5 avril 2007
Novell BorderManager est la technologie de pare-feu et de VPN indispensable pour les solutions de gestion sécurisée des identités. Ses fonctions d'annuaire intégré permettent de contrôler, d'accélérer et de surveiller les activités Internet de vos utilisateurs. Novell BorderManager exploite les proxys de réacheminement et le contrôle d'accès en fonction de l'identité de l'utilisateur et permet ainsi de protéger votre réseau de toutes données Internet indésirables tout en conservant des niveaux de performances exceptionnels.
Novell BorderManager comprend également des services VPN basés sur IPSec et un pare-feu certifié ICSA pour assurer la protection de votre réseau et la productivité de vos utilisateurs.
Ce document offre un bref aperçu des nouveaux composants et fonctionnalités de Novell BorderManager 3.9. Il dresse également la liste des problèmes et des limites connus de cette version.
Vous trouverez ci-après la liste des nouvelles fonctionnalités de Novell BorderManager 3.9 :
Avec la version 3.9 de Novell BorderManager, la configuration du proxy peut s'effectuer via iManager.
Dans cette version de Novell BorderManager, le proxy FTP peut se connecter en mode actif au serveur FTP source.
La configuration Terminal Server et du basculement de session ne se fait plus dans le fichier proxy.cfg. Elle peut maintenant se faire via iManager.
Le fichier de configuration des règles d'accès et du proxy peut maintenant être sauvegardé. Pour restaurer la configuration, il suffit de restaurer ce fichier. Pour sauvegarder la configuration des règles d'accès ou du proxy, cliquez sur dans la page des règles d'accès et celles des services de proxy, respectivement Pour restaurer la configuration sauvegardée, cliquez sur dans la page de sélection du proxy de BorderManager, puis recherchez et sélectionnez le fichier de sauvegarde.
Lors de la configuration des règles de contrôle d'accès, vous pouvez sélectionner l'option . Une fois sélectionnée, cette option consigne les tentatives d'accès associées à la règle. Il est possible d'accéder à ces journaux de consignation via le serveur de consignation sécurisée de Novell Audit.
L'aspect de l'interface d'administration VPN de Novell BorderManager 3.9 a été modifié.
Novell BorderManager 3.9 prend en charge une clé pré-partagée en guise de mode d'établissement des tunnels VPN entre deux membres site à site.
Avec cette version, Novell BorderManager fournit un client VPN sur plate-forme Linux*. Le client VPN fonctionne sous SUSE Linux Enterprise Desktop (SLED) 10 avec la méthode d'authentification NDS NMAS.
NetWare 6.5 SP 6.
Cette version offre les composants et fonctionnalités suivants :
L'installation de cette version comprend les éléments suivants :
L'extension du schéma VPN se fait via NWCONFIG.
Installation automatique du proxy, de la liste de contrôle d'accès, du pare-feu et des plug-ins de configuration VPN pour iManager 2.6 sur NetWare® 6.5 SP 6.
Une fonction a été prévue pour la création de volumes traditionnels à utiliser pour la mise en mémoire cache avec NetWare 6.5.
Une prise en charge du proxy, de la liste de contrôle d'accès, du pare-feu et de la migration VPN est incluse pour permettre la mise à niveau à partir de Novell BorderManager 3.8.
Une option permet la récupération à partir d'une installation qui a échoué.
Des filtres de paquets VPN ont été ajoutés pour les mises à niveau.
Vous trouverez un résumé d'installation, qui décrit les principales étapes de l'installation, dans sys:ni\data\NBM_Instlog.csv
Vous pouvez configurer les services suivants via iManager :
Proxy
Liste de contrôle d'accès
Services de pare-feu
Serveur VPN
Service client à site
Service site à site
iManager 2.6 est pris en charge dans cette version. Les serveurs peuvent être configurés depuis tout poste de travail avec Internet Explorer 5.5, 6.0 ou ultérieur. Cela contribue à la simplicité d'utilisation et facilite la définition de règles de trafic et d'authentification.
La fonction suivante est mise en œuvre pour cette version :
Un certain nombre de modifications ont été apportées au proxy Novell BorderManager.
Basculement de session
Configuration du proxy FTP en mode actif
Le service client-site prend en charge les stratégies précises pour l'accès aux ressources privées. Les fonctionnalités suivantes sont prises en charge :
ike et PSK pour la gestion des clés.
La méthode NMAS LDAP est utilisée par Novell BorderManager 3.98 pour authentifier l'utilisateur dans l'annuaire (LDAP) expert distant.
Mode d'authentification du certificat X.509.
Le VPN Novell BorderManager 3.9 prend en charge Novell Modular Authentication Services pour le service client à site. Outre le mode d'authentification par certificat avec IKE, le client et le serveur VPN peuvent s'authentifier à l'aide des méthodes NMAS. La séquence eDirectory (NDS) permet à un utilisateur de s'authentifier sur la passerelle d'authentification VPN à l'aide du mot de passe eDirectory. Novell BorderManager 3.9 exige que NMAS 3.1.2 soit installé pour le serveur et NMAS 2.2.4 ou supérieur pour le client. Les méthodes NMAS requises doivent être installées et configurées aussi bien sur le client que sur le serveur.
Vous pouvez procéder à l'authentification VPN à l'aide d'une clé pré-partagée configurée dans le serveur VPN. Dans ce mode, la règle de codage par défaut est transmise au client.
Le mode agressif est pris en charge pour la négociation IKE SA/Phase 1.
Les changements apportés aux règles de trafic sont les suivants :
Trafic UDP : le numéro de port UDP n'est plus nécessaire. L'utilisateur doit uniquement indiquer le numéro de port TCP.
Connectivité des tiers : différents types de clients peuvent maintenant se connecter au serveur VPN en mode PSS et certificat. Les clients peuvent utiliser des systèmes d'exploitation tels que Macintosh ou Linux*, ou être des postes de travail SSH.
Configuration DNS/SLP : cette configuration fournit la liste d'adresses des serveurs DNS et des agents d'annuaire appliqués au client durant une session VPN. La liste des agents d'annuaire (SLP) s'applique si l'authentification Novell a lieu durant une session VPN. À l'issue d'une connexion, le client reprend ses informations DNS d'origine.
L'utilisateur peut choisir soit Authentification du certificat, soit Authentification NMAS, ou les deux. S'il opte pour l'Authentification du certificat, vous devez configurer une ou plusieurs racines approuvées. Pour l'Authentification NMAS, configurez le niveau d'autorisation (niveau d'authentification minimum autorisé).
La fonction d'attribution d'adresse IP est disponible dans l'onglet Général de la configuration client-site pour vous aider à conserver une seule connexion sur le serveur pour différents clients. Elle résout également les problèmes de conflit d'adresse IP de client derrière NAT. Lorsque l'attribution d'adresse IP est terminée, les routeurs intermédiaires du réseau interne doivent pointer vers le serveur VPN.
En lieu et place d'un nom du sujet du certificat, un autre nom de sujet peut être employé par les utilisateurs ou les membres VPN.
Le serveur VPN prend en charge les services site à site entre deux serveurs VPN Novell BorderManager 3.9 ainsi qu'entre un serveur Novell BorderManager 3.8 et un serveur Novell BorderManager 3.9. Ce service prend en charge les stratégies précises. Le serveur Novell BorderManager 3.9 peut être configuré comme maître ou comme esclave dans iManager. Les fonctionnalités site à site suivantes sont prises en charge :
ike et PSK pour la gestion des clés.
Mode d'authentification du certificat X.509.
Prise en charge de la topologie à maillage et en étoile
Serveur VPN derrière NAT
La prise en charge de la connectivité tierce permet à différents types de serveurs de se connecter au serveur en mode PSS.
Le mécanisme de surveillance de VPN et de proxy basé sur le Web fournit un aperçu des activités du VPN et du serveur proxy. Ce composant est disponible par l'intermédiaire de la structure de gestion à distance NetWare. Les informations sont fournies en lecture seule, mais avec la possibilité de réinitialiser les connexions. Les données sont fournies par session et par serveur. L'état du service site à site est également indiqué. Le composant de surveillance est disponible au niveau administrateur, utilisateur et développeur.
Pour lancer l'utilitaire de surveillance, allez à https://<ipaddress>:8009. Dans le volet de gauche, sélectionnez .
Le bouton constitue une fonction importante de la surveillance VPN. Pour les services site à site, la synchronisation peut se faire de deux façons :
Synchronisation des serveurs sélectionnés : cochez la case pour sélectionner des serveurs, puis cliquez sur .
Synchronisation de tous les serveurs : cliquez sur pour synchroniser simultanément tous les membres.
Pour lancer l'utilitaire de surveillance, allez à https://<ipaddress>:8009. Dans le volet de gauche, sélectionnez .
Vous pouvez afficher les statistiques de site et de cache pour l'ensemble des services de proxy. Vous pouvez obtenir les statistiques à jour du serveur selon un intervalle fixe.
Le composant VPN peut également fonctionner comme un utilitaire autonome.
L'installation VPN lit les configurations VPN de BorderManager 3.8 depuis leur emplacement respectif (fichiers de configuration ou Novell eDirectory) et les convertit en configuration compatible avec Novell BorderManager 3.9.
Arrêtez tous les services VPN avant d'installer le produit si le serveur sur lequel vous effectuez l'installation est un serveur maître.
En guise de fonctionnalité connexe, sur les interfaces publiques où le filtrage de paquets est activé, l'installation ajoute automatiquement des filtres pour les services VPN Novell BorderManager 3.8 au cours d'une mise à niveau.
Le VPN et le pare-feu bénéficient de la certification de pare-feu ICSA Labs.
Ces composants comprennent les caractéristiques suivantes :
Brdcfg.nlm peut désormais être utilisé pour ajouter des exceptions aux services VPN exécutés sur le serveur Novell BorderManager 3.9. Ces exceptions autorisent le trafic VPN à travers le pare-feu.
La configuration des filtres de réacheminement des paquets via iManager a été simplifiée.
Cette section répertorie les problèmes et limitations connus de Novell BorderManager 3.9.
Durant la mise à niveau du serveur vers NetWare 6.5, vptunnel.lan est supprimé du serveur.
La désinstallation élimine uniquement les fichiers Novell BorderManager 3.8, mais pas la configuration.
Le fichier filtsrv.nlm est remplacé par une version antérieure si vous utilisez les CD ou le DVD de recouvrement NetWare 6.5 SP6 pour mettre à niveau le serveur, sur lequel Novell BorderManager 3.8 est déjà installé. Pour résoudre ce problème, copiez manuellement le fichier filtsrv.nlm dans le répertoire sys:\system. Le bon fichier est filtsrv.nlm version 1.61.13 daté du jeudi 24 novembre 2005.
L'authentification peut échouer pendant l'installation de Novell BorderManager 3.8 si le mot de passe contient des caractères spéciaux tels que % et #.
Le plug-in iManager n'est pas disponible après la mise à niveau d'iManager de la version 2.5 à la version 2.6 au cours de la mise à niveau du système d'exploitation NetWare, si Novell BorderManager 3.8.x est déjà installé. Copiez les fichiers bm.npm et vpn.npm situés dans le dossier sys:\public\brdmgr\snapins\ vers le module de plug-ins d'iManager et installez-les. Redémarrez le service iManager.
Les clients risquent d'être déconnectés en raison du court délai de timeout d'inactivité. Remplacez le délai d'inactivité par défaut par une valeur plus importante si les utilisateurs restent en mode inactif pendant une période prolongée.
Au cours d'une session VPN, le système risque de perdre l'adresse IP s'il passe en mode inactif. Déconnectez le VPN et désactivez l'adaptateur. Activez-le à nouveau pour obtenir l'adresse IP.
Si vptunnel n'est pas chargé sur l'esclave à l'issue de la configuration initiale, exécutez la commande de réinitialisation système sur l'esclave.
La topologie en anneau n'est pas prise en charge par cette version.
Lors d'une migration de Novell BorderManager 3.8 SP5 à Novell BorderManager 3.9, le masque binaire de la configuration des alertes n'est pas migré.
Après migration de Novell BorderManager 8.5 SP5 vers Novell BorderManager 3.9, les membres site à site ne parviennent plus à former de tunnels. Pour contourner ce problème :
Effectuez l'une des opérations suivantes :
Si la version maître 3.8 a migré vers la version maître 3.9, sélectionnez , puis changez la version membre en maître 3.9.
Si les versions esclaves 3.8 n'ont pas migré vers la version 3.9, sélectionnez , puis changez la version membre en 3.8.
Si les versions esclaves 3.8 n'ont pas migré vers la version 3.9, sélectionnez , puis changez la version membre en 3.9.
Redémarrez tous les serveurs.
Il n'est pas possible de surveiller un serveur esclave dans la liste des membres derrière NAT. Pour surveiller ce type d'esclave, vous devez établir une connexion à NetWare Remote Manager directement avec l'esclave.
L'authentification Terminal Server ne fonctionne pas pour l'authentification basée sur une applet Java ou pour une authentification single sign-on du proxy Novell BorderManager avec clntrust.exe.
L'authentification SSL sous MAC OS auprès du proxy ne prend pas en charge l'authentification par applet Java.
Des AuthAgents maître et esclave exécutés sur la même machine utilisent le même fichier journal.
Les volumes NSS ne sont pas pris en charge pour la mise en cache du proxy. Des volumes NetWare traditionnels sont vivement recommandés.
Dans les grappes, le contenu du cache de proxy n'est pas accessible à d'autres nœuds pour une reprise.
Les pings autonomes sont filtrés, mais pas consignés.
La configuration de filtre simple répertorie uniquement l'interface publique configurée sur le serveur. Cette liste d'interface n'est pas immédiatement mise à jour si l'état de l'interface passe de Public à Privé ( afin de basculer entre Public et Privé). Elle est mise à jour toutes les 30 secondes. Pour voir les modifications immédiatement, réinitialisez le système (dans ).
Le filtre d'état ping autorise les pings d'un côté du pare-feu à la fois. Il n'autorise pas les pings simultanés entre deux hôtes par l'intermédiaire du pare-feu. Pour que cela soit possible, créez un filtre ICMP statique et désactivez les filtres immédiatement après les avoir utilisés. Cela est nécessaire pour des raisons de sécurité.
Le nom distinctif eDirectory complet du serveur Novell BorderManager doit être limité à 64 caractères. Par exemple, cn=fw-server.o=novell.
Un pare-feu dont la consignation est activée risque de ne pas fonctionner correctement s'il a été sollicité pendant une période prolongée.
Les sources suivantes fournissent des informations au sujet de Novell BorderManager 3.9 :
Guide d'installation de Novell BorderManager 3.9
Guide d'administration de Novell BorderManager 3.9
Guide d'installation de client VPN Novell BorderManager 3.9
Guide de dépannage de Novell BorderManager 3.9
Aide en ligne
Dans cette documentation, le signe supérieur à (>) est utilisé pour séparer les opérations d'une même procédure ainsi que les éléments d'un chemin de renvoi.
Le symbole de marque (® , TM, etc.) indique une marque de Novell. L'astérisque (*) indique une marque commerciale de fabricant tiers.
Pour obtenir la documentation et les fichiers Lisezmoi les plus récents sur Novell BorderManager 3.9, consultez le site Web de documentation de Novell.
Novell, Inc. exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell, Inc. se réserve en outre le droit de réviser cette publication à tout moment et sans préavis.
Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications à quiconque.
Tous les produits ou informations techniques fournis dans le cadre de ce contrat peuvent être soumis à des contrôles d'exportation aux États-Unis et à la législation commerciale d'autres pays. Vous acceptez de vous conformer à toutes les réglementations de contrôle des exportations et à vous procurer les licences requises ou la classification permettant d'exporter, de réexporter ou d'importer des biens de consommation. Vous acceptez de ne pas procéder à des exportations ou à des réexportations vers des entités figurant sur les listes d'exclusion d'exportation en vigueur aux États-Unis ou vers des pays terroristes ou soumis à un embargo par la législation américaine en matière d'exportations. Vous acceptez de ne pas utiliser les produits livrables pour le développement prohibé d'armes nucléaires, de missiles ou chimiques et biologiques. Reportez-vous à la page Web des services de commerce international de Novell pour plus d'informations sur l'exportation des logiciels Novell. Novell décline toute responsabilité dans le cas où vous n'obtiendriez pas les approbations d'exportation nécessaires.
Copyright © 1997-2007 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l'éditeur.
Novell, Inc. est titulaire des droits de propriété intellectuelle relatifs à la technologie intégrée au produit décrit dans ce document. En particulier, et sans limitation, ces droits de propriété intellectuelle peuvent inclure un ou plusieurs brevets américains mentionnés sur le site Web de Novell relatif aux mentions légales (en anglais) et un ou plusieurs brevets supplémentaires ou en cours d'homologation aux États-Unis et dans d'autres pays.
Pour obtenir la liste des marques commerciales de Novell, reportez-vous à la page Web http://www.novell.com/company/legal/trademarks/tmlist.html (en anglais).
Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif.