登入要求
您可以控制讓使用者登入 POP、IMAP 或 HTTP 服務以擷取郵件的方法。您可以允許基於密碼的登入 (針對所有服務) 和基於證書的登入 (針對 IMAP 或 HTTP 服務)。本小節提供背景資訊;如需進行這些設定的步驟,請參閱配置 POP 服務、配置 IMAP 服務或配置 HTTP 服務。此外,您還可以指定 POP 登入的有效登入分隔符號。
設定 POP 用戶端的登入分隔符號
某些郵件用戶端不會接受 @ 做為登入分隔符號 (亦即,諸如 uid@domain 位址中的 @)。這些用戶端的範例包括 Netscape Messenger 4.76、Netscape Messenger 6.0 以及 Windows 2000 上的 Microsoft Outlook Express。解決方法如下:
步驟
允許不使用網域名稱登入
典型的登入要求使用者輸入後接分隔符號和網域名稱的使用者 ID,然後輸入密碼。但是,安裝期間指定的預設網域中的使用者可以不輸入網域名稱或分隔符號就進行登入。
若要允許其他網域的使用者僅透過使用者 ID 登入 (亦即無需使用網域名稱和分隔符號),請將 sasl.default.ldap.searchfordomain 設定為 0。請注意,使用者 ID 在整個目錄樹狀結構中必須是唯一的。如果不唯一,則無法在不使用網域名稱的情況下進行登入。
您可能想要修改使用者登入時必須輸入的屬性。例如,如果您想允許使用者使用電話號碼 (telephoneNumber) 或員工編號 (employeeID) 登入,則請變更由 configutil 參數 sasl.default.ldap.searchfilter 定義的 LDAP 搜尋。此參數為針對各網域 inetdomainsearchfilter 屬性的全域預設設定,並遵循相同的語法。
如需有關這些參數的進一步資訊,請參閱「Sun Java System Messaging Server 6 2005Q4 Administration Reference」。
基於密碼的登入
在典型的郵件傳送安裝中,使用者透過在他們的 POP、IMAP 或 HTTP 郵件用戶端中輸入密碼來存取電子信箱。用戶端會將密碼傳送至伺服器,伺服器將使用此密碼來認證使用者。如果使用者通過認證,伺服器將根據存取控制規則來決定是否允許使用者存取儲存在該伺服器上的特定電子信箱。
如果您允許密碼登入,則使用者可以透過輸入密碼來存取 POP、IMAP 或 HTTP。(基於密碼或 SSL 的登入是 POP 服務的唯一認證方法。)密碼儲存在 LDAP 目錄中。目錄策略決定生效的密碼策略,如最小長度。
如果您不允許 IMAP 或 HTTP 服務的密碼登入,則也不允許基於密碼的認證。然後,系統將要求使用者使用基於證書的登入,如下節所述。
若要提高 IMAP 和 HTTP 服務的密碼傳輸的安全性,您可以要求在將密碼傳送至伺服器之前,先將其加密。您可以透過為登入選取最小密碼長度要求來完成此作業。
-
如果您選擇 0,則不要求加密。密碼以明文形式傳送,或根據用戶端策略進行加密。
-
如果您選擇非零值,則用戶端必須與伺服器建立 SSL 階段作業 (使用其金鑰長度至少為您指定的值的密碼),從而加密用戶端傳送的所有 IMAP 或 HTTP 使用者密碼。
如果將用戶端配置為要求使用長度大於伺服器支援的最大長度的密鑰進行加密,或者將您的伺服器配置為要求使用長度大於用戶端支援的最大長度的密鑰進行加密,則基於密碼的登入將無法實現。如需有關設定伺服器以支援多種密碼和金鑰長度的資訊,請參閱啟用 SSL 和選取密碼算法。
基於證書的登入
除了基於密碼的認證之外,Sun Java System 伺服器還支援透過檢查使用者的數位憑證來認證使用者。當用戶端與伺服器建立 SSL 階段作業時,其將提交使用者的憑證,而非密碼。如果憑證被證實,則認為使用者通過認證。
如需有關設定 Messaging Server 以接受基於憑證的使用者登入至 IMAP 或 HTTP 服務之說明,請參閱設定基於憑證的登入。
您無需取消核取 IMAP 或 HTTP 系統表單中的 [允許密碼登入] 方塊來啟用基於憑證的登入。如果該方塊已核取 (預設狀態),並且您已執行設定基於證書的登入所需的工作,則系統將支援基於密碼的登入和基於證書的登入。這樣,如果用戶端建立了 SSL 階段作業並提供證書,系統將使用基於證書的登入。如果用戶端未使用 SSL 或未提交用戶端證書,則將傳送密碼。
- © 2010, Oracle Corporation and/or its affiliates