Problèmes relatifs à Novell BorderManager 3.8 SP1

1.0 Problèmes et limites connus

Novell BorderManager 3.8 Support Pack 1 (NBM 3.8 SP1) présente les limites et les problèmes connus suivants :

1. Le filtre ping avec état n'autorise que les requêtes ping en provenance d'un seul côté du pare-feu à la fois. Il ne permet pas l'envoi simultané de requêtes ping entre deux hôtes de part et d'autre du pare-feu. Pour cela, vous devez créer un filtre ICMP statique et le désactiver immédiatement après l'avoir utilisé, pour des raisons de sécurité.
2. Lorsque la consignation est activée, le pare-feu peut ne pas fonctionner correctement s'il a subi une charge importante et prolongée.
3. Le déchargement et le rechargement de filtsrv pendant l'installation risque d'entraîner une ouverture du système pendant 10 à 15 secondes. Si vous avez l'impression que cette faille rend le système vulnérable, ne l'exposez pas pendant l'installation.
4. Si le mot de passe contient des caractères spéciaux, l'authentification peut échouer pendant l'installation de NBM 3.8.

2.0 Modifications apportées au logiciel

Cette version de NBM 3.8 SP1 a fait l'objet de modifications décrites dans les sections suivantes.

2.1 Correction des défauts du logiciel et paramètres

Novell BorderManager 3.8 SP1 intègre des modifications destinées à corriger les problèmes décrits dans les sections suivantes.

2.1.1 Bannière SMTP personnalisée

Le paramètre suivant permet de configurer la bannière SMTP

[Extra Configuration]

BM_SMTP_Banner = "Tester la bannière BM SMTP. Toute utilisation non autorisée de ce logiciel entraînera des poursuites judiciaires à l'encontre de l'utilisateur"

2.1.2 Remplacement du proxy de messagerie

Pour permettre au proxy TCP générique d'utiliser le port 25 à la place du proxy de messagerie

[Extra Configuration]

AllowGTCPProxyToUsePort25=1

Définissez la valeur sur 1 pour permettre au proxy TCP générique d'utiliser le port 25.

2.1.3 Restriction du tunnelage du proxy HTTP

Par défaut, le proxy HTTP autorise les requêtes CONNECT sur tous les ports, ce qui peut représenter une menace pour la sécurité du système. Le paramètre suivant détermine les ports sur lesquels le tunnelage est permis.

[Tunneling]

EnableTunnelingControl=1

EnableTunnelingControlLog=1

[HttpTunnelingAllowed]

port=<port-1>

...

port=<port-N>

Définissez le paramètre EnableTunnelingControl=1 pour autoriser les requêtes CONNECT sur les ports indiqués et sur le port 443. Les requêtes CONNECT concernant les autres ports sont rejetées.

Définissez le paramètre EnableTunnelingControlLog=1 pour consigner tous les ports qui ont fait l'objet d'un rejet dans le fichier sys:\etc\proxy\tunnel.log.

Lorsque le paramètre EnableTunnelingControl=0 est défini, toutes les requêtes CONNECT sont autorisées sur tous les ports, ce qui peut représenter une menace pour la sécurité du système.

3.0 Corrections apportées au logiciel

Les corrections suivantes sont disponibles avec ce correctif de Novell BorderManager 3.8 SP1 :

3.1 Proxy

1. Arrêt anormal du proxy lorsque la consignation HTTPS est activée.
2. Le réacheminement de l'authentification ne fonctionne pas correctement lorsque les proxies HTTP transparent et de réacheminement sont activés simultanément.
3. La mémoire présente des fuites lorsque Single Sign-on est activé pour le proxy FTP
4. Slashdot.org exclut le proxy BorderManager si la lecture anticipée est activée.
5. Arrêt anormal de Proxy.nlm après la mise à niveau de BorderManager de la version 3.7 à la version 3.8.
6. L'accès au proxy réussit même en cas d'exécution de dwntrust.
7. Arrêt anormal du proxy RTSP pendant le traitement de l'en-tête de transport.
8. Le mot de passe FTP est limité à 32 caractères.
9. L'authentification SSL fonctionne même si aucun nom d'utilisateur ou mot de passe n'est défini.
10. Une page d'erreur HTTP Novell BorderManager s'affiche avec des caractères non valides si la langue du serveur n'est pas l'anglais.
11. L'avertissement de la console SMTP "Primary mail domain is not configured..." (le domaine de messagerie primaire n'est pas configuré) s'affiche même en cas de prise en charge de plusieurs domaines pour le courrier entrant.
12. Échec du chargement de IPXIPGW.NLM avec des erreurs de symboles communs.
13. Échec du démarrage du serveur de multidiffusion ICP.
14. Échec du chargement de l'approbation Clntrust lorsque la langue chinoise est activée sur le bureau.
15. Le proxy Telnet transparent ne fonctionne pas.
16. Stopbrd interrompt le serveur lorsque les licences ACL ne sont pas installées.

3.2 Contrôle d'accès

1. La catégorisation N2H2 ne fonctionne pas pour les sites sécurisés.
2. Les fichiers LOG de filtre de paquets sont altérés si la méthode de transfert est définie sur Heures.
3. Arrêt anormal de Aclcheck.nlm pendant le traitement de règles d'accès complexes.
4. Les performances diminuent lorsque les listes ACL sont volumineuses.

3.3 Pare-feu et NAT

1. Une erreur apparaît lors de l'analyse du fichier sys:etc\builtins.cfg, au redémarrage du serveur.
2. Arrêt anormal de Filtsrv.nlm pendant l'installation de NBM 3.8.
3. Échec du login au serveur NetWare en cas d'exécution simultanée de VPN et NAT.

3.4 VPN

1. Pour les certificats utilisateur émis par Novell Organizational CA et enregistrés dans eDirectory, l'authentification par certificat VPN avec le certificat exporté échoue dans les cas suivants :
   • L'utilisateur correspondant est supprimé ou désactivé.
   • Le certificat utilisateur est supprimé de l'objet utilisateur dans eDirectory.

2. Le client VPN reste actif si l'utilisateur décide de rester connecté dans la boîte de dialogue contextuelle de timeout de déconnexion qui s'affiche lorsque aucune donnée n'a été transmise pendant le laps de temps configuré.
3. Échec de la connexion via la méthode NMAS-NDS si le nom d'utilisateur ne se trouve pas dans la réplique du serveur local.
4. Installation de NetWare 6.5 SP1 par-dessus NBM3.8.
5. Fichier debuglog.nlm incorrect fourni pour le chargement de IPXIPGW.NLM4.
6. Aucune liste des méthodes/options couramment utilisées pour l'authentification NMAS n'est fournie dans la page de login du client VPN.
7. Si l'adresse VPTUNNEL d'un serveur VPN est modifiée, les communications site-à-site sont interrompues.
8. L'authentification client-site VPN ne fonctionne pas avec la méthode NMAS LDAP lorsqu'il existe plusieurs répliques du serveur. Ce problème est résolu dans NMAS2.3, qui doit être téléchargé et appliqué au serveur. Pour plus d'informations, consultez la fiche technique Novell 2967711.
9. Si un membre supprimé est inactif ou ne peut être contacté, le maître ne doit pas le supprimer de la liste des membres tant qu'il ne peut pas être contacté.

4.0 Informations sur le support technique

Pour contacter Novell ou un partenaire Novell pour obtenir un support technique, connectez-vous au site Internet Novell Support Connection approprié :

• http://support.novell.com (Amérique du Nord et du Sud)
• http://support.novell.de (Europe et Moyen-Orient)
• http://support.novell.com.au (Asie et Pacifique)

Sur le site Internet Novell Support Connection, vous trouverez des informations récentes sur les problèmes les plus courants, les correctifs et d'autres éléments importants concernant le produit que vous installez. Vous pouvez utiliser la base de connaissances pour rechercher des fiches techniques qui se rapportent à ce produit. Vous pouvez en outre accéder à des forums pour obtenir des informations de support technique, mais aussi échanger ces informations et en discuter avec des modérateurs et d’autres clients de Novell.

5.0 Mentions légales

Novell exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell se réserve en outre le droit de réviser cette publication à tout moment sans préavis.

Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications à quiconque.

L’exportation ou la réexportation de ce produit est interdite dès lors qu'elle enfreint les lois et réglementations applicables y compris, de façon non limitative, les réglementations des États-Unis en matière d’exportation ou la législation en vigueur dans votre pays de résidence.

Copyright © 2002-2004 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l'éditeur.

Novell est une marque déposée de Novell, Inc. aux États-Unis et dans d'autres pays.

Client32, eDirectory, Internetwork Packet Exchange, IPX, NetWare Loadable Module, NLM et Novell Client sont des marques de Novell, Inc.

Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif.