SSL로 MMP 구성
SSL을 사용하기 위해 MMP를 구성하려면 다음을 수행합니다.
주 –
여기서는 MMP가 메일 저장소 또는 MTA가 없는 시스템에 설치되어 있는 것으로 가정합니다.
SSL로 MMP 구성 방법
단계
-
Admin Server가 설치되어 있는 경우에는 Admin Console을 사용하여 SSL 서버 인증 서를 설치하십시오. Admin Server가 설치되어 있지 않으면 인증서 설치에 NSS 도구를 사용합니다. 네트워크 보안 서비스 도구를 참조하십시오.
-
Admin Server 서버가 설치되어 있는 경우에는 명령줄에서 다음 심볼릭 링크를 통해 간단히 처리할 수 있습니다.
cd msg_svr_base/config ln -s /var/mps/serverroot/alias/admin-serv-instance-cert7.db cert7.db ln -s /var/mps/serverroot/alias/admin-serv-instance-key3.db key3.db
또한 MMP를 실행할 시스템 아이디가 해당 파일을 소유하도록 합니다. 현재 버전의 Messaging Server는 새 인증서 데이터베이스 형식(cert8.db)을 지원합니다.
-
sslpassword.conf 파일은 초기 Messaging Server 런타임 구성 중에 설정하므로 설정할 필요가 없습니다. Messaging Server 초기 런타임 구성 만들기 를 참조하십시오.
주 –단계 1-8에 해당하는 대체 방법은 기존 Messaging 또는 Directory Server에서 cert7.db, key3.db, secmod.db 및 sslpassword.conf 파일을 복사하는 것입니다. 이러한 서버에는 이미 설치된 동일한 도메인에 적합한 서버 인증서와 키가 있어야 합니다.
-
ImapProxyAService.cfg 파일을 편집하고 관련 SSL 설정의 주석 처리를 제거합니다.
-
SSL 및 POP를 사용하려면 PopProxyAService.cfg 파일을 편집하고 관련 SSL 설정의 주석 처리를 제거합니다.
또는 AService.cfg 파일을 편집하고 ServiceList 설정의 110 뒤에 |995를 추가해야 합니다.
-
BindDN 및 BindPass 옵션이 ImapProxyAService.cfg와 PopProxyAService.cfg 파일에 설정되어 있는지 확인합니다.
또한 DefaultDomain 옵션을 기본 도메인(정규화되지 않은 아이디에 사용할 도메인)으로 설정해야 합니다.
서버측 SSL 지원만 필요한 경우에는 이로써 작업이 끝났습니다. msg_svr_base/sbin 디렉토리에서 다음 명령으로 MMP를 시작합니다.
start-msg mmp
클라이언트 인증서 기반 로그인을 사용하여 MMP를 구성하는 방법
클라이언트 인증서 기반 로그인을 사용하려면 다음을 수행합니다.
단계
-
클라이언트 인증서 복사본과 이 복사본을 서명한 CA 인증서를 얻습니다.
-
이전과 같이 MMP와 같은 시스템에서 Sun ONE 콘솔을 시작하지만 이번에는 CA 인증서를 신뢰할 수 있는 인증 기관으로 가져옵니다.
-
Messaging Server 설치 도중 만든 저장소 관리자를 사용합니다.
자세한 내용은 저장소에 대한 관리자 액세스 지정을 참조하십시오.
-
MMP에 대한 certmap.conf 파일을 만듭니다. 예를 들면 다음과 같습니다.
certmap default default default:DNComps default:FilterComps e=mail
이것은 LDAP 서버에서 메일 속성을 찾아서 인증서 DN의 e 필드와 일치하는 항목을 찾는다는 의미입니다.
-
ImapProxyAService.cfg 파일을 편집하고 다음을 설정합니다.
-
CertMapFile을 certmap.conf로 설정합니다.
-
StoreAdmin 및 StorePass를 단계 3의 값으로 설정합니다.
-
UserGroupDN을 사용자 및 그룹 트리의 루트로 설정합니다.
-
-
POP3을 사용한 클라이언트 인증서가 필요한 경우 PopProxyAService.cfg 파일에 대해 단계 5를 반복합니다.
-
MMP가 이미 실행 중이 아닌 경우 msg_svr_base/sbin 디렉토리에서 다음 명령을 사용하여 실행합니다.
start-msg mmp
-
클라이언트 인증서를 클라이언트로 가져옵니다. NetscapeTM Communicator에서 자물쇠(보안) 아이콘을 누른 다음 인증서 아래에서 사용자를 선택하고 인증서 가져오기... 를 선택합니다. 그런 다음 지시에 따릅니다.
주 –어느 곳에서나 클라이언트 인증서를 사용하려면 모든 사용자가 이 단계를 수행해야 합니다.
샘플 토폴로지
가상의 Siroe Corporation에는 별도의 시스템에 두 개의 Messaging Multiplexo가 있으며 각각 여러 Messaging Server를 지원합니다. POP 및 IMAP 사용자 메일함은 Messaging Server 시스템에서 분산되어 있으며, 각 서버는 POP 또는 IMAP 전용 서버입니다. ImapProxyAService 항목을 ServiceList 설정에서 제거하면 POP 서비스에 대한 클라이언트 액세스를 제한할 수 있습니다. 마찬가지로 ServiceList 설정에서 PopProxyAService 항목을 제거하면 IMAP 서비스에 대한 클라이언트 액세스를 제한할 수 있습니다. 각 Messaging Multiplexor는 POP만 지원하거나 IMAP만 지원합니다. LDAP 디렉토리 서비스는 별도의 전용 시스템에 있습니다.
이 토폴로지는 그림 7–2에서 볼 수 있습니다.
그림 7–2 여러 Messaging Server를 지원하는 여러 MMP
IMAP 구성 예
그림 7–2의 IMAP Messaging Multiplexor는 두 개의 프로세서가 있는 시스템인 sandpit에 설치되어 있습니다. 이 Messaging Multiplexor는 표준 포트에서 IMAP 연결(143)에 대기합니다. Messaging Multiplexor는 호스트 phonebook의 LDAP 서버와 사용자 메일함 정보를 통신하며, 적절한 IMAP 서버로 연결의 경로를 지정합니다. 이것은 IMAP 기능 문자열을 대체하고, 가상 도메인 파일을 제공하며, SSL 통신을 지원합니다.
ImapProxyAService.cfg 구성 파일은 다음과 같습니다.
default:LdapUrl ldap://phonebook.siroe.com/o=internet default:LogDir /opt/SUNWmsgsr/config/log default:LogLevel 5 default:BindDN "cn=Directory Manager" default:BindPass secret default:BacksidePort 143 default:Timeout 1800 default:Capability "IMAP4 IMAP4rev1 ACL QUOTA LITERAL+ NAMESPACE UIDPLUS CHILDREN BINARY LANGUAGE XSENDER X-NETSCAPE XSERVERINFO" default:SearchFormat (uid=%s) default:SSLEnable yes default:SSLPorts 993 default:SSLSecmodFile /opt/SUNWmsgsr/config/secmod.db default:SSLCertFile /opt/SUNWmsgsr/config/cert7.db default:SSLKeyFile /opt/SUNWmsgsr/config/key3.db default:SSLKeyPasswdFile "" default:SSLCipherSpecs all default:SSLCertNicknames Siroe.com Server-Cert default:SSLCacheDir /opt/SUNWmsgsr/config default:SSLBacksidePort 993 default:VirtualDomainFile /opt/SUNWmsgsr/config/vdmap.cfg default:VirtualDomainDelim @ default:ServerDownAlert "your IMAP server appears to be temporarily out of service" default:MailHostAttrs mailHost default:PreAuth no default:CRAMs no default:AuthCacheSize 10000 default:AuthCacheTTL 900 default:AuthService no default:AuthServiceTTL 0 default:BGMax 10000 default:BGPenalty 2 default:BGMaxBadness 60 default:BGDecay 900 default:BGLinear no default:BGExcluded /opt/SUNWmsgsr/config/bgexcl.cfg default:ConnLimits 0.0.0.0|0.0.0.0:20 default:LdapCacheSize 10000 default:LdapCacheTTL 900 default:HostedDomains yes default:DefaultDomain Siroe.com |
POP 구성 예
샘플 토폴로지에서 예로 든 POP Messaging Multiplexor는 4개의 프로세서가 있는 tarpit 시스템에 설치되어 있습니다. 이 Messaging Multiplexor는 표준 포트에서 POP 연결(110)을 수신합니다. Messaging Multiplexor는 호스트 phonebook의 LDAP 서버와 사용자 메일함 정보를 통신하며, 적절한 POP 서버로 연결의 경로를 지정합니다. 또한 스푸핑 메일 파일도 제공합니다.
해당 PopProxyAService.cfg 구성 파일은 다음과 같습니다.
default:LdapUrl ldap://phonebook.siroe.com/o=internet default:LogDir /opt/SUNWmsgsr/config/log default:LogLevel 5 default:BindDN "cn=Directory Manager" default:BindPass password default:BacksidePort 110 default:Timeout 1800 default:SearchFormat (uid=%s) default:SSLEnable no default:VirtualDomainFile /opt/SUNWmsgsr/config/vdmap.cfg default:VirtualDomainDelim @ default:MailHostAttrs mailHost default:PreAuth no default:CRAMs no default:AuthCacheSize 10000 default:AuthCacheTTL 900 default:AuthService no default:AuthServiceTTL 0 default:BGMax 10000 default:BGPenalty 2 default:BGMaxBadness 60 default:BGDecay 900 default:BGLinear no default:BGExcluded /opt/SUNWmsgsr/config/bgexcl.cfg default:ConnLimits 0.0.0.0|0.0.0.0:20 default:LdapCacheSize 10000 default:LdapCacheTTL 900 default:HostedDomains yes default:DefaultDomain Siroe.com |
- © 2010, Oracle Corporation and/or its affiliates