SSL を使用する MMP を設定する

SSL を使用するように MMP を構成するには、次の手順に従います。

ここでは、メッセージストアまたは MTA を持たないマシンに MMP をインストールすることを前提としています。

SSL を使用する MMP を設定するには

手順

1. 管理サーバーがインストールされている場合は、管理コンソールを使用して SSL サーバー証明書をインストールします。それ以外の場合は、NSS ツールを使用します。「ネットワークセキュリティーサービスツール」を参照してください。

   「iPlanet Console 5.0 を使用した Managing Servers の管理」を参照してください。

2. 管理サーバーがインストールされている場合は、操作を簡略化するために、コマンド行で次のシンボリックリンクを作成します。

   cd msg_svr_base/config ln -s /var/mps/serverroot/alias/admin-serv-instance-cert7.db cert7.db ln -s /var/mps/serverroot/alias/admin-serv-instance-key3.db key3.db

   さらに、これらのファイルが、MMP を実行するシステム ID に属していることを確認します。Messaging Server の現在のバージョンは、新しい証明書データベース形式 (cert8.db) をサポートしています。

3. sslpassword.conf ファイルは Messaging Server の初期実行時設定で設定されているので、新しく設定する必要はありません。「Messaging Server の初期実行時設定を作成する」を参照してください。

   ---

   注 –

   手順 1 〜 8 を実行する代わりに、既存の Messaging Server または Directory Server の cert7.db、key3.db、secmod.db、および sslpassword.conf の各ファイルをコピーする方法もあります。コピー元のサーバーには、同じドメインに対する適切なサーバー証明書とキーがあらかじめインストールされている必要があります。

   ---

4. ImapProxyAService.cfg ファイルを編集して、関連のある SSL 設定のコメント記号を削除します。

5. SSL と POP を使用する場合は、PopProxyAService.cfg ファイルを編集して、関連のある SSL 設定のコメント記号を削除します。

   さらに、AService.cfg ファイルを編集して、ServiceList 設定の「110」のあとに「|995」を追加します。

6. ImapProxyAService.cfg ファイルと PopProxyAService.cfg ファイルに、BindDN オプションと BindPass オプションが設定されていることを確認します。

   さらに、DefaultDomain オプションには、デフォルトドメイン (資格のないユーザー名で使用するドメイン) を設定する必要があります。

   サーバー側のみで SSL を使用する場合は、これで作業は完了です。msg_svr_base/sbin ディレクトリで次のコマンドを使用して MMP を起動します。

   start-msg mmp

クライアント証明書を使用したログインを行うように MMP を設定するには

クライアント証明書を使用したログインを行う場合は、次の手順に従います。

手順

1. クライアント証明書とそれに署名した CA 証明書のコピーを入手します。

2. 以前と同じように、MMP をインストールしたマシン上で Sun ONE Console を起動します。ただし、この時に信頼できる認証局として CA 証明書をインポートします。

3. Messaging Server のインストール時に作成したストア管理者 (Store Administrator) を使用します。

   詳細は、「ストアへの管理者によるアクセスを指定する」を参照してください。

4. MMP の certmap.conf ファイルを作成します。例:

   certmap default default default:DNComps default:FilterComps e=mail

   これは、LDAP サーバーの mail 属性を調べて、証明書 DN の e フィールドと一致するものを検索することを意味します。

5. ImapProxyAService.cfg ファイルを編集し、次の設定を行います。

   1. CertMapFile には、certmap.conf を設定します。

   2. StoreAdmin と StorePass には、手順 3 の値を設定します。

   3. UserGroupDN には、ユーザー/グループツリーのルートを設定します。

6. POP3 によるクライアント証明書を必要とする場合は、PopProxyAService.cfg ファイルに対して、手順 5 の操作を繰り返します。

7. MMP がまだ実行されていない場合は、msg_svr_base/sbin ディレクトリで次のコマンドを使用して MMP を起動します。

   start-msg mmp

8. クライアント証明書をクライアントにインポートします。Netscape^TM Communicator では、鍵 (セキュリティー) のアイコンをクリックし、「証明書」の「本人」を選択し、次に、「証明書のインポート...」を選択して画面の指示に従います。

   ---

   注 –

   すべてのログインでクライアント証明書を使用する場合は、すべてのユーザーがこの手順を実行する必要があります。

   ---

トポロジの例

Siroe Corporation という会社には Messaging Multiplexor をインストールしたマシンが 2 台あり、どちらのマシンも複数の Messaging Server をサポートしているという例を想定します。POP および IMAP のユーザーメールボックスは複数の Messaging Server マシンに振り分けられており、それぞれのサーバーは POP 専用または IMAP 専用となっています (クライアントアクセスを POP サービスだけに限定するには、ServiceList から ImapProxyAService エントリを削除。同様に IMAP サービスだけに限定するには、ServiceList から PopProxyAService エントリを削除)。どちらの Messaging Multiplexor も POP だけ、または IMAP だけしかサポートしません。LDAP ディレクトリサービスは、別の専用マシンに置かれています。

このトポロジを、図 7–2 に示します。

図 7–2 複数の MMP による複数の Messaging Server のサポート

IMAP の構成例

図 7–2 の IMAP Messaging Multiplexor は、2 個のプロセッサを持つ sandpit というマシンにインストールされています。この Messaging Multiplexor は、IMAP 接続の標準ポート (143) を待機しています。Messaging Multiplexor はユーザーメールボックスの情報を扱うホスト phonebook の LDAP サーバーと通信し、適切な IMAP サーバーに接続をルーティングします。この Multiplexor は、IMAP の capability 文字列を無効にし、仮想ドメインファイルを提供し、SSL 通信をサポートします。

この例の ImapProxyAService.cfg 設定ファイルの内容は、次のとおりです。

default:LdapUrl ldap://phonebook.siroe.com/o=internet
default:LogDir /opt/SUNWmsgsr/config/log
default:LogLevel 5
default:BindDN "cn=Directory Manager"
default:BindPass secret
default:BacksidePort 143
default:Timeout 1800
default:Capability "IMAP4 IMAP4rev1 ACL QUOTA LITERAL+ NAMESPACE 
UIDPLUS CHILDREN BINARY LANGUAGE XSENDER X-NETSCAPE XSERVERINFO"
default:SearchFormat (uid=%s)
default:SSLEnable yes
default:SSLPorts 993
default:SSLSecmodFile /opt/SUNWmsgsr/config/secmod.db
default:SSLCertFile /opt/SUNWmsgsr/config/cert7.db
default:SSLKeyFile /opt/SUNWmsgsr/config/key3.db
default:SSLKeyPasswdFile ""
default:SSLCipherSpecs all
default:SSLCertNicknames Siroe.com Server-Cert
default:SSLCacheDir /opt/SUNWmsgsr/config
default:SSLBacksidePort 993
default:VirtualDomainFile /opt/SUNWmsgsr/config/vdmap.cfg
default:VirtualDomainDelim @
default:ServerDownAlert "your IMAP server appears to be temporarily
out of service"
default:MailHostAttrs mailHost
default:PreAuth no
default:CRAMs no
default:AuthCacheSize 10000
default:AuthCacheTTL 900
default:AuthService no
default:AuthServiceTTL 0
default:BGMax 10000
default:BGPenalty 2
default:BGMaxBadness 60
default:BGDecay 900
default:BGLinear no
default:BGExcluded /opt/SUNWmsgsr/config/bgexcl.cfg
default:ConnLimits 0.0.0.0|0.0.0.0:20
default:LdapCacheSize 10000
default:LdapCacheTTL 900
default:HostedDomains yes
default:DefaultDomain Siroe.com

POP の構成例

「トポロジの例」の POP Messaging Multiplexor は、4 個のプロセッサを持つ tarpit というマシンにインストールされています。この Messaging Multiplexor は POP 接続の標準ポート (110) を待機しています。Messaging Multiplexor はユーザーメールボックス情報を扱うホスト phonebook の LDAP サーバーと通信し、適切な POP サーバーに接続をルーティングします。さらに、この Multiplexor は、スプーフメッセージファイルも提供します。

この例の PopProxyAService.cfg 設定ファイルの内容は、次のとおりです。

default:LdapUrl ldap://phonebook.siroe.com/o=internet
default:LogDir /opt/SUNWmsgsr/config/log
default:LogLevel 5
default:BindDN "cn=Directory Manager"
default:BindPass password
default:BacksidePort 110
default:Timeout 1800
default:SearchFormat (uid=%s)
default:SSLEnable no
default:VirtualDomainFile /opt/SUNWmsgsr/config/vdmap.cfg
default:VirtualDomainDelim @
default:MailHostAttrs mailHost
default:PreAuth no
default:CRAMs no
default:AuthCacheSize 10000
default:AuthCacheTTL 900
default:AuthService no
default:AuthServiceTTL 0
default:BGMax 10000
default:BGPenalty 2
default:BGMaxBadness 60
default:BGDecay 900
default:BGLinear no
default:BGExcluded /opt/SUNWmsgsr/config/bgexcl.cfg
default:ConnLimits 0.0.0.0|0.0.0.0:20
default:LdapCacheSize 10000
default:LdapCacheTTL 900
default:HostedDomains yes
default:DefaultDomain Siroe.com