O software cliente VPN do Novell BorderManager permite que uma estação de trabalho se comunique de forma segura pela Internet com uma rede protegida por um servidor VPN da Novell.
Os seguintes recursos estão disponíveis no software cliente VPN.
O Cliente VPN do NBM 3.8 deve fornecer o certificado x509 do usuário e a raiz confiável do servidor para executar o modo principal de autenticação IKE. Ambos devem ser copiados para a estação de trabalho local (<unidade>:\novell\vpnc\certificates\users ou <unidade>:\novell\vpnc\certificates\trustedroot) a partir da qual a VPN será executada.
O Cliente VPN fornece um recurso de recuperação do certificado de usuário do Novell eDirectory. Isso requer o Novell Client como dependência. Se o Novell Client estiver instalado, essa opção será habilitada para que o usuário recupere seu certificado. Para recuperar o certificado de usuário, forneça o nome de usuário, a senha, o contexto, a árvore e o endereço IP (opcional), o nome do certificado de usuário (apenas o nome, que é adminCert). Isso recuperará o certificado de usuário e o armazenará sob <unidade>:\novell\vpnc\certificates\users como AdminCert.pfx. Se o número de certificados para um usuário for maior, ele os armazenará como AdminCert(n).pfx (n = 1..n).
No modo de autenticação IKE, o usuário pode fornecer parâmetros IKE e IPSEC clicando no editor de políticas da guia VPN. Essa política irá reger o servidor VPN caso ele não esteja impondo nenhuma política.
O cliente VPN da Novell é integrado ao NMAS (Novell Modular Authentication Service). O NMAS funciona com o Novell Client. Instale o Novell Client para se beneficiar da funcionalidade do NMAS.
Selecione a opção NMAS na guia Configuração e forneça as informações e credenciais do usuário do NMAS na guia eDirectory. Na guia VPN, forneça o endereço IP do servidor VPN e a seqüência NMAS (por exemplo, NDS/eDirectory, Cartão Inteligente Universal, Senha Simples e assim por diante). Para as credenciais, o método exibirá uma caixa de diálogo popup se elas ainda não tiverem sido inseridas.
Selecione NMAS e marque a caixa LDAP na guia Configuração. Vá para a guia VPN e digite o endereço IP do servidor VPN e o DN do usuário do LDAP (por exemplo, CN=Admin,O=Novell). O método LDAP exibirá uma caixa de diálogo popup para a credencial.
Selecione o modo Backward Compatibility (Compatibilidade retroativa) na guia Configuração. Forneça ao eDirectory as credenciais na guia eDirectory. Nesse modo, o Cliente NBM 3.8 se comunicará com o servidor NBM (BMEE 3.6, NBM 3.7, NBM 3.8) em modo SKIP. A autenticação por token ActiveCard será habilitada se o NMAS estiver instalado no cliente. O método de autenticação por token ActiveCard funcionará se o método de token ActiveCard estiver configurado para o usuário no eDirectory. A guia VPN requer credenciais para o método de token ActiveCard.
Selecione o modo Pre-shared Authentication (Autenticação pré-compartilhada) na guia Configuração. Vá para a guia VPN e forneça a senha da chave pré-compartilhada configurada no servidor VPN.
Esta versão do Cliente VPN da Novell será integrada ao Novell Client para Windows 98, Windows NT, Windows 2000 ou Windows XP Home. Reinicialize a máquina após instalar o novo cliente VPN. Durante a reinicialização, o cliente VPN será integrado ao Novell Client. Uma vez ativado o sistema, a tela Login da Novell terá uma lista suspensa chamada Localização. A lista conterá a entrada padrão, bem como uma entrada para os recursos de VPN. Você pode selecionar qualquer uma das localizações, dependendo da operação a ser executada.
Estão disponíveis quatro novas guias que podem ser configuradas em uma Instância de Serviço pela seleção das Propriedades do Novell Client32. As quatro guias fazem o seguinte:
Esta versão do cliente VPN para Windows 98, Windows Me, Windows NT, Windows 2000 e Windows XP utiliza a criptografia NICI (de 128 bits) porque não existe nenhuma restrição de exportação com o NICI.
Se o NICI 1.7.0 (versão de 128 bits) não estiver instalado, o programa de instalação de VPN o instalará. Essa versão de NICI sobregrava o NICI 1.5.7 (56 bits) ou o NICI 1.5.3 (56/128 bits), mas não o NICI 2.6.0. Se o NICI 2.6.0 estiver instalado, o NICI 1.5.7 e o 2.6.0 coexistirão.
No Windows 98 e no Windows Me, você pode selecionar uma entrada de discagem de qualquer tipo de servidor. Anteriormente (com o Novell BorderManager Enterprise Edition 3.0), só era possível selecionar entradas de discagem do tipo VPN da Novell. Todas as entradas devem ser configuradas para negociar apenas em conexões TCP/IP. Se você quiser chamar o cliente VPN a partir da Rede Dial-up, em vez de fazê-lo pelo vpnlogin.exe, a entrada de discagem selecionada na Rede Dial-up deverá ser do tipo de servidor VPN da Novell; caso contrário, o vpnlogin.exe não será gerado após o estabelecimento da conexão de discagem.
No Windows NT, você pode selecionar uma entrada de discagem de qualquer tipo de servidor. Não há nenhum tipo de servidor VPN da Novell na seleção de Rede Dial-up no Windows NT.
Se houver um requisito de discagem, instale a Rede Dial-up antes do cliente VPN.
Ao fazer sua seleção de entrada de discagem a partir do VPNLogin.exe, escolha entradas que não habilitem a compactação PPP (Point-to-Point Protocol). A compactação de dados que foram criptografados acarretará overhead de CPU desnecessária e não oferecerá nenhuma redução do tamanho dos pacotes enviados.
Instale o modem e depois instale o Cliente VPN.
Durante a instalação do cliente VPN, se você optar por utilizar a Rede Dial-up, a instalação do cliente VPN criará uma entrada de discagem VPN da Novell para você.
Durante o login no Cliente VPN, o usuário do eDirectory será notificado caso sua senha do eDirectory tenha expirado e os logins extras estejam sendo utilizados. O usuário também terá a opção de mudar a senha do eDirectory durante o login no Cliente VPN. Essa opção também será fornecida no ícone do Cliente VPN na bandeja do sistema. O usuário terá a opção de mudança de senha apenas se estiver utilizando credenciais do eDirectory para login na VPN/no NetWare a partir do aplicativo Cliente VPN. A mudança de senha não será feita no caso de login sem contexto. Ela requer todas as credenciais de usuário do eDirectory.
A política especificada pelo administrador no eDirectory será aplicada ao cliente. Se uma política for modificada para esse usuário de VPN em particular durante uma sessão de VPN, as mudanças não serão refletidas até a próxima sessão.
Esta versão do cliente VPN suporta o recurso de instalação silenciosa, que permite que a instalação seja concluída sem a entrada do usuário. Se a opção Discagem estiver selecionada, alguma intervenção do usuário poderá ser necessária caso a estação de trabalho não tenha a Rede Dial-up ou os componentes RAS já instalados.
Para utilizar esse recurso, execute SETUP.EXE com um switch para criar um arquivo de resposta que contenha as respostas para todas as perguntas normalmente feitas durante a instalação. Uma vez que isso inclui a seleção do cliente de discagem, do cliente da LAN ou de ambos, pode ser necessário criar diversos arquivos de resposta com base nas necessidades do usuário.
Depois de criar o arquivo de resposta, você pode executar SETUP.EXE com um switch diferente para utilizar o arquivo de resposta de forma que a instalação exija o mínimo de intervenção do usuário. Existe também um switch para gerar um arquivo de registro para a instalação silenciosa. Isso pode ser utilizado para verificar se a instalação foi concluída com êxito ou para diagnosticar o motivo de falha de instalação. Exemplos de uso desses switches são fornecidos a seguir.
Freqüentemente, você pode precisar fazer uma "instalação silenciosa" nas estações de trabalho que têm versões diferentes do Windows. Se o Windows ou o Novell Client tiver sido instalado a partir do CD, a instalação do cliente VPN solicitará os CDs de instalação. Nesse caso, uma vez que as respostas dos prompts de instalação dependerão da versão do Windows instalada, é melhor criar um arquivo de resposta que solicite ao usuário os CDs de instalação, se necessário.
Para criar esse tipo de arquivo de resposta:
Execute uma instalação normal do cliente VPN sem criar o arquivo de resposta. Essa instalação pode solicitar os CDs do Windows e/ou do Novell Client. Prossiga normalmente pela instalação.
Depois de reinicializar, execute SETUP.EXE novamente, desta vez criando o arquivo de resposta. Essa nova instalação não solicitará os CDs de instalação do Windows ou do Novell Client; portanto, o arquivo de resposta gerado não saberá o que responder quando a instalação solicitar o CD do Windows ou do Novell Client. Como não haverá resposta no arquivo de resposta, o usuário será solicitado a fornecer os CDs do Windows ou do Novell Client, se necessários.
Para verificar se o arquivo de resposta está funcionando corretamente, execute a instalação em modo silencioso em uma estação de trabalho que não tenha o cliente VPN instalado. O arquivo de registro da instalação deve mostrar ResultCode=0.
O recurso de instalação silenciosa funciona apenas com o SETUP.EXE no diretório disk1. Ele não funciona com o executável auto-extraível.
O recurso de instalação silenciosa é habilitado pela execução de SETUP.EXE no diretório disk1 com determinadas opções de linha de comando. As opções disponíveis para o SETUP.EXE são:
Dependendo da opção utilizada, as opções -f1 e -f2 também podem ser utilizadas para especificar nomes de arquivos.
Para utilizar o recurso de instalação silenciosa:
Crie um arquivo de resposta emitindo o seguinte comando a partir do diretório disk1 dos discos do cliente VPN:
setup.exe -r -f1"<ARQUIVO_DE_RESPOSTA>"
onde <ARQUIVO_DE_RESPOSTA> contém o caminho absoluto e o nome do arquivo de resposta. A opção -f1"<ARQUIVO_DE_RESPOSTA>" pode ser omitida e, nesse caso, um arquivo de resposta chamado SETUP.ISS é criado no diretório Windows ou WinNT. Por exemplo,
setup.exe -r -f1"c:\test\setup.iss" executa a instalação e grava a entrada em C:\TEST.
OBSERVAÇÃO Ao utilizar os switches -f1 e -f2, não coloque um espaço antes do sinal de aspas. Por exemplo: -f1 "nome_do_arquivo" não funcionará. -f1"nome_do_arquivo" funcionará.
Execute a instalação com base na entrada capturada anteriormente, emitindo o seguinte comando a partir de disk1 nos discos do cliente VPN.
setup.exe -s -f1"<ARQUIVO_DE_RESPOSTA>" -f2"<ARQUIVO_DE_REGISTRO>"
onde <ARQUIVO_DE_RESPOSTA> contém o caminho absoluto e o nome do arquivo de resposta e <ARQUIVO_DE_REGISTRO> contém o caminho absoluto e o nome do arquivo de registro.
Por exemplo, setup.exe -s -f1"c:\winnt\resposta.txt" -f2".\setup.log" executa a instalação, extraindo a entrada do arquivo resposta.txt do diretório c:\WinNT, e registra o resultado no arquivo setup.log, no mesmo diretório do setup.exe.
Confirme se a instalação silenciosa foi bem-sucedida verificando o conteúdo de setup.log. Você deve ver uma seção de resultados com o seguinte:
[ResponseResult]
ResultCode=0
Um valor igual a 0 para ResultCode indica que a instalação foi bem-sucedida. Um valor diferente de zero indica falha. Os possíveis valores para ResultCode são:
O código de erro de instalação mais comum é o -12. Uma condição de erro geralmente exibe uma caixa de diálogo de mensagem de erro exigindo a entrada do usuário, como "Clique em OK" para confirmar o recebimento da mensagem de erro. Uma vez que a resposta não está no arquivo de respostas, o processo de instalação silenciosa assume que as caixas de diálogo não estão funcionando no arquivo de resposta e, portanto, reporta o erro -12.
Um arquivo de lote pode ser utilizado para automatizar ainda mais o processo de instalação silenciosa. Por exemplo, você pode criar o seguinte INSTALL.BAT no subdiretório DISK1: setup.exe -s -f1"c:\vpninst\disk1\resposta.txt" -f2"c:\temp\vpninst.log" rem Isso assume que o cliente VPN foi extraído para c:\vpninst. rem Ele pode estar em uma unidade da rede ou em qualquer outro local. Não coloque um espaço entre -f1 e o sinal de aspas. Se o ícone Login na VPN aparecer em sua área de trabalho, reinicialize a máquina e a instalação do cliente VPN estará concluída.
Se você tiver um arquivo chamado vpnconfig.txt no diretório Disk1 de instalação do cliente VPN, o programa de instalação extrairá desse arquivo os endereços de servidores VPN, o modo de autenticação, o endereço IP do servidor NetWare, as seqüências de NMAS, o contexto do eDirectory, a habilitação/desabilitação do login no eDirectory, etc. Então, o programa atualizará essas informações no Registro da estação de trabalho.
O gabarito da sintaxe do arquivo de texto está incluído no diretório Disk1. Você pode modificar o gabarito de acordo com os requisitos de sua empresa. O gabarito é auto-explicativo.
Se seu servidor VPN for o seu firewall, os filtros de exceção já estarão configurados para permitir esse tráfego. Os filtros devem ser atualizados durante a configuração da VPN.
A Novell, Inc. não faz representações ou garantias quanto ao conteúdo ou à utilização desta documentação e especificamente se isenta de quaisquer garantias de comerciabilidade expressas ou implícitas ou adequação a qualquer propósito específico. Além disso, a Novell, Inc. reserva-se o direito de revisar esta publicação e fazer mudanças em seu conteúdo a qualquer momento, sem a obrigação de notificar qualquer pessoa ou entidade sobre essas revisões ou mudanças.
A Novell, Inc. não faz representações ou garantias quanto a qualquer software e especificamente se isenta de qualquer garantia explícita ou implícita de comerciabilidade ou adequação a qualquer propósito específico. Além disso, a Novell, Inc. reserva-se o direito de mudar qualquer parte do software da Novell a qualquer momento, sem ter a obrigação de notificar qualquer pessoa ou entidade sobre tais mudanças.
Você não deve exportar ou reexportar esse produto se isso constituir uma violação a qualquer lei ou regulamento aplicável incluindo, sem limitação, os regulamentos de exportação dos EUA ou as leis do país no qual reside.
Copyright © 1997-2001, 2001, 2003, 2004 Novell, Inc. Todos os direitos reservados. Nenhuma parte desta publicação pode ser reproduzida, fotocopiada, armazenada em um sistema de recuperação ou transmitida sem a autorização por escrito do editor.
Novell é marca registrada da Novell, Inc. nos Estados Unidos e em outros países.
Todos os produtos de terceiros pertencem aos seus respectivos proprietários.