Opções de Configuração e Limitações do Gateway IP da Novell

As opções de configuração e limitações do Gateway IP da Novell são descritas nas seções a seguir:

Especificar Servidores DNS

Como parte da configuração do servidor de gateway, você deve fornecer o nome de domínio do DNS (Domain Name System) e o endereço IP válidos de, pelo menos, um servidor de nomes do DNS. O servidor de gateway usa o DNS para converter nomes de hosts IP por parte dos clientes de gateway da rede privada.

NOTA: Se um servidor de nomes do DNS foi especificado durante a instalação do Novell BorderManager, esse requisito foi satisfeito.

Especificar o Servidor de Gateway Preferencial para Clientes

O cliente de gateway, que mantém uma conexão de controle entre o cliente e o servidor de gateway, tenta se conectar com um servidor preferencial, se algum tiver sido configurado. Se o servidor de gateway especificado não estiver disponível, o cliente de gateway procurará o seguinte:

Um servidor BorderManager que esteja executando o serviço de gateway IP/IP --- Começando pelo contexto do usuário e pelo contexto do servidor de gateway preferencial, o software do cliente de gateway procura para baixo, na árvore do NDS, um objeto Servidor de gateway.
Um servidor BorderManager que esteja executando o serviço de gateway IPX/IP --- Começando pelo contexto do usuário e pelo contexto do servidor de gateway preferencial, o software do cliente de gateway procura para baixo, na árvore do NDS, um objeto Servidor de gateway.
Um servidor BorderManager que esteja executando o serviço de gateway IPX/IP --- Para localizar o servidor de gateway, o cliente de gateway procura o bindery do servidor a que o cliente está anexado.
Um servidor BorderManager, em qualquer contexto do NDS, que esteja executando o serviço de gateway IPX/IP --- Para localizar o servidor de gateway, o cliente de gateway usa o protocolo SAP (Service Advertising Protocol).

Geralmente, a configuração de um servidor de gateway preferencial reduz o tempo necessário para o cliente se conectar com o servidor de gateway.

NOTA: Se for especificado um servidor de gateway preferencial para um cliente e um usuário que não esteja logado no NDS tentar executar aplicativos WinSock, o cliente de gateway não enviará os pedidos do WinSock do cliente para o Gateway IP da Novell até o usuário logar.

Suportar Clientes SOCKS

O Gateway IP da Novell suporta clientes SOCKS 4 e SOCKS 5. Antes de configurar o serviço SOCKS do gateway, determine as versões dos clientes SOCKS que precisam ter acesso à Internet através do gateway.

O protocolo do SOCKS 4 foi criado para permitir aos usuários de aplicativos TCP/IP acesso transparente à Internet através de um firewall SOCKS 4. No entanto, o SOCKS 4 não suporta autenticação, que é um componente de segurança necessário a uma solução de firewall. O SOCKS 5 aprimora o SOCKS 4, fornecendo métodos de autenticação mais sofisticados.

Clientes SOCKS 4

Se você precisar suportar clientes SOCKS 4 mas não clientes SOCKS 5, deverá configurar um esquema de autenticação para o Gateway IP da Novell porque o SOCKS 4 não suporta a autenticação de usuário. Você pode permitir que os usuários do SOCKS 4 da rede acessem a Internet através do gateway, fazendo o seguinte:

Ativando o serviço do SOCKS 4 e do SOCKS 5.
Criando um objeto Usuário no NDS para cada usuário do SOCKS 4.
Adicionando objetos Usuário à lista de usuários do servidor de gateway.
Ativando a verificação de usuários do SOCKS 4.

Para ver os procedimentos de configuração dessas tarefas, consulte o manual Configuração e Gerenciamento do Gateway IP da Novell e NAT.

Clientes SOCKS 5

Se sua rede tiver clientes SOCKS 5, você poderá configurar o gateway para autenticar esses usuários antes de eles poderem acessar a Internet através do gateway. Se alguns usuários do SOCKS 5 também usarem um Novell Client, você também pode ativar o logon único. Isso permite ao gateway fazer a autenticação do SOCKS 5 em background, se o usuário já estiver logado no NDS com o software Novell Client. Com o logon único, o usuário não está ciente de que a autenticação está ocorrendo no background porque não aparece um prompt para o nome do usuário e para a senha. Uma opção para nenhuma autenticação também está disponível, permitindo que os usuários do SOCKS 5 utilizem o gateway sem restrição.

Você pode permitir que os usuários do SOCKS 5 na rede acessem a Internet através do gateway, fazendo o seguinte:

Ativando o serviço do SOCKS 4 e do SOCKS 5.
Selecionando um esquema de autenticação.
Criando um objeto Usuário em cada NDS para cada usuário do SOCKS 5 (isso não é necessário quando a autenticação está desativada).
Adicionando objetos Usuário à lista de usuários do servidor de gateway (isso não é necessário quando a autenticação está desativada).
(Opcional) Ativando o logon único.

Para ver os procedimentos de configuração dessas tarefas, consulte o manual Configuração e Gerenciamento do Gateway IP da Novell e NAT.

Estas opções de autenticação do SOCKS 5 são suportadas:

Senha/Usuário NDS --- Um componente dentro do cliente SOCKS 5 permite que o cliente autentique o usuário no NDS sem enviar a senha pela rede.
Limpar Senha/Usuário do Texto --- A senha do usuário é enviada pela rede em texto simples e não criptografado.
Nenhum --- Não é necessária a autenticação do usuário.

IMPORTANTE: Se vários métodos de autenticação forem selecionados, o cliente usará o método mais avançado possível. O método Senha/Usuário NDS é o mais avançado, seguido do Limpar Senha/Usuário do Texto e do Nenhum. Se quiser implementar o controle de acesso para clientes SOCKS 5, você não poderá selecionar Nenhum.

Existem outras opções de autenticação disponíveis, mas elas não representam opções de autenticação válidas do NDS por si sós. São as seguintes:

Secure Sockets Layer (SSL) (SSL) --- Exige que seja estabelecida uma conexão segura entre o cliente e o servidor antes de ocorrer a autenticação do NDS do Gateway IP da Novell e criptografa todos os dados trocados entre o cliente e o servidor.
Login Único --- Permite que o Gateway IP da Novell faça a autenticação de um usuário no background se ele já estiver autenticado no NDS com o software Novell Client.

Você deve selecionar opções de autenticação que sejam consistentes com a diretiva de segurança da sua organização. Consulte a tabela a seguir para ver alguns exemplos de configuração da autenticação do SOCKS 5.

Esquemas de Autenticação Selecionados	Resultado
Senha/Usuário NDS Login Único	Como o logon único foi selecionado, todos os usuários já logados no NDS com o Novell Client não precisam fornecer um nome de usuário e uma senha para terem acesso através do gateway usando um cliente SOCKS 5. Se um usuário ainda não estiver autenticado e o cliente SOCKS 5 suportar a autenticação do NDS, o método de tentativa/resposta será usado para autenticar o usuário no NDS. A senha do usuário nunca é enviada pela rede.
Limpar Senha/Usuário do Texto SSL Login Único	Como o logon único foi selecionado, todos os usuários já logados no NDS com um Novell Client possuem acesso automático através do gateway com um cliente SOCKS 5. No entanto, como o método SSL foi selecionado, deve ser estabelecida uma conexão SSL antes de os dados poderem ser trocados. Se um usuário ainda não estiver autenticado, o Novell Client estabelecerá uma conexão SSL com o servidor. A senha não-codificada do usuário é criptografada na estação de trabalho cliente, usando os pares de chaves pública e privada do SSL, antes de ser enviada para o servidor. Após a autenticação, todos os dados também são criptografados antes de serem enviados.
Nenhum	Nenhuma autenticação é necessária para usar o gateway. Qualquer cliente SOCKS 5 pode acessar a Internet através do gateway.

Esquemas de Autenticação Selecionados

Resultado

Senha/Usuário NDS

Como o logon único foi selecionado, todos os usuários já logados no NDS com o Novell Client não precisam fornecer um nome de usuário e uma senha para terem acesso através do gateway usando um cliente SOCKS 5.

Se um usuário ainda não estiver autenticado e o cliente SOCKS 5 suportar a autenticação do NDS, o método de tentativa/resposta será usado para autenticar o usuário no NDS. A senha do usuário nunca é enviada pela rede.

Limpar Senha/Usuário do Texto

SSL

Como o logon único foi selecionado, todos os usuários já logados no NDS com um Novell Client possuem acesso automático através do gateway com um cliente SOCKS 5. No entanto, como o método SSL foi selecionado, deve ser estabelecida uma conexão SSL antes de os dados poderem ser trocados.

Se um usuário ainda não estiver autenticado, o Novell Client estabelecerá uma conexão SSL com o servidor. A senha não-codificada do usuário é criptografada na estação de trabalho cliente, usando os pares de chaves pública e privada do SSL, antes de ser enviada para o servidor. Após a autenticação, todos os dados também são criptografados antes de serem enviados.

Nenhum

Nenhuma autenticação é necessária para usar o gateway. Qualquer cliente SOCKS 5 pode acessar a Internet através do gateway.

Proxy como Cliente SOCKS

Você também pode configurar o servidor proxy BorderManager como um cliente SOCKS para o Gateway IP da Novell. Nesse cenário, o servidor proxy não se conecta diretamente com a Internet para contatar um servidor de origem. Em vez disso, ele envia pedidos para o Gateway IP da Novell, que serve de firewall para a Internet. O servidor proxy e o Gateway IP da Novell podem ser configurados no mesmo servidor físico.

Para obter maiores informações sobre como configurar o proxy como um cliente SOCKS, consulte o manual Configuração e Gerenciamento dos Serviços de Proxy.

Usar o Controle de Acesso

Quando você usa o Gateway IP da Novell, todo o tráfego TCP e UDP é afunilado através de um ou mais servidores de gateway. Os Gateways IP da Novell podem exercer controle completo sobre o acesso do usuário aos recursos da Internet. As informações de controle de acesso estão armazenadas no NDS e podem ser configuradas somente pelo administrador (ou por um usuário com direitos administrativos), usando o utilitário Administrador do NetWare. Você pode restringir o acesso por porta TCP (Web, FTP, Telnet e assim por diante), porta UDP ou endereço de host IP. Também pode limitar o acesso a determinadas portas e endereços IP a um horário específico do dia. Observe que o controle de acesso restringe o acesso a redes e serviços TCP/IP, não a diretórios ou arquivos no servidor BorderManager que estejam executando o software Gateway IP da Novell.

Você pode especificar as informações de controle de acesso para o Gateway IP da Novell em diversos níveis de objetos no NDS: Servidor, Unidade Organizacional, Organização ou País.

Para obter maiores informações sobre como implementar o controle de acesso, consulte o manual Configuração e Gerenciamento do Controle de Acesso.

Limitações do Gateway IP da Novell

O Gateway IP da Novell possui as seguintes limitações:

Somente clientes Windows NT 4.0, Windows 95, Windows 98 e Windows 3.1 são suportados.
Os clientes VLM^TM (Virtual Loadable Module^TM) não são suportados. As sessões SSL não são suportadas pelos serviços de gateway IP/IP ou IPX/IP. Nem todos os aplicativos WinSock funcionam com todos os clientes Windows que o Gateway IP da Novell suporta.
Para os clientes Windows 3.1, o Gateway IP da Novell suporta somente aplicativos WinSock 1.1. Para os clientes Windows 95, Windows 98 e Windows NT 4.0 ou posteriores, o Gateway IP da Novell suporta somente aplicativos WinSock 2.