Die Novell BorderManager VPN-Client-Software ermöglicht einer Arbeitsstation die sichere Kommunikation mit einem durch einen Novell VPN-Server geschützten Netzwerk über das Internet.
Die VPN-Client-Software weist die folgenden Funktionen auf.
Der NBM 3.8-VPN-Client muss das x509-Benutzerzertifikat und die Herkunftsverbürgung des Servers liefern, um den IKE-Hauptmodus der Beglaubigung auszuführen. Diese beiden Elemente sollten auf die lokale Arbeitsstation kopiert werden (<Laufwerk>:\novell\vpnc\certificates\users oder <Laufwerk>:\novell\vpnc\certificates\trustedroot), auf dem VPN ausgeführt werden soll.
Der VPN-Client weist eine Funktion zum Abrufen des Benutzerzertifikats von Novell eDirectory auf. Dazu ist der Novell-Client erforderlich. Falls der Novell-Client installiert ist, ist diese Option aktiviert, damit der Benutzer sein Zertifikat abrufen kann. Zum Abrufen des Benutzerzertifikats müssen Sie den Benutzernamen, das Kennwort, den Kontext, den Baum und die IP-Adresse (optional) und den Benutzerzertifikatnamen (nur den Namen, d. h. "adminCert") angeben. Auf diese Weise wird das Benutzerzertifikat abgerufen und unter <Laufwerk>:\novell\vpnc\certificates\users als "AdminCert.pfx" gespeichert. Falls mehr Zertifikate für einen Benutzer vorhanden sind, werden diese als "AdminCert(n).pfx (n = 1..n)" gespeichert.
Im IKE-Beglaubigungsmodus kann der Benutzer IKE- und IPSec-Parameter angeben. Dazu klickt er auf der Registerkarte "VPN" auf den Richtlinieneditor. Diese Richtlinie wird an den VPN-Server weitergegeben, falls auf dem Server keine Richtlinie festlegt ist.
Der Novell VPN-Client ist in Novell Modular Authentication Service (NMAS) integriert. NMAS verwendet den Novell-Client. Installieren Sie den Novell-Client, um die NMAS-Funktionen verwenden zu können.
Wählen Sie auf der Registerkarte "Konfiguration" die Option "NMAS" aus und geben Sie auf der Registerkarte "eDirectory" NMAS-Benutzerinformationen und den Berechtigungsnachweis ein. Geben Sie auf der Registerkarte "VPN" die IP-Adresse des VPN-Servers und die NMAS-Sequenz ein (z. B. NDS/eDirectory, Universal Smart Card, einfaches Passwort usw.). Für den Berechtigungsnachweis zeigt diese Methode ein Dialogfeld an, falls dieser noch nicht eingegeben wurde.
Wählen Sie auf der Registerkarte "Konfiguration" die Option "NMAS" aus und aktivieren Sie das Kontrollkästchen "LDAP". Wechseln Sie zur Registerkarte "VPN" und geben Sie die IP-Adresse des VPN-Servers und den LDAP-Benutzer-DN ein (z. B. CN=Admin,O=Novell). Die LDAP-Methode zeigt ein Dialogfeld für den Berechtigungsnachweis an.
Wählen Sie auf der Registerkarte "Konfiguration" den Abwärtskompatibilitätsmodus aus. Geben Sie auf der Registerkarte "eDirectory" den Berechtigungsnachweis ein. In diesem Modus kommuniziert der NBM 3.8-Client mit dem NBM-Server (BMEE 3.6, NBM 3.7, NBM 3.8) im SKIP-Modus. Die ActiveCard-Token-Beglaubigung wird aktiviert, falls NMAS auf dem Client installiert ist. Die ActiveCard-Token-Beglaubigungsmethode kann verwendet werden, wenn die ActiveCard-Token-Methode für den Benutzer in eDirectory konfiguriert ist. Auf der Registerkarte "VPN" ist der Berechtigungsnachweis für die ActiveCard-Token-Methode erforderlich.
Wählen Sie auf der Registerkarte "Konfiguration" den vorinstallierten Beglaubigungsmodus aus. Wechseln Sie zur Registerkarte "VPN" und geben Sie das Passwort für den vorinstallierten Schlüssel ein, der auf dem VPN-Server konfiguriert ist.
Diese Version des Novell VPN-Client ist in den Novell-Client für Windows 98, Windows NT, Windows 2000 oder Windows XP Home integrierbar. Nehmen Sie nach der Installation des neuen VPN-Client einen Neustart des Computers vor. Während des Neustarts wird der VPN-Client in den Novell-Client integriert. Wenn das System hochgefahren wurde, weist der Novell-Anmeldebildschirm die Dropdown-Liste "Standort" auf. In dieser Liste ist der Standardeintrag sowie ein Eintrag für die VPN-Funktionalität enthalten. Je nach auszuführender Operation können Sie einen beliebigen Standort wählen.
Es stehen vier neue Registerkarten zur Verfügung, die durch Auswahl der Novell Client32-Eigenschaften in einer Service-Instanz konfiguriert werden können. Die vier Registerkarten führen folgende Schritte aus:
In dieser Version des VPN-Client für Windows 98, Windows Me, Windows NT, Windows 2000 und Windows XP wird die NICI-(128-Bit-)Verschlüsselung verwendet, da für NICI keine Exportbeschränkungen gelten.
Wenn NICI 1.7.0 (128-Bit-Version) nicht installiert ist, wird es vom VPN-Setup-Programm installiert. Diese NICI-Version überschreibt NICI 1.5.7 (56-Bit) bzw. NICI 1.5.3 (56/128-Bit), jedoch nicht NICI 2.6.0. Wenn NICI 2.6.0 installiert ist, bleiben NICI 1.5.7 und 2.6.0 nebeneinander bestehen.
Unter Windows 98 und Windows Me können Sie Einwähleinträge jedes beliebigen Servertyps auswählen. In früheren Versionen (bei Novell BorderManager Enterprise Edition 3.0) war nur die Auswahl von Einwähleinträgen des Typs "Novell Virtual Private Network" möglich. Alle Einträge müssen so konfiguriert werden, dass sie nur TCP/IP-Verbindungen aushandeln. Wenn Sie den VPN-Client über DFÜ-Netzwerk und nicht über "vpnlogin.exe" aufrufen möchten, muss der Einwähleintrag, den Sie für das DFÜ-Netzwerk auswählen, dem Servertyp "Novell Virtual Private Network" entsprechen; andernfalls wird "vpnlogin.exe" nach dem Herstellen der Einwählverbindung nicht aufgerufen.
Unter Windows NT können Sie Einwähleinträge jedes beliebigen Servertyps auswählen. Auf Windows NT steht der Servertyp "Novell Virtual Private Network" in der "DFÜ-Netzwerk"-Auswahl nicht zur Verfügung.
Falls eine Einwählverbindung erforderlich ist, installieren Sie das DFÜ-Netzwerk vor dem VPN-Client.
Wenn Sie die Einwähleinträge über VPNLogin.exe auswählen, sollten Sie Einträge auswählen, die nicht die PPP-Komprimierung (Point-to-Point-Protokoll) aktivieren. Die Komprimierung verschlüsselter Daten führt zu unnötig erhöhter CPU-Belastung, wobei die Größe der versendeten Pakete jedoch nicht weiter verringert wird.
Installieren Sie das Modem und anschließend den VPN-Client.
Während der Installation des VPN-Client wird automatisch ein Novell VPN-Einwähleintrag für Sie erstellt, wenn Sie die Option "DFÜ-Netzwerk" verwenden.
Während der VPN-Client-Anmeldung wird der eDirectory-Benutzer benachrichtigt, falls das eDirectory-Passwort des Benutzers abgelaufen ist und Kulanzanmeldungen verwendet werden. Der Benutzer erhält außerdem die Möglichkeit, das eDirectory-Passwort während der VPN-Client-Anmeldung zu ändern. Dies ist auch mithilfe des entsprechenden Symbols auf der VPN-Client-Taskleiste möglich. Für den Benutzer ist die Option zum Ändern des Passworts nur verfügbar, falls der Benutzer den eDirectory-Berechtigungsnachweis für die VPN/NetWare-Anmeldung in der VPN-Client-Anwendung verwendet. Die Änderung des Passworts wird bei einer kontextlosen Anmeldung nicht vorgenommen. Hierzu sind alle eDirectory-Benutzerberechtigungen erforderlich.
Die vom Verwalter in eDirectory definierte Richtlinie wird auf den Client angewandt. Wird eine Richtlinie für einen bestimmten VPN-Benutzer während einer VPN-Sitzung geändert, werden die Änderungen erst in der nächsten Sitzung angezeigt.
In dieser Version des VPN-Client wird die automatische Installation unterstützt. Damit kann eine Installation ohne Benutzereingaben durchgeführt werden. Wenn die Option "Einwählen" ausgewählt wird, ist eingeschränktes Eingreifen der Benutzer erforderlich, wenn die Arbeitsstation über kein DFÜ-Netzwerk bzw. keine Fernzugriffskomponenten verfügt.
Um diese Funktion zu nutzen, führen Sie SETUP.EXE mit einem Schalter zum Erstellen einer Antwortdatei aus, der die Antworten auf alle Fragen enthält, die in der Regel während der Installation gestellt werden. Da dies die Auswahl des Einwähl-Client und/oder des LAN-Client einschließt, müssen Sie möglicherweise mehrere Antwortdateien auf der Grundlage der Benutzeranforderungen erstellen.
Nach dem Erstellen der Antwortdatei können Sie SETUP.EXE mit einem anderen Schalter ausführen, der die Verwendung der Antwortdatei veranlasst, sodass für die Installation nur wenige Eingriffe seitens des Benutzers erforderlich sind. Es gibt auch einen Schalter, der eine Protokolldatei für die automatische Installation erstellt. Dieser kann zur Verifizierung einer erfolgreichen Installation oder zur Diagnose der Ursachen für eine fehlgeschlagene Installation verwendet werden. Beispiele zur Verwendung dieser Schalter sind nachfolgend aufgeführt.
Bei Arbeitsstationen mit verschiedenen Windows-Versionen muss häufig eine "automatische Installation" durchgeführt werden. Wenn Windows oder der Novell-Client über eine CD installiert wurde, werden Sie vom VPN-Client-Installationsprogramm zum Einlegen der Installations-CD-ROMs aufgefordert. Da die Antworten auf diese Installationsanweisungen von der installierten Windows-Version abhängig sind, ist es in dieser Situation am besten, eine Antwortdatei zu erstellen, die den Benutzer bei Bedarf nach diesen Installations-CD-ROMs fragt.
So erstellen Sie eine solche Antwortdatei
Führen Sie eine normale Installation des VPN-Client aus, ohne die Antwortdatei zu erstellen. Während der Installation werden Sie möglicherweise nach Windows- bzw. Novell Client-CD-ROMs gefragt. Fahren Sie wie gewöhnlich mit der Installation fort.
Führen Sie nach dem Neustart SETUP.EXE erneut aus und erstellen Sie nun die Antwortdatei. Während der Neuinstallation werden Sie nicht nach den Installations-CD-ROMs für Windows oder Novell-Client gefragt und daher kann die Antwortdatei keine Antwort ausgeben, wenn das Benutzer-Installationsprogramm nach den Windows- oder Client-CD-ROMs fragt. Da in der Antwortdatei keine Antwort vorhanden ist, wird der Benutzer bei Bedarf nach den Windows- oder Novell-Client-CD-ROMs gefragt.
Um das ordnungsgemäße Funktionieren der Antwortdatei zu überprüfen, führen Sie auf einer Arbeitsstation, auf der der VPN-Client nicht installiert ist, eine automatische Installation durch. Die Installationsprotokolldatei sollte ResultCode=0 anzeigen.
Die automatische Installation kann nur mit SETUP.EXE im Verzeichnis "disk1" ausgeführt werden. Mit der selbstextrahierenden ausführbaren Datei ist dies nicht möglich.
Die automatische Installation wird durch Ausführen von SETUP.EXE im Verzeichnis "disk1" mit bestimmten Befehlszeilenoptionen aktiviert. Verfügbare Optionen für SETUP.EXE:
Je nachdem, welche der beiden Optionen verwendet wird, können die Optionen "-f1" und "-f2" zum Festlegen der Namendateien verwendet werden.
So verwenden Sie die automatische Installationsfunktion
Erstellen Sie eine Antwortdatei, indem Sie von disk1 der VPN-Client-CD-ROMs aus folgenden Befehl eingeben:
setup.exe -r -f1"<ANTWORTDATEI>"
wobei <ANTWORTDATEI> den absoluten Pfad und Namen der Antwortdatei enthält. Die Option -f1"<ANTWORTDATEI>" kann weggelassen werden. In solchen Fällen wird im Windows- oder WinNT-Verzeichnis eine Antwortdatei mit dem Namen SETUP.ISS erstellt. Beispiel:
setup.exe -r -f1"c:\test\setup.iss" führt die Installation aus und speichert die Eingabe im Verzeichnis C:\TE.
HINWEIS: Wenn die Schalter "-f1" und "-f2" verwendet werden, darf vor dem Anführungszeichen kein Leerzeichen stehen. Beispiel: -f1 "Dateiname" ist nicht korrekt. -f1"Dateiname" ist korrekt.
Führen Sie die Installation auf der Grundlage von zuvor erfassten Eingaben aus, indem Sie von disk1 der VPN-Client-CD-ROMs aus folgenden Befehl eingeben.
setup.exe -s -f1"<ANTWORTDATEI>" -f2"<PROTOKOLLDATEI>"
wobei <ANTWORTDATEI> den absoluten Pfad und Namen der Antwortdatei enthält, und <PROTOKOLLDATEI> den absoluten Pfad und Namen der Protokolldatei.
Beispiel: Beispielsweise führt -s -f1"c:\winnt\response.txt" -f2".\setup.log" die Installation mit Eingaben aus der Datei "response.txt" im Verzeichnis c:\WinNT aus und protokolliert das Ergebnis in der Datei "setup.log" im gleichen Verzeichnis wie "setup.exe".
Verifizieren Sie den erfolgreichen Abschluss der automatischen Installation durch Überprüfen des Inhalts von "setup.log". Es sollte der folgende Ergebnisabschnitt angezeigt werden:
[ResponseResult]
ResultCode=0
Ein Wert von 0 für ResultCode zeigt, dass die Installation erfolgreich war. Ein anderer Wert als 0 weist auf Fehler hin. Die möglichen ResultCode-Werte sind:
Der häufigste Installationsfehlercode ist -12. Die Fehlerbedingung zeigt in der Regel ein Dialogfeld mit einer Fehlermeldung an, die eine Benutzereingabe wie z. B. Klicken auf "OK" erfordert, um die Kenntnisnahme des Fehlers zu bestätigen. Da diese Antwort nicht in der Antwortdatei vorhanden ist, wird während der automatischen Installation davon ausgegangen, dass die Dialogfelder der Antwortdatei in einer anderen Reihenfolge angeordnet sind. Daher wird die Fehlermeldung -12 angezeigt.
Mit einer Stapeldatei kann der Vorgang der automatischen Installation noch weiter automatisiert werden. So können Sie beispielsweise die folgende Datei INSTALL.BAT im DISK1-Unterverzeichnis erstellen: setup.exe -s -f1"c:\vpninst\disk1\response.txt" -f2"c:\temp\vpninst.log" rem Hierbei wird vorausgesetzt, dass der VPN-Client nach c:\vpninst extrahiert wurde. rem Er könnte sich auf einem Netzlaufwerk oder in einem beliebigen anderen Verzeichnis befinden. Fügen Sie zwischen -f1 und dem Anführungszeichen kein Leerzeichen ein. Wenn das Symbol für die VPN-Anmeldung auf dem Desktop angezeigt wird, booten Sie neu, um die Installation des VPN-Client abzuschließen.
Wenn sich im Verzeichnis Disk1 Ihres VPN-Client-Installationsverzeichnisses eine Datei namens "vpnconfig.txt" befindet, bezieht das Installationsprogramm die VPN-Server-Adressen, den Beglaubigungsmodus, die NetWare-Server-IP-Adresse, die NMAS-Sequenzen, den eDirectory-Kontext, ob die eDirectory-Anmeldung aktiviert werden soll usw. aus dieser Datei. Diese Angaben werden dann in der Registrierung der Arbeitsstation aktualisiert.
Eine Schablone für die Textdateisyntax finden Sie auf Disk1. Diese Schablone können Sie an die Anforderungen Ihres Unternehmens anpassen. Diese Schablone bedarf keiner weiteren Erläuterungen.
Wenn der VPN-Server Ihre Firewall darstellt, sind die Ausnahmefilter bereits so konfiguriert, dass sie diesen Datenverkehr durchlassen. Filter müssen während der VPN-Konfiguration aktualisiert werden.
Novell, Inc., leistet keinerlei Gewähr bezüglich des Inhalts oder Gebrauchs dieses Handbuchs. Insbesondere werden keine ausdrücklichen oder stillschweigenden Gewährleistungen hinsichtlich der handelsüblichen Qualität oder Eignung für einen bestimmten Zweck übernommen. Novell, Inc., behält sich weiterhin das Recht vor, dieses Dokument zu revidieren und dessen Inhalt jederzeit und ohne vorherige Ankündigung zu ändern.
Novell, Inc., gibt ebenfalls keine Erklärungen oder Garantien in Bezug auf Softwareprodukte ab und schließt insbesondere jegliche ausdrückliche oder stillschweigende Garantie auf handelsübliche Qualität oder Eignung für einen bestimmten Zweck aus. Außerdem behält sich Novell, Inc., das Recht vor, Novell-Software jederzeit ganz oder teilweise zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen von diesen Änderungen in Kenntnis zu setzen.
Die Ausfuhr oder Wiederausfuhr dieses Produkts darf nur unter Einhaltung aller geltenden Gesetze und Bestimmungen erfolgen, einschließlich – jedoch ohne Beschränkung darauf – der US-Ausfuhrbestimmungen bzw. der für Ihr Land geltenden Ausfuhrgesetze.
Copyright © 1997-2001, 2002, 2003, 2004 Novell, Inc. Alle Rechte vorbehalten. Ohne ausdrückliche schriftliche Genehmigung des Herausgebers darf kein Teil dieser Veröffentlichung reproduziert, fotokopiert, übertragen oder in einem Speichersystem verarbeitet werden.
Novell ist in den Vereinigten Staaten und in anderen Ländern eine eingetragene Marke von Novell, Inc.
Alle Produkte von Drittanbietern sind Eigentum ihrer jeweiligen Inhaber.