Le logiciel client VPN de Novell BorderManager permet à un poste de travail de communiquer en toute sécurité sur Internet avec un réseau protégé par un serveur VPN Novell.
Le logiciel client VPN offre les fonctions suivantes.
Pour le mode d'authentification principal IKE, le client VPN de NBM 3.8 doit fournir le certificat x509 et la racine approuvée du serveur à l'utilisateur. Ces deux éléments doivent être copiés sur le poste de travail local destiné à l'utilisation du VPN (
Le client VPN offre une fonction d'extraction de certificat utilisateur depuis Novell eDirectory. Cette fonction nécessite l'installation préalable du client Novell. Si le client Novell est installé, cette option est activée pour permettre à l'utilisateur d'extraire son certificat. Pour extraire le certificat utilisateur, vous devez fournir le nom d'utilisateur, le mot de passe, le contexte, l'arborescence et l'adresse IP (facultative) ainsi le nom du certificat utilisateur (le nom uniquement, soit adminCert). Le certificat utilisateur est extrait et stocké dans
En mode d’authentification IKE, l’utilisateur peut indiquer les paramètres IKE et IPSEC en cliquant sur l’éditeur de règles de l'onglet VPN. Cette règle s'impose au serveur VPN si ce dernier n'impose pas de règle.
Le client Novell VPN est intégré avec le service NMAS. NMAS fonctionne avec le client Novell. Installez celui-ci pour bénéficier de la fonctionnalité NMAS.
Sélectionnez l'option NMAS dans l'onglet de configuration et fournissez les références et les informations de l'utilisateur NMAS dans l'onglet eDirectory. Dans l'onglet VPN, indiquez l'adresse IP du serveur VPN ainsi et la séquence NMAS (par exemple, NDS/eDirectory, carte à puce universelle, mot de passe simple, etc). Pour les références, la méthode affiche une boîte de dialogue contextuelle si elles ne sont pas déjà entrées.
Sélectionnez NMAS et cochez la case LDAP dans l'onglet Configuration. Allez dans l'onglet VPN et entrez l'adresse IP du serveur VPN ainsi que le DN utilisateur LDAP (par exemple, CN=Admin, O=Novell). La méthode LDAP affiche une boîte de dialogue pour la référence.
Sélectionnez le mode Compatibilité avec la version précédente dans l'onglet Configuration. Fournissez les références eDirectory dans l'onglet eDirectory. Dans ce mode, le client de NBM 3.8 parle au serveur NBM (BMEE 3.6, NBM 3.7 et NBM 3.8) en mode SKIP. L'authentification par jeton ActiveCard est activée si NMAS est installé sur le client. La méthode d'authentification par jeton ActiveCard fonctionne si elle est configurée pour l'utilisateur dans eDirectory. L'onglet VPN nécessite des références pour la méthode de jeton ActiveCard.
Sélectionnez le mode d'authentification pré-partagée dans l'onglet Configuration. Allez dans l'onglet VPN et indiquez le mot de passe de la clé pré-partagée configurée dans le serveur VPN.
Cette version du client VPN Novell est intégrée au client Novell pour Windows 98, Windows NT, Windows 2000 ou Windows XP Home. Redémarrez l'ordinateur après avoir installé le nouveau client VPN. Pendant le redémarrage, le client VPN est intégré au client Novell. Dès que le système s'affiche, l'écran Login Novell comporte une liste déroulante d'emplacements. Cette liste contient l'entrée par défaut ainsi qu'une entrée pour les fonctions VPN. Vous pouvez sélectionner l'emplacement de votre choix en fonction de l'opération à effectuer.
Quatre nouveaux onglets sont disponibles. Pour les configurer dans une instance de service, sélectionnez Propriétés de Novell Client32. Ces quatre onglets sont les suivants :
Cette version du client VPN pour Windows 98, Windows Me, Windows NT, Windows 2000 et Windows XP utilise le codage NICI (128 bits), car NICI n'impose pas de restrictions d'importation.
Si nécessaire, le programme d'installation VPN installe NICI 1.7.0 (version 128 bits). Cette version de NICI écrase NICI 1.5.7 (56 bits) ou NICI 1.5.3 (56/128 bits), mais pas NICI 2.6.0. Si NICI 2.6.0 est installé, NICI 1.5.7 et 2.6.0 peuvent coexister.
Sous Windows 98 et Windows Me, vous pouvez sélectionner une entrée d'accès à distance de n'importe quel type de serveur. Avec Novell BorderManager Enterprise Edition 3.0, vous pouviez uniquement sélectionner des entrées d'accès à distance du type VPN Novell. Toutes les entrées doivent être configurées de façon à ne négocier que des connexions TCP/IP. Si vous souhaitez appeler le client VPN à partir du module Accès réseau à distance plutôt que du programme vpnlogin.exe, l'entrée d'accès à distance que vous sélectionnez doit être du type de serveur VPN Novell. Si ce n'est pas le cas, vpnlogin.exe ne sera pas généré une fois la connexion à distance établie.
Sous Windows NT, vous pouvez sélectionner une entrée d'accès à distance de n'importe quel type de serveur. Sous Windows NT, le module Accès réseau à distance ne propose pas de type de serveur VPN Novell.
Le cas échéant, installez la fonction d'accès réseau à distance avant l'installation du client VPN.
Lorsque vous sélectionnez vos entrées d'accès à distance à partir de VPNLogin.exe, choisissez des entrées qui n'activent pas la compression PPP (Protocole point à point). La compression de données codées entraînerait une surcharge processeur inutile et ne réduirait pas la taille des paquets à envoyer.
Installez le modem, puis le client VPN.
Si vous choisissez d'utiliser le module Accès réseau à distance lors de l'installation du client VPN, l'installation du client VPN crée une entrée VPN à distance Novell.
Pendant le login du client VPN, l'utilisateur eDirectory est informé en cas d'expiration de son mot de passe et d'utilisation de logins bonus. L'utilisateur peut également modifier le mot de passe eDirectory pendant le login client VPN. Cette option est également fournie sur l'icône du client VPN. L'utilisateur bénéficie de l'option de changement de mot de passe uniquement s'il utilise les références eDirectory pour le login VPN/NetWare à partir de l'application client VPN. Le changement de mot de passe échoue en cas de login sans contexte. Toutes les références utilisateur eDirectory sont requises.
La règle indiquée par l'administrateur dans eDirectory est appliquée au client. Si une règle est modifiée pour l'utilisateur VPN en question alors qu'une session VPN est en cours, les modifications n'apparaissent pas jusqu'à la session suivante.
Cette version du client VPN prend en charge la fonction d'installation silencieuse qui permet une installation sans intervention de l'utilisateur. Lorsque l'option Connexion à distance est sélectionnée, l'intervention de l'utilisateur peut s'avérer nécessaire si l'Accès réseau à distance ou les composants RAS ne figurent pas sur le poste de travail.
Pour utiliser cette fonction, vous devez exécuter SETUP.EXE avec un paramètre qui permet de créer un fichier contenant les réponses à toutes les questions généralement posées lors de l'installation. Ceci comprend la sélection du client à distance, du client LAN, ou des deux, par conséquent vous pouvez avoir besoin de créer plusieurs fichiers réponses en fonction des besoins des utilisateurs.
Après avoir créé le fichier réponse, vous pouvez exécuter SETUP.EXE avec un autre paramètre et utiliser le fichier réponse de manière à ce que l'installation ne nécessite qu'une intervention minimale de la part de l'utilisateur. Il existe également un paramètre qui permet de créer un fichier journal pour l'installation silencieuse. Celui-ci permet de vérifier le bon déroulement de l'installation ou de diagnostiquer la cause de son échec. Des exemples d'utilisation de ces paramètres sont proposés ci-dessous.
Une « installation silencieuse » est souvent nécessaire sur les postes de travail qui disposent de différentes versions de Windows. Si Windows ou le client Novell ont été installés à partir de CD-ROM, le programme d'installation du client VPN vous les demandera. Dans ce cas, comme les réponses aux messages du programme d'installation dépendent de la version de Windows, il est préférable de créer un fichier réponse qui, si nécessaire, demandera ces CD à l'utilisateur.
Pour créer ce type de fichier réponse :
Procédez à une installation normale du client VPN sans créer de fichier réponse. Ce programme d'installation peut demander les CD-ROM de Windows et/ou du client Novell. Poursuivez l'installation normalement.
Après le redémarrage, exécutez de nouveau SETUP.EXE en créant cette fois le fichier réponse. Lors de cette nouvelle installation, le programme ne vous demande pas les CD-ROM d'installation de Windows ou du client Novell et le fichier réponse créé ne propose pas de réponse lorsque le programme d'installation de l'utilisateur lui demande les CD-ROM de Windows ou du client Novell. En l'absence de réponse dans le fichier réponse, les CD-ROM de Windows ou du client Novell peuvent, le cas échéant, être demandés à l'utilisateur.
Pour vérifier le bon fonctionnement du fichier réponse, lancez l'installation en mode silencieux à partir d'un poste de travail sur lequel le client VPN n'est pas installé. Le fichier journal de l'installation doit afficher ResultCode=0.
La fonction d'installation silencieuse ne fonctionne que lorsque SETUP.EXE se trouve dans le répertoire Disk1. Elle ne fonctionne pas avec le fichier exécutable à extraction automatique.
Pour activer la fonction d'installation silencieuse, exécutez SETUP.EXE à partir du répertoire Disk1 avec certaines options de lignes de commandes. Les options disponibles pour SETUP.EXE sont :
En fonction de l'option entrée, les options -f1 et -f2 peuvent aussi être utilisées pour spécifier des fichiers de noms.
Pour utiliser la fonction d'installation silencieuse :
Créez un fichier réponse en entrant la commande suivante à partir du répertoire Disk1 du client VPN :
setup.exe -r -f1"
Le
setup.exe -r -f1"c:\test\setup.iss" exécute l'installation et enregistre l'entrée dans C:\TE
REMARQUE : Lors de l'utilisation des paramètres -f1 et -f2, n'entrez pas d'espace avant le guillemet. Par exemple : -f1 "nom du fichier" ne fonctionnera pas. -f1"nom du fichier", en revanche, fonctionnera.
Exécutez l'installation d'après l'entrée précédemment enregistrée en entrant la commande suivante à partir du Disk1 du client VPN :
setup.exe -s -f1"
Par exemple : setup.exe -s -f1"c:\winnt\response.txt" -f2".\setup.log" exécute l'installation, utilise le fichier response.txt du répertoire c:\WinNT et enregistre le résultat dans le fichier setup.log situé dans le même répertoire que setup.exe.
Pour vous assurer que l'installation silencieuse s'est bien déroulée, vérifiez le contenu de setup.log. Vous devez obtenir le résultat suivant :
[ResponseResult]
ResultCode=0
Une valeur ResultCode égale à 0 indique que l'installation s'est bien déroulée. Une valeur autre que zéro indique qu'elle a échoué. Les valeurs possibles pour ResultCode sont :
Le code d'erreur d'installation le plus courant est -12. Les conditions d'erreurs affichent généralement une boîte de dialogue avec un message d'erreur qui nécessite l'intervention de l'utilisateur, comme « Cliquez sur OK » pour accepter l'erreur. En l'absence de réponse dans le fichier réponse, le programme d'installation silencieuse considère que les boîtes de dialogue du fichier réponse sont hors service et signale l'erreur -12.
Un fichier de traitement par lots peut être utilisé pour automatiser davantage le processus d'installation silencieuse. Par exemple, vous pouvez créer le fichier INSTALL.BAT suivant dans le sous-répertoire DISK1 : setup.exe -s -f1"c:\vpninst\disk1\response.txt" -f2"c:\temp\vpninst.log" rem Considère que le client VPN a été extrait vers c:\vpninst. rem Il peut se trouver sur un lecteur du réseau ou ailleurs. N'entrez pas d'espace entre -f1 et le guillemet. Si l'icône du login VPN apparaît sur votre bureau, redémarrez pour terminer l''installation du client VPN.
Si un fichier nommé vpnconfig.txt existe dans le répertoire Disk1 d'installation du client VPN, le programme d'installation prend dans ce fichier les adresses du serveur VPN, le mode d'authentification, l'adresse IP du serveur NetWare, les séquences NMAS, le contexte e-Directory, les autorisations d'activer ou non le login eDirectory, etc. Le programme met ensuite à jour ces informations dans le registre du poste de travail.
Un modèle de syntaxe de ce fichier texte est inclus dans Disk1. Vous pouvez modifier ce modèle en fonction des exigences de votre société. Ce modèle est tout à fait explicite.
Si votre serveur VPN est votre pare-feu, les filtres d'exception sont déjà configurés pour permettre le passage de ce trafic. Les filtres doivent être mis à jour pendant la configuration VPN.
Novell exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell se réserve en outre le droit de réviser cette publication à tout moment et sans préavis.
Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications à quiconque.
L’exportation ou la réexportation de ce produit est interdite dès lors qu'elle enfreint les lois et réglementations applicables y compris, mais de façon non limitative, les réglementations des États-Unis en matière d'exportation ou la législation en vigueur dans votre pays de résidence.
Copyright © 1997-2001, 2002, 2003, 2004 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l'éditeur.
Novell est une marque déposée de Novell, Inc. aux États-Unis et dans d'autres pays.
Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif.