Безопасность : устройства безопасности электронной почты Cisco ESA

Как использовать LDAP, Принимают, что Запрос проверяет получателей входящих сообщений с помощью Microsoft Active Directory (LDAP)?

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Содержание

Внесенный Домиником Ипом и Андреасом Мюллером, специалистами службы технической поддержки Cisco.


Вопрос:

Как использовать LDAP, Принимают, что Запрос проверяет получателей входящих сообщений с помощью Microsoft Active Directory (LDAP)?

Примечание: Следующий пример интегрируется со стандартными развертываниями Microsoft Active Directory, невзирая на то, что принципы могут быть применены ко многим типам реализаций LDAP.


Вы сначала создадите запись Сервера LDAP, в этот момент необходимо задать сервер каталогов, а также запрос, который выполнит Устройство Безопасности электронной почты. Запрос тогда включен или применен на вашего входящего (общего) слушателя. Эти параметры настройки Сервера LDAP могут быть разделены другими слушателями и другими частями конфигурации, такими как карантинный доступ конечного пользователя.

 Упростить конфигурацию LDAP делает запрос на вашем устройстве IronPort, мы рекомендуем использовать браузер LDAP, который позволяет вам смотреть на вашу схему, а также все атрибуты, на которые можно сделать запрос против.

Для Microsoft Windows можно использовать:

  • Браузер LDAP Софттерры
  • Ldp
  • Adsiedit

Для Linux или UNIX, можно использовать ldapsearch команда.

Во-первых, необходимо определить Сервер LDAP для запроса. В данном примере псевдоним "PublicLDAP" дан для myldapserver. пример. Сервер LDAP com. Запросы направлены к порту TCP 389 (по умолчанию).


Примечание: Если ваша Реализация Active Directory будет содержать субдомены, то вы не будете в состоянии сделать запрос для пользователей в sub домене с помощью основного DN корневого домена. Однако при использовании Active Directory, можно также сделать запрос LDAP против Сервера глобального каталога (GC) на порте TCP 3268. Когда дополнительная информация запрошена, GC содержит частичную информацию для *все* объекты в лесу Active Directory и предоставляет рекомендации рассматриваемому субдомену. Если вы не можете "найти" пользователей в своих субдоменах, оставить основной DN в root и заставить IronPort использовать порт GC.



GUI:

  1. Создайте новый Профиль Сервера LDAP со значениями, расположенными ранее от вашего сервера каталогов (Администрирование системы> LDAP) . Пример:
    • Название профиля сервера: PublicLDAP
    • Host name: myldapserver. пример. com
    • Authentication method: Пароль использования: включенный
    • Имя пользователя: cn=ESA, cn=Users, dc=example, dc=com
    • Password: password
    • Тип сервера: Active Directory
    • Порт: 3268
    • BaseDN:dc=example, dc=com
    Удостоверьтесь, что использовали кнопку "Test Server" для проверки параметров настройки перед продолжением. Успешные выходные данные должны быть похожими:

    Connecting to myldapserver.example.com at port 3268
    Bound successfullywithDNCN=ESA,CN=Users,DC=example,DC=com
    Result: succeeded
  2. Использование тот же экран для определения LDAP принимает запрос. Следующий пример проверяет адрес получателя против более общих атрибутов, любого "почтового" OR "proxyAddresses":

    • Name: PublicLDAP.accept
    • QueryString: (| (отправляют по почте =) (proxyAddresses=smtp:{a}))

    Можно использовать кнопку "Test Query", чтобы проверить, что поисковый запрос возвращает результаты для допустимой учетной записи. Успешные выходные данные, ищущие адрес учетной записи сервиса "ЕКА admin@example.com", должны быть похожими:

    Query results for host:myldapserver.example.com
    Query (mail=esa.admin@example.com) >to server PublicLDAP (myldapserver.example.com:3268)
    Query (mail=esa.admin@example.com) lookup success, (myldapserver.example.com:3268) returned 1 results
    Success: Action: Pass
  3.  Применитесь это новое принимает запрос Входящему Слушателю (Сеть> Слушатели). Разверните опции LDAP Queries> Accept и выберите свой запрос PublicLDAP.accept.

  4. Наконец, передайте изменения для включения этих параметров настройки.


CLI:

  1. Во-первых, вы используете ldapconfig команду для определения Сервера LDAP для устройства для привязки с, и запросы для принятия получателя (ldapaccept подкоманда), направляя (ldaprouting подкоманда), и подменяя (подкоманда подмены) настроены.


    mail3.example.com> ldapconfig    
    No LDAP server configurations.
    Choose the operation you want to perform:
    - NEW - Create a new server configuration.
    []> new
    Please create a name for this server configuration (Ex: "PublicLDAP"):
    []> PublicLDAP
    Please enter the hostname:
    []> myldapserver.example.com
    Use SSL to connect to the LDAP server? [N]> n
    Please enter the port number:
    [389]> 389
    Please enter the base:
    [dc=example,dc= com]>dc=example,dc=com
    Select the authentication method to use for this server configuration:
    1. Anonymous
    2. Password based
    [1]> 2
    Please enter the bind username:
    [cn=Anonymous]>cn=ESA,cn=Users,dc=example,dc=com
    Please enter the bind password:
    []> password
    Name: PublicLDAP
    Hostname: myldapserver.example.com Port 389
    Authentication Type: password
    Base:dc=example,dc=com
  2. Во-вторых, необходимо определить запрос для выполнения против Сервера LDAP, который вы только что настроили.

       

    Choose the operation you want to perform:    
    - SERVER - Change the server for the query.
    - LDAPACCEPT - Configure whether a recipient address should be accepted or bounced/dropped.
    - LDAPROUTING - Configure message routing. - MASQUERADE - Configure domain masquerading.
    - LDAPGROUP - Configure whether a sender or recipient is in a specified group.
    - SMTPAUTH - Configure SMTP authentication.
    []> ldapaccept
    Please create a name for this query:
    [PublicLDAP.ldapaccept]> PublicLDAP.ldapaccept
    Enter the LDAP query string:
    [(mailLocalAddress= {a})]>(|(mail={a})(proxyAddresses=smtp:{a}))
    Please enter the cache TTL in seconds:
    [900]>
    Please enter the maximum number of cache entries to retain:
    [10000]>
    Do you want to test this query? [Y]> n
    Name: PublicLDAP
    Hostname: myldapserver.example.com Port 389
    Authentication Type: password
    Base:dc=example,dc=com
    LDAPACCEPT: PublicLDAP.ldapaccept
  3. Как только вы настроили запрос LDAP, необходимо применить политику LDAPaccept к Входящему Слушателю.

       

    example.com> listenerconfig    
    Currently configured listeners:
    1. Inboundmail (on PublicNet, 192.168.2.1) SMTP TCP Port 25 Public
    2. Outboundmail (on PrivateNet, 192.168.1.1) SMTP TCP Port 25 Private
    Choose the operation you want to perform:
    - NEW - Create a new listener.
    - EDIT - Modify a listener.
    - DELETE - Remove a listener.
    - SETUP - Change global settings.
    []> edit
    Enter the name or number of the listener you wish to edit.
    []> 1
    Name: InboundMail
    Type: Public
    Interface: PublicNet (192.168.2.1/24) TCP Port 25
    Protocol: SMTP
    Default Domain:
    Max Concurrency: 1000 (TCP Queue: 50)
    Domain Map: Disabled
    TLS: No
    SMTP Authentication: Disabled
    Bounce Profile: Default
    Use SenderBase For Reputation Filters and IP Profiling: Yes
    Footer: None
    LDAP: Off
    Choose the operation you want to perform:
    - NAME - Change the name of the listener.
    - INTERFACE - Change the interface.
    - LIMITS - Change the injection limits.
    - SETUP - Configure general options.
    - HOSTACCESS - Modify the Host Access Table.
    - RCPTACCESS >- Modify the Recipient Access Table.
    - BOUNCECONFIG - Choose the bounce profile to use for messages injected on this listener.
    - MASQUERADE - Configure the Domain Masquerading Table.
    - DOMAINMAP - Configure domain mappings.
    - LDAPACCEPT - Configure an LDAP query to determine whether a recipient address should be
    accepted or bounced/dropped.
    - LDAPROUTING - Configure an LDAP query to reroute messages.
    []> ldapaccept Available Recipient Acceptance Queries
    1. None
    2. PublicLDAP.ldapaccept
    [1]> 2
    Should the recipient acceptance query drop recipients or bounce them?
    NOTE: Directory Harvest Attack Prevention may cause recipients to be
    dropped regardless of this setting.
    1. bounce
    2. drop
    [2]> 2
    Name: InboundMail
    Type: Public
    Interface: PublicNet (192.168.2.1/24) TCP Port 25
    Protocol: SMTP
    Default Domain:
    Max Concurrency: 1000 (TCP Queue: 50)
    Domain Map: Disabled
    TLS: No
    SMTP Authentication: Disabled
    Bounce Profile: Default
    Use SenderBase For Reputation Filters and IP Profiling: Yes
    Footer: None
    LDAP: ldapaccept (PublicLDAP.ldapaccept)
  4. Для активации изменений, внесенных в слушателя, передайте изменения.

     



Document ID: 118218