O Gateway IP da Novell inclui dois gateways em nível de circuitos:

• O gateway IPX/IP, que fornece acesso seguro e controlado à Internet para clientes IPX^TM (Internetwork Packet Exchange^TM) do Windows.
• O gateway IP/IP, que fornece acesso seguro e controlado à Internet para clientes IP baseados no Windows.

Quando o Gateway IP da Novell é configurado para agir como um servidor SOCKS, ele também pode ser utilizado para autenticar os clientes SOCKS e determinar o acesso desses clientes a recursos da rede através das regras da lista de controle de acesso (ACL) armazenada no banco de dados do NDS^TM.

NOTA: O gateway IPX/IP, o gateway IP/IP e os serviços SOCKS podem ser habilitados para serem executados simultaneamente no mesmo servidor. Esse recurso permite que os clientes Windows e os clientes SOCKS acessem a Internet através do mesmo servidor BorderManager.

Os três serviços de gateway são configurados através do Administrador do NetWare. Para obter instruções detalhadas, consulte os seguintes procedimentos:

• "Configurar Serviço de Gateway IPX/IP ou IP/IP"
• "Configurar Serviço do SOCKS 4 ou SOCKS 5"
• "Configurar Registro para Todos os Serviços de Gateway"

Configurar Serviço de Gateway IPX/IP ou IP/IP

Você pode configurar o serviço de gateway IPX/IP para suportar a utilização dos aplicativos TCP/IP pelos clientes Windows que não possuem um endereço IP atribuído. Você também pode configurar o serviço de gateway IP/IP para suportar o controle de acesso do NDS para redes cujos clientes utilizam o TCP/IP.

Para configurar o serviço de gateway IPX/IP ou IP/IP da Novell, complete os seguintes passos:

1. Em uma estação de trabalho de administrador, logue-se na árvore do NDS em que o servidor BorderManager se encontra e inicialize o utilitário Administrador do NetWare.

2. Clique duas vezes no objeto Servidor que representa o servidor BorderManager a ser configurado.

3. Clique em Configuração do BorderManager.

4. Clique na guia Gateway.

5. Em Habilitar Serviço, clique no quadro de seleção Gateway IPX/IP ou Gateway IP/IP.

   Quando você fecha a página Novell BorderManager Setup (Configuração do Novell BorderManager), o servidor carrega o IPXIPGW.NLM, o arquivo NLM^TM (NetWare Loadable Module^TM) do gateway e cria um objeto Servidor de Gateway na árvore do NDS.

   NOTA: Embora os gateways sejam habilitados através dos quadros de seleção, o NLM do gateway não é carregado no servidor até que você clique em OK para fechar a página Configuração do BorderManager, como explicado no Passo 10.

6. (Opcional) Se você quiser atribuir um número de porta diferente ao tráfego do gateway, complete os seguintes subpassos para mudar a porta do serviço de gateway:

   1. Em Habilitar Serviço, clique duas vezes no gateway cuja porta do serviço deve ser mudada ou destaque o gateway e clique em Detalhes.

   2. Em Atributos do Serviço, digite um número de porta diferente no campo Porta de Serviços.

      Por padrão, os dois gateways utilizam a porta 8225 (decimal). Embora a mudança de porta do serviço não seja recomenda, se outro serviço estiver utilizando essa porta, você poderá atribuir um número de porta diferente ao tráfego do gateway.

7. (Opcional) Se você quiser habilitar a autenticação de logon único para o serviço de gateway IPX/IP, marque o quadro de seleção Autenticação de Login Único em Atributos do Serviço.

   A autenticação de logon único habilita o gateway IPX/IP a executar uma autenticação de usuário em background se o usuário já estiver logado no NDS. Com o logon único, os usuários não precisam fornecer um nome de usuário e uma senha para acessar recursos através do gateway. Se o logon único não estiver habilitado, o software Gateway IP da Novell executará uma autenticação secundária quando um usuário tentar acessar recursos através do serviço de gateway IPX/IP, independentemente de o usuário já estar logado.

   NOTA: O logon único só se aplica ao serviço de gateway IPX/IP. Ele é ignorado quando o serviço de gateway IP/IP é utilizado.

8. Clique em OK para fechar a janela Configurar Serviços do Gateway.

9. (Opcional) Para registrar e observar os eventos do gateway, consulte "Configurar Registro para Todos os Serviços de Gateway".

10. Clique em OK para fechar a página Configuração do BorderManager.

    As mudanças de configuração têm efeito depois que a página Configuração do BorderManager é fechada.

11. Configure regras de controle de acesso para os clientes dos gateways IPX/IP ou IP/IP.

    IMPORTANTE: Diferentemente do controle de acesso do software do gateway IPX/IP da Novell lançado antes do BorderManager, o controle de acesso do Gateway IP da Novell não é configurado a partir do objeto Servidor de Gateway (SERVER_NAME-GW). Se houver regras configuradas para um objeto Servidor de Gateway, elas não mais funcionarão depois que você fizer o upgrade do servidor para o BorderManager e habilitar o Gateway IP da Novell. Para que tenham efeito, essas regras devem ser reconfiguradas para o objeto Servidor.

    Consulte Configuração e Gerenciamento do Controle de Acesso para obter informações sobre a configuração e a utilização do controle de acesso com o Gateway IP da Novell.

Configurar Serviço do SOCKS 4 ou SOCKS 5

Se você tiver clientes SOCKS 4 ou SOCKS 5 na rede e quiser controlar o acesso deles à Internet através do Gateway IP da Novell, configure o serviço do SOCKS.

Como parte do procedimento de configuração, especifique os parâmetros de autenticação do SOCKS 5, habilite a verificação de usuário do SOCKS 4 ou execute essas duas ações, se a rede tiver uma combinação de clientes SOCKS 4 e SOCKS 5.

Se você não estiver familiarizado com o SOCKS, consulte Novell BorderManager Enterprise Edition 3 - Visão Geral e Planejamento para obter uma descrição introdutória.

IMPORTANTE: O Gateway IP da Novell só pode verificar os usuários do SOCKS 4 e autenticar os usuários do SOCKS 5 se forem criados objetos Usuário para eles no NDS. Consulte os requisitos no Capítulo 1, "Preparar para Configurar o Gateway IP da Novell e o NAT".

Para configurar o serviço do SOCKS no Gateway IP da Novell, complete os seguintes passos:

1. Em uma estação de trabalho de administrador, logue-se na árvore do NDS em que o servidor BorderManager se encontra e inicialize o utilitário Administrador do NetWare.

2. Clique duas vezes no objeto Servidor que representa o servidor BorderManager a ser configurado.

3. Selecione a página Configuração do BorderManager.

4. Selecione a guia Gateway.

5. Em Habilitar Serviço, clique no quadro de seleção SOCKS V4 e V5.

6. (Opcional) Para atribuir um número de porta diferente ao tráfego do SOCKS, complete os seguintes subpassos para mudar a porta do serviço de gateway:

   1. Em Habilitar Serviço, clique duas vezes em SOCKS V4 e V5 ou destaque SOCKS V4 e V5 e clique em Detalhes.

   2. No campo Porta de Serviços, digite um número de porta diferente.

      Por padrão, o serviço do SOCKS utiliza a porta 1080 (decimal). Embora a mudança do número da porta do serviço não seja recomendada, se outro servidor estiver utilizando essa porta, você poderá atribuir um número de porta diferente ao tráfego do SOCKS.

      IMPORTANTE: Se você mudar o número da porta do serviço, todos os clientes SOCKS deverão ser configurados para utilizar o número da nova porta.

   3. Clique em OK para fechar a janela Configurar SOCKS V4 e V5.

7. Se a rede não possui clientes SOCKS 5, vá para o Passo 8. Caso contrário, configure os parâmetros de autenticação do SOCKS 5 completando os seguintes subpassos:

   1. Em Habilitar Serviço, clique duas vezes em SOCKS V4 e V5 ou destaque SOCKS V4 e V5 e clique em Detalhes.

   2. Em Autenticação SOCKS V5, selecione qualquer ou todos os seguintes esquemas de autenticação (listados da prioridade mais baixa à mais alta):

      IMPORTANTE: Se forem selecionados vários esquemas de autenticação, o Gateway IP da Novell utilizará o esquema de prioridade mais alta que o cliente pode executar.

      • Nenhum --- Essa opção é equivalente à opção de autenticação nula para os clientes SOCKS 5. Não é necessária nenhuma autenticação pelo Gateway IP da Novell.
      • Limpar Senha/Usuário do Texto --- Quando Gateway IP da Novell autentica um usuário, a senha do usuário é transmitida em texto não-codificado. Essa senha é verificada em relação à senha do usuário armazenada no NDS, mas essa verificação não é o mesmo que a autenticação do NDS. Como uma senha transmitida sem codificação não é segura, essa opção só deve ser utilizada se o SSL também estiver selecionado para criptografar a senha antes de transmiti-la.
      • Senha/Usuário NDS --- Quando o Gateway IP da Novell autentica um usuário, a senha do usuário nunca é transmitida. Em vez disso, como na autenticação de um cliente Novell, a senha é utilizada para gerar um par de códigos seguro. Os handshakes sucessivos entre o cliente e o servidor completam a autenticação. Uma opção de autenticação do NDS deve estar disponível no cliente SOCKS para que esse esquema de autenticação funcione.
      • SSL --- Esta opção exige que seja estabelecida uma conexão SSL (Secure Sockets Layer) entre o cliente e o servidor antes que o Gateway IP da Novell possa autenticar um usuário com qualquer outro esquema de autenticação. O SSL utiliza um sistema criptográfico de código público/código privado. A habilitação dessa opção também garante a criptografia de todos os dados transmitidos entre o cliente e o servidor.

      IMPORTANTE: Se o SSL e o controle de acesso estiverem habilitados para o Gateway IP da Novell, selecione também Senha/Usuário NDS ou Limpar Senha/Usuário do Texto, pois o protocolo SSL não executa a autenticação de usuário para o controle de acesso do NDS.

   3. (Opcional) Se você selecionou SSL como um esquema de autenticação, utilize o menu pull-down ID da Chave para fazer uma seleção em uma lista de arquivos disponíveis.

      NOTA: Um arquivo de ID de código só estará disponível depois que você criar um objeto Material da Chave (KMO) no NDS para o servidor que utiliza o Administrador do NetWare. Para obter maiores informações sobre como criar um KMO, consulte a Ajuda do PKI no Administrador do NetWare ou as informações sobre o PKI que se encontram na documentação online do NetWare 5 no seguinte caminho:

      Conteúdo > Serviços PKI (Public Key Infrastructure) da Novell (sob os títulos Network Services Documentation (Documentação de Serviços de Rede) e Serviços de Segurança) > Setting Up (Configurar) > Create a KMO (Criar um Objeto Material da Chave).

   4. (Opcional) Habilite o logon único para os clientes SOCKS 5 marcando o quadro de seleção Login Único em Autenticação SOCKS V5.

      Essa opção é fornecida aos clientes que utilizam o Novell Client para Windows e um cliente SOCKS 5 de terceiros na mesma estação de trabalho. Se um usuário já se autenticou no NDS logando-se a partir de um cliente Novell e tenta utilizar um cliente SOCKS 5 para acessar à Internet através do Gateway IP da Novell, o gateway não autentica o usuário novamente. O usuário não é solicitado a fornecer um nome de usuário e uma senha.

      Para que ocorra o logon único, a máquina do cliente deve estar executando o CLNTRUST.EXE e o DWNTRUST.EXE. Para obter maiores informações sobre esses arquivos, consulte "Configurar Clientes para Utilizar o Logon Único Habilitado no Servidor de Gateway".

      NOTA: Se o logon único for habilitado mas o usuário não tiver se logado no NDS ou estiver limitado à utilização de um cliente SOCKS 5, o gateway autenticará o usuário com um dos esquemas de autenticação selecionados no Passo 7b. Se o logon único falhar ou não for selecionado nenhum esquema de autenticação, a conexão do usuário será interrompida.

   5. Clique em OK para fechar a janela Configurar SOCKS V4 e V5.

8. Se a rede não possui clientes SOCKS 4, vá para o Passo 9. Caso contrário, habilite a verificação de usuário do SOCKS 4 completando os seguintes subpassos:

   1. Em Habilitar Serviço, clique duas vezes em SOCKS V4 e V5 ou destaque SOCKS V4 e V5 e clique em Detalhes.

   2. Marque o quadro de seleção Verificação do Usuário SOCKS V4.

      A verificação de usuário do SOCKS 4 exige que o Gateway IP da Novell verifique se o usuário existe no NDS, mas o gateway não autentica o usuário. O usuário não precisa fornecer uma senha para obter acesso à Internet através do gateway.

   3. Clique em OK para fechar a janela Configurar SOCKS V4 e V5.

9. (Opcional) Para registrar e observar os eventos do gateway, consulte "Configurar Registro para Todos os Serviços de Gateway".

10. Clique em OK para fechar a página Configuração do BorderManager.

    As mudanças de configuração têm efeito depois que a página Configuração do BorderManager é fechada.

11. (Opcional) Se você selecionou Verificação do Usuário SOCKS V4, Limpar Senha/Usuário do Texto ou Senha/Usuário NDS como esquema de autenticação do SOCKS 5, complete os seguintes subpassos:

    1. Clique duas vezes no objeto Servidor no Administrador do NetWare.

    2. Selecione a página Usuários.

    3. Clique em Adicionar.

    4. Faça um browse na árvore do NDS para localizar o objeto Usuário que corresponde ao usuário do SOCKS.

    5. Clique duas vezes no objeto Usuário para adicionar o usuário à página Usuários

    6. Repita os Passos 11c a 11e para cada usuário do SOCKS.

    7. Clique em OK para gravar as mudanças e fechar a página Usuários.

       Você é levado de volta à janela da árvore no Administrador do NetWare.

12. Configure regras de controle de acesso para os clientes do gateway SOCKS.

    Consulte Configuração e Gerenciamento do Controle de Acesso para obter informações sobre a configuração e a utilização do controle de acesso com o Gateway IP da Novell.

    NOTA: As regras de acesso baseadas no NDS para os clientes SOCKS não podem restringir o acesso a URLs. Para filtrar o conteúdo, utilize o Cyber Patrol* instalado no servidor BorderManger.

Configurar Registro para Todos os Serviços de Gateway

É possível habilitar o registro para todos os serviços de gateway na janela de configuração de qualquer serviço de gateway. Porém, todos os gateways devem compartilhar a mesma configuração de registro. Por exemplo, se você habilitar e configurar o registro para o gateway IPX/IP, o registro para o gateway IP/IP e para os serviços SOCKS 4 e SOCKS 5 será habilitado com os mesmos parâmetros.

O registro não é necessário para a operação do gateway, mas, se estiver habilitado, os serviços acessados e os endereços IP de origem e destino de cada acesso serão registrados. Essas informações são úteis para monitorar a performance do gateway e a segurança da rede.

Para habilitar o registro universal para todos os serviços de gateway, complete os seguintes passos com a guia Gateway do servidor selecionada no Administrador do NetWare:

1. Em Habilitar Serviço, clique duas vezes em um serviço de gateway habilitado ou destaque um serviço de gateway e clique em Detalhes.

2. No campo Formato do Registro, selecione Indexado para habilitar o registro de eventos.

3. No campo Nível de Registro, especifique um número entre 0 e 3 que indique o tipo de informação a ser registrada pelo servidor.

   As opções são estas:

   • 0 --- Nenhuma informação.
   • 1 --- Informações de acesso à Internet. O servidor registra o nome do DNS completo exclusivo do usuário, o protocolo de acesso (HTTP, por exemplo) e o destino (www.novell.com, por exemplo).
   • 2 --- Códigos de erro (erros do NDS, por exemplo). As informações de Nível 2 podem ajudá-lo a determinar o motivo pelo qual um usuário não consegue acessar um serviço específico.
   • 3 --- Informações de depuração (comunicações no servidor interno, como chamadas de soquete). As informações de Nível 3 são geralmente apenas do interesse dos desenvolvedores de software.

   Os níveis de registro são adicionáveis; por exemplo, as informações de nível 1 também são registradas no nível 2.

4. Clique em OK para fechar a janela de configuração do serviço de gateway.

   Como a configuração de registro é universal, se você clicar duas vezes em outro serviço de gateway, o formato de registro e o nível de registro já estarão configurados. Observe que o registro só é ativado depois que a página Configuração do BorderManager é fechada.