Esta seção contém informações para resolução de problemas do controle de acesso. São descritos os seguintes tópicos:

• "Diretrizes e Advertências sobre Resolução de Problemas"
• "Resolver Problemas do Cyber Patrol"
• "Ferramentas de Resolução de Problemas"

Diretrizes e Advertências sobre Resolução de Problemas

Esta seção contém as seguintes diretrizes e advertências sobre configuração e implementação do controle de acesso:

• Para garantir a aplicação das regras de controle de acesso, énecessário que pelo menos um dos serviços a seguir esteja habilitado no servidor BorderManager e que o cliente esteja acessando o host de origem através de um dos seguintes recursos:
  • Gateway IP da Novell
  • Serviços de Proxy
  • VPN (Virtual Private Network)

• Quando as regras de controle de acesso são processadas para formar uma lista de controle de acesso, se o nome do host estiver configurado em uma regra, esse nome será convertido em um endereço IP pela pesquisa do DNS. Se estiver configurado em uma regra, o endereço IP será convertido em um nome de host pela pesquisa invertida do DNS. Se a pesquisa do DNS falhar, o ACLCHECK apresentará mensagens de advertência semelhantes às seguintes:

  Get IP address failed for Host name (Falha ao obter endereço IP do nome de host): <nome_do_host>

  Get host name failed for IP address (Falha ao obter nome de host do endereço IP): <endereço_IP>

  Quando uma dessas mensagens éapresentada no console do NetWare, o administrador deve resolver o problema através dos seguintes procedimentos:

  • Verificar se os dados de configuração (nome do host ou endereço IP) da regra de acesso estão corretos
  • Verificar se o servidor de nomes do DNS está funcionando corretamente

• Quando você mudar as regras de acesso e implementar essas mudanças no NDS, deverá ocorrer uma sincronização de marcação de horário. Dependendo da complexidade da rede e da configuração do NDS, essa sincronização pode levar alguns minutos para ser concluída. Enquanto o sistema aguarda o término da sincronização, as mudanças efetuadas no banco de dados ainda ficam esperando para serem lidas pelo BorderManager. Essas mudanças ainda não entraram em vigor. Imediatamente após a sincronização da marcação de horário, o ACLCHECK começa a ler as regras contidas no diretório. Durante esse período, todas as solicitações são negadas. Após a leitura, as novas regras entram em vigor e o acesso épermitido ou negado com base nessas regras.
• Se você tentar atualizar as regras e receber a mensagem Impossível atualizar servidor [-3], verifique se o ACLCHECK.NLM está carregado.

  Se o ACLCHECK.NLM estiver carregado, descarregue o PROXY.NLM, o ACLCHECK.NLM e o CPFILTER.NLM.

  Carregue novamente os arquivos NLM^TM (NetWare Loadable Modules^TM) na ordem inversa e repita o procedimento.

Resolver Problemas do Cyber Patrol

As informações a seguir se referem ao Cyber Patrol:

• Se o Cyber Patrol não for carregado automaticamente durante a carga do servidor, edite o AUTOEXEC.NCF para garantir que as linhas a seguir estão presentes no final desse arquivo:

  LOAD ACLCHECK.NLM
  LOAD SYS:ETC\CPFILTER\CPFILTER

  Todos os módulos do BorderManager devem ter a possibilidade de serem carregados antes do CPFILTER.NLM.

• Acesse o site do Cyber Patrol na Web (http://www.cyberpatrol.com) para verificar se existe um site específico em uma lista do Cyber Patrol. Você também pode sugerir que o conteúdo de um site listado seja analisado ou solicitar a adição de um site àlista.

• Se estiver usando a lista CyberNOT e os usuários conseguirem acessar um site negado através da utilização do endereço IP do site, em vez do URL, acesse o site do Cyber Patrol na Web e clique no link CyberNOT search engine (Motor de pesquisa de CyberNOT ).

• Esse link apresenta outra página.

  Percorra a página de cima para baixo até encontrar um quadro amarelo com a seguinte mensagem:

  Use our CyberNOT search engine to check whether a URL is already on the CyberNOT list (Use o motor de pesquisa do CyberNOT para verificar se um URL já está na lista CyberNOT).

  Digite o endereço IP do site no quadro de entrada de dados fornecido no formato http://nnn.nnn.nnn.nnn e clique na barra a seguir:

  Check if the URL is on the CyberNOT list (Verificar se o URL está na lista CyberNOT)

  Execute um dos seguintes procedimentos:

  • Se o site constar na lista CyberNOT, faça download de uma lista CyberNOT mais recente que aquela contida no servidor BorderManager.
  • Se o site não constar na lista CyberNOT, clique no link Suggest a Site (Sugerir um Site) na mesma página, preencha as informações necessárias e submeta ao Cyber Patrol a solicitação de adição do site àlista CyberNOT.

Ferramentas de Resolução de Problemas

Para resolver problemas de controle de acesso, use as seguintes ferramentas: Software LANalyzer^®, DSTRACE e registro de acertos de regras.

LANalyzer

O LANalyzer éuma ferramenta importante para resolução de problemas de controle de acesso. Para usar essa ferramenta com eficiência, são necessários conhecimentos técnicos de comunicação e protocolos de rede. Com o LANalyzer, épossível rastrear as solicitações (pacotes) enviadas por um cliente ao servidor BorderManager e as respostas do servidor. Também épossível rastrear solicitações enviadas pelo servidor BorderManager a outros hosts e as respostas desses hosts.

Por exemplo, suponha que você utilize o Cyber Patrol para negar acesso a sites pornográficos, mas o seu browser ainda permite o acesso a determinado site pornográfico. Com o LANalyzer, você pode verificar se o browser está realmente enviando a solicitação ao servidor BorderManager e se não está apenas recuperando a página no cache local. Você também pode usar o LANalyzer para verificar se o servidor BorderManager está acessando o host de origem e se não está apenas recuperando a página no cache.

DSTRACE

O DSTRACE éusado para determinar quais solicitações estão sendo feitas ao NDS no servidor BorderManager e as respostas geradas. Essa ferramenta também permite diagnosticar problemas de acesso de controle.

Registro de Acertos de Regras

O Registro de Acertos de Regras pode ser usado para verificar as regras aplicadas. Se você desconfiar de que uma regra de acesso está sendo ignorada, ative o registro da regra para verificar se ela está sendo aplicada.

Por exemplo, suponha que uma regra que negue o acesso a determinado site pareça estar sendo ignorada. Habilite o Registro de Acertos de Regras para as regras que você suspeita que estejam causando o problema. Em seguida, acesse o site negado e consulte os registros de regras para verificar quais regras foram aplicadas.

Como a regra de acesso default (Deny Any Any (Negar Qualquer Qualquer)) não registra informações, crie a sua própria regra Deny Any Any (Negar Qualquer Qualquer), no final da lista de controle de acesso do servidor, para negar acesso a solicitações que não correspondam às outras regras. Habilite novamente o Registro de Acertos de Regras para verificar se as solicitações está sendo negadas pela regra criada.