第 2 部分 管理 Instant Messaging

• 第 3 章，Instant Messaging 配置文件和目录结构概述提供了用来管理 Instant Messaging 配置文件的信息。

• 第 4 章，配置高可用性 Instant Messaging（仅 Solaris）介绍了在 Sun Cluster 环境中配置 Instant Messaging 的信息。

• 第 5 章，为 Instant Messaging 启用单点登录 (SSO) 介绍了 SSO 以及如何为 Instant Messaging 配置 SSO。

• 第 6 章，使用服务器池比例缩放 Instant Messaging 部署给出了为单个域创建服务器假脱机来增加水平可伸缩性的说明。

• 第 7 章，使用重定向服务器优化 Instant Messaging 服务器池介绍了在 Instant Messaging 服务器假脱机中使用重定向服务器优化性能的信息。

• 第 8 章，多个 Instant Messaging 服务器的联合部署详细介绍了如何在 Instant Messaging 部署中支持多个域。

• 第 9 章，管理 Instant Messaging 组件介绍了如何管理 Instant Messaging 服务器、多路复用器、日历代理、群集代理和监视器。

• 第 10 章，使用 Instant Messaging XMPP/HTTP 网关提供了设置和使用网关的说明。

• 第 11 章，管理 Instant Messaging 的 LDAP 访问配置包含配置 LDAP 与 Instant Messaging 一起使用的信息。

• 第 12 章，使用 TLS 和传统 SSL 保证 Instant Messaging 的安全性提供了 Instant Messaging 如何使用 SSL 和 TLS 来保证安全性的信息。

• 第 13 章，管理 Instant Messaging 的日志记录介绍了用于 Instant Messaging 组件和 XMPP 的管理记录。

• 第 14 章，管理 Instant Messaging 最终用户提供了禁止最终用户访问 Instant Messenger、注册新用户、使用 LDAP 存储用户属性以及为最终用户分配 Instant Messaging 和在线服务的信息。

• 第 15 章，管理 Instant Messenger 介绍了如何自定义和管理 Instant Messenger 的信息。

• 第 16 章，使用日历弹出提示介绍了如何配置 Instant Messaging 服务器、日历代理、日历服务器和 Instant Messenger 来启用日历弹出提示。

• 第 17 章，管理 Instant Messaging 和在线状态策略 介绍了如何管理管理员和最终用户的权限，特别是通过在 Sun Java^TM System Access Manager 中设置的策略。

• 第 18 章，管理 Instant Messaging 的归档说明了如何管理和配置 Instant Messaging 归档。

• 第 19 章，监视 Instant Messaging 和故障排除 列出了安装和部署 Instant Messaging 期间可能发生的常见问题，并提供了使用监视代理的说明。

第 3 章 Instant Messaging 配置文件和目录结构概述

本章提供有关管理 Instant Messaging 的配置文件的信息。在对部署配置进行更改之前，先要熟悉这些文件的位置。

本章在以下各节中说明用于存储 Instant Messaging 操作数据和配置信息的 Instant Messaging 服务器目录结构和属性文件：

• Instant Messaging 服务器目录结构

• Instant Messaging 服务器配置文件

• Instant Messaging 数据

Instant Messaging 服务器目录结构

Instant Messaging 服务器目录结构展示用于 Instant Messaging 服务器的特定于平台的目录结构。

Instant Messaging 服务器配置文件

Instant Messaging 将所有配置选项存储到 iim.conf 文件中。有关存储在此文件中的参数及其值的更多信息，参见附录 A，iim.conf 中的 Instant Messaging 配置参数

Instant Messaging 数据

Instant Messaging 服务器将 Instant Messenger 使用的以下数据存储于数据库目录 (im-db-base)，并通过 iim.conf 中的 iim.instancevardir 参数指示：

• 最终用户属性，例如联系人列表、信使设置、订阅的新闻频道和访问控制（这些属性也可以存储于 LDAP 中）。

• 新闻频道消息和访问规则。

• 要传送的“警报消息”。这些消息在收件人登录时被传送然后被删除。

• 公共会议。这不涉及非持久性的即时消息，而仅涉及会议对象本身的属性（如访问规则）。

第 4 章 配置高可用性 Instant Messaging（仅 Solaris）

配置高可用性 (HA) Instant Messaging 可提供软件和硬件故障的监视和恢复功能。高可用性功能作为故障转移数据服务而不是可扩展服务来实施，仅 Solaris 支持。本章说明使用 Sun Cluster 软件的 Instant Messaging HA 配置。有关 Sun Cluster 提供的可扩展和故障转移数据服务的更多信息，参见 HA 相关文档。

本章说明如何配置 Instant Messaging HA 服务，包括：

• Instant Messaging HA 概述

• 设置 Instant Messaging 的 HA

• 停止、启动和重新启动 Instant Messaging HA 服务

• 停止、启动和重新启动带 Sun Cluster 的部署中的 Instant Messaging 组件

• 管理 Instant Messaging 的 HA RTR 文件

• 删除 Instant Messaging 的 HA

• HA 相关文档

Instant Messaging HA 概述

将 Sun Cluster 与 Instant Messaging 一起使用以创建高可用性部署。本节中的以下各部分提供关于 HA 要求、本章示例使用的术语以及配置 HA 所需权限的信息：

• Instant Messaging HA 配置软件要求

• Instant Messaging HA 配置权限要求

• Instant Messaging HA 配置术语和清单

在开始之前，您应该熟悉一般的 HA 概念，尤其是要熟悉 Sun Cluster 软件。有关更多信息，参见 HA 相关文档。

Instant Messaging HA 配置软件要求

Instant Messaging HA 配置要求如表 4–1 中所示的软件。

Instant Messaging HA 配置权限要求

要安装和配置 Instant Messaging HA 配置，需登录为或成为超级用户 (root) 并指定控制台或窗口用于查看发送到 /dev/console 的消息。

Instant Messaging HA 配置术语和清单

表 4–2 说明本章的配置示例中所用的各种术语。此外，您在配置 Instant Messaging 的 HA 之前将需要收集信息。配置过程中将提示您此信息。将此清单与表 1–1 中的清单结合使用。

设置 Instant Messaging 的 HA

以下是安装和配置带两个节点的 Instant Messaging HA 配置所必需的高级步骤列表：

• 选择配置文件和二进制文件使用的本地或共享磁盘

• 准备群集中的每个节点

• 选择安装目录 (im-svr-base)

• 安装 Sun Java^TM System 产品和软件包

• 配置 HA 环境

• 配置逻辑主机

• 注册并激活存储资源

• 注册资源类型并创建资源

• 验证 Instant Messaging HA 配置

• Instant Messaging HA 配置故障排除

选择配置文件和二进制文件使用的本地或共享磁盘

开始之前，您需要确定以下哪个部署最适合您的需要。在两个环境中，共享组件均本地安装在群集中的每个节点上。此外，在两个环境中，运行时文件均安装在共享磁盘上。

• 配置文件和二进制文件使用本地磁盘。此设置的优点是升级 Instant Messaging 需要的停机时间最少，因为您可以在 Instant Messaging 脱机的节点上升级。缺点是您需要确保群集中所有节点上的 Instant Messaging 拥有相同的配置和版本。

  此外，如果选择此选项，您需要确定是使用 HAStoragePlus 从每个节点上共享的磁盘挂载文件系统（当 Instant Messaging 数据服务联机时），还是将群集文件系统用于全局运行时文件。

• 配置文件和二进制文件使用共享磁盘。此设置易于管理，但您需要在升级前停止运行群集中所有节点上的 Instant Messaging。

准备群集中的每个节点

在群集中的每个节点上，您需要创建用来运行组件的 Instant Messaging 运行时用户和组。群集中所有节点上的 UID 和 GID 编号必须相同。

• 运行时用户 ID。用来运行 Instant Messaging 服务器的用户名。此名称不能是 root。默认值为 inetuser。

• 运行时组 ID。用来运行 Instant Messaging 服务器的组。默认值为 inetgroup。

尽管 configure 实用程序可以为您创建这些名称，但您也可以在运行配置程序之前创建它们，作为本章中所述的每个节点准备工作的一部分。此外，根据使用本地还是共享磁盘，在特定的节点上您可能无法运行 configure，而必须手动创建运行时用户和组 ID。

运行时用户和组 ID 名称必须位于以下文件中：

• inetuser（或您选择的名称），位于群集中所有节点的 /etc/passwd 中

• inetgroup（或您选择的名称），位于群集中所有节点的 /etc/group 中

参见创建 UNIX 系统用户和组以获得说明。参阅您的操作系统文档以获得关于用户和组的详细信息。

选择安装目录 (im-svr-base)

对于 Instant Messaging，Java Enterprise System 安装程序在 Solaris 上使用 /opt/SUNWiim 作为默认安装目录 (im-svr-base)。不过，如果配置文件和二进制文件使用共享磁盘，则必须指定一个全局（共享）安装目录。例如： /global/im/opt/SUNWiim.

如果使用本地磁盘，则可以将 Instant Messaging 安装到默认目录。不过，您应将 Instant Messaging 安装到节点中每台计算机上相同的目录中。

安装 Sun Java^TM System 产品和软件包

使用 Communications Suite 安装程序来安装产品和软件包。关于安装程序的更多信息，参阅《Sun Java Communications Suite 5 Installation Guide》。

表 4–3 列出多节点群集配置所需的产品或软件包。

配置 HA 环境

根据配置文件和二进制文件使用本地还是共享磁盘，您需要执行的步骤可能会有所不同。

如果配置文件和二进制文件使用本地磁盘，则要遵循以下两个过程中的步骤：

• 为配置文件和二进制文件使用本地磁盘的节点 1 配置 HA

• 为配置文件和二进制文件使用本地磁盘的节点 n 配置 HA

如果配置文件和二进制文件使用共享磁盘，则要遵循以下两个过程中的步骤：

• 为配置文件和二进制文件使用共享磁盘的节点 1 配置 HA

• 为配置文件和二进制文件使用共享磁盘的节点 n 配置 HA

为配置文件和二进制文件使用本地磁盘的节点 1 配置 HA

开始之前

填写表 1–1 和表 4–2 中的清单并准备好答案备用。

1. 使用 Java Enterprise System 安装程序安装产品和软件包。

   参见选择安装目录 (im-svr-base) 以获得有关选择安装目录的特定说明。

   参见表 4–3 以获得 HA 所需产品和软件包的列表。参阅《Sun Java Communications Suite 5 Installation Guide》 以获得特定说明。

2. 如果运行时文件使用 HAStoragePlus，则将共享磁盘挂载到本地目录，否则跳至步骤 3。

   例如：

   1. 如果挂载点不存在，则创建该挂载点 (/local/ im/im-runtime-base/)。

      当配置过程步骤 4 中出现提示时，指定此目录 (/local/ im/im-runtime-base/) 作为“Instant Messaging 服务器运行时文件目录”。

   2. 使用 mount 命令在 /local/im/im-runtime-base 上挂载磁盘。

3. 运行 configure 实用程序。

   参见第 1 章，安装后配置 Instant Messaging 以获得说明。

4. 当提示输入“Instant Messaging 服务器运行时文件目录”时，输入以下之一：

   • 如果运行时文件使用 HAStoragePlus，则输入 /local/im/im-runtime-base/。

   • 如果运行时文件使用群集文件系统，则输入 /global/im/im-runtime-base/ 。其中，/global/im 是群集文件系统中的全局目录。

5. 当提示输入 Instant Messaging 主机名时，输入逻辑主机。

   选择接受该逻辑主机，即使 configure 实用程序无法连接到指定的主机。运行 configure 实用程序时，逻辑主机资源文件可能脱机。

6. 不要选择在配置后或系统启动时启动 Instant Messaging。

   在 HA 配置中，Instant Messaging 服务还需要逻辑主机联机以便 Instant Messaging 正常工作。

7. 如果运行时文件使用 HAStoragePlus，则卸载共享磁盘。

为配置文件和二进制文件使用本地磁盘的节点 n 配置 HA

开始之前

确保您已经如前面的步骤所述完成节点 1 上的 HA 配置（为配置文件和二进制文件使用本地磁盘的节点 1 配置 HA）。

准备好表 1–1 和表 4–2 中清单的答案备用。

1. 使用 Java Enterprise System 安装程序安装产品和软件包。

   选择在节点 1 上安装 Instant Messaging 所用的路径用于群集中的每个后续节点。参见选择安装目录 (im-svr-base) 以获得特定说明。

   参见表 4–3 以获得 HA 所需产品和软件包的列表。参阅《Sun Java Communications Suite 5 Installation Guide》 以获得特定说明。

2. 运行 configure 实用程序。

   参见第 1 章，安装后配置 Instant Messaging 以获得说明。

3. 当提示输入“Instant Messaging 服务器运行时文件目录”时，输入为节点 1 提供的值。

4. 当提示输入 Instant Messaging 主机名时，输入为节点 1 提供的逻辑主机。

   选择接受该逻辑主机，即使 configure 实用程序无法连接到指定的主机。运行 configure 实用程序时，逻辑主机资源文件可能脱机。

5. 当提示输入用户和组时，输入为节点 1 提供的值。

6. 不要选择在配置后或系统启动时启动 Instant Messaging。

   在 HA 配置中，Instant Messaging 服务还需要逻辑主机联机以便 Instant Messaging 正常工作。

为配置文件和二进制文件使用共享磁盘的节点 1 配置 HA

开始之前

填写表 1–1 和表 4–2 中的清单并准备好答案备用。

如果配置文件和二进制文件使用共享磁盘，则必须使用群集文件系统而不是 HAStoragePlus。

1. 使用 Java Enterprise System 安装程序在群集文件系统的目录中安装产品和软件包。

   安装 Instant Messaging 时，您必须指定默认目录以外的目录。参见选择安装目录 (im-svr-base) 以获得特定说明。

   参见表 4–3 以获得 HA 所需产品和软件包的列表。参阅《Sun Java Communications Suite 5 Installation Guide》 以获得特定说明。

2. 创建一个从 /etc/opt/SUNWiim 指向 /global/im/etc/opt/SUNWiim 的软链接。

3. 从您安装 Instant Messaging 的全局目录 (/global/ im/im-svr-base/configure) 运行 configure 实用程序。

   参见第 1 章，安装后配置 Instant Messaging 以获得说明。

4. 当提示输入“Instant Messaging 服务器运行时文件目录”时，输入 /global/ im/im-runtime-base 的值。

5. 当提示输入 Instant Messaging 主机名时，输入逻辑主机。

   选择接受该逻辑主机，即使 configure 实用程序无法连接到指定的主机。运行 configure 实用程序时，逻辑主机资源文件可能脱机。

6. 不要选择在配置后或系统启动时启动 Instant Messaging。

   在 HA 配置中，Instant Messaging 服务还需要逻辑主机联机以便 Instant Messaging 正常工作。

为配置文件和二进制文件使用共享磁盘的节点 n 配置 HA

开始之前

请确保您已经如前面的步骤所述完成节点 1 上的 HA 配置（为配置文件和二进制文件使用共享磁盘的节点 1 配置 HA）。

准备好表 1–1 和表 4–2 中清单的答案备用。

1. 创建一个从 /etc/opt/SUNWiim 指向 /global/im/etc/opt/SUNWiim 的软链接。

2. 创建一个资源类型注册 (RTR) 文件的软链接：

   ln -s /global/im/im-svr-base/cluster/SUNW.iim \ /usr/cluster/lib/rgm/rtreg/SUNW.iim

配置逻辑主机

启动 Instant Messaging 之前，您需要创建一个资源组、添加逻辑主机并使资源组联机。

使用逻辑主机配置资源组

1. 创建一个名为 im-resource-group 的 Instant Messaging 故障转移资源组：

   # scrgadm -a -g im-resource-group -h im-node-2,im-node-1

2. 将逻辑主机名 im-logical-host 添加到资源组。

   Instant Messaging 将侦听此主机名。

   # scrgadm -a -L -g im-resource-group -l im-logical-host

3. 使资源组联机：

   # scswitch -Z -g im-resource-group

注册并激活存储资源

在使 Instant Messaging 数据服务联机之前，需要如本节中所述注册并激活存储资源。

注册并启用存储资源

1. 注册存储资源。

   如果使用带全局文件系统 (GFS) 的 HAStoragePlus，则将挂载点设置为 FileSystemMountPoints 属性的值。例如：

   # scrgadm -a -j im-resource-group-store -g im-resource-group -t SUNW.HAStorage \ -x FileSystemMountPoints=/global/im -x AffinityOn=True

   否则，指定挂载点作为 ServicePaths 属性的值。例如：

   # scrgadm -a -j im-resource-group-store -g im-resource-group -t SUNW.HAStorage \ -x ServicePaths=/global/im -x AffinityOn=True

2. 启用存储资源：

   # scswitch -e -j im-resource-group-store

注册资源类型并创建资源

启动 HA Instant Messaging 服务器或多路复用器之前，需要使用 Sun Cluster 注册资源类型 SUNWiimsc 并创建一个资源。

注册资源类型并创建资源

1. 注册资源类型。

   # scrgadm -a -t SUNW.iim

2. 创建资源。

   在一行中输入以下命令：

   # scrgadm -a -j im-resource -g im-resource-group -t SUNW.iim -x Confdir_list=/global/im/im-resource-group -y Resource_dependencies=im-resource-group-store

3. 启用资源：

   # scswitch -e -j im-resource

4. 启动 Instant Messaging 组件。

验证 Instant Messaging HA 配置

启动 Instant Messaging 后，您需要如本节中所述验证 HA 配置。

验证 Instant Messaging 的 HA 配置

1. 检查所有必需的进程是否正在运行。

2. 将服务切换到备用节点以确保高可用性。

   例如，如果服务在 im-node-1 上运行，则发出以下命令将服务切换到 im-node-2。

   # scswitch -z -g im-resource-group -h im-node-2

3. 检查所有必需的进程是否在 im-node-2 中启动。

Instant Messaging HA 配置故障排除

为帮助故障排除，错误消息会写入错误日志。该日志由 syslog 工具控制。关于使用日志记录工具的信息，参阅 HA 相关文档和 syslog.conf 的手册页。

停止、启动和重新启动 Instant Messaging HA 服务

要启动和停止 Instant Messaging HA 服务，使用 Sun Cluster scswitch 命令。

关于 Sun Cluster scswitch 命令的更多信息，参阅Sun Cluster Reference Manual for Solaris OS。

启动 Instant Messaging HA 服务

在命令行键入以下命令：

# scswitch -e -j im-resource

停止 Instant Messaging HA 服务

在命令行键入以下命令：

# scswitch -n -j im-resource

重新启动 Instant Messaging HA 服务

在命令行键入以下命令：

# scswitch -R -j im-resource

停止、启动和重新启动带 Sun Cluster 的部署中的 Instant Messaging 组件

在尝试停止、启动或重新启动 Instant Messaging 组件之前，imadmin 命令会检查确保它未在群集节点上运行。如果 imadmin 确定它正在群集节点上运行，则会返回一个错误而不会执行该命令。使用 Sun Cluster 管理实用程序来停止、启动和重新启动带 Sun Cluster 的部署中的 Instant Messaging 组件。

管理 Instant Messaging 的 HA RTR 文件

资源类型注册 (RTR) 文件是 ASCII 格式的文本文件，它说明了在 Resource Group Manager (RGM) 控制下运行的高可用性资源类型。RTR 文件被 scrgadm 命令用作输入文件，用于将资源类型注册到群集配置中。当在 HA 配置过程中安装 SUNWiimsc 软件包时，会创建 Instant Messaging RTR 文件 SUNW.iim。

本节中的以下各部分提供关于管理此文件的信息：

• Instant Messaging RTR 文件参数

• 自定义 Instant Messaging 的 RTR 文件

Instant Messaging RTR 文件参数

下表列出特定于 Instant Messaging 的 Instant Messaging RTR 文件 (SUNW.iim) 中的扩展属性。

自定义 Instant Messaging 的 RTR 文件

您可以修改 Instant Messaging RTR 文件 (SUNW.iim) 中几个扩展属性的值来配置 HA 环境。扩展属性是特定于资源类型的属性。类型相同每个资源都会继承这些属性。Instant Messaging 扩展属性如表 4–4 中所述。

参见《Sun Cluster Reference Manual for Solaris OS》中的 rt_reg 和 property_attributes，以获得有关资源类型注册文件内容的更多信息和有关自定义扩展属性值的说明。

删除 Instant Messaging 的 HA

为了从 HA 环境删除 Instant Messaging，您需要如本节所述删除 Instant Messaging 群集代理 SUNWiimsc。

删除 Instant Messaging 的 HA

开始之前

当您如以下步骤所述删除 SUNWiimsc 软件包时，您对 RTR 文件 SUNW.iim 所做的任何自定义均会丢失。如果您想要在以后还原它们，则需要在删除 SUNWiimsc 软件包之前创建 SUNW.iim 的备份。

1. 停止运行 Instant Messaging 数据服务：

   scswitch -F -g im-resource-group

2. 禁用 Instant Messaging 资源组 (im-resource-group) 中的所有资源：

   # scswitch -n -j im-resource # scswitch -n -j im-logical-host # scswitch -n -j im-resource-group-store

3. 从 Instant Messaging 资源组删除资源：

   # scrgadm -r -j im-resource # scrgadm -r -j im-logical-host # scrgadm -r -j im-resource-group-store

4. 删除 Instant Messaging 资源组：

   # scrgadm -r -g im-resource-group

5. 删除 Instant Messaging 资源类型：

   # scrgadm -r -t SUNW.iim

6. 使用 Java Enterprise System 安装程序，或如下所述手动删除 SUNWiimsc 软件包：

   pkgrm SUNWiimsc

   当您删除软件包时，对 RTR 文件所做的任何自定义均会丢失。

7. 如果配置文件和二进制文件使用共享目录，则删除 HA 配置过程中创建的任何软链接。

   在节点 1 上：

   rm /etc/opt/SUNWiim

   在所有其他节点上：

   rm /usr/cluster/lib/rgm/rtreg/SUNW.iim

HA 相关文档

• 《Sun Java Enterprise System 2005Q4 技术概述》。

• 《Sun Java Communications Suite 5 Installation Guide》 说明 Communications Suite 安装程序（和卸载程序）以及支持的安装方案。

• 《Sun Java Enterprise System 5 Release Notes for UNIX》提供关于 Sun Java Enterprise System 产品的当前信息。

• 《Sun Cluster Concepts Guide for Solaris OS》提供关于 Sun Cluster 软件、数据服务以及术语资源类型、资源和资源组的一般背景。

• 《Sun Cluster Data Services Planning and Administration Guide for Solaris OS》 提供有关规划和管理数据服务的一般信息。

• 《Sun Cluster System Administration Guide for Solaris OS》 提供有关使用软件管理 Sun Cluster 配置的步骤。

• 《Sun Cluster Reference Manual for Solaris OS》 说明 Sun Cluster 软件可以使用的命令和实用程序，包括仅在 SUNWscman 和 SUNWccon 软件包中出现的命令。

• 《Sun Java Communications Suite 5 Deployment Planning Guide》提供关于如何在 Instant Messaging 中实施 HA 的进一步信息。

第 5 章 为 Instant Messaging 启用单点登录 (SSO)

单点登录可让最终用户进行一次验证（即使用用户 ID 和密码登录）即可访问多个应用程序。Sun Java^TM System Access Manager 是用于 Sun Java System 服务器的 SSO 的官方网关。即，用户必须登录到 Access Manager 以访问其他配置了 SSO 的服务器。

例如，当正确配置时，用户可以在 Access Manager 登录屏幕中登录，并在另一个窗口访问 Instant Messenger 而无需重新登录。与此类似，如果正确配置了 Sun Java System Calendar Server，用户可以在 Access Manager 登录屏幕中登录，并在另一个窗口访问“日历”而无需再次登录。

其他 Communications Suite 服务器（如 Messaging Server）提供两种部署 SSO 的方法。第一种是通过 Access Manager，第二种是通过信任环技术。使用信任环是实现 SSO 的传统方法，Instant Messaging 并未采用此方法。尽管该方法提供了一些 Access Manager SSO 不具备的功能，但是未来的所有开发工作都将使用 Access Manager。本章的以下小节介绍了使用 Access Manager 为 Instant Messaging 启用 SSO 的信息：

• SSO 限制和注意事项

• 配置 Instant Messaging 以支持基于 Access Manager 的 SSO 和策略

• 对 Instant Messaging 的 SSO 进行故障排除

SSO 限制和注意事项

• Instant Messenger 会话仅在 Access Manager 会话有效时有效。如果用户从 Access Manager 注销，则 Instant Messenger 会话将在用户向服务器发送了另一个请求后自动关闭（单点注销）。

• 协同工作的 SSO 应用程序必须位于同一 DNS 域中。

• SSO 应用程序必须能够访问 Access Manager 验证 URL（命名服务）。

• 浏览器必须启用 cookie。

配置 Instant Messaging 以支持基于 Access Manager 的 SSO 和策略

有两个 iim.conf 参数支持 Instant Messaging SSO。

为 Instant Messaging 启用 SSO

1. 请确保 Access Manager SDK 与 Instant Messaging 服务器安装在相同的主机上。

   有关更多信息，参见《Sun Java Communications Suite 5 Installation Guide》。

2. 确保将 Instant Messaging 服务指定给 Access Manager 控制台 (amconsole) 中的组织。

   如果您正在部署中使用其他的 Communications Suite 服务器产品（例如 Messaging Server），则可能需要手动为 Instant Messaging 配置基于 Access Manager 的服务。

   有关说明，参见在 Access Manager 中向子组织添加 Instant Messaging 和在线状态服务以支持单点登录和策略管理。。

3. 运行 configure 实用程序。

   有关说明，参见安装后配置 Instant Messaging。

4. 提示是否要将 Access Manager 用于 SSO 时，选择“是”。

5. 将 iim.policy.module 参数设置为 "identity"：

   1. 打开 iim.conf 并查找 iim.policy.module 参数。

   2. 设置参数：

      iim.policy.module = "identity"

6. 重新启动 Instant Messaging 服务器：

   imadmin start

对 Instant Messaging 的 SSO 进行故障排除

如果 SSO 出现问题，则首先要做的是检查 xmppd.log 服务器日志文件和客户机日志文件是否有错误。提高日志记录级别可能会有所帮助。新的日志记录级别仅在服务器重新启动后生效。

确保已将 Instant Messaging 服务指定给 Access Manager 控制台 (amconsole) 中的组织及其父组织。有关信息，参见在 Access Manager 中向子组织添加 Instant Messaging 和在线状态服务以支持单点登录和策略管理。。

确保 iim.conf 中的 im_server.usesso 参数没有设置为 0。有关该参数的信息，参见表 A–4。如果该参数设置为 0，则完成为 Instant Messaging 启用 SSO中的步骤。

如果无法直接登录到 Instant Messaging 中，检查 xmppd.log 是否有类似以下之一的错误：

DEBUG xmppd [com.sun.im.service.util.Worker3] Service        \\
URL not found:session.com.iplanet.sso.SSOException: Service URL not found:

INFO xmppd [com.sun.im.service.util.Worker 3] [Identity]     \\
Failed to create SSO token for USERNAME

INFO xmppd [org.netbeans.lib.collab.util.Worker 1] [LDAP]     \\
pops does not have required objectclass for storing to ldap

如果存在任何这些错误，则使用以下步骤解决问题：

1. 通过 amconsole 创建一个用户，并为该用户添加验证、配置、Instant Messaging 和在线服务。

2. 尝试使用所创建的用户登录。

3. 检查以确保通过 amconsole 正确填写了 amldapuser 的密码。

4. 检查域（例如 o=siroe.com）是否有“验证配置服务实例”。

5. 检查“验证配置服务实例”是否具有设置为 LDAP 或“成员资格”的验证模块。该值应显示 REQUIRED/SUFFICIENT 的状态。

   Instant Messaging 仅支持使用用户名和密码登录。如果您使用“验证链”，则需要禁用它来使用 Instant Messaging。

6. 在 LDAP 或验证模块中，为 CORE 输入 amldapuser 密码。

7. 在“核心验证模块配置”中的“组织验证配置”下拉菜单和“管理员验证配置”下拉菜单中选择新创建的 ldapService 验证配置服务实例。

8. 再次登录。

第 6 章 使用服务器池比例缩放 Instant Messaging 部署

服务器池可支持单个域中上百万的用户。通过服务器池，可在同一服务器池中的若干台服务器之间共享一个域。此外，可使用负载平衡器（如重定向服务器）来协助管理池中的服务器利用情况。本章的以下各节介绍了有关服务器池的信息：

• Instant Messaging 服务器池的概述

• Instant Messaging 服务器池的可用性

• 配置服务器池中的 Instant Messaging 服务器之间的服务器到服务器通信

• 向现有的 Instant Messaging 部署添加新节点

• 保证多节点部署的安全性

有关负载平衡和重定向服务器的信息，参见第 7 章，使用重定向服务器优化 Instant Messaging 服务器池。本章中的各程序均假定您已在服务器池中的主机上安装了 Instant Messaging。此外，需在服务器池的每个节点上安装 Access Manager SDK，并配置 SDK 以与单个远程 Access Manager 服务器进行通信。

Instant Messaging 服务器池的概述

通过创建服务器池，可在 Instant Messaging 部署中支持的用户数将不再受单个服务器系统容量的约束。相反，可使用多个系统的资源来支持单个域中的用户。此外，服务器池提供了冗余性，因此如果池中的一台服务器发生故障，受影响的客户机可在最小的不便程度情况下重新连接并通过池中的另一台服务器继续其会话。在服务器池中部署多台服务器会创建一个多节点部署。

配置 Instant Messaging 服务器以通过服务器到服务器端口通信，并从同一 LDAP 目录获取用户数据，从而创建服务器池。配置服务器后，需配置客户机资源以指向负载平衡器或负载均衡器，而非单个节点的主机和端口。

虽然可使用共享文件系统代替 LDAP 目录存储用户属性，但这样会对性能和可管理性产生负面影响。因此，服务器池仅支持 LDAP 存储。

为确保服务器池中的所有服务器都有一致的数据，以下信息在池中的所有服务器间均相同：

• 最终用户的路由信息

• 会议成员资格和配置

• 多方会议消息

以下信息则不相同：

• 一对一聊天消息

• 在线状态预订和通知

此外，如果要通过部署中的访问控制文件执行策略，服务器池中的所有服务器的访问控制文件的内容都必须相同。有关更多信息，参见使用访问控制文件的管理策略。

Instant Messaging 服务器池的可用性

如果服务器池中的一个节点发生故障，当前连接的所有客户机都会断开连接，并且会话和资源将变为不可用。如果使用负载平衡器设置部署，用户可立即重新连接并由负载平衡器引导至池中的另一节点。执行此类操作时，无需重新创建会议或新闻频道，因为池中的所有服务器间共享此类信息。此外，将用户引导至池中的另一节点后，可继续一对一聊天会话。

配置服务器池中的 Instant Messaging 服务器之间的服务器到服务器通信

本小节介绍如何启用服务器池中的两台 Instant Messaging 服务器或对等点之间的通信的方法。必须使用池中所有其他服务器的信息来配置池中的每个服务器。

表 6–1 列出 iim.conf 中的参数以及用于为服务器池中的两个示例 Instant Messaging 服务器（iimA.siroe.com 和 iimB.siroe.com）建立通信的值。

有关配置参数的更多信息，参见附录 A，iim.conf 中的 Instant Messaging 配置参数。

设置服务器池中两台 Instant Messaging 服务器之间的通信

1. 收集表 6–1 中列出的信息。

2. 转到服务器 iimA.siroe.com 上的 im-cfg-base。

   有关查找 im-cfg-base 的说明，参见Instant Messaging 服务器目录结构。

3. 打开 iim.conf。

   有关查找和修改 iim.conf 的说明，参见附录 A，iim.conf 中的 Instant Messaging 配置参数。

   ---

   注 –

   iim.conf 文件应归用户在安装过程中创建的 Instant Messaging 服务器帐户所有。如果 Instant Messaging 服务器帐户不能读取 iim.conf 文件，则服务器和多路复用器将无法读取配置。另外，您可能无法编辑 iim.conf 文件。

   ---

4. 修改参数值以匹配您的部署。

   表 8–1 列出了需修改的参数。如果 iim.conf 中没有这些参数，则进行添加。以下示例显示了对应于需修改的服务器到服务器通信的 iimA.siroe.com 上的 iim.conf 部分。

   iim_server.serverid=iimA.siroe.com iim_server.password=secretforiimA iim_server.domainname=siroe.com iim_server.coservers=coserver1 iim_server.coserver1.host=iimB.siroe.com:5269 iim_server.coserver1.serverid=iimB.siroe.com iim_server.coserver1.password=secret4iimB iim_server.coserver1.domain=siroe.com

5. 对服务器 iimB.siroe.com 上的 iim.conf 文件执行第 2 步到第 4 步。

   以下示例显示了对应于需修改的服务器到服务器通信的 iimB.siroe.com 上的 iim.conf 部分。

   iim_server.serverid=iimB.siroe.com iim_server.password=secret4iimB iim_server.domainname=siroe.com iim_server.coservers=coserver1 iim_server.coserver1.host=iimA.siroe.com:5269 iim_server.coserver1.serverid=iimA.siroe.com iim_server.coserver1.password=secretforiimA iim_server.coserver1.domain=siroe.com

6. 保存更改并关闭 iim.conf。

7. 刷新两台服务器上的配置。

   imadmin refresh server

向现有的 Instant Messaging 部署添加新节点

如果需向现有的服务器池添加其他节点，则需为服务器到服务器通信配置新的服务器，然后向池中的所有现有服务器添加新服务器的配置信息。此外，需向新节点添加池中所有服务器的配置信息。有关说明，参见设置服务器池中两台 Instant Messaging 服务器之间的通信。

保证多节点部署的安全性

节点连接到远程服务器时，节点会提供一个回拨密钥。远程服务器随后连接回节点以验证回拨密钥。在多节点部署中，远程服务器可能会连接回池中的某个与最初发送回拨密钥的节点所不同的节点。远程服务器所连接的节点必须提供最初连接的节点所提供的同一回拨密钥。iim_server.dialback.key 配置参数定义了节点应使用哪一个回拨密钥。除非明确指定，否则回拨密钥的值均是随机生成的。有关说明，参见为服务器池中的 Instant Messaging 服务器手动定义回拨密钥。

远程服务器使用 From 属性来连接回初始服务器。通常，将服务器的域名用作 Jabber 下的服务器到服务器通信中的 From 属性的值。但是，服务器池中的所有服务器均共享同一域名。因此，无法将域名用作查找池中的某台服务器的关键字。实际上，Instant Messaging 使用服务器或对等方的标识符 (serverid) 替代域名作为 From 属性的值。

为服务器池中的 Instant Messaging 服务器手动定义回拨密钥

除非明确指定，否则回拨密钥的值均是随机生成的。

1. 打开 iim.conf。

   有关查找和修改 iim.conf 的说明，参见iim.conf 文件语法。

2. 修改 iim_server.dialback.key 参数的值。

   例如：

   iim_server.dialback.key=mymultinodedialbackkey

3. 保存更改并关闭 iim.conf。

4. 刷新两台服务器上的配置。

   imadmin refresh server

第 7 章 使用重定向服务器优化 Instant Messaging 服务器池

使用 Instant Messaging 附带的重定向服务来平衡服务器池（多节点部署）中的服务器之间的负载。性能直接受到单个部署中各服务器之间所需通信量的影响，因此使可能会共享在线状态信息和消息的两个用户尽可能在同一节点停止，可以改善性能。

本章的以下小节包含有关使用 Instant Messaging 重定向服务器的信息：

• Instant Messaging 重定向概述

• 将 Instant Messaging 服务器实例配置为重定向服务器

• 管理 Instant Messaging 重定向服务器

• 使用 rdadmin 实用程序创建和管理 Instant Messaging 重定向表

• Instant Messaging 重定向服务器物理主机监视

• Instant Messaging 重定向服务器最佳实践和故障排除

Instant Messaging 重定向概述

重定向服务器是一个专门配置的 Instant Messaging 服务器实例，用于执行各类重定向任务（例如将连接终点分配给 Instant Messaging 服务器）。将重定向服务器添加到部署中时，将可能会相互通信的用户分组到同一主机上，从而减少服务器之间的通信量。这样会减少部署中的服务器之间来回发送在线状态通知的数量。用户组由联系人列表的内容确定。联系人列表中的共享条目表示极可能会进行通信。

Instant Messaging 用户分区算法

Instant Messaging 确定部署中各用户之间的最佳划分方法，并创建用户的分组或 分区。Instant Messaging 所用的算法如下：

1. 确定部署中的一个或多个用户集、用户网络及其连接。然后，重定向服务器会创建一个名为 user-to-network map 的表以将每个用户映射到用户网络。

2. 对大于最大分区大小且存在弱连接的用户网络进行分区，从而使每个弱连接组件的最大大小不会大于所配置的分区大小。弱连接可由用户网络之间的极少数连接来确定，但是，对用户网络进行分区时，还可能会考虑其他参数（例如地理约束、每个用户网络的连接数量以及其他由管理员设置的约束）。

3. 将各集分布到指定数量且大小类似的分区中。重定向服务器首先创建 network-to-partition 表作为此进程的一部分，并在最后创建 user-to-partition 表。这些表共同组成了重定向数据库。重定向数据库会将每个用户映射到一个分区 ID。可使用 rdadmin 命令行实用程序创建和管理此数据库。

示例 7–1 Instant Messaging 重定向事件序列

本示例说明实现成功的客户机重定向时要发生一系列事件。

1. 管理员运行 rdadmin 生成和/或更新重定向数据库。

2. 用户连接到重定向服务器并尝试进行验证。

3. 重定向服务器确定用户的身份并在重定向数据库中查找对应的用户 ID。

4. 如果重定向服务器在重定向数据库中没有找到用户 ID，它会联系下一个重定向服务器（由循环机制确定）来查找包含用户 ID 的重定向数据库。如果在重定向数据库中找到了用户 ID，重定向服务器会获取已分配给此用户的分区 ID。

5. 重定向服务器根据已分配的分区 ID 确定用户将重定向至其中的节点。

6. 重定向服务器向包含要重定向至其中的节点的客户机返回错误，并关闭与该客户机的连接。

   重定向服务器使用 see-other-host 流错误来将该信息返回给客户机。有关更多信息，参见RFC 3920。

7. 客户机解释错误，并与返回错误的节点建立连接。

8. 重定向服务器持续不断地监视节点，并根据需要更新其 partition-to-host 表。

关于 Instant Messaging 重定向数据库

此数据库仅包含本地用户。重定向数据库中不包含网关、组件和远程用户。

Instant Messaging 重定向服务器概述

重定向服务器为一个 Instant Messaging 服务器实例，其唯一功能是重定向客户机连接。重定向服务器不会对最终用户执行任何其他服务。启动时，重定向服务器会载入服务器配置和分区文件，并创建以下数据结构：

• 此服务器可将客户机连接重定向至其中的实例的列表。它是重定向服务器的实例列表。此实例列表由 redirect.hosts 文件中的条目生成。

• 将分区映射到物理主机的表。此表名为 partition map。重定向服务器通过检查实例列表来建立分区映射，直到其达到指定的最大分区数。

重定向服务器使用两种数据结构来重定向客户机连接。有关重定向服务器如何使用此信息的说明，参见示例 7–1。

Instant Messaging 重定向服务器和 StartTLS

在客户机与重定向服务器之间，可能会发生建立连接客户机的身份识别所需次数的 StartTLS 协商。客户机不需要验证证书，仅需要用户 ID。

将 Instant Messaging 服务器实例配置为重定向服务器

要将某个服务器实例指定为重定向服务器，需在 iim.conf 中为 iim_server.redirect.provider 参数提供一个值。一旦将实例指定为重定向服务器，则需通过在 iim.conf 中为其他重定向特定参数指定值来提供更多的配置信息。表 7–1 介绍了重定向配置参数。

将 Instant Messaging 服务器配置为重定向服务器

开始之前

无法将早于 2006Q1 的 Instant Messenger 用于重定向服务器。如果使用第三方客户机，确保客户机支持 XMPP 重定向。

1. 收集以上的表 7–1 中的信息。

2. 打开 iim.conf。

   有关查找和修改此文件的说明，参见附录 A，iim.conf 中的 Instant Messaging 配置参数。

3. 修改参数值以匹配您的部署。

   表 7–1 列出了需为其提供值的参数。如果 iim.conf 中没有这些参数，则进行添加。以下示例显示了 iimA.siroe.com 上对应于需修改的重定向服务器参数的 iim.conf 部分。

   iim_server.redirect.provider=db,roundrobin iim_server.redirect.to=imserverA,imserverB iim_server.redirect.to.imserverA.host=iimA.siroe.com iim_server.redirect.to.imserverB.host=iimB.siroe.com iim_server.redirect.to.imserverA.usessl=false iim_server.redirect.to.imserverB.usessl=false

4. 保存更改并关闭 iim.conf。

5. 刷新重定向服务器的配置。

   imadmin refresh server

6. 配置客户机以连接到重定向服务器而非多路复用器。

管理 Instant Messaging 重定向服务器

以下小节介绍了管理 Instant Messaging 重定向服务器的信息：

• 停止、启动、重新启动、刷新和检查 Instant Messaging 重定向服务器的状态

• Instant Messaging 重定向服务器日志记录

• 为 Instant Messaging 重定向服务器设置分区大小

• 为 Instant Messaging 重定向服务器指定分区列表

停止、启动、重新启动、刷新和检查 Instant Messaging 重定向服务器的状态

重定向服务器是仅配置来实现重定向的 Instant Messaging 服务器实例。使用与常规服务器实例相同的程序来停止、启动、重新启动、刷新和检查状态。例如，要启动重定向服务器，可键入：

imadmin start server

有关更多信息，参见停止、启动、刷新和检查 Instant Messaging 组件。

Instant Messaging 重定向服务器日志记录

重定向服务器是仅配置来实现重定向的 Instant Messaging 服务器实例。使用用于常规服务器实例的相同说明和日志。有关更多信息，参见第 13 章，管理 Instant Messaging 的日志记录。

为 Instant Messaging 重定向服务器设置分区大小

可通过设置 iim.conf 中的 iim_server.redirect.db.partitionsize 参数来指定最大分区大小。此参数的值等于每个分区所允许的用户数。默认值为 5000（个用户）。

为 Instant Messaging 重定向服务器指定分区列表

redirect.partitions 文件定义了特定分区中的用户要重定向至其中的主节点以及一系列回退节点（如果需要）。文件中的每个非空的非注释行都定义了一个分区的节点列表。列表中的每个节点都必须对应于一个定义为 iim.conf 中的 iim_server.redirect.to 参数值的节点。如果定义的分区数大于 redirect.partitions 文件中的行数，则循环处理未指定的分区。

默认情况下，redirect.partitions 文件存储于以下位置：

im-cfg-base/redirect.partitions

示例 7–2 Redirect.partitions 文件配置

此 redirect.partitions 文件示例假定以下情况：

• 已为 db 和 roundrobin 查找配置了重定向服务器。

• 已将以下三个节点标识为重定向客户机的目的地：

  • imserverA

  • imserverB

  • imserverC

• 这三个节点分别对应于以下主机：

  • iimA.siroe.com

  • iimB.siroe.com

  • iimC.siroe.com.

  在 iim.conf 中按以下方式表示：

  iim_server.redirect.provider=db,roundrobin iim_server.redirect.to=imserverA,imserverB, imserverC iim_server.redirect.to.imserverA.host=iimA.siroe.com iim_server.redirect.to.imserverB.host=iimB.siroe.com iim_server.redirect.to.imserverC.host=iimC.siroe.com

• 至少有两个用户分区。

在这种情况下，redirect.partitions 可能显示为如下方式：

imserverA, imserverB, imserverC
imserverB, imserverC

有两个非空的非注释行，即表示至少有两个用户分区。第一行定义分区 1 的重定向行为。重定向服务器将首先把分区 1 用户重定向至 imserverA。如果失败，重定向服务器会先尝试 imserverB，然后尝试 imserverC。如果没有可操作的节点，则重定向服务器会向客户机返回错误。

使用 rdadmin 实用程序创建和管理 Instant Messaging 重定向表

通常，根据需要使用 rdadmin 实用程序。无需频繁地重新生成表，因为登记表的更改通常不会太多。但是，应至少每两周运行一次此实用程序。

创建新的或更新现有的 Instant Messaging 重定向数据库

1. 停止重定向服务器：

   imadmin stop redirect

2. 如果要更新现有的重定向数据库，获取之前由 rdadmin 创建的分区编号：

   1. 在文本编辑器中打开 rdadmin.log。

      rdadmin.log 文件存储于：

      im-runtime-base/log

   2. 查找 "NO OF PARTITIONS RUN" 的值。

3. 确保至少拥有与分区数量相同的用户条目。

4. 生成新的重定向数据库：

   例如：

   rdadmin generate

   有关 rdadmin 的其他选项，参见 rdadmin man 页面。

   rdadmin 实用程序创建新的数据库并将其保存为 im-db-base/redirect.new.db，也可指定另一名称。

5. 在首次生成重定向数据库时，将数据库重命名为 redirect.db。

6. 如果要更新现有重定向数据库，使用新数据库代替旧的重定向数据库：

   例如：

   rm im-db-base/redirect.db cp im-db-base/redirect.new.db im-db-base/redirect.db

7. 启动重定向服务器：

   imadmin start redirect

Instant Messaging 重定向服务器物理主机监视

重定向服务器监视其将客户机重定向至其中的主机的操作状态。如果重定向服务器确定其中一个主机失败，它会将分区重新分配给随后的主机，如 redirect.partitions 文件所定义。此外，重定向服务器还会检测主机何时返回联机状态，从而可将分区重定向回主机。重定向服务器通过以下两种方式监视主机：

• 定期轮询。重定向服务器在 iim.conf 中的 iim_server.redirect.pollfrequency 参数所指定的时间间隔内建立连接并打开 XMPP 流。

• 客户机重试监视。如果重定向服务器检测到单个客户机在很短时间内反复尝试连接，则可确定主机处于不可操作状态。

设置 Instant Messaging 重定向服务器主机轮询频率

1. 在重定向服务器上，打开 iim.conf。

   有关查找和修改此文件的说明，参见附录 A，iim.conf 中的 Instant Messaging 配置参数。

2. 设置 iim_server.redirect.pollfrequency 参数。

   值以分钟为单位。例如：

   iim_server.redirect.pollfrequency=200

3. 保存并关闭 iim.conf。

4. 刷新重定向服务器。

   imadmin refresh server

Instant Messaging 重定向服务器最佳实践和故障排除

以下各节介绍了使用 Instant Messaging 重定向服务器的最佳实践以及故障排除信息：

• 重定向服务器证书

• Instant Messaging 重定向服务器支持的客户机

• 使用重定向服务器并在 LDAP 中存储用户属性

• 确定重定向数据库的分区大小

• 将重定向服务器用作分区主机

重定向服务器证书

在使用证书来实现安全验证的部署中，每次进行连接时，系统可能会提示客户机接受两个证书；一个证书用于重定向服务器，另一个证书用于客户机重定向至其中的主机。为避免此类情况，使用受信证书或在两个服务器上使用同一证书。

Instant Messaging 重定向服务器支持的客户机

对于个别不支持 RFC 3920 和 see-other-hosts 流错误 (XMPP 重定向) 的客户机，重定向不起作用。可将 Instant Messenger 2006Q1 或更高版本用于重定向服务器。如果使用第三方客户机，确保客户机支持 XMPP 重定向。

使用重定向服务器并在 LDAP 中存储用户属性

如果要使用 LDAP 来存储用户属性（即 iim.userprops.store =ldap），则需确保 iim_ldap.usergroupbinddn 和 iim_ldap.usergroupbindcred 的值拥有对目录的目录管理器级别访问权限。

确定重定向数据库的分区大小

分区大小应尽可能大，以避免出现需拆分用户网络的情况。然而，分区也不应大于最小系统可支持的大小。

将重定向服务器用作分区主机

重定向服务器也可托管一个或多个分区。可通过在 redirect.partitions 文件中列出重定向服务器实例或作为 iim_server.redirect.to 参数的值来实现此目的。但是，不应将多台重定向服务器用作分区主机，因为不同步的 redirect.partitions 文件可能会引起重定向循环。

第 8 章 多个 Instant Messaging 服务器的联合部署

在仅 LDAP 部署中， 您可联合多个 Instant Messaging 部署组成一个更大的 Instant Messaging 社区。来自不同服务器的最终用户可以基于访问权限彼此通信、使用其他域上的会议室，以及订阅远程服务器上的新闻频道。

在使用 Sun Java^TM System Access Manager 的部署中，单个 Instant Messaging 服务器可以托管多个域。可以将单个域指定为 Instant Messaging 服务器实例的默认域。由同一服务器托管的不同域中的最终用户可以彼此交互。当联合多个 Instant Messaging 部署时，默认域中的最终用户可以看到其他远程 Instant Messaging 服务器的默认域中的最终用户。

为了能在网络中的多个 Instant Messaging 服务器之间通信，需要配置您的服务器，以使网络中的其他 Instant Messaging 服务器可识别该服务器的身份。Instant Messaging 服务器用其域名、主机和端口号、服务器 ID 和密码标识其本身。

在仅 LDAP 部署中，两个服务器应位于不同的域中。

在服务器配置中，可以为每个 Instant Messaging 服务器指定一个符号名。此名称由字母和数字组成，例如 IMserver1。

使用 TLS 确保服务器到服务器通信的安全。当在两个服务器之间交换数据时，需要使用这项技术防止第三方的安全侵害。当两个服务器之间的链接使用公共互联网时，就更加需要这种防范技术。遵循下面概述的说明来配置 Instant Messaging 服务器之间的 TLS。

配置 Instant Messaging 服务器之间的联合通信

本节说明如何启用两个 Instant Messaging 服务器之间的联合通信。

表 8–1 列出 iim.conf 中用于在两个服务器之间进行联合通信的参数，以及这些参数在两个示例 Instant Messaging 服务器（iim.company22.com 和 iim.i-zed.com）中的值。

有关配置参数的更多信息，参见附录 A，iim.conf 中的 Instant Messaging 配置参数。

每个 Instant Messaging 服务器由其符号名标识。服务器的符号名会添加到 iim.conf 的 iim_server.coservers 参数中。此参数有多个值，各个值之间以逗号相隔。

在两个 Instant Messaging 服务器之间进行联合通信

1. 收集表 8–1 中列出的信息。

2. 转至服务器 iim.company22.com 上的 im-cfg-base。

   有关查找 im-cfg-base 的说明，参见 Instant Messaging 服务器目录结构。

3. 打开 iim.conf。

   有关查找和修改 iim.conf 的说明，参见 iim.conf 文件语法。

   ---

   注 –

   iim.conf 文件应归用户在安装过程中创建的 Instant Messaging 服务器帐户所有。如果 Instant Messaging 服务器帐户不能读取 iim.conf 文件，则服务器和多路复用器将无法读取配置。另外，您可能无法编辑 iim.conf。

   ---

4. 修改参数值以符合您的部署。

   表 8–1 列出您需要修改的参数。如果 iim.conf 中没有这些参数，则添加它们。以下示例显示 iim.company22.com 上的 iim.conf 部分，对应您需要修改的服务器到服务器通信：

   iim_server.serverid=Iamcompany22 iim_server.password=secretforcompany22 iim_server.domainname=iim.icompany22.com iim_server.coservers=coserver1 iim_server.coserver1.host=iim.i-zed.com:5269 iim_server.coserver1.serverid=Iami-zed iim_server.coserver1.password=secret4i-zed iim_server.coserver1.domain=i-zed.com

5. 对于服务器 iim.i-zed.com 上的 iim.conf 文件，请执行步骤 2 到步骤 4。

   以下示例显示 iim.i-zed.com 上的 iim.conf 部分，对应您需要修改的服务器到服务器通信：

   iim_server.serverid=Iami-zed iim_server.password=secret4i-zed iim_server.domainname=iim.i-zed.com iim_server.coservers=coserver1 iim_server.coserver1.host=iim.company22.com:5269 iim_server.coserver1.serverid=Iamcompany22 iim_server.coserver1.password=secretforcompany22 iim_server.coserver1.domain=company22.com

6. 保存更改并关闭 iim.conf。

7. 刷新两台服务器上的配置。

   imadmin refresh server

第 9 章 管理 Instant Messaging 组件

本章说明如何管理 Instant Messaging 组件（服务器、多路复用器、“日历”代理、群集代理和监视程序）及执行其他管理任务，如更改配置参数和创建备份。

本章包含以下几节，分别介绍了 Instant Messaging 中的各种管理任务：

• 停止、启动、刷新和检查 Instant Messaging 组件

• 更改 Instant Messaging 服务器和多路复用器配置参数

• 备份 Instant Messaging 数据

停止、启动、刷新和检查 Instant Messaging 组件

使用 imadmin 命令可以：

• 启动和停止所有 Instant Messaging 组件（服务器、多路复用器、“日历”代理、群集代理和监视程序）。

• 启动和停止单个 Instant Messaging 组件。

• 刷新所有的 Instant Messaging 组件配置。

• 刷新单个 Instant Messaging 组件。

• 检查 Instant Messaging 组件的状态。

imadmin 命令行实用程序只能由超级用户或拥有运行 Instant Messaging 服务器和多路复用器的系统的管理权限的用户执行。此最终用户通常是用来运行服务器的那个身份，并在安装期间指定：

• 在 Solaris 中为 inetuser。

• 在具有 Sun Java^TM System Access Manager 的部署中，如果 Sun Java System Portal Server 和 Instant Messaging 服务器安装在同一主机上，该用户就是运行 Access Manager 的用户，如同 root。

imadmin 命令行实用程序位于以下目录中：

im-svr-base/sbin

启动 Instant Messaging 服务器可使 Instant Messenger 与其进行连接。停止 Instant Messaging 服务器将终止所有连接，并断开与所有 Instant Messenger 客户机之间的连接。

启动 Instant Messaging 组件

可以一并启动所有组件，也可以分别启动单个组件。

以 start 选项使用 imadmin 命令可根据所启用的组件来启动 Instant Messaging Server、多路复用器、日历代理、群集代理、监视程序。

启动所有组件

在命令行中键入如下内容：

imadmin start

如果服务器和多路复用器均已启用，则此命令将首先启动 Instant Messaging 服务器，然后启动多路复用器。

如果启用了监视程序（默认设置），此命令将启动监视程序，然后监视程序将读取配置文件，并根据需要启动 Instant Messaging Server 和/或多路复用器。

启动单个组件

如下所示在命令行中键入包含指定组件的参数的 imadmin start 命令：

服务器：

imadmin start server

多路复用器：

imadmin start multiplexor

日历代理：

imadmin start agent-calendar

监视程序：

imadmin start watchdog

停止 Instant Messaging 组件

可以一并停止所有组件，也可以分别停止单个组件。

以 stop 选项使用 imadmin 命令可根据所启用的组件来停止 Instant Messaging Server、多路复用器、日历代理、群集代理、监视程序。

停止所有组件

在命令行中键入如下内容：

imadmin stop

如果监视程序正在运行，imadmin 将首先停止监视程序，然后停止服务器和/或多路复用器。

此命令将停止服务器、多路复用器、日历代理、群集代理和监视程序，终止所有最终用户连接，并断开配置的所有入站和出站服务器连接。

停止单个组件

如下所示在命令行中键入包含指定组件的参数的 imadmin stop 命令：

服务器：

imadmin stop server

多路复用器：

imadmin stop multiplexor

日历代理：

imadmin stop agent-calendar

监视程序：

imadmin stop watchdog

刷新组件配置

以 refresh 选项使用 imadmin 命令可停止和重新启动单个 Instant Messaging 组件并刷新该组件的配置。

可以一并刷新所有组件，也可以分别刷新单个组件。

无论何时在 iim.conf 文件中更改配置参数，都需要刷新配置。

刷新所有组件

在命令行中键入如下内容：

imadmin refresh

此命令将停止服务器、多路复用器、日历代理、群集代理和监视程序，终止所有最终用户连接，并断开配置的所有入站和出站服务器连接。

如果监视程序正在运行，imadmin 将首先停止监视程序，然后停止服务器和/或多路复用器。然后启动监视程序。该监视程序将读取配置文件，并根据需要启动 Instant Messaging 服务器和/或多路复用器。

刷新单个组件

如下所示在命令行中键入包含指定组件的参数的 imadmin refresh 命令：

服务器：

imadmin refresh server

多路复用器：

imadmin refresh multiplexor

日历代理：

imadmin refresh agent-calendar

群集代理：

imadmin refresh monitor

监视程序：

imadmin refresh watchdog

检查 Instant Messaging 组件的状态

可以 status 选项使用 imadmin 命令一并检查所有组件的状态，或分别检查单个组件的状态。该命令会返回以下格式的结果：

Component  [status]

例如：

Server          [UP]
Multiplexor     [UP]
Agent:calendar  [DOWN]
Watchdog        [UP]

检查所有组件的状态

在命令行中键入如下内容：

imadmin status

此命令将返回所有已启用组件的状态。

检查单个组件的状态

如下所示在命令行中键入包含指定组件的参数的 imadmin status 命令：

服务器：

imadmin status server

多路复用器：

imadmin status multiplexor

日历代理：

imadmin status agent-calendar

监视程序：

imadmin status watchdog

更改 Instant Messaging 服务器和多路复用器配置参数

Instant Messaging 将配置参数存储在 iim.conf 文件中。有关配置参数的完整列表，参见附录 A，iim.conf 中的 Instant Messaging 配置参数。

要更改配置参数，请手动编辑 iim.conf 文件中的配置参数及其值，然后刷新 Instant Messaging 服务器配置。如果更改了多路复用器参数，只需刷新多路复用器，如下所示：

imadmin refresh multiplexor

有关配置参数及其值的完整列表，参见附录 A，iim.conf 中的 Instant Messaging 配置参数。

更改配置参数

1. 转至 im-cfg-base 目录。

   有关查找 im-cfg-base 的说明，参见Instant Messaging 服务器目录结构。

2. 使用文本编辑器编辑 iim.conf。

3. 保存更改。

4. 使用 imadmin 刷新配置。

   例如：

   imadmin refresh

   ---

   注 –

   如果更改了多路复用器的监听端口 (iim_mux.listenport) 和多路复用器主机，则相应更新 im.html 或 im.jnlp 文件。如果该操作失败，则会使 Instant Messenger 无法连接到服务器。有关更多信息，参见第 15 章，管理 Instant Messenger。

   ---

备份 Instant Messaging 数据

Instant Messaging 不附带任何故障恢复工具。请使用站点的备份系统定期备份配置和数据库目录。本部分的以下小节介绍备份 Instant Messaging 的相关信息：

• 备份信息

• 执行备份

• 恢复备份信息

备份信息

需要备份的 Instant Messaging 信息包括以下类型：

• 配置信息

• Instant Messaging 最终用户数据

• Instant Messenger 资源

配置信息存储在配置目录 (im-cfg-base) 中。默认路径在 Instant Messaging 服务器目录结构中进行了描述。

Instant Messaging 数据存储在数据库目录 (im-db-base) 中。默认 im-db-base 也在 Instant Messaging 服务器目录结构中进行了描述。

如果 Instant Messenger 资源进行了自定义，则必须对其进行备份。安装期间提供了 Instant Messenger 资源的位置。

执行备份

虽然备份信息不经常更改，但 Instant Messaging 最终用户的数据却更改频繁。因此，为避免最终用户数据的丢失，应该定期备份 Instant Messaging 最终用户数据。备份需要在运行安装程序或卸载程序之前执行。

要备份最终用户数据和配置信息，不必停止 Instant Messaging 服务器，因为所有由服务器负责的磁盘提交会自动执行。

恢复备份信息

当出现磁盘故障并且所有最终用户数据和配置信息均丢失时，需要恢复最终用户数据和配置信息的备份。

从备份恢复最终用户数据

1. 转至 im-runtime-base 目录。

   有关查找 im-runtime-base 的信息，参见Instant Messaging 服务器目录结构。

2. 停止 Instant Messaging 服务器：

   imadmin stop

3. 将备份数据复制到 im-db-base 目录。

   确保保持备份数据的目录结构。

4. 检验新恢复数据的权限和所有者。

   文件应由 Instant Messaging 系统用户所有。有关该用户的信息，参见创建 UNIX 系统用户和组。应如下设置权限：

   • 文件：600（表示仅限所有者的读和写权限）

   • 目录：700（表示仅限所有者的读、写和执行权限）

   有关更改权限和所有者的信息，参阅您的操作系统文档。

5. 启动 Instant Messaging 服务器：

   imadmin start

第 10 章 使用 Instant Messaging XMPP/HTTP 网关

XMPP/HTTP 网关可让 Instant Messaging 访问不是基于 XMPP 的客户机，例如基于 HTML 的客户机，以及防火墙后的客户机（允许 HTTP 通信，但不允许 XMPP 通信）。网关代表 HTTP 客户机代理到 XMPP 服务器的 Instant Messaging 通信。

使用 Instant Messenger 资源文件将 XMPP/HTTP 网关部署为 Web 容器上的 webapp。

本章中的以下各节提供有关配置和维护 XMPP/HTTP 网关的信息：

• Instant Messaging XMPP/HTTP 网关配置文件

• 配置 Instant Messaging XMPP/HTTP 网关

• 使用 StartTLS 确保 XMPP/HTTP 网关和 Instant Messaging 服务器之间的通信安全

• 管理 XMPP/HTTP 网关的日志记录

Instant Messaging XMPP/HTTP 网关配置文件

XMPP/HTTP 网关使用以下文件进行配置：

• 网关 webapp 配置文件 (web.xml)。此文件的内容决定使用哪个网关配置文件。有关使用非默认配置文件的信息，参见配置 Instant Messaging XMPP/HTTP 网关以使用非默认配置文件。

• 网关配置文件（通常为 httpbind.conf）。有关配置网关的说明，参见配置 Instant Messaging XMPP/HTTP 网关。有关 httpbind.conf 文件语法、文件位置以及此文件中配置参数列表的说明，参见附录 B，httpbind.conf 中的 Instant Messaging XMPP/HTTP 网关配置参数。

• 网关日志记录配置文件（通常为 httpbind_log4j.conf）。有关配置日志记录的详细信息，参见管理 XMPP/HTTP 网关的日志记录。有关日志记录配置文件语法，参见XMPP/HTTP 网关 log4j 日志配置文件语法。

配置 Instant Messaging XMPP/HTTP 网关

当您在安装后运行 configure 实用程序时，可以选择是否部署 XMPP/HTTP 网关。如果启用，则 configure 实用程序会为网关创建一个默认配置文件 (httpbind.conf)。您可以通过修改此文件中的值更改配置。有关 httpbind.conf 文件语法、文件位置以及此文件中配置参数列表的说明，参见附录 B，httpbind.conf 中的 Instant Messaging XMPP/HTTP 网关配置参数，或参阅本节中的说明。

此外，当您选择在初始配置过程中部署网关时，configure 实用程序会在 im-svr-base/work 目录中创建一个 .war 文件，然后在您指定的代码库目录中的 Web 或应用服务器上部署此文件。

您还可以通过修改 web.xml（使用 Web 容器上的客户机资源部署）中的值，来配置网关以使用非默认的配置文件。

在本节的说明中，假定网关配置文件为 httpbind.conf。如果您使用非默认配置文件，请以您的配置文件代替说明中的 httpbind.conf。

每次更改 httpbind.conf 后，都需要重新启动 XMPP/HTTP 网关。

本节包含以下说明：

• 启用或禁用 Instant Messaging XMPP/HTTP 网关

• 配置 XMPP/HTTP 网关处理的并发请求数

• 为 XMPP/HTTP 网关的客户机请求设置 JEP 124 hold 属性

• 指定 XMPP/HTTP 网关允许的客户机非活动时间

• 设置 XMPP/HTTP 网关的 内容类型 HTTP 头

• 设置 XMPP/HTTP 网关的往返时间延迟

• 设置 XMPP/HTTP 网关将发送响应到客户机的默认时间

• 在 Instant Messaging 网关池中配置 XMPP/HTTP 网关

• 为支持的 XMPP/HTTP 网关域配置键 ID 列表

• 配置 Instant Messaging XMPP/HTTP 网关以使用非默认配置文件

有关配置网关日志记录的说明，参见管理 XMPP/HTTP 网关的日志记录。

启用或禁用 Instant Messaging XMPP/HTTP 网关

可通过运行 configure 实用程序，然后设置 iim.conf 中的参数来启用网关。可使用 Web 容器或应用服务器提供的工具稍后禁用网关。

1. 启用网关：

   1. 运行 configure 实用程序。

   2. 当提示时选择部署网关。

      有关详细信息，参见第 1 章，安装后配置 Instant Messaging。

   3. 在 iim.conf 中，将 iim_agent.httpbind.enable 参数设为 true。

      例如：

      iim_agent.httpbind.enable=true

2. 要禁用网关，请使用 Web 或应用服务器提供的工具禁用 webapp。

配置 XMPP/HTTP 网关处理的并发请求数

开始之前

请确保您熟悉 JEP 124 标准草案。有关详细信息，可从 http://www.jabber.org/jeps/jep-0124.html 获得。

1. 打开 httpbind.conf。

   有关查找此文件的信息，参见httpbind.conf 文件位置。

2. 将 httpbind.requests 参数设为单个客户机可向网关发送的最大并发请求数。

   默认值为 2。例如：

   httpbind.requests=2

   客户机可向网关发送的并发请求数。如果此参数的值小于客户机请求中 JEP 124 hold 属性的值，则此参数的值将被设为 hold+1。不要将此参数设为 1，因为这样会严重降低性能。有关 httpbind.hold 参数的详细信息，参见为 XMPP/HTTP 网关的客户机请求设置 JEP 124 hold 属性和表 B–1。

3. 保存并关闭 httpbind.conf。

4. 使用 Web 或应用服务器提供的工具重新启动网关。

为 XMPP/HTTP 网关的客户机请求设置 JEP 124 hold 属性

开始之前

请确保您熟悉 JEP 124 标准草案。有关详细信息，可从 http://www.jabber.org/jeps/jep-0124.html 获得。

1. 打开 httpbind.conf。

   有关查找此文件的信息，参见httpbind.conf 文件位置。

2. 将 httpbind.hold 参数设为您想要网关允许客户机请求中 hold 属性的最大值。

   默认值为 5。例如：

   httpbind.hold=5

   如果客户机发送的 hold 值大于网关的 hold 值，则使用网关的 hold 值。

3. 保存并关闭 httpbind.conf。

4. 使用 Web 或应用服务器提供的工具重新启动网关。

指定 XMPP/HTTP 网关允许的客户机非活动时间

1. 打开 httpbind.conf。

   有关查找此文件的信息，参见httpbind.conf 文件位置。

2. 将 httpbind.inactivity 参数设为您想要网关终止空闲连接所经过的时间（秒）。

   默认值为 180 秒。例如：

   httpbind.inactivity=180

   如果客户机在此时间段内没有轮询网关，则网关会终止该连接。

3. 保存并关闭 httpbind.conf。

4. 使用 Web 或应用服务器提供的工具重新启动网关。

设置 XMPP/HTTP 网关的 内容类型 HTTP 头

1. 打开 httpbind.conf。

   有关查找此文件的信息，参见httpbind.conf 文件位置。

2. 如果客户机在其初始请求中没有指定参数，则应该将 httpbind.content_type 参数设为您希望网关使用的内容类型。

   默认值为 text/xml; charset=utf-8。例如：

   httpbind.content_type=text/xml; charset=utf-8

3. 保存并关闭 httpbind.conf。

4. 使用 Web 或应用服务器提供的工具重新启动网关。

设置 XMPP/HTTP 网关的往返时间延迟

往返时间延迟是您想要允许在网关和客户机之间的往返时间超时之上增加的时间量（秒）。这有助于考虑到网络延迟。

1. 打开 httpbind.conf。

   有关查找此文件的信息，参见httpbind.conf 文件位置。

2. 根据需要设置 httpbind.round_trip_delay 参数。

   将此值设置过高可能会降低性能。该值以秒为单位。默认值为 1 秒。例如：

   httpbind.round_trip_delay=1

   将此值设置过高可能会降低性能。更改此参数前请考虑您的一般网络延迟。

3. 保存并关闭 httpbind.conf。

4. 使用 Web 或应用服务器提供的工具重新启动网关。

设置 XMPP/HTTP 网关将发送响应到客户机的默认时间

1. 打开 httpbind.conf。

   有关查找此文件的信息，参见httpbind.conf 文件位置。

2. 根据需要设置 httpbind.wait_time 参数。

   保证客户机在您指定给此参数的等待时间内会收到来自 XMPP/HTTP 网关的响应。设置此参数时请考虑您的网络速度。不要将该值设置过低，以免 XMPP/HTTP 网关不能及时发送请求。

   该值以秒为单位。默认值为 120 秒。例如：

   httpbind.wait_time=120

   如果为客户机设置的值大于为网关设置的值，则会使用网关等待时间。

3. 保存并关闭 httpbind.conf。

4. 使用 Web 或应用服务器提供的工具重新启动网关。

在 Instant Messaging 网关池中配置 XMPP/HTTP 网关

1. 打开 httpbind.conf。

   有关查找此文件的信息，参见httpbind.conf 文件位置。

2. 将网关配置为带有 Instant Messaging 网关池部署的一部分：

   1. 将 httpbind.pool.support 参数设为 true：

      httpbind.pool.support=true

   2. 将 httpbind.pool.nodeId 参数设为完整的网关 URL。

      该 URL 用作网关的 nodeId，此 nodeId 在服务器池内必须唯一。网关使用此 nodeId 来确定是否必须为收到的请求提供服务，或将请求转发到池中的其他网关。

3. 要将网关配置为不在网关池中工作，请将 httpbind.pool.support 参数设置如下：

   httpbind.pool.support=false

4. 保存并关闭 httpbind.conf。

5. 使用 Web 或应用服务器提供的工具重新启动网关。

为支持的 XMPP/HTTP 网关域配置键 ID 列表

1. 打开 httpbind.conf。

   有关查找此文件的信息，参见httpbind.conf 文件位置。

2. 将 httpbind.config 参数设为您想要网关使用的 ID 列表。

   对于每个域，您都需要为此参数指定一个单独的 ID。例如：

   httpbind.config=gwdomain-id

   其中，gwdomain-id 是您要使用的域标识符。

   例如：

   httpbind.config=siroe.com

3. 对于您要指定的每个 gwdomain-id，请将以下参数添加到 httpbind.conf 文件中：

   gwdomain-id.domain=domain-name gwdomain-id.hosts=gateway-host gwdomain-id.componentjid=component-jid gwdomain-id.password=password

   其中：

   • gwdomain-id 是上一步骤中，在 httpbind.config 中指定的网关 ID。

   • domain-name 是标识的网关在其中运行的域。

   • gateway-host 是全限定域名 (FQDN) 以及支持此域的网关主机端口号列表，以逗号或空格分隔。

   • component-jid 是网关的组件 JID。

   • password 是标识的网关的密码。

   例如，如果 gwdomain-id 设为 siroe：

   siroe.domain=siroe.com siroe.hosts=gateway.siroe.com:5222 siroe.componentjid=http.gateway.siroe.com siroe.password=gatewaypassword

   关于这些关键参数的详细信息，参见httpbind.config 的网关域 ID 键参数。

4. 保存并关闭 httpbind.conf。

5. 使用 Web 或应用服务器提供的工具重新启动网关。

配置 Instant Messaging XMPP/HTTP 网关以使用非默认配置文件

1. 在部署 Instant Messenger 资源文件的 Web 容器上，编辑 web.xml。

   使用 Web 容器的工具编辑此文件。

2. 将 httpbind.config.file 参数的值更改为您想要网关使用的配置文件的位置。

使用 StartTLS 确保 XMPP/HTTP 网关和 Instant Messaging 服务器之间的通信安全

XMPP/HTTP 网关只支持使用 StartTLS 进行安全通信。如果多路复用器配置为使用传统的 SSL，则您需要配置网关，使其绕过多路复用器直接连接到服务器。如果 StartTLS 可用，则网关将始终尝试使用它进行通信。有关详细信息，参见第 12 章，使用 TLS 和传统 SSL 保证 Instant Messaging 的安全性。

管理 XMPP/HTTP 网关的日志记录

您可以配置 XMPP/HTTP 网关的日志记录级别、完全启用或禁用日志记录以及更改网关日志文件或网关日志配置文件的位置，如以下各节所述：

• 启用或禁用 XMPP/HTTP 网关的日志记录

• 更改 XMPP/HTTP 网关日志配置文件的位置

• Linux: 安装或升级后设置 XMPP/HTTP 网关日志文件的位置

• 更改 XMPP/HTTP 网关日志文件的位置

• 使用 XMPP/HTTP 网关的非默认日志文件位置

• 设置 XMPP/HTTP 网关日志记录级别

• XMPP/HTTP 网关 log4j 日志配置文件语法

有关 Instant Messaging 所支持的 log4j 格式的详细信息，参见Apache Logging Services 网站中的相关说明。

启用或禁用 XMPP/HTTP 网关的日志记录

您可以通过两种方式启用或禁用网关的日志记录：

• 添加或删除 httbind.conf 中 httpbind.log4j.config 参数的值。

• （建议使用）修改网关的 log4j 配置文件 (httpbind_log4j.conf) 中的配置。

在大多数情况下，您应该修改 httpbind_log4j.conf 文件本身中的配置，而保留将 httpbind.log4j.config 参数设为 httpbind_log4j.conf 文件的位置。以下过程说明如何修改 httpbind_log4j.conf 文件中的配置。

1. 打开 httpbind_log4j.conf 文件。

   此文件的存储位置是您在 httpbind.conf 文件中指定作为 httpbind.log4j.config 参数的值。默认情况下，文件存储于默认 Instant Messaging 实例的以下目录中：

   im-cfg-base/httpbind_log4j.conf

2. 要禁用网关的日志记录，请将 log4j.logger.gateway 参数设置如下：

   log4j.logger.gateway=OFF

3. 要启用日志记录，请将 log4j.logger.gateway 参数设为所需的日志记录级别。

   例如：

   log4j.logger.gateway=ERROR

   有关您可以使用的有效日志记录级别列表，参见表 13–1。

4. 保存并关闭 httpbind_log4j.conf。

更改 XMPP/HTTP 网关日志配置文件的位置

1. 打开 httpbind.conf。

   有关查找此文件的信息，参见httpbind.conf 文件位置。

2. 将 httpbind.log4j.config 参数的值设为 XMPP/HTTP 网关日志配置文件的位置。

3. 保存并关闭 httpbind.conf。

4. 使用 Web 或应用服务器提供的工具重新启动网关。

Linux: 安装或升级后设置 XMPP/HTTP 网关日志文件的位置

在 Linux 中，安装和配置 XMPP/HTTP 网关后，您需要修改 httpbind_log4j.conf 中 XMPP/HTTP 网关默认日志文件的位置。

1. 打开 httpbind_log4j.conf 文件。

   此文件的存储位置是您在 httpbind.conf 文件中指定作为 httpbind.log4j.config 参数的值。默认情况下，文件存储于默认 Instant Messaging 实例的以下目录中：

   im-cfg-base/httpbind_log4j.conf

2. 将 log4.appender.appender_ID.file 参数的值设为日志文件的存储位置。

更改 XMPP/HTTP 网关日志文件的位置

开始之前

确保您熟悉如 Apache Logging Services 网站中所述的 log4j 语法和一般的实现方法。

1. 打开 httpbind_log4j.conf。

   此文件的存储位置是您在 httpbind.conf 文件中指定作为 httpbind.log4j.config 参数的值。默认情况下，文件存储于默认 Instant Messaging 实例的以下目录中：

   im-cfg-base/httpbind_log4j.conf

2. 将 log4j.appender.appender-ID 参数的值设为您想要存储日志文件的位置。

3. 保存并关闭 httpbind_log4j.conf。

4. 重新启动 Web 容器。

使用 XMPP/HTTP 网关的非默认日志文件位置

如果您选择使用非默认的日志文件位置，则您需要修改 httpbind_log4j.conf 中 XMPP/HTTP 网关默认日志文件的位置。

1. 打开 httpbind_log4j.conf 文件。

   此文件的存储位置是您在 httpbind.conf 文件中指定作为 httpbind.log4j.config 参数的值。默认情况下，文件存储于默认 Instant Messaging 实例的以下目录中：

   im-cfg-base/httpbind_log4j.conf

2. 将 log4.appender.appender_ID.file 参数的值设为日志文件的存储位置。

设置 XMPP/HTTP 网关日志记录级别

开始之前

确保您熟悉如 Apache Logging Services 网站中所述的 log4j 语法和一般的实现。

1. 打开 httpbind_log4j.conf。

   此文件的存储位置是您在 httpbind.conf 文件中指定作为 httpbind.log4j.config 参数的值。默认情况下，文件存储于默认 Instant Messaging 实例的以下目录中：

   im-cfg-base/httpbind_log4j.conf

2. 将 log4j.logger.gateway 参数设为所需的日志记录级别。

   例如：

   log4j.logger.gateway=ERROR

   有关您可以使用的有效日志记录级别列表，参见表 13–1。

XMPP/HTTP 网关 log4j 日志配置文件语法

有关 log4j 语法和一般实现的详细信息，参见Apache Logging Services 网站。网关日志配置文件语法如下。

log4j.logger.gateway=logging-level, Appender-ID
# DEFAULT TO RollingFileAppender
log4j.appender.Appender-ID=org.apache.log4j.RollingFileAppender
log4j.appender.Appender-ID.file=log-dir/httpbind.log
log4j.appender.Appender-ID.append=true|false
log4j.appender.Appender-ID.maxBackupIndex=7
log4j.appender.Appender-ID.maxFileSize=max-log-file-size
log4j.appender.Appender-ID.layout=org.apache.log4j.PatternLayout
log4j.appender.Appender-ID.layout.ConversionPattern=log-entry-syntax

示例 10–1 XMPP/HTTP 网关日志配置文件 (httpbind_log4j.conf)

log4j.logger.gateway=ERROR, A1
# DEFAULT TO RollingFileAppender
log4j.appender.A1=org.apache.log4j.RollingFileAppender
# log4j.appender.A1.file=$(logdir)/gateway.log
log4j.appender.A1.file=/tmp/gatewaylog
log4j.appender.A1.append=true
log4j.appender.A1.maxBackupIndex=7
log4j.appender.A1.maxFileSize=5mb
log4j.appender.A1.layout=org.apache.log4j.PatternLayout
log4j.appender.A1.layout.ConversionPattern=[%d{DATE}] %-5p %c [%t] %m%n

第 11 章 管理 Instant Messaging 的 LDAP 访问配置

本章在以下各节中说明 Instant Messaging 如何使用 LDAP 进行带有和不带 Access Manager 的部署：

• Instant Messaging 如何使用 LDAP 概述

• 匿名搜索目录

• 配置 Instant Messaging 以使用 LDAP 动态组

Instant Messaging 如何使用 LDAP 概述

Instant Messaging 的所有部署均需要目录服务器。在不带 Sun Java^TM System Access Manager 的部署中，Instant Messaging 服务器使用目录服务器来执行最终用户验证并搜索最终用户。

在带有 Sun Java System Portal Server 的部署中，Instant Messaging 服务器使用 Sun Java System Portal Server 所使用的目录。如果安装在 Access Manager 部署环境中，Instant Messaging 服务器会使用 Access Manager 所使用的目录来搜索最终用户，但不用于最终用户验证。在 Access Manager 部署中，Access Manager 执行该验证。

如果您使用 LDAP 目录来维护用户名称空间，则默认配置会对有关此目录使用的模式做出以下假设：

• 最终用户条目由 inetOrgPerson 对象类标识。

• 组条目由 groupOfUniqueNames 或 groupofURLs 对象类标识。

• 最终用户的 Instant Messenger 用户 ID 属性由 uid 属性（来自 inetOrgPerson 对象类）提供。

• 最终用户的电子邮件地址由 mail 属性提供。

• 最终用户或组的显示名称由 cn 属性提供。

• 组成员列表由 uniqueMember 属性（groupOfUniqueNames 对象类）提供。

您可以通过编辑 iim.conf 文件更改这些默认设置。参见iim.conf 文件语法。

某些用户属性可能包含保密信息。请确保设置您的目录访问控制以防止没有权限的用户进行未授权访问。参阅您的目录文档以获得更多信息。

匿名搜索目录

Instant Messaging 需要能够搜索目录才能正常工作。如果将目录配置为匿名用户可以搜索，则 Instant Messaging 就能够搜索目录。如果目录不能由匿名用户读取或搜索，则必须通过执行附加步骤，使用至少拥有此目录读取访问权限的用户 ID 的证书来配置 iim.conf。这些证书由下列各项组成：

• 识别名 (dn)

• 上述 dn 的密码

使服务器可作为指定的最终用户执行目录搜索

1. 确定 iim.conf 中以下参数的值：

   • iim_ldap.usergroupbinddn - 指定用来绑定至目录以进行搜索的识别名 (dn)。

   • iim_ldap.usergroupbindcred - 指定与识别名(dn) 一起使用的密码。

   例如：

   iim_ldap.usergroupbinddn="cn=iim server,o=i-zed.com"

   iim_ldap.usergroupbindcred=secret

   ---

   注 –

   您不必使用具有写入级别访问权限的管理员级证书，域树的读取权限已经足够。因此，如果有读取级别访问权限的 LDAP 用户，可使用其证书作为替代。这是一个更为安全的替代方法，因为它不会强制您散布管理员级的证书。

   ---

   有关查找和修改 iim.conf 的说明，参见iim.conf 文件语法。

2. 在带有 Sun Java System Access Manager 的部署中，如果匿名用户不能搜索目录：

   • 将 iim_ldap.useidentityadmin 配置参数设置为 true。

   • 您也可以删除或注释掉以下配置参数：

     • iim_ldap.usergroupbinddn

     • iim_ldap.usergroupbindcred

3. 编辑 iim.conf。

   参见 iim.conf 文件语法以获得有关查找和修改 iim.conf 的说明。

   如果 iim_ldap.usergroupbinddn 和 iim_ldap.usergroupbindcred 参数未出现在 iim.conf 中，您可以将其添加到文件内的任何位置。

配置 Instant Messaging 以使用 LDAP 动态组

在 Sun Java System Directory Server 和某些其他 LDAP 服务器中，动态组基于 DN 过滤最终用户并将它们包括在单个组中。动态组在 Directory Server 中由 groupOfUrls 对象类定义。

为使最终用户能够在搜索结果中查看动态组并将动态组添加到其联系人列表中，您需要将 groupOfUrls 对象包括在搜索结果中。

需要对 iim.conf 进行以下修改：

配置 Instant Messaging 以使用动态组

1. 打开 iim.conf。

   参见 iim.conf 文件语法以获得有关查找和修改 iim.conf 的说明。

2. 将以下三行添加到 iim.conf：

   iim_ldap.usergroupbynamesearchfilter=(|(&(| (objectclass=groupofuniquenames) (objectclass=groupofurls))) (cn={0}))(&(objectclass=inetorgperson) (cn={0}))) iim_ldap.groupbrowsefilter=(| (objectclass=groupofuniquenames) (objectclass=groupofurls)) iim_ldap.groupclass=groupOfUniqueNames,groupOfURLs

   不要一行内包括换行。属性和对象类名称可以进行配置。默认情况下，memberOfUrls 属性被用作动态组的成员属性。如果您要使用 memberOfUrls 以外的属性名称，可将 iim_ldap.groupmemberurlattr 选项设置为您要使用的属性名称。

第 12 章 使用 TLS 和传统 SSL 保证 Instant Messaging 的安全性

Instant Messaging 支持通过 TLS（Transport Layer Security，传输层安全）和传统 SSL（Secure Sockets Layer，安全套接字层）实现安全通信。本章的以下各节提供了有关使用这些协议来设置 Instant Messaging 安全性的说明：

• 在 Instant Messaging 中使用 TLS 和传统 SSL 的概述

• 为 Instant Messaging 服务器设置 TLS

• 在 Instant Messaging 服务器上激活 TLS

• 为多路复用器和 Instant Messenger 设置传统 SSL

• 调用 Instant Messenger 的安全版本

在 Instant Messaging 中使用 TLS 和传统 SSL 的概述

对于客户机到服务器和服务器到服务器的加密通信以及服务器间基于证书的验证，Instant Messaging 使用传输层安全 (Transport Layer Security, TLS) 1.0 协议的 startTLS 扩充。此外，对于 Instant Messenger 和多路复用器之间的加密通信，Instant Messaging 支持传统的 SSL 协议（版本 3.0）。在更高的版本中，将使用证书来验证客户机所连接的服务器的身份，但证书不会用于验证。

多路复用器与服务器之间的通信基于不安全的传输。将 TLS 用于客户机到服务器的通信时，多路复用器仅在客户机与服务器之间来回传送字节，并不会执行任何加密和解密操作。

TLS 与 SSL 完全兼容，并且包括所有必要的 SSL 功能。TLS 和 SSL 是 XMPP 和 HTTP 应用层下的协议层。

如果将多路复用器设置为仅使用传统 SSL，则 Instant Messenger 将仅使用 SSL 来连接到多路复用器，并且会忽略服务器返回的所有有关 TLS 可用性的信息。然而，如果选择将传统 SSL 用于多路复用器，应将所有 XMPP/HTTP 网关实例配置为直接与服务器而非多路复用器通信。网关不支持传统 SSL。基于传统 SSL 连接到多路复用器并随后请求 TLS 连接的第三方客户机则可执行此操作。

此外，多路复用器基于不安全的传输连接到服务器。如果要保证端对端（客户机通过多路复用器到服务器以及返回）通信的安全性，使用 TLS 代替传统 SSL。

要将 TLS 用于 Instant Messaging 服务器，必须使用 Java 1.5（最低版本）。

有关 XMPP 中的 TLS 和 StartTLS 的信息，参见 RFC 3920 Extensible Messaging and Presence Protocol: Core 中的 "Use of TLS"。有关证书、SSL 和 TLS 的概述，参见《Sun Java System Application Server Enterprise Edition 8.2 管理指南》中的《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的“Introduction to Certificates and SSL”。本小节中的各程序假定您要使用 Sun Java^TM System Application Server 来生成证书。如果要使用另一 Web 容器，需参阅该 Web 容器的相关文档，获取有关生成密钥库和证书的特定说明。

为 Instant Messaging 服务器设置 TLS

要为 Instant Messaging 服务器到服务器和客户机到服务器通信启用 TLS，需执行以下常规步骤：

1. 使用 keytool 实用程序创建 Java 密钥库 (Java keystore, JKS) 和私钥。

   有关 keytool 实用程序的概述，参见《Sun Java System Application Server Enterprise Edition 8.2 管理指南》中的《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的“Tools for Managing Security”。有关使用 Sun Java System Application Server 生成 JKS 的说明，参见《Sun Java System Application Server Enterprise Edition 8.2 管理指南》中的《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的“Working with Certificates and SSL”。

2. 使用私钥生成 Instant Messaging 服务器的服务器证书。

   有关说明，参见《Sun Java System Application Server Enterprise Edition 8.2 管理指南》中的《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的“Generating a Certificate Using the keytool Utility”。

3. 获取由证书颁发机构 (Certificate Authority, CA) 签署的 Instant Messaging 服务器证书。

   有关说明，参见《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的“Signing a Digital Certificate Using the keytool Utility”。在适当的位置用 Instant Messaging 替换 Application Server。

4. 重新启动 Instant Messaging 服务器。

   有关详细信息，参见启动 Instant Messaging 组件。

5. 获取 CA 的根证书。

   有关获取 CA 根证书的说明，请联系您的 CA。

6. 将证书导入密钥库中。

   使用 keytool 实用程序将 CA 根证书和已签署的服务器证书导入密钥库中，如《Sun Java System Application Server Enterprise Edition 8.2 管理指南》中的《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的“Using the keytool Utility”中所述。

7. 通过在 iim.conf 中设置相应的参数来在服务器中激活 TLS。

   有关说明，参见在 Instant Messaging 服务器上激活 TLS。

8. 对于基于 TLS 的服务器到服务器通信，需对每台要基于 TLS 实现通信的服务器重复这些步骤。无需执行任何操作来配置 Instant Messenger 以使用 TLS。也无需针对 TLS 配置多路复用器，但是，如果打算使用 TLS，则不可将多路复用器设置为使用传统 SSL。

9. 如果要在部署中使用 XMPP/HTTP 网关，则将网关配置为直接与 Instant Messaging 服务器而非多路复用器通信。

如果您正使用 Sun Java System Application Server，《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的“Working with Certificates and SSL”中有步骤 1 至 5 的说明。在 Instant Messaging 服务器上激活 TLS中描述了步骤 6。

在 Instant Messaging 服务器上激活 TLS

在服务器上激活 TLS 前，必须创建一个 JKS，获取和安装一个已签署的服务器证书，并信任 CA 的证书，如为 Instant Messaging 服务器设置 TLS中所述。要将 TLS 用于服务器到服务器和/或客户机到服务器的通信，在服务器上激活 TLS。

表 12–1 列出了 iim.conf 中用来在 Instant Messaging 服务器中启用 TLS 的参数。还包含这些参数的说明和默认值。

/im-cfg-base/server-keystore.jks

在 Instant Messaging 服务器中激活 TLS 通信

使用此程序配置 Instant Messaging 服务器以按照以下方式基于 TLS 实现安全通信：

• 要求将 TLS 用于所有客户机和服务器连接。

• 要求将 TLS 仅用于特定的服务器到服务器连接。

• 允许将 TLS 用于在建立了初始通信会话后请求安全传输的客户机和服务器连接。

• 要求将 TLS 用于特定的服务器到服务器连接以及允许将 TLS 用于其他客户机和服务器连接。

开始之前

确保已创建 JKS，获取和安装了服务器证书，并将服务器配置为信任 CA 的证书，如为 Instant Messaging 服务器设置 TLS 中所述。

对于服务器到服务器的 TLS 通信，必须在要配置来使用 TLS 的每台服务器上完成此程序。

1. 为 iim.conf 中的以下参数添加值。

   如果参数尚未出现在 iim.conf 中，请进行添加。

   iim_server.sslkeystore=server-keystore.jks iim_server.keystorepasswordfile=sslpassword.conf

   服务器将使用其能够基于 TLS 实现通信的信息来回应任意客户机或另一 Instant Messaging 服务器的连接请求。然后提出请求的客户机或服务器将选择是否建立基于 TLS 的安全连接。

2. 如果希望服务器将 TLS 用于来自所有客户机、远程和对等服务器的连接，在 iim.conf 中添加以下参数：

   iim_server.requiressl=true

   如果将此参数设置为 true，服务器会终止与不支持 TLS 的客户机或远程及对等服务器之间的连接。使用此参数来请求基于 TLS 的安全客户机到服务器通信。

   有关服务器到服务器通信的更多信息，参见第 8 章，多个 Instant Messaging 服务器的联合部署。

3. 如果要将 TLS 用于与特定远程或对等服务器之间的通信，将以下参数添加到 iim.conf：

   iim_server.coserver1.requiressl=true

   为需要 TLS 的每个协同服务器设置此参数。

   如果将 iim_server.requiressl 设置为 true，服务器会要求与其通信的所有服务器均采用 TLS 连接。在这种情况下，无需为特定的协同服务器设置此参数。

4. （可选的）如果希望服务器信任接收到的所有证书，并将证书信息添加到日志文件，将以下参数添加到 iim.conf：

   iim_server.trust_all_cert=true

   ---

   注意 –

   可能需要在上线前使用此功能来测试部署。然而，通常不应对已部署的系统执行此操作，因为这样会引起严重的安全风险。如果此值为 true，服务器会信任所有证书（包括过期和自签署的证书），并且还会将证书信息添加到日志文件中。如果为 false，服务器将不会记录证书信息，并仅信任由 CA 签署的有效证书。

   ---

5. 使用 imadmin 刷新服务器配置。

   imadmin refresh server

6. 验证 TLS 是否正常工作。

   可通过多种方式完成此操作，如通过执行调用 Instant Messenger 的安全版本中的步骤。

示例 12–1 iim.conf 中的 TLS 配置

以下是包含服务器到服务器和客户机到服务器的通信所需 TLS 配置的 iim.conf 文件的示例部分。本示例中参数的值可能与您的部署有所不同。

! Server to server communication port.
iim_server.port = "5269"
! Should the server listen on the server to server
! communication port
iim_server.useport = "True”
iim_server.coservers=coserver1
iim_server.coserver1.serverid=Iamcompany22
iim_server.coserver1.password=secretforcompany22
iim_server.coserver1.host=iim.i-zed.com:5269
iim_server.serverid=Iami-zed
iim_server.password=secret4i-zed
iim_server.trust_all_cert=true
iim_server.sslkeystore=/var/im/server_keystore.jks
iim_server.keystorepasswordfile=/var/im/sslpassword.conf

为多路复用器和 Instant Messenger 设置传统 SSL

如果要使用不支持 TLS 的 Instant Messaging 客户机，仍可使用 SSL 代替 TLS 实现客户机到多路复用器的通信。如果将多路复用器配置为使用 SSL，则无法将 TLS 用于客户机到服务器的通信。多路复用器与服务器之间的所有通信都会以明文格式在不安全的传输中进行。

如果在多路复用器上建立传统 SSL，并且要使用 XMPP/HTTP 网关，则必须配置网关以直接与服务器而非多路复用器通信。网关不支持传统 SSL。

在多路复用器和 Instant Messenger 之间启用 SSL 需执行以下步骤：

1. 向 CA 请求用于 Instant Messaging 多路复用器的 SSL 证书 。

2. 安装证书。

3. 在多路复用器和 Instant Messenger 之间启用传统 SSL。

4. 在 Instant Messaging 服务器上激活 TLS。

5. 调用 Instant Messenger 的安全版本。

向 CA 请求用于 Instant Messaging 多路复用器的 SSL 证书

要在多路复用器中启用 SSL，需请求一个证书。

请求用于 Instant Messaging 多路复用器的证书

本小节假定您要将 Sun Java System Web Server 或 Sun Java System Application Server 用作 Web 容器来请求证书。

多路复用器使用 NSS 来实现证书管理，因此可使用 NSS 实用程序来创建、管理和使用证书以及证书数据库。

1. 在 Web 浏览器中，键入以下 URL 来启动 Web 容器的管理服务器：

   http://hostname.domain-name:administration-port

   出现一个窗口，提示您输入用户名和密码。

2. 键入安装 Web Server 和 Application Server 期间指定的管理用户名和密码。

   出现“管理服务器”页面。

3. 创建一个单独的 Web Server 或 Application Server 实例。

   有关安装多个 Application Server 实例的更多信息，参见《Sun Java System Application Server Enterprise Edition 8.2 Installation Guide》。有关安装多个 Web Server 实例的信息，参见《Sun Java Communications Suite 5 Installation Guide》。

4. 创建信任数据库以存储公钥和私钥，被称为密钥对文件。

   密钥对文件用于 SSL 加密。

   有关创建信任数据库的信息，参见《Sun Java System Application Server Enterprise Edition 8.2 管理指南》中的《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的第 9  章 “Configuring Security”（适用于 Application Server）和《Sun Java System Web Server 7.0 管理员指南》中的《Sun Java System Web Server 7.0 Administrator’s Guide》中的第 6  章 “Certificates and Keys”（适用于 Web Server）。

5. 从 CA 处请求证书。

   有关请求证书的更多信息，参见《Sun Java System Application Server Enterprise Edition 8.2 管理指南》中的《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的第 9  章 “Configuring Security”（适用于 Application Server）和《Sun Java System Web Server 7.0 管理员指南》中的《Sun Java System Web Server 7.0 Administrator’s Guide》中的第 6  章 “Certificates and Keys”（适用于 Web Server）。

安装证书

从证书颁发机构处接收到已签署的服务器证书后，需安装证书并创建数据库以实现安全通信。

为 Instant Messaging 多路复用器安装证书

1. 在 Web 浏览器中，键入以下 URL 启动管理服务器：

   http://hostname.domain-name:administration-port

   出现一个窗口，提示您输入用户名和密码。

2. 键入安装 Web Server 或 Application Server 期间指定的管理用户名和密码。

   出现“管理服务器”页面。

3. 安装服务器证书。

   有关安装证书的更多信息，参见http://docs.sun.com 上的 Web Server 或 Application Server 产品文档

4. 转至 Web Server 或 Application Server 的 /alias 目录。

5. 将数据库文件从 /alias 目录复制到 Instant Messaging 服务器的 im-cfg-base 目录。

   例如，在 Solaris 中：

   cp https-serverid-hostname-cert8.db /etc/opt/SUNWiim/default/config/cert8.db

   cp https-serverid-hostname-key3.db /etc/opt/SUNWiim/default/config/key3.db

   cp secmod.db /etc/opt/SUNWiim/default/config/secmod.db

   在 Linux 中：

   cp https-serverid-hostname-cert8.db /etc/opt/sun/im/default/config/cert8.db

   cp https-serverid-hostname-key3.db /etc/opt/sun/im/default/config/key3.db

   cp secmod.db /etc/opt/sun/im/default/config/secmod.db

   ---

   注 –

   需允许多路复用器所使用的系统用户对 cert7.db、 key3.db 和 secmod.db 文件拥有读取权限。此外，如果创建了多个 Instant Messaging 实例，则 /default 目录的名称将有所不同，具体取决于实例。

   ---

   有关 im-cfg-base 的默认位置，参见表 3–1。

6. 转至多路复用器主机上的 im-cfg-base。

   有关查找 im-cfg-base 的信息，参见Instant Messaging 服务器目录结构。

7. 使用所选的文本编辑器创建名为 sslpassword.conf 的文件。

8. 在 sslpassword.conf 中输入以下行：

   Internal (Software) Token:password

   其中 password 为创建信任数据库时指定的密码。

9. 保存并关闭 sslpassword.conf。

10. 确保所有 Instant Messenger 最终用户都具有 sslpassword.conf 的拥有权和读取权限。

11. 重新启动多路复用器。

12. 验证 SSL 是否正常工作。

    可通过多种方式完成此操作，如通过执行调用 Instant Messenger 的安全版本中的步骤。

13. 以管理员身份登录 Web Server 或 Application Server。

14. 删除请求证书时创建的服务器实例。

在多路复用器和 Instant Messenger 之间启用传统 SSL

可为客户机到多路复用器的通信启用 SSL，具体方法为修改 iim.conf 中的参数，然后使用 Instant Messenger 客户机的安全版本来连接到多路复用器。

表 12–2 列出了 iim.conf 中用于在 Instant Messenger 和多路复用器之间启用 SSL 的参数。还列出了这些参数的说明和默认值。

在 Instant Messenger 和多路复用器之间启用 SSL

1. 打开 iim.conf。

   有关查找和修改 iim.conf 的说明，参见iim.conf 文件语法。

2. 将表 12–2 中的值添加到 iim.conf 中的多路复用器配置参数。

示例 12–2 iim.conf 中传统 SSL 多路复用器配置

下面是一个包含多路复用器配置参数的 iim.conf 示例：

! IIM multiplexor configuration
! =============================
!
! Multiplexor specific options

! IP address and listening port for the multiplexor.
! WARNING: If this value is changed, the port value of ’-server’
! argument in the client’s im.html and im.jnlp files should 
! also be changed to match this.
iim_mux.listenport = "siroe.com:5222"

! The IM server and port the multiplexor talks to.
iim_mux.serverport = "siroe.com:45222"

! Number of instances of the multiplexor.
iim_mux.numinstances = "1"

! Maximum number of threads per instance
iim_mux.maxthreads = "10"

! Maximum number of concurrent connections per multiplexor process
iim_mux.maxsessions = "1000"

                         
iim_mux.usessl = "on"
iim_mux.secconfigdir = "/etc/opt/SUNWiim/default/config"
iim_mux.keydbprefix = "This-Database"
iim_mux.certdbprefix = "Secret-stuff"
iim_mux.secmodfile = "secmod.db"
iim_mux.certnickname = "Multiplexor_Cert"
iim_mux.keystorepasswordfile = "sslpassword.conf"

调用 Instant Messenger 的安全版本

Instant Messenger 自动支持 TLS。如果已如在 Instant Messaging 服务器上激活 TLS 中所述，将服务器配置为使用 TLS，则当 Instant Messenger 连接到服务器时，服务器将与支持 TLS 会话客户机进行通信。然后 Instant Messenger 可请求将连接更改为使用 TLS。

可通过从 Web 浏览器访问 imssl.html 或 imssl.jnlp 来调用 Instant Messenger 的传统 SSL 版本。这些文件位于资源目录下，资源目录是存储所有 Instant Messenger 资源的基目录。

也可将指向这些 applet 描述符文件的链接添加到 index.html 中。

一旦为多路复用器配置了传统 SSL 或为服务器配置了 TLS，就可验证 Instant Messenger 客户机已实现了安全连接。

验证安全的 Instant Messenger 连接

1. 登录到 Instant Messenger。

   如果要使用传统 SSL，从 Web 浏览器访问 imssl.html 或 imssl.jnlp。如果要使用 TLS，则正常访问客户机。有关信息，参见调用 Instant Messenger。

   如果 TLS 可用且未将多路复用器设置为使用传统 SSL，Instant Messenger 将始终使用 TLS。

2. 在 Instant Messenger 主窗口中，确保锁状图标可见。

   Instant Messenger 正在使用安全的传输（SSL 或 TLS）时，锁状图标将显示在主窗口的右下角。

第 13 章 管理 Instant Messaging 的日志记录

Instant Messaging 会创建日志文件，用于记录事件、各种软件组件的相关状态、系统错误以及服务器、多路复用器、“日历”代理、监视程序和 Instant Messenger 的其他方面。通过查看日志文件，可以从多个方面对服务器操作进行监视。本节在以下主题中对日志记录进行了说明：

• Instant Messaging 日志记录概述

• Instant Messaging 日志文件位置

• Instant Messaging 组件日志记录级别

• 使用 Log4j 管理 Instant Messaging 日志记录

• 使用 iim.conf 参数配置 Instant Messaging 组件的日志记录

• 管理 Instant Messenger 的日志记录

有关 XMPP/HTTP 网关日志记录的信息，参见管理 XMPP/HTTP 网关的日志记录。此外，您可以根据需要收集 Instant Messenger 的日志记录数据。有关更多信息，参见管理 Instant Messenger 的日志记录。

Instant Messaging 日志记录概述

Instant Messaging 提供两种方式生成日志文件：使用 log4j，或不使用 log4j 而通过指定 iim.conf 中的参数。Log4j 样式的日志记录可用于所有服务器实例，包括重定向服务器、“日历”代理、监视程序和 XMPP/HTTP 网关，但不能用于多路复用器。

有关 XMPP/HTTP 网关日志记录的信息，参见管理 XMPP/HTTP 网关的日志记录。有关设置 Instant Messenger 日志记录的信息，参见管理 Instant Messenger 的日志记录。

在将来的版本中，基于 iim.conf 参数的日志记录机制可能会过时。尽可能使用 log4j。

您可以配置 Instant Messaging 服务器、多路复用器、“日历”代理、监视程序和 XMPP/HTTP 网关日志记录的级别。此外，使用 log4j，您可以配置 Instant Messaging 仅为 XMPP 流量生成一个单独的日志文件。

如果您没有使用 log4j 样式的日志记录，则作为定期系统维护的一部分，您需要定期查看和修剪日志文件以免占用过多磁盘空间。服务器不执行此操作。

关于 log4j 的更多信息，参见Apache 日志记录服务网站。

Instant Messaging 日志文件位置

当您安装完 Instant Messaging 后运行 configure 实用程序时，可指定日志文件的位置。通常，日志文件存储于 im-runtime-base/log。有关查找 im-runtime-base 的信息，参见Instant Messaging 服务器目录结构。

如果您在部署中使用 log4j 生成日志文件，则记录程序也会使用在配置过程中指定的目录作为存储 log4j 日志的基目录。

Instant Messaging 组件日志记录级别

维护错误日志文件的级别或优先级定义了日志文件的详细（冗长）程度。优先级较高表示详细信息较少，因为在日志文件中将只记录高优先级（高严重性）事件。相反，较低的优先级意味着会有较多详细信息，因为在日志文件中将记录较多事件。

不论您使用的是 log4j 还是基于参数的日志记录，均可单独设置每个组件的日志记录级别。

表 13–1 说明组件的日志记录级别。这些日志记录级别是 UNIX syslog 工具所定义级别的一个子集。

当您选择了特定的日志记录级别后，将记录与该级别相对应的事件，以及所有优先级更高、详细度更低的级别的事件。

INFO 是服务器的默认级别。ERROR 是多路复用器、“日历”代理和监视程序日志文件的默认级别。

如果您不使用 log4j，并且指定 DEBUG 作为日志记录级别，则日志文件将会占用更多磁盘空间。应监视并整理日志文件，以防止其占用过多磁盘空间。

使用 Log4j 管理 Instant Messaging 日志记录

当您安装 Instant Messaging 时，log4j 配置文件的模板文件 (log4j.conf.template) 会安装到 im-svr-base/lib 目录中。当安装后运行 configure 实用程序时，该模板用于在 im-cfg-base 目录中创建 log4j 配置文件 (log4j.conf)。此配置文件用于确定存储 log4j 生成的日志文件的位置、用于各种组件的日志记录级别、输出语法以及确定生成什么日志文件。

本节中的以下各部分说明使用 log4j 记录程序生成 Instant Messaging 的日志文件：

• Instant Messaging Log4j 配置文件 (log4j.conf) 位置

• Instant Messaging Log4j 日志文件语法

• Instant Messaging 组件的 Log4j 日志级别

• 指定 Log4j 配置文件 (Log4j.conf) 的位置

• 启用或禁用 Instant Messaging 组件的 Log4j 日志记录

• 设置 Instant Messaging 的 Log4j 日志级别

• 指定 Instant Messaging 组件的最大 Log4j 日志文件大小

log4j 记录程序使用 Instant Messaging 组件日志记录级别中所述日志记录级别。

有关 log4j 的更多信息以及有关日志文件配置方面的说明（例如大小、备份数等），参见Apache 日志记录服务网站。

Instant Messaging Log4j 配置文件 (log4j.conf) 位置

您可以更改 log4j 配置文件 (log4j.conf ) 的位置，方法是修改 iim.conf 中的 iim.log4j.config 参数。如果您没有指定此参数的值，记录程序将在 im-cfg-base 中查找。如果记录程序在该目录中没有找到 log4j 配置文件，它会使用 iim.conf 中的日志记录参数来生成非 log4j 样式的日志。

有关查找 im-cfg-base 的信息，参见Instant Messaging 服务器目录结构。

Instant Messaging Log4j 日志文件语法

配置实用程序基于 log4j 配置文件模板 (log4j.conf.template) 的内容生成 log4j 配置文件 (log4j.conf)。示例 13–1 所示为 log4j 模板。 在此模板中：

• ${logdir} 对应您在配置过程中指定的想要存储日志文件的目录。参见Instant Messaging 日志文件位置。

• 每个组件的日志配置部分均以下列文本开头：

  log4j.logger.

  其中：

  xmppd

  生成 xmppd.log，它包含服务器的日志记录信息。

  iim_wd

  生成 wd.log，它包含监视程序的信息。

  xmppd.xfer

  生成 xfer.log，它仅包含 XMPP 流量。

  agent-calendar

  生成“日历”代理的日志记录信息。

  net.outer_planes.jso.BasicStream

  生成 jso.log，包含 Jabber 流对象的信息。有关更多信息，参见Jabber 流对象网站。

  genredirect

  生成 genredirect.log，它包含重定向数据库创建工具的信息。

• A#，例如 A1，为 appender ID。

示例 13–1 Log4j 模板文件

log4j.logger.xmppd=INFO, A1
# DEFAULT TO RollingFileAppender
log4j.appender.A1=org.apache.log4j.RollingFileAppender
log4j.appender.A1.file=${logdir}/xmppd.log
log4j.appender.A1.append=true
log4j.appender.A1.maxBackupIndex=7
log4j.appender.A1.maxFileSize=5mb
# More example appenders..
# Straight to console..
# log4j.appender.A1=org.apache.log4j.ConsoleAppender
# log4j.appender.A1.ImmediateFlush=true
# Rollover at midnight..
# log4j.appender.A1=org.apache.log4j.DailyRollingFileAppender
# log4j.appender.A1.DatePattern='.'yyyy-MM-dd
# log4j.appender.A1.file=${logdir}/xmppd.log
# log4j.appender.A1.ImmediateFlush=true
# log4j.appender.A1.append=true
# Send to SMTP..
# log4j.appender.A1=org.apache.log4j.SMTPAppender

# PATTERN LAYOUT AND OPTIONS
# DEFAULT TO PatternLayout
log4j.appender.A1.layout=org.apache.log4j.PatternLayout
# For full dates..
log4j.appender.A1.layout.ConversionPattern=[%d{DATE}] %-5p %c [%t] %m%n
# IM traditional output format..
#log4j.appender.A1.layout.ConversionPattern=%d{HH:mm:ss,SSS} %-5p %c [%t] %m%n
# More example layouts
# XMLLayout for chainsaw consumption
# log4j.appender.A1.layout=org.apache.log4j.xml.XMLLayout
# TTCCLayout for NDC information

# log4j.appender.A1.layout=org.apache.log4j.xml.TTCCLayout
# log4j.appender.A1.layout.DateFormat=ISO8601
# log4j.appender.A1.layout.TimeZoneID=GMT-8:00
# log4j.appender.A1.layout.CategoryPrefixing=false
# log4j.appender.A1.layout.ThreadPrinting=false
# log4j.appender.A1.layout.ContextPrinting=false

# Now we list logger/appender/layout for the other default loggers, but
# only the defaults..
log4j.logger.iim_wd=ERROR, A2
log4j.appender.A2=org.apache.log4j.RollingFileAppender
log4j.appender.A2.file=${logdir}/iim_wd.log
log4j.appender.A2.append=true
log4j.appender.A2.maxBackupIndex=7
log4j.appender.A2.maxFileSize=5mb
log4j.appender.A2.layout=org.apache.log4j.PatternLayout
log4j.appender.A2.layout.ConversionPattern=[%d{DATE}] %-5p %c [%t] %m%n

# For separate xmpp traffic log, disabled by default.
log4j.logger.xmppd.xfer=DEBUG, A3
log4j.appender.A3=org.apache.log4j.varia.NullAppender
# Select next block instead of previous line to enable separate transfer log
# log4j.appender.A3=org.apache.log4j.RollingFileAppender
# log4j.appender.A3.file=${logdir}/xfer.log
# log4j.appender.A3.append=true
# log4j.appender.A3.maxBackupIndex=7
# log4j.appender.A3.maxFileSize=5mb
# log4j.appender.A3.layout=org.apache.log4j.PatternLayout
# # Note, simpler default output than above 3 loggers:
# log4j.appender.A3.layout.ConversionPattern=[%d{DATE}] %-5p %c [%t] %m%n

log4j.logger.agent-calendar=ERROR, A4
log4j.appender.A4=org.apache.log4j.RollingFileAppender
log4j.appender.A4.file=${logdir}/agent-calendar.log
log4j.appender.A4.append=true
log4j.appender.A4.maxBackupIndex=7
log4j.appender.A4.maxFileSize=5mb
log4j.appender.A4.layout=org.apache.log4j.PatternLayout
log4j.appender.A4.layout.ConversionPattern=[%d{DATE}] %-5p %c [%t] %m%n

log4j.logger.net.outer_planes.jso.BasicStream=OFF, A5
log4j.appender.A5=org.apache.log4j.RollingFileAppender
log4j.appender.A5.file=${logdir}/jso.log
log4j.appender.A5.append=true
log4j.appender.A5.maxBackupIndex=7
log4j.appender.A5.maxFileSize=5mb
log4j.appender.A5.layout=org.apache.log4j.PatternLayout
log4j.appender.A5.layout.ConversionPattern=[%d{DATE}] %-5p %c [%t] %m%n

log4j.logger.genredirect=INFO, A6
log4j.appender.A6=org.apache.log4j.RollingFileAppender
log4j.appender.A6.file=${logdir}/genredirect.log
log4j.appender.A6.append=true
log4j.appender.A6.maxBackupIndex=7
log4j.appender.A6.maxFileSize=5mb
log4j.appender.A6.layout=org.apache.log4j.PatternLayout
log4j.appender.A6.layout.ConversionPattern=[%d{DATE}] %-5p %c [%t] %m%n

Instant Messaging 组件的 Log4j 日志级别

log4j 记录程序使用与 Instant Messaging 组件日志记录级别中所述的基于 iim.conf 参数的日志记录机制相同的日志记录级别。

指定 Log4j 配置文件 (Log4j.conf) 的位置

1. 打开 iim.conf。

   有关查找此文件的信息，参见iim.conf 文件位置。

2. 将 iim.log4j.config 参数设置为您想要记录程序在其中查找 log4j.conf 的路径。

   例如，在 Solaris 中：

   iim.log4j.config=/etc/opt/SUNWiim/default/config/log4j.conf

   在 Linux 中：

   iim.log4j.config=/etc/opt/sun/im/default/config/log4j.conf

3. 保存并关闭 iim.conf。

4. 刷新服务器。

   imadmin refresh

启用或禁用 Instant Messaging 组件的 Log4j 日志记录

默认情况下，log4j 日志记录用于所有要生成日志记录信息的组件。

1. 要禁用 log4j 日志记录，可在 log4j.conf 和 log4j.conf.template 中将该组件的日志记录级别设为 OFF。

   有关更多信息，参见设置 Instant Messaging 的 Log4j 日志级别。

2. 要启用 log4j 日志记录，可在 log4j.conf 和 log4j.conf.template 中将该组件的日志记录级别设为 OFF 以外的任何日志记录级别。

设置 Instant Messaging 的 Log4j 日志级别

您可以通过修改模板或日志配置文件来设置日志级别。不过，如果您只修改配置文件，下次运行 configure 时将覆盖所有修改。要避免如此，您应同时修改配置文件和模板。

1. 打开 log4j.conf.template。

   默认情况下，此文件存储在以下位置：

   im-svr-base/lib

2. 对每个组件，指定您想要使用的日志记录级别。

   例如，设置服务器的日志级别：

   log4j.logger.xmppd=log-level

   其中，log-level 为 FATAL、ERROR、WARNING、INFO 或 DEBUG 之一。

   有关这些日志记录级别的详细信息，参见表 13–1。

3. 保存并关闭 log4j.conf.template。

4. 对配置文件 log4j.conf 重复该过程。

指定 Instant Messaging 组件的最大 Log4j 日志文件大小

您可以通过修改模板或日志配置文件来设置日志级别。不过，如果您只修改配置文件，下次运行 configure 时将覆盖所有修改。要避免如此，您应同时修改配置文件和模板。

1. 打开 log4j.conf.template。

   默认情况下，此文件存储在以下位置：

   im-svr-base/lib

2. 对每个组件，指定组件日志文件的最大大小。

   例如，设置服务器日志文件的大小：

   log4j.appender.A1.maxFileSize=max-logfile-size

   其中，A1 是服务器的默认 appender ID，max-logfile-size 以 MB 为单位，例如 5MB。

3. 对配置文件 log4j.conf 重复该过程。

使用 iim.conf 参数配置 Instant Messaging 组件的日志记录

如果您没有使用 log4j 来生成日志文件，您需要对想要 Instant Messaging 生成日志记录信息的每个组件设置特定的配置参数。此方法称为基于参数的 Instant Messaging 日志记录。您可以为所有服务器实例（包括重定向服务器、多路复用器、日历代理和监视程序）使用基于参数的日志记录。

在将来的版本中，这一基于 iim.conf 参数的日志记录机制可能会过时。尽可能使用 log4j。

表 13–2 提供日志文件的名称以及 iim.conf 中用于设置每个 Instant Messaging 组件日志文件的日志记录级别的配置参数。

这些配置参数可以具有以下值：

• fatal

• error

• warning

• info

• debug

有关记录每个日志记录级别的详细信息，参见Instant Messaging 组件日志记录级别。

此外，Sun Java^TM System Access Manager 部署中的日志记录配置由 com.iplanet.services.debug.level 属性确定。您可以在 Sun Java System Access Manager 主机上的 AMConfig.properties 文件中设置此属性。默认情况下，此文件安装在以下位置：

AM-svr-base/lib/AMConfig.properties

其中，AM-svr-base 是 Access Manager 的安装目录。

此属性可能包含下列值：

• message

• warning

• error

• off

默认情况下，Sun Java System Portal Server 桌面日志文件 (desktop.debug ) 和归档日志文件 (IMArchiveSearch.log 和 IMArchiveSubmit.log) 存储于以下位置：

• Solaris：/var/opt/SUNWam/debug

• Linux：/var/opt/sun/am/debug

使用 iim.conf 参数设置 Instant Messaging 组件的日志级别

修改 iim.conf 中的日志记录参数。

有关日志文件和您要为每个组件设置的相关参数的列表，参见表 13–2。

有关查找和修改 iim.conf 的说明，参见iim.conf 文件语法。有关监视程序的更多信息，参见管理监视程序进程。有关“日历”代理的更多信息，参见第 16 章，使用日历弹出提示。

管理 Instant Messenger 的日志记录

默认情况下，不记录 Instant Messenger 数据。在支持呼叫中可能会要求收集客户机数据。在此情况下，需要先启用日志记录，才能查看客户机日志数据。

根据需要创建 Instant Messenger 日志，并存储在用户主目录中 (usr_home/.sunmsgr/messenger.log )。

设置 Instant Messenger 的日志记录

要设置 Instant Messenger 的日志记录，您需要：

1. 确定您要收集的数据类型。

2. 修改 im.jnlp 以包括 logconfig 参数。

3. 根据您要收集的数据类型指定 logconfig 参数的类型。

4. 重新部署资源文件。

启用 Instant Messenger 的日志记录

1. 制作 im.jnlp 的备份。

2. 在文本编辑器中打开 im.jnlp Instant Messenger 资源文件。

3. 搜索下面的行：

   <application-desc main-class="com.iplanet.im.client.iIM">

4. 将下列参数添加到该部分末尾：

   <argument>logconfig=type</argument>

   其中，type 为 ALL、API、XMPPTRAFFIC 或 CLIENT 之一。有关详细信息，参见Instant Messenger 日志文件内容选项。

5. 保存并关闭 im.jnlp 文件。

6. 如果您使用的是 Sun Java System Application Server 或 Sun Java System Web Server，则需要如重新部署资源文件中所述重新部署资源文件。

7. 重新启动 Instant Messenger。

8. 查找日志文件。

   默认情况下，日志文件存储为 usr_home/.sunmsgr/messenger.log。

接下来的操作

当 Instant Messenger 故障排除完成后，您应该将 im.jnlp 的备份副本复制回来。然后，如重新部署资源文件中所述重新部署资源文件。

查找 Instant Messenger 日志文件 (messenger.log )

默认情况下，Instant Messenger 日志文件存储为 messenger.log，位于以下用户主目录下：

/usr_home/.sunmsgr/messenger.log

Instant Messenger 日志文件内容选项

您可以通过指定 im.jnlp 中 logconfig 参数的值来确定想要在 messenger.log 中记录哪些活动。表 13–3 说明 logconfig 的配置参数。有关设置 logconfig 参数和生成 Instant Messenger 日志的说明，参见启用 Instant Messenger 的日志记录。

第 14 章 管理 Instant Messaging 最终用户

Instant Messaging 不提供批量用户置备工具。需要使用目录批量置备工具置备多个 Instant Messaging 最终用户。默认情况下，Instant Messaging 不会提供添加、修改或删除 Instant Messaging 最终用户的特定命令。但是，可以自定义 Instant Messenger 以允许用户将自己添加到目录中。

和在仅 LDAP 部署中一样，您不能阻止最终用户使用 Instant Messenger。在仅 LDAP 部署中，阻止最终用户使用 Instant Messaging 的唯一方法是从目录中删除他们或在目录中禁用他们的用户帐户。请牢记这样做也将阻止用户绑定到目录。在使用 Sun Java^TM System Access Manager 策略属性的部署中，可阻止最终用户仅访问 Instant Messenger。此外，如果您使用 Access Manager 部署 Instant Messaging，应使用随 Access Manager 提供的置备工具来代替允许用户自己注册。

管理员可以使用 Instant Messaging 管理员访问控制机制来管理 Instant Messaging 最终用户。有关 Instant Messaging 管理员访问控制的更多信息，参见保密性、安全性和站点策略概述，然后使用 Access Manager 置备 Instant Messaging 最终用户。有关更多信息，参见《Sun Java Communications Suite 5 Deployment Planning Guide》。

如果您通过编辑 sysWatch.acl 文件来拒绝最终用户设置对其他最终用户的观察的权限，则 Instant Messenger 的主窗口不会对这些最终用户显示。这样就可有效地阻止最终用户使其无法发送即时消息。但是，最终用户仍然能够查看警报和新闻频道。

本章包含以下部分：

• 禁用最终用户访问 Instant Messenger

• 注册新的 Instant Messaging 用户

• 在 LDAP 中存储 Instant Messaging 用户属性

• 将 Instant Messaging 和在线状态服务指定给最终用户

禁用最终用户访问 Instant Messenger

如果通过 Access Manager 使用 Instant Messaging，则可以按照本小节所述的方式拒绝用户访问 Instant Messenger 服务。

禁用 Instant Messaging 最终用户

1. 打开 iim.conf。

   有关查找和修改 iim.conf 的说明，参见iim.conf 文件语法。

2. 按如下所示修改以下值：

   iim_ldap.useidentityadmin="true" iim_server.usesso=1该参数的值也可以是 0 iim.policy.modules="identity" iim.userprops.store="ldap"

3. 保存并关闭 iim.conf。

4. 刷新 Instant Messaging 服务器。

   imadmin refresh server

   有关更多信息，参见刷新组件配置。如果正在高可用性环境中使用 Instant Messaging，请勿使用 imadmin，而应使用 Sun Cluster 工具来刷新服务器。

5. 使用 Access Manager 控制台 (amconsole) 删除要禁用访问用户的 Instant Messaging 服务。

注册新的 Instant Messaging 用户

可自定义 Instant Messenger 以允许新的用户配置。当用户注册后，Instant Messaging 服务器将使用注册时提供的信息执行 ldapadd 操作，以在目录中创建用户条目。

如果通过 Sun Java System Access Manager 使用 Instant Messaging，则不应允许用户使用该方法进行注册。作为替代，您应该使用随 Access Manager 提供的置备工具。

要允许新用户注册，您需要将服务器配置为允许注册，然后通过运行 configure 实用程序向 im.jnlp.template 和 im.html.template 文件添加参数来自定义 Instant Messenger 资源，最后重新部署资源文件（如果需要）。

本节说明：

• 配置 Instant Messaging Server 以允许新用户注册

• 自定义 Instant Messenger 以允许新用户注册

• 注册为新的 Instant Messaging 用户

有关自定义资源文件的更多信息，参见第 15 章，管理 Instant Messenger。

配置 Instant Messaging Server 以允许新用户注册

为了配置 Instant Messaging 服务器来允许新用户注册，需要将配置参数添加到 iim.conf 中。表 14–1 列出了需要添加的参数和每个参数的简要描述。

配置 Instant Messaging Server 以允许新用户注册

1. 打开 iim.conf。

   有关查找和修改 iim.conf 的说明，参见iim.conf 文件语法。

2. 添加表 14–1 中所介绍的配置参数及其相应的值。

3. 保存并关闭 iim.conf。

4. 使用 imadmin 命令刷新服务器配置。

   imadmin refresh server

自定义 Instant Messenger 以允许新用户注册

当自定义资源文件以允许新用户注册时，“登录”对话框中会出现一个新按钮。用户单击此按钮可以访问“新用户注册”对话框。通过该对话框，用户可以进行注册。当用户注册后，他们的信息会添加到 LDAP 目录中。

自定义 Instant Messenger 以允许新用户注册

1. 在文本编辑器中打开 im.jnlp.template 文件。

   默认情况下该文件存储在 im-svr-base/html。

2. 搜索下面的行：

   <application-desc main-class="com.iplanet.im.client.iIM">

3. 将下列参数添加到该部分末尾：

   <argument>register=true</argument>

4. 保存并关闭 im.jnlp.template。

5. 在文本编辑器中打开 im.html.template 文件。

   默认情况下该文件存储在 im-svr-base/html。

6. 将注册参数添加到文件：

   <PARAM NAME="register" VALUE="true">

7. 将以下参数添加到 EMBED 标记：

   register=true

8. 保存并关闭 im.html.template。

9. 运行配置实用程序，提示选择您要配置的组件时，仅选择“Messenger 资源”组件。

   有关说明，参见安装或升级后配置 Instant Messaging。

10. 如果正在使用 Sun Java System Application Server 或 Sun Java System Web Server，则重新部署资源文件。

    有关说明，参见重新部署资源文件。

11. 启动 Instant Messenger。

    “登录”对话框中将出现“我是新用户”按钮。

注册为新的 Instant Messaging 用户

当将新用户注册参数添加到 im.jnlp 和 im.html 文件中，且重新部署资源文件后，用户就可以注册自己了。

注册为新的 Instant Messaging 用户

1. 在 Web 浏览器中，转到 Instant Messaging 主页。

2. 单击“开始”或单击“使用 Java 插件”。

   出现“登录”对话框，显示“我是新用户”按钮。

3. 单击“我是新用户”。

   出现“新用户注册”对话框。

4. 在提供的字段中输入信息，然后单击“确定”。

   输入的信息将存储在目录中。

在 LDAP 中存储 Instant Messaging 用户属性

在没有 Sun Java System Access Manager 的部署中，可选择将用户属性存储到 LDAP 中而不是文件（默认值）中。您需要运行 imadmin assign_services 命令来为目录中的用户条目添加所需的对象类。Instant Messaging 使用这些对象类将用户属性存储到用户条目中。

一些用户属性可能包含保密信息。请确保您设置了目录访问控制，以防止无权限用户的未授权访问。有关更多信息，参阅您的目录文档。

在 LDAP 中存储 Instant Messaging 用户属性

1. 在 iim.conf 中，确保 iim.policy.modules 参数具有 iim_ldap 的值。

   有关 iim.conf 的信息，参见iim.conf 文件语法。

2. 在 iim.conf 中，确保 iim.userprops.store 参数具有 ldap 的值。

3. 在命令行中，运行带有 assign_services 选项的 imadmin：

   imadmin assign_services

   imadmin 检查 iim.conf 中的 iim.policy.modules 参数的值。

4. 输入要 imadmin 用来绑定到目录的绑定 DN 和密码。

   绑定 DN 应该有足够的证书来修改目录模式，例如目录管理器 DN。

5. 输入存储用户条目的基 DN。

   接下来，imadmin 将 sunIMUser 和 sunPresenceUser 对象类添加到所指定组织的用户条目中。

将 Instant Messaging 和在线状态服务指定给最终用户

在具有 Sun Java System Access Manager 的部署中，可使用 imadmin assign_services 命令将 Instant Messaging 和在线状态服务指定给最终用户。或者，可使用 Access Manager 控制台。

将 Instant Messaging 和在线状态服务指定给最终用户

1. 在 iim.conf 中，确保 iim.policy.modules 参数具有 identity 的值。

   有关 iim.conf 的信息，参见iim.conf 文件语法。

2. 在命令行中，运行带有 assign_services 选项的 imadmin：

   imadmin assign_services

   imadmin 检查 iim.conf 中 iim.policy.modules 参数的值。

3. 输入要存储用户条目的组织的基 DN。

   这是包含由 Access Manager 管理的用户条目的组织。

   接下来，imadmin 将 Instant Messaging 和在线状态服务指定给所指定组织中的用户。

第 15 章 管理 Instant Messenger

本章中的以下各节说明如何自定义和管理 Instant Messenger：

• 配置 Instant Messenger

• 调用 Instant Messenger

• 更改代码库

• 更改 Web 容器端口

• 自定义 Instant Messenger

• 修改客户机用户搜索联系人的方式

• 管理会议室和新闻频道

• 修改 Instant Messenger 代理设置

• 控制公开的 Messenger 功能集

• 存储在最终用户系统中的 Instant Messenger 数据

• 重新部署资源文件

配置 Instant Messenger

有两种方式可以调用和运行 Instant Messenger：

使用 Java Web Start - 在此配置中，Instant Messenger 作为应用程序从 Java Web Start 启动。一旦 Instant Messenger 启动，则不再需要浏览器。

使用 Java 插件 - 在此配置中，Instant Messenger 作为 Java applet 运行。要保持 Instant Messenger 会话处于活动状态，启动 applet 的浏览器窗口必须保持打开状态，且不能用于定位其他任何 URL。此外，Java 插件不允许桌面集成，因此“设置”对话框中的“桌面集成设置”选项将不可用。

有关如何配置启用 Instant Messenger 的 Java 软件的更多信息，参见第 2 章，设置和启动 Instant Messenger。

调用 Instant Messenger

您可以从几个位置调用 Instant Messenger：

• 使用 index.html 文件，该文件可提供选项以启动 Java Web Start 和 Java 插件版 Instant Messenger。此文件还包含到 Instant Messenger 文档的链接。

• 您设计的带有指向 Instant Messenger 的链接的 Web 页。

• 使用 im.html 或 im.jnlp 文件的直接 URL。

• 通过命令行调用。

• 使用桌面快捷方式。

以下各节说明如何调用 Instant Messenger：

• 使用直接 URL 调用 Instant Messenger

• 通过命令行调用 Instant Messenger（仅 Solaris）

• 使用桌面快捷方式调用 Instant Messenger

使用直接 URL 调用 Instant Messenger

在您的 Web 浏览器中输入以下 URL 来调用 Instant Messenger：

http://webserver:webserverport/path/filename

在此 URL 中，

webserver

指定您安装 Instant Messenger 资源的 Web 容器的名称。

webserverport

（可选）指定 Web 容器端口。默认值为 80。

path

（可选）指定安装客户机文件的目录。如果在安装时选择默认值，则存储客户机文件时无需指定子目录。

filename

指定要使用的 Instant Messenger 文件：

index.html - 此文件随产品提供。该文件包含指向 im.jnlp 和 im.html 的链接，分别用于启动 Java Web Start 和 Java 插件版的 Instant Messenger。

im.jnlp - 仅启动 Java Web Start 版 Instant Messenger 的 .jnlp 文件。

im.html - 仅启动 Java 插件版 Instant Messenger 的 Web 页。

通过命令行调用 Instant Messenger（仅 Solaris）

在命令行键入命令：

javaws_cmd URL

有关构造 URL 的信息，参见使用直接 URL 调用 Instant Messenger。

使用桌面快捷方式调用 Instant Messenger

创建并使用桌面快捷方式来调用 Instant Messenger

• 使用 Java Web Start 创建快捷方式。

• 手动创建快捷方式，然后按如下所示设置目标值：

  javaws_cmd jnlp-URL

  其中，jnlp-URL 是指向 im.jnlp 文件的 URL。

更改代码库

代码库是 Instant Messenger 用来访问资源的 URL，包括 Instant Messaging 客户机初始下载的起始页面。该 URL 在安装后配置过程中定义，此时将通过 configure 实用程序部署资源文件。如果更改用于访问 Instant Messenger 资源（包括 Web 容器端口号）的 URL 中的任何部分，则需要更新代码库。

如果在已经部署资源文件后想要更改代码库，则需要进行以下操作：

• 修改模板文件，以指向新的 URL。参见要更改资源模板中的代码库。

• 运行 configure 实用程序，当提示要配置哪些组件时，仅选择“Messenger Resources”组件。有关说明，参见安装或升级后配置 Instant Messaging。

• 重新部署资源文件。有关说明，参见重新部署资源文件。

要更改资源模板中的代码库

在带有新 URL 的 im-svr-base/html 目录中，编辑每个模板文件。

模板文件命名为 *.template。有关模板文件的完整列表，参见Instant Messenger 资源文件。

更改 Web 容器端口

如果更改用于访问 Instant Messenger 资源（包括 Web 容器端口号）的 URL 中的任何部分，则需要更新代码库。有关说明，参见更改代码库。

自定义 Instant Messenger

Instant Messenger 可以自定义。可以自定义 HTML 和 JNLP 文件以适应组织的特殊需要。如果想要自定义资源文件以用于部署，您应该运行 configure 实用程序（如果安装后尚未这样做），自定义文件，然后重新部署资源文件。您需要先运行 configure 实用程序，因为它创建某些您可以自定义的文件。（有关重新部署的说明，参见重新部署资源文件。）

可通过以下方式自定义 Instant Messenger 以满足您的要求：

• Instant Messenger 资源文件

• 自定义 index.html 和 im.html 文件

• 使用 Sun Java System Access Manager SSO 启动 Instant Messenger

• 自定义应用程序 (Java Web Start)

• 重建 Instant Messenger

• 自定义用户名和组名显示方式

本节说明您可以修改以自定义 Instant Messenger 的 Instant Messaging 服务器文件。所有您可以自定义的文件均位于资源目录 im-svr-base/html 目录中。有关默认目录位置的信息，参见表 3–1。

Instant Messenger 资源文件

Instant Messenger 资源文件位于称为资源目录或 im-svr-base/html 的目录内。

表 15–1 包含资源目录 (im-svr-base/html) 中 Instant Messenger 文件的列表。它还包含这些文件的说明和自定义信息。在资源目录内，/locale 子目录通常在目录路径中以 lang 表示，但在具体情况下用语言缩写来表示，例如 en_US、jp 和 fr_FR。

自定义 index.html 和 im.html 文件

如果您在不带 Sun Java System Access Manager 的部署中使用 Instant Messenger，则可以修改 index.html 和 im.html 文件的 static 部分，以生成一个完全自定义的用户界面。这些 HTML 文件包含说明如何格式化和处理文本的文本和标记。标记由指定标题格式、缩进、字体大小和字体样式的一组标签实现。

以下是一些可以修改的页面元素：

• 图像

• 标题

• 包含标题和字段标签的屏幕文本

• 背景方案

可从 index.html 启动 Instant Messenger applet 和 Java Web Start 应用程序。如果您运行 Instant Messenger applet，请修改 im.html 文件。im.html 文件被 index.html 调用，自身可以调用 Instant Messenger applet。im.html 文件在运行 configure 实用程序时生成，并包含一个指向多路复用器的 applet 参数。

参数“<PARAM NAME="server" VALUE="servername"> ”在 im.html 文件中表示 Instant Messaging 多路复用器及其端口。如果您更改了 iim_mux.listenport 参数的默认值，则需要将 servername 的值更改为 host.domain :port。

使用 Sun Java System Access Manager SSO 启动 Instant Messenger

要使用带 Sun Java System Access Manager 的单点登录 (SSO) 启动 Instant Messenger 客户机，可使用 IMLaunch.jsp。该文件位于资源目录中。

Sun Java System Access Manager 和 Instant Messenger 必须配置为使用相同的 Web 容器启用 SSO。

要启动 Instant Messenger，可在 Web 浏览器中输入以下内容：

codebase/IMLaunch.jsp?server=multiplexor-hostname:muliplexor-port

或

codebase/IMLaunch.jsp?server=www.example.com:5222

其中：

codebase 是用于下载 Instant Messenger 资源的代码库。例如，http://www.example.com。

multiplexor-hostname 是多路复用器的主机名。例如，http://www.company22.com。

muliplexor-port 是多路复用器侦听收到的客户机请求所使用的端口号。例如，5222。

IMLaunch.jsp 用于通过 Java Web Start 或 Java 插件启动 Instant Messenger。

自定义应用程序 (Java Web Start)

如果使用 Java Web Start 运行 Instant Messenger，则可通过修改 im.jnlp、imres.jnlp 和 imres.jar 文件来自定义用户界面。以下是可以对这些文件所做的修改：

• imbrand.jar - 此文件包含图像和音频文件以及可自定义的属性。您需要通过 Java Developers Kit 1.3 (JDK) 使用 jar 命令从 imres.jar 文件提取内容。有关 imbrand.jar 内容的更多信息，参见imbrand.jar 的内容。

  使用以下命令提取 imbrand.jar：

  jar xvf imbrand.jar

  此命令可创建复制资源文件的目录树。当您修改 .jar 文件中的个别文件时，必须保持此目录结构。

  替换 .gif 文件或 .wav 文件的版本时可以不更改文件名，然后使用以下 jar 命令将更改后的文件放回该目录：

  jar -uf imbrand.jar com/Sun/im/client/images/*.gif

  此命令使用修改后的 .gif 文件更新 imbrand.jar 文件。可以对音频文件（.wav 文件）进行同样的操作。

• im.jnlp - 此文件调用 Java Web Start 版的 Instant Messenger 应用程序。可以修改文件中的代码库、标题、供应商和说明。

  示例 15–1 显示了 im.jnlp 文件样例，可以自定义的 HTML 代码以粗体显示。

示例 15–1 im.jnlp 文件样例

<?xml version="1.0" encoding="utf-8"?>
<!-- Instant Messenger -->
<jnlp
  spec="1.0+"
  codebase="http://im.i-zed.com:80/im"
  href="en/im.jnlp">
  <information>
    <title>Instant Messaging</title>
    <vendor>I-Zed.com</vendor>
    <homepage href="http://www.I-zed.com/"/>
    <description>I-Zed’s Sun Java System Instant Messenger</description>
    <description kind="short">Instant Messenger</description>
    <icon href="CompanyLogo.gif"/>
    <offline-allowed/>
  </information>
  <security>
    <all-permissions/>
  </security>
  <resources>
    <j2se version="1.3+">
      <resources>
        <jar href="en/imres.jar"/>
        <jar href="en/imbrand.jar"/>
      </resources>
    </j2se>
    <jar href="messenger.jar"/>
    <jar href="imdesktop.jar"/>
    <jar href="imnet.jar"/>
    <jar href="icalendar.jar"/>
    <nativelib href="imjni.jar"/>
  </resources>
  <application-desc main-class="com.iplanet.im.client.iIM">
    <argument>server=im.i-zed.com:45222</argument>
    <argument>help_codebase=http://im.i-zed.com:80/im/en</argument>
  </application-desc>
</jnlp>

在 im.jnlp 文件中，参数 <argument> servername</argument> 表示 Instant Messaging 多路复用器主机和端口。如果您更改了 iim_mux.listenport 参数，则您需要将 servername 的值更改为 host.domain :port。

imbrand.jar 的内容

本节中的表列出了 imbrand.jar 文件中的文件并尽可能地提供了每个文件的说明。imbrand.jar 文件还包含您可用于重建 Instant Messenger 的图像和音频文件。本节包含以下表格：

• 表 15–2 – 用于配置 Instant Messenger 的配置文件。

• 表 15–3 – 聊天会话过程中可用的表情图标。

• 表 15–4 – Windows 中的应用程序使用的图标。

• 表 15–5 – 所有平台中的应用程序使用的图标。

• 表 15–6 – 工具栏中使用的图标。

• 表 15–7 – 联系人列表中使用的图标。

• 表 15–8 – 用于说明联系人列表中在线状态信息的图标。

• 表 15–9 – 用于说明状态栏中在线状态信息的图标。

• 表 15–10 – 可用的背景。

• 表 15–11 – 用于表示警报和状态或配置更改的声音。

重建 Instant Messenger

imbrand.jar 文件包含控制 Instant Messenger 外观的所有图像和属性。您可以通过修改 imbrand.jar 中的图像和属性来自定义 Instant Messenger 的外观。

重建 Instant Messenger

1. 将 imbrand.jar 文件复制到一个工作目录中。

   例如：

   cp im-svr-base/html/lang/imbrand.jar working-directory

2. 转到该工作目录。

   cd working-directory

3. 提取 imbrand.jar 文件。

   jar xf imbrand.jar

   此命令可创建复制资源文件的目录树。当您修改 imbrand.jar 文件中的个别文件时，必须保持此目录结构。

   或者，可提取包括在 imbrand.jar 中的单个文件，并将其置于指定的目录结构中。例如，要只提取 brand.properties，使用以下命令：

   jar xf imbrand.jar com/sun/im/desktop/brand/brand.properties

4. 用修改后的 .gif、.wav 和 .properties 文件更新 imbrand.jar。

   您可以更新 imbrand.jar 中的所有文件，方法如下：

   jar cf imbrand.jar .

   要用单个修改过的文件更新 imbrand.jar，使用以下命令：

   jar uf imbrand.jar com/sun/im/desktop/brand/filename

   其中，filename 是 imbrand.jar 中所包括文件的名称，例如，brand.properties。

5. 将 imbrand.jar 复制到资源目录。

   例如：

   cp imbrand.jar im-svr-base/html/lang/ .

   ---

   注 –

   如果您的部署中支持多语言环境，请对每个支持的语言环境执行该过程以重建 Instant Messenger。

   ---

自定义用户名和组名显示方式

您可以通过更改用于显示联系人姓名的属性来自定义 Instant Messenger 如何显示联系人和组的名称。默认情况下，Instant Messenger 使用属性 cn 表示用户的显示名称。在您的部署中，您可能喜欢使用 uid 或某些其他属性来代替 cn。

联系人姓名显示为名、姓。例如，Frank Smith、Mary Jones 等。如果两个最终用户具有相同的名和姓，就无法知道应添加哪一个最终用户到联系人列表中。您可以自定义 Instant Messenger 在用户的搜索结果中显示更多信息，并在“联系人”工具提示中显示附加信息以帮助区分联系人。例如，当鼠标放在联系人上时，显示该联系人的电话号码。

更改用于显示用户名的属性

1. 打开 iim.conf。

   有关查找和修改 iim.conf 的说明，参见iim.conf 文件语法。

2. 指定显示用户名要使用的属性，以 iim_ldap.userdisplay 的值的形式进行指定。

   例如，要使用 nickname 属性，则设置 iim_ldap.userdisplay 属性如下：

   iim_ldap.userdisplay=nickname

3. 保存并关闭该文件。

更改用于显示组名的属性

1. 打开 iim.conf。

   参见 iim.conf 文件语法以获得有关查找和修改 iim.conf 的说明。

2. 指定显示用户名要使用的属性，以 iim_ldap.groupdisplay 的值的形式进行指定。

   例如，要使用 uid 属性，则设置 iim_ldap.groupdisplay 属性如下：

   iim_ldap.groupdisplay=uid

   保存并关闭该文件。

自定义搜索结果中的用户名显示发式

1. 从 imbrand.jar 提取文件。

   有关 imbrand.jar 的默认位置，参见表 15–1

2. 转到下列目录：

   com/sun/im/client/

3. 打开 brand.properties。

4. 将 dialogs.searchresults.format 属性添加到该文件。

5. 按以下格式添加您想要包括在搜索结果中的属性：

   ${attr:attribute-name }

   其中，attribute-name 是 LDAP 属性的名称。

   例如，要包括 title 属性，可添加以下行：

   dialogs.searchresults.format=(${attr:title})

6. 保存更改并关闭文件。

7. 重新打包 imbrand.jar。

8. 添加用户属性到 iim.conf。

   指定该属性作为 iim_ldap.userattributes 参数的值。使用逗号分隔多个属性，例如：

   iim_ldap.userattributes=title,department,telephonenumber

   有关查找和修改 iim.conf 的说明，参见iim.conf 文件语法。

自定义工具提示内容

1. 从 imbrand.jar 提取文件。

   有关 imbrand.jar 的默认位置，参见表 15–1

2. 转到下列目录：

   com/sun/im/client/

3. 打开 brand.properties。

4. 添加 contact.tooltip.format.html 属性到该文件。

5. 指定您想要在工具提示中显示为 contact.tooltip.format.html 的值的属性。

   例如，如果您想要显示联系人的电话号码和电子邮件地址，则输入：

   contact.tooltip.format.html=mailto: ${attr:mail} tel: ${attr:telephonenumber}

   有关自定义 imbrand.jar 文件内容的更多信息，参见自定义应用程序 (Java Web Start)。

6. 保存您的更改并关闭文件。

7. 重新打包 imbrand.jar。