟自动将数据与 Active Directory 域控制器进行同步。您可以将同步配置为按计划运行。如果需要立即更新用户账户数据（例如，添加用户后），您可以手动开始同步。

每个集群节点的同步独立于其它节点。成功同步后，LDAP 缓存会存储以下信息：

• 域中所有用户的账户
• Active Directory 联系人（如果在 LDAP 服务器连接设置中配置了接收联系人的电子邮件地址）
• 域用户和联系人所属的组
• 域用户、组和联系人的电子邮件地址

程序会存储和使用该数据，直到下次同步启动。如果域控制器不可用，将使用上次收到的数据。删除 LDAP 服务器连接后，所有 LDAP 缓存数据将被删除。

成功同步后，Kaspersky Secure Mail Gateway 会检查 LDAP 账户是否存在重复数据。将检查以下数据是否重复：

• 所有域用户的名称。

  对于具有重复名称的用户，将禁用对 Active Directory 欺骗的防护；此类用户也不能使用个人备份以及个人允许和拒绝发件人地址列表。

• 域用户所属的组。

  对于具有重复名称的组，将禁用对 Active Directory 欺骗的防护。

• Active Directory 联系人。

  对于具有重复名称的联系人，将禁用对 Active Directory 欺骗的防护。

• Kerberos 用户账户。

  具有重复 Kerberos 名称的用户不能使用个人备份以及发件人地址的个人允许和拒绝列表。

• NTLM 用户账户。

  具有重复 NTLM 名称的用户不能使用个人备份以及个人允许和拒绝发件人地址列表。

• 域用户的电子邮件地址。

  发往重复地址的邮件不会放在用户的个人备份中，并且个人允许和拒绝发件人地址列表不会应用于重复地址。

如果在账户中发现重复数据，集群节点表将显示警告。