Le logiciel de client VPN (Virtual Private Network) Novell® BorderManager® permet à un poste de travail de communiquer en toute sécurité via Internet avec un réseau protégé par un serveur VPN Novell.
Vous trouverez ci-après la liste des nouvelles fonctionnalités du client VPN de Novell BorderManager 3.9 pour Windows* :
Changements client : une clé hybride et pré-partagée est prise en charge par le client dans le mode d'authentification xauth.
Changements de l'interface du client : les boutons radio ont été remplacés par des listes déroulantes pour la sélection du mode d'authentification.
Le client VPN Novell BorderManager 3.9 fournit à l'utilisateur un certificat X.509 lui permettant d'utiliser le mode d'authentification principal IKE. Le certificat doit être copié sur le poste de travail local (<lecteur>:\novell\vpnc\certificates\users) à partir duquel le logiciel VPN doit être exécuté.
Le client VPN de Novell est intégré à NMASTM (Novell Modular Authentication Services). NMAS fonctionne avec le client Novell. Installez le client Novell pour tirer parti de la fonctionnalité NMAS.
Sélectionnez l'option NMAS de l'onglet Configuration, puis fournissez les informations et les références sur l'utilisateur NMAS dans l'onglet eDirectory. Dans l'onglet VPN, indiquez l'adresse IP du serveur VPN et la séquence NMAS (par exemple NDS/eDirectory, Universal Smart Card, mot de passe simple).
Sélectionnez NMAS, puis cochez l'option LDAP dans l'onglet Configuration. Rendez-vous sur l'onglet VPN et indiquez l'adresse IP et le DN d'utilisateur LDAP (par exemple, CN=Admin, O=Novell) du serveur VPN. La méthode LDAP affiche une boîte de dialogue pour la référence.
Sélectionnez le mode de compatibilité avec les versions précédentes dans l'onglet Configuration. Indiquez les références eDirectory dans l'onglet eDirectory. Dans ce mode, le client Novell BorderManager 3.9 peut communiquer avec Novell BorderManager 3.8. L'authentification par jeton ActiveCard est activée si NMAS est installé sur le client. La méthode d'authentification par jeton ActiveCard fonctionne si la méthode de jeton ActiveCard est configurée pour l'utilisateur dans eDirectory. L'onglet VPN requiert des références pour la méthode de jeton ActiveCard.
Sélectionnez le mode d'authentification pré-partagée sur l'onglet Configuration. Rendez-vous sur l'onglet VPN et indiquez un mot de passe pour la clé pré-partagée configurée dans le serveur VPN.
Indiquez l'adresse IP, le nom d'utilisateur, le mot de passe et la clé pré-partagée du serveur VPN. Le nom de l'utilisateur est au format DN complet. Par exemple, user3.novlcontext.
La clé pré-partagée est utilisée pour l'authentification IKE phase1. La même clé pré-partagée doit être configurée sur le serveur.
Remarque : lors de la connexion au serveur Novell BorderManager, utilisez l'éditeur de stratégie pour placer le mode IKE en mode principal avec PFS=yes.
Indiquez l'adresse IP, le nom d'utilisateur et le mot de passe du serveur VPN. L'utilisateur doit copier le certificat racine approuvé correspondant au serveur.
Remarque : le mode Xauth hybride est pris en charge en mode agressif seulement. Cela s'active dans l'éditeur de stratégie.
Cette version du client VPN de Novell peut s'intégrer au client Novell pour Windows 98, Windows NT, Windows 2000, Windows XP Professionnel ou Windows XP Édition familiale. Redémarrez la machine après l'installation du nouveau client VPN. Au cours du redémarrage, le client VPN est intégré au client Novell. Lorsque le système est lancé, l'écran de login Novell comporte une liste déroulante Emplacement. Cette liste contient l'entrée par défaut ainsi qu'une entrée pour les fonctions VPN. Vous pouvez sélectionner l'emplacement de votre choix, en fonction de l'opération à effectuer.
Dans une instance du service, vous pouvez configurer les quatre nouveaux onglets disponibles en sélectionnant Propriétés du client Novell (Client32). La fonction des quatre onglets est la suivante :
La version 4.91 ou une version ultérieure du client Novell met à jour le client NMAS vers la version 3.0. Si le client VPN est installé après l'installation du client Novell et que vous décidez d'installer le client NMAS à ce moment-là, NMAS ne fonctionne pas avec le client Novell 4.91. Pour utiliser le client Novell 4.91, optez pour l'une des solutions suivantes :
Cette version du client VPN pour Windows 98, Windows NT, Windows 2000 et Windows XP utilise le codage NICI (128 bits) car celui-ci n'implique pas de restriction d'exportation.
Le client VPN a besoin de "kernel NICI" (NICI 1.7.0) pour les besoins cryptographiques du module de noyau vptunnel.sys et de "user NICI" (NICI 2.6.0) pour les besoins cryptographiques des modules d'espace utilisateur tels que ikeapp.exe et vpnlogin.exe. Si nécessaire, le programme d'installation VPN installe NICI 1.7.0 (version 128 bits). Cette version de NICI écrase NICI 1.5.7 (56 bits) ou NICI 1.5.3 (56/128 bits), mais pas NICI 2.6.0. Si NICI 2.6.0 est installé, NICI 1.7.0 et 2.6.0 coexisteront.
Sous Windows 98 et Windows Me, vous pouvez sélectionner une entrée de connexion à distance de tout type de serveur. Avec Novell BorderManager Enterprise Edition 3.0, vous pouviez uniquement sélectionner des entrées d'accès à distance du type VPN Novell. Toutes les entrées doivent être configurées de façon à ne négocier que des connexions TCP/IP. Si vous voulez appeler le client VPN à partir de l'Accès réseau à distance au lieu de vpnlogin.exe, l'entrée de connexion à distance que vous sélectionnez dans l'Accès réseau à distance doit avoir pour type de serveur Novell Virtual Private Network, sinon vpnlogin.exe n'est pas lancé après que la connexion à distance a été établie.
Sous Windows NT, vous pouvez sélectionner une entrée de connexion à distance de tout type de serveur. Le type de serveur VPN (Virtual Private Network) Novell ne peut pas être sélectionné dans l'Accès réseau à distance sous Windows NT.
Si une connexion à distance est requise, installez l'Accès réseau à distance avant d'installer le client VPN.
Lorsque vous sélectionnez vos entrées d'accès à distance à partir de VPNLogin.exe, choisissez des entrées qui n'activent pas la compression PPP (Point-to-Point Protocol – Protocole point à point). La compression des données qui ont été cryptées engendre une surcharge inutile de l'UC et ne permet pas de réduire la taille des paquets envoyés.
Installez le modem, puis le client VPN.
Durant l'installation du client VPN, si vous choisissez d'utiliser l'accès réseau à distance, cette installation crée automatiquement une entrée à distance Novell VPN.
Durant le login de client VPN, l'utilisateur eDirectory est informé si son mot de passe eDirectory a expiré et si des logins bonus sont utilisés. L'utilisateur a également la possibilité de modifier le mot de passe eDirectory durant le login de client VPN. Cette option est également disponible via l'icône de la barre d'état système du client VPN. L'option de changement du mot de passe est uniquement visible pour l'utilisateur s'il emploie des références eDirectory pour le login VPN/NetWare à partir de l'application de client VPN. Le changement de mot de passe échoue en cas de login sans contexte. Il requiert toutes les références utilisateur eDirectory.
La stratégie (règle de trafic) spécifiée par l'administrateur dans eDirectory s'applique au client. Si une stratégie est modifiée pour cet utilisateur VPN alors qu'une session VPN est active, les modifications n'apparaissent qu'à la prochaine session.
La fonction d'installation silencieuse permet d'effectuer la procédure d'installation sans intervention de l'utilisateur. Si l'option Accès à distance est sélectionnée, une intervention de l'utilisateur sera requise si l'Accès réseau à distance ou les composants du serveur d'accès à distance (RAS) ne sont pas installés sur le poste de travail.
Pour utiliser cette fonction, lancez setup.exe avec un paramètre permettant de créer un fichier de réponses, qui contient toutes les réponses aux questions normalement posées durant l'installation. Étant donné que cela comprend la sélection du client de connexion à distance, du client LAN ou des deux, vous pouvez être amené à créer plusieurs fichiers de réponses en fonction des besoins utilisateur.
Lorsque le fichier de réponses est créé, vous pouvez exécuter setup.exe avec un autre paramètre, afin d'utiliser le fichier de réponses et limiter au minimum les interventions de l'utilisateur durant l'installation. Il existe également un paramètre qui permet de créer un fichier journal pour l'installation silencieuse. Celui-ci permet de vérifier le bon déroulement de l'installation ou de diagnostiquer la cause de son échec. La procédure ci-dessous fournit des exemples sur l'utilisation de ces paramètres.
Vous pouvez fréquemment être amené à effectuer une installation silencieuse sur des postes de travail dotés de différentes versions de Windows. Si Windows ou le client Novell a été installé à partir d'un CD, l'installation du client VPN demandera le CD d'installation. Dans ce cas, les réponses aux questions de la procédure d'installation dépendent de la version de Windows installée. C'est pourquoi il est recommandé de créer un fichier de réponses qui demande les CD d'installation à l'utilisateur si nécessaire.
Pour créer ce type de fichier réponse :
Procédez à une installation normale du client VPN sans créer de fichier de réponses. La procédure d'installation peut demander le CD de Windows et/ou du client Novell. Poursuivez l'installation normalement.
Après le redémarrage, exécutez à nouveau setup.exe et créez le fichier de réponses. La réinstallation ne demandera pas les CD d'installation de Windows ou du client Novell. Aussi, le fichier de réponses généré ne saura pas quoi répondre lorsque l'installation utilisateur demandera le CD de Windows ou du client Novell. En l'absence de réponse dans le fichier correspondant, les CD de Windows ou du client Novell peuvent, le cas échéant, être demandés à l'utilisateur.
Pour vérifier que le fichier de réponses fonctionne correctement, exécutez l'installation en mode silencieux sur un poste de travail où le client VPN n'est pas installé. Le fichier journal de l'installation doit afficher ResultCode=0.
La fonction d'installation silencieuse fonctionne uniquement avec le fichier setup.exe se trouvant dans le répertoire disk1. Elle ne fonctionne pas avec le fichier exe auto-extractible. Pour activer la fonction d'installation silencieuse, exécutez le fichier setup.exe du répertoire disk1 avec des options de ligne de commande. Les options disponibles sont :
En fonction de l'option utilisée, les paramètres -f1 et -f2 peuvent servir à définir des noms de fichier.
Pour utiliser la fonction d'installation silencieuse :
Créez un fichier réponse en entrant la commande suivante à partir du répertoire disk1 du client VPN :
setup.exe -r -f1"<FICHIER_RÉPONSE>"
où <FICHIER_RÉPONSE> contient le chemin absolu et le nom du fichier réponse. L'option -f1"<FICHIER_RÉPONSE>" n'est pas obligatoire. En son absence, un fichier de réponses intitulé setup.iss est créé dans le répertoire Windows ou WinNT.
Exemples
setup.exe -r -f1"c:\temp\setup.iss" exécute l'installation et enregistre l'entrée dans c:\temp\setup.iss.
lors de l'utilisation des paramètres -f1 et -f2, n'entrez pas d'espace avant le guillemet. Par exemple : -f1 "nom de fichier" ne fonctionne pas. -f1"nom de fichier" fonctionne.
Exécutez l'installation sur la base des saisies précédemment capturées, en lançant la commande suivante depuis disk1 sur le client VPN.
setup.exe -s -f1"<FICHIER_RÉPONSE>" -f2"<FICHIER_JOURNAL>"
où <FICHIER_RÉPONSE> contient le contient le chemin d'accès absolu et le nom du fichier de réponse et <FICHIER_JOURNAL> le chemin d'accès absolu et le nom du fichier journal.
Par exemple, setup.exe -s -f1"c:\temp\setup.iss" -f2".\setup.log" exécute l'installation en utilisant les saisies du fichier setup.iss dans le répertoire c:\temp et enregistre le résultat dans le fichier setup.log dans le répertoire où se trouve setup.exe.
Vérifiez que l'installation silencieuse s'est bien déroulée en consultant le contenu du fichier setup.log. Vous devez y trouver une section de résultat semblable à ce qui suit :
[ResponseResult]
ResultCode=0
La valeur 0 pour ResultCode indique que l'installation a réussi. Une valeur autre que zéro indique qu'elle a échoué. Les valeurs possibles pour ResultCode sont :
Le code d'erreur d'installation affiché le plus couramment est -12. Une condition d'erreur affiche généralement une boîte de dialogue de message d'erreur qui requiert une entrée de l'utilisateur, par exemple le fait de cliquer sur OK pour confirmer l'erreur. Quand la réponse ne se trouve pas dans le fichier de réponses, le processus d'installation silencieuse suppose que les boîtes de dialogue sont déclassées et signale l'erreur -12.
Un fichier de traitement par lots peut être utilisé pour automatiser le processus d'installation silencieuse. Vous pouvez, par exemple, créer le fichier install.bat suivant dans le sous-répertoire DISK1 : setup.exe -s -f1"c:\vpninst\disk1\response.txt" -f2"c:\temp\vpninst.log" rem. Cela suppose que le client VPN a été extrait vers c:\vpninst. rem. Il peut se trouver sur un lecteur du réseau ou ailleurs. N'insérez pas d'espace entre -f1 et le guillemet. Si l'icône de login du VPN apparaît sur votre bureau, redémarrez et l'installation du client VPN sera achevée.
Si un fichier nommé vpnconfig.txt se trouve dans le répertoire d'installation Disk1 de votre client VPN, le programme d'installation utilisera les informations de ce fichier (adresses de serveur VPN, mode d'authentification, adresse IP du serveur NetWare, séquences NMAS, contexte eDirectory) pour activer ou non le login eDirectory, etc. Ensuite, le programme met à jour ces éléments dans le registre du poste de travail.
Un échantillon de fichier vpnconfig.txt est fourni sur Disk1. Vous pouvez modifier ce fichier en fonction des besoins de votre entreprise.
Si votre serveur VPN est votre pare-feu, les filtres d'exception sont déjà configurés pour permettre le passage de ce trafic. Les filtres doivent être mis à jour durant la configuration du VPN.
Reportez-vous à la documentation suivante pour des informations plus détaillées sur Novell BorderManager 3.9, disponible sur le site Web de documentation de Novell :
Dans cette documentation, le signe supérieur à (>) est utilisé pour séparer les opérations d'une même procédure ainsi que les éléments d'un chemin de renvoi.
Pour obtenir la documentation et les fichiers Lisezmoi les plus récents sur le client VPN Novell BorderManager 3.9 sur Linux, consultez le site Web de documentation de Novell.
Novell, Inc. exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell, Inc. se réserve en outre le droit de réviser cette publication à tout moment et sans préavis.
Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications à quiconque.
Tous les produits ou informations techniques fournis dans le cadre de ce contrat peuvent être soumis à des contrôles d'exportation aux États-Unis et à la législation commerciale d'autres pays. Vous acceptez de vous conformer à toutes les réglementations de contrôle des exportations et à vous procurer les licences requises ou la classification permettant d'exporter, de réexporter ou d'importer des biens de consommation. Vous acceptez de ne pas procéder à des exportations ou à des réexportations vers des entités figurant sur les listes d'exclusion d'exportation en vigueur aux États-Unis ou vers des pays terroristes ou soumis à un embargo par la législation américaine en matière d'exportations. Vous acceptez de ne pas utiliser les produits livrables pour le développement prohibé d'armes nucléaires, de missiles ou chimiques et biologiques. Reportez-vous à la page Web des services de commerce international de Novell pour plus d'informations sur l'exportation des logiciels Novell. Novell décline toute responsabilité dans le cas où vous n'obtiendriez pas les approbations d'exportation nécessaires.
Copyright © 1997-2007 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l'éditeur. Novell, Inc. est titulaire des droits de propriété intellectuelle relatifs à la technologie intégrée au produit décrit dans ce document. En particulier, et sans limitation, ces droits de propriété intellectuelle peuvent inclure un ou plusieurs brevets américains mentionnés sur le site Web de Novell relatif aux mentions légales (en anglais) et un ou plusieurs brevets supplémentaires ou en cours d'homologation aux États-Unis et dans d'autres pays.
Pour connaître les marques commerciales de Novell, reportez-vous à la liste des marques commerciales et des marques de service de Novell.
Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif.