Opções de configuração e limitações do gateway IP da Novell

As opções de configuração e limitações do Gateway IP da Novell são descritas nas seções a seguir:

Especificar servidores DNS

Como parte da configuração do servidor de gateway, você precisará fornecer pelo menos um nome de domínio DNS e o endereço IP de pelo menos um servidor de nome DNS . O servidor de gateway usa o DNS para converter nomes de hosts IP por parte dos clientes de gateway da rede privada.

NOTA: Se um servidor de nomes DNS foi especificado durante a instalação do Novell BorderManager, esse requisito foi satisfeito.

Especificar o servidor de gateway preferencial para clientes

O cliente de gateway, que mantém uma conexão de controle entre o cliente e o servidor de gateway, tenta se conectar a um servidor de gateway preferencial, se houver algum configurado. Se o servidor de gateway especificado não estiver disponível, o cliente de gateway procurará o seguinte:

Um servidor BorderManager que esteja executando o serviço de gateway IP/IP --- Começando pelo contexto do usuário e pelo contexto do servidor de gateway preferencial, o software do cliente de gateway procura para baixo, na Árvore do NDS, um objeto Servidor de gateway.
Um servidor BorderManager que esteja executando o serviço de gateway IPX/IP --- Começando pelo contexto do usuário e pelo contexto do servidor de gateway preferencial, o software do cliente de gateway procura para baixo, na Árvore do NDS, um objeto Servidor de gateway.
Um servidor BorderManager que esteja executando o serviço de gateway IPX/IP --- Para localizar o servidor de gateway, o cliente de gateway procura o bindery do servidor a que o cliente está anexado.
Um servidor BorderManager, em qualquer contexto do NDS, que esteja executando o serviço de gateway IPX/IP --- Para localizar o servidor de gateway, o cliente de gateway usa o protocolo SAP (Service Advertising Protocol).

Geralmente, a configuração de um servidor de gateway preferencial reduz o tempo necessário para o cliente se conectar com o servidor de gateway.

NOTA: Se for especificado um servidor de gateway preferencial para um cliente e um usuário que não esteja logado no NDS tentar executar aplicativos WinSock, o cliente de gateway não enviará os pedidos do WinSock do cliente para o Gateway IP da Novell até o usuário logar.

Suportar clientes SOCKS

O Gateway IP da Novell suporta clientes SOCKS 4 e SOCKS 5. Antes de configurar o serviço SOCKS do gateway, determine as versões dos clientes SOCKS que precisam ter acesso à Internet através do gateway.

O protocolo do SOCKS 4 foi criado para permitir aos usuários de aplicativos TCP/IP acesso transparente à Internet através de um firewall SOCKS 4. No entanto, o SOCKS 4 não suporta autenticação, que é um componente de segurança necessário a uma solução de firewall. O SOCKS 5 aprimora o SOCKS 4, fornecendo métodos de autenticação mais sofisticados.

Clientes SOCKS 4

Se você precisar suportar clientes SOCKS 4 mas não clientes SOCKS 5, precisará configurar um esquema de autenticação para o Gateway IP da Novell porque o SOCKS 4 não suporta a autenticação de usuário. Você pode permitir que os usuários do SOCKS 4 da rede acessem a Internet através do gateway, fazendo o seguinte:

Ativando o serviço do SOCKS 4 e do SOCKS 5.
Criando um objeto Usuário no NDS para cada usuário do SOCKS 4.
Adicionando objetos Usuário à lista de usuários do servidor de gateway.
Ativando a verificação de usuários do SOCKS 4.

Para obter a descrição dos procedimentos de configuração para essas tarefas, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT

Clientes SOCKS 5

Se a rede tem clientes SOCKS 5, configure o gateway para autenticar esses usuários para que eles possam acessar a Internet através do gateway. Se alguns usuários do SOCKS 5 também usarem um Novell Client, você também pode habilitar o logon único. Isso permite ao gateway fazer a autenticação do SOCKS 5 em background, se o usuário já estiver logado no NDS com o software Novell Client. Com o logon único, o usuário não está ciente de que a autenticação está ocorrendo no background porque não aparece um prompt para o nome do usuário e para a senha. Uma opção para nenhuma autenticação também está disponível, permitindo que os usuários do SOCKS 5 utilizem o gateway sem restrição.

Você pode permitir que os usuários do SOCKS 5 na rede acessem a Internet através do gateway, fazendo o seguinte:

Ativando o serviço do SOCKS 4 e do SOCKS 5.
Selecionando um esquema de autenticação.
Criando um objeto Usuário em cada NDS para cada usuário do SOCKS 5 (isso não é necessário quando a autenticação está desabilitada).
Adicionando objetos Usuário à lista de usuários do servidor de gateway (isso não é necessário quando a autenticação está desabilitada).
(Opcional) Ativando o logon único.

Para obter a descrição dos procedimentos de configuração para essas tarefas, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT

As seguintes opções de autenticação do SOCKS 5 são suportadas:

Senha/usuário NDS --- Um componente do cliente SOCKS 5 que permite que o cliente autentique o usuário no NDS sem enviar a senha através da rede.
Usuário/senha em texto sem criptografia --- A senha do usuário é enviada através da rede em texto simples descriptografado.
Nenhum --- Não é necessária a autenticação do usuário.

IMPORTANTE: Se vários métodos de autenticação forem selecionados, o cliente usará o método mais avançado possível. O método Senha/Usuário NDS é o mais avançado, seguido do Usuário/senha em texto sem criptografia e do Nenhum. Se você quiser implementar o controle de acesso para clientes SOCKS 5, não poderá selecionar Nenhum.

Existem outras opções de autenticação disponíveis, mas elas não representam opções de autenticação válidas do NDS por si sós. São as seguintes:

SSL (Secure Sockets Layer) --- Exige que uma conexão segura seja estabelecida entre o cliente e o servidor para que a autenticação do NDS do Gateway IP da Novell possa ocorrer e criptografa todos os dados trocados entre o cliente e o servidor.
Login único --- Permite que o Gateway IP da Novell execute a autenticação do usuário em background se o usuário já se autenticou no NDS com o software Novell Client.

Você precisa selecionar opções de autenticação que sejam consistentes com a diretiva de segurança da sua organização. Consulte a tabela a seguir para ver alguns exemplos de configuração da autenticação do SOCKS 5.

Esquemas de Autenticação Selecionados	Resultado
Senha/Usuário NDS Login Único	Como o logon único foi selecionado, todos os usuários já logados no NDS com o Novell Client não precisam fornecer um nome de usuário e uma senha para terem acesso através do gateway usando um cliente SOCKS 5. Se um usuário ainda não estiver autenticado e o cliente SOCKS 5 suportar a autenticação do NDS, o método de tentativa/resposta será usado para autenticar o usuário no NDS. A senha do usuário nunca é enviada pela rede.
Usuário/senha em texto sem criptografia SSL Login Único	Como o logon único foi selecionado, todos os usuários já logados no NDS com um Novell Client possuem acesso automático através do gateway com um cliente SOCKS 5. No entanto, como o método SSL foi selecionado, precisa ser estabelecida uma conexão SSL antes de os dados poderem ser trocados. Se um usuário ainda não estiver autenticado, o Novell Client estabelecerá uma conexão SSL com o servidor. A senha em texto sem criptografia do usuário é criptografada na estação de trabalho cliente, usando os pares de chaves pública e privada do SSL, antes de ser enviada para o servidor. Após a autenticação, todos os dados também são criptografados antes de serem enviados.
Nenhum	Nenhuma autenticação é necessária para usar o gateway. Qualquer cliente SOCKS 5 pode acessar a Internet através do gateway.

Esquemas de Autenticação Selecionados

Resultado

Senha/Usuário NDS

Como o logon único foi selecionado, todos os usuários já logados no NDS com o Novell Client não precisam fornecer um nome de usuário e uma senha para terem acesso através do gateway usando um cliente SOCKS 5.

Se um usuário ainda não estiver autenticado e o cliente SOCKS 5 suportar a autenticação do NDS, o método de tentativa/resposta será usado para autenticar o usuário no NDS. A senha do usuário nunca é enviada pela rede.

Usuário/senha em texto sem criptografia

SSL

Como o logon único foi selecionado, todos os usuários já logados no NDS com um Novell Client possuem acesso automático através do gateway com um cliente SOCKS 5. No entanto, como o método SSL foi selecionado, precisa ser estabelecida uma conexão SSL antes de os dados poderem ser trocados.

Se um usuário ainda não estiver autenticado, o Novell Client estabelecerá uma conexão SSL com o servidor. A senha em texto sem criptografia do usuário é criptografada na estação de trabalho cliente, usando os pares de chaves pública e privada do SSL, antes de ser enviada para o servidor. Após a autenticação, todos os dados também são criptografados antes de serem enviados.

Nenhum

Nenhuma autenticação é necessária para usar o gateway. Qualquer cliente SOCKS 5 pode acessar a Internet através do gateway.

Proxy como cliente SOCKS

Você também pode configurar o servidor proxy BorderManager como um cliente SOCKS para o Gateway IP da Novell. Nesse cenário, o servidor proxy não se conecta diretamente com a Internet para contatar um servidor de origem. Em vez disso, ele envia pedidos para o Gateway IP da Novell, que serve de firewall para a Internet. O servidor proxy e o Gateway IP da Novell podem ser configurados no mesmo servidor físico.

Para obter maiores informações sobre como configurar o proxy como um cliente SOCKS, consulte Configuração e gerenciamento dos serviços de proxy

Usar o controle de acesso

Quando você usa o Gateway IP da Novell, todo o tráfego TCP e UDP é afunilado através de um ou mais servidores de gateway. Os Gateways IP da Novell podem exercer controle completo sobre o acesso do usuário aos recursos da Internet. As informações de controle de acesso estão armazenadas no NDS e podem ser configuradas somente pelo administrador (ou por um usuário com direitos administrativos), usando o utilitário Administrador do NetWare. Você pode restringir o acesso por porta TCP (Web, FTP, Telnet e assim por diante), porta UDP ou endereço de host IP. Também pode limitar o acesso a determinadas portas e endereços IP a um horário específico do dia. Observe que o controle de acesso restringe o acesso a redes e serviços TCP/IP, não a diretórios ou arquivos no servidor BorderManager que estejam executando o software Gateway IP da Novell.

Você pode especificar as informações de controle de acesso para o Gateway IP da Novell em diversos níveis de objetos no NDS: Servidor, Unidade Organizacional, Organização ou País.

Para obter maiores informações sobre como implementar o controle de acesso, consulte Configuração e gerenciamento do controle de acesso

Limitações do gateway IP da Novell

O Gateway IP da Novell possui as seguintes limitações:

Somente clientes Windows NT 4.0, Windows 95, Windows 98 e Windows 3.1 são suportados.
Os clientes VLM^TM (Virtual Loadable Module^TM) não são suportados. As sessões SSL não são suportadas pelos serviços de gateway IP/IP ou IPX/IP. Nem todos os aplicativos WinSock funcionam com todos os clientes Windows que o Gateway IP da Novell suporta.
Para os clientes Windows 3.1, o Gateway IP da Novell suporta somente aplicativos WinSock 1.1. Para os clientes Windows 95, Windows 98 e Windows NT 4.0 ou posteriores, o Gateway IP da Novell suporta somente aplicativos WinSock 2.