7.4 SSL로 MMP 구성

SSL을 사용하기 위해 MMP를 구성하려면 다음을 수행합니다.

여기서는 MMP가 메시지 저장소 또는 MTA가 없는 시스템에 설치되어 있는 것으로 가정합니다.

SSL로 MMP 구성 방법

1. SSL 서버 인증서를 설치합니다( 23.5 암호화 및 인증서 기반 인증 구성 참조).

2. ImapProxyAService.cfg 파일을 편집하고 관련 SSL 설정의 주석 처리를 제거합니다.

3. SSL 및 POP를 사용하려면 PopProxyAService.cfg 파일을 편집하고 관련 SSL 설정의 주석 처리를 제거합니다.

   또는 AService.cfg 파일을 편집하고 ServiceList 설정의 110 뒤에 |995를 추가해야 합니다.

4. BindDN 및 BindPass 옵션이 ImapProxyAService.cfg와 PopProxyAService.cfg 파일에 설정되어 있는지 확인합니다.

   또한 DefaultDomain 옵션을 기본 도메인(정규화되지 않은 아이디에 사용할 도메인)으로 설정해야 합니다.

   서버측 SSL 지원만 필요한 경우에는 이로써 작업이 끝났습니다. msg-svr-base/sbin 디렉토리에서 다음 명령으로 MMP를 시작합니다.

   start-msg mmp

5. SSL을 사용하여 메시지를 수락하고 비 SSL을 사용하여 백엔드 메일 서버에 보내도록 MMP를 설정하는 방법:

   ImapProxyAService.cfg 또는 PopProxyAService.cfg에서 SSL Backside Port 옵션을 0으로 설정합니다.

6. MMP와 백엔드 서버 간에 SSL을 사용하지 않으려면 SSLBacksidePort 옵션을 0으로 설정합니다.

클라이언트 인증서 기반 로그인을 사용하여 MMP를 구성하는 방법

클라이언트 인증서 기반 로그인을 사용하려면 다음을 수행합니다.

1. 클라이언트 인증서 복사본과 이 복사본을 서명한 CA 인증서를 얻습니다.

2. CA 인증서를 신뢰할 수 있는 인증 기관으로 가져옵니다( 23.5.1 인증서 얻기 참조).

3. Messaging Server 설치 도중 만든 저장소 관리자를 사용합니다.

   자세한 내용은 20.4 저장소에 대한 관리자 액세스 지정을 참조하십시오.

4. MMP에 대한 certmap.conf 파일을 만듭니다. 예를 들면 다음과 같습니다.

   certmap default default default:DNComps default:FilterComps e=mail

   이것은 LDAP 서버에서 메일 속성을 찾아서 인증서 DN의 e 필드와 일치하는 항목을 찾는다는 의미입니다.

5. ImapProxyAService.cfg 파일을 편집하고 다음을 수행합니다.

   1. CertMapFile을 certmap.conf로 설정합니다.

   2. StoreAdmin 및 StorePass를 단계 3의 값으로 설정합니다.

   3. UserGroupDN을 사용자 및 그룹 트리의 루트로 설정합니다.

6. POP3을 사용한 클라이언트 인증서가 필요한 경우 PopProxyAService.cfg 파일에 대해 단계 5를 반복합니다.

7. MMP가 이미 실행 중이 아닌 경우 msg-svr-base/sbin 디렉토리에서 다음 명령을 사용하여 실행합니다.

   start-msg mmp

8. 클라이언트 인증서를 클라이언트로 가져옵니다. Netscape^TM Communicator에서 자물쇠(보안) 아이콘을 누른 다음 인증서 아래에서 사용자를 선택하고 인증서 가져오기... 를 선택합니다. 그런 다음 지시에 따릅니다.

   ---

   주 –

   어느 곳에서나 클라이언트 인증서를 사용하려면 모든 사용자가 이 단계를 수행해야 합니다.

   ---

7.4.1 샘플 토폴로지

가상의 Siroe Corporation에는 별도의 시스템에 두 개의 Messaging Multiplexor가 있으며 각각 여러 Messaging Server를 지원합니다. POP 및 IMAP 사용자 메일함은 Messaging Server 시스템에서 분산되어 있으며, 각 서버는 POP 또는 IMAP 전용 서버입니다. ImapProxyAService 항목을 ServiceList 설정에서 제거하면 POP 서비스에 대한 클라이언트 액세스를 제한할 수 있습니다. 마찬가지로 ServiceList 설정에서 PopProxyAService 항목을 제거하면 IMAP 서비스에 대한 클라이언트 액세스를 제한할 수 있습니다. 각 Messaging Multiplexor는 POP만 지원하거나 IMAP만 지원합니다. LDAP 디렉토리 서비스는 별도의 전용 시스템에 있습니다.

이 토폴로지는 아래 그림 7–2에서 볼 수 있습니다.

그림 7–2 여러 Messaging Server를 지원하는 여러 MMP

7.4.1.1 IMAP 구성 예

그림 7–2의 IMAP Messaging Multiplexor는 두 개의 프로세서가 있는 시스템인 sandpit에 설치되어 있습니다. 이 Messaging Multiplexor는 표준 포트에서 IMAP 연결(143)에 대기합니다. Messaging Multiplexor는 호스트 phonebook의 LDAP 서버와 사용자 메일함 정보를 통신하며, 적절한 IMAP 서버로 연결의 경로를 지정합니다. 이것은 IMAP 기능 문자열을 대체하고, 가상 도메인 파일을 제공하며, SSL 통신을 지원합니다.

ImapProxyAService.cfg 구성 파일은 다음과 같습니다.

default:LdapUrl ldap://phonebook.siroe.com/o=internet
default:LogDir /opt/SUNWmsgsr/config/log
default:LogLevel 5
default:BindDN "cn=Directory Manager"
default:BindPass secret
default:BacksidePort 143
default:Timeout 1800
default:Capability "IMAP4 IMAP4rev1 ACL QUOTA LITERAL+ NAMESPACE 
UIDPLUS CHILDREN BINARY LANGUAGE XSENDER X-NETSCAPE XSERVERINFO"
default:SearchFormat (uid=%s)
default:SSLEnable yes
default:SSLPorts 993
default:SSLSecmodFile /opt/SUNWmsgsr/config/secmod.db
default:SSLCertFile /opt/SUNWmsgsr/config/cert8.db
default:SSLKeyFile /opt/SUNWmsgsr/config/key3.db
default:SSLKeyPasswdFile /opt/SUNWmsgsr/config/sslpassword.conf
default:SSLCipherSpecs all
default:SSLCertNicknames Siroe.com Server-Cert
default:SSLCacheDir /opt/SUNWmsgsr/config
default:SSLBacksidePort 993
default:VirtualDomainFile /opt/SUNWmsgsr/config/vdmap.cfg
default:VirtualDomainDelim @
default:ServerDownAlert "your IMAP server appears to be temporarily
out of service"
default:MailHostAttrs mailHost
default:PreAuth no
default:CRAMs no
default:AuthCacheSize 10000
default:AuthCacheTTL 900
default:AuthService no
default:AuthServiceTTL 0
default:BGMax 10000
default:BGPenalty 2
default:BGMaxBadness 60
default:BGDecay 900
default:BGLinear no
default:BGExcluded /opt/SUNWmsgsr/config/bgexcl.cfg
default:ConnLimits 0.0.0.0|0.0.0.0:20
default:LdapCacheSize 10000
default:LdapCacheTTL 900
default:HostedDomains yes
default:DefaultDomain Siroe.com

7.4.1.2 POP 구성 예

7.4.1 샘플 토폴로지에서 예로 든 POP Messaging Multiplexor는 4개의 프로세서가 있는 tarpit 시스템에 설치되어 있습니다. 이 Messaging Multiplexor는 표준 포트에서 POP 연결(110)을 수신합니다. Messaging Multiplexor는 호스트 phonebook의 LDAP 서버와 사용자 메일함 정보를 통신하며, 적절한 POP 서버로 연결의 경로를 지정합니다.

해당 PopProxyAService.cfg 구성 파일은 다음과 같습니다.

default:LdapUrl ldap://phonebook.siroe.com/o=internet
default:LogDir /opt/SUNWmsgsr/config/log
default:LogLevel 5
default:BindDN "cn=Directory Manager"
default:BindPass password
default:BacksidePort 110
default:Timeout 1800
default:SearchFormat (uid=%s)
default:SSLEnable no
default:VirtualDomainFile /opt/SUNWmsgsr/config/vdmap.cfg
default:VirtualDomainDelim @
default:MailHostAttrs mailHost
default:PreAuth no
default:CRAMs no
default:AuthCacheSize 10000
default:AuthCacheTTL 900
default:AuthService no
default:AuthServiceTTL 0
default:BGMax 10000
default:BGPenalty 2
default:BGMaxBadness 60
default:BGDecay 900
default:BGLinear no
default:BGExcluded /opt/SUNWmsgsr/config/bgexcl.cfg
default:ConnLimits 0.0.0.0|0.0.0.0:20
default:LdapCacheSize 10000
default:LdapCacheTTL 900
default:HostedDomains yes
default:DefaultDomain Siroe.com