O software do cliente Novell® BorderManager® Virtual Private Network (VPN) permite que uma estação de trabalho se comunique seguramente na Internet com uma rede protegida por um servidor VPN da Novell.
A seguir, a lista dos novos recursos para o Cliente VPN do Novell BorderManager 3.9 para Windows*:
Mudanças do cliente: As chaves híbrida e pré-compartilhada no modo Xauth de autenticação são suportadas no cliente.
Mudanças GUI do Cliente: Caixas suspensas substituíram os botões de rádio usados para selecionar o modo de autenticação.
O Cliente VPN do Novell BorderManager 3.9 fornece ao usuário um certificado x.509 para realizar o modo principal IKE de autenticação. O certificado deve ser copiado na estação de trabalho local (<unidade>:\novell\vpnc\certificates\users) na qual o software VPN deve ser executado.
O cliente VPN da Novell é integrado ao NMASTM (Novell Modular Authentication Services). O NMAS trabalha com o Novell Client. Instale o Novell Client para tirar proveito da funcionalidade do NMAS.
Selecione a opção NMAS na guia Configuração e forneça as informações de usuário e credenciais NMAS na guia eDirectory. Na guia VPN, forneça o endereço IP do servidor VPN e a seqüência NMAS (por exemplo, NDS/eDirectory, Smart Card Universal, Senha Simples).
Selecione NMAS e, em seguida, marque a caixa LDAP na guia Configuração. Vá para a guia VPN e especifique o endereço IP do servidor VPN e o DN de usuário LDAP (por exemplo, CN=Admin,O=Novell). O método LDAP exibe uma caixa de diálogo para a credencial.
Selecione o Modo de Compatibilidade Retroativa na guia Configuração. Forneça as Credenciais do eDirectory na guia eDirectory. Nesse modo, o cliente do Novell BorderManager 3.9 pode conversar com o Novell BorderManager 3.8. A autenticação de token ActiveCard será habilitada se o NMAS for instalado no cliente. O método de autenticação de token ActiveCard funcionará se o método de token ActiveCard estiver configurado para o usuário no eDirectory. A guia VPN exige credenciais para o método token ActiveCard.
Selecione o modo de Autenticação Pré-compartilhado na guia Configuração. Vá para a guia VPN e forneça a senha para a chave pré-compartilhada configurada no servidor VPN.
Forneça o endereço IP, o nome de usuário, a senha e a chave pré-compartilhada do servidor VPN. O nome de usuário está no formato de nome completo de DN. Por exemplo, user3.novlcontext.
A chave pré-compartilhada é usada para a autenticação IKE fase 1. A mesma chave pré-compartilhada também deve ser configurada no servidor.
NOTA: Ao se conectar ao servidor Novell BorderManager, use o editor de políticas para colocar o modo IKE no modo principal junto com PFS=sim.
Forneça o endereço IP, o nome do usuário e a senha do servidor VPN. O usuário deve copiar o certificado raiz confiável correspondente no servidor.
NOTA: O modo Híbrido Xauth é suportado somente no modo agressivo. Isso deve ser habilitado no editor de políticas.
Esta versão do cliente VPN da Novell pode ser integrada ao Novell Client para Windows 98, Windows NT, Windows 2000, Windows XP Professional ou Windows XP Home. Reinicie a máquina após instalar o novo cliente VPN. Durante a reinicialização, o cliente VPN será integrado ao Novell Client. Depois que o sistema voltar, a tela de login da Novell exibirá uma lista suspensa de localização. A lista contém a entrada padrão, assim como uma entrada para os recursos do VPN. Você pode selecionar qualquer um dos locais, dependendo da operação a ser executada.
Há quatro novas guias disponíveis que podem ser configuradas em uma Ocorrência do serviço selecionando as propriedades do Novell Client32. As quatro guias fazem o seguinte:
O Novell Client 4.91 e versão posterior atualizam o Cliente NMAS para a versão 3.0. Se o Cliente VPN for instalado depois da instalação do Novell Client e você desejar instalar o Cliente NMAS nesta hora, o NMAS não funcionará com o Novell Client 4.91. Para usar o Novell Client 4.91, execute uma das seguintes ações:
Esta versão do cliente VPN para Windows 98, Windows NT, Windows 2000 e Windows XP usa criptografia NICI (128 bits) porque não existe nenhuma restrição de exportação com NICI.
O cliente VPN exige o "kernel NICI" (NICI 1.7.0) para os requisitos criptográficos do módulo kernel vptunnel.sys e "user NICI" (NICI 2.6.0) para os requisitos criptográficos dos módulos user-space, como ikeapp.exe e vpnlogin.exe. Se NICI 1.7.0 (versão de 128 bits) não estiver instalado, o programa de instalação VPN o instalará. Esta versão do NICI sobregrava o NICI 1.5.7 (56 bits) ou o NICI 1.5.3 (56/128 bits), mas não o NICI 2.6.0. Se o NICI 2.6.0. for instalado, o NICI 1.7.0 e 2.6.0. coexistirão.
No Windows 98 e Windows Me, você pode selecionar uma entrada de discagem de qualquer tipo de servidor. Anteriormente (com o Novell BorderManager Enterprise Edition 3.0), só era possível selecionar entradas discadas do tipo Novell Virtual Private Network. Todas as entradas devem ser configuradas para negociar apenas com conexões TCP/IP. Se você quiser chamar o cliente VPN a partir de rede discada, em vez de fazê-lo pelo vpnlogin.exe, a entrada de discagem selecionada na rede discada deverá ser do tipo de servidor Novell Virtual Private Network; de outra forma, o vpnlogin.exe não será gerado após o estabelecimento da conexão discada.
No Windows NT, você poderá selecionar uma entrada de discagem de qualquer tipo de servidor. Não há nenhum tipo de servidor Novell Virtual Private Network na seleção de Rede Discada no Windows NT.
Se houver um requisito de discagem, instale a rede de discagem antes de instalar o cliente VPN.
Ao fazer sua seleção de entrada de discagem do VPNLogin.exe, escolha entradas que não habilitem compactação PPP (Point-to-Point Protocol). A compactação de dados que foram criptografados acarretará overhead de CPU desnecessário e não oferecerá nenhuma diminuição do tamanho dos pacotes enviados.
Instale o modem e depois o Cliente VPN.
Durante a instalação do cliente VPN, se você decidir usar rede discada, a instalação do cliente VPN criará uma entrada de discagem para VPN da Novell para você.
Durante o login no Cliente VPN, o usuário de eDirectory não será notificado se sua senha do eDirectory tiver expirado e logins extras estiverem sendo usados. O usuário também terá a opção de mudar a senha do eDirectory durante o login no Cliente VPN. Esta opção também é fornecida no ícone da bandeja do sistema do Cliente VPN. O usuário verá a opção de mudança de senha somente se estiver usando as credenciais do eDirectory para login VPN/NetWare do aplicativo de Cliente VPN. Haverá falha na mudança de senha no caso de login sem contexto. Ele exige todas as credenciais de usuário do eDirectory.
A política (regra de tráfego) especificada pelo administrador no eDirectory é aplicada ao cliente. Se a política for mudada para esse usuário VPN específico enquanto uma sessão VPN estiver ativa, as mudanças não serão refletidas até a próxima sessão.
O recurso instalação silenciosa permite que a instalação seja concluída sem entrada de usuário. Se a opção Discagem estiver selecionada, alguma intervenção do usuário poderá ser necessária se a estação de trabalho não tiver a rede discada ou os componentes RAS.
Para usar este recurso, execute o setup.exe com uma chave para criar um arquivo de resposta que contenha as respostas para todas as questões normalmente feitas durante a instalação. Uma vez que isso inclui a seleção do cliente de discagem, o cliente LAN, ou ambos, pode ser necessário criar diversos arquivos de resposta com base nas necessidades do usuário.
Depois de criar o arquivo de resposta, você pode executar o setup.exe com uma chave diferente para utilizar o arquivo de resposta de forma que a instalação exija intervenção mínima do usuário. Existe também uma chave para gerar um arquivo de registro para a instalação silenciosa. Isso pode ser utilizado para verificar se a instalação foi concluída com êxito ou para diagnosticar o motivo da falha na instalação. Exemplos de como usar essas chaves são fornecidos no procedimento abaixo.
Freqüentemente, você pode precisar fazer uma "instalação silenciosa" em estações de trabalho que têm versão diferentes do Windows. Se o Windows ou o Novell Client foram instalados a partir de CDs, então a instalação do cliente VPN pedirá esses CDs de instalação. Nesse caso, uma vez que as respostas para os prompts de instalação dependerão da versão do Windows instalada, é melhor criar um arquivo de resposta que consultará o usuário sobre os CDs de instalação, se necessário.
Para criar esse tipo de arquivo de resposta:
Execute uma instalação normal do cliente VPN sem criar o arquivo de resposta. Esta instalação pode pedir os CDs do Windows e/ou do Novell Client. Prossiga normalmente com a instalação.
Depois de reinicializar, execute o setup.exe novamente, desta vez criando o arquivo de resposta. Essa nova instalação não solicitará os CDs de instalação do Windows ou do Novell Client; portanto, o arquivo de resposta gerado não saberá o que responder quando a instalação do usuário solicitar o CD do Windows ou do Novell Client. Como o arquivo de resposta não tem a informação, o usuário receberá uma solicitação para fornecer os CDs do Windows ou do Novell Client, caso sejam necessários.
Para verificar se o arquivo de resposta está funcionando corretamente, execute a instalação no modo silencioso em uma estação de trabalho que não tenha o cliente VPN instalado. O arquivo de registro de instalação deve mostrar ResultCode=0.
O recurso de instalação silenciosa funciona apenas com setup.exe no diretório disk1. Ele não funciona com o executável auto-extraível. O recurso de instalação silenciosa é habilitado executando o setup.exe no diretório disk1 com certas opções da linha de comando. As opções disponíveis para o setup.exe são:
Dependendo de qual das duas opções está sendo utilizada, as opções -f1 e -f2 também podem ser usadas para especificar nomes de arquivos.
Para usar o recurso de instalação silenciosa:
Crie um arquivo de resposta emitindo o seguinte comando a partir do diretório disk1 dos discos do cliente VPN:
setup.exe -r -f1"<ARQUIVO_DE_RESPOSTA>"
onde <ARQUIVO_DE_RESPOSTA> contém o caminho absoluto e o nome do arquivo de resposta. A opção -f1"<ARQUIVO_DE_RESPOSTA>" pode ser omitida e, neste caso, um arquivo de resposta chamado setup.iss será criado no diretório Windows ou no diretório WinNT.
Por exemplo,
setup.exe -r -f1"c:\temp\setup.iss" executa a instalação e grava a entrada em c:\temp\setup.iss
Ao usar as chaves -f1 e -f2, não coloque um espaço antes das aspas. Por exemplo, -f1 "filename" não funcionará. -f1"filename" funcionará.
Execute a instalação com base na entrada capturada anteriormente, emitindo o seguinte comando a partir de disk1 dos discos do cliente VPN.
setup.exe -s -f1"<ARQUIVO_DE_RESPOSTA>" -f2"<ARQUIVO_DE_REGISTRO>"
onde <ARQUIVO_DE_RESPOSTA> contém o caminho absoluto e o nome do arquivo de resposta, e <ARQUIVO_DE_REGISTRO> contém o caminho absoluto e o nome do arquivo de registro.
Por exemplo, setup.exe -s -f1"c:\temp\setup.iss" -f2".\setup.log" executa a instalação, pegando a entrada de setup.iss no diretório c:\temp, e grava o resultado no arquivo setup.log no mesmo diretório de setup.exe.
Verifique se a instalação silenciosa foi bem-sucedida verificando o conteúdo de setup.log. Deverá aparecer uma seção do resultado com o seguinte:
[ResultadodaResposta]
ResultCode=0
Um valor de 0 para ResultCode indica que a instalação foi executada com êxito. Um valor diferente de zero indica falha. Os valores de ResultCode possíveis são:
O código de erro de instalação mais comum visto é -12. Uma condição de erro geralmente exibe uma caixa de diálogo de mensagem de erro exigindo a entrada do usuário, como "Clique em OK" para confirmar o erro. Uma vez que a resposta não está no arquivo de respostas, o processo de instalação silenciosa assume que o arquivo de resposta tem as caixas de diálogo fora de ordem e, portanto, relata erro -12.
Um arquivo de lote pode ser usado para automatizar posteriormente o processo de instalação silenciosa. Por exemplo, você poderia criar o seguinte install.bat no subdiretório DISK1: setup.exe -s -f1"c:\vpninst\disk1\response.txt" -f2"c:\temp\vpninst.log" rem. Isso assume que o cliente VPN foi extraído em c:\vpninst. rem. Poderia ser em uma unidade de rede ou em outro lugar. Não coloque um espaço entre -f1 e a aspa. Se o ícone de login do VPN aparecer na área de trabalho, reinicialize e a instalação do cliente VPN será finalizada.
Se você tiver um arquivo chamado vpnconfig.txt no seu diretório Disk1 de instalação de cliente VPN, o programa de instalação pegará os endereços de servidor VPN, modo de autenticação, endereço IP de servidor NetWare, seqüências NMAS e contexto de eDirectory, para habilitar ou não o login do eDirectory e assim por diante a partir desse arquivo. O programa, em seguida, os atualizará no registro da estação de trabalho.
Um arquivo vpnconfig.txt de exemplo é incluído em Disk 1. Você pode modificar esse arquivo de acordo com os requisitos de sua empresa.
Se seu servidor VPN for seu firewall, então os filtros de exceção já estarão configurados para permitir a passagem desse tráfego. Os filtros precisam ser atualizados durante a configuração do VPN.
Consulte os documentos a seguir para obter informações detalhadas sobre o Novell BorderManager 3.9 no site de documentação da Novell na Web:
Nesta documentação, o símbolo maior que (>) é utilizado para separar ações dentro de uma etapa e itens em um caminho de referência cruzada.
Para obter a documentação e o Readme mais recentes do Cliente VPN do Novell BorderManager 3.9 on Linux, consulte o site de documentação da Novell na Web.
A Novell, Inc. não faz representações ou garantias com relação ao conteúdo ou uso desta documentação, e, particularmente, não se responsabiliza por quaisquer garantias expressas ou implícitas de comerciabilidade ou adequação a qualquer finalidade específica. Além disso, a Novell, Inc. reserva-se o direito de revisar esta publicação e fazer alterações em seu conteúdo, a qualquer momento, sem a obrigação de notificar qualquer pessoa ou entidade de tais revisões ou alterações.
A Novell, Inc. não faz ainda representações ou garantias com relação a qualquer software e, particularmente, não se responsabiliza por quaisquer garantias expressas ou implícitas de comerciabilidade ou adequação a qualquer finalidade específica. Além disso, a Novell, Inc. reserva o direito de fazer alterações em qualquer uma ou todas as partes do software da Novell, a qualquer momento, sem a obrigação de notificar qualquer pessoa ou entidade de tais alterações.
Quaisquer informações técnicas ou sobre produtos fornecidas de acordo com este Contrato estão sujeitas aos controles de exportação dos EUA e às leis comerciais de outros países. Você concorda em obedecer a todos os regulamentos de controle de exportação e em adquirir quaisquer licenças ou classificações necessárias para exportar, reexportar ou importar produtos. Você concorda em não exportar nem reexportar para entidades que constam nas listas de exclusão de exportação atual dos EUA ou para qualquer país embargado ou terrorista conforme especificado nas leis de exportação dos EUA. Você concorda em não usar produtos para fins proibidos relacionados a armas nucleares, biológicas e químicas ou mísseis. Consulte a página da Web Novell International Trade Services para obter mais informações sobre como exportar softwares da Novell. A Novell não se responsabiliza pela falha na aquisição de quaisquer aprovações necessárias para exportação.
Copyright © 1997-2007 Novell, Inc. Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida, fotocopiada, armazenada em um sistema de recuperação ou transmitida sem o consentimento expresso por escrito do editor. A Novell, Inc. tem direitos de propriedade intelectual relacionados à tecnologia incorporada no produto descrito neste documento. Especificamente e sem limitações, esses direitos de propriedade intelectual podem incluir uma ou mais das patentes dos E.U.A. listadas na página de patentes legais da Novell na Web e um ou mais patentes adicionais ou aplicativos de patentes pendentes nos E.U.A. e em outros países.
Para as marcas registradas da Novell, consulte a Lista de Marcas Registradas e Marcas de Serviço da Novell.
Todas as marcas registradas de terceiros pertencem aos seus respectivos proprietários.