Sun Java System Messaging Server 6 2005Q4 管理指南

配置 MMP 使用 SSL

若要將 MMP 配置為使用 SSL，請執行以下作業︰

備註 –

假定 MMP 安裝在不具有郵件儲存或 MTA 的機器上。

將 MMP 配置為使用 SSL

步驟

如果已安裝了 Admin Server，請使用管理主控台來安裝 SSL 伺服器憑證。否則，請使用 NSS 工具安裝。請參閱網路安全性服務工具。

請參閱Managing Servers with iPlanet Console 5.0.。

如果已安裝了 Admin Server，從指令行建立以下符號連結，以簡化工作：
cd msg_svr_base/config ln -s /var/mps/serverroot/alias/admin-serv-instance-cert7.db cert7.db ln -s /var/mps/serverroot/alias/admin-serv-instance-key3.db key3.db
還請確定以上檔案歸執行 MMP 時將使用的系統 ID 所有。目前版本的 Messaging Server 支援新的憑證資料庫格式 (cert8.db)。

由於 sslpassword.conf 檔案是在初始 Messaging Server 執行階段配置期間設定的，因此無需再設定一個。請參閱建立初始 Messaging Server 執行階段配置。

備註 –
替代步驟 1 - 8 的方法是複製以下檔案：現有 Messaging Server 或 Directory Server 中的cert7.db、key3.db、secmod.db 以及 sslpassword.conf。上述伺服器必須具有適合已安裝的同一網域的伺服器憑證和金鑰。

編輯 ImapProxyAService.cfg 檔案並取消註釋相關 SSL 設定。

如果需要 SSL 和 POP，請編輯 PopProxyAService.cfg 檔案並取消註釋相關 SSL 設定。

此外，還必須編輯 AService.cfg 檔案，並在 ServiceList 設定中的 110 之後增加 |995。

請確定在 ImapProxyAService.cfg 和 PopProxyAService.cfg 檔案中設定了 BindDN 和 BindPass 選項。

還應將 DefaultDomain 選項設定為預設網域 (用於不合格的使用者名稱的網域)。

如果您只要伺服器端 SSL 支援，那麼到此已經完成。請使用 msg_svr_base/sbin 目錄中的以下指令啟動 MMP︰

start-msg mmp

使用基於憑證的用戶端登入配置 MMP

如果您要用戶端基於憑證的登入，請執行以下作業：

步驟

取得用戶端憑證的副本和簽署它的 CA 憑證。

如以前一樣啟動 Sun ONE 主控台 (在 MMP 所在的機器上)，但是此次將 CA 憑證作為信任的憑證權限匯入。

使用您在 Messaging Server 安裝期間建立的儲存管理員。

如需更多資訊，請參閱指定管理員使用儲存的權限。

為 MMP 建立 certmap.conf 檔案。例如：
certmap default default default:DNComps default:FilterComps e=mail
這表示透過查看 LDAP 伺服器中的郵件屬性來搜尋憑證 DN 中 e 欄位的匹配項。

編輯 ImapProxyAService.cfg 檔案，並︰
1. 將 CertMapFile 設定為 certmap.conf
2. 將 StoreAdmin 和 StorePass 設定為步驟 3 中的值。
3. 將 UserGroupDN 設定為您的 [使用者和群組] 樹狀結構的根目錄。

如果您要具有 POP3 的用戶端憑證，請對 PopProxyAService.cfg 檔案重複步驟 5。

如果 MMP 尚未執行，請使用 msg_svr_base/sbin 目錄中的以下指令將其啟動：

start-msg mmp

將用戶端憑證匯入您的用戶端。在 Netscape ^TMCommunicator 中，按一下掛鎖 ([安全性]) 圖示，在 [憑證] 下選取 [您的]，然後選取 [匯入憑證...]，並遵循說明執行。

備註 –
如果您要隨處使用用戶端憑證，您的所有使用者都需要執行這一步驟。

拓撲範例

Siroe Corporation (虛構) 分別在兩台獨立的機器上安裝了 Messaging Multiplexor，每個均支援多個 Messaging Server。POP 和 IMAP 使用者電子信箱被劃分到各台 Messaging Server 機器上，每台伺服器為 POP 專用或為 IMAP 專用 (從 ServiceList 設定中移除 ImapProxyAService 項目，可將用戶端存取限制為只針對 POP 服務；同樣，從 ServiceList 設定中移除 PopProxyAService 項目，可將用戶端存取限制為只針對 IMAP 服務)。每個 Messaging Multiplexor 還僅支援 POP 或 IMAP。LDAP 目錄服務位於單獨的專用機器上。

此拓樸說明於圖 7–2 中。

圖 7–2 多個 MMP 支援多個 Messaging Server

IMAP 配置範例

圖 7–2 中的 IMAP Messaging Multiplexor 安裝在 sandpit (具有兩個處理器的機器) 上。此 Messaging Multiplexor 要偵聽 IMAP 連線的標準連接埠 (143)。Messaging Multiplexor 與主機 phonebook 上的 LDAP 伺服器進行通訊，以取得使用者電子信箱資訊，並將連線路由至適當的 IMAP 伺服器。它可置換 IMAP 功能字串、提供虛擬網域檔案並支援 SSL 通訊。

以下是其 ImapProxyAService.cfg 配置檔案：

default:LdapUrl ldap://phonebook.siroe.com/o=internet
default:LogDir /opt/SUNWmsgsr/config/log
default:LogLevel 5
default:BindDN "cn=Directory Manager"
default:BindPass secret
default:BacksidePort 143
default:Timeout 1800
default:Capability "IMAP4 IMAP4rev1 ACL QUOTA LITERAL+ NAMESPACE 
UIDPLUS CHILDREN BINARY LANGUAGE XSENDER X-NETSCAPE XSERVERINFO"
default:SearchFormat (uid=%s)
default:SSLEnable yes
default:SSLPorts 993
default:SSLSecmodFile /opt/SUNWmsgsr/config/secmod.db
default:SSLCertFile /opt/SUNWmsgsr/config/cert7.db
default:SSLKeyFile /opt/SUNWmsgsr/config/key3.db
default:SSLKeyPasswdFile ""
default:SSLCipherSpecs all
default:SSLCertNicknames Siroe.com Server-Cert
default:SSLCacheDir /opt/SUNWmsgsr/config
default:SSLBacksidePort 993
default:VirtualDomainFile /opt/SUNWmsgsr/config/vdmap.cfg
default:VirtualDomainDelim @
default:ServerDownAlert "your IMAP server appears to be temporarily
out of service"
default:MailHostAttrs mailHost
default:PreAuth no
default:CRAMs no
default:AuthCacheSize 10000
default:AuthCacheTTL 900
default:AuthService no
default:AuthServiceTTL 0
default:BGMax 10000
default:BGPenalty 2
default:BGMaxBadness 60
default:BGDecay 900
default:BGLinear no
default:BGExcluded /opt/SUNWmsgsr/config/bgexcl.cfg
default:ConnLimits 0.0.0.0|0.0.0.0:20
default:LdapCacheSize 10000
default:LdapCacheTTL 900
default:HostedDomains yes
default:DefaultDomain Siroe.com

POP 配置範例

拓撲範例中的 POP Messaging Multiplexor 範例安裝在 tarpit (具有四個處理器的機器) 上。此 Messaging Multiplexor 要偵聽 POP 連線 (110) 的標準連接埠。Messaging Multiplexor 與主機 phonebook 上的 LDAP 伺服器進行通訊，以取得使用者電子信箱資訊，並將連線路由至適當的 POP 伺服器。它還提供 spoof 訊息檔案。

以下是其 PopProxyAService.cfg 配置檔案：

default:LdapUrl ldap://phonebook.siroe.com/o=internet
default:LogDir /opt/SUNWmsgsr/config/log
default:LogLevel 5
default:BindDN "cn=Directory Manager"
default:BindPass password
default:BacksidePort 110
default:Timeout 1800
default:SearchFormat (uid=%s)
default:SSLEnable no
default:VirtualDomainFile /opt/SUNWmsgsr/config/vdmap.cfg
default:VirtualDomainDelim @
default:MailHostAttrs mailHost
default:PreAuth no
default:CRAMs no
default:AuthCacheSize 10000
default:AuthCacheTTL 900
default:AuthService no
default:AuthServiceTTL 0
default:BGMax 10000
default:BGPenalty 2
default:BGMaxBadness 60
default:BGDecay 900
default:BGLinear no
default:BGExcluded /opt/SUNWmsgsr/config/bgexcl.cfg
default:ConnLimits 0.0.0.0|0.0.0.0:20
default:LdapCacheSize 10000
default:LdapCacheTTL 900
default:HostedDomains yes
default:DefaultDomain Siroe.com