El software del cliente VPN de BorderManager de Novell permite que una estación de trabajo pueda comunicarse de forma segura con una red protegida mediante un servidor VPN de Novell a través de Internet.
El software del cliente VPN incorpora las funciones descritas a continuación.
El cliente VPN de NBM 3.8 tiene que proporcionar un certificado X.509 al usuario y a la raíz de confianza del servidor para efectuar el modo de autenticación principal IKE. Ambos deben copiarse en la estación de trabajo local (<unidad>:\novell\vpnc\certificates\users o <unidad>:\novell\vpnc\certificates\trustedroot) desde la que vaya a ejecutarse la VPN.
El cliente VPN proporciona una función que permite recuperar el certificado del usuario desde un Directorio eDirectory de Novell. Para ello, es necesario que el cliente sea dependiente de dicho Directorio. Si el Cliente Novell está instalado, la opción estará activada, de modo que el usuario pueda recuperar su certificado. Para recuperar un certificado de usuario deberá proporcionar el nombre de usuario, la contraseña, el contexto, el árbol y la dirección IP (opcional), el nombre de certificado del usuario (sólo el nombre, es decir adminCert). De este modo se recuperará el certificado de usuario y se almacenará en <unidad>:\novell\vpnc\certificates\users como AdminCert.pfx. Si un usuario dispone de varios certificados, éstos se almacenarán como AdminCert(n).pfx (n = 1..n)
En el modo de autenticación IKE, el usuario puede proporcionar los parámetros IKE e IPSEC haciendo clic en el editor de directivas de la pestaña VPN. Esta directiva regirá el servidor VPN si éste no impone ninguna propia.
El cliente VPN de Novell se integra con los servicios NMAS (autenticación modular) de Novell. NMAS funciona con el Cliente Novell. Instale el Cliente Novell para beneficiarse de las funciones NMAS.
Seleccione la opción NMAS en la pestaña de configuración y proporcione la información de usuario y las credenciales NMAS en la pestaña eDirectory. En la pestaña VPN, proporcione la secuencia NMAS y la dirección IP del servidor VPN (por ejemplo, NDS/eDirectory, tarjeta inteligente universal, contraseña simple, etc.). Para las credenciales, el método hará que aparezca un recuadro de diálogo emergente si no se han introducido.
Seleccione NMAS y marque la casilla LDAP en la pestaña de configuración. Acceda a la pestaña VPN e introduzca la dirección IP del servidor VPN y el nombre de dominio del usuario LDAP (por ejemplo, CN=Admin,O=Novell). El método LDAP mostrará un recuadro de diálogo para la credencial.
Seleccione el modo de compatibilidad inversa en la pestaña de configuración. Proporcione las credenciales de eDirectory en la pestaña eDirectory. En este modo, el Cliente NBM 3.8 se comunicará con el servidor NBM (BMEE 3.6, NBM 3.7 y NBM 3.8) en el modo SKIP. La autenticación de testigo ActiveCard estará activada si se está instalando NMAS en el cliente. El método de autenticación ActiveCard funcionará si está configurado en eDirectory para el usuario. La pestaña VPN requiere credenciales para el método de testigo ActiveCard.
Seleccione el modo de autenticación precompartida en la pestaña de configuración. Acceda a la pestaña VPN y proporcione la contraseña para la clave precompartida configurada en el servidor VPN.
Esta versión del Cliente Novell VPN se integrará con el Cliente Novell para Windows 98, Windows NT, Windows 2000 o Windows XP Home. Reinicie el equipo después de instalar el nuevo cliente VPN. Durante el reinicio, el cliente VPN se integrará con el Cliente Novell. Una vez que el sistema llegue a la pantalla de entrada de Novell, aparecerá una lista desplegable de ubicaciones. La lista contendrá la entrada predeterminada, así como una entrada para las funciones VPN. Puede seleccionar cualquiera de las ubicaciones, en función de la operación que desee realizar.
Existen cuatro nuevas pestañas disponibles que se pueden configurar en una instancia del servicio con sólo seleccionar Propiedades de Client32 de Novell. Las pestañas se utilizan para lo siguiente:
Esta versión del cliente VPN para Windows 98, Windows Me, Windows NT, Windows 2000 y Windows XP utiliza cifrado NICI (128 bits), ya que con NICI no existen restricciones de exportación.
Si NICI 1.7.0 (versión de 128 bits) no está instalado, el programa de instalación de VPN lo instalará. Esta versión de NICI sobrescribe a NICI 1.5.7 (56 bits) o NICI 1.5.3 (56/128 bits), pero no a NICI 2.6.0. Si está instalado NICI 2.6.0, coexistirán NICI 1.5.7 y 2.6.0.
En Windows 98 y Windows Me es posible seleccionar una entrada de acceso telefónico de cualquier tipo de servidor. Anteriormente (con la edición empresarial de BorderManager 3.0 de Novell), sólo era posible seleccionar las entradas de acceso telefónico de tipo VPN de Novell. Todas las entradas deben configurarse para que sólo negocien las conexiones TCP/IP. Si desea ejecutar el cliente VPN desde Acceso telefónico a redes en lugar de hacerlo desde vpnlogin.exe, la entrada de acceso telefónico que seleccione en Acceso telefónico a redes debe ser del tipo de servidor VPN de Novell; en caso contrario, vpnlogin.exe no se iniciará después de establecer la conexión de acceso telefónico.
En Windows NT, se puede seleccionar una entrada de acceso telefónico de cualquier tipo de servidor. En Windows NT, no existe ningún tipo de servidor VPN de Novell cuando selecciona Acceso telefónico a redes.
Hay un requisito de acceso telefónico. Instale el acceso telefónico a redes antes que el cliente VPN.
Cuando seleccione la entrada de acceso telefónico de VPNLogin.exe, elija entradas que no permitan la compresión del protocolo punto a punto (PPP). Si se intentan comprimir los datos cifrados, se producirá una sobrecarga innecesaria de la CPU y no se conseguirá reducir el tamaño de los paquetes que se envían.
Instale el módem y, a continuación, el cliente VPN.
Durante la instalación del cliente VPN, si selecciona la utilización de Acceso telefónico a redes, la instalación del cliente VPN creará automáticamente una entrada de acceso telefónico de VPN de Novell.
Durante la entrada del cliente VPN, el usuario de eDirectory recibirá una notificación en caso de que su contraseña de eDirectory haya caducado y esté utilizando entradas de gracia. El usuario también tendrá la posibilidad de cambiar la contraseña de eDirectory durante la entrada del cliente VPN. Esta opción también se proporcionará en el icono de la bandeja del sistema del cliente VPN. El usuario sólo tendrá la posibilidad de cambiar la contraseña si está utilizando credenciales de eDirectory para la entrada de VPN/NetWare desde el cliente VPN. El cambio de contraseña no se llevará a cabo con éxito si se intenta una entrada sin contexto. Requiere todas las credenciales de usuario de eDirectory.
La directiva especificada por el administrador en eDirectory se aplicará al cliente. Si una directiva se modifica para un usuario de VPN en concreto durante una sesión de VPN en curso, los cambios no se reflejarán hasta la siguiente sesión.
Esta versión de cliente VPN es compatible con la función de instalación silenciosa, que permite completar la instalación sin necesidad de que el usuario intervenga. Si la opción Acceso telefónico está seleccionada, es posible que se requiera la intervención del usuario, si es que la estación de trabajo no tiene ya instalados los componentes RAS o Acceso telefónico a redes.
Para utilizar esta función, ejecute SETUP.EXE con una función de conmutación para crear un archivo de respuestas que contenga las respuestas a todas las preguntas que suelen hacerse durante la instalación. Dado que esto incluye la selección del cliente de acceso telefónico, el cliente LAN, o ambos, será necesario que cree archivos de respuestas múltiples, según las necesidades del usuario.
Después de crear el archivo de respuestas, puede ejecutar SETUP.EXE con una función de conmutación diferente para utilizar el archivo de respuestas de forma que la instalación requiera una intervención mínima por parte del usuario. También existe una función de conmutación para generar un archivo de registro para la instalación silenciosa. Se puede utilizar para verificar que la instalación se ha completado correctamente, o bien para diagnosticar el motivo del fallo de la instalación. A continuación se brindan ejemplos del modo en que se deben usar estas funciones de conmutación.
Es probable que a menudo se requiera una "instalación silenciosa" en las estaciones de trabajo que tienen diferentes versiones de Windows. Si Windows o el Cliente Novell se instaló desde un CD, la instalación del cliente VPN requerirá el uso de los CD correspondientes a dichas instalaciones. En este caso, como las respuestas a los comandos de instalación dependerán de la versión de Windows instalada, lo mejor es crear un archivo de respuestas que le solicitará al usuario los CD de instalación cuando sea necesario.
Para crear este tipo de archivo de respuestas:
Realice una instalación normal del cliente VPN sin crear el archivo de respuestas. Es posible que esta instalación requiera los CD Cliente Novell o Windows. Proceda como de costumbre con la instalación.
Tras el reinicio, ejecute SETUP.EXE nuevamente, esta vez para crear el archivo de respuestas. Esta reinstalación no le pedirá los CD de instalación de Windows ni de Cliente Novell, por lo que el archivo de respuestas generado no sabrá qué responder cuando la instalación del usuario solicite el CD de Windows o de Cliente Novell. Dado que no habrá ninguna respuesta en el archivo, al usuario se le solicitará el CD de Windows o de Cliente Novell, si son necesarios.
Para verificar que el archivo de respuestas está funcionando correctamente, ejecute la instalación en el modo silencioso en una estación de trabajo que no tenga instalado el cliente VPN. El archivo de registro de la instalación debería mostrar ResultCode=0.
La función de instalación silenciosa sólo se puede utilizar con el archivo SETUP.EXE correspondiente al directorio disk1. No funciona con el archivo ejecutable de autoextracción.
La función de instalación silenciosa queda habilitada al ejecutar el archivo SETUP.EXE correspondiente al directorio disk1, con ciertas opciones de línea de comando. Las opciones disponibles para SETUP.EXE son las siguientes:
Dependiendo de cuál de las dos opciones se esté utilizando, las opciones –f1 y –f2 también se pueden utilizar para especificar archivos de nombres.
Para utilizar la función de instalación silenciosa:
Cree un archivo de respuestas enviando el siguiente comando desde el directorio disk1 de los discos del cliente VPN:
setup.exe -r -f1"<ARCHIVO_DE_RESPUESTAS>"
donde <ARCHIVO_DE_RESPUESTAS> contiene la vía única y el nombre del archivo de respuestas. La opción -f1"<ARCHIVO_DE_RESPUESTAS>" se puede omitir, en cuyo caso se creará un archivo de respuestas denominado SETUP.ISS en el directorio Windows o WinNT. Por ejemplo,
setup.exe -r -f1"c:\test\setup.iss" ejecuta la instalación y guarda la información relacionada en C:\TEST\SETUP.ISS.
NOTA: al utilizar funciones de conmutación -f1 y -f2, no inserte un espacio antes de la comilla. Por ejemplo: -f1 "nombredearchivo" no funcionará. -f1"nombredearchivo" sí funcionará.
Ejecute la instalación basándose en la información recabada con anterioridad y ejecute el siguiente comando desde el directorio disk1 de los discos del cliente VPN.
setup.exe -s -f1"<ARCHIVO_DE_RESPUESTAS>" -f2"<ARCHIVO_DE_REGISTRO>"
donde <ARCHIVO_DE_RESPUESTAS> contiene el nombre y la vía única del archivo de respuestas y <ARCHIVO_DE_REGISTRO> contiene el nombre y la vía única del archivo de registro.
Por ejemplo, setup.exe -s -f1"c:\winnt\response.txt" -f2".\setup.log" ejecuta la instalación tomando la información del archivo response.txt, que se encuentra en el directorio c:\WinNT, y registra el resultado en el archivo setup.log, en el mismo directorio que setup.exe.
Verifique que la instalación silenciosa se ejecutó correctamente analizando el contenido de setup.log. Debe consultar una sección de resultados que tenga lo siguiente:
[ResponseResult]
ResultCode=0
Un valor 0 para ResultCode indica que la instalación se realizó correctamente. Un valor distinto implica un fallo en la instalación. Los valores de ResultCode posibles son:
El código de error de instalación más común es -12. Por lo general, las condiciones de error hacen que se muestren cuadros de diálogo con mensajes de error que solicitan la intervención del usuario, por ejemplo, "Haga clic en Aceptar" para acusar recibo del error. Como la respuesta no figurará en el archivo de respuestas, el proceso de instalación silenciosa asume que los cuadros de diálogo del archivo de respuestas no están funcionando y, por ello, genera el error -12.
Para automatizar el proceso de instalación silenciosa, se puede utilizar un archivo por lotes. Por ejemplo, puede crear el siguiente archivo INSTALL.BAT en el subdirectorio DISK1: setup.exe -s -f1"c:\vpninst\disk1\response.txt" -f2"c:\temp\vpninst.log" rem Se da por hecho que el cliente VPN se ha extraído a c:\vpninst. rem Puede tratarse de una unidad de la red o cualquier otra unidad. No incluya ningún espacio entre -f1 y la comilla. Si aparece el icono de entrada de VPN en el escritorio, reinicie el equipo y la instalación del cliente VPN habrá acabado.
Si dispone de un archivo llamado vpnconfig.txt en el directorio Disk1 de la instalación del cliente VPN, el programa de instalación tomará de aquí la siguiente información: direcciones del servidor VPN, modo de autenticación, dirección IP del servidor NetWare, secuencias NMAS, contexto de eDirectory, si se debe habilitar o no la entrada eDirectory, etc. El programa actualizará entonces los datos en el registro de la estación de trabajo.
La plantilla de sintaxis del archivo de texto se incluye en el directorio Disk1. Dicha plantilla se puede modificar según las necesidades corporativas. La plantilla explica su propio contenido.
Si el servidor VPN es su cortafuegos, los filtros de excepciones ya estarán configurados para admitir la circulación del tráfico mencionado. Los filtros deben actualizarse durante la configuración de la VPN.
Novell, Inc. no otorga ninguna garantía respecto al contenido y el uso de esta documentación y, específicamente, renuncia a cualquier garantía explícita o implícita de comercialización o adecuación para un fin determinado. Asimismo, Novell, Inc. se reserva el derecho de revisar esta publicación y realizar cambios en su contenido en cualquier momento, sin obligación de notificar tales cambios a ninguna persona o entidad.
Además, Novell, Inc. no ofrece ninguna garantía con respecto a ningún software y rechaza específicamente cualquier garantía explícita o implícita de comercialización o adecuación para un fin determinado. Por otra parte, Novell, Inc. se reserva el derecho de realizar cambios en cualquiera de las partes o en la totalidad del software de Novell en cualquier momento, sin obligación de notificar tales cambios a ninguna persona ni entidad.
No podrá exportar ni reexportar este producto infringiendo la legislación o las normativas vigentes, incluidas, aunque sin limitarse a ellas, las normativas de exportación de EE.UU. o las del país en el que resida.
Copyright © 1997-2001, 2002, 2003, 2004 Novell, Inc. Reservados todos los derechos. Ninguna parte de esta publicación puede ser reproducida, fotocopiada, almacenada en un sistema de recuperación ni transmitida sin la expresa autorización por escrito del editor.
Novell es una marca comercial registrada de Novell, Inc. en Estados Unidos y en otros países.
Todos los productos de otros fabricantes son propiedad de sus propietarios respectivos.