表 5-3 Multiplexor の設定パラメータ
|
変数
|
説明
|
|
AuthCacheSize
AuthCacheTTL
|
Messaging Multiplexor が 事前認証の結果をキャッシュできるようになる。AuthCacheSize パラメータはキャッシュエントリの数を、AuthCacheTTL はエントリが保存される時間 (秒数) をそれぞれ定義する。値を小さくするとパフォーマンスが低下するが、サーバーパスワードの変更の認識速度が早くなる。値を大きくするとパフォーマンスが向上するが、サーバーパスワードの変更の認識速度が遅くなる
AuthCacheSize の設定を大きくすると、パフォーマンスが向上するが、多くのメモリを使用する。設定を小さくするとパフォーマンスが低下するが、使用するメモリ量が減る
AuchCacheTTL は、キャッシュエントリがキャッシュに保持され続ける時間を制御する。LDAP でエントリに加えた変更は、そのエントリの TTL の有効期限が切れないと、MMP からは認識されない。パスワードの変更を MMP に少なくとも 15 分おきには認識させたい場合は、この値を 900 に設定すること
これらの変数は、PreAuth が yes に設定されているときだけ使用される
デフォルトではそれぞれ、AuthCacheSize が 10,000、AuthCacheTTL が 900 になっている
このオプションは SMTP プロキシには適用されない
|
|
AuthenticationLdapAttributes
|
検索し AuthenticationServer オプションで指定したサードパーティ認証サーバーに渡すための、スペースで区切られた追加 LDAP 属性のリスト
|
|
AuthenticationServer
|
MMP とともに使用するサードパーティ認証サービスの、ホスト名とポート番号を指定する。MMP と同じマシン上でサードパーティの認証サービスが利用可能な場合、推奨される値は 127.0.0.1:56。開発者用の手順および SDK は、ディレクトリ msg_svr_base/examples/tpauth を参照
設定しない場合、MMP は LDAP 経由で認証する。PreAuth オプションが yes に設定されない限り、このパラメータは無視される。このパラメータは SMTP プロキシには適用されない
|
|
AuthService
AuthServiceTTL
|
AuthService が yes に設定されており、かつ AuthServiceTTL がゼロ以外の数値である場合は、POP before SMTP リレーの認証のために Messaging Multiplexor は、現在誰が Messaging Multiplexor にログインしているのかに関するクエリを受け入れる。AuthServiceTTL は、認証記録が有効である期間を秒で表す
デフォルトではそれぞれ、AuthService が no で、AuthServiceTTL が -1 になっている
AuthService パラメータをグローバルにオンにする必要はまったくと言ってよいほどない。この設定は仮想ドメインで行う必要がある。AuthService パラメータを yes に設定すると、POP プロトコルで xqueryauth ip-address コマンドでの AuthService キャッシュのプローブが許可される
POP before SMTP サービスの場合、AuthServiceTTL を、PopProxyAService.cfg ファイルで 0 より大きい値に設定する必要がある。他のすべての MMP プロキシ (SMTP および IMAP) の場合、AuthServiceTTL は、省略するか -1 に設定する必要がある。デフォルトでは、AuthServiceTTL パラメータは PopProxyAService.cfg 設定ファイルだけにある
|
|
BacksidePort
|
メッセージストアサーバーに接続するポート。このパラメータにより、Messaging Multiplexor とストアサーバーを同一のマシンで実行できるようになる。この場合、ストアサーバーは別のポートを使用する。この方法は、フラットな設定すなわち Messaging Multiplexor をすべてのマシン上で実行したい場合に使用するとよいだろう
このオプションは SMTP プロキシには適用されない。SmtpRelays パラメータは SMTP プロキシと同等の機能を備えている
デフォルトではそれぞれ、POP3 が 110、IMAP が 143 に設定されている (標準ポート)
|
|
Banner
|
見出しの置換文字列。Messaging Multiplexor は、グリーティング行に指定された文字列を使用する
デフォルトの見出し文字列には、ソフトウェア名とバージョン情報が含まれている
|
|
BeTheUser および BeTheGroup
|
接続を待機し始めると、BeTheUser が Messaging Multiplexor のユーザー ID、BeTheGroup が Messaging Multiplexor のグループ ID になる。これらの値は Messaging Server configure インストールプログラムにより設定される。これらの変数は UNIX 専用で、Windows プラットフォームでは無視される
BeTheUser パラメータおよび BeTheGroup パラメータは、AService.cfg 設定ファイルだけにある
|
|
BGMax
BGPenalty
BGMaxBadness
BGDecay
BGLinear
BGExcluded
|
BadGuys 設定パラメータ。特定のクライアント IP アドレスからの認証が失敗すると、それ以降その IP アドレスから認証を試みると「BadGuys」として扱われ、遅延される。認証の失敗の後に認証に成功すると、成功した認証は遅れるが、IP アドレスは以降の試行では「BadGuy」として扱われなくなる
BGMax は、同時にトラッキングする BadGuys の最大数を表す。デフォルトは 10,000
BGPenalty は、認証に失敗した場合に BadGuy の文に追加される秒単位の時間。デフォルトは 2
BGMaxBadness は、認証の失敗に対する最大ペナルティの長さを秒単位で表す。デフォルトは 60
BGDecay は、BadGuy のペナルティが許されるまでの時間を秒単位で表す。デフォルトは 900
BGLinear は、BadGuy のペナルティが時間とともに直線的に減少するのか、あるいは期限が切れたときに突然なくなるのかを定義するためのもの。デフルトは no でペナルティは期限が切れたときに突然なくなる
BGExcluded は、除外された IP/ マスクペアのリスト、またはこれらのペアを調べるために読み取るファイルの名前を表す。これらのクライアントアドレスは、認証が失敗してもペナルティは受けない (デフォルト値はない)
BadGuys パラメータは、PreAuth が yes に設定されているときだけ使用される。これらのパラメータは SMTP プロキシには適用されない
|
|
BindDN
BindPass
|
Directory Server への認証に使われる識別名およびパスワード。BindDN には、 BaseDN にアクセスするために LdapURL で指定された権限が必要
Messaging Server デフォルトディレクトリの ACI では、Directory Server に対してユーザーを認証するためのバインドが必要となる。
これらのオプションは ImapProxyAservice.cfg と PopProxyAservice.cfg の設定ファイルにある。これらのパラメータは SMTP プロキシには適用されない
|
|
CanonicalVirtualDomainDelim
|
標準の仮想ドメインデリミタ。Messaging Multiplexor によって使用される文字で、メッセージストアサーバーおよび LDAP サーバーに対して通信を行うときにユーザー ID とその後に続く仮想ドメインとを区別する
デフォルトは @ で、LDAP およびメッセージストアサーバーに渡されるユーザー ID は userid@virtual.domain という形式になる
このパラメータは SMTP プロキシには適用されない
|
|
Capability
|
能力置換文字列。Messaging Multiplexor は、デフォルト (独自) の能力ではなく Capability に指定された文字列を使って、クライアントまたはその背後にあるサーバーが何をできるのかを IMAP クライアントに伝える。この変数は、POP3 では効果がない
バックエンド IMAP サーバーがすべて、同じバージョンのメッセージングサーバーインストーラからの Sun ONE サーバーである場合は、この文字列を変更する必要はない。それ以外の場合は、すべてのバックエンド IMAP サーバーがサポートする機能のみが含まれるよう機能リストを必ず指定する。各種類のバックエンドサーバーのポート 143 に telnet し、c capability コマンドを入力すると、適切な文字列を決定できる。これにより、すべてのバックエンド IMAP サーバーでサポートされている機能のみがリストされる
デフォルトの能力を示す文字列は以下のとおり (改行はない)
"IMAP4 IMAP4rev1 ACL QUOTA LITERAL+ NAMESPACE UIDPLUS CHILDREN BINARY LANGUAGE XSENDER X-NETSCAPE XSERVERINFO"
Messaging Server 5.2 のバックエンドのメールストアを使用する場合、BINARY オプションを省略する必要がある。
このパラメータは SMTP プロキシには適用されないEhloKeywords パラメータは SMTP プロキシとほぼ同等の機能を備えている
|
|
CertmapDN
|
UserGroupDN と同等であり、新しい名称の UserGroupDN が優先されるため、このオプションは廃止される
|
|
CertMapFile
|
SSL のクライアントの証明書に基づく認証に使用するファイルである、証明書マップファイル
デフォルトはない
推奨される値は msg_svr_base/config/certmap.conf
|
|
ClientLookup
|
yes に設定されている場合、クライアント IP アドレスで DNS 逆引き検索を実行する。逆引き検索は無条件で実行されるため、SMTP リレーサーバーでこれを実行する必要はない。このオプションはホストドメインごとに設定できる
ClientLookup パラメータによって SMTP のパフォーマンスは向上するが、POP または IMAP とともに使用するときには利点がない。ホスト名が、グローバルな TCPAccess フィルタで使用される場合、ドメインごと、またはユーザーアクセスフィルタごとに使用される場合、DNS 検索はこの設定とは無関係に実行される
このオプションのデフォルトは no。
例 :
default:ClientLookup yes
|
|
ConnLimits
|
単一のクライアント IP アドレスから許可される同時接続の数を制限する
次の形式で記述され、各エントリはコンマで区切られる
IP "|" MASK ":" NUM
または、これらのエントリを 1 つ以上含む特定ファイルのパスおよび名前。エントリはそれぞれ別の行に記述する。これらのエントリは、最も特定化された IP-MASK のペアを先頭にし、より特定化されているものから順に配置する必要がある
デフォルトは 0.0.0.0|0.0.0.0:20
|
|
CRAMs
|
APOP と CRAM-MD5 を含む CRAM (Challenge-Response Authentication Mechanism) を有効にするかどうかを示すブール代数値。これを機能させるには、LDAP に平文形式で保存されているパスワードと、userPassword 属性への読み取りアクセスを持つ BindDN が必要
デフォルトは no。このパラメータは SMTP プロキシには適用されない
|
|
DefaultDomain
|
POP ユーザーと IMAP ユーザーは、認証を行うとき、通常は資格のないユーザー ID を指定する。このユーザー ID にはドメイン部がない。DefaultDomain パラメータの値は、資格のないユーザー ID に付け加えられる。このパラメータを MMP 仮想ドメインパラメータとして使用すると、複数の IP アドレスを持つ MMP サーバーで複数のホストドメインに対する資格のないユーザー ID をサポートできる。また、サービス全体のパラメータとして設定することもできる
このパラメータは SMTP プロキシには適用されない
|
|
EhloKeywords
|
クライアントとデフォルトのセットに渡すプロキシの EHLO 拡張キーワードのリスト。MMP は、SMTP リレーによって返される EHLO リストから、認識されない EHLO キーワードを削除する。EhloKeywords は、リストから削除されない追加の EHLO キーワードを指定する。デフォルトは空だが、SMTP プロキシは以下のキーワードをサポートする。これらのキーワードをこのオプションにリストする必要はない。8BITMIME、PIPELINING、ENHANCEDSTATUSCODES、EXPN、HELP、XLOOP、ETRN、SIZE、STARTTLS、AUTH
以下に、めったに使用されない TURN 拡張を用いるサイトでの使用例を示す
デフォルト : EhloKeywords TURN
このパラメータは SmtpProxyAService.cfg ファイルだけにある
|
|
FailoverTimeout
|
SMTP リレーへの接続に失敗すると、MMP は、フェイルオーバーのタイムアウトに相当する時間 (分) 、その SMTP リレーを試行できないようにする。たとえば、フェイルオーバーのタイムアウトが 10 秒のときに、リレーが失敗すると MMP は 10 分間、そのリレーを試そうとしない
デフォルトは 10 秒
|
|
HostedDomains
|
HostedDomains をサポートするかどうかを表すブール代数値
Sun ONE Messaging Server のディレクトリスキーマ (Sun ONE LDAP Schema, v1 または Sun ONE LDAP Schema, v2) を使用している場合、デフォルトの「Yes」に設定する必要がある
no に設定すると、MMP は、サーバーが 1 つのドメインだけをサポートし、それぞれ固有の UID を持つ、サーバーがサポートするすべてのユーザーを含むディレクトリサブツリーを LdapUrl がポイントする。小さな企業であっても名称変更や企業買収などにより複数ドメインが必要になる可能性があるため、HostedDomains を「no」に設定することは勧められない
yes に設定した場合、MMP は msg_svr_base/config/option.dat ファイルにある次の MTA オプションを遵守する
LDAP_SCHEMALEVEL
LDAP_DOMAIN_FILTER_SCHEMA1
LDAP_DOMAIN_FILTER_SCHEMA2
LDAP_ATTR_DOMAIN1_SCHEMA2
LDAP_ATTR_DOMAIN2_SCHEMA2
LDAP_GLOBAL_CONFIG_TEMPLATES
LDAP_ATTR_DOMAIN_SEARCH_FILTER
LDAP_DOMAIN_ATTR_BASEDN
LDAP_DOMAIN_ATTR_CANONICAL
LDAP_DOMAIN_ATTR_ALIAS
これらの設定は、Sun ONE LDAP Schema, v2 を MMP とともに使用可能にするために使用される場合もある
デフォルトは「Yes」。このパラメータは SMTP プロキシには適用されない
|
|
LdapCacheSize
LdapCacheTTL
|
Messaging Multiplexor はユーザーの検索結果をキャッシュすることができる。LdapCacheSize パラメータはキャッシュエントリの数を、LdapCacheTTL はエントリが保存される時間 (秒数) をそれぞれ定義する。値を小さくするとパフォーマンスが低下するが、LDAP ユーザー設定の変更の認識速度が速くなる。値を大きくするとパフォーマンスが向上するが、LDAP ユーザー設定の変更の認識速度が遅くなる
デフォルトは LdapCacheSize が 10,000 で、LdapCacheTTL が 900
これらのパラメータは SMTP プロキシには適用されない
|
|
LdapRefreshInterval
|
MMP が LDAP サーバーとの接続を開いたままにする秒数。更新間隔が過ぎたことを MMP が検知すると、MMP は LDAP 接続を閉じ新しい接続を開く
デフォルトは 2100 (35 分)
|
|
LdapUrl
|
HostedDomains が yes (デフォルト) に設定されている場合の、サイトの DC ディレクトリツリーにおける最上位へのポインタ。HostedDomains が no に設定されている場合、サーバーがサポートするすべてのユーザーを含むディレクトリサブツリーを LdapUrl がポイントすると想定するMessaging Multiplexor を正確に動作させるためには、このパラメータを必ず設定しなければならない
SSL (LDAPS) はサポートされているが、SSL の設定が正しく、SSL を使用できる状態になっていなければならない。フェイルオーバーを有効にするには、URL のホスト部分をスペースで区切ったホストのリストにする。URL にスペースが含まれる場合は、URL 全体を二重引用符で囲む
例 :
"ldap://ldap1 ldap2/o=internet"
デフォルトは ldap://ローカルホスト/o=internet
このパラメータは SMTP プロキシには適用されない
|
|
LogDir
LogLevel
|
LogDir は、Messaging Multiplexor がログファイルを作成するディレクトリ。存在しないディレクトリを指定すると、ログファイルは作成されない。ログファイルの名前は、サービスを区別できるように付けられる。たとえば、IMAP のログファイルは ImapProxy_yyyymmdd.log という形式になる
LogLevel は、ログファイルに記録される情報の量を示す、ログの詳細レベルを表す。最高の詳細レベルを 10 として、0 から 10 までの数字を指定できる。レベルが高いほどログに記録される量も多くなる
LogDir および LogLevel は、次のすべての設定ファイルに含まれる。ImapProxyAService.cfg、PopProxyAService.cfg、AService.cfg、および SmtpProxyAService.cfg
LogDir のデフォルトは msg_svr_base/data/log で、LogLevel のデフォルトは 1
|
|
MailHostAttrs
|
スペースで区切られた、ユーザーのメールホストを識別する LDAP 属性のリスト。Messaging Multiplexor は、リストで指定された順に、検索によって返された各属性を試す
デフォルトは mailHost。このパラメータは SMTP プロキシには適用されない
|
|
NumThreads
|
割り当てるワーカースレッドの最大数。マシンに複数の CPU が搭載されている場合は、ワーカースレッドとともに Messaging Multiplexor を実行することによりパフォーマンスを向上させることが可能。最適なワークスレッドの数はマシンに搭載されているプロセッサの数と同じになる。たとえば、CPU を 2 つ搭載したマシンの場合には 2 を指定する
このパラメータがあるのは、AService.cfg 設定ファイルだけである
デフォルトは 1
|
|
PopBeforeSmtpKludgeChannel
|
POP before SMTP 認証済み接続用に使用する MTA チャネルの名前。デフォルトは空で、POP before SMTP を有効にするユーザーに対する通常の設定は tcp_intranet
例 :
default:PopBeforeSmtpKludgeChannel tcp_intranet
このパラメータは SmtpProxyAService.cfg 設定ファイルだけにある
|
|
PreAuth
|
MMP による事前認証を有効にする。PreAuth が yes に設定されているとき、ユーザーは、バックエンドのメールストアサーバーに対して接続が行われる前に、LDAP サーバーに対して認証される。PreAuth が no に設定されているとき、MMP はバックエンドのメールストアサーバーに接続し、単に認証情報を再生する。PreAuth は追加の認証ステップのために全体的なパフォーマンスを低下させるが、バックエンドのメールストアサーバーを、承認されていないユーザーによるサービス拒否攻撃から保護する。MMP の POP-before-SMTP および BadGuys 機能では、PreAuth は必須
HostedDomains を使用する場合は、LDAP サーバーのドメインノードの mailAccessProxyPreAuth 属性によってこのオプションが上書きされる
デフォルトは no。このパラメータは SMTP プロキシには適用されない
|
|
ReplayFormat
|
メッセージストアサーバーへ再生するユーザー ID の作成方法を示す Printf スタイル形式の文字列。有効なエスケープシーケンスは次のとおり
%U (ユーザーid のみ)
%V (仮想ドメインのみ)
%A[attr] (ユーザーの属性 "attr" の値)
たとえば、ユーザー ID が joe で domain=siroe.com の %A[uid]@%V は、次のようになる
joe@siroe.com
HostedDomains を使用する場合は、LDAP サーバーのドメインノードの mailAccessProxyReplay 属性によってこのオプションが上書きされる
デフォルトは %U。このパラメータは SMTP プロキシには適用されない
|
|
RestrictPlainPasswords
|
yes に設定すると、SSL/TLS セキュリティレイヤーが有効でない限り、プレーンテキストのパスワードの使用を禁止する
デフォルトは no
|
|
SearchFormat
|
仮想ドメインが有効であるときに、ユーザーのメールホストに対するユーザー / グループ LDAP クエリを作成するための printf スタイル形式の文字列。有効なエスケープシーケンスは次のとおり
%s (ユーザーid + 仮想ドメイン)
%U (ユーザーid のみ)
%V (仮想ドメインのみ)
%C (クライアント IP アドレス)
%S (サーバー IP アドレス)
%D (クライアント証明書 DN)
デフォルト値は、HostedDomains が yes の場合は uid=%U、HostedDomains が no の場合は uid=%s
HostedDomains を使用する場合は、LDAP サーバーのドメインノードの inetDomainSearchFilter 属性によってこのオプションが上書きされる
このパラメータは SMTP プロキシには適用されない
|
|
ServerDownAlert
|
IMAP 専用。Messaging Multiplexor がユーザーストアサーバーに接続できないとき、IMAP ALERT メッセージとしてクライアントに返される文字列
デフォルトの文字列は「Your IMAP server appers to be temporarily out of service. (IMAP サーバーは一時的に使用できない状態になっているようです)」
|
|
ServiceList
|
どのサービスを開始するか、および Messaging Multiplexor がそれらのサービスをリッスンするポート / インタフェースを指定する。以下の形式で、すべてのサービスを一行に並べて記述する
DLLNAME [ "|" INSTANCENAME [ "|" SECTION ]] "@" HOSTPORT [ "|" HOSTPORT ]
DLLNAME は、ロードする AService DLL に対する絶対パスとファイル名 (DLL ファイルの拡張子 .so や .dll などを取り除いたもの)。DLLNAME が 1 つも指定されていない場合、または指定されているものを読み込んだり初期化できない場合は、AService デーモンが終了する。カスタマ提供の DLL (共有ライブラリ) は使用できない
INSTANCENAME は、IMAP、POP、または SMTP サービスで使用する設定ファイルの名前を表す (.cfg 拡張子を取り除いたもの。デフォルトはそれぞれ ImapProxyAService、PopProxyAService、および SmtpProxyAService)。INSTANCENAME には、異なるインスタンスの設定パラメータを同じ設定ファイル内で指定できる SECTION パラメータを取ることもできる。SECTION の使用は推奨されておらず、将来のリリースで廃止される予定。デフォルトの SECTION は default
ServiceList パラメータがあるのは、AService.cfg 設定ファイルだけである
デフォルトの ServiceList エントリは以下のとおりで、すべて一行に記述されている
msg_svr_base/lib/ImapProxyAService@143|993 msg_svr_base/lib/PopProxyAService@110
|
|
SmtpProxyPassword
|
SMTP リレーサーバーでソースチャネルの変更を承認するために使われるパスワード。このオプションは必須で、デフォルトはなく、SMTP チャネルのオプションファイルの PROXY_PASSWORD オプションと一致する必要がある
例 :
default:SmtpProxyPassword password
このパラメータは SmtpProxyAService.cfg 設定ファイルだけにある
|
|
SmtpRelays
|
ラウンドロビンリレーに使用する SMTP リレーサーバーホスト名 (オプションのポート付き) の、スペースで区切られたリスト。これらのリレーは XPEHLO 拡張をサポートする必要がある。このオプションは必須で、デフォルトはない
例 :
default:SmtpRelays sesta:485 gonzo mothra
このパラメータは SmtpProxyAService.cfg 設定ファイルだけにある
|
|
SpoofMessageFile
|
POP3 Inbox のスプーフィングに使用するファイル。Messaging Multiplexor は、クライアントストアマシンに接続できない場合に POP3 サーバーの基本的な機能を模倣できる。そのとき、Messaging Multiplexor はユーザーのために Inbox を作成し、この 1 つのメッセージをその Inbox に入れる。このファイル内のメッセージの形式は RFC 822 に準拠していなければならない (最後の '.' を含む)
デフォルトでは、スプーフメッセージファイルはない
|
|
StoreAdmin
StoreAdminPass
|
StoreAdmin は、SSL クライアント証明書と RFC 2595 形式のプロキシ認証のサポートに必要なプロキシ認証に対するストア管理者のユーザー名を表す。StoreAdmin と StoreAdminPass にはデフォルトはない
このパラメータは SMTP プロキシには適用されない
|
|
TCPAccess
|
Messaging Multiplexor の TCP アクセス制御を記述するラップスタイルのフィルタ (グローバル)
このオプションの構文の説明は、『Sun ONE Messaging Server 管理者ガイド』の「セキュリティとアクセス制御を設定する」の章にある「POP、IMAP、および HTTP サービスへのクライアントアクセスを設定する」を参照
デフォルトは NULL
|
|
TCPAccessAttr
|
ユーザーの TCP アクセス制御を記述したラップスタイルのフィルタを含むユーザーごとの属性
デフォルト mailAllowedServiceAccess
|
|
Timeout
|
秒単位のセッションタイムアウト。標準に準拠するため、このパラメータの値を IMAP に対して 1800 秒 (30 分) 以下、POP または SMTP に対して 600 秒 (10 分) 以下に設定することは避ける
デフォルトは 1800 秒
|
|
UserGroupDN
|
Sun ONE LDAP Schema, v2 モードでユーザー、グループおよびドメイン検索のための baseDN を指定する。Sun ONE LDAP Schema, v1 モードでクライアント証明書マッピング検索にも使用される
|
|
VirtualDomainDelim
|
受け入れられる仮想ドメインデリミタの文字列。この文字列内の文字はすべて、Messaging Multiplexor が受け取るユーザー ID のドメインデリミタとして扱われる。Messaging Multiplexor は最後からユーザー ID を検索する
デフォルトのデリミタは @。このパラメータは SMTP プロキシには適用されない
|
|
VirtualDomainFile
|
仮想ドメインマッピングを含んだファイルの名前
推奨される値は msg_svr_base/config/vdmap.cfg 仮想ドメインのサポートを有効にするには、設定ファイルのこの行をコメント解除する
|
