使用编辑用户验证源屏幕可编辑现有用户验证源或创建新验证源。通过在用户验证源页面上点击“新建”或从列表中选择一项并点击“编辑”可打开该屏幕。在该屏幕上可指定验证源的类型、位置、连接端口、所需身份验证凭证以及使用该验证源验证用户的 SecurityGateway 域。
属性
类型:
使用该下拉列表框指定该项验证源所用的用户验证方式: SMTP 验证(呼叫转移)、活动目录/Exchange、MDaemon (Minger)、 LDAP 或 Office 365。下方的说明、主机或 IP 以及端口选项应用于全部四类验证源。其余选项根据所选择的类型而各不相同。对于所有验证类型,当未知本地用户通过验证时,将为其创建 SecurityGateway 账户,并可以向该新账户发送欢迎邮件,其中包含 SecurityGateway 的登录链接。 然后可使用该用户的邮件地址和密码登录其 SecurityGateway 账户以查看邮件日志、邮件隔离区等等。因为 LDAP 不支持动态身份验证,因此若选择该验证类型,则必须为用户提供 SecurityGateway 密码以便他们能登录 SecurityGateway。
|
除 LDAP 之外的所有验证类型都支持动态身份验证。当用户试图进行身份验证或登录 SecurityGateway 时,将首先核对 SecurityGateway 本地登录凭证,但若本地项不存在,则再将其登录凭证传递到验证源以进行身份验证。这使得用户无需记住单独的一组 SecurityGateway 专用凭证,即可进行身份验证或登录其 SecurityGateway 账户。 当使用 CRAM-MD5 方式进行身份验证时,无法动态验证 AUTH 密码。 |
描述:
该文本框用于描述验证源(例如“example.com 上的服务器 X”)。它对应于用户验证源页面上的“描述”列。
主机或 IP:
这是验证源的主机名或 IP 地址。当查询该验证源时,SecurityGateway 会连接到此位置。该选项对应于用户验证源页面上的“主机”列。
端口:
这是 SecurityGateway 连接验证源时使用的端口,它对应于用户验证源页面上的端口列。
若希望使用 SMTP 验证入站邮件的未知本地收件人和出站邮件的未知本地发件人,请选择该类型。类似于回叫验证,SecurityGateway 将试图通过 SMTP 协议验证用户。对试图进行身份验证的未知本地发件人,SecurityGateway 将把该用户的凭证传递给 SMTP 验证源用以身份验证。若身份验证成功,SecurityGateway 将接受邮件用以投递,并为该用户创建账户。对于已经存在的帐户,SecurityGateway 将首先在本地用户数据库中核对用户的登录凭证。若未发现匹配项,则再检查 SMTP 验证源。
要求身份验证
若 SMTP 验证源要求进行身份验证,请点击该复选框。然后填写下面的用户名和密码。
用户名:
若 SMTP 验证源要求进行身份验证,请在此指定用户名。
密码:
在此输入 SMTP 验证源密码。
若希望使用活动目录或 Exchange 服务器验证未知本地用户,请选择该类型。如同上述的 SMTP 验证,该验证类型也支持动态身份验证。对试图进行身份验证的未知本地发件人,SecurityGateway 将把该用户的凭证传递给活动目录/ Exchange 服务器用以身份验证。若身份验证成功,SecurityGateway 将接受邮件用以投递,并为该用户创建账户。对于已经存在的帐户,SecurityGateway 将首先在本地用户数据库中核对用户的登录凭证。若未发现匹配项,则再检查 SMTP 验证源。
用户名:
该区域是登录验证源所需的活动目录/Exchange/Windows 用户名。
密码:
在该区域输入与上面指定的活动目录/Exchange 用户名对应的密码。
搜索过滤器:
这是在活动目录/Exchange 服务器上查询用户时所用的搜索过滤器。大多数情况下默认搜索过滤器应已够用。
若希望使用以 Minger 为用户验证源的 MDaemon 服务器,请选择该验证类型。这是扩充后 MDaemon 服务器专用的 Minger 协议,因此该选项不能用于其他类型的服务器。与以上两种验证类型一样,它也支持动态身份验证。这意味着用户可使用其邮件服务器登录凭证进行身份验证或登录 SecurityGateway 账户。
要求身份验证
若 MDaemon 服务器要求进行身份验证以使用 Minger,请点击该复选框。
密码:
在此输入 MDaemon 服务器的 Minger 密码。
若希望使用 LDAP 服务器来验证用户,请选择该验证类型。然而,不同于其他验证类型,无法使用 LDAP 验证用户的登录凭证。因此不支持动态身份验证或“即时”身份验证。结果,若要求用户进行身份验证,则由 LDAP 验证源验证的用户在不使用 SecurityGateway 账户密码的情况下无法登录 SecurityGateway 或通过它发送邮件。
绑定 DN:
输入可访问 LDAP 服务器的识别名(DN),以便 SecurityGateway 能利用它来查询用户名。这是绑定操作中用于身份验证的识别名。
密码:
该密码连同“绑定识别名”值将被传递到 LDAP 服务器用于身份验证。
基底项 DN:
这是目录信息树(DIT)中的根 DN 或起点,SecurityGateway 将在此搜索活动目录以查找用户。
搜索过滤器:
这是在 LDAP 服务器上查询用户时所用的 LDAP 搜索过滤器。大多数情况下默认搜索过滤器应已够用。
搜索范围:
这是 LDAP 搜索范围或区域。
仅基底识别名
若希望搜索范围仅限于上面提供的基底项 DN,请选择该选项。搜索不会深入到目录信息树(DIT)中该点的以下部分。
基底识别名的下一级
若希望将搜索扩展到 DIT 中“基底项 DN”的下一级,请使用该选项。
基底识别名及其所有子识别名
该选项把搜索范围从“基底项 DN”扩展到其所有子项,直至 DIT 中的最低子条目。默认选择该选项。
如果您希望将 Office 365 用作用户验证源,请选择此验证类型,然后按照以下步骤进行设置。
|
若要允许 SecurityGateway 访问 Office 365 租户,Office 365 计划需要 Exchange Online。请确保 Office 365 计划包括此功能。 |
要将 Office 365 用作用户验证源,SecurityGateway 要求服务主体已被授予访问 Office 365 租户的权限。此外,Office 365 使用“Azure 活动目录”作为其目录服务。以下步骤详细介绍了如何在 SecurityGateway 中将 Office365 配置为用户验证源。
在 Azure 活动目录中:
1.请导航至 Azure AD 的“App 注册”页面。
2.选择“新建注册”
3.在名称字段中输入应用程序名称。
4.选择“注册”
5.记下应用程序 ID
6.选择“API 权限”
7.选择“+ 添加权限”
8.选择 Microsoft Graph
9.选择“应用程序权限”
10.选择“Group.Read.All”和“User.Read.All”
11.选择“添加权限”
12.点击“授予管理员同意...”按钮
13.点击“是”
14.选择“证书 & 密钥”
15.点击“+ 新建客户端密钥”
16.在描述字段中输入描述
17.选择单选按钮来确定密码的有效期。
18.记下生成的密码
在 SecurityGateway 中:
1.使用全局管理员登录 SecurityGateway
2.选择“设置/用户”
3.选择“账户”
4.选择“用户验证源”
5.点击“新建”
6.选择“Office 365”
7.输入描述
8.在“域名”字段输入 Office 365 域名
9.选择“类型”
对于大多数配置,该选项将是“全局”。
10.输入 Azure AD 的“Service Principle”字段中的“应用程序 ID”。
这可以在 Azure AD 中“应用程序注册”的“概述”页面上找到
11.输入上述 Azure AD 的“密码”字段中生成的密码。
类型
该服务器为默认用户验证源
若希望将该验证源指定为默认用户验证源,请点击该复选框。未专门指定验证源的所有 SecurityGateway 域使用默认用户验证源。自动域创建功能也使用这些默认用户验证源。
在下面指定使用此用户验证源的域...
使用以下选项将该验证源分配给一个或多个 SecurityGateway 域。若域上分配了多个验证源,则可在域属性屏幕的验证选项卡上指定它们的查询顺序。
可用域:
该框列出了所有可用的 SecurityGateway 域。要指定利用该验证源的域,请从列表中将其选中并单击 "--->" 箭头。
选定域:
该框列出了所有 SecurityGateway 域,它们被配置为利用该验证源验证用户。要从列表中删除域,请将其选中并单击 "<---" 箭头。
