Vraag:
Hoe LDAP Accept Query te gebruiken om de ontvangers van inkomende berichten te valideren met Microsoft Active Directory (LDAP)?
Opmerking: Het volgende voorbeeld integreert met een standaard Microsoft Active Directory-implementatie, hoewel de principes kunnen worden toegepast op vele soorten LDAP-implementaties.
U maakt eerst een LDAP-server-ingang, waarbij u uw directory-server moet opgeven, evenals de query die de e-mail security applicatie zal uitvoeren. De query wordt vervolgens ingeschakeld of toegepast op uw inkomende (publieke) luisteraar. Deze LDAP-serverinstellingen kunnen worden gedeeld door verschillende luisteraars en andere delen van de configuratie, zoals de toegang tot quarantaine voor eindgebruikers.
Om de configuratie van de LDAP-vragen op uw IronPort-apparaat te vergemakkelijken, raden we u aan een LDAP-browser te gebruiken, waarmee u een kijkje kunt nemen in uw schema en alle attributen waarop u kunt vragen.
U kunt voor Microsoft Windows gebruiken:
-
Softterra's LDAP-browser
-
LDP
-
Adsiedit
Voor Linux of UNIX, kunt u de ldapsearch
opdracht gebruiken.
Eerst, moet u de LDAP server aan vraag bepalen. In dit voorbeeld wordt de bijnaam "PublicLDAP" gegeven voor de myldapserver.example.com LDAP server. De vragen worden geleid aan TCP-poort 389 (het standaard).
OPMERKING: Als uw Active Directory-implementatie subdomeinen bevat, kunt u geen vragen stellen voor gebruikers in een subdomein met behulp van de basis-DN van het hoofddomein. Wanneer u Active Directory gebruikt, kunt u LDAP echter ook opvragen tegen de Global Catalog (GC) Server op TCP-poort 3268. De GC bevat gedeeltelijke informatie voor *all* objecten in het Active Directory-bos en geeft verwijzingen naar het subdomein in kwestie wanneer verdere informatie vereist is. Als u geen gebruikers in uw subdomeinen kunt "vinden", laat de basis DN bij de wortel en stel IronPort in om de GC poort te gebruiken.
GUI:
- Maak een nieuw LDAP-serverprofiel met waarden die zich eerder op uw directory-server bevinden (System Administration > LDAP). Bijvoorbeeld:
- Naam serverprofiel: PublicLDAP
- Hostnaam: myldapserver.example.com
- Verificatiemethode: Wachtwoord gebruiken: Ingeschakeld
- Gebruikersnaam:cn=ESA,cn=users,dc=example,dc=com
- Wachtwoord: wachtwoord
- Servertype: Active Directory
- Poort: 3268
- BaseDN:dc=voorbeeld,dc=com
Gebruik de knop "Test Server(s)" om de instellingen te controleren voordat u doorgaat. Succesvolle output ziet er als volgt uit:
Connecting to myldapserver.example.com at port 3268
Bound successfullywithDNCN=ESA,CN=Users,DC=example,DC=com
Result: succeeded
Gebruik hetzelfde scherm om de LDAP acceptatie query te definiëren. In het volgende voorbeeld wordt het adres van de ontvanger gecontroleerd aan de hand van de meest gebruikelijke kenmerken, "mail" OF "proxyAddresses":
- Naam: PublicLDAP.accept
- QueryString:(|(mail={a})(proxyAddresses=smtp:{a})
U kunt de knop "Test Query" gebruiken om te controleren of de zoekzoekresultaten voor een geldig account worden hersteld. Succesvolle output die naar het adres van de de dienstrekening "esa.admin@example.com" zoekt zou moeten kijken als:
Query results for host:myldapserver.example.com
Query (mail=esa.admin@example.com) >to server PublicLDAP (myldapserver.example.com:3268)
Query (mail=esa.admin@example.com) lookup success, (myldapserver.example.com:3268) returned 1 results
Success: Action: Pass
- Pas deze nieuwe acceptatie-query toe op de inkomende Listener (Netwerk > Luisteraars). Breid de opties LDAP Queries > Accepteren uit en kies uw query PublicLDAP.accept.
- Tot slot leg de veranderingen vast om deze instellingen in te schakelen.
CLI:
- Eerst gebruikt u de opdracht ldapconfig om een LDAP-server te definiëren waaraan het apparaat kan binden, en worden vragen voor acceptatie door de ontvanger (ldapaccept subcommando), routing (ladprouting subcommando) en masquerading (masquerade subcommando) geconfigureerd.
mail3.example.com> ldapconfig
No LDAP server configurations.
Choose the operation you want to perform:
- NEW - Create a new server configuration.
[]> new
Please create a name for this server configuration (Ex: "PublicLDAP"):
[]> PublicLDAP
Please enter the hostname:
[]> myldapserver.example.com
Use SSL to connect to the LDAP server? [N]> n
Please enter the port number:
[389]> 389
Please enter the base:
[dc=example,dc= com]>dc=example,dc=com
Select the authentication method to use for this server configuration:
1. Anonymous
2. Password based
[1]> 2
Please enter the bind username:
[cn=Anonymous]>cn=ESA,cn=Users,dc=example,dc=com
Please enter the bind password:
[]> password
Name: PublicLDAP
Hostname: myldapserver.example.com Port 389
Authentication Type: password
Base:dc=example,dc=com
- Ten tweede moet u de query definiëren die moet worden uitgevoerd met de LDAP-server die u zojuist hebt geconfigureerd.
Choose the operation you want to perform:
- SERVER - Change the server for the query.
- LDAPACCEPT - Configure whether a recipient address should be accepted or bounced/dropped.
- LDAPROUTING - Configure message routing. - MASQUERADE - Configure domain masquerading.
- LDAPGROUP - Configure whether a sender or recipient is in a specified group.
- SMTPAUTH - Configure SMTP authentication.
[]> ldapaccept
Please create a name for this query:
[PublicLDAP.ldapaccept]> PublicLDAP.ldapaccept
Enter the LDAP query string:
[(mailLocalAddress= {a})]>(|(mail={a})(proxyAddresses=smtp:{a}))
Please enter the cache TTL in seconds:
[900]>
Please enter the maximum number of cache entries to retain:
[10000]>
Do you want to test this query? [Y]> n
Name: PublicLDAP
Hostname: myldapserver.example.com Port 389
Authentication Type: password
Base:dc=example,dc=com
LDAPACCEPT: PublicLDAP.ldapaccept
- Zodra u de LDAP-query hebt geconfigureerd, moet u het LDAPaccept-beleid toepassen op uw inkomende luisteraar.
example.com> listenerconfig
Currently configured listeners:
1. Inboundmail (on PublicNet, 192.168.2.1) SMTP TCP Port 25 Public
2. Outboundmail (on PrivateNet, 192.168.1.1) SMTP TCP Port 25 Private
Choose the operation you want to perform:
- NEW - Create a new listener.
- EDIT - Modify a listener.
- DELETE - Remove a listener.
- SETUP - Change global settings.
[]> edit
Enter the name or number of the listener you wish to edit.
[]> 1
Name: InboundMail
Type: Public
Interface: PublicNet (192.168.2.1/24) TCP Port 25
Protocol: SMTP
Default Domain:
Max Concurrency: 1000 (TCP Queue: 50)
Domain Map: Disabled
TLS: No
SMTP Authentication: Disabled
Bounce Profile: Default
Use SenderBase For Reputation Filters and IP Profiling: Yes
Footer: None
LDAP: Off
Choose the operation you want to perform:
- NAME - Change the name of the listener.
- INTERFACE - Change the interface.
- LIMITS - Change the injection limits.
- SETUP - Configure general options.
- HOSTACCESS - Modify the Host Access Table.
- RCPTACCESS >- Modify the Recipient Access Table.
- BOUNCECONFIG - Choose the bounce profile to use for messages injected on this listener.
- MASQUERADE - Configure the Domain Masquerading Table.
- DOMAINMAP - Configure domain mappings.
- LDAPACCEPT - Configure an LDAP query to determine whether a recipient address should be
accepted or bounced/dropped.
- LDAPROUTING - Configure an LDAP query to reroute messages.
[]> ldapaccept Available Recipient Acceptance Queries
1. None
2. PublicLDAP.ldapaccept
[1]> 2
Should the recipient acceptance query drop recipients or bounce them?
NOTE: Directory Harvest Attack Prevention may cause recipients to be
dropped regardless of this setting.
1. bounce
2. drop
[2]> 2
Name: InboundMail
Type: Public
Interface: PublicNet (192.168.2.1/24) TCP Port 25
Protocol: SMTP
Default Domain:
Max Concurrency: 1000 (TCP Queue: 50)
Domain Map: Disabled
TLS: No
SMTP Authentication: Disabled
Bounce Profile: Default
Use SenderBase For Reputation Filters and IP Profiling: Yes
Footer: None
LDAP: ldapaccept (PublicLDAP.ldapaccept)
- Om de veranderingen te activeren die aan de luisteraar worden aangebracht, leg uw veranderingen vast.