上一页
目录
索引
下一页
|
上一页
目录
索引
下一页
|
|
| iPlanet Messaging Server 5.2 管理员指南 | |
第 3 篇 配置 POP、IMAP 和 HTTP 服务
iPlanet Messaging Server 支持客户访问邮箱所用的邮局协议(POP3)、Internet 邮件访问协议 4(IMAP4)以及超文本传输协议(HTTP)。IMAP 和 POP 两个通信协议均属 Internet 标准邮箱协议。Messenger Express 是一基于 web 的电子邮件程序,可使最终用户利用浏览器访问他们的邮箱,浏览器运行于使用 HTTP 协议的与 Internet 连接的计算机系统。本章将说明如何通过 iPlanet Console 或命令行实用程序来配置服务器以使其支持一项或多项服务。
备注: 如果安装的是 iPlanet Directory Server 5.1,您则必须通过 iPlanet Console 5.0(与 Directory Server 5.1 一起安装)对其进行管理。iPlanet Messaging Server 5.2 必须通过 Netscape Console 4.2(与 Messaging Server 5.2 一起安装)进行管理。
有关配置简单邮件传输协议(SMTP)服务的信息,请参阅第 6 篇 “关于 MTA 服务与配置”。
一般配置
对 Messaging Server 的 POP、IMAP 及 HTTP 服务的一般功能之配置,有启用和关闭服务、指定端口号以及(可选)修改发送给连接客户机的服务标志区等选项。本节提供的是背景信息,至于完成这些设置所需的具体步骤,请参阅“配置 POP 服务”、“配置 IMAP 服务”以及“配置 HTTP 服务”。
启用和关闭服务
您可控制任何特定的 Messaging Server 实例,以决定其 POP、IMAP 或 HTTP 服务是否可用。这不同于启动和停止服务操作(参阅“启动和停止服务”);若需使 POP、IMAP 或 HTTP 发挥效用,就必须同时启用并启动之。与启动和停止服务相比,启用一项服务是一更“全局性”的进程。例如,“启用”之设置在系统的各种再引导程序上都有,但于再引导后,您必须重新启动一项以前“停止”了的服务。
对于不准备使用的服务,您不必将其启用。例如,若一个 Messaging Server 实例只作为邮件传送代理(MTA)使用,则应关闭 POP、IMAP 和 HTTP。若只用于 POP 服务,则应关闭 IMAP 和 HTTP。若只用于基于 web 的电子邮件,则应关闭 POP 和 IMAP。
您可在服务器级上启用或关闭服务。这一过程将在本节中详述。您还可通过设定专门的 LDAP 属性而在用户级上启用或关闭服务。有关详细信息,请参阅 iPlanet Messaging Server Provisioning Guide。
指定端口号
对于每一项服务,您可指定服务器使用该服务的连接端口号:在某些情况下,可能需要指定一个不同于默认值的端口号;例如,一台主机上运行两个或更多的 IMAP 实例,或同一主机既作为 IMAP 服务器又作为 Messaging Multiplexor 服务器使用。(有关 Multiplexor 方面的信息,请参阅第 4 篇 “配置和管理 Multiplexor 服务”。)
加密通信端口
Messaging Server 可通过安全套接层(SSL)协议支持与 IMAP 和 HTTP 客户机的加密通信。有关在 Messaging Server 中对 SSL 支持的一般信息,请参阅“配置加密的和基于证书的认证”。
IMAP Over SSL
可接受默认的 IMAP over SSL 端口号(993),也可对 IMAP over SSL 指定另一端口。由于当前大部分 IMAP 客户机都需要分开的端口,因此 Messaging Server 提供了可以分开的 IMAP 和 IMAP over SSL 端口的选项。IMAP 和 IMAP over SSL 采用同一端口进行通信的作法是一种新兴标准。只要 Messaging Server 有已安装的 SSL 证书(参阅“索取证书”),就可支持同端口的 IMAP over SSL。
HTTP Over SSL
可接受默认的 HTTP over SSL 端口号(443),也可为 HTTP 指定一个分开的端口。。
服务标志区
当某客户机首次连接到 Messaging Server 的 POP 或 IMAP 端口时,服务器将向该客户机发送一个标识文字串。此服务标志(通常不向客户机用户显示)将服务器标识为 iPlanet Messaging Server,并显示服务器版本号。服务标志主要用于客户机故障排除或问题隔离。如果要向连接的客户机发送不同的讯息,可替换 POP 服务或 IMAP 服务的默认标志区。
您可通过 iPlanet Console 或 configutil 实用程序(service.imap.banner, service.pop.banner)设置服务标志区。有关 configutil 的语法细节,请参阅 iPlanet Messaging Server Reference Manual。
登录要求
可控制用户登录到 POP、IMAP 或 HTTP 服务以检索邮件的方式。可允许基于口令的登录(适用于所有服务项),以及基于证书的登录(适用于 IMAP 或 HTTP 服务)。本节提供背景信息,至于完成这些设置的具体步骤,可参阅“配置 POP 服务”、“配置 IMAP 服务”或“配置 HTTP 服务”。此外,您还可指定 POP 登录所需的有效登录分割符。
设置 POP 客户程序的登录分割符
对于某些 POP 邮件客户程序而言,通信服务器将不接受 @ 为登录分割符(如 uid@domain 地址中的 @)。这些客户程序包括 Netscape Messenger 4.76、Netscape Messenger 6.0 和 Windows 2000 上的 Microsoft Outlook Express。解决这一问题的迂回方法如下:
请用下列命令使 + 成为有效的分割符:
通知 POP 客户程序用户登录时应使用 + 作为登录分割符,不要使用 @。
- configutil -o service.loginseparator -v "@+"
基于口令的登录
在典型的邮件系统中,用户通常以在邮件客户程序中输入一个口令之形式访问他们的 POP、IMAP 或 HTTP 邮箱。客户机将口令发送给服务器,服务器据此认证用户。若用户被认证通过,服务器将基于访问控制规则决定是否准许用户访问储存在该服务器中的特定邮箱。若允许口令登录,用户即可通过输入口令访问 POP、IMAP 或 HTTP。(基于口令的登录是 POP 服务的唯一认证方式)。口令储存于 LDAP 目录中。目录策略决定了哪些口令策略(如最短长度等)有效。
若不允许用口令登录到 IMAP 或 HTTP 服务,则禁止基于口令的认证。于是要求用户使用基于证书的登录,如下节所述。
为了增加 IMAP 和 HTTP 服务中口令传递的安全性,可要求口令在发送到服务器之前先经过加密处理。在对口令进行加密处理时,须为登录选择一个最短密码长度要求。
如果选择 0,则表示不要求加密。口令则以明码发送,或根据客户程序的安全策略加密发送。
若客户机所配置的加密密钥长度大于服务器支持的最大长度,或服务器所配置的加密密钥长度大于客户机所支持的长度,则无法实现基于口令的登录。有关设置服务器所支持的各种密码及密钥长度的信息,请参阅“启用 SSL 和选择密码”。如果选择一个非零值,客户机在建立与服务器的 SSL 会话时则必须使用密钥长度不小于指定长度的密码,以便加密客户机发送的任何 IMAP 或 HTTP 用户口令。
基于证书的登录
除了基于口令的认证外,iPlanet 服务器还支持通过检查数字证书而对用户进行认证之策略。与提供口令不同的是,客户机在与服务器建立 SSL 会话时提供的是用户证书。若证书验证有效,用户则被认证通过。有关设置 Messaging Server 以使 IMAP 或 HTTP 服务采用基于证书的用户登录方面的说明,请参阅“设置基于证书的登录”。
启用基于证书的登录功能时,无需取消 IMAP 或 HTTP 系统表单中“允许口令登录”复选框的选中状态。若该复选框已被选中(这是它的默认状态),且已执行设置基于证书的登录所需的任务,那么基于口令的登录和基于认证的登录会同时得到支持。因此,若客户机建立了 SSL 会话并提供了证书,服务器则将使用基于证书的登录。若客户机没有使用 SSL 或没有提供客户证书,则会发送一个口令。
性能参数
您可为 Messaging Server 的 POP、IMAP 或 HTTP 服务项设置一些基本的性能参数。基于硬件能力和用户基数,您可调整这些参数,使服务发挥最大效用。本节提供背景信息,至于完成这些设置的具体步骤,可参阅“配置 POP 服务”、“配置 IMAP 服务”或“配置 HTTP 服务”。
进程数量
Messaging Server 可将其工作分解到几个执行进程中,这在某些情况下可提高效率。这一能力对多处理器服务器尤其有用,因为通过调节服务器进程的数量可将多任务更有效地分配于硬件处理器中。但是,在多进程中分派任务,以及从一个进程转换到另一进程,也是要付出开销的。多进程的优点将随着每一个新进程的添加而减少。对于大多数配置而言,一个简单的经验法则是:使服务器计算机中的每个硬件处理器有一个进程,最多不超过四个。最恰当的配置因情况而异,此经验法则只具有进行分析的出发点的意义。
备注:在某些平台上,可能需要增加进程数量以绕过针对该平台的、可能影响其性能的某些极限值(如文件描述符的最大数量等)。
对每一 POP、IMAP 或 HTTP 服务项,其默认的进程数量都是 1。
每一进程的连接数
POP、IMAP 或 HTTP 服务能同时维持的客户连接数越多,对客户机就越便利。若客户机由于无法获得连接而被拒绝服务,它们就只能等待,直到有其他客户机断开连接时为止。另一方面,每一个开通的连接都要耗费内存资源,且对服务器的 I/O 子系统产生需求。因此,服务器所能同时支持的会话数量是有限度的。(有可能通过增加服务器内存或 I/O 容量来提高限度。)
与 POP 和 HTTP 连接相比,IMAP 连接一般来说是长命的。当用户连接到 IMAP 下载邮件时,连接会一直持续下去,直到用户退出或连接超时为止。相比之下,POP 或 HTTP 连接通常在提供了 POP 或 HTTP 请求后会立即关闭。
因此,在某个给定用户需求的某个给定时刻,Messaging Server 可支持比 POP 连接更多的打开的 IMAP 连接或 HTTP 连接。IMAP 和 HTTP 连接通常比 POP 连接更有效率。每一次 POP 的再次连接都需要重新进行用户认证。而 IMAP 连接则只需要一次认证,这是由于在 IMAP 会话期间(从登录到注销)连接一直维持开通状态。HTTP 连接通常较短暂,但用户不必每次连接时重新认证,因为 HTTP 会话(从登录到注销)允许多重连接。因此,相对于 IMAP 或 HTTP 连接而言,POP 连接要付出大的多的性能开销。iPlanet Messaging Server 尤其如此,因为它是通过打开的但又空闲的 IMAP 连接和多重 HTTP 连接,在设计上有要求非常低的开销。
备注: 关于 HTTP 会话安全的详细信息,请参阅“关于 HTTP 安全性”。
IMAP 的默认值为 4000;HTTP 的默认值为每进程为 6000 个连接;POP 的默认值为 600。这些默认值粗略地代表了典型配置的服务器计算机所能处理的等量需求。最恰当的配置因情况而异,这些默认值只供您用作一般的参考。
每一进程的线程数
除了支持多进程外,Messaging Server 还可通过再将工作细分到多线程而使性能进一步改善。服务器对线程的使用极大地提高了执行效率,因为正在运行的命令并不妨碍其他命令的执行。线程可按照执行过程中的需求创建或删除,最多可达到所设置的最大数量。多个同时执行的线程意味着更多的客户请求可在没有耽搁的情况下得到处理,这样便可使大量的客户快速获得服务。然而,在线程间分派任务是要付出开销的,因此服务器使用的线程数量要有一个限度。
对于 POP、IMAP 和 HTTP 而言,默认的最大值为每一进程 250 线程。尽管 IMAP 和 HTTP 的默认连接数大于 POP 的默认连接数,但对于相应的线程数,三个默认值相等。这是基于这样的假定:在具有相同最大线程数的情况下,POP 连接虽然较少但很忙碌,而能被高效处理的 IMAP 和 HTTP 连接则较多。最佳配置因情况而异,但这些默认值已经足够大,因而看不出有增大这些值的必要;这些默认值可为大多数系统提供合理的性能。
切断空闲连接
为了收回与无应答客户连接的系统资源,IMAP4、POP3 以及 HTTP 协议允许服务器单方面切断已空闲了一段特定时间的连接。各协议规范都要求服务器在最短时间段内保持空闲连接的开通状态。对于 POP,默认时间为 10 分钟;对于 IMAP,默认时间为 30 分钟,对于 HTTP,默认时间为 3 分钟。您可在这些默认值的基础上增加空闲时间,但不能缩短这个时间。
若 POP 或 IMAP 连接被切断,用户须重新认证才能重新建立连接。相比而言,若 HTTP 连接被切断,由于 HTTP 会话仍处于开通状态,因而不需重新认证。关于 HTTP 会话安全的详细信息,请参阅“关于 HTTP 安全性”。
空闲的 POP 连接常常是由于出现某种问题(如崩溃或中断)致使客户机无法应答而造成的。另一方面,空闲的 IMAP 连接则是经常发生的情况。为了使 IMAP 用户免受被单方面切断的困扰,IMAP 客户机可在小于 30 分钟的时间间隔内有规律地向 IMAP 服务器发送命令。
注销 HTTP 客户机
HTTP 会话可跨越多个连接。当连接被切断时,HTTP 客户机并未注销。然而,如果空闲的 HTTP 会话持续了一段时间后,服务器会自动切断该 HTTP 会话时段并注销该客户机(默认时间段为 2 小时)。当会话时段被切断后,客户机会话 ID 变为无效,客户机须重新认证才能建立另一个会话。有关 HTTP 安全和会话 ID 的详细信息,请参阅“关于 HTTP 安全性”。
客户访问控制
iPlanet Messaging Server 包含访问控制功能,您可用该功能以决定那些客户可使用 POP、IMAP 或 HTTP(以及 SMTP)邮件服务。您可基于多种标准创建灵活的访问过滤器,用以允许或拒绝客户的访问。客户访问控制是 iPlanet Messaging Server 的重要安全特性。有关客户访问控制过滤器的创建方法及使用实例方面的信息,请参阅“配置 POP、IMAP 和 HTTP 服务的客户访问权”和“配置客户机访问 SMTP 服务”。
配置 POP 服务
您可通过 configutil 命令或用 iPlanet Console(控制台)对 Messaging Server 的 POP 服务进行基本配置。本章将介绍一些较常用的 POP 服务选项。详细列表请见 iPlanet Messaging Server Reference Manual。
从 iPlanet Console 中打开需配置的 Messaging Server。
单击“配置”选项卡并打开左面板中的 Services 文件夹。
若需启用该服务项,选中标有“启用端口上的 POP 服务”复选框,然后指定一个端口号。
设置每一进程的最大网络连接数。有关详细信息,请参阅“每一进程的连接数”。
按下方式指定进程设置:设置连接的最大空闲时间。有关详细信息,请参阅“切断空闲连接”。
设置每一进程的最大线程数量。有关详细信息,请参阅“每一进程的线程数”。
如有需要,可在 POP 服务标志区字段中的指定一服务标志区。设置最大进程数量。有关详细信息,请参阅“进程数量”。
configutil -o service.pop.enable -v [ yes | no ]
configutil -o service.pop.port -v 端口号
configutil -o service.pop.maxsessions -v 端口号
configutil -o service.pop.idletimeout -v 端口号
configutil -o service.pop.maxthreads -v 端口号
configutil -o service.pop.numprocesses -v 端口号
configutil -o service.pop.banner -v 标志区
配置 IMAP 服务
您可通过 configutil 命令或用 iPlanet Console(控制台)对 Messaging Server 的 IMAP 服务进行基本配置。本章将介绍一些较常用的 IMAP 服务选项。详细列表请见 iPlanet Messaging Server Reference Manual。与之相关的详细信息,还可参见:
从 iPlanet Console 中打开需配置的 Messaging Server。
单击“配置”选项卡并打开左面板中的 Services 文件夹。
若需启用该项服务,选中标有“启用端口上的 IMAP 服务”的复选框,然后指定一个端口号。
设置每一进程的最大网络连接数。有关详细信息,请参阅“每一进程的连接数”。
按下方式指定进程设置:设置连接的最大空闲时间。有关详细信息,请参阅“切断空闲连接”。
设置每一进程的最大线程数量。有关详细信息,请参阅“每一进程的线程数”。
如有需要,可在 IMAP 服务标志区字段中指定一个服务标志区。设置最大进程数量。有关详细信息,请参阅“进程数量”。
configutil -o service.imap.enable -v [ yes | no ]
configutil -o service.imap.port -v 端口号
configutil -o service.imap.enablesslport -v [ yes | no ]
configutil -o service.imap.sslport -v 端口号
configutil -o service.http.plaintextmincipher -v 值
-1 - 关闭口令登录
0 - 启用不加密口令登录
40 - 启用口令登录并指定加密强度
128 - 启用口令登录并指定加密强度
configutil -o service.imap.maxsessions -v 端口号
configutil -o service.imap.idletimeout -v 端口号
configutil -o service.imap.maxthreads -v 端口号
configutil -o service.imap.numprocesses -v 端口号
configutil -o service.imap.banner -v 标志区
配置 HTTP 服务
POP 和 IMAP 客户机可将邮件直接发送给 iPlanet Messaging Server MTA 进行路由选择或传递。而 HTTP 客户机则将邮件发送到一个专用的 web 服务器,该服务器是 iPlanet Messaging Server 的组成部分。HTTP 服务随后将邮件发送到本地 MTA 或远程 MTA 进行路由转换或传递,如图 3-1 所示。图 3-1 HTTP 服务组件
HTTP 的许多配置参数与 POP 和 IMAP 服务使用的参数相似。这些参数包括连接设置参数和进程设置参数。本章将介绍一些较常用的 HTTP 服务选项。详细列表请见 iPlanet Messaging Server Reference Manual。有关详细信息,还可参见:
有些参数是特别针对 HTTP 服务的,其中包括邮件设置参数和 MTA 设置参数。
邮件设置 当 HTTP 客户构建一个带附件的邮件时,该附件被上载到服务器并保存在一个文件中。在邮件被发送到 MTA 进行路由选择或传递之前,HTTP 服务将检索附件并构建邮件。您可接受默认的附件假脱机目录,或指定一个备用目录。还可指定容许的附件大小的最大值。
MTA 设置 在默认状态下,HTTP 服务将外发邮件发送到本地 MTA 进行路由选择或传递。也有可能需要把 HTTP 服务配置成将邮件发送到远程 MTA。例如,当站点是一托管服务且大部分收件人不在本地主机的同一域内时。若需将邮件发送到远程 MTA,则需指定远程主机名以及远程主机的 SMTP 端口号。
Console 用 iPlanet Console 配置 HTTP 服务:
从 iPlanet Console 中打开需配置的 Messaging Server。
单击“配置”选项卡并打开左面板中的 Services 文件夹。
若需启用该项服务,可选中标有“启用端口上的 HTTP 服务”复选框,然后指定一个端口号。
设置每一进程的最大网络连接数。有关详细信息,请参阅“每一进程的连接数”。
按下方式指定进程设置:设置连接的最大空闲时间。有关详细信息,请参阅“切断空闲连接”。
设置客户会话最大空闲时间。有关详细信息,请参阅“注销 HTTP 客户机”。
设置每一进程的最大线程数量。有关详细信息,请参阅“每一进程的线程数”。
按下列方式指定邮件设置:设置最大进程数量。有关详细信息,请参阅“进程数量”。
如有需要,可指定附件假脱机目录。
如有需要,可指定出站邮件大小的最大值。请注意,这里包括所有以 base64 编码的附件,而 base64 编码需要 33% 的额外空间。因此,如果控制台有 5 MB 的限制,其结果是:一封邮件和附件的最大大小应在 3.75M 左右。
按下列方式指定 MTA 设置:
- 有关详细信息,请参阅“邮件设置”。
单击“保存”。
- 有关详细信息,请参阅“MTA 设置”。
configutil -o service.http.enable -v [ yes | no ]
configutil -o service.http.port -v 端口号
configutil -o service.http.enablesslport -v [ yes | no ]
configutil -o service.http.sslport -v 端口号
configutil -o service.http.plaintextmincipher -v 值
-1 - 关闭口令登录
0 - 启用不加密口令登录
40 - 启用口令登录并指定加密强度
128 - 启用口令登录并指定加密强度
configutil -o service.http.maxsessions -v 端口号
configutil -o service.http.idletimeout -v 端口号
configutil -o service.http.sessiontimeout -v 端口号
configutil -o service.http.maxthreads -v 端口号
configutil -o service.http.numprocesses -v 端口号
configutil -o service.http.spooldir -v 目录路径
configutil -o service.http.maxmessagesize -v 大小
其中的 大小 是字节数。请注意,这里包括所有以 base64 编码的附件,而 base64 编码需要 33% 的额外空间。因此,如果控制台有 5 MB 的限制,其结果是:一封邮件和附件的最大大小应在 3.75M 左右。
configutil -o service.http.smtphost -v 主机名
configutil -o service.http.smtpport -v 端口号
上一页 目录 索引 下一页
(c) 2002 年 Sun Microsystems, Inc. 版权所有。
更新日期:2002 年 2 月 27 日