配置 MMP 以使用 SSL
注 –
假定 MMP 安装在没有邮件存储或 MTA 的计算机上。
使用 SSL 配置 MMP
步骤
-
如果安装了 Admin Server,请使用管理控制台安装 SSL 服务器证书。否则,请使用 NSS 工具进行安装。请参见网络安全服务工具
-
如果安装了 Admin Server,则在命令行中建立以下符号链接,以简化操作:
cd msg_svr_base/config ln -s /var/mps/serverroot/alias/admin-serv-instance-cert7.db cert7.db ln -s /var/mps/serverroot/alias/admin-serv-instance-key3.db key3.db
同时,确保要运行 MMP 的系统 ID 拥有这些文件。Messaging Server 的当前版本支持新证书数据库格式 (cert8.db)。
-
由于 sslpassword.conf 文件是在初始 Messaging Server 运行时配置过程中设置的,因而无需另行设置。请参见创建初始 Messaging Server 运行时配置
注 –步骤 1 到 8 的替代方法是从现有 Messaging Server 或 Directory Server 中复制以下文件:cert7.db、key3.db、secmod.db 和 sslpassword.conf。这些服务器必须具有服务器证书和适合于已经安装的同一个域的密钥。
-
编辑 ImapProxyAService.cfg 文件并取消相关 SSL 设置的注释。
-
如果需要 SSL 和 POP,请编辑 PopProxyAService.cfg 文件并取消相关 SSL 设置的注释。
此外,您还必须编辑 AService.cfg 文件并在 ServiceList 设置中的 110 之后添加 |995。
-
确保在 ImapProxyAService.cfg 和 PopProxyAService.cfg 文件中设置了 BindDN 和 BindPass 选项。
您还应当将 DefaultDomain 选项设置为您的默认域(用于非限定用户名的域)。
如果只需要服务器端的 SSL 支持,则到此就可以完成了。使用 msg_svr_base/sbin 目录中的以下命令启动 MMP:
start-msg mmp
配置 MMP 以实现基于客户端证书的登录
如果希望基于客户端证书进行登录,请执行以下操作:
步骤
-
获取一个客户端证书副本和签署它的 CA 证书。
-
与以前一样启动 Sun ONE Console(在与 MMP 所在计算机相同的计算机上启动),但是这次导入 CA 证书作为信任的证书授权机构。
-
使用在安装 Messaging Server 过程中创建的存储管理员。
有关更多信息,请参见指定管理员对存储的访问权限
-
为 MMP 创建一个 certmap.conf 文件。例如:
certmap default default default:DNComps default:FilterComps e=mail
这表示要通过查看 LDAP 服务器中的邮件属性搜索与证书 DN 中 e 字段相匹配的内容。
-
编辑 ImapProxyAService.cfg 文件并执行以下操作:
-
将 CertMapFile 设置为 certmap.conf
-
将 StoreAdmin 和 StorePass 设置为步骤 3 中的值。
-
将 UserGroupDN 设置为您的用户和组树的根。
-
-
如果需要使用 POP3 的客户端证书,请对 PopProxyAService.cfg 文件重复步骤 5。
-
如果 MMP 尚未运行,请使用 msg_svr_base/sbin 目录中的以下命令来启动 MMP:
start-msg mmp
-
将客户端证书导入到您的客户端中。在 NetscapeTM Communicator 中,单击挂锁(安全性)图标,选择“证书”下的“您的”,然后选择“导入证书...” 并按照说明操作。
注 –如果您要在所有地方都使用客户端证书,则您的所有用户都必须执行此步骤。
样例拓扑
虚构的 Siroe Corporation 在两台计算机上各有一个 Messaging Multiplexor,均支持若干个 Messaging Server。POP 和 IMAP 用户邮箱分散在多台 Messaging Server 计算机上,其中每台服务器都专用于 POP 或专用于 IMAP(您可以通过从 ServiceList 设置中删除 ImapProxyAService 条目以限制客户端为仅访问 POP 服务;类似地,您也可以通过从 ServiceList 设置中删除 PopProxyAService 条目以限制客户端为仅访问 IMAP 服务)。此外,每个 Messaging Multiplexor 仅支持 POP 或仅支持 IMAP。LDAP 目录服务位于单独的专用计算机上。
下面的图 7–2 显示了此拓扑。
图 7–2 多个 MMP 支持多个 Messaging Server
IMAP 配置示例
图 7–2 中的 IMAP Messaging Multiplexor 安装在 sandpit 上,这是一台装有两个处理器的计算机。此 Messaging Multiplexor 将侦听用于 IMAP 连接的标准端口 (143)。Messaging Multiplexor 与主机 phonebook 上的 LDAP 服务器通信以获取用户邮箱信息,然后将连接路由到适当的 IMAP 服务器。它覆盖了 IMAP 功能字符串,提供了一个虚拟域文件,并且支持 SSL 通信。
以下是它的 ImapProxyAService.cfg 配置文件:
default:LdapUrl ldap://phonebook.siroe.com/o=internet default:LogDir /opt/SUNWmsgsr/config/log default:LogLevel 5 default:BindDN "cn=Directory Manager" default:BindPass secret default:BacksidePort 143 default:Timeout 1800 default:Capability "IMAP4 IMAP4rev1 ACL QUOTA LITERAL+ NAMESPACE UIDPLUS CHILDREN BINARY LANGUAGE XSENDER X-NETSCAPE XSERVERINFO" default:SearchFormat (uid=%s) default:SSLEnable yes default:SSLPorts 993 default:SSLSecmodFile /opt/SUNWmsgsr/config/secmod.db default:SSLCertFile /opt/SUNWmsgsr/config/cert7.db default:SSLKeyFile /opt/SUNWmsgsr/config/key3.db default:SSLKeyPasswdFile "" default:SSLCipherSpecs all default:SSLCertNicknames Siroe.com Server-Cert default:SSLCacheDir /opt/SUNWmsgsr/config default:SSLBacksidePort 993 default:VirtualDomainFile /opt/SUNWmsgsr/config/vdmap.cfg default:VirtualDomainDelim @ default:ServerDownAlert "your IMAP server appears to be temporarily out of service" default:MailHostAttrs mailHost default:PreAuth no default:CRAMs no default:AuthCacheSize 10000 default:AuthCacheTTL 900 default:AuthService no default:AuthServiceTTL 0 default:BGMax 10000 default:BGPenalty 2 default:BGMaxBadness 60 default:BGDecay 900 default:BGLinear no default:BGExcluded /opt/SUNWmsgsr/config/bgexcl.cfg default:ConnLimits 0.0.0.0|0.0.0.0:20 default:LdapCacheSize 10000 default:LdapCacheTTL 900 default:HostedDomains yes default:DefaultDomain Siroe.com |
POP 配置示例
样例拓扑中的 POP Messaging Multiplexor 示例安装在 tarpit 上,这是一台装有四个处理器的计算机。此 Messaging Multiplexor 将侦听用于 POP 连接的标准端口 (110)。Messaging Multiplexor 与主机 phonebook 上的 LDAP 服务器通信以获取用户邮箱信息,然后将连接路由到适当的 POP 服务器。它还提供了一个欺骗邮件文件。
以下是它的 PopProxyAService.cfg 配置文件:
default:LdapUrl ldap://phonebook.siroe.com/o=internet default:LogDir /opt/SUNWmsgsr/config/log default:LogLevel 5 default:BindDN "cn=Directory Manager" default:BindPass password default:BacksidePort 110 default:Timeout 1800 default:SearchFormat (uid=%s) default:SSLEnable no default:VirtualDomainFile /opt/SUNWmsgsr/config/vdmap.cfg default:VirtualDomainDelim @ default:MailHostAttrs mailHost default:PreAuth no default:CRAMs no default:AuthCacheSize 10000 default:AuthCacheTTL 900 default:AuthService no default:AuthServiceTTL 0 default:BGMax 10000 default:BGPenalty 2 default:BGMaxBadness 60 default:BGDecay 900 default:BGLinear no default:BGExcluded /opt/SUNWmsgsr/config/bgexcl.cfg default:ConnLimits 0.0.0.0|0.0.0.0:20 default:LdapCacheSize 10000 default:LdapCacheTTL 900 default:HostedDomains yes default:DefaultDomain Siroe.com |
- © 2010, Oracle Corporation and/or its affiliates