Configuration de la passerelle IP Novell

La passerelle IP Novell comprend deux passerelles au niveau du circuit :

• La passerelle IPX/IP, qui fournit aux clients IPX un accès sécurisé et contrôlé vers Internet.
• La passerelle IP/IP, qui fournit des clients IP fonctionnant sous Windows avec un accès sécurisé et contrôlé vers Internet.

Lorsque la passerelle IP Novell est configurée pour fonctionner comme un serveur SOCKS, vous pouvez également l'utiliser pour authentifier des clients SOCKS et déterminer leur accès aux ressources du réseau en utilisant les règles de contrôle d'accès stockées dans la base de données NDS ou eDirectory.

REMARQUE :  Vous pouvez activer l'exécution simultanée de la passerelle IPX/IP, de la passerelle IP/IP et des services SOCKS sur le même serveur. Ceci permet aux clients Windows, ainsi qu'aux clients SOCKS d'accéder à Internet par l'intermédiaire du même serveur Novell BorderManager 3.7.

Les trois services de passerelle sont configurés à l'aide de l'Administrateur NetWare. Pour des instructions détaillées, reportez-vous à la procédure ci-dessous :

• Configuration de la passerelle IP Novell

Configuration du service de passerelle IPX/IP ou IP/IP

Vous pouvez configurer le service de passerelle IPX/IP afin de permettre aux clients Windows qui n'ont pas d'adresse IP attribuée de prendre en charge les applications TCP/IP. Vous pouvez configurer le service de passerelle IP/IP pour la prise en charge du contrôle d'accès NDS ou eDirectory pour des réseaux dont les clients utilisent TCP/IP.

Pour configurer le service de passerelle IPX/IP ou IP/IP :

1. Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur.

2. Cliquez sur l'onglet Passerelle.

3. Sous Activer le service, sélectionnez la case Passerelle IPX/IP ou Passerelle IP/IP.

4. (Facultatif) Si vous souhaitez assigner un autre numéro de port au trafic de passerelle, effectuez les opérations suivantes pour modifier le port de service de la passerelle :

   1. Sous Activer le service, double-cliquez sur la passerelle contenant le port de service à modifier ou sélectionnez la passerelle et cliquez sur Détails.

   2. Sous Attributs de service, entrez un autre numéro de port dans le champ Port de service.

      Par défaut, les deux passerelles utilisent le port 8225 (décimal). Bien que la modification du port de service ne soit pas recommandée, si un autre service utilise ce port, vous pouvez assigner un numéro de port différent au trafic de passerelle.

5. (Facultatif) Si vous souhaitez activer l'authentification single sign-on pour le service de passerelle IPX/IP, sélectionnez la case Single Sign-on sous Attributs de service.

   L'authentification single sign-on permet à la passerelle IPX/IP d'authentifier l'utilisateur en arrière-plan si ce dernier s'est déjà logué dans NDS ou eDirectory. Grâce au single sign-on, les utilisateurs n'ont pas besoin de fournir un nom d'utilisateur et un mot de passe pour accéder aux ressources par l'intermédiaire de la passerelle. Si l'option Single sign-on n'est pas activée, le logiciel de la passerelle IP Novell exécute une authentification secondaire lorsqu'un utilisateur essaye d'accéder aux ressources via le service de passerelle IPX/IP, qu'il se soit déjà logué ou non.

   REMARQUE :  Le single sign-on s'applique uniquement au service de passerelle IPX/IP. Cette option n'est pas prise en compte lorsque le service de passerelle IP/IP est utilisé.

6. Cliquez deux fois de suite sur OK pour fermer la fenêtre Configurer les services de passerelle et la page de configuration de Novell BorderManager 3.7.

   Lorsque vous fermez la page de configuration de Novell BorderManager 3.7, le serveur charge IPXIPGW.NLM, le fichier NLM de la passerelle et crée un objet Serveur de passerelle dans l'arborescence NDS ou eDirectory.

Reportez-vous à Configuration du contrôle d'accès pour des informations sur la configuration et l'utilisation du contrôle d'accès avec la passerelle IP Novell.

IMPORTANT :  Les règles de contrôle d'accès configurées pour l'objet Serveur à l'aide d'un logiciel de passerelle IPX/IP antérieur à Novell BorderManager 3.7 ne fonctionnent plus lorsque avez vous mis à niveau votre serveur pour Novell BorderManager 3.7 et activé la passerelle IP Novell. Pour être effectives, ces règles doivent être reconfigurées pour l'objet Serveur.

Configuration du service SOCKS 4 ou SOCKS 5

Si des clients SOCKS 4 ou SOCKS 5 sont installés sur votre réseau et que vous souhaitez contrôler leur accès à Internet par le biais de la passerelle IP Novell, vous devez configurer le service SOCKS.

Lors de la procédure de configuration, vous devez soit indiquer les paramètres d'authentification SOCKS 5, soit activer la vérification d'utilisateur SOCKS 4 (ou les deux si votre réseau regroupe à la fois des clients SOCKS 4 et SOCKS 5).

Pour configurer le service SOCKS sur la passerelle IP Novell :

1. Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur.

2. Sélectionnez l'onglet Passerelle.

3. Sous Activer le service, sélectionnez la case SOCKS V4 et V5.

4. (Facultatif) Si vous souhaitez assigner un autre numéro de port au trafic SOCKS, effectuez les opérations suivantes pour modifier le port de service de la passerelle :

   1. Sous Activer le service, double-cliquez sur SOCKS V4 et V5 ou sélectionnez SOCKS V4 et V5 puis cliquez sur Détails.

   2. Dans le champ Port de service, entrez un autre numéro de port.

      Par défaut, le service SOCKS utilise le port 1080 (décimal). Bien que la modification du numéro du port de service ne soit pas recommandée, si un autre service utilise ce port, vous pouvez assigner un numéro de port différent au trafic SOCKS.

      IMPORTANT :  Si vous modifiez le numéro du port de service, vous devez modifier la configuration de tous les clients SOCKS afin d'utiliser le nouveau numéro de port.

   3. Cliquez sur OK pour fermer la fenêtre Configurer SOCKS V4 et V5.

5. Définissez les paramètres d'authentification SOCKS 5 selon la procédure ci-dessous :

   1. Sous Activer le service, double-cliquez sur SOCKS V4 et V5 ou sélectionnez SOCKS V4 et V5 > cliquez sur Détails.

   2. Sous Authentification SOCKS V5, sélectionnez une ou toutes les méthodes d'authentification ci-dessous (répertoriées dans l'ordre croissant de priorité) :

      Il existe une autre méthode d'authentification pour les utilisateurs des clients SOCKS 5. Les utilisateurs de clients SOCKS 5 peuvent utiliser des périphériques de sécurité tels que des jetons matériels en plus de leur mot de passe NDS ou eDirectory. Les règles de login qui définissent les règles d'authentification et les méthodes d'accès nécessaires aux utilisateurs à distance pour leur authentification sont stockées dans l'objet Règle de login NDS ou eDirectory. Reportez-vous à la documentation en ligne relative aux services d'authentification pour plus d'informations.

      IMPORTANT :  Si plusieurs méthodes d'authentification sont sélectionnées, la passerelle IP Novell utilise la méthode avec la priorité la plus élevée que le client peut exécuter.

      • Aucun(e) : cette option correspond à l'option d'authentification nulle des clients SOCKS 5. Aucune authentification n'est requise par la passerelle IP Novell.
      • Effacer utilisateur/mot de passe texte : lorsque la passerelle IP Novell authentifie un utilisateur, le mot de passe de l'utilisateur est transmis sur le réseau en texte clair sans codage. Le mot de passe est vérifié par rapport à celui de l'utilisateur stocké dans NDS ou eDirectory, mais diffère de l'authentification NDS ou eDirectory. Comme un mot de passe transmis en texte clair n'est pas protégé, cette option ne doit être utilisée que si SSL est également sélectionné pour coder le mot de passe avant qu'il ne soit transmis.
      • Utilisateur/Mot de passe NDS ou eDirectory--- lorsque la passerelle IP Novell authentifie un utilisateur, le mot de passe de l'utilisateur n'est jamais transmis sur le réseau. Au lieu de cela, comme pour l'authentification d'un client Novell, le mot de passe est utilisé pour générer une paire de clés sécurisée. Les contrôles de flux de stimulation successifs entre le client et le serveur établissent l'authentification. Une option d'authentification NDS ou eDirectory doit être disponible dans le client SOCKS pour que cette méthode d'authentification fonctionne.
      • SSL : cette option demande qu'une connexion SSL (Secure Sockets Layer) entre le client et le serveur soit établie avant que la passerelle IP Novell puisse authentifier un utilisateur à l'aide de toute autre méthode d'authentification. SSL utilise un système de codage de clés publiques/privées. L'activation de cette option assure également le codage de toutes les données transmises entre le client et le serveur.

      IMPORTANT :  Si SSL et le contrôle d'accès sont activés pour la passerelle IP Novell, vous devez également sélectionner Utilisateur/Mot de passe NDS ou eDirectory ou Effacer utilisateur/mot de passe texte puisque le protocole SSL n'établit pas d'authentification utilisateur pour le contrôle d'accès NDS ou eDirectory.

   3. (Facultatif) Si vous avez sélectionné Effacer utilisateur/mot de passe texte comme méthode d'authentification, cliquez sur Contexte d'authentification > Contexte > Ajouter > entrez le contexte et l'arborescence NDS ou eDirectory par défaut de l'utilisateur > cliquez sur OK.

      Entrez un nom de conteneur distinctif NDS ou eDirectory (sales.my.org, par exemple). Le nom du conteneur NDS ou eDirectory peut comporter jusqu'à 256 caractères. Cette entrée est facultative mais rend le login plus facile pour les utilisateurs. Les utilisateurs du conteneur spécifié peuvent se loguer en ne tapant que leur nom de login, sans la chaîne de contexte intégrale.

   4. (Facultatif) Si vous avez sélectionné SSL comme méthode d'authentification, utilisez le menu déroulant ID clé pour sélectionner les fichiers disponibles dans une liste.

      REMARQUE :  Un fichier d'ID clé est disponible uniquement une fois que vous avez créé un objet matériel clé (KMO) dans NDS ou eDirectory pour le serveur utilisant l'Administrateur NetWare. Pour plus d'informations sur la création d'un objet KMO, reportez-vous à l'aide en ligne PKI dans l'Administrateur NetWare ou aux informations PKI figurant dans la documentation en ligne NetWare.

   5. (Facultatif) Activez le single sign-on pour les clients SOCKS 5 en cochant la case Single Sign-on sous Authentification SOCKS V5.

      Cette option est fournie aux clients qui utilisent à la fois le client Novell pour Windows et un client SOCKS 5 tiers sur le même poste de travail. Lorsqu'un utilisateur s'est déjà authentifié à NDS ou eDirectory en se loguant à partir d'un client Novell et essaye d'utiliser un client SOCKS 5 pour accéder à Internet par le biais de la passerelle IP Novell, la passerelle n'authentifie pas une deuxième fois l'utilisateur.

      Pour permettre le single sign-on, la machine client doit exécuter CLNTRUST.EXE et DWNTRUST.EXE. Pour plus d'informations sur ces fichiers, reportez-vous à Configuration des clients de la passerelle.

      REMARQUE :  Si le single sign-on est activé, mais si l'utilisateur n'est pas logué à NDS ou eDirectory ou ne peut utiliser qu'un client SOCKS 5, la passerelle authentifie l'utilisateur par l'une des méthodes d'authentification. Lorsque le single sign-on échoue et qu'aucune méthode d'authentification n'a été sélectionnée, la connexion de l'utilisateur est annulée.

   6. Cliquez sur OK pour fermer la fenêtre Configurer SOCKS V4 et V5.

6. Activez le contrôle utilisateur SOCKS 4 selon la procédure ci-dessous :

   1. Sous Activer le service, double-cliquez sur SOCKS V4 et V5 ou sélectionnez SOCKS V4 et V5 > cliquez sur Détails.

   2. Sélectionnez la case Vérification de l'utilisateur SOCKS V4.

      Le contrôle utilisateur SOCKS 4 oblige la passerelle IP Novell à vérifier l'existence de l'utilisateur dans NDS ou eDirectory. Par contre, la passerelle ne peut pas authentifier l'utilisateur. L'utilisateur n'a pas besoin de fournir un mot de passe pour accéder à Internet par le biais de la passerelle.

   3. Cliquez sur OK pour fermer la fenêtre Configurer SOCKS V4 et V5.

7. Cliquez sur OK pour fermer la page de configuration de Novell BorderManager 3.7.

Reportez-vous à Configuration du contrôle d'accès pour des informations sur la configuration et l'utilisation du contrôle d'accès avec la passerelle IP Novell.

REMARQUE :  Les règles d'accès basées sur NDS ou eDirectory pour les clients SOCKS permettent de limiter l'accès aux sites uniquement, mais pas aux URL. Pour le filtrage du contenu, utilisez SurfControl* installé sur le serveur Novell BorderManager 3.7.