Fichier Readme client VPN de Novell BorderManager 3.8.2

1.0 Introduction

Le logiciel client VPN de Novell BorderManager permet à un poste de travail de communiquer en toute sécurité sur Internet avec un réseau protégé par un serveur VPN Novell.

2.0 Fonctions

Le logiciel client VPN offre les fonctions suivantes.

2.1 Mode d'authentification du certificat X509

Pour le mode d'authentification principal IKE, le client VPN de NBM 3.8 doit fournir le certificat x509 et la racine approuvée du serveur à l'utilisateur. Ces deux éléments doivent être copiés sur le poste de travail local destiné à l'utilisation du VPN (:\novell\vpnc\certificates\users ou :\novell\vpnc\certificates\trustedroot).

2.1.1 Extraction du certificat

Le client VPN offre une fonction d'extraction de certificat utilisateur depuis Novell eDirectory. Cette fonction nécessite l'installation préalable du client Novell. Si le client Novell est installé, cette option est activée pour permettre à l'utilisateur d'extraire son certificat. Pour extraire le certificat utilisateur, vous devez fournir le nom d'utilisateur, le mot de passe, le contexte, l'arborescence et l'adresse IP (facultative) ainsi le nom du certificat utilisateur (le nom uniquement, soit adminCert). Le certificat utilisateur est extrait et stocké dans :\novell\vpnc\certificates\users sous le nom AdminCert.pfx. Si vous disposez de plusieurs certificats pour un même utilisateur, ils sont nommés AdminCert(n).pfx (n = 1..n).

2.1.2 Règle locale

En mode d’authentification IKE, l’utilisateur peut indiquer les paramètres IKE et IPSEC en cliquant sur l’éditeur de règles de l'onglet VPN. Cette règle s'impose au serveur VPN si ce dernier n'impose pas de règle.

2.2 Mode d'authentification NMAS

Le client Novell VPN est intégré avec le service NMAS. NMAS fonctionne avec le client Novell. Installez celui-ci pour bénéficier de la fonctionnalité NMAS.

Sélectionnez l'option NMAS dans l'onglet de configuration et fournissez les références et les informations de l'utilisateur NMAS dans l'onglet eDirectory. Dans l'onglet VPN, indiquez l'adresse IP du serveur VPN ainsi et la séquence NMAS (par exemple, NDS/eDirectory, carte à puce universelle, mot de passe simple, etc). Pour les références, la méthode affiche une boîte de dialogue contextuelle si elles ne sont pas déjà entrées.

2.3 Mode d'authentification NMAS LDAP

Sélectionnez NMAS et cochez la case LDAP dans l'onglet Configuration. Allez dans l'onglet VPN et entrez l'adresse IP du serveur VPN ainsi que le DN utilisateur LDAP (par exemple, CN=Admin, O=Novell). La méthode LDAP affiche une boîte de dialogue pour la référence.

2.4 Mode Compatibilité avec les versions précédentes

Sélectionnez le mode Compatibilité avec la version précédente dans l'onglet Configuration. Fournissez les références eDirectory dans l'onglet eDirectory. Dans ce mode, le client de NBM 3.8 parle au serveur NBM (BMEE 3.6, NBM 3.7 et NBM 3.8) en mode SKIP. L'authentification par jeton ActiveCard est activée si NMAS est installé sur le client. La méthode d'authentification par jeton ActiveCard fonctionne si elle est configurée pour l'utilisateur dans eDirectory. L'onglet VPN nécessite des références pour la méthode de jeton ActiveCard.

2.5 Mode d'authentification pré-partagée

Sélectionnez le mode d'authentification pré-partagée dans l'onglet Configuration. Allez dans l'onglet VPN et indiquez le mot de passe de la clé pré-partagée configurée dans le serveur VPN.

2.6 Client VPN intégré au client Novell

Cette version du client VPN Novell est intégrée au client Novell pour Windows 98, Windows NT, Windows 2000 ou Windows XP Home. Redémarrez l'ordinateur après avoir installé le nouveau client VPN. Pendant le redémarrage, le client VPN est intégré au client Novell. Dès que le système s'affiche, l'écran Login Novell comporte une liste déroulante d'emplacements. Cette liste contient l'entrée par défaut ainsi qu'une entrée pour les fonctions VPN. Vous pouvez sélectionner l'emplacement de votre choix en fonction de l'opération à effectuer.

Quatre nouveaux onglets sont disponibles. Pour les configurer dans une instance de service, sélectionnez Propriétés de Novell Client32. Ces quatre onglets sont les suivants :

• Configuration : Fournit un mécanisme d'authentification aux clients VPN, ainsi que la connexion à distance, le login Novell, l'option IPX et le programme de lancement de l'application après la connexion VPN.
• VPN : Fournit des références pour le type d'authentification indiqué dans l'onglet Configuration.
• Connexion à distance : Permet une connexion à distance. Cet onglet s'affiche dans l'onglet Configuration si l'accès à distance est activé.
• État VPN : affiche l'état de la connexion à distance et/ou de l'authentification VPN.

2.7 Tous les clients VPN pour plates-formes Windows utilisent NICI pour le codage

Cette version du client VPN pour Windows 98, Windows Me, Windows NT, Windows 2000 et Windows XP utilise le codage NICI (128 bits), car NICI n'impose pas de restrictions d'importation.

2.7.1 Versions de NICI

Si nécessaire, le programme d'installation VPN installe NICI 1.7.0 (version 128 bits). Cette version de NICI écrase NICI 1.5.7 (56 bits) ou NICI 1.5.3 (56/128 bits), mais pas NICI 2.6.0. Si NICI 2.6.0 est installé, NICI 1.5.7 et 2.6.0 peuvent coexister.

2.8 Sélection d'entrées d'accès à distance

Sous Windows 98 et Windows Me, vous pouvez sélectionner une entrée d'accès à distance de n'importe quel type de serveur. Avec Novell BorderManager Enterprise Edition 3.0, vous pouviez uniquement sélectionner des entrées d'accès à distance du type VPN Novell. Toutes les entrées doivent être configurées de façon à ne négocier que des connexions TCP/IP. Si vous souhaitez appeler le client VPN à partir du module Accès réseau à distance plutôt que du programme vpnlogin.exe, l'entrée d'accès à distance que vous sélectionnez doit être du type de serveur VPN Novell. Si ce n'est pas le cas, vpnlogin.exe ne sera pas généré une fois la connexion à distance établie.

Sous Windows NT, vous pouvez sélectionner une entrée d'accès à distance de n'importe quel type de serveur. Sous Windows NT, le module Accès réseau à distance ne propose pas de type de serveur VPN Novell.

Le cas échéant, installez la fonction d'accès réseau à distance avant l'installation du client VPN.

Lorsque vous sélectionnez vos entrées d'accès à distance à partir de VPNLogin.exe, choisissez des entrées qui n'activent pas la compression PPP (Protocole point à point). La compression de données codées entraînerait une surcharge processeur inutile et ne réduirait pas la taille des paquets à envoyer.

Installez le modem, puis le client VPN.

2.9 Création automatique d'une entrée VPN à distance Novell

Si vous choisissez d'utiliser le module Accès réseau à distance lors de l'installation du client VPN, l'installation du client VPN crée une entrée VPN à distance Novell.

2.10 Notification d'expiration du mot de passe

Pendant le login du client VPN, l'utilisateur eDirectory est informé en cas d'expiration de son mot de passe et d'utilisation de logins bonus. L'utilisateur peut également modifier le mot de passe eDirectory pendant le login client VPN. Cette option est également fournie sur l'icône du client VPN. L'utilisateur bénéficie de l'option de changement de mot de passe uniquement s'il utilise les références eDirectory pour le login VPN/NetWare à partir de l'application client VPN. Le changement de mot de passe échoue en cas de login sans contexte. Toutes les références utilisateur eDirectory sont requises.

2.11 Règle

La règle indiquée par l'administrateur dans eDirectory est appliquée au client. Si une règle est modifiée pour l'utilisateur VPN en question alors qu'une session VPN est en cours, les modifications n'apparaissent pas jusqu'à la session suivante.

2.12 Installation silencieuse

Cette version du client VPN prend en charge la fonction d'installation silencieuse qui permet une installation sans intervention de l'utilisateur. Lorsque l'option Connexion à distance est sélectionnée, l'intervention de l'utilisateur peut s'avérer nécessaire si l'Accès réseau à distance ou les composants RAS ne figurent pas sur le poste de travail.

Pour utiliser cette fonction, vous devez exécuter SETUP.EXE avec un paramètre qui permet de créer un fichier contenant les réponses à toutes les questions généralement posées lors de l'installation. Ceci comprend la sélection du client à distance, du client LAN, ou des deux, par conséquent vous pouvez avoir besoin de créer plusieurs fichiers réponses en fonction des besoins des utilisateurs.

Après avoir créé le fichier réponse, vous pouvez exécuter SETUP.EXE avec un autre paramètre et utiliser le fichier réponse de manière à ce que l'installation ne nécessite qu'une intervention minimale de la part de l'utilisateur. Il existe également un paramètre qui permet de créer un fichier journal pour l'installation silencieuse. Celui-ci permet de vérifier le bon déroulement de l'installation ou de diagnostiquer la cause de son échec. Des exemples d'utilisation de ces paramètres sont proposés ci-dessous.

Une « installation silencieuse » est souvent nécessaire sur les postes de travail qui disposent de différentes versions de Windows. Si Windows ou le client Novell ont été installés à partir de CD-ROM, le programme d'installation du client VPN vous les demandera. Dans ce cas, comme les réponses aux messages du programme d'installation dépendent de la version de Windows, il est préférable de créer un fichier réponse qui, si nécessaire, demandera ces CD à l'utilisateur.

Pour créer ce type de fichier réponse :

1. Procédez à une installation normale du client VPN sans créer de fichier réponse. Ce programme d'installation peut demander les CD-ROM de Windows et/ou du client Novell. Poursuivez l'installation normalement.

2. Après le redémarrage, exécutez de nouveau SETUP.EXE en créant cette fois le fichier réponse. Lors de cette nouvelle installation, le programme ne vous demande pas les CD-ROM d'installation de Windows ou du client Novell et le fichier réponse créé ne propose pas de réponse lorsque le programme d'installation de l'utilisateur lui demande les CD-ROM de Windows ou du client Novell. En l'absence de réponse dans le fichier réponse, les CD-ROM de Windows ou du client Novell peuvent, le cas échéant, être demandés à l'utilisateur.

   Pour vérifier le bon fonctionnement du fichier réponse, lancez l'installation en mode silencieux à partir d'un poste de travail sur lequel le client VPN n'est pas installé. Le fichier journal de l'installation doit afficher ResultCode=0.

   La fonction d'installation silencieuse ne fonctionne que lorsque SETUP.EXE se trouve dans le répertoire Disk1. Elle ne fonctionne pas avec le fichier exécutable à extraction automatique.

   Pour activer la fonction d'installation silencieuse, exécutez SETUP.EXE à partir du répertoire Disk1 avec certaines options de lignes de commandes. Les options disponibles pour SETUP.EXE sont :

   -r : lance l'installation et enregistre la réponse ;

   -s  : lance l'installation en mode silencieux.

   En fonction de l'option entrée, les options -f1 et -f2 peuvent aussi être utilisées pour spécifier des fichiers de noms.

Pour utiliser la fonction d'installation silencieuse :

1. Créez un fichier réponse en entrant la commande suivante à partir du répertoire Disk1 du client VPN :

   setup.exe -r -f1""

   Le contient le chemin absolu et le nom du fichier réponse. L'option -f1"" peut être omise, auquel cas un fichier réponse intitulé SETUP.ISS est créé dans le répertoire Windows ou WinNT. Par exemple :

   setup.exe -r -f1"c:\test\setup.iss" exécute l'installation et enregistre l'entrée dans C:\TE

   REMARQUE :  Lors de l'utilisation des paramètres -f1 et -f2, n'entrez pas d'espace avant le guillemet. Par exemple : -f1 "nom du fichier" ne fonctionnera pas. -f1"nom du fichier", en revanche, fonctionnera.

2. Exécutez l'installation d'après l'entrée précédemment enregistrée en entrant la commande suivante à partir du Disk1 du client VPN :

   setup.exe -s -f1"" -f2""

   et contiennent respectivement le chemin absolu et le nom du fichier réponse et du fichier journal.

   Par exemple : setup.exe -s -f1"c:\winnt\response.txt" -f2".\setup.log" exécute l'installation, utilise le fichier response.txt du répertoire c:\WinNT et enregistre le résultat dans le fichier setup.log situé dans le même répertoire que setup.exe.

3. Pour vous assurer que l'installation silencieuse s'est bien déroulée, vérifiez le contenu de setup.log. Vous devez obtenir le résultat suivant :

   [ResponseResult]

   ResultCode=0

   Une valeur ResultCode égale à 0 indique que l'installation s'est bien déroulée. Une valeur autre que zéro indique qu'elle a échoué. Les valeurs possibles pour ResultCode sont :

   0 Réussite.

   -1 Erreur générale.

   -2 Mode non valide.

   -3 Données requises introuvables dans le fichier SETUP.ISS.

   -4 Mémoire insuffisante.

   -5 Fichier inexistant.

   -6 Impossible d'écrire dans le fichier réponse.

   -7 Impossible d'écrire dans le fichier journal.

   -8 Chemin d'accès au fichier réponse du mode silencieux InstallShield non valide.

   -9 Type de liste non valide (chaîne ou nombre).

   -10 Type de données non valide.

   -11 Erreur inconnue lors de la configuration.

   -12 Boîtes de dialogue hors service.

   -51 Impossible de créer le dossier spécifié.

   -52 Impossible d'accéder au fichier ou dossier spécifié.

   -53 Option non valide sélectionnée.

   Le code d'erreur d'installation le plus courant est -12. Les conditions d'erreurs affichent généralement une boîte de dialogue avec un message d'erreur qui nécessite l'intervention de l'utilisateur, comme « Cliquez sur OK » pour accepter l'erreur. En l'absence de réponse dans le fichier réponse, le programme d'installation silencieuse considère que les boîtes de dialogue du fichier réponse sont hors service et signale l'erreur -12.

   Un fichier de traitement par lots peut être utilisé pour automatiser davantage le processus d'installation silencieuse. Par exemple, vous pouvez créer le fichier INSTALL.BAT suivant dans le sous-répertoire DISK1 : setup.exe -s -f1"c:\vpninst\disk1\response.txt" -f2"c:\temp\vpninst.log" rem Considère que le client VPN a été extrait vers c:\vpninst. rem Il peut se trouver sur un lecteur du réseau ou ailleurs. N'entrez pas d'espace entre -f1 et le guillemet. Si l'icône du login VPN apparaît sur votre bureau, redémarrez pour terminer l''installation du client VPN.

2.13 Distribution de la configuration clients

Si un fichier nommé vpnconfig.txt existe dans le répertoire Disk1 d'installation du client VPN, le programme d'installation prend dans ce fichier les adresses du serveur VPN, le mode d'authentification, l'adresse IP du serveur NetWare, les séquences NMAS, le contexte e-Directory, les autorisations d'activer ou non le login eDirectory, etc. Le programme met ensuite à jour ces informations dans le registre du poste de travail.

Un modèle de syntaxe de ce fichier texte est inclus dans Disk1. Vous pouvez modifier ce modèle en fonction des exigences de votre société. Ce modèle est tout à fait explicite.

3.0 Problèmes résolus dans cette version

1. Une liste des méthodes/choix couramment utilisés pour l'authentification NMAS.
2. Prise en charge de Windows 2003.
3. L'adresse du serveur DNS donnée au client VPN est désormais mise à jour dans le registre DNS.
4. Lorsque le système passe en mode hibernation/veille, le client VPN est automatiquement déconnecté.

4.0 Problèmes et limites connus

1. IPX^TM n'est pas pris en charge via le client VPN sous Windows 2000, Windows XP, XP Home ni Windows ME.
2. Si vous mettez à niveau votre ordinateur et et disposez déjà client VPN 3.7 ou de la version précédente, vous devez supprimer le logiciel client VPN de votre poste de travail, puis effectuer la mise à niveau vers le nouveau système d'exploitation. Après la mise à niveau, réinstallez le client VPN.
3. Sous Windows 2000 et Windows XP, les utilisateurs restreints n'ont pas accès au client VPN, car ils ne disposent pas des privilèges qui leur permettent de mettre à jour la section KEY_LOCAL_MACHINE du registre. Les utilisateurs qui disposent de privilèges d'accès standard et administratifs peuvent, quant à eux, utiliser le client VPN.
4. Le client de la passerelle IP Novell ne peut pas être utilisé avec le client VPN. Empêchez le client d'utiliser son composant de passerelle IP Novell avant de vous connecter à un VPN doté du logiciel client VPN. Vous pouvez désactiver le composant de passerelle du client à partir de la sélection Voisinage réseau - Propriétés.
5. Si votre serveur VPN se trouve derrière un pare-feu, vous devez configurer ce pare-feu pour permettre le trafic (entrant et sortant) suivant :

   - Port TCP 353

   - Port UDP 353

   - Port UDP 2010

   - Port UDP 500

   - Port UDP 4500

   - Protocole IP ID 57

   - Protocole IP ID 50

   - Protocole IP ID 51

   Si votre serveur VPN est votre pare-feu, les filtres d'exception sont déjà configurés pour permettre le passage de ce trafic. Les filtres doivent être mis à jour pendant la configuration VPN.

6. Si vous utilisez le client VPN avec le client Novell, vous devez vous déloguer de NetWare avant de vous déconnecter du serveur VPN, que vous utilisiez une connexion VPN IP seule ou IP et IPX. Sinon, vos connexions NetWare ne seront pas nettoyées et vous risquez d'atteindre la limite de login après plusieurs tentatives d'utilisation du VPN.
7. L'autorisation n'est pas prise en charge pour l'authentification NMAS^TM.
8. NMAS 2.2.4 ne fonctionne pas sous Windows ME. Le cas échéant, installez manuellement NMAS 2.1 et continuez.
9. Le login de Novell NDS^® au serveur et le changement de mot de passe ne sont pas pris en charge car le client Novell^TM n'est pas pris en charge sous Windows ME.
10. Si le client VPN est installé avant le client Novell, il n'est pas intégré à ce dernier. Si ce cas s'est produit, exécutez regvpn à partir du répertoire WINSYS.
11. Si l'extraction du certificat échoue, saisissez le nom de l'arborescence et le nom du serveur préféré dans le champ prévu à cet effet. Fournissez ces informations au format suivant : .
12. Si la séquence NMAS est différente dans les clients Novell et VPN, vous risquez de ne pas pouvoir vous loguer au serveur NetWare depuis le client VPN.
13. Le login Novell au serveur NetWare depuis le client VPN a lieu uniquement si le serveur VPN et le serveur NetWare se trouvent à la même arborescence.
14. Si Kernel NICI 1.7.0 est déjà installé sur un poste de travail Windows 98, nous vous recommandons de le désinstaller avant d'installer le client VPN.
15. Dans NMAS 2.2.4, la méthode USC d'authentification ne fonctionne pas. Nous vous conseillons de supprimer le paramètre de registre Windows local/machine/software/Novell/NMAS/1.0/IDIDDLLPath. Une fois ce paramètre de registre modifié, l'ID utilisateur qui provient de la carte n'est plus utilisé et l'utilisateur doit fournir son ID.
16. Un client VPN et un client VPN Nortel Contivity (NOMAD 2.1) ne peuvent pas co-exister sur un même poste de travail. Si vous essayez d'installer ces deux éléments sur le même ordinateur, le poste de travail risque de perdre la configuration IP ou les clients risquent de ne pas se désinstaller correctement.
17. L'installation silencieuse du client VPN depuis une unité assignée ou NAL risque de ne pas fonctionner. Copiez le dossier DISK1 sur l'ordinateur local et exécutez-le localement. Vous pouvez également compresser le dossier DISK1 en utilisant InstallShield ou Winzip, puis l'exécuter depuis une unité assignée ou NAL.
18. La boîte de dialogue Mot de passe NMAS s'affiche deux fois lors de la connexion du client VPN à partir de NWGINA. Ce problème concerne le client NMAS 2.3. Installez NMAS 2.3.2 pour éviter ce double affichage.
19. Les utilisateurs qui disposent de privilèges limités risquent de ne pas pouvoir utiliser le client VPN car ils n'ont pas le droit d'écrire sur le registre.
20. La fonctionnalité « Modifier le mot de passe » peut ne pas fonctionner sur le client Novell 4.9 et sur les versions supérieures.

5.0 Mentions légales

Novell exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell se réserve en outre le droit de réviser cette publication à tout moment et sans préavis.

Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications à quiconque.

L’exportation ou la réexportation de ce produit est interdite dès lors qu'elle enfreint les lois et réglementations applicables y compris, mais de façon non limitative, les réglementations des États-Unis en matière d'exportation ou la législation en vigueur dans votre pays de résidence.

Copyright © 1997-2001, 2002, 2003, 2004 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l'éditeur.

Novell est une marque déposée de Novell, Inc. aux États-Unis et dans d'autres pays.

Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif.