Configurando o Novell IP Gateway

O Novell IP Gateway é composto por dois gateways no nível de circuito:

• O IPX/IP do gateway, que fornece acesso seguro e controlado à Internet para clientes IPX.
• O IP/IP do gateway, que fornece acesso seguro e controlado à Internet para clientes IP baseados no Windows.

Quando o Novell IP Gateway é configurado para agir como um servidor SOCKS, ele também pode ser usado para autenticar os clientes SOCKS e determinar o acesso desses clientes a recursos da rede pelas regras de controle de acesso armazenadas no banco de dados do NDS ou do eDirectory.

NOTA:  O serviço IPX/IP do gateway, o IP/IP do gateway e os serviços SOCKS podem ser habilitados para serem executados simultaneamente no mesmo servidor. Esse recurso permite que os clientes Windows e os clientes SOCKS acessem a Internet pelo mesmo servidor Novell BorderManager 3.7.

Os três serviços de gateway são configurados utilizando o Administrador do NetWare. Para obter instruções detalhadas, consulte o seguinte procedimento:

• Configurando o Novell IP Gateway

Configurando o serviço IPX/IP ou IP/IP do gateway

Você pode configurar o serviço IPX/IP do gateway para suportar o uso dos aplicativos TCP/IP pelos clientes Windows que não possuem um endereço IP designado. Você também pode configurar o serviço IP/IP do gateway para suportar o controle de acesso do NDS ou eDirectory para redes cujos clientes usam o TCP/IP.

Para configurar o serviço IPX/IP ou IP/IP do gateway:

1. No Administrador do NetWare, selecione a página Configuração do Novell BorderManager 3.7 do servidor.

2. Clique na guia Gateway.

3. Em Habilitar Serviço, clique na caixa de seleção IPX/IP do Gateway ou IP/IP do Gateway.

4. (Opcional) Se você quiser atribuir um número de porta diferente ao tráfego do gateway, complete os seguintes subpassos para mudar a porta do serviço de gateway:

   1. Em Habilitar Serviço, clique duas vezes no gateway cuja porta do serviço precisa ser mudada ou selecione o gateway e clique em Detalhes.

   2. Em Atributos do Serviço, digite um número de porta diferente no campo Porta de Serviços.

      Por padrão, os dois gateways utilizam a porta 8225 (decimal). Embora a mudança de porta do serviço não seja recomendada, se outro serviço estiver utilizando essa porta, você poderá atribuir um número de porta diferente ao tráfego do gateway.

5. (Opcional) Se você quiser habilitar a autenticação de login único para o serviço IPX/IP do gateway, marque a caixa de seleção Autenticação de Login Único em Atributos do Serviço.

   A autenticação de login único habilita o IPX/IP do gateway a executar uma autenticação de usuário em background se o usuário já tiver efetuado login no NDS ou eDirectory. Com o login único, os usuários não precisam fornecer um nome de usuário e uma senha para acessar recursos através do gateway. Se o login único não estiver habilitado, o software Novell IP Gateway executará uma autenticação secundária quando um usuário tentar acessar recursos através do serviço IPX/IP do gateway, independentemente de o usuário já ter efetuado login.

   NOTA:  O login único só se aplica ao serviço IPX/IP do gateway. Ele é ignorado quando o serviço IP/IP do gateway é utilizado.

6. Clique em OK duas vezes para fechar a janela Configurar Serviços de Gateway e a página Configuração do Novell BorderManager 3.7.

   Quando você fecha a página Configuração do Novell BorderManager 3.7, o servidor carrega o IPXIPGW.NLM, o arquivo NLM do gateway e cria um objeto Servidor de Gateway na Árvore do NDS ou eDirectory.

Consulte Configurar o controle de acesso para obter mais informações sobre a configuração e o uso do controle de acesso com o Novell IP Gateway.

IMPORTANTE:  A configuração das regras de controle de acesso para o objeto Servidor usando o software IPX/IP do gateway lançado antes do Novell BorderManager 3.7 não funcionarão mais depois que você fizer o upgrade do servidor para o Novell BorderManager 3.7 e habilitar o Novell IP Gateway. Para que tenham efeito, essas regras precisam ser configuradas novamente para o objeto Servidor.

Configurando o serviço SOCKS 4 ou SOCKS 5

Se você tem clientes SOCKS 4 ou SOCKS 5 na rede e deseja controlar o acesso deles à Internet através do Novell IP Gateway, configure o serviço do SOCKS.

Como parte do procedimento de configuração, você precisa especificar os parâmetros de autenticação do SOCKS 5, habilitar a verificação de usuário do SOCKS 4 ou executar essas duas ações, se a rede tiver uma combinação de clientes SOCKS 4 e SOCKS 5.

Para configurar o serviço SOCKS no Novell IP Gateway:

1. No Administrador do NetWare, selecione a página Configuração do Novell BorderManager 3.7 do servidor.

2. Selecione a guia Gateway.

3. Em Habilitar Serviço, marque a caixa de seleção SOCKS V4 e V5.

4. (Opcional) Para atribuir um número de porta diferente ao tráfego do SOCKS, complete os seguintes subpassos para mudar a porta do serviço de gateway:

   1. Em Habilitar Serviço, clique duas vezes em SOCKS V4 e V5 ou destaque SOCKS V4 e V5 e clique em Detalhes.

   2. No campo Porta de Serviços, digite um número de porta diferente.

      Por padrão, o serviço do SOCKS utiliza a porta 1080 (decimal). Embora a mudança do número da porta do serviço não seja recomendada, se outro servidor estiver utilizando essa porta, você poderá atribuir um número de porta diferente ao tráfego do SOCKS.

      IMPORTANTE:  Se você mudar o número da porta do serviço, precisará modificar a configuração de todos os clientes SOCKS para usar o novo número de porta.

   3. Clique em OK para fechar a janela Configurar SOCKS V4 e V5.

5. Defina os parâmetros de autenticação do SOCKS 5 executando os seguintes subpassos:

   1. Em Habilitar Serviço, clique duas vezes em SOCKS V4 e V5 ou destaque SOCKS V4 e V5 > clique em Detalhes.

   2. Em Autenticação SOCKS V5, selecione qualquer ou todos os seguintes esquemas de autenticação (mostrados da prioridade mais baixa à mais alta):

      Um método de autenticação adicional está disponível para os clientes SOCKS 5. Esses clientes podem usar dispositivos de segurança como tokens de hardware, além da senha do NDS ou eDirectory. As diretivas de login que definem as regras de autenticação e os métodos de acesso necessários para que os usuários remotos sejam autenticados são armazenadas no objeto Diretiva de Login do NDS ou eDirectory. Consulte a documentação online dos Serviços de Autenticação para obter mais informações.

      IMPORTANTE:  Se forem selecionados vários esquemas de autenticação, o Novell IP Gateway utilizará o esquema de prioridade mais alta que o cliente pode executar.

      • Nenhum --- Essa opção é equivalente à opção de autenticação nula para os clientes SOCKS 5. Não é necessária nenhuma autenticação pelo Novell IP Gateway.
      • Usuário/senha em texto sem criptografia --- Quando o Novell IP Gateway autentica um usuário, a senha do usuário é transmitida em texto sem criptografia. Essa senha é verificada em relação à senha do usuário armazenada no NDS ou eDirectory, mas essa verificação não é igual à autenticação do NDS ou do eDirectory. Como uma senha transmitida sem criptografia não é segura, essa opção só precisa ser utilizada se o SSL também estiver selecionado para criptografar a senha antes de transmiti-la.
      • Senha/Usuário NDS ou eDirectory --- Quando o Novell IP Gateway autentica um usuário, a senha do usuário nunca é transmitida. Em vez disso, como na autenticação de um cliente Novell, a senha é utilizada para gerar um par de códigos seguro. O estabelecimento de conexão sucessivo entre o cliente e o servidor completam a autenticação. Uma opção de autenticação do NDS ou eDirectory precisa estar disponível no cliente SOCKS para que esse esquema de autenticação funcione.
      • SSL --- Esta opção precisa que uma conexão SSL (Secure Sockets Layer) seja estabelecida entre o cliente e o servidor antes que o Novell IP Gateway possa autenticar um usuário com qualquer outro esquema de autenticação. O SSL utiliza um sistema criptográfico de código público/código privado. A habilitação dessa opção também garante a criptografia de todos os dados transmitidos entre o cliente e o servidor.

      IMPORTANTE:  Se o SSL e o controle de acesso estiverem habilitados para o Novell IP Gateway, selecione também Senha/Usuário NDS ou eDirectory ou Usuário/Senha de Texto sem Criptografia, pois o protocolo SSL não executa a autenticação de usuário para o controle de acesso do NDS ou eDirectory.

   3. (Opcional) Se você selecionou Usuário/Senha em Texto sem Criptografia como um esquema de autenticação, clique em Contexto de Autenticação > Contexto > Adicionar > insira a árvore e o contexto do NDS ou eDirectory padrão do usuário > clique em OK.

      Digite um nome exclusivo de recipiente do NDS ou eDirectory (sales.my_org, por exemplo). O nome do recipiente do NDS ou eDirectory pode ter até 256 caracteres. Essa entrada é opcional e torna o login mais fácil para os usuários. Os usuários do recipiente especificado podem efetuar login digitando apenas os nomes de login sem a string de contexto completa.

   4. (Opcional) Se você selecionou SSL como um esquema de autenticação, utilize o menu pull-down ID da Chave para fazer uma seleção em uma lista de arquivos disponíveis.

      NOTA:  Um arquivo de ID de chave está disponível somente depois que você criar um KMO no NDS ou eDirectory para o servidor usando o Administrador do NetWare. Para obter mais informações sobre como criar um KMO, consulte a Ajuda online do PKI no Administrador do NetWare ou as informações sobre o PKI que se encontram na documentação online do NetWare.

   5. (Opcional) Habilite o login único para os clientes SOCKS 5 marcando a caixa de seleção Login Único em Autenticação SOCKS V5.

      Essa opção é fornecida aos clientes que usam o Novell Client para Windows e um cliente SOCKS 5 de terceiros na mesma estação de trabalho. Se um usuário já se autenticou no NDS ou eDirectory efetuando login em um cliente Novell e tenta utilizar um cliente SOCKS 5 para acessar a Internet pelo Novell IP Gateway, o gateway não autentica o usuário novamente.

      Para que o login único ocorra, a máquina cliente precisa estar executando o CLNTRUST.EXE e o DWNTRUST.EXE. Para obter mais informações sobre esses arquivos, consulte Configurando clientes de gateway.

      NOTA:  Se o login único for habilitado, mas o usuário não tiver efetuado login no NDS ou eDirectory ou estiver limitado ao uso de um cliente SOCKS 5, o gateway autenticará o usuário com um dos esquemas de autenticação. Se o login único falhar ou não for selecionado nenhum esquema de autenticação, a conexão do usuário será interrompida.

   6. Clique em OK para fechar a janela Configurar SOCKS V4 e V5.

6. Habilite a verificação de usuário do SOCKS 4 executando os seguintes subpassos:

   1. Em Habilitar Serviço, clique duas vezes em SOCKS V4 e V5 ou destaque SOCKS V4 e V5 > clique em Detalhes.

   2. Marque a caixa de seleção Verificação do Usuário SOCKS V4.

      A verificação de usuário do SOCKS 4 exige que o Novell IP Gateway verifique se o usuário existe no NDS ou eDirectory, mas o gateway não autentica o usuário. O usuário não precisa fornecer uma senha para obter acesso à Internet através do gateway.

   3. Clique em OK para fechar a janela Configurar SOCKS V4 e V5.

7. Clique em OK para fechar a página Configuração do Novell BorderManager 3.7.

Consulte Configurar o controle de acesso para obter mais informações sobre a configuração e o uso do controle de acesso com o Novell IP Gateway.

NOTA:  As regras de acesso baseadas no NDS ou eDirectory para clientes SOCKS podem restringir somente o acesso a sites e não a URLs específicos. Para a filtragem de conteúdo, use o SurfControl* instalado no servidor Novell BorderManager 3.7.