7.2.3 基于证书的客户端验证

MMP 可以使用证书映射文件 (certmap.conf) 将客户端的证书与用户/组 Directory Server 中的正确用户相匹配。

要使用基于证书的客户端验证，还必须启用 SSL 加密，如7.2.2 加密 (SSL) 选项中所述。

还必须配置一个存储管理员。您可以使用邮件管理员，但是建议您为此目的创建一个唯一的用户 ID（例如 mmpstore），以便根据需要设置权限。

请注意，MMP 不支持 certmap 插件，而是接受 certmap.conf 文件中增强的 DNComps 和 FilterComps 属性值条目。这些增强的格式条目使用以下格式：

mapname:DNComps FROMATTR=TOATTRmapname:FilterComps FROMATTR=TOATTR

这样，便可以使用证书的 subjectDN 中的 FROMATTR 值来构成一个具有 TOATTR=value 元素的 LDAP 查询。例如，可以使用以下行将 subjectDN 为 "cn=Pilar Lorca, ou=pilar, o=siroe.com" 的证书映射到 LDAP 查询 "(uid=pilar)"：

mapname:FilterComps ou=uid

为您的IMAP 或POP 服务启用基于证书的验证

1. 确定要用作存储管理员的用户 ID。

   虽然可以为此目的使用邮件管理员，但是建议为存储管理员创建一个单独的用户 ID（例如 mmpstore）。

2. 确保已启用（或将启用）SSL 加密，如7.2.2 加密 (SSL) 选项中所述。

3. 通过在您的配置文件中指定 certmap.conf 文件的位置，将 MMP 配置为使用基于证书的客户端验证。

4. 至少安装一个信任的 CA 证书，如23.5.1.6 安装可信 CA 证书中所述