Kaspersky Secure Mail Gateway は、LDAP プロトコルを介して組織で使用されている外部ディレクトリサービスのサーバーに接続できます。
外部ディレクトリサービスへの LDAP プロトコル経由の接続により、Kaspersky Secure Mail Gateway の管理者は次の操作ができます:
組織が複数のドメインを使用している場合は、LDAP 接続を各ドメインに構成する必要があります。
外部のディレクトリサービスで、1 つのドメインに対して複数の LDAP 接続を構成し、各 LDAP 接続には検索条件フィールドの一意の値を持つようにすることができます。
LDAP ドメインがフォールトトレランス用に複数のドメインコントローラーを使用している場合は、追加の LDAP 接続を追加する必要はありません。製品は、DNS サーバーの SRV レコードの優先順位に基づいて、以前構成されていた接続の一部として使用可能なドメインコントローラーを自動的に選択します。
LDAP サーバー接続を設定した後は、30 分ごとに Active Directory ドメインコントローラーと自動的にデータが同期されます。同期を実行するスケジュールを構成することができます。(ユーザーの追加後など)即座にユーザーアカウントデータを更新する必要がある場合は、同期を手動で開始できます。
各クラスタノードは他のノードからは独立して同期されます。同期が成功すると、LDAP キャッシュに次の情報が保存されます:
本製品は、次回の同期が開始されるまで、このデータを保存して使用します。ドメインコントローラーが使用できない場合は、最後に受信したデータが使用されます。LDAP サーバーの接続を削除すると、LDAP キャッシュのすべてのデータが削除されます。
問題なく同期できると、重複したデータがないかどうか、 Kaspersky Secure Mail Gateway によって LDAP アカウントがチェックされます。重複をチェックするために、次のデータが確認されます:
重複した名前を持つユーザーの場合は、Active Directory スプーフィングに対する保護が無効になります。このようなユーザーはまた、個人のバックアップと、送信者アドレスの個人の許可リストと拒否リストを使用することができません。
重複した名前を持つグループの場合は、Active Directory スプーフィングに対する保護が無効になります。
重複した名前を持つ連絡先の場合は、Active Directory スプーフィングに対する保護が無効になります。
重複した Kerberos 名を持つユーザーの場合は、個人のバックアップと、送信者アドレスの個人の許可リストと拒否リストを使用することができません。
重複した NTLM 名を持つユーザーの場合は、個人のバックアップと、送信者アドレスの個人の許可リストと拒否リストを使用することができません。
重複したアドレスに宛てたメッセージはユーザーの個人のバックアップには含まれません。また、送信者アドレスの個人の許可リストと拒否リストは重複したアドレスには適用されません。
アカウントに重複したデータが見つかった場合は、クラスタノードのリストに警告が表示されます。