SSL を使用するように MMP を構成するには、次の手順に従います。
ここでは、メッセージストアまたは MTA を持たないマシンに MMP をインストールすることを前提としています。
管理サーバーがインストールされている場合は、管理コンソールを使用して SSL サーバー証明書をインストールします。それ以外の場合は、NSS ツールを使用します。「ネットワークセキュリティーサービスツール」を参照してください。
「iPlanet Console 5.0 を使用した Managing Servers の管理」を参照してください。
管理サーバーがインストールされている場合は、操作を簡略化するために、コマンド行で次のシンボリックリンクを作成します。
cd msg_svr_base/config ln -s /var/mps/serverroot/alias/admin-serv-instance-cert7.db cert7.db ln -s /var/mps/serverroot/alias/admin-serv-instance-key3.db key3.db |
さらに、これらのファイルが、MMP を実行するシステム ID に属していることを確認します。Messaging Server の現在のバージョンは、新しい証明書データベース形式 (cert8.db) をサポートしています。
sslpassword.conf ファイルは Messaging Server の初期実行時設定で設定されているので、新しく設定する必要はありません。「Messaging Server の初期実行時設定を作成する」を参照してください。
手順 1 〜 8 を実行する代わりに、既存の Messaging Server または Directory Server の cert7.db、key3.db、secmod.db、および sslpassword.conf の各ファイルをコピーする方法もあります。コピー元のサーバーには、同じドメインに対する適切なサーバー証明書とキーがあらかじめインストールされている必要があります。
ImapProxyAService.cfg ファイルを編集して、関連のある SSL 設定のコメント記号を削除します。
SSL と POP を使用する場合は、PopProxyAService.cfg ファイルを編集して、関連のある SSL 設定のコメント記号を削除します。
さらに、AService.cfg ファイルを編集して、ServiceList 設定の「110」のあとに「|995」を追加します。
ImapProxyAService.cfg ファイルと PopProxyAService.cfg ファイルに、BindDN オプションと BindPass オプションが設定されていることを確認します。
さらに、DefaultDomain オプションには、デフォルトドメイン (資格のないユーザー名で使用するドメイン) を設定する必要があります。
サーバー側のみで SSL を使用する場合は、これで作業は完了です。msg_svr_base/sbin ディレクトリで次のコマンドを使用して MMP を起動します。
start-msg mmp
クライアント証明書を使用したログインを行う場合は、次の手順に従います。
クライアント証明書とそれに署名した CA 証明書のコピーを入手します。
以前と同じように、MMP をインストールしたマシン上で Sun ONE Console を起動します。ただし、この時に信頼できる認証局として CA 証明書をインポートします。
Messaging Server のインストール時に作成したストア管理者 (Store Administrator) を使用します。
詳細は、「ストアへの管理者によるアクセスを指定する」を参照してください。
MMP の certmap.conf ファイルを作成します。例:
certmap default default default:DNComps default:FilterComps e=mail |
これは、LDAP サーバーの mail 属性を調べて、証明書 DN の e フィールドと一致するものを検索することを意味します。
ImapProxyAService.cfg ファイルを編集し、次の設定を行います。
CertMapFile には、certmap.conf を設定します。
StoreAdmin と StorePass には、手順 3 の値を設定します。
UserGroupDN には、ユーザー/グループツリーのルートを設定します。
POP3 によるクライアント証明書を必要とする場合は、PopProxyAService.cfg ファイルに対して、手順 5 の操作を繰り返します。
MMP がまだ実行されていない場合は、msg_svr_base/sbin ディレクトリで次のコマンドを使用して MMP を起動します。
start-msg mmp
クライアント証明書をクライアントにインポートします。NetscapeTM Communicator では、鍵 (セキュリティー) のアイコンをクリックし、「証明書」の「本人」を選択し、次に、「証明書のインポート...」を選択して画面の指示に従います。
すべてのログインでクライアント証明書を使用する場合は、すべてのユーザーがこの手順を実行する必要があります。
Siroe Corporation という会社には Messaging Multiplexor をインストールしたマシンが 2 台あり、どちらのマシンも複数の Messaging Server をサポートしているという例を想定します。POP および IMAP のユーザーメールボックスは複数の Messaging Server マシンに振り分けられており、それぞれのサーバーは POP 専用または IMAP 専用となっています (クライアントアクセスを POP サービスだけに限定するには、ServiceList から ImapProxyAService エントリを削除。同様に IMAP サービスだけに限定するには、ServiceList から PopProxyAService エントリを削除)。どちらの Messaging Multiplexor も POP だけ、または IMAP だけしかサポートしません。LDAP ディレクトリサービスは、別の専用マシンに置かれています。
このトポロジを、図 7–2 に示します。
図 7–2 の IMAP Messaging Multiplexor は、2 個のプロセッサを持つ sandpit というマシンにインストールされています。この Messaging Multiplexor は、IMAP 接続の標準ポート (143) を待機しています。Messaging Multiplexor はユーザーメールボックスの情報を扱うホスト phonebook の LDAP サーバーと通信し、適切な IMAP サーバーに接続をルーティングします。この Multiplexor は、IMAP の capability 文字列を無効にし、仮想ドメインファイルを提供し、SSL 通信をサポートします。
この例の ImapProxyAService.cfg 設定ファイルの内容は、次のとおりです。
default:LdapUrl ldap://phonebook.siroe.com/o=internet default:LogDir /opt/SUNWmsgsr/config/log default:LogLevel 5 default:BindDN "cn=Directory Manager" default:BindPass secret default:BacksidePort 143 default:Timeout 1800 default:Capability "IMAP4 IMAP4rev1 ACL QUOTA LITERAL+ NAMESPACE UIDPLUS CHILDREN BINARY LANGUAGE XSENDER X-NETSCAPE XSERVERINFO" default:SearchFormat (uid=%s) default:SSLEnable yes default:SSLPorts 993 default:SSLSecmodFile /opt/SUNWmsgsr/config/secmod.db default:SSLCertFile /opt/SUNWmsgsr/config/cert7.db default:SSLKeyFile /opt/SUNWmsgsr/config/key3.db default:SSLKeyPasswdFile "" default:SSLCipherSpecs all default:SSLCertNicknames Siroe.com Server-Cert default:SSLCacheDir /opt/SUNWmsgsr/config default:SSLBacksidePort 993 default:VirtualDomainFile /opt/SUNWmsgsr/config/vdmap.cfg default:VirtualDomainDelim @ default:ServerDownAlert "your IMAP server appears to be temporarily out of service" default:MailHostAttrs mailHost default:PreAuth no default:CRAMs no default:AuthCacheSize 10000 default:AuthCacheTTL 900 default:AuthService no default:AuthServiceTTL 0 default:BGMax 10000 default:BGPenalty 2 default:BGMaxBadness 60 default:BGDecay 900 default:BGLinear no default:BGExcluded /opt/SUNWmsgsr/config/bgexcl.cfg default:ConnLimits 0.0.0.0|0.0.0.0:20 default:LdapCacheSize 10000 default:LdapCacheTTL 900 default:HostedDomains yes default:DefaultDomain Siroe.com |
「トポロジの例」の POP Messaging Multiplexor は、4 個のプロセッサを持つ tarpit というマシンにインストールされています。この Messaging Multiplexor は POP 接続の標準ポート (110) を待機しています。Messaging Multiplexor はユーザーメールボックス情報を扱うホスト phonebook の LDAP サーバーと通信し、適切な POP サーバーに接続をルーティングします。さらに、この Multiplexor は、スプーフメッセージファイルも提供します。
この例の PopProxyAService.cfg 設定ファイルの内容は、次のとおりです。
default:LdapUrl ldap://phonebook.siroe.com/o=internet default:LogDir /opt/SUNWmsgsr/config/log default:LogLevel 5 default:BindDN "cn=Directory Manager" default:BindPass password default:BacksidePort 110 default:Timeout 1800 default:SearchFormat (uid=%s) default:SSLEnable no default:VirtualDomainFile /opt/SUNWmsgsr/config/vdmap.cfg default:VirtualDomainDelim @ default:MailHostAttrs mailHost default:PreAuth no default:CRAMs no default:AuthCacheSize 10000 default:AuthCacheTTL 900 default:AuthService no default:AuthServiceTTL 0 default:BGMax 10000 default:BGPenalty 2 default:BGMaxBadness 60 default:BGDecay 900 default:BGLinear no default:BGExcluded /opt/SUNWmsgsr/config/bgexcl.cfg default:ConnLimits 0.0.0.0|0.0.0.0:20 default:LdapCacheSize 10000 default:LdapCacheTTL 900 default:HostedDomains yes default:DefaultDomain Siroe.com |