外部ディレクトリサービスとの統合
2024年4月16日
ID 88722
KSMG は、LDAP プロトコル経由で組織で使用されている外部ディレクトリサービスのサーバーに接続できます。
外部ディレクトリサービスへの LDAP プロトコル経由の接続により、KSMG の管理者は次を実行することができます:
- メッセージ処理ルールに外部ディレクトリサービスからの送信者および受信者を追加する。
- メールトラフィック処理イベントとバックアップにある 企業 LAN ユーザーのメッセージをフィルタリングする時に、[送信者のメールアドレス]と[受信者のメールアドレス]で自動補完機能を使用する。
組織が複数のドメインを使用している場合は、LDAP 接続を各ドメインに構成する必要があります。
外部のディレクトリサービスで、1 つのドメインに対して複数の LDAP 接続を構成し、各 LDAP 接続には検索条件フィールドの一意の値を持つようにすることができます。
LDAP ドメインがフォールトトレランス用に複数のドメインコントローラーを使用している場合は、追加の LDAP 接続を追加する必要はありません。製品は、DNS サーバーの SRV レコードの優先順位に基づいて、以前構成されていた接続の一部として使用可能なドメインコントローラーを自動的に選択します。
LDAP サーバー接続を設定した後は、30 分ごとに Active Directory ドメインコントローラーと自動的にデータが同期されます。同期を実行するスケジュールを構成することができます。(ユーザーの追加後など)即座にユーザーアカウントデータを更新する必要がある場合は、同期を手動で開始できます。
各クラスタノードは他のノードからは独立して同期されます。同期が成功すると、LDAP キャッシュに次の情報が保存されます:
- ドメイン内のすべてのユーザーのアカウント
- Active Directory の連絡先(連絡先の受信メールアドレスが LDAP サーバー接続設定で設定されている場合)
- ドメインユーザーおよび連絡先が属するグループ
- ドメインユーザー、グループ、連絡先のメールアドレス
本製品は、次回の同期が開始されるまで、このデータを保存して使用します。ドメインコントローラーが使用できない場合は、最後に受信したデータが使用されます。LDAP サーバーの接続を削除すると、LDAP キャッシュのすべてのデータが削除されます。
問題なく同期できると、重複したデータがないかどうか、 KSMG によって LDAP アカウントがチェックされます。重複をチェックするために、次のデータが確認されます:
- すべてのドメインユーザーの名前。
重複した名前を持つユーザーの場合は、Active Directory スプーフィングに対する保護が無効になります。このようなユーザーはまた、個人のバックアップと、送信者アドレスの個人の許可リストと拒否リストを使用することができません。
- ドメインユーザーが属するグループ。
重複した名前を持つグループの場合は、Active Directory スプーフィングに対する保護が無効になります。
- Active Directory の連絡先。
重複した名前を持つ連絡先の場合は、Active Directory スプーフィングに対する保護が無効になります。
- Kerberos ユーザーアカウント。
重複した Kerberos 名を持つユーザーの場合は、個人のバックアップと、送信者アドレスの個人の許可リストと拒否リストを使用することができません。
- NTLM ユーザーアカウント。
重複した NTLM 名を持つユーザーの場合は、個人のバックアップと、送信者アドレスの個人の許可リストと拒否リストを使用することができません。
- ドメインユーザーのメールアドレス。
重複したアドレスに宛てたメッセージはユーザーの個人のバックアップには含まれません。また、送信者アドレスの個人の許可リストと拒否リストは重複したアドレスには適用されません。
アカウントに重複したデータが見つかった場合は、クラスタノードのリストに警告が表示されます。