Sun Java System Messaging Server 6 2005Q4 관리 설명서

Messaging Multiplexor 정보

Sun Java System Messaging Multiplexor(MMP)는 여러 개의 백엔드 Messaging Server에 대한 연결의 단일 지점 역할을 하는 특수 Messaging Server입니다. Messaging Multiplexor를 사용하여 대규모 메시징 서비스 공급자는 POP 및 IMAP 사용자 메일함을 여러 시스템에서 분산시켜 메일 저장소 용량을 늘릴 수 있습니다. 모든 사용자가 하나의 멀티플렉서 서버에 연결하고 이 서버가 각 연결을 적절한 Messaging Server로 리디렉션합니다.

여러 사용자에게 전자 메일 서비스를 제공하는 경우 Messaging Multiplexor를 설치 및 구성하여 전체 Messaging Server의 배열이 메일 사용자에게는 하나의 호스트로 표시되도록 할 수 있습니다.

Messaging Multiplexor는 Messaging Server의 일부로 제공됩니다. MMP는 Messaging Server 또는 기타 Sun Java System 서버를 설치할 때 함께 설치하거나 나중에 MMP만 따로 설치할 수 있습니다. MMP 지원 기능은 다음과 같습니다.

메일 클라이언트와의 암호화(SSL)된 통신 및 암호화되지 않은 통신 모두
클라이언트 인증서 기반 인증( 인증서 기반 클라이언트 인증에서 설명함)
사용자 사전 인증( 사용자 사전 인증에서 설명함)
다른 IP 주소에 수신하고 도메인 이름을 사용자 아이디에 자동으로 추가하는 가상 도메인( MMP 가상 도메인에서 설명함)
다른 서버에 MMP 다중 설치(Sun Java Enterprise System 2005Q4 설치 설명서 참조)
향상된 LDAP 검색
레거시 POP 클라이언트용 POP before SMTP 서비스. 자세한 내용은 POP before SMTP 사용을 참조하십시오.

Messaging Multiplexor의 작동 방식

MMP는 메일 사용자를 여러 서버 시스템으로 분산시키는 다중 스레드 서버입니다. MMP는 다른 서버 시스템(사용자 메일함이 있는 시스템)으로 지정된 수신 클라이언트 연결을 처리합니다. 클라이언트는 MMP 자체에 연결하며, MMP는 사용자에 대한 적절한 서버를 결정하고 해당 서버에 연결한 다음 클라이언트와 서버 사이에 데이터를 전달합니다. 이 기능을 통해 인터넷 서비스 공급자 및 기타 대규모 설치 조직에서는 메일 저장소를 여러 시스템에 분산시킬 수 있으며(용량 증가), 사용자(효율성 증가)와 외부 클라이언트(보안 증가)에게는 하나의 메일 호스트로 보이게 합니다. Messaging Multiplexor의 작동 방식은 MMP 설치에서 서버와 클라이언트가 상호간 어떻게 관련되어 있는지 보여 줍니다.

그림 7–1 MMP 설치 환경에서의 클라이언트와 서버

모든 POP, IMAP 및 SMTP 클라이언트를 Messaging Multiplexor와 함께 사용할 수 있습니다. MMP는 연결을 수용하고, LDAP 디렉토리 조회를 수행하고, 연결을 적절하게 라우팅합니다. 다른 메일 서버 설치와 마찬가지로 각 사용자에게는 특정 주소와 특정 Messaging Server의 메일함이 할당됩니다. 하지만 모든 연결은 MMP를 통해 경로가 지정됩니다.

다음은 사용자 연결을 설정하는 세부 단계입니다.

사용자의 클라이언트가 MMP에 연결합니다. MMP는 예비 인증 정보(아이디)를 받습니다.
MMP는 Directory Server에 쿼리하여 사용자의 메일함이 포함된 Messaging Server를 결정합니다.
MMP는 적절한 Messaging Server에 연결하여 인증을 재수행한 다음 연결 기간 동안 전달 파이프 역할을 합니다.

암호화(SSL) 옵션

Messaging Multiplexor는 Messaging Server와 메일 클라이언트 사이의 암호화(SSL)된 통신 및 암호화되지 않은 통신을 모두 지원합니다. 현재 버전의 Messaging Server는 새 인증서 데이터베이스 형식(cert8.db)을 지원합니다.

SSL이 활성화된 경우 MMP는 STARTTLS를 지원하며 MMP가 SSL IMAP, POP 및 SMTP 연결에 대한 추가 포트에서 수신하도록 구성할 수도 있습니다.

IMAP, POP 및 SMTP 서비스에 대해 SSL 암호화를 활성화하려면 ImapProxyAService.cfg, PopProxyAService.cfg 및 SmtpProxyAService.cfg 파일을 각각 편집합니다. 또한 IMAP, POP 및 SMTP 서버 포트의 보안 여부에 관계 없이 이러한 모든 서버 포트 목록이 포함되게 하려면 AService.cfg 파일의 default:ServiceList 옵션을 수정해야 합니다. 자세한 내용은 SSL로 MMP 구성을 참조하십시오.

기본적으로 SSL 구성 매개 변수는 주석 처리되어 있으므로 SSL이 활성화되어 있지 않습니다. SSL을 활성화하려면 SSL 서버 인증서를 설치해야 합니다. 그런 다음 SSL 매개 변수의 주석 처리를 제거하고 적절하게 설정해야 합니다. SSL 매개 변수의 목록을 보려면 Sun Java System Messaging Server 6 2005Q4 Administration Reference의 Encryption (SSL) Option을 참조하십시오.

인증서 기반 클라이언트 인증

MMP는 인증서 매핑 파일(certmap)을 사용하여 클라이언트의 인증을 사용자/그룹 Directory Server의 올바른 사용자와 일치시킬 수 있습니다.

인증서 기반 클라이언트 인증을 사용하려면 암호화(SSL) 옵션에 설명된 대로 SSL 암호화도 활성화해야 합니다.

또한 저장소 관리자도 구성해야 합니다. 메일 관리자를 사용할 수는 있지만 필요에 따라 사용 권한을 설정할 수 있도록 mmpstore 등의 고유한 사용자 아이디를 만드는 것이 좋습니다.

MMP는 certmap 플러그인을 지원하지 않습니다. 대신 MMP에서는 certmap.conf 파일에 향상된 DNComps 및 FilterComps 속성 값 항목을 사용할 수 있습니다. 이러한 향상된 형식의 항목은 다음 형식을 사용합니다.

mapname:DNComps FROMATTR=TOATTR  mapname:FilterComps FROMATTR=TOATTR

인증서의 subjectDN에 있는 FROMATTR 값은 TOATTR =value 요소와 함께 LDAP 쿼리를 구성하는 데 사용할 수 있습니다. 예를 들어 subjectDN이 “cn=Pilar Lorca, ou=pilar, o=siroe.com”인 인증서는 다음 행을 사용하여 “(uid=pilar)”의 LDAP 쿼리에 매핑할 수 있습니다.

mapname:FilterComps ou=uid

IMAP 또는 POP 서비스에 대한 인증서 기반 인증을 활성화하는 방법

단계

저장소 관리자로 사용할 사용자 아이디를 결정합니다.

메일 관리자를 이 용도로 사용할 수 있는 경우 저장소 관리자의 고유한 사용자 아이디(예: mmpstore)를 만드는 것이 좋습니다.

암호화(SSL) 옵션에 설명된 대로 SSL 암호화가 활성화되었는지 확인합니다.

구성 파일에 certmap.conf 파일의 위치를 지정하여 MMP가 인증서 기반 클라이언트 인증을 사용하도록 구성합니다.

신뢰할 수 있는 CA의 인증서 설치에 설명된 대로 적어도 하나의 신뢰할 수 있는 CA 인증서를 설치합니다.

사용자 사전 인증

MMP는 수신되는 사용자로 디렉토리에 바인딩하고 결과를 로깅하여 사용자를 사전 인증할 수 있는 옵션을 제공합니다.

주 –

사용자 사전 인증을 활성화하면 서버 성능이 저하됩니다.

로그 항목의 형식은 다음과 같습니다.

date time (sid 0xhex) user name pre-authenticated - client 
IP address, server IP address

여기서 date는 yyyymmdd의 형식이고, time은 hhmmss 형식으로 서버에서 구성된 시간이고, hex는 16진수로 표시되는 세션 식별자(sid)이며, user name에는 가상 도메인(있는 경우)이 포함되며, IP 주소는 점으로 구분된 네 개의 번호 형식으로 되어 있습니다.

MMP 가상 도메인

MMP 가상 도메인은 서버 IP 주소와 연관된 구성 설정 세트입니다. 이 기능의 기본 용도는 각 서버 IP 주소에 대해 서로 다른 기본 도메인을 제공하는 것입니다.

사용자는 짧은 형식의 userID 또는 user@domain 형식의 정규화된 userID로 MMP에 인증할 수 있습니다. 짧은 형식의 userID를 제공하면 MMP는 지정된 경우 DefaultDomain 설정을 추가합니다. 그 결과 여러 개의 호스트된 도메인을 지원하는 사이트는 서버 IP 주소와 MMP 가상 도메인을 각 호스트된 도메인에 연결시켜 짧은 사용자 아이디를 사용할 수 있게 할 수 있습니다.

특정 호스트된 도메인에 대한 사용자 하위 트리를 찾는 경우 해당 도메인의 LDAP 도메인 트리 항목에서 inetDomainBaseDN 속성을 찾는 것이 좋습니다. 백엔드 메일 저장소도 LDAP에서 사용자를 조회해야 하고 가상 도메인을 지원하지 않기 때문에 MMP의 LdapUrl 설정은 이러한 검색에 적합하지 않습니다.

Sun LDAP Schema 2가 활성화된 경우(Sun Java Enterprise System 2005Q4 Installation Guide for UNIX 및 Sun Java System Communications Services 6 2005Q4 Schema Reference 참조) 지정된 도메인의 사용자 하위 트리는 해당 도메인의 조직 노드 아래에 있는 하위 트리의 모든 사용자입니다.

가상 도메인을 활성화하려면 VirtualDomainFile 설정이 가상 도메인 매핑 파일에 대한 전체 경로를 지정하는 인스턴스 디렉토리에서 ImapProxyAService.cfg, PopProxyAService.cfg 또는 SmtpProxyAService.cfg 파일을 편집합니다.

가상 도메인 파일의 각 항목에 대한 구문은 다음과 같습니다.

vdmap name 
IPaddrname:parameter value

여기서 name은 IP 주소를 구성 매개 변수와 연결시키는 데만 사용되며 원하는 모든 이름을 사용할 수 있습니다. 또한 IPaddr은 점으로 구분된 네 개의 번호 형식이며 parameter 및 value 쌍은 가상 도메인을 구성합니다. 설정 시 가상 도메인 구성 매개 변수 값은 전역 구성 매개 변수 값보다 우선합니다.

다음은 가상 도메인에 지정할 수 있는 구성 매개 변수입니다.

AuthCacheSize and AuthCacheSizeTTL
AuthService
BindDN and BindPass
CertMap
ClientLookup
CRAMs
DefaultDomain
DomainDelim
HostedDomains
LdapCacheSize and LdapCacheTTL
LdapURL
MailHostAttrs
PreAuth
ReplayFormat
RestrictPlainPasswords
StoreAdmin and StoreAdminPass
SearchFormat
TCPAccess
TCPAccessAttr

주 –

LdapURL이 제대로 설정되어 있지 않으면 BindDN, BindPass, LdapCacheSize 및 LdapCacheTTL 설정이 무시됩니다.

이러한 구성 매개 변수에 대한 자세한 내용은 Sun Java System Messaging Server 6 2005Q4 Administration Reference를 참조하십시오.

SMTP 프록시 정보

MMP에는 기본적으로 비활성화되어 있는 SMTP 프록시가 포함되어 있습니다. 인터넷 메일 표준이 이미 SMTP(DNS MX 레코드)의 수평 확장을 위한 적절한 기법을 제공하므로 대부분의 사이트에는 SMTP 프록시가 필요하지 않습니다.

SMTP 프록시는 유용한 보안 기능을 제공합니다. 우선 SMTP 프록시는 POP 프록시와 통합되어 일부 레거시 POP 클라이언트에 필요한 POP before SMTP 인증 기능을 구현합니다. 자세한 내용은 POP before SMTP 사용을 참조하십시오. 또한 SMTP 프록시를 사용하여 SSL 가속 하드웨어에 대한 투자를 최대화할 수 있습니다. SMTP 프록시를 사용하여 SSL 성능을 최적화하는 방법을 참조하십시오.