Die Novell® BorderManager® VPN-Client-Software ermöglicht einer Arbeitsstation die sichere Kommunikation mit einem durch einen Novell-VPN-Server geschützten Netzwerk über das Internet.
Im Folgenden werden die neuen Funktionen von Novell BorderManager 3.9 VPN Client für Windows aufgeführt*:
Client-Änderungen: Der Client unterstützt den Hybrid-Schlüssel und den vorinstallierten Schlüssel im Xauth-Authentifizierungsmodus.
Änderungen an der Client-Schnittstelle: Die Optionsfelder zur Auswahl des Authentifizierungsmodus wurden durch Dropdown-Felder ersetzt.
Der Novell BorderManager 3.9 VPN-Client stellt dem Benutzer ein X.509-Zertifikat zur Durchführung der Authentifizierung im IKE-Hauptmodus bereit. Das Zertifikat sollte auf die lokale Arbeitsstation kopiert werden (<Laufwerk>:\novell\vpnc\certificates\users) von der aus die VPN-Software auszuführen ist.
Der Novell Modular Authentication Service (NMASTM) ist in den Novell VPN-Client integriert. NMAS arbeitet mit Novell Client zusammen. Installieren Sie Novell Client, um die NMAS-Funktionalität nutzen zu können.
Wählen Sie auf der Registerkarte "Konfiguration" die Option "NMAS" aus und geben Sie auf der Registerkarte "eDirectory" die NMAS-Benutzerinformationen und -berechtigungen ein. Geben Sie auf der Registerkarte "VPN" die IP-Adresse und NMAS-Sequenz des VPN-Servers ein (z. B. NDS/eDirectory, Universal Smart Card, einfaches Passwort).
Wählen Sie "NMAS" und anschließend auf der Registerkarte "Konfiguration" das Feld "LDAP". Wechseln Sie zur Registerkarte "VPN" und geben Sie die IP-Adresse des VPN-Servers und den LDAP-Benutzer-DN ein (z. B. CN=Admin,O=Novell). Die LDAP-Methode öffnet ein Dialogfeld zur Eingabe der Berechtigungen.
Wählen Sie auf der Registerkarte "Konfiguration" den Abwärtskompatibilitätsmodus aus. Geben Sie die eDirectory-Berechtigungen auf der Registerkarte "eDirectory" ein. In diesem Modus kann der Novell BorderManager 3.9-Client mit Novell BorderManager 3.8 kommunizieren. Die ActiveCard-Token-Authentifizierung ist aktiviert, wenn NMAS auf dem Client installiert ist. Die ActiveCard-Token-Authentifizierung funktioniert, wenn die ActiveCard-Token-Methode für den Benutzer in eDirectory konfiguriert ist. Auf der Registerkarte "VPN" sind die Berechtigungen für die ActiveCard-Token-Beglaubigung erforderlich.
Wählen Sie auf der Registerkarte "Konfiguration" den vorinstallierten Authentifizierungsmodus aus. Öffnen Sie die Registerkarte "VPN" und geben Sie das Passwort für den im VPN-Server konfigurierten vorinstallierten Schlüssel ein.
Geben Sie die IP-Adresse des VPN-Servers, den Benutzernamen, das Passwort und den vorinstallierten Schlüssel ein. Der Benutzername muss im vollständigen DNS-Namensformat angegeben werden. Beispiel: user3.novlcontext.
Der vorinstallierte Schlüssel wird für die IKE phase1-Authentifizierung verwendet. Derselbe vorinstallierte Schlüssel sollte auch auf dem Server konfiguriert werden.
HINWEIS: Stellen Sie beim Herstellen einer Verbindung mit dem Novell BorderManager-Server im Richtlinieneditor den IKE-Modus auf den Hauptmodus ein und setzen Sie den Parameter "PFS=yes".
Geben Sie die IP-Adresse des VPN-Servers, den Benutzernamen und das Passwort ein. Der Benutzer muss das dem Server entsprechende Zertifikat mit Herkunftsverbürgung kopieren.
HINWEIS: Der Xauth-Hybrid-Modus wird nur im aggressiven Modus unterstützt. Dieser Modus wird im Richtlinieneditor aktiviert.
Diese Novell VPN-Client-Version kann in Novell Client für Windows 98, Windows NT, Windows 2000, Windows XP Professional oder Windows XP Home integriert werden. Starten Sie den Computer nach der Installation des neuen VPN-Clients neu. Beim Neustart wird der VPN-Client in Novell Client integriert. Nach dem Neustart wird auf dem Novell-Anmeldebildschirm die Dropdown-Liste "Standort" angezeigt. Die Liste enthält sowohl den Standardeintrag als auch einen Eintrag für die VPN-Funktionen. Je nach auszuführender Operation können Sie einen beliebigen Standort wählen.
Vier neue Registerkarten stehen zur Verfügung, die in einer Service-Instanz durch Auswahl der Novell Client32-Eigenschaften konfiguriert werden können. Die vier Registerkarten bieten folgende Funktionalität:
Novell Client ab Version 4.91 aktualisiert den NMAS-Client auf Version 3.0. Wenn der VPN-Client nach Novell Client installiert wird und Sie zum gleichen Zeitpunkt den NMAS-Client installieren, funktioniert NMAS nicht mit Novell Client 4.91. Gehen Sie wie folgt vor, um Novell Client 4.91 zu verwenden:
In dieser Version des VPN-Client für Windows 98, Windows NT, Windows 2000 und Windows XP wird die NICI-(128-Bit-)Verschlüsselung verwendet, da für NICI keine Exportbeschränkungen gelten.
Der VPN-Client erfordert "Kernel-NICI" (NICI 1.7.0) für die kryptographischen Anforderungen der vptunnel.sys des Kernel-Moduls und "Benutzer-NICI" (NICI 2.6.0) für die kryptographischen Anforderungen von Benutzerplatzmodulen wie z. B. ikeapp.exe und vpnlogin.exe. Wenn NICI 1.7.0 (128-Bit-Version) nicht installiert ist, wird es vom VPN-Setup-Programm installiert. Diese Version von NICI überschreibt NICI 1.5.7 (56-Bit) oder NICI 1.5.3 (56/128-Bit), jedoch nicht NICI 2.6.0. Ist NICI 2.6.0 installiert, wird NICI 1.7.0 installiert und 2.6.0 bleibt vorhanden.
Unter Windows 98 und Windows Me können Sie Einwähleinträge jedes beliebigen Servertyps auswählen. In früheren Versionen (bei Novell BorderManager Enterprise Edition 3.0) war nur die Auswahl von Einwähleinträgen des Typs "Novell Virtual Private Network" möglich. Alle Einträge müssen so konfiguriert werden, dass sie nur TCP/IP-Verbindungen aushandeln. Wenn Sie den VPN-Client über das DFÜ-Netzwerk und nicht über VPNLogin.exe aufrufen möchten, muss der Einwähleintrag, den Sie für das DFÜ-Netzwerk auswählen, dem Servertyp "Novell Virtual Private Network" entsprechen. Andernfalls wird VPNLogin.exe nach dem Herstellen der Einwählverbindung nicht aufgerufen.
Unter Windows NT können Sie Einwähleinträge jedes beliebigen Servertyps auswählen. Unter Windows NT steht der Servertyp "Novell Virtual Private Network" in der DFÜ-Netzwerk-Auswahl nicht zur Verfügung.
Besteht eine Einwählanforderung, installieren Sie das DFÜ-Netzwerk vor dem VPN-Client.
Wenn Sie die Einwähleinträge über VPNLogin.exe auswählen, sollten Sie Einträge auswählen, die nicht die PPP-Komprimierung (Point-to-Point-Protokoll) aktivieren. Die Komprimierung verschlüsselter Daten führt zu unnötig erhöhter CPU-Belastung, wobei die Größe der versendeten Pakete jedoch nicht weiter verringert wird.
Installieren Sie das Modem und anschließend den VPN-Client.
Während der Installation des VPN-Clients werden automatisch Novell VPN-Einwähleinträge erstellt, wenn Sie sich für die Verwendung von DFÜ-Netzwerk entscheiden.
Bei der VPN-Client-Anmeldung wird der eDirectory-Benutzer benachrichtigt, wenn das eDirectory-Passwort des Benutzers abgelaufen ist und Kulanzanmeldungen verwendet werden. Der Benutzer hat außerdem die Möglichkeit, während der VPN-Client-Anmeldung das eDirectory-Passwort zu ändern. Der Zugriff auf diese Option ist auch über das VPN-Client-Symbol auf der Taskleiste möglich. Die Option zum Ändern des Passworts ist nur verfügbar, wenn der Benutzer in der VPN Client-Anwendung für die VPN/NetWare-Anmeldung eDirectory-Berechtigungen verwendet. Bei einer kontextlosen Anmeldung schlägt die Funktion "Passwort ändern" fehl. Hierfür sind ausschließlich eDirectory-Benutzerberechtigungen erforderlich.
Die vom Administrator in eDirectory angegebene Richtlinie (Verkehrsregel) wird auf den Client angewandt. Ändert sich eine Richtlinie für einen bestimmten VPN-Benutzer während einer aktiven VPN-Sitzung, treten die Änderungen erst bei der nächsten Sitzung in Kraft.
Die Funktion zur automatischen Installation ermöglicht die Durchführung der Installation ohne Benutzereingaben. Bei Auswahl der Einwähloption müssen u. U. einige Schritte vom Benutzer ausgeführt werden, wenn auf der Arbeitsstation nicht alle DFÜ-Netzwerk- oder RAS-Komponenten installiert sind.
Um diese Funktion zu nutzen, führen Sie setup.exe mit einem Schalter zum Erstellen einer Antwortdatei aus, die die Antworten auf alle Fragen enthält, die in der Regel während der Installation gestellt werden. Da dies die Auswahl des Einwähl-Client, des LAN-Client oder beider Clients beinhaltet, müssen Sie möglicherweise mehrere Antwortdateien auf der Grundlage der Benutzeranforderungen erstellen.
Nach dem Erstellen der Antwortdatei können Sie setup.exe mit einem anderen Schalter ausführen, der die Verwendung der Antwortdatei veranlasst, sodass für die Installation nur wenige Eingriffe seitens des Benutzers erforderlich sind. Es gibt auch einen Switch, der eine Protokolldatei für die automatische Installation erstellt. Dieser kann zur Verifizierung einer erfolgreichen Installation oder zur Diagnose der Ursachen für eine fehlgeschlagene Installation verwendet werden. Nachfolgend finden Sie Beispiele zur Verwendung dieser Switches.
Automatische Installationen sind oft auf Arbeitsstationen erforderlich, auf denen unterschiedliche Windows-Versionen ausgeführt werden. Wurde Windows oder Novell Client von CD installiert, wird bei der Installation des VPN-Client nach diesen Installations-CDs gefragt. Da die Antworten auf die Eingabeaufforderungen bei der Installation von der installierten Windows-Version abhängen, erstellen Sie eine Antwortdatei, die den Benutzer bei Bedarf nach diesen Installations-CDs fragt.
So erstellen Sie diese Art von Antwortdatei:
Führen Sie eine normale Installation des VPN-Client aus, ohne die Antwortdatei zu erstellen. Während der Installation werden Sie möglicherweise nach Windows- bzw. Novell Client-CD-ROMs gefragt. Fahren Sie wie gewöhnlich mit der Installation fort.
Führen Sie nach dem Neustart noch einmal setup.exe aus und erstellen Sie die Antwortdatei. Bei dieser Neuinstallation werden Sie nicht nach den Windows- oder Novell Client-Installations-CDs gefragt. Die erstellte Antwortdatei kennt die Antwort also nicht, wenn bei der Benutzerinstallation nach der Windows- oder Novell Client-CD gefragt wird. Da in der Antwortdatei keine Antwort vorhanden ist, wird der Benutzer bei Bedarf nach den Windows- oder Novell-Client-CD-ROMs gefragt.
Führen Sie die Installation auf einer Arbeitsstation ohne installierten VPN-Client im automatischen Modus aus, um zu überprüfen, ob die Antwortdatei funktioniert. Die Installationsprotokolldatei sollte ResultCode=0 anzeigen.
Die automatische Installation kann nur mit setup.exe im Verzeichnis "disk1" ausgeführt werden. Die automatische Installation funktioniert nicht mit der selbstextrahierenden EXE-Datei. Die automatische Installation wird durch Ausführen von setup.exe im Verzeichnis "disk1" mit bestimmten Befehlszeilenoptionen aktiviert. Folgende Optionen sind für setup.exe verfügbar:
Je nachdem, welche der beiden Optionen verwendet wird, können die Optionen "–f1" und "–f2" zum Festlegen der Dateinamen verwendet werden.
So verwenden Sie die automatische Installationsfunktion
Erstellen Sie eine Antwortdatei, indem Sie von disk1 der VPN-Client-CD-ROMs aus folgenden Befehl eingeben:
setup.exe -r -f1"<ANTWORTDATEI>"
<ANTWORTDATEI> enthält den absoluten Pfad und Namen der Antwortdatei. Die Option -f1"<ANTWORTDATEI>" kann weggelassen werden. In solchen Fällen wird im Windows- oder WinNT-Verzeichnis eine Antwortdatei mit dem Namen SETUP.ISS erstellt.
Beispiel,
Zum Beispiel führt setup.exe -r -f1"c:\temp\setup.iss" die Installation aus und speichert die Eingabe in c:\temp\setup.iss
Wenn die Switches "-f1" und "-f2" verwendet werden, darf vor dem Anführungszeichen kein Leerschritt stehen. Beispiel: -f1 "Dateiname" funktioniert nicht. -f1"dateiname" funktioniert.
Führen Sie die Installation auf der Grundlage von zuvor erfassten Eingaben aus, indem Sie folgenden Befehl aus disk1 der VPN-Client-CD-ROMs eingeben.
setup.exe -s -f1"<ANTWORTDATEI>" -f2"<PROTOKOLLDATEI>"
wobei <ANTWORTDATEI> den absoluten Pfad und Namen der Antwortdatei und <PROTOKOLLDATEI> den absoluten Pfad und Namen der Protokolldatei enthält.
Beispiel: setup.exe -s -f1"c:\temp\setup.iss" -f2".\setup.log" führt die Installation aus, übernimmt die Eingabe aus setup.iss im Verzeichnis c:\temp, und zeichnet das Ergebnis in der Datei setup.log im Verzeichnis, in dem auch setup.exe enthalten ist, aus.
Verifizieren Sie den erfolgreichen Abschluss der automatischen Installation durch Überprüfen des Inhalts von setup.log. Es sollte der folgende Ergebnisabschnitt angezeigt werden:
[ResponseResult]
ResultCode=0
Ein Wert von 0 für ResultCode zeigt, dass die Installation erfolgreich war. Ein von Null abweichender Wert weist auf Fehler hin. Die möglichen ResultCode-Werte sind:
Der häufigste Installationsfehlercode ist -12. Die Fehlerbedingung zeigt in der Regel ein Dialogfeld mit einer Fehlermeldung an, die eine Benutzereingabe erfordert, z. B. die Kenntnisnahme des Fehlers durch Klicken auf "OK". Da diese Antwort nicht in der Antwortdatei vorhanden ist, wird während der automatischen Installation davon ausgegangen, dass die Dialogfelder der Antwortdatei in einer anderen Reihenfolge angeordnet sind. Daher wird die Fehlermeldung -12 angezeigt.
Mit einer Stapeldatei kann der Vorgang der automatischen Installation noch weiter automatisiert werden. So können Sie beispielsweise die folgende Datei install.bat im DISK1-Unterverzeichnis erstellen: setup.exe -s -f1"c:\vpninst\disk1\response.txt" -f2"c:\temp\vpninst.log" rem. Hierbei wird vorausgesetzt, dass der VPN-Client aus c:\vpninst extrahiert wurde. rem. Er könnte sich in einem Netzlaufwerk oder in einem beliebigen anderen Verzeichnis befinden. Fügen Sie zwischen -f1 und dem Anführungszeichen keinen Leerschritt ein. Wird auf dem Desktop das Symbol zur VPN-Anmeldung angezeigt, starten Sie neu. Hiermit ist die VPN-Client-Installation abgeschlossen.
Enthält das Installationsverzeichnis "Disk1" des VPN-Client eine Datei namens "vpnconfig.txt", übernimmt das Installationsprogramm aus dieser Datei VPN-Server-Adressen, den Authentifizierungsmodus, NetWare-Server-IP-Adressen, NMAS-Squenzen, den eDirectory-Kontext, die Aktivierung oder Deaktivierung der eDirectory-Anmeldung usw. Das Programm aktualisiert daraufhin mit diesen Informationen die Registrierung.
Eine vpnconfig.txt-Beispieldatei finden Sie auf Disk1. Diese Datei können Sie an die Anforderungen Ihres Unternehmens anpassen.
Wenn der VPN-Server Ihre Firewall darstellt, sind die Ausnahmefilter bereits so konfiguriert, dass sie diesen Datenverkehr durchlassen. Während der VPN-Konfiguration müssen Filter aktualisiert werden.
Lesen Sie die folgenden Dokumente auf der Dokumentations-Website von Novell, wenn Sie genauere Informationen zu Novell BorderManager 3.9 Client benötigen:
In dieser Dokumentation trennt das Größer-als-Zeichen (>) Aktionen innerhalb eines Schritts und Elemente in einem Querverweispfad voneinander.
Die neuesten Dokumentationen und Readmes zu Novell BorderManager 3.9 Client unter Linux finden Sie auf der Dokumentations-Website von Novell.
Novell, Inc. übernimmt für Inhalt oder Verwendung dieser Dokumentation keine Haftung und schließt insbesondere jegliche ausdrücklichen oder impliziten Gewährleistungsansprüche bezüglich der Marktfähigkeit oder Eignung für einen bestimmten Zweck aus. Novell, Inc. behält sich das Recht vor, dieses Dokument jederzeit teilweise oder vollständig zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen davon in Kenntnis zu setzen.
Novell, Inc. gibt ebenfalls keine Erklärungen oder Garantien in Bezug auf Novell-Software und schließt insbesondere jegliche ausdrückliche oder stillschweigende Garantie für handelsübliche Qualität oder Eignung für einen bestimmten Zweck aus. Außerdem behält sich Novell, Inc. das Recht vor, Novell-Software jederzeit ganz oder teilweise zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen von diesen Änderungen in Kenntnis zu setzen.
Alle im Zusammenhang mit dieser Vereinbarung zur Verfügung gestellten Produkte oder technischen Informationen unterliegen möglicherweise den US-Gesetzen zur Exportkontrolle sowie den Handelsgesetzen anderer Länder. Sie stimmen zu, alle Gesetze zur Exportkontrolle einzuhalten, und alle für den Export, Reexport oder Import von Lieferungen erforderlichen Lizenzen oder Klassifikationen zu erwerben. Sie erklären sich damit einverstanden, nicht an juristische Personen, die in der aktuellen US-Exportausschlussliste enthalten sind, oder an in den US-Exportgesetzen genannte terroristische Länder oder Länder, die einem Embargo unterliegen, zu exportieren oder zu reexportieren. Sie stimmen zu, keine Lieferungen für verbotene nukleare oder chemisch-biologische Waffen oder Waffen im Zusammenhang mit Flugkörpern zu verwenden. Weitere Informationen zum Exportieren von Novell-Software finden Sie auf der Webseite Novell International Trade Services. Novell übernimmt keine Verantwortung für das Nichteinholen notwendiger Exportgenehmigungen.
Copyright © 1997-2007 Novell, Inc. Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche Genehmigung des Herausgebers darf kein Teil dieser Veröffentlichung reproduziert, fotokopiert, übertragen oder in einem Speichersystem verarbeitet werden. Novell, Inc. besitzt gewerbliche Schutzrechte für die Technologie, die in dem in diesem Dokument beschriebenen Produkt integriert ist. Diese Rechte auf geistiges Eigentum umfassen möglicherweise insbesondere ein oder mehrere Patente in den USA, die auf der Novell-Webseite Novell Legal Patents aufgeführt sind, sowie ein oder mehrere andere Patente oder laufende Patentanträge in den USA und in anderen Ländern
Novell-Marken finden Sie in der Liste der Novell-Marken.
Die Rechte für alle Marken von Drittanbietern liegen bei den jeweiligen Eigentümern.