Sun Java System Messaging Server 6.3 管理ガイド

5.2 ログインの要件

ユーザーは POP、IMAP、または HTTP サービスにログインしてメールを取り込みます。このユーザーによるログインの方法は制御できます。パスワードに基づくログイン (すべてのサービス)、および証明書に基づくログイン (IMAP または HTTP サービス) を許可することができます。この節では、そのための基礎的な情報を提供します。これらの設定を行う手順については、「5.5 POP サービスを設定する」、「5.6 IMAP サービスを設定する」、および「5.7 HTTP サービスを設定する」を参照してください。さらに、POP ログインの有効なログイン区切りを指定することもできます。

POP クライアントのログイン区切りを設定する

メールクライアントによっては、ログイン区切りとして @ を使用できない場合があります。アドレスに含まれる@ が uid@domain と似ているからです。これらのクライアントの例には、Microsoft Windows 2000 上で動作する Netscape Messenger 4.76、Netscape Messenger 6.0、および Microsoft Outlook Express があります。これを回避するには次のようにします。

次のコマンドを使って + を有効な区切りにします。

configutil -o service.loginseparator -v "@+"

POP クライアントユーザーに @ ではなく + をログイン区切りとして使ってログインするよう知らせます。

5.2.1 ドメイン名を使用せずにログインを許可する

標準のログインでは、ユーザーがユーザー ID、区切り文字、ドメイン名の順に入力し、次にパスワードを入力する必要があります。ただし、インストール時に指定したデフォルトのドメインのユーザーは、ドメイン名や区切り文字を入力しなくてもログインできます。

ほかのドメインのユーザーもユーザー ID だけでログインできるようにする (ドメイン名と区切り文字を不要にする) には、sasl.default.ldap.searchfordomain を 0 に設定します。ユーザー ID はディレクトリツリー全体で一意になるようにする必要があります。ユーザー ID が一意でない場合、ドメイン名を指定せずにログインすると失敗します。

ログイン時にユーザーが入力する必要がある属性を変更することもできます。たとえば、電話番号 (telephoneNumber) や従業員番号 (employeeID) を入力させたい場合は、configutil のパラメータ sasl.default.ldap.searchfilter で定義されている LDAP 検索を変更します。このパラメータは、ドメイン単位の inetdomainsearchfilter 属性のグローバルなデフォルト設定であり、同じ構文に従っています。

これらのパラメータの詳細については、『Sun Java System Messaging Server 6.3 Administration Reference 』を参照してください。

5.2.2 パスワードに基づくログイン

一般的なメッセージングインストールでは、ユーザーは POP、IMAP、または HTTP メールクライアントにパスワードを入力してメールボックスにアクセスします。クライアントがパスワードをサーバーに送信すると、サーバーはそのパスワードを使ってユーザーを認証します。ユーザーが認証されると、アクセス制御ルールに基づき、そのサーバーに保存されている特定のメールボックスへのアクセスを許可するかどうかが決定されます。

パスワードログインを認めると、ユーザーはパスワードを入力することにより POP、IMAP、または HTTP にアクセスできるようになります。POP サービスにおける認証方法は、パスワードまたは SSL に基づくログインのみです。パスワードは LDAP ディレクトリに保存されます。パスワードの必要最小文字数などのポリシーは、ディレクトリポリシーによって決まります。

IMAP または HTTP サービスに対してパスワードログインを認めない場合は、パスワードに基づく認証は許可されません。その場合、次の節で説明する証明書に基づくログインを行わなければなりません。

IMAP および HTTP サービスにおけるパスワード送信のセキュリティーを強化するために、サーバーに送信する前にパスワードを暗号化するように要求できます。そのためには、ログインに必要な暗号化最小文字数を選択します。

暗号化の必要がない場合にはゼロを選択します。クライアントポリシーによって、パスワードは平文で、または暗号化されて送信されます。
ゼロ以外の値を選択すると、クライアントは指定した値を満たすキー長の暗号化方式を使って、サーバーとの SSL セッションを確立しなければなりません。これにより、クライアントが送信する IMAP または HTTP のユーザーパスワードがすべて暗号化されます。

クライアントにおける暗号化のキー長設定がサーバーのサポートする最大長より大きい場合、またはサーバーにおける暗号化のキー長設定がクライアントのサポートする最大長より大きい場合は、パスワードに基づくログインを行うことができません。さまざまな暗号化方式とキー長をサポートするようにサーバーを設定する方法については、「23.5.2 SSL を有効化し暗号化方式を選択する」を参照してください。

5.2.3 証明書に基づくログイン

Sun Java System サーバーでは、パスワードに基づくログインに加えて、デジタル証明書の確認によるユーザー認証もサポートしています。サーバーとの SSL セッションを確立するときに、パスワードの代わりにユーザーの証明書を提示します。証明書の信頼性が確認されると、そのユーザーは認証済みであるとみなされます。

IMAP または HTTP サービスに対し、証明書に基づくログインを認めるように Messaging Server を設定する方法については、「23.5.3 証明書に基づくログインを設定する」を参照してください。

証明書に基づくログインを有効にするためにパスワードログインを無効にする必要はありません。パスワードログインが有効になっていても、証明書に基づくログインの設定を行なった場合は、パスワードに基づくログインと証明書に基づくログインの両方がサポートされます。その場合、クライアントが SSL セッションを確立して証明書を提示すると、証明書に基づくログインが使用されます。クライアントが SSL を使用しない場合や、クライアント証明書を提示しない場合には、代わりにパスワードが送信されます。