Hoe LDAP Accept Query te gebruiken om de ontvangers van inkomende berichten te valideren met Microsoft Active Directory (LDAP)?

Downloadopties

  • PDF     (260.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (95.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (80.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:12 augustus 2014
Document-id:118218

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud


Vraag:


Vraag:

Hoe LDAP Accept Query te gebruiken om de ontvangers van inkomende berichten te valideren met Microsoft Active Directory (LDAP)?

Opmerking: Het volgende voorbeeld integreert met een standaard Microsoft Active Directory-implementatie, hoewel de principes kunnen worden toegepast op vele soorten LDAP-implementaties.


U maakt eerst een LDAP-server-ingang, waarbij u uw directory-server moet opgeven, evenals de query die de e-mail security applicatie zal uitvoeren.  De query wordt vervolgens ingeschakeld of toegepast op uw inkomende (publieke) luisteraar. Deze LDAP-serverinstellingen kunnen worden gedeeld door verschillende luisteraars en andere delen van de configuratie, zoals de toegang tot quarantaine voor eindgebruikers.

Om de configuratie van de LDAP-vragen op uw IronPort-apparaat te vergemakkelijken, raden we u aan een LDAP-browser te gebruiken, waarmee u een kijkje kunt nemen in uw schema en alle attributen waarop u kunt vragen.

U kunt voor Microsoft Windows gebruiken:

  • Softterra's LDAP-browser
  • LDP
  • Adsiedit

Voor Linux of UNIX, kunt u de ldapsearch opdracht gebruiken.

Eerst, moet u de LDAP server aan vraag bepalen. In dit voorbeeld wordt de bijnaam "PublicLDAP" gegeven voor de myldapserver.example.com LDAP server. De vragen worden geleid aan TCP-poort 389 (het standaard).


OPMERKING: Als uw Active Directory-implementatie subdomeinen bevat, kunt u geen vragen stellen voor gebruikers in een subdomein met behulp van de basis-DN van het hoofddomein. Wanneer u Active Directory gebruikt, kunt u LDAP echter ook opvragen tegen de Global Catalog (GC) Server op TCP-poort 3268. De GC bevat gedeeltelijke informatie voor *all* objecten in het Active Directory-bos en geeft verwijzingen naar het subdomein in kwestie wanneer verdere informatie vereist is. Als u geen gebruikers in uw subdomeinen kunt "vinden", laat de basis DN bij de wortel en stel IronPort in om de GC poort te gebruiken.



GUI:

  1. Maak een nieuw LDAP-serverprofiel met waarden die zich eerder op uw directory-server bevinden (System Administration > LDAP). Bijvoorbeeld:
    • Naam serverprofiel: PublicLDAP
    • Hostnaam: myldapserver.example.com
    • Verificatiemethode: Wachtwoord gebruiken: Ingeschakeld
    • Gebruikersnaam:cn=ESA,cn=users,dc=example,dc=com
    • Wachtwoord: wachtwoord
    • Servertype: Active Directory
    • Poort: 3268
    • BaseDN:dc=voorbeeld,dc=com
    Gebruik de knop "Test Server(s)" om de instellingen te controleren voordat u doorgaat.  Succesvolle output ziet er als volgt uit:

    Connecting to myldapserver.example.com at port 3268
    Bound successfullywithDNCN=ESA,CN=Users,DC=example,DC=com
    Result: succeeded

  2. Gebruik hetzelfde scherm om de LDAP acceptatie query te definiëren.  In het volgende voorbeeld wordt het adres van de ontvanger gecontroleerd aan de hand van de meest gebruikelijke kenmerken, "mail" OF "proxyAddresses":

    • Naam: PublicLDAP.accept
    • QueryString:(|(mail={a})(proxyAddresses=smtp:{a})

    U kunt de knop "Test Query" gebruiken om te controleren of de zoekzoekresultaten voor een geldig account worden hersteld.  Succesvolle output die naar het adres van de de dienstrekening "esa.admin@example.com" zoekt zou moeten kijken als:

    Query results for host:myldapserver.example.com
    Query (mail=esa.admin@example.com) >to server PublicLDAP (myldapserver.example.com:3268)
    Query (mail=esa.admin@example.com) lookup success, (myldapserver.example.com:3268) returned 1 results
    Success: Action: Pass
  3.  Pas deze nieuwe acceptatie-query toe op de inkomende Listener (Netwerk > Luisteraars).  Breid de opties LDAP Queries > Accepteren uit en kies uw query PublicLDAP.accept.

  4. Tot slot leg de veranderingen vast om deze instellingen in te schakelen.


CLI:

  1. Eerst gebruikt u de opdracht ldapconfig om een LDAP-server te definiëren waaraan het apparaat kan binden, en worden vragen voor acceptatie door de ontvanger (ldapaccept subcommando), routing (ladprouting subcommando) en masquerading (masquerade subcommando) geconfigureerd.


    mail3.example.com> ldapconfig    
    No LDAP server configurations.
    Choose the operation you want to perform:    
    - NEW - Create a new server configuration.   
    []> new    
    Please create a name for this server configuration (Ex: "PublicLDAP"):    
    []> PublicLDAP    
    Please enter the hostname:    
    []> myldapserver.example.com    
    Use SSL to connect to the LDAP server? [N]> n    
    Please enter the port number:    
    [389]> 389    
    Please enter the base:   
    [dc=example,dc= com]>dc=example,dc=com   
     Select the authentication method to use for this server configuration:    
    1. Anonymous    
    2. Password based    
    [1]> 2    
    Please enter the bind username:   
    [cn=Anonymous]>cn=ESA,cn=Users,dc=example,dc=com    
    Please enter the bind password:    
    []> password    
    Name: PublicLDAP    
    Hostname: myldapserver.example.com Port 389    
    Authentication Type: password   
    Base:dc=example,dc=com
  2. Ten tweede moet u de query definiëren die moet worden uitgevoerd met de LDAP-server die u zojuist hebt geconfigureerd.

       

    Choose the operation you want to perform:    
    - SERVER - Change the server for the query.    
    - LDAPACCEPT - Configure whether a recipient address should be accepted or bounced/dropped.    
    - LDAPROUTING - Configure message routing.    - MASQUERADE - Configure domain masquerading.    
    - LDAPGROUP - Configure whether a sender or recipient is in a specified group.    
    - SMTPAUTH - Configure SMTP authentication.    
    []> ldapaccept    
    Please create a name for this query:    
    [PublicLDAP.ldapaccept]> PublicLDAP.ldapaccept    
    Enter the LDAP query string:    
    [(mailLocalAddress= {a})]>(|(mail={a})(proxyAddresses=smtp:{a}))    
    Please enter the cache TTL in seconds:    
    [900]>   
     Please enter the maximum number of cache entries to retain:    
    [10000]>    
    Do you want to test this query? [Y]> n    
    Name: PublicLDAP    
    Hostname: myldapserver.example.com Port 389    
    Authentication Type: password   
    Base:dc=example,dc=com    
    LDAPACCEPT: PublicLDAP.ldapaccept
  3. Zodra u de LDAP-query hebt geconfigureerd, moet u het LDAPaccept-beleid toepassen op uw inkomende luisteraar.

       

    example.com> listenerconfig    
    Currently configured listeners:    
    1. Inboundmail (on PublicNet, 192.168.2.1) SMTP TCP Port 25 Public    
    2. Outboundmail (on PrivateNet, 192.168.1.1) SMTP TCP Port 25 Private    
    Choose the operation you want to perform:   
    - NEW - Create a new listener.    
    - EDIT - Modify a listener.    
    - DELETE - Remove a listener.    
    - SETUP - Change global settings.    
    []> edit    
    Enter the name or number of the listener you wish to edit.    
    []> 1    
    Name: InboundMail    
    Type: Public    
    Interface: PublicNet (192.168.2.1/24) TCP Port 25    
    Protocol: SMTP    
    Default Domain:    
    Max Concurrency: 1000 (TCP Queue: 50)    
    Domain Map: Disabled    
    TLS: No    
    SMTP Authentication: Disabled    
    Bounce Profile: Default    
    Use SenderBase For Reputation Filters and IP Profiling: Yes    
    Footer: None    
    LDAP: Off    
    Choose the operation you want to perform:    
    - NAME - Change the name of the listener.    
    - INTERFACE - Change the interface.    
    - LIMITS - Change the injection limits.    
    - SETUP - Configure general options.   
    - HOSTACCESS - Modify the Host Access Table.    
    - RCPTACCESS >- Modify the Recipient Access Table.    
    - BOUNCECONFIG - Choose the bounce profile to use for messages injected on this listener.    
    - MASQUERADE - Configure the Domain Masquerading Table.    
    - DOMAINMAP - Configure domain mappings.    
    - LDAPACCEPT - Configure an LDAP query to determine whether a recipient address should be 
    accepted or bounced/dropped.    
    - LDAPROUTING - Configure an LDAP query to reroute messages.    
    []> ldapaccept    Available Recipient Acceptance Queries    
    1. None    
    2. PublicLDAP.ldapaccept    
    [1]> 2    
    Should the recipient acceptance query drop recipients or bounce them?    
    NOTE: Directory Harvest Attack Prevention may cause recipients to be    
    dropped regardless of this setting.    
    1. bounce    
    2. drop    
    [2]> 2    
    Name: InboundMail    
    Type: Public    
    Interface: PublicNet (192.168.2.1/24) TCP Port 25    
    Protocol: SMTP    
    Default Domain:    
    Max Concurrency: 1000 (TCP Queue: 50)   
    Domain Map: Disabled    
    TLS: No    
    SMTP Authentication: Disabled    
    Bounce Profile: Default    
    Use SenderBase For Reputation Filters and IP Profiling: Yes    
    Footer: None    
    LDAP: ldapaccept (PublicLDAP.ldapaccept)
  4. Om de veranderingen te activeren die aan de luisteraar worden aangebracht, leg uw veranderingen vast.

     

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
12-Aug-2014
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Dominic Yip and Andreas Mueller
    Cisco TAC Engineers.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten