セキュリティ : Cisco E メール セキュリティ アプライアンス

LDAP を Microsoft Active Directory (LDAP)を使用して受信メッセージの受信者を検証するために使用する方法クエリを受け入れて下さいか。

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

目次

ドミニクによって貢献されてアンドレアス ミューラーは、Cisco TAC エンジニア甲高い声で話し。


質問:

LDAP を Microsoft Active Directory (LDAP)を使用して受信メッセージの受信者を検証するために使用する方法クエリを受け入れて下さいか。

注: 次の例は標準 Microsoft Active Directory 配備とプリンシパルが LDAP 実装の多くの型に適用することができるが、統合。


最初に LDAPサーバ エントリを作成します、その時点で E メール セキュリティ アプライアンスが行うクエリー、またダイレクトリサーバを規定 して下さい。  クエリは着信(公共)リスナーでそして有効に なるか、または適用されます。 これらの LDAPサーバ設定は異なるリスナーによって共有することができ、エンドユーザ検疫のような設定の他の一部はアクセスします。

問い合わせることができるすべての属性、またスキーマの外観を奪取 することを可能にする LDAPブラウザを使用することを IronPort アプライアンスの LDAP クエリの設定を容易にするために、推奨します。

Microsoft Windows の場合、使用できます:

  • Softterra の LDAPブラウザ
  • Ldp
  • Adsiedit

Linux か UNIX に関しては、ldapsearch コマンドを使用できます。

最初に、問い合わせるために LDAPサーバを定義する必要があります。 この例では、「PublicLDAP」のニックネームは myldapserver.example.com LDAPサーバのために与えられます。 クエリは TCPポート 389 (デフォルト)に指示されます。


注: アクティブ ディレクトリ 実装がサブドメインが含まれている場合、ルート ドメインのベース DN を使用して補助的なドメインのユーザ向けに問い合わせられません。 ただし、アクティブ ディレクトリを使用するとき、また TCPポート 3268 の Global Catalog (GC) サーバに対して LDAP を問い合わせることができます。 GC はアクティブ ディレクトリ フォレストでより詳しい 情報が必要となるとき *all* オブジェクトのための部分的な 情報が含まれ、疑わしいサブドメインに参照を提供します。 サブドメインのユーザを「見つける」ことができない場合ベース DN をルートで残し、GC ポートを使用するために IronPort を設定 して下さい。



GUI:

  1. ダイレクトリサーバ(システム 管理 > LDAP)から以前にある値で新しい LDAPサーバ プロファイルを作成して下さい。  次に、例を示します。
    • サーバプロファイル名前: PublicLDAP
    • Host Name: myldapserver.example.com
    • [Authentication Method]: 使用 パスワード: [Enabled]
    • Username: cn=ESA、cn=Users、dc=example、dc=com
    • パスワード: password
    • Server Type: Active Directory
    • Port: 3268
    • BaseDN: dc=example、dc=com
    「テスト サーバ」ボタンを続く前に設定を確認するのに使用するように確かめて下さい。  正常な出力はのようになる必要があります:

    Connecting to myldapserver.example.com at port 3268
    Bound successfullywithDNCN=ESA,CN=Users,DC=example,DC=com
    Result: succeeded
  2. LDAP を定義するのに同じ画面を受け入れますクエリを使用して下さい。  次の例はより多くの共通の属性に対して受信者のアドレスを、「メール」か「proxyAddresses」確認します:

    • Name: PublicLDAP.accept
    • QueryString: (|(mail= {a}) (proxyAddresses=smtp: {a}))

    有効なアカウントのための検索クエリ戻り結果を確認するのに「テスト クエリ」ボタンを使用できます。  サービス アカウントのアドレス「esa.admin@example.com」を捜す正常な出力はのようになる必要があります:

    Query results for host:myldapserver.example.com
    Query (mail=esa.admin@example.com) >to server PublicLDAP (myldapserver.example.com:3268)
    Query (mail=esa.admin@example.com) lookup success, (myldapserver.example.com:3268) returned 1 results
    Success: Action: Pass
  3.  この新しい受け入れます受信リスナー(ネットワーク > リスナー)にクエリを適用して下さい。  オプション LDAP クエリを > 受け入れ、選択しますクエリ PublicLDAP.accept を拡張して下さい。

  4. 最終的には、これらの設定を有効に するために変更を保存して下さい。


CLI:

  1. 最初に、に結合 するためにアプライアンスのための LDAPサーバを定義するのに ldapconfig コマンドを使用し(ldaprouting サブコマンド)ルーティングし、マスカレードする受信者の承認(ldapaccept サブコマンド)のためのクエリは(マスカレード サブコマンド)設定されます。


    mail3.example.com> ldapconfig    
    No LDAP server configurations.
    Choose the operation you want to perform:
    - NEW - Create a new server configuration.
    []> new
    Please create a name for this server configuration (Ex: "PublicLDAP"):
    []> PublicLDAP
    Please enter the hostname:
    []> myldapserver.example.com
    Use SSL to connect to the LDAP server? [N]> n
    Please enter the port number:
    [389]> 389
    Please enter the base:
    [dc=example,dc= com]>dc=example,dc=com
    Select the authentication method to use for this server configuration:
    1. Anonymous
    2. Password based
    [1]> 2
    Please enter the bind username:
    [cn=Anonymous]>cn=ESA,cn=Users,dc=example,dc=com
    Please enter the bind password:
    []> password
    Name: PublicLDAP
    Hostname: myldapserver.example.com Port 389
    Authentication Type: password
    Base:dc=example,dc=com
  2. 2 番目に、ちょうど設定した LDAPサーバに対して実行するためにクエリを定義する必要があります。

       

    Choose the operation you want to perform:    
    - SERVER - Change the server for the query.
    - LDAPACCEPT - Configure whether a recipient address should be accepted or bounced/dropped.
    - LDAPROUTING - Configure message routing. - MASQUERADE - Configure domain masquerading.
    - LDAPGROUP - Configure whether a sender or recipient is in a specified group.
    - SMTPAUTH - Configure SMTP authentication.
    []> ldapaccept
    Please create a name for this query:
    [PublicLDAP.ldapaccept]> PublicLDAP.ldapaccept
    Enter the LDAP query string:
    [(mailLocalAddress= {a})]>(|(mail={a})(proxyAddresses=smtp:{a}))
    Please enter the cache TTL in seconds:
    [900]>
    Please enter the maximum number of cache entries to retain:
    [10000]>
    Do you want to test this query? [Y]> n
    Name: PublicLDAP
    Hostname: myldapserver.example.com Port 389
    Authentication Type: password
    Base:dc=example,dc=com
    LDAPACCEPT: PublicLDAP.ldapaccept
  3. LDAP クエリを設定したら、受信リスナーに LDAPaccept ポリシーを適用する必要があります。

       

    example.com> listenerconfig    
    Currently configured listeners:
    1. Inboundmail (on PublicNet, 192.168.2.1) SMTP TCP Port 25 Public
    2. Outboundmail (on PrivateNet, 192.168.1.1) SMTP TCP Port 25 Private
    Choose the operation you want to perform:
    - NEW - Create a new listener.
    - EDIT - Modify a listener.
    - DELETE - Remove a listener.
    - SETUP - Change global settings.
    []> edit
    Enter the name or number of the listener you wish to edit.
    []> 1
    Name: InboundMail
    Type: Public
    Interface: PublicNet (192.168.2.1/24) TCP Port 25
    Protocol: SMTP
    Default Domain:
    Max Concurrency: 1000 (TCP Queue: 50)
    Domain Map: Disabled
    TLS: No
    SMTP Authentication: Disabled
    Bounce Profile: Default
    Use SenderBase For Reputation Filters and IP Profiling: Yes
    Footer: None
    LDAP: Off
    Choose the operation you want to perform:
    - NAME - Change the name of the listener.
    - INTERFACE - Change the interface.
    - LIMITS - Change the injection limits.
    - SETUP - Configure general options.
    - HOSTACCESS - Modify the Host Access Table.
    - RCPTACCESS >- Modify the Recipient Access Table.
    - BOUNCECONFIG - Choose the bounce profile to use for messages injected on this listener.
    - MASQUERADE - Configure the Domain Masquerading Table.
    - DOMAINMAP - Configure domain mappings.
    - LDAPACCEPT - Configure an LDAP query to determine whether a recipient address should be
    accepted or bounced/dropped.
    - LDAPROUTING - Configure an LDAP query to reroute messages.
    []> ldapaccept Available Recipient Acceptance Queries
    1. None
    2. PublicLDAP.ldapaccept
    [1]> 2
    Should the recipient acceptance query drop recipients or bounce them?
    NOTE: Directory Harvest Attack Prevention may cause recipients to be
    dropped regardless of this setting.
    1. bounce
    2. drop
    [2]> 2
    Name: InboundMail
    Type: Public
    Interface: PublicNet (192.168.2.1/24) TCP Port 25
    Protocol: SMTP
    Default Domain:
    Max Concurrency: 1000 (TCP Queue: 50)
    Domain Map: Disabled
    TLS: No
    SMTP Authentication: Disabled
    Bounce Profile: Default
    Use SenderBase For Reputation Filters and IP Profiling: Yes
    Footer: None
    LDAP: ldapaccept (PublicLDAP.ldapaccept)
  4. 行うリスナーへの変更をアクティブにするために、変更を保存して下さい。

     


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118218