Pergunta:
Como usar a consulta aceitação LDAP para validar os destinatários de mensagens de entrada usando o Microsoft Ative Diretory (LDAP)?
Observação: O exemplo a seguir se integra a uma implantação padrão do Microsoft Ative Diretory, embora os princípios possam ser aplicados a muitos tipos de implementações LDAP.
Primeiro, você criará uma entrada de servidor LDAP. Nesse ponto, você deverá especificar seu servidor de diretório, bem como a consulta que o Email Security Appliance executará. Em seguida, a consulta é ativada ou aplicada ao ouvinte (público) de entrada. Essas configurações do servidor LDAP podem ser compartilhadas por diferentes ouvintes e outras partes da configuração, como o acesso de quarentena do usuário final.
Para facilitar a configuração das consultas LDAP no seu aplicativo IronPort, recomendamos que você use um navegador LDAP, que permite que você examine seu esquema, bem como todos os atributos com base nos quais pode fazer consultas.
Para o Microsoft Windows, você pode usar:
Para Linux ou UNIX, você pode usar o ldapsearch comando.
Primeiro, você precisa definir o servidor LDAP a ser consultado. Neste exemplo, o apelido de "PublicLDAP" é dado para o servidor LDAP myldapserver.example.com. As consultas são direcionadas à porta TCP 389 (o padrão).
OBSERVAÇÃO: se a implementação do Ative Diretory contiver subdomínios, você não poderá consultar usuários em um subdomínio usando o DN base do domínio raiz. No entanto, ao usar o Ative Diretory, você também pode consultar o LDAP no servidor Global Catalog (GC) na porta TCP 3268. O GC contém informações parciais para *todos* os objetos na floresta do Ative Diretory e fornece referências para o subdomínio em questão quando são necessárias mais informações. Se você não conseguir "localizar" usuários nos subdomínios, deixe o DN base na raiz e defina o IronPort para usar a porta GC.
GUI:
- Crie um novo Perfil de Servidor LDAP com valores localizados anteriormente no servidor de diretório (Administração do Sistema > LDAP). Por exemplo:
- Nome do perfil do servidor: PublicLDAP
- Nome do host: myldapserver.example.com
- Método de autenticação: Usar senha: Habilitado
- Nome de usuário:cn=ESA,cn=Users,dc=example,dc=com
- Senha: senha
- Tipo de servidor: Ative Diretory
- Porta: 3268
- BaseDN:dc=example,dc=com
Certifique-se de usar o botão "Testar servidor(es)" para verificar suas configurações antes de continuar. A saída bem-sucedida deve ser semelhante a:
Connecting to myldapserver.example.com at port 3268
Bound successfullywithDNCN=ESA,CN=Users,DC=example,DC=com
Result: succeeded
Use a mesma tela para definir a consulta aceitação LDAP. O exemplo a seguir compara o endereço do destinatário com os atributos mais comuns, "mail" OU "proxyAddresses":
- Nome: PublicLDAP.accept
- QueryString:(|(mail={a})(proxyAddresses=smtp:{a}))
Você pode usar o botão "Testar consulta" para verificar se a consulta de pesquisa retorna resultados para uma conta válida. A saída bem-sucedida que procura o endereço da conta de serviço "esa.admin@example.com" deve ser semelhante a:
Query results for host:myldapserver.example.com
Query (mail=esa.admin@example.com) >to server PublicLDAP (myldapserver.example.com:3268)
Query (mail=esa.admin@example.com) lookup success, (myldapserver.example.com:3268) returned 1 results
Success: Action: Pass
- Aplique esta nova consulta de aceitação ao Ouvinte de Entrada (Rede > Ouvintes). Expanda as opções Consultas LDAP > Aceitar e escolha sua consulta PublicLDAP.accept.
- Por fim, confirme as alterações para ativar essas configurações.
CLI:
- Primeiro, use o comando ldapconfig para definir um servidor LDAP ao qual o equipamento se vinculará, e as consultas para aceitação do destinatário (subcomando ldapaccept), roteamento (subcomando ldaprouting) e máscara (subcomando masquerade) serão configuradas.
mail3.example.com> ldapconfig
No LDAP server configurations.
Choose the operation you want to perform:
- NEW - Create a new server configuration.
[]> new
Please create a name for this server configuration (Ex: "PublicLDAP"):
[]> PublicLDAP
Please enter the hostname:
[]> myldapserver.example.com
Use SSL to connect to the LDAP server? [N]> n
Please enter the port number:
[389]> 389
Please enter the base:
[dc=example,dc= com]>dc=example,dc=com
Select the authentication method to use for this server configuration:
1. Anonymous
2. Password based
[1]> 2
Please enter the bind username:
[cn=Anonymous]>cn=ESA,cn=Users,dc=example,dc=com
Please enter the bind password:
[]> password
Name: PublicLDAP
Hostname: myldapserver.example.com Port 389
Authentication Type: password
Base:dc=example,dc=com
- Segundo, você precisa definir a consulta a ser executada no servidor LDAP que acabou de configurar.
Choose the operation you want to perform:
- SERVER - Change the server for the query.
- LDAPACCEPT - Configure whether a recipient address should be accepted or bounced/dropped.
- LDAPROUTING - Configure message routing. - MASQUERADE - Configure domain masquerading.
- LDAPGROUP - Configure whether a sender or recipient is in a specified group.
- SMTPAUTH - Configure SMTP authentication.
[]> ldapaccept
Please create a name for this query:
[PublicLDAP.ldapaccept]> PublicLDAP.ldapaccept
Enter the LDAP query string:
[(mailLocalAddress= {a})]>(|(mail={a})(proxyAddresses=smtp:{a}))
Please enter the cache TTL in seconds:
[900]>
Please enter the maximum number of cache entries to retain:
[10000]>
Do you want to test this query? [Y]> n
Name: PublicLDAP
Hostname: myldapserver.example.com Port 389
Authentication Type: password
Base:dc=example,dc=com
LDAPACCEPT: PublicLDAP.ldapaccept
- Depois de configurar a consulta LDAP, você precisa aplicar a política LDAPaccept ao seu Ouvinte de entrada.
example.com> listenerconfig
Currently configured listeners:
1. Inboundmail (on PublicNet, 192.168.2.1) SMTP TCP Port 25 Public
2. Outboundmail (on PrivateNet, 192.168.1.1) SMTP TCP Port 25 Private
Choose the operation you want to perform:
- NEW - Create a new listener.
- EDIT - Modify a listener.
- DELETE - Remove a listener.
- SETUP - Change global settings.
[]> edit
Enter the name or number of the listener you wish to edit.
[]> 1
Name: InboundMail
Type: Public
Interface: PublicNet (192.168.2.1/24) TCP Port 25
Protocol: SMTP
Default Domain:
Max Concurrency: 1000 (TCP Queue: 50)
Domain Map: Disabled
TLS: No
SMTP Authentication: Disabled
Bounce Profile: Default
Use SenderBase For Reputation Filters and IP Profiling: Yes
Footer: None
LDAP: Off
Choose the operation you want to perform:
- NAME - Change the name of the listener.
- INTERFACE - Change the interface.
- LIMITS - Change the injection limits.
- SETUP - Configure general options.
- HOSTACCESS - Modify the Host Access Table.
- RCPTACCESS >- Modify the Recipient Access Table.
- BOUNCECONFIG - Choose the bounce profile to use for messages injected on this listener.
- MASQUERADE - Configure the Domain Masquerading Table.
- DOMAINMAP - Configure domain mappings.
- LDAPACCEPT - Configure an LDAP query to determine whether a recipient address should be
accepted or bounced/dropped.
- LDAPROUTING - Configure an LDAP query to reroute messages.
[]> ldapaccept Available Recipient Acceptance Queries
1. None
2. PublicLDAP.ldapaccept
[1]> 2
Should the recipient acceptance query drop recipients or bounce them?
NOTE: Directory Harvest Attack Prevention may cause recipients to be
dropped regardless of this setting.
1. bounce
2. drop
[2]> 2
Name: InboundMail
Type: Public
Interface: PublicNet (192.168.2.1/24) TCP Port 25
Protocol: SMTP
Default Domain:
Max Concurrency: 1000 (TCP Queue: 50)
Domain Map: Disabled
TLS: No
SMTP Authentication: Disabled
Bounce Profile: Default
Use SenderBase For Reputation Filters and IP Profiling: Yes
Footer: None
LDAP: ldapaccept (PublicLDAP.ldapaccept)
- Para ativar as alterações feitas no listener, confirme as alterações.
Feedback