BorderManager

Transcription

BorderManager

Guide d’installation de Novell BorderManager 3.7
Novell
BorderManager
®
www.novell.com
3.7
I N S TA L L AT I O N
April 19, 2002
Novell Confidential
Manual
Rev 99a (FRA) 25 September 00
29
Notices légales
Novell exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne
garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell, Inc. se réserve en outre le droit
de modifier à tout moment les informations qu'elle fournit sans notification préalable de ces modifications à
quiconque.
Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite,
que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve
en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces
modifications à quiconque.
Il peut s'avérer nécessaire d'obtenir une autorisation d'exportation auprès du ministère du commerce américain
(Department of Commerce) avant de pouvoir exporter ce produit à partir des États-Unis ou du Canada.
Copyright (c) 2002 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée,
stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit
explicite préalable de l'éditeur.
Brevets américains nos 5,572,528; 5,719,786; 5,991,810; 6,092,200 et 6,345,266. Brevets en cours
d'homologation.
Novell, Inc.
1800 South Novell Place
Provo, UT 84606
U.S.A.
www.novell.com
Installation
Avril 2002
103-000242-001
Documentation en ligne : Pour accéder à la documentation en ligne relative à ce produit ou à un autre produit
Novell ainsi que pour obtenir des mises à jour, consultez le site www.novell.com/documentation.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Marques commerciales de Novell
BorderManager est une marque déposée de Novell, Inc. aux États-Unis et dans d'autres pays.
eDirectory est une marque de Novell, Inc.
Internetwork Packet Exchange est une marque de Novell, Inc.
IPX est une marque de Novell, Inc.
NDS est une marque déposée de Novell, Inc. aux États-Unis et dans d'autres pays.
NetWare est une marque déposée de Novell, Inc. aux États-Unis et dans d'autres pays.
NetWare Loadable Module est une marque de Novell, Inc.
NLM est une marque de Novell, Inc.
Novell est une marque déposée de Novell, Inc. aux États-Unis et dans d'autres pays.
Novell Technical Support est une marque de service de Novell, Inc.
Autres marques commerciales
Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif.
103-000242-001
April 19, 2002
Novell Confidential
Manual
4
103-000242-001
April 19, 2002
Novell Confidential
29
Manual
29
Sommaire
À propos de ce guide
9
Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Conventions relatives à la documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1
Installation de Novell BorderManager 3.7
11
Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration serveur requise . . . . . . . . . . . . . . . . . . . . . . . .
Configuration client requise . . . . . . . . . . . . . . . . . . . . . . . . .
Contrat de Licence Utilisateur Final . . . . . . . . . . . . . . . . . . . . . . .
Mise à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Préparation de l'installation. . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installation de Novell BorderManager 3.7 sur un serveur NetWare 5.1 SP 4 ou
NetWare 6.0 SP 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installation du client Novell . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installation des snap-ins de l'Administrateur NetWare . . . . . . . . . . . . . .
Installation du client VPN (réseau privé virtuel) . . . . . . . . . . . . . . . . .
Accès à Novell iManager pour la configuration des filtres . . . . . . . . . . . .
Configuration des règles de login . . . . . . . . . . . . . . . . . . . . . . . .
Installation de SurfControl . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Documentation Novell BorderManager 3.7 . . . . . . . . . . . . . . . . . . .
Étapes ultérieures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
12
12
13
14
14
14
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
15
18
18
19
20
20
22
23
23
Configuration des filtres de paquets
27
Conditions préalables au filtrage des paquets . . . . . . . . . . . .
Configuration des filtres par défaut. . . . . . . . . . . . . . . . . .
Utilisation de Novell iManager pour la configuration des filtres . . .
Utilisation de FILTCFG pour la configuration des filtres . . . . . . .
Configuration des filtres exceptionnels des paquets sortants . .
Configuration des filtres exceptionnels pour les paquets entrants
Définition de types personnalisés de paquet avec état. . . . . .
Enregistrement des filtres dans un fichier texte . . . . . . . . . . .
Activation de la consignation globale des paquets IP . . . . . . . .
Exécution de tâches de configuration et de gestion avancées. . . .
3
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Configuration de la conversion d'adresse réseau (NAT)
Conditions préalables de NAT . . . . . . . . . . . . . . . . .
Configuration de NAT sur une seule interface . . . . . . . . .
Configuration de NAT avec les multi-origines . . . . . . . . .
Exécution de tâches de configuration et de gestion avancées.
.
.
.
.
.
.
.
.
28
28
29
33
33
40
42
43
44
45
47
.
.
.
.
Sommaire
103-000242-001
April 19, 2002
Novell Confidential
48
49
51
52
5
Manual
4
29
Configuration de la passerelle IP Novell
53
Conditions préalables pour la passerelle IP Novell . . . . . . . . . . . . . . . . . . . . . .
Conditions préalables relatives au serveur . . . . . . . . . . . . . . . . . . . . . . . .
Conditions préalables relatives au client. . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de la passerelle IP Novell . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du service de passerelle IPX/IP ou IP/IP . . . . . . . . . . . . . . . . . .
Configuration du service SOCKS 4 ou SOCKS 5 . . . . . . . . . . . . . . . . . . . . .
Configuration des clients de la passerelle . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des clients Windows NT ou Windows 98 . . . . . . . . . . . . . . . . . .
Configuration des clients SOCKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des clients pour l'utilisation de l'option de Single Sign-on activée sur
le serveur de passerelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des clients pour l'utilisation du proxy transparent du client de la passerelle
Exécution de tâches de configuration et de gestion avancées . . . . . . . . . . . . . . . .
5
.
.
.
.
.
.
.
.
.
53
54
56
58
58
60
64
65
66
. .
. .
. .
66
68
68
Configuration des services Proxy
Conditions préalables relatives aux services Proxy . . . . . . . . . . . . . . . . . .
Configuration du résolveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de Microsoft Internet Explorer en vue de l'utilisation du proxy Web
Configuration de Netscape Navigator en vue de l'utilisation du proxy Web . . . .
Configuration d'un serveur proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d'un accélérateur HTTP . . . . . . . . . . . . . . . . . . . . . . . .
Blocage des requêtes de virus dans un accélérateur HTTP . . . . . . . . . . . . .
Configuration des lignes de commande . . . . . . . . . . . . . . . . . . . . . .
Ajout et suppression de définitions de requêtes de virus . . . . . . . . . . . . .
Mise à jour de la base de données via un script (fichier NCF). . . . . . . . . . .
Activation et configuration de la mise à jour automatique . . . . . . . . . . . . .
Ajout de nouveaux mots-clés de virus . . . . . . . . . . . . . . . . . . . . . . .
Contrôle de la fonction de reconnaissance de définitions de virus . . . . . . . .
Effet sur les performances . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d'un serveur proxy FTP. . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d'un accélérateur FTP . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d'un serveur proxy de messagerie . . . . . . . . . . . . . . . . . . .
Configuration d'un serveur proxy de news . . . . . . . . . . . . . . . . . . . . . .
Configuration d'un serveur proxy générique. . . . . . . . . . . . . . . . . . . . . .
Configuration d'un proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des proxies RealAudio et RTSP . . . . . . . . . . . . . . . . . . . .
Configuration du client SOCKS (en amont) . . . . . . . . . . . . . . . . . . . . . .
Configuration du proxy transparent HTTP. . . . . . . . . . . . . . . . . . . . . . .
Configuration d'un proxy transparent Telnet . . . . . . . . . . . . . . . . . . . . .
6
.
.
.
.
.
.
.
.
.
103-000242-001
April 19, 2002
Novell Confidential
69
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 70
. 72
. 72
. 73
. 74
. 75
. 77
. 78
. 78
. 79
. 79
. 80
. 81
. 81
. 81
. 83
. 84
. 85
. 86
. 88
. 88
. 89
. 91
. 92
Manual
Configuration de l'authentification proxy . . . . . . . . . . . . . .
Configuration de l'authentification d'un proxy HTTP . . . . . .
Configuration de l'authentification du proxy transparent HTTP.
Configuration de l'authentification du proxy transparent Telnet
Exécution de tâches de configuration et de gestion avancées. . .
6
7
29
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Conditions préalables relatives au réseau privé virtuel . . . . . . . . . . . . . . . .
Conditions préalables relatives au réseau VPN site à site . . . . . . . . . . . . .
Conditions préalables relatives au réseau VPN client à site . . . . . . . . . . . .
Configuration de votre VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du serveur maître . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de VPN de site à site . . . . . . . . . . . . . . . . . . . . . . . .
Installation de VPN de client à site . . . . . . . . . . . . . . . . . . . . . . . . .
Mise à niveau VPN à partir d'une version antérieure . . . . . . . . . . . . . . . . .
Mise à niveau lors d'une mise hors service totale du réseau VPN . . . . . . . . .
Mise à niveau lorsque le serveur maître se trouve derrière un routeur. . . . . . .
Mise à niveau avec un second serveur maître situé derrière un routeur . . . . . .
Mise à niveau à l'aide d'un serveur de remplacement d'un serveur maître existant
Exécution de tâches de configuration et de gestion avancées. . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 98
. 98
101
103
104
106
111
119
121
122
123
124
125
Configuration des réseaux privés virtuels
127
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Configuration des services d'authentification
128
130
132
134
135
136
137
138
139
Conditions préalables relatives aux services d'authentification de Novell BorderManager 3.7
Mise à niveau à partir d'une version antérieure . . . . . . . . . . . . . . . . . . . . . . . .
Création d'un objet Système d'accès à distance . . . . . . . . . . . . . . . . . . . . . . . .
Création d'un objet Profil d'accès à distance. . . . . . . . . . . . . . . . . . . . . . . . . .
Création d'un objet Profil d'accès à distance pour le service PPP . . . . . . . . . . . . .
Création d'un objet Profil d'accès à distance pour le service Telnet . . . . . . . . . . . .
Activation d'un utilisateur pour les services d'accès à distance . . . . . . . . . . . . . . . .
Démarrage des services d'authentification de Novell BorderManager 3.7. . . . . . . . . . .
Test des services d'authentification de Novell BorderManager 3.7 . . . . . . . . . . . . . .
Exécution de tâches de configuration et de gestion avancées. . . . . . . . . . . . . . . . .
Sommaire
103-000242-001
April 19, 2002
Novell Confidential
92
93
95
95
96
97
Configuration du contrôle d'accès
Configuration d'une règle URL . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d'une règle autorisant l'accès via la Passerelle IP Novell . . . .
Configuration d'une règle autorisant l'accès via un proxy d'application . . . .
Définition d'une règle autorisant les clients VPN à accéder aux serveurs VPN
Configuration d'une règle qui autorise le serveur à résoudre les noms d'hôte.
Configuration des restrictions horaires pour les règles d'accès . . . . . . . .
Affichage de toutes les règles s'appliquant à un objet . . . . . . . . . . . . .
Exécution de tâches de configuration et de gestion avancées. . . . . . . . .
8
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
140
141
142
145
145
146
147
149
150
151
7
Manual
9
29
Configuration de la notification d'alerte
153
Configuration de la notification des alertes par messagerie. . . . . . . . . . . . . . . . . . . . 154
Exécution de tâches de configuration et de gestion avancées . . . . . . . . . . . . . . . . . . 157
A
Informations complémentaires
Utilisation de l'utilitaire d'installation des licences .
Utilisation de l'Administrateur NetWare . . . . . .
Configuration TCP/IP . . . . . . . . . . . . . . .
Chargement de TCP/IP . . . . . . . . . . . .
Ajout d'une réplique NDS ou eDirectory. . . . . .
159
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Index
8
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
160
160
161
162
163
165
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Introduction
L'objectif de cette documentation est de décrire le mode d'installation des
composants de Novell® BorderManager® 3.7 ainsi que la configuration de
base du logiciel. De plus, cette documentation vous renvoie à des documents
en ligne spécifiques pour des informations supplémentaires.
Cette documentation s'adresse aux administrateurs réseau expérimentés.
Conventions relatives à la documentation
Dans cette documentation, le signe supérieur à (>) est utilisé pour séparer les
opérations d'une même procédure ainsi que les éléments d'un chemin de
renvoi.
De même, le symbole de marque commerciale (®, TM, etc.) représente une
marque de Novell. Un astérisque (*) correspond à une marque de fabricant
tiers.
103-000242-001
April 19, 2002
Novell Confidential
9
Manual
10
103-000242-001
April 19, 2002
Novell Confidential
29
Manual
1
29
Installation de Novell
BorderManager 3.7
Ce chapitre comprend des instructions sur l'installation du logiciel Novell®
BorderManager® 3.7. Il se compose des sections suivantes :
! “Configuration requise”, page 12
! “Contrat de Licence Utilisateur Final”, page 14
! “Mise à niveau”, page 14
! “Préparation de l'installation”, page 14
! “Installation de Novell BorderManager 3.7 sur un serveur NetWare 5.1
SP 4 ou NetWare 6.0 SP 1”, page 15
! “Installation du client Novell”, page 18
! “Installation des snap-ins de l'Administrateur NetWare”, page 18
! “Installation du client VPN (réseau privé virtuel)”, page 19
! “Accès à Novell iManager pour la configuration des filtres”, page 20
! “Installation de SurfControl”, page 22
! “Configuration des règles de login”, page 20
! “Documentation Novell BorderManager 3.7”, page 23
! “Étapes ultérieures”, page 23
Remarque : Ce chapitre décrit les tâches requises pour l'installation initiale du
logiciel Novell BorderManager 3.7. Pour obtenir des informations sur la
planification et le concept des services qui composent la suite logicielle Novell
BorderManager 3.7, reportez-vous au Guide de présentation et de planification
de Novell BorderManager 3.7, disponible dans la docume ntation en ligne.
Assurez-vous de bien comprendre ces informations avant de configurer les
différents services inclus dans la suite Novell BorderManager 3.7.
103-000242-001
April 19, 2002
Novell Confidential
11
Manual
29
Configuration requise
L'installation de Novell BorderManager 3.7 (NBM 3.7) s'effectue sur un
serveur NetWare® et s'administre via l'Administrateur NetWare à partir d'un
poste de travail client Windows* 98, Windows 2000, Windows NT* ou
Windows XP.
Configuration serveur requise
Installation sur NetWare 5.1 SP4
Matériel serveur
Logiciel serveur
PC doté d'un processeur Pentium* II ou
ultérieur
NetWare 5.1 doté du Support Pack 4 ou
ultérieur
256 Mo de RAM minimum pour NBM 3.7 Remarque : pour les serveurs MLA
NetWare 5,1, vous devez disposer d'une
512 Mo de RAM supplémentaires pour
licence serveur sur le serveur cible.
SurfControl*
Réplique Lecture/écriture de la mise à
Un minimum de 160 Mo d'espace
jour de NetWare NDS® 8 sur le serveur
disque, avec 40 Mo supplémentaires
Novell BorderManager
disponibles pour l'installation
Kit Services de licence Novell (NLS)
4 Go d'espace disque pour la prise en
(installé automatiquement avec
charge des services de caching
NetWare 5.1)
Lecteur de CD-ROM capable de lire des
disques au format ISO 9660
Interface réseau TCP/IP liée et
configurée
Exécutez une fois INETCFG et
transférez les commandes depuis
AUTOEXEC.NCF
12
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Installation sur NetWare 6.0 doté du Support Pack 1
Matériel serveur
Logiciel serveur
PC doté d'un processeur Pentium II ou
supérieur
NetWare 6.0 SP 1 ou ultérieur
Un minimum de 160 Mo d'espace
disque, avec 40 Mo supplémentaires
disponibles pour l'installation
Interface réseau TCP/IP liée et configurée
Réplique Lecture/écriture de Novell
256 Mo de RAM minimum pour NBM 3.7 eDirectoryTM 8.6.2 sur le serveur Novell
BorderManager
512 Mo de RAM supplémentaires pour
SurfControl
Kit Services de licence Novell (NLS)
Exécutez une fois INETCFG et transférez
les commandes depuis AUTOEXEC.NCF
4 Go d'espace disque pour la prise en
charge des services de caching
Lecteur de CD-ROM capable de lire des
disques au format ISO 9660
Remarque : Novell BorderManager 3.7 est doté de fonctions des services de
licence Novell (NLS). Aussi, lorsque vous installez votre premier serveur Novell
BorderManager 3.7 dans une arborescence ou une partition, installez-le sur un
serveur NetWare qui contient une réplique Lecture/écriture NDS ou eDirectory de
cette partition. Il n'est pas nécessaire que tous les serveurs Novell BorderManager
3.7 installés ultérieurement sur la même partition disposent d'une réplique Lecture/
écriture.
Configuration client requise
Matériel client
Logiciel client
Windows 98, 2000, NT, XP ou Me
Windows 98, 2000, NT, XP ou Me
Un minimum de 28 Mo d'espace disque
disponible
Netscape* Navigator* 4.7 ou ultérieur
Microsoft* Internet Explorer 5.5 ou ultérieur.
Un minimum de 32 Mo de RAM
103-000242-001
April 19, 2002
Novell Confidential
13
Manual
29
Contrat de Licence Utilisateur Final
Avant d'installer Novell BorderManager 3.7, vous devez prendre
connaissance du Contrat de Licence Utilisateur Final (EULA - End User
License Agreement). Les versions anglaise, portugaise, française, italienne,
allemande, espagnole, japonaise, tchèque, polonaise et néerlandaise du EULA
se trouvent dans le sous-répertoire de langue approprié du répertoire
\LICENSE situé à la racine du CD-ROM.
Mise à niveau
Novell BorderManager 3.7 peut être installé comme mise à niveau de
BorderManager Enterprise Edition 3.6. L'installation conserve la
configuration existante du serveur, à l'exception du réseau privé virtuel
(VPN). La mise à niveau copie la configuration de base dans un fichier et
étend les schémas. Une fois l'installation terminée, transférez les filtres
manuellement. Voir Etape 18, page 18 pour des informations détaillées.
Préparation de l'installation
Révisez la liste d'éléments suivante et notez les informations
correspondantes :
" Emplacement des disquettes de licence ou chemin d'accès au fichier de
licence
" Adresse IP du serveur et passerelle par défaut
" Interfaces publiques et privées et liaisons de celles-ci à des adresses IP
" Nom de domaine DNS (Système de nom de domaine)
" Adresses IP de trois serveurs de noms DNS maximum sur le réseau
14
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Installation de Novell BorderManager 3.7 sur un serveur
NetWare 5.1 SP 4 ou NetWare 6.0 SP 1
Pour installer Novell BorderManager 3.7 sur le serveur à partir d'un
CD-ROM :
1 Vérifiez que vous disposez de NetWare 5.1 doté du Support Pack 4, de
NetWare 6.0 doté du Support Pack 1 ou d'une version ultérieure sur votre
serveur.
2 Montez le CD-ROM NBM 3.7 à partir du serveur en entrant CDROM sur
la console du serveur.
3 Sur le serveur, affichez la console graphique X-Server. Si celle-ci n'est
pas chargée, entrez STARTX sur la console du serveur.
Si STARTX est déjà chargé, appuyez sur Ctrl+Échap et sélectionnez la
console graphique X-Server.
L'installation de Novell BorderManager 3.7 à partir de NWCONFIG est
désactivée. L'installation n'est possible qu'à partir de la console graphique
X-Server.
4 Cliquez sur le logo Novell > sélectionnez Installer pour afficher les
produits déjà installés.
5 Cliquez sur Ajouter > placez-vous à la racine du CD-ROM > cliquez sur
OK.
6 Sélectionnez la page Bienvenue > cliquez sur Suivant.
7 Lisez attentivement le contrat de licence. Si vous acceptez les conditions
du contrat, cliquez sur J'accepte.
Reportez-vous à “Contrat de Licence Utilisateur Final”, page 14 pour
plus d'informations.
8 Sélectionnez la case correspondant au service Novell BorderManager 3.7
que vous souhaitez installer.
Remarque : Quels que soient les services Novell BorderManager 3.7
sélectionnés, les licences de tous les services seront installées.
103-000242-001
April 19, 2002
Novell Confidential
15
Manual
29
9 Pour installer les licences maintenant, insérez la disquette de licence
Novell BorderManager 3.7, entrez le chemin d'accès au répertoire de la
licence (par exemple, A:\LICENSE) cliquez sur Suivant. Sinon,
sélectionnez la case Omettre l'installation de la licence > cliquez sur
Suivant.
Vous pouvez installer les fichiers système sans licence ; cependant,
Novell BorderManager 3.7 ne se chargera pas tant qu'aucune licence
valide ou d'évaluation ne sera installée.
Vous pouvez choisir les licences d'évaluation depuis le menu déroulant de
cette page.
10 Dans la boîte de dialogue de login, loguez-vous à l'arborescence NDS ou
eDirectory sous votre nom distinctif complet (avec les droits
administratifs).
Vous devez disposer de droits administratifs sur la racine de
l'arborescence NDS ou eDirectory. Cette condition est requise pour tout
ayant droit disposant de droits Superviseur sur un conteneur situé au
même niveau que le serveur. Des droits administratifs sont requis pour
étendre le schéma eDirectory à l'arborescence, installer les licences de
produit et configurer Novell BorderManager 3.7 pour la première fois.
Si vous installez les services Pare-feu/Caching ou les services VPN
BorderManager, vérifiez la liste d'interfaces réseau et leurs liaisons IP.
Définissez chaque interface comme publique, privée ou les deux.
Si vous procédez à une mise à niveau, allez à Etape 16.
11 Pour les services VPN et Pare-feu/Caching, vous devez spécifier une
adresse IP publique à utiliser avec Novell BorderManager 3.7 pour
sécuriser vos frontières réseau. Les adresses IP publiques définissent les
interfaces serveur d'accès à un réseau public, notamment Internet. Les
adresses IP privées définissent les interfaces serveur d'accès à un réseau
privé ou à un intranet.
11a Spécifiez une adresse IP publique.
Lorsque vous définissez une interface publique, vous activez l'option
Définir des filtres pour sécuriser toutes les interfaces publiques.
Sélectionnez cette case pour refuser tout trafic à destination et en
provenance des interfaces publiques. S'il s'agit d'une mise à niveau,
les filtres existants sont conservés et l'option Refuser tous les filtres
n'est pas définie sur les interfaces publiques.
11b Spécifiez une adresse IP privée.
16
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
11c Sélectionnez la case Définir des filtres pour sécuriser toutes les
interfaces publiques afin de définir les filtres IP et IPX par défaut des
interfaces publiques cochées. S'il s'agit d'une mise à niveau, les
filtres existants sont conservés.
11d Spécifiez une passerelle. Si le champ Adresse IP de passerelle est
vide, entrez le nom de la passerelle par défaut.
11e Cliquez sur Suivant.
Si vous n'avez pas spécifié d'adresse IP privée, allez à Etape 14 ;
sinon, allez à Etape 12.
12 Sélectionnez les cases correspondant aux services à activer. Des
exceptions de filtres seront créées pour ces services sur l'interface
publique > cliquez sur Suivant.
Après l'installation, configurez manuellement les services de messagerie
et de news avec l'Administrateur NetWare.
Remarque : Si vous ne disposez que d'une seule interface et que celle-ci est
dotée d'un filtre public, aucune exception ne sera créée.
13 Par défaut, la case Contrôle d'accès est activée. Nous vous recommandons
d'accepter ce paramètre par défaut. Le contrôle d'accès permet
d'empêcher tout trafic et de renforcer la sécurité. Vous pouvez définir les
règles de contrôle d'accès à l'aide de l'Administrateur NetWare. Les règles
d'accès permettent d'autoriser ou de refuser l'accès à partir d'une source
quelconque ou vers une cible quelconque. Cette option n'est disponible
que lorsque vous sélectionnez un ou plusieurs services dans l'écran
précédent.
14 Entrez un nom de domaine DNS pour votre réseau > cliquez sur Suivant.
15 Cliquez sur Ajouter pour insérer entre une et trois adresses IP de serveur
DNS.
Par défaut, l'entrée DNS existante figure dans la liste.
16 Cliquez sur Terminer lorsque vous avez fini ou sur Précédent pour revenir
aux fenêtres précédentes et modifier vos sélections.
103-000242-001
April 19, 2002
Novell Confidential
17
Manual
29
17 Effectuez l'une des opérations suivantes :
!
Cliquez sur Lisezmoi pour visualiser le fichier correspondant.
!
Cliquez sur Redémarrer pour accéder aux services Novell
BorderManager 3.7.
!
Cliquez sur Fermer pour terminer l'installation et revenir à l'interface
graphique.
18 Après avoir redémarré, vérifiez que FILTSRV.NLM n'est pas chargé. Si
nécessaire, déchargez-le. Si vous n'y parvenez pas, déchargez tous les
fichiers NLM qui dépendent de FILTSRV.NLM > déchargez
FILTSRV.NLM.
19 Entrez FILTSRV MIGRATE à l'invite de la console pour transférer les
filtres existants vers eDirectory.
20 Déchargez FILTSRV et chargez-le en mode normal (Entrez FILTSRV à
l'invite de la console).
Installation du client Novell
Le logiciel Novell ClientTM permet d'accéder à Novell BorderManager 3.7 à
partir des postes de travail Windows 98, Windows 2000, Windows NT et
Windows XP. Pour installer le client Novell, reportez-vous à la documentation
fournie sur le site Web de documentation de Novell (http://www.novell.com/
documentation/lg/noclienu/index.html).
Le client Novell version 4.8 ou ultérieure est requis pour Windows NT, 2000
et XP. Le client Novell version 3.3 ou ultérieure est requis pour Windows 98.
Pour prendre en charge la passerelle IP Novell, vous devez également installer
le composant client de la passerelle IP Novell sur tous les postes de travail
client.
Installation des snap-ins de l'Administrateur NetWare
Les snap-ins de l'Administrateur NetWare permettent d'activer, de configurer
et de gérer les composants Novell BorderManager 3.7, tels que les services
Proxy, la passerelle IP Novell, le réseau privé virtuel (VPN), les services
d'authentification BorderManager Authentication Services et le contrôle
d'accès.
18
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
L'utilitaire d'installation de Novell BorderManager 3.7 installe les snap-ins de
l'administrateur NetWare 32 bits sur le serveur. Vous pouvez administrer vos
serveurs BorderManager en exécutant NWADMN32.EXE à partir du
répertoire SYS:\PUBLIC\WIN32 du serveur.
Pour installer les snap-ins :
1 Lancez la version de l'Administrateur NetWare choisie pour l'installation
des snap-ins > vérifiez qu'elle fonctionne correctement > quittez
l'utilitaire.
2 Depuis votre poste de travail administratif, assignez une unité au volume
SYS: du serveur Novell BorderManager 3.7 > lancez le programme
d'installation de Novell BorderManager 3.7 (SETUP.EXE).
Le programme SETUP.EXE de Novell BorderManager 3.7 se trouve sur
le serveur dans SYS:\PUBLIC\BRDRMGR\SNAPINS.
3 Suivez les instructions fournies par l'assistant.
Lors de l'installation des snap-ins, vous êtes invité à indiquer
l'emplacement des fichiers administratifs. En règle générale, les fichiers
administratifs se trouvent sur le volume SYS: du serveur dans le
répertoire \PUBLIC\WIN32. Si vous souhaitez installer les snap-ins de
Novell BorderManager 3.7 sur un site central de l'Administrateur
NetWare 32 bits, spécifiez le répertoire où votre fichier
NWADMN32.EXE central réside (par exemple, SYS:\PUBLIC\WIN32).
4 Une fois les snap-ins installés, quittez l'assistant.
5 Pour activer les snap-ins après l'installation, allez à SYS:/PUBLIC/
WIN 32 > double-cliquez sur l'icône NWADMIN32.
Installation du client VPN (réseau privé virtuel)
Pour accéder aux services VPN (réseau privé virtuel) à partir des postes de
travail Windows du client, vous devez installer le client VPN. L'installation du
client Novell avec le client VPN est facultative : elle n'est pas essentielle pour
les services VPN. Pour installer le client VPN à partir du CD-ROM, cliquez
sur SETUPEX.EXE sous /CL_INST/VPN/EXES ou, à partir du serveur, sous
SYS:/PUBLIC/BRDRMGR/VPN/EXES.
103-000242-001
April 19, 2002
Novell Confidential
19
Manual
29
Accès à Novell iManager pour la configuration des
filtres
Vous pouvez utiliser Novell iManager pour configurer des filtres sur NetWare
6 SP 1 uniquement. Le rôle de gestion des accès et la tâche de configuration
du filtrage des paquets de Novell BorderManager (NBM) se greffent
automatiquement sur Novell iManager pendant l'installation de Novell
BorderManager 3.7. Par défaut, ce rôle n'est attribué qu'à l'administrateur.
Pour vous loguer à Novell iManager :
1 Dans Internet Explorer > allez à https://ipaddress:2200 ou utilisez https:/
/DNS:2200 du serveur.
2 Loguez-vous à Novell iManager pour utiliser la tâche de configuration du
filtrage de paquets.
3 Lorsque vous vous loguez à Novell iManager, le rôle de gestion des accès
NBM apparaît sur le panneau de gauche. Cliquez sur Gestion d'accès
NBM pour afficher la tâche de configuration des filtres.
4 Cliquez sur la tâche de configuration des filtres pour afficher l'option de
sélection de serveur NBM.
Configuration des règles de login
Tous les utilisateurs qui se loguent à des services via Novell BorderManager
3.7 doivent être authentifiés. Le type d'authentification requis pour permettre
à un utilisateur de se loguer et d'accéder aux services réseau via Novell
BorderManager 3.7 est stocké dans NDS ou eDirectory dans un objet Règle
de login. De ce fait, vous devez configurer une règle de login générique
permettant aux utilisateurs d'accéder aux services Novell BorderManager 3.7.
Sans configuration de règle de login, aucun accès utilisateur n'est possible. Il
ne peut y avoir qu'un seul objet Règle de login dans une arborescence NDS ou
eDirectory. Cet objet détient les règles de login de tous les serveurs et services
Novell BorderManager 3.7 de l'arborescence.
Remarque : Les règles stockées dans l'objet Règle de login s'appliquent
uniquement aux services Novell BorderManager 3.7. Les précédentes versions de
Novell BorderManager 3.7 utilisent des règles par défaut codées en dur. Pour gérer
les règles de login de tous les services Novell BorderManager 3.7 à l'aide de l'objet
Règle de login, vous devez mettre à niveau les anciennes versions de
BorderManager vers la version Novell BorderManager 3.7.
20
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Pour créer un objet Règle de login et configurer des règles génériques qui
permettent aux utilisateurs d'accéder aux services réseau par le biais des divers
services Novell BorderManager 3.7 à l'aide d'un mot de passe eDirectory,
procédez comme suit :
1 Dans l'Administrateur NetWare, sélectionnez l'objet conteneur Sécurité
de votre arborescence eDirectory.
L'objet Règle de login ne peut être créé que dans l'objet conteneur
Sécurité.
2 À partir du menu Objet, cliquez sur Créer > Règle de login > OK.
3 Pour configurer une règle de login, cliquez sur Règles > Ajouter.
4 Pour configurer une règle pour les Services d'authentification de Novell
BorderManager 3.7, sélectionnez le bouton d'option du nom d'objet à
partir de la boîte de dialogue Type de service > cliquez sur le bouton
Parcourir pour sélectionner l'objet Système d'accès à distance associé à ce
service > sélectionnez la case Activé.
Lorsqu'il s'agit d'une nouvelle installation des Services d'authentification
de Novell BorderManager 3.7, vous devrez créer un objet Système
d'accès à distance. Reportez-vous à “Création d'un objet Système d'accès
à distance”, page 142 pour plus d'informations.
5 Sélectionnez l'onglet Utilisateurs > cliquez sur Ajouter > cliquez sur le
bouton Parcourir pour sélectionner les objets Utilisateur, Groupe ou
Conteneur pour activer l'accès.
6 Sélectionnez l'onglet Méthodes > cliquez sur Ajouter > sélectionnez la
case Méthode de login activée.
7 Dans la boîte de dialogue Types de méthode, sélectionnez la case Mots de
passe NDS ou eDirectory.
8 Dans la boîte de dialogue Mise en vigueur de la méthode, sélectionnez la
case Obligatoire > cliquez sur OK > Ajouter.
9 Pour configurer une règle pour les services Proxy, sélectionnez le bouton
d'option Prédéfini à partir de la boîte de dialogue Type de service >
sélectionnez Proxy > sélectionnez la case Activé.
10 Pour configurer une règle pour SOCKS, sélectionnez le bouton d'option
Prédéfini à partir de la boîte de dialogue Type de service > sélectionnez
SOCKS > sélectionnez la case Activé.
103-000242-001
April 19, 2002
Novell Confidential
21
Manual
29
11 Pour configurer une règle pour un réseau VPN, sélectionnez le bouton
d'option Prédéfini à partir de la boîte de dialogue Type de service >
sélectionnez VPN > sélectionnez la case Activé.
Étant donné que les mots de passe NDS ou eDirectory représentent une
condition préalable à l'authentification VPN, vous n'avez qu'à définir des
types de méthode et des règles de mise en vigueur supplémentaires si
vous souhaitez que les utilisateurs soient authentifiés par d'autres moyens
tels que des jetons. (Les utilisateurs VPN doivent toujours entrer leur mot
de passe NDS ou eDirectory.)
12 Quittez l'utilitaire.
Installation de SurfControl
SurfControl* est fourni avec Novell BorderManager 3.7 avec une période
d'essai de 45 jours. Si vous envisagez de créer des règles d'accès utilisant les
catégories d'URL de SurfControl, vous devez installer un module chargeable
NetWare (NLMTM - NetWare Loadable ModuleTM) pour SurfControl sur le
serveur BorderManager. SurfControl contient la liste des sites Internet
impropres ou qui nuisent à l'environnement de travail, tels que ceux traitant de
sujets à connotation sexuelle ou relatifs aux drogues. SurfControl pour
BorderManager contient également la liste des sites relatifs à la formation et
aux sports/loisirs. Les listes SurfControl sont quotidiennement mises à jour.
L'utilisation des listes SurfControl est gratuite pendant la période d'essai de 45
jours. À la fin de la période d'essai, vous pouvez vous abonner à SurfControl
et recevoir les listes à jour de façon régulière. Pour plus d'informations,
consultez le site Web SurfControl à l'adresse (www.surfcontrol.com).
22
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Documentation Novell BorderManager 3.7
En plus de ce document, d'autres manuels relatifs au produit Novell
BorderManager 3.7 sont disponibles en ligne à l'adresse
www.novell.com/documentation
La distribution de documentation en ligne sur le Web constitue un moyen
pratique d'accès aux informations les plus récentes. La documentation en ligne
inclut les éléments suivants :
! Présentation et planification : fournit une présentation des services Novell
BorderManager 3.7 que vous utilisez pour gérer efficacement vos
frontières réseau, traite des exigences en matière de gestion et de contrôle
de l'accès à des frontières réseau et inclut des descriptions détaillées de
chaque service BorderManager.
! Administration—fournit des informations sur le filtrage de paquets, la
conversion d'adresses réseau, la passerelle IP Novell, les services proxy,
les réseaux privés virtuels, le contrôle d'accès et les services
d'authentification.
Étapes ultérieures
Le tableau suivant répertorie les paramètres par défaut de chaque service
fourni par Novell BorderManager 3.7 et fournit des références à la
documentation Novell BorderManager 3.7 pour plus d'informations.
Remarque : Si vous avez mis votre serveur à niveau, la configuration existante
est conservée, à l'exception de la configuration de votre réseau VPN.
103-000242-001
April 19, 2002
Novell Confidential
23
Manual
Tableau 1
29
Configuration par défaut pour NetWare 5.1 et NetWare 6
Service
Paramètre par défaut
Informations sur la
configuration
Filtres de paquets
Si, lors de l'installation,
vous avez opté pour la
protection de l'accès au
réseau public grâce au
filtrage des paquets,
l'interface publique filtre
tous les paquets afin
d'interdire l'accès au
réseau. Pour autoriser
uniquement certains types
de paquets, vous devez
configurer des listes
d'exception à l'aide de
l'utilitaire FILTCFG.
Reportez-vous à Chapitre
2, “Configuration des
filtres de paquets”, page
27.
Pour obtenir la liste
détaillée des filtres par
défaut, reportez-vous au
Guide de présentation
et de planification de
Novell BorderManager 3.7,
disponible dans la
documentation en ligne.
Si vous avez sélectionné
Non, l'interface publique
autorise tout accès et ne
filtre aucun paquet. Pour
filtrer uniquement certains
types de paquets, vous
devez configurer des listes
d'exception à l'aide de
l'utilitaire FILTCFG.
24
Conversion
d'adresse réseau
(Network Address
Translation - NAT)
Désactivé. Tous les
paquets entrants et
sortants sont transmis tels
quels à l'adresse ou au
port, sans conversion ni
modification.
3, “Configuration de la
conversion d'adresse
réseau (NAT)”, page 47.
Passerelle IP
Novell
Désactivé. La passerelle
IPX/IP, la passerelle IP/IP
et les services de
passerelle SOCKS sont
désactivés.
passerelle IP Novell”,
page 53.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Service
Informations sur la
configuration
Services Proxy
Désactivé. Tous les
services proxy sont
désactivés, y compris
l'accélérateur du client
Web (cache proxy
standard), l'accélérateur
du serveur Web
(accélérateur HTTP),
l'accélérateur réseau
(caching hiérarchique ICP)
et tous les proxies
d'application (HTTP, FTP,
FTP inverse, Messagerie,
News, RealAudio*, DNS,
HTTPS, SOCKS,
Générique et
Transparent).
services Proxy”, page 69.
Réseau privé
virtuel (VPN)
Désactivé. Aucune
connexion VPN n'est
définie par défaut. Pour
conserver la configuration
précédente, vous devez
procéder manuellement.
Reportez-vous à “Mise à
niveau VPN à partir d'une
version antérieure”, page
119 pour des informations
détaillées.
réseaux privés virtuels”,
page 97.
Contrôle d'accès
Désactivé. Si vous activez
cette fonction via
l'Administrateur NetWare ,
la liste de contrôle d'accès
contient une seule règle
par défaut, qui interdit tout
accès, quelles que soient
la source et la cible.
7, “Configuration du
contrôle d'accès”, page
127.
Services
d'authentification
de Novell
BorderManager 3.7
Pas de paramètre par
défaut. Vous devez définir
une configuration initiale à
l'aide de l'Administrateur
NetWare.
services
d'authentification”, page
139.
103-000242-001
April 19, 2002
Novell Confidential
25
Manual
Service
Alerte Novell
Le paramètre Hériter est
BorderManager 3.7 sélectionné par défaut. La
configuration de l'alerte est
héritée d'un conteneur
situé à un niveau supérieur
dans l'arborescence NDS
ou eDirectory.
26
29
Informations sur la
configuration
notification d'alerte”, page
153.
103-000242-001
April 19, 2002
Novell Confidential
Manual
2
29
Le filtrage des paquets offre une sécurité au niveau de la couche réseau,
permettant de contrôler les types d'informations transmis entre les réseaux et
les hôtes. Novell® BorderManager® prend en charge les filtres RIP (Routing
Information Protocol), EGP (External Gateway Protocol) et les filtres de
transmission de paquets qui permettent de contrôler les informations relatives
aux services et aux routes des protocoles courants, tels que le logiciel IPXTM
(Internetwork Packet ExchangeTM ) et TCP/IP.
Si vous avez choisi de sécuriser toutes les interfaces publiques de votre
serveur Novell BorderManager 3.7 lors de l'installation, un ensemble de filtres
par défaut est configuré à cette étape. Si vous avez effectué une mise à niveau,
les filtres existants ont été conservés et les filtres par défaut se sont ajoutés à
la liste de filtres.
Les filtres par défaut bloquent l'ensemble du trafic passant par les interfaces
publiques à l'exception du trafic réacheminé vers et à partir d'un service
Novell BorderManager 3.7 activé. Novell BorderManager 3.7 crée des
exceptions pour permettre des services sélectionnés pendant l'installation. Ce
chapitre détaille les tâches à accomplir pour configurer le filtrage des paquets
de façon à permettre aux services supplémentaires de transiter via le serveur
Novell BorderManager 3.7.
Avec Novell BorderManager 3.7 sur NetWare® 6, les filtres TCP/IP peuvent
également être configurés via Novell iManager.
103-000242-001
April 19, 2002
Novell Confidential
27
Manual
29
Les sections suivantes sont développées :
! “Conditions préalables au filtrage des paquets”, page 28
! “Configuration des filtres par défaut”, page 28
! “Utilisation de Novell iManager pour la configuration des filtres”, page
29
! “Utilisation de FILTCFG pour la configuration des filtres”, page 33
Conditions préalables au filtrage des paquets
Avant de configurer des filtres de paquets pour votre serveur Novell
BorderManager 3,7, munissez-vous des informations suivantes :
! Règles de sécurité spécifiques à votre société
Les règles de sécurité doivent définir les communications autorisées avec
les sources externes et entre les différents segments de l'intranet de la
société.
! Topologie actuelle du réseau
Vous devez connaître l'agencement des composants de votre réseau.
! Informations sur les autres composants pare-feu
Vous devez connaître les autres mesures de sécurité actuellement en
vigueur (ou ultérieurement) afin de ne pas contourner ou ignorer ces
mesures.
Configuration des filtres par défaut
Si vous n'avez pas opté pour la sécurisation des interfaces publiques de Novell
BorderManager 3.7 lors de l'installation, vous pouvez le faire à tout moment.
Pour configurer les filtres par défaut :
1 À l'invite de la console du serveur, tapez
LOAD BRDCFG
2 À l'invite, sélectionnez Oui pour configurer les filtres par défaut, puis
appuyez sur Entrée.
3 Lorsque le système vous invite à lancer INETCFG, sélectionnez Non >
appuyez sur Entrée.
28
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
4 À partir du menu Options de configuration des filtres, sélectionnez
Configurer les filtres sur l'interface publique > appuyez sur Entrée.
5 Sélectionnez l'interface publique dans la liste > appuyez sur Entrée.
6 Suivez les invites pour activer et configurer les filtres par défaut.
Les paramètres des filtres par défaut bloquent l'ensemble du trafic IPX et IP à
l'exception des échanges entre la passerelle IP Novell, les services proxy et les
réseaux privés virtuels (VPN). La prise en charge des filtres pour IPX et TCP/
IP est automatiquement activée lorsque les filtres par défaut sont activés.
Pour activer manuellement l'option Support des filtres du protocole TCP/IP :
LOAD INETCFG
2 Sélectionnez Protocoles > TCP/IP > Support des filtres > État.
3 Sélectionnez Activé ou Désactivé > appuyez sur Entrée.
Remarque : Si Support des filtres est désactivé, le protocole fonctionne comme
si le module de filtrage n'était pas chargé. Dans ce cas, le filtrage n'a pas lieu. Si
Support des filtres est activé, les modifications effectuées sur la configuration des
filtres s'appliquent immédiatement sans que vous n'ayez à réinitialiser le serveur.
Remarque : Ce chapitre décrit les tâches requises pour la configuration initiale du
filtrage des paquets de Novell BorderManager 3.7. Pour obtenir des informations
sur la planification et le concept du filtrage des paquets, reportez-vous au Guide
de présentation et de planification de Novell BorderManager 3.7, disponible
dans la documentation en ligne. Assurez-vous de bien comprendre ces
informations avant de configurer le filtrage des paquets.
Utilisation de Novell iManager pour la configuration des
filtres
Ces sections vous expliquent comment utiliser Novell iManager pour
configurer des filtres sur NetWare 6. Le rôle de gestion des accès et la tâche
de configuration du filtrage des paquets de Novell BorderManager (NBM) se
greffent automatiquement sur Novell iManager pendant l'installation de
Novell BorderManager 3.7. Par défaut, ce rôle est uniquement attribué à
l'administrateur.
Loguez-vous à Novell iManager pour utiliser la tâche de configuration du
filtrage de paquets.
103-000242-001
April 19, 2002
Novell Confidential
29
Manual
Figure 1
29
Écran de login de Novell iManager
Lorsque vous vous loguez à Novell iManager, le rôle de gestion des accès
NBM apparaît sur le panneau de gauche. Cliquez sur Gestion d'accès NBM
pour afficher la tâche de configuration des filtres.
Figure 2
Panneau de gestion d'accès NBM
Cliquez sur la tâche de configuration des filtres pour afficher l'option de
sélection de serveur NBM.
30
103-000242-001
April 19, 2002
Novell Confidential
Manual
Figure 3
29
Écran d'option de sélection de serveur
Cliquez sur l'icône de sélection d'objets pour accéder au serveur que vous
voulez sélectionner.
Cliquez sur l'icône du serveur.
Le serveur sélectionné apparaît sur la page principale. Cliquez sur OK.
103-000242-001
April 19, 2002
Novell Confidential
31
Manual
Figure 4
29
Zone de liste des tâches
Sélectionnez la tâche à effectuer dans la zone de liste > cliquez sur OK.
32
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Utilisation de FILTCFG pour la configuration des filtres
Ces sections vous expliquent comment utiliser FILTCFG sur le serveur de
Novell BorderManager 3.7 :
! “Configuration des filtres exceptionnels des paquets sortants”, page 33
! “Configuration des filtres exceptionnels pour les paquets entrants”, page
40
! “Définition de types personnalisés de paquet avec état”, page 42
! “Enregistrement des filtres dans un fichier texte”, page 43
! “Activation de la consignation globale des paquets IP”, page 44
! “Exécution de tâches de configuration et de gestion avancées”, page 45
Configuration des filtres exceptionnels des paquets sortants
Étant donné que les filtres par défaut n'autorisent pas automatiquement
certains types de paquets à traverser le pare-feu, il peut s'avérer nécessaire
d'activer des filtres exceptionnels pour activer d'autres services.
Les types de paquets définis par le système permettent de configurer des filtres
d'exceptions de paquets avec état pour les services suivants :
! DNS via UDP
! DNS via TCP
! FTP
! Ping
! POP3
! Simple Mail Transfer Protocol (SMTP)
! Telnet
! HTTP
! HTTPS
103-000242-001
April 19, 2002
Novell Confidential
33
Manual
29
Avec le filtrage des paquets avec état (dynamique), il suffit de définir les
exceptions qui permettent à des types spécifiques de trafic sortant se dirigeant
vers des cibles précises d'être réacheminés par le serveur Novell
BorderManager 3.7. Le filtrage des paquets avec état contrôle chaque
connexion et crée un filtre temporaire (d'une durée limitée) exceptionnel pour
la connexion entrante. Vous pouvez ainsi bloquer le trafic entrant provenant
d'une adresse ou d'un numéro de port particulier tout en autorisant le trafic de
retour de la même provenance.
Le filtrage des paquets avec état assure le suivi des paquets sortants dont il a
autorisé la transmission et n'autorise que le retour des paquets de réponse
correspondants. Lorsque le premier paquet est transmis au réseau public
(Internet), un filtre inverse est créé de façon dynamique. Pour qu'il puisse être
considéré comme une réponse, le paquet entrant doit provenir de l'hôte et du
port auquel le paquet sortant a été initialement envoyé.
Pour configurer les exceptions de réacheminement des paquets avec état afin
d'acheminer le trafic sortant via le serveur Novell BorderManager 3.7 :
LOAD FILTCFG
2 À partir du menu Options de configuration des filtres, sélectionnez
Configurer les options de l'interface > appuyez sur Entrée.
3 Sélectionnez une interface dans la liste et appuyez sur Tab pour passer de
Publique à Privée.
Toutes les interfaces figurant dans la liste peuvent être désignées comme
publiques (externes) ou privées (internes).
4 Appuyez sur Échap > sélectionnez Configurer les filtres TCP/IP > Filtres
de transmission de paquet.
L'écran qui s'affiche doit être identique à celui-ci.
34
103-000242-001
April 19, 2002
Novell Confidential
Manual
Figure 5
29
Écran Filtres de transmission de paquet
5 Procédez comme suit :
!
Si l'état est Désactivé, appuyez sur Entrée > sélectionnez Activé >
appuyez de nouveau sur Entrée. Les filtres TCP/IP configurés
précédemment deviennent immédiatement actifs.
!
Si l'opération sélectionnée est Autoriser les paquets dans la liste des
filtres > appuyez sur Entrée > sélectionnez Refuser les paquets dans
la liste des filtres > appuyez de nouveau sur Entrée. Les paquets
correspondant aux types figurant dans la liste des filtres ne seront pas
transmis par le serveur Novell BorderManager 3.7.
6 Sélectionnez Filtres et appuyez sur Entrée pour afficher la liste des filtres.
Un filtre par défaut défini lors de l'installation bloque tous les paquets IP
entrants provenant de l'interface publique.
7 Appuyez sur Échap.
103-000242-001
April 19, 2002
Novell Confidential
35
Manual
29
8 Sélectionnez Exceptions > appuyez sur Entrée pour afficher la liste des
exceptions.
Un filtre exceptionnel par défaut défini lors de l'installation autorise tous
les paquets IP sortants à être acheminés via l'interface publique.
D'autres filtres exceptionnels permettent aux paquets entrants mentionnés
ci-après de transiter via l'interface publique :
!
Authentification SSL (Secure Sockets Layer) Port TCP 443.
!
TCP dynamique —Ports TCP 1024 à 65535.
!
UDP dynamique —Ports UDP 1024 to 65535.
!
Maître/esclave VPN (IPX/TCP) Port TCP 213.
!
Authentification du client VPN—Port TCP 353.
!
VPN "rester en vie" Port UDP 353
!
Protocole SKIP (Simple Key Management for Internet Protocol)
Protocol 57.
!
Cache proxy Web (WWW-HTTP) Port TCP 80.
Remarque : Bien que les filtres exceptionnels par défaut permettent à certains
paquets liés à VPN d'être réacheminés, les filtres exceptionnels VPN par défaut
ne permettent pas à des paquets codés d'être acheminés d'un membre VPN à un
autre. Vous devez mettre à jour les filtres destinés aux tunnels VPN chaque fois
que vous configurez un serveur VPN. Pour plus d'informations, reportez-vous au
manuel “Exécution de tâches de configuration et de gestion avancées”, page 45
et la Présentation et planification des réseaux privés virtuels.
9 Appuyez sur Inser pour définir un nouveau filtre exceptionnel pour le
réacheminement des paquets sortants.
L'écran Définir l'exception s'affiche, comme suit.
36
103-000242-001
April 19, 2002
Novell Confidential
Manual
Figure 6
29
Écran Définir l'exception
10 Sélectionnez Type d'interface source > appuyez sur Entrée.
11 Sélectionnez Interface ou Groupe d'interfaces > appuyez sur Entrée.
12 Sélectionnez Interface source > appuyez sur Entrée.
13 Sélectionnez l'interface privée du serveur Novell BorderManager 3.7 ou
le groupe d'interfaces > appuyez sur Entrée.
14 Si vous avez sélectionné une interface WAN, sélectionnez Circuit source
et appuyez sur Entrée pour définir les informations de circuit suivantes
qui s'appliquent à l'interface :
!
DLCI Frame Relay local # (pour relais de trame) : numéro du circuit
d'identification de la connexion de données (DLCI) utilisé pour les
appels.
!
ID de système à distance (pour PPP, X.25 ou ATM) : nom du serveur
système distant ou d'un homologue distant associé à ce circuit.
!
Type de paramètre du circuit (pour X.25 ou ATM) : type du circuit
virtuel utilisé pour établir une connexion.
!
Adresse DTE à distance (pour X.25) : adresse du terminal de données
X.121 (DTE) assignée au DTE distant spécifique.
!
Adresse ATM à distance (pour ATM) : adresse assignée à l'ATM
(Asynchronous Transfer Mode) distant spécifique.
103-000242-001
April 19, 2002
Novell Confidential
37
Manual
29
15 Sélectionnez Type d'interface cible > appuyez sur Entrée.
16 Sélectionnez Interface ou Groupe d'interfaces > appuyez sur Entrée.
17 Sélectionnez Interface cible > appuyez sur Entrée.
18 Sélectionnez l'interface publique du serveur Novell BorderManager 3.7
ou le groupe d'interfaces > appuyez sur Entrée.
19 Si vous avez sélectionné une interface WAN, sélectionnez Circuit cible >
appuyez sur Entrée pour définir les informations de circuit suivantes qui
s'appliquent à l'interface :
38
!
DLCI Frame Relay local # (pour relais de trame) : numéro du circuit
DLCI utilisé pour les appels.
!
ID de système à distance (pour PPP, X.25 ou ATM) : nom du serveur
système distant ou d'un homologue distant associé à ce circuit.
!
Type de paramètre du circuit (pour X.25 ou ATM) : type du circuit
virtuel utilisé pour établir une connexion.
!
Adresse DTE à distance (pour X.25) : adresse DTE X.121 assignée
au DTE distant spécifique.
!
Adresse ATM à distance (pour ATM) : adresse assignée à l'ATM
distant spécifique.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
20 Sélectionnez Type de paquet > appuyez sur Entrée.
La fenêtre Types de paquets TCP/IP définis s'affiche. Les filtres de
transmission de paquets avec état disponibles sont les suivants.
Nom
Type de
paquet
Type de
transport
Port cible
Filtrage avec
état
dns/tcp-st
DNS
TCP
53
Activé
dns/udp-st
DNS
UDP
53
Activé
ftp-pasv-st
FTP
TCP
21
FTP_PASV
ftp-port-st
FTP
TCP
21
FTP_PORT
ftp-port-pasv-st
FTP
TCP
21
Activé
ping-st
PING
ICMP
N/A
Activé
pop3-st
POP3 Mail TCP
110
Mode
Désactivé
smtp-st
SMTP
TCP
25
Activé
telnet-st
Telnet
TCP
23
Activé
www-http-st
HTTP
TCP
80
Activé
www-https-st
HTTPS
TCP
443
Activé
21 Pour le type d'adresse source, sélectionnez N'importe quelle adresse, Hôte
ou Réseau.
Sélectionnez N'importe quelle adresse, sauf si vous souhaitez que
l'exception ne soit valable que pour un hôte ou réseau spécifique de votre
réseau privé.
22 Si vous avez sélectionné Hôte ou Réseau, sélectionnez Adresse IP
source > entrez l'adresse hôte ou réseau.
23 Pour le type d'adresse cible, sélectionnez N'importe quelle adresse, Hôte
ou Réseau.
Sélectionnez N'importe quelle adresse, sauf si vous souhaitez que
l'exception ne soit valable que pour les paquets adressés à un hôte ou
réseau spécifique en dehors de votre réseau privé.
103-000242-001
April 19, 2002
Novell Confidential
39
Manual
29
24 Si vous avez sélectionné Hôte ou Réseau, sélectionnez Adresse IP cible >
entrez l'adresse hôte ou réseau.
25 (Facultatif) Pour la consignation, appuyez sur Entrée, puis changez l'état
de Désactivé à Activé.
26 (Facultatif) Entrez un commentaire dans le champ correspondant afin de
décrire l'objectif du filtre. Appuyez sur Échap > sélectionnez Oui pour
enregistrer le filtre. Appuyez sur Échap jusqu'à ce que vous soyez invité
à quitter FILTCFG.
Important : Si vous avez activé la consignation pour un filtre exceptionnel, vous
devez également activer la consignation globale pour TCP/IP. La consignation
globale et la consignation d'un filtre exceptionnel particulier doivent être activées
pour permettre la consignation.
Configuration des filtres exceptionnels pour les paquets entrants
Si vous avez choisi de sécuriser l'interface publique du serveur Novell
BorderManager 3.7' et de prendre en charge les clients de la passerelle IP
Novell ou les clients SOCKS, vous devrez peut-être activer les filtres
exceptionnels des paquets entrants pour leur permettre de se connecter via
l'interface publique. Les clients de la passerelle IP Novell se connectent via les
ports TCP 8224 et 8225, et les clients SOCKS via le port TCP 1080.
Pour configurer les exceptions de réacheminement des paquets de façon à
réacheminer le trafic entrant de la passerelle IP et SOCKS via l'interface
publique du serveur Novell BorderManager 3.7 :
LOAD FILTCFG
2 Sélectionnez Configurer les filtres TCP/IP > Filtres de transmission de
paquet.
3 Sélectionnez Exceptions > appuyez sur Entrée pour afficher la liste des
exceptions.
4 Appuyez sur Inser pour définir un nouveau filtre exceptionnel pour le
réacheminement des paquets entrants.
40
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
5 Configurez l'exception pour les clients de la passerelle IP Novell de la
façon suivante :
5a Sélectionnez Type d'interface source, puis appuyez sur Entrée.
5b Sélectionnez Interface ou Groupe d'interfaces, puis appuyez sur
Entrée.
5c Sélectionnez Interface source, puis appuyez sur Entrée.
5d Sélectionnez l'interface publique du serveur Novell BorderManager
3.7 ou le groupe d'interfaces, puis appuyez sur Entrée.
5e Sélectionnez Type de paquet > appuyez sur Entrée.
5f Appuyez sur Inser pour définir un nouveau type de paquet TCP/IP.
5g Sélectionnez Nom et entrez le nom du type de paquet.
5h Sélectionnez Protocole, puis appuyez sur Inser.
5i Sélectionnez TCP dans la liste de protocoles Internet couramment
utilisés.
5j Acceptez <Tout> comme port(s) source.
5k Sélectionnez le(s) port(s) cible(s) et entrez 8224-8225.
5l Sélectionnez Commentaires et entrez une description du type de
paquet, telle que Client de la passerelle IP Novell ou Client SOCKS.
5m Appuyez sur Échap pour ajouter le type de paquet en haut de la liste
de paquets.
5n Sélectionnez le type de paquet ajouté.
5o Sélectionnez Type d'adresse cible, puis changez le paramètre de
N'importe quelle adresse à Hôte.
5p Sélectionnez Adresse IP cible, puis entrez l'adresse IP affectée à
l'interface publique de Novell BorderManager 3.7.
5q (Facultatif) Sélectionnez Commentaires, puis entrez une description
du filtre.
5r Appuyez sur Échap pour ajouter l'exception.
6 Configurez l'exception pour les clients SOCKS.
7 Appuyez sur Échap jusqu'à ce que vous soyez invité à quitter FILTCFG.
103-000242-001
April 19, 2002
Novell Confidential
41
Manual
29
Définition de types personnalisés de paquet avec état
Le pare-feu Novell BorderManager 3.7 propose de nombreux types de paquets
statiques en plus des types de paquets avec état répertoriés dans
“Configuration des filtres exceptionnels des paquets sortants”, page 33. Les
types de paquets statiques sont ceux dont le nom ne comprend pas -st. Les
types de paquets statiques sont utilisés pour définir la mise en place d'un
filtrage de trafic dans un seul sens. Par exemple, au lieu de créer un filtre de
paquet avec état dans un sens et de compter sur le système pour activer le filtre
à durée limitée dans le sens inverse, vous pouvez créer deux filtres de paquets
statiques : un pour les paquets circulant dans un sens et un pour les paquets
circulant dans l'autre sens.
Si les types de paquets avec état déjà définis par le serveur Novell
BorderManager 3.7 n'incluent pas un type de paquet que vous souhaitez filtrer
et si vous n'osez pas utiliser les filtres de paquets statiques, vous pouvez créer
un type personnalisé de paquet avec état.
Pour créer un type personnalisé de paquet avec état, procédez comme suit :
1 À partir de la fenêtre Types de paquets TCP/IP définis, appuyez sur Inser.
2 Entrez le nom du nouveau type de paquet dans le champ Nom.
3 Pour le champ Protocole, appuyez sur Inser puis sélectionnez IP, ICMP,
IGMP, TCP ou UDP.
4 Si vous avez sélectionné TCP ou UDP, entrez le numéro de port source et
cible ou une plage de numéros.
5 Ne modifiez pas le paramètre par défaut Désactiver pour Filtrage de bit
ACK.
Étant donné que le filtrage de bit ACK s'effectue automatiquement
lorsque le filtrage des paquets avec état est activé, vous n'avez pas besoin
d'activer le filtrage de bit ACK séparément. Le logiciel ne vous permet
pas d'activer à la fois le filtrage de bit ACK et le filtrage des paquets avec
état pour un même filtre.
42
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
6 Activez le filtrage avec état en sélectionnant l'un des modes suivants :
!
Activé
!
Activé pour FTP actif uniquement (PORT)
!
Activé pour FTP passif uniquement (PASV)
Remarque : Les deux derniers modes de filtrage avec état s'appliquent
uniquement aux types de paquets FTP (port 21). Si vous souhaitez le filtrage avec
état à la fois pour FTP actif et FTP passif, sélectionnez Activé.
7 (Facultatif) Entrez un commentaire pour décrire le type de paquet.
La définition du type de paquet TCP/IP devrait se présenter comme suit.
Figure 7
Type de paquet TCP/IP défini
8 Appuyez sur Échap pour ajouter le paquet à la liste Types de paquets
TCP/IP définis.
Une fois le type de paquet ajouté à la liste, vous pouvez configurer un
filtre de paquet avec état à l'aide de cette définition de type de paquet.
Enregistrement des filtres dans un fichier texte
Pour enregistrer dans un document les filtres et exceptions activés pour votre
serveur :
LOAD FILTCFG
2 Sélectionnez Enregistrer les filtres dans un fichier texte.
3 Entrez le nom du fichier qui doit contenir les filtres.
4 Appuyez sur Échap pour quitter FILTCFG.
103-000242-001
April 19, 2002
Novell Confidential
43
Manual
29
Activation de la consignation globale des paquets IP
Le drapeau Consignation globale permet d'activer et de désactiver la
consignation de tous les filtres contenus dans un protocole particulier tel que
TCP/IP. Si ce drapeau n'est pas activé, aucune consignation n'a lieu, même si
le drapeau de consignation a été activé pour un filtre ou une exception
spécifiques. La consignation de paquets permet d'enregistrer l'activité des
filtres individuels spécifiés dans la liste des filtres ou dans les listes
d'exception.
Remarque : Les options de consignation risquent de réduire les performances du
serveur. Pensez à désactiver la consignation après le test des filtres et des
exceptions.
Pour activer la consignation IP :
LOAD FILTCFG
2 Sélectionnez Options de configuration des filtres disponibles >
Configurer les filtres TCP/IP > Consignation IP globale > État.
3 Sélectionnez Activé > appuyez sur Entrée.
Remarque : La consignation débute dès que l'option Consignation IP globale est
activée. Si vous souhaitez consigner l'activité d'un filtre particulier, vous devez
activer l'option Consignation IP globale et l'option de consignation de paquets pour
le filtre en question.
4 Appuyez sur Échap jusqu'à ce que vous soyez invité à quitter FILTCFG.
44
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Exécution de tâches de configuration et de gestion
avancées
Outre les procédures de configuration élémentaires décrites dans ce chapitre,
d'autres procédures de configuration et de gestion peuvent s'avérer
nécessaires, en fonction de votre configuration spécifique. Les tâches
avancées traitent des sujets suivants :
! Configuration d'un filtre HTTP
! Configuration d'un filtre FTP
! Configuration d'un filtre Telnet
! Configuration d'un filtre SMTP
! Configuration d'un filtre POP3
! Modification des paramètres de consignation de paquets IP par défaut
! Affichage des informations de consignation des paquets IP
103-000242-001
April 19, 2002
Novell Confidential
45
Manual
46
103-000242-001
April 19, 2002
Novell Confidential
29
Manual
3
29
Configuration de la conversion
d'adresse réseau (NAT)
La conversion d'adresse réseau (NAT) de Novell® BorderManager® 3.7
permet aux clients IP du réseau local d'accéder à Internet sans que vous ayez
à assigner de façon globale des adresses IP uniques à chaque système. En
outre, NAT joue le rôle de filtre, limitant le nombre de connexions externes
autorisées et interdisant l'initialisation des connexions entrantes depuis le
réseau public.
La configuration NAT consiste à sélectionner l'un des trois modes ci-après :
Dynamique seulement, Statique seulement ou une combinaison des modes
statique et dynamique.
Le mode Dynamique seulement est utilisé pour permettre aux clients de votre
réseau privé d'accéder au réseau public (par exemple, à Internet).
Le mode Statique seulement est utilisé pour permettre aux clients sur le réseau
public d'accéder à des ressources sélectionnées sur votre réseau privé ou pour
permettre à des hôtes privés identifiés d'accéder aux hôtes publics. Le mode
Statique seulement requiert également la configuration d'une table NAT.
Le mode combiné statique et dynamique est utilisé lorsque les fonctions du
mode statique et du mode dynamique sont requises. Le mode mixte statique et
dynamique requiert également la configuration d'une table NAT pour le mode
statique.
Le présent chapitre comprend les sections suivantes :
! “Conditions préalables de NAT”, page 48
! “Configuration de NAT sur une seule interface”, page 49
! “Configuration de NAT avec les multi-origines”, page 51
103-000242-001
April 19, 2002
Novell Confidential
47
Manual
29
Remarque : Ce chapitre décrit les tâches requises pour la configuration initiale de
la conversion d'adresse réseau (NAT) de Novell BorderManager 3.7. Pour obtenir
des informations sur la planification et le concept de NAT, reportez-vous au
Guide de présentation et de planification de Novell BorderManager 3.7,
disponible dans la documentation en ligne. Assurez-vous de bien comprendre ces
informations avant de configurer NAT.
Conditions préalables de NAT
Avant de configurer NAT, vérifiez que les conditions préalables ont été
remplies :
! Vous avez obtenu une adresse IP enregistrée pour chaque interface
publique sur le serveur.
! TCP/IP a été activé et lié à deux cartes d'interface (interfaces publique et
privée).
Si votre installation Novell BorderManager 3.7 a réussi, cette condition
préalable a été remplie pour au moins une carte.
! Pour les interfaces avec TCP/IP activé, le réacheminement d'un paquet IP
a été activé ou le routage statique a été activé en vue de l'utilisation d'une
table de routage statique.
Pour activer le réacheminement d'un paquet IP à partir de la console du
serveur, chargez INETCFG, sélectionnez Protocoles > TCP/IP et passez
de l'état Désactivé " noeud de fin " à l'état Activé " Routeur " pour la
transmission d'un paquet IP.
Pour configurer un routage statique à partir de la console du serveur,
chargez INETCFG, sélectionnez Protocoles > TCP/IP, activez Routage
statique LAN, puis sélectionnez Table de routage statique LAN pour
entrer des routes statiques.
! Une connexion ISP (Internet Service Provider) a été configurée avec une
bande passante assez importante pour le nombre d'utilisateurs sur votre
réseau.
Si le serveur Novell BorderManager 3.7 n'offre pas de connexion au
fournisseur ISP, assurez-vous que le serveur comporte une route statique
configurée ou que le routeur au fournisseur ISP se trouve dans le chemin
de routage du serveur Novell BorderManager 3.7.
48
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Remarque : Nous partons du principe que tous les clients qui utiliseront
l'interface NAT comme route par défaut vers Internet ont déjà été configurés avec
une pile TCP/IP et une adresse IP. L'adresse IP peut être enregistrée ou
désenregistrée.
Configuration de NAT sur une seule interface
Pour activer et configurer NAT sur une interface LAN ou WAN :
1 À partir de la console du serveur, entrez
LOAD INETCFG
2 Sélectionnez Protocoles > Liaisons.
3 Sélectionnez l'interface appropriée à laquelle TCP/IP est lié.
NAT peut être configuré sur l'interface privée ou publique. L'interface
publique est une interface LAN ou WAN qui connecte votre routeur à
Internet ou à un autre réseau public. NAT est plus couramment utilisé sur
l'interface publique.
4 Sélectionnez Options de liaison TCP/IP expert.
5 Sélectionnez NAT (Network Address Translation).
6 Définissez l'état sur Dynamique seulement, Statique et dynamique ou
Statique seulement.
7 Si vous définissez l'état sur Statique seulement ou Statique et dynamique,
exécutez les étapes suivantes pour assigner des adresses IP privées à des
adresses IP publiques :
7a Sélectionnez Table de conversion d'adresse réseau.
7b Appuyez sur Inser pour ouvrir la fenêtre Entrée de la conversion
d'adresse réseau.
7c Dans le champ Adresse publique, entrez l'adresse IP publique à
laquelle une adresse privée est assignée.
7d Dans le champ Adresse privée, entrez l'adresse IP de l'hôte privé à
laquelle vous souhaitez accéder via des hôtes publics en utilisant
l'adresse IP publique.
7e Appuyez sur Échap pour ajouter une entrée à la table NAT.
7f Pour une traduction d'adresse des requêtes entrantes, répétez les
étapes pour chaque hôte privé auquel accéder via des hôtes publics.
103-000242-001
April 19, 2002
Novell Confidential
49
Manual
29
7g (Facultatif) Si vous avez sélectionné Statique seulement, pour une
conversion d'adresse des requêtes entrantes, répétez les étapes pour
chaque hôte privé auquel vous souhaitez accéder sur Internet par le
biais de l'interface NAT en utilisant une adresse publique.
Les adresses publiques peuvent être sur le même réseau ou sous-réseau
que l'adresse IP principale, ou sur un réseau ou sous-réseau distinct. Si les
adresses publiques se trouvent sur le même réseau ou sous-réseau, utilisez
les multi-origines, comme décrit dans “Configuration de NAT avec les
multi-origines”, page 51, pour ajouter des adresses secondaires à
l'interface NAT.
Chaque adresse hôte privée peut être assignée à une adresse hôte publique
uniquement. Pour accéder à des hôtes IP en utilisant l'adresse publique du
réseau privé, assurez-vous que la combinaison d'adresses statiques
indique la même adresse à la fois pour les adresses publiques et privées.
Si NAT est connecté à Internet à l'aide de liaisons WAN à plusieurs accès,
vous devez ajouter des routes statiques sur votre routeur externe afin que
les paquets destinés à l'une des adresses publiques soient acheminés vers
l'interface NAT.
8 Si vous définissez l'état sur Statique seulement ou Statique et dynamique,
configurez une adresse secondaire pour chaque adresse publique que
vous avez configuré dans la table NAT.
Reportez-vous à “Configuration de NAT avec les multi-origines”, page
51 pour des instructions sur la configuration d'une adresse secondaire.
9 Appuyez sur Échap jusqu'à ce que vous soyez invité à mettre à jour vos
modifications, puis sélectionnez Oui.
10 Appuyez sur Échap jusqu'à ce que vous soyez invité à quitter INETCFG,
puis sélectionnez Oui.
11 Si vous souhaitez que la configuration NAT prenne effet immédiatement,
arrêtez et redémarrez le serveur.
50
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Configuration de NAT avec les multi-origines
Les multi-origines permettent au serveur de disposer de plusieurs adresses IP.
Les multi-origines peuvent être conçues en ajoutant une adresse IP secondaire
à une interface existante ou en ajoutant une autre interface au serveur et en lui
liant une autre adresse IP.
Une adresse IP secondaire ajoutée à une interface existante doit figurer sur le
même réseau que l'adresse IP déjà liée à cette interface. S'il existe plusieurs
interfaces et si l'adresse IP secondaire ajoutée n'est valide sur aucun des
réseaux existants, l'adresse est rejetée et un message d'erreur apparaît à la
console du serveur. Par exemple, si les adresses IP 130.57.0.1 et 10.0.0.1 sont
liées à deux interfaces et si vous essayez d'ajouter 172.16.1.1 comme adresse
IP secondaire, celle-ci est rejetée puisqu'elle n'appartient pas au même réseau
que les deux premières.
Les multi-origines sont obligatoires pour NAT lorsque vous utilisez le mode
statique. Pour un exemple d'utilisation du multi-origine avec NAT, reportezvous à la documentation en ligne relative à NAT. Pour des informations sur la
configuration de NAT pour une implémentation spécifique avec les services
proxy ou le réseau privé virtuel (VPN), reportez-vous à Chapitre 5,
“Configuration des services Proxy”, page 69 ou à Chapitre 6, “Configuration
des réseaux privés virtuels”, page 97.
Lorsque les multi-origines sont utilisées avec un serveur proxy, un VPN, NAT
ou une autre application TCP/IP, un administrateur doit configurer des
adresses secondaires à partir de la console du serveur.
Pour configurer des adresses IP secondaires pour les multi-origines :
LOAD INETCFG
2 Sélectionnez Protocoles.
3 Si TCP/IP n'a pas été configuré sur l'interface publique lors de
l'installation, activez TCP/IP sous Protocoles > liez une adresse IP à
l'interface publique sous Liaisons.
4 Appuyez sur Échap jusqu'à ce que vous soyez invité à enregistrer vos
modifications > sélectionnez Oui.
5 Sélectionnez Gérer la configuration > Éditer AUTOEXEC.NCF.
103-000242-001
April 19, 2002
Novell Confidential
51
Manual
29
6 Ajoutez une adresse IP secondaire en entrant la commande suivante après
la ligne qui exécute INITSYS.NCF:
ADD SECONDARY IPADDRESS n.n.n.n
où n.n.n.n est l'adresse IP secondaire de votre serveur.
Important : Cette commande ne prendra effet qu'au redémarrage du système.
Pour qu'elle s'applique immédiatement, entrez-la à la console du serveur.
7 Pour supprimer ou afficher les adresses IP secondaires, appuyez sur
Alt+Échap jusqu'à l'affichage de l'invite de la console du serveur.
Vous pouvez supprimer des adresses IP secondaires en entrant la
commande suivante :
DELETE SECONDARY IP ADDRESS n.n.n.n
où n.n.n.n est l'adresse IP secondaire de votre serveur.
Assurez-vous que les commandes correspondantes sont également
supprimées de AUTOEXEC.NCF lorsque vous supprimez des adresses
IP secondaires.
Vous pouvez afficher des adresses IP secondaires en entrant la commande
suivante :
DISPLAY SECONDARY IP ADDRESS
avancées
avancées sont décrites dans la documentation en ligne relative à NAT et
traitent des sujets suivants :
! Utilisation de NAT dans un réseau privé
! Gestion de NAT
52
103-000242-001
April 19, 2002
Novell Confidential
Manual
4
29
Configuration de la passerelle IP
Novell
La passerelle IP Novell® permet aux clients Internetwork Packet ExchangeTM
(IPXTM) et IP de votre réseau local d'accéder à Internet sans que vous ayez à
assigner de façon globale des adresses IP uniques à chaque système local. La
passerelle IP Novell prend également en charge les clients SOCKS. En outre,
la passerelle IP Novell vous permet de masquer les adresses IP de votre réseau
local sur Internet et de contrôler l'accès des clients locaux.
Ce chapitre explique les tâches à accomplir pour configurer la passerelle IP
Novell de Novell BorderManager®.
! “Conditions préalables pour la passerelle IP Novell”, page 53
! “Configuration de la passerelle IP Novell”, page 58
! “Configuration des clients de la passerelle”, page 64
Remarque : Ce chapitre décrit les tâches requises pour la configuration initiale de
la passerelle IP Novell. Pour obtenir des informations sur la planification et le
concept de la passerelle IP Novell, reportez-vous au Guide de présentation et
de planification de Novell BorderManager 3.7, disponible dans la documentation
en ligne. Assurez-vous de bien comprendre ces informations avant de configurer
la passerelle IP Novell.
Conditions préalables pour la passerelle IP Novell
Avant de configurer la passerelle IP Novell, assurez-vous que les conditions
préalables suivantes sont remplies :
103-000242-001
April 19, 2002
Novell Confidential
53
Manual
29
Conditions préalables relatives au serveur
Avant de configurer la passerelle IP Novell, vérifiez que les conditions
préalables suivantes sont satisfaites au niveau du serveur de la passerelle :
! Vous avez obtenu une adresse IP enregistrée pour chaque interface
publique.
! Vous avez activé TCP/IP pour une ou plusieurs cartes d'interface
(accompli lors d'une installation réussie de Novell BorderManager 3.7).
! Pour les interfaces avec TCP/IP activé, le réacheminement d'un paquet IP
ou le routage statique a été activé en vue de l'utilisation d'une table de
routage statique.
Pour activer le réacheminement d'un paquet IP à partir de la console du
serveur, chargez INETCFG, sélectionnez Protocoles > TCP/IP, et passez
de l'état Désactivé " noeud de fin " à l'état Activé " Routeur " pour la
transmission d'un paquet IP.
Pour configurer un routage statique à partir de la console du serveur,
chargez INETCFG, sélectionnez Protocoles > TCP/IP, activez Routage
statique LAN, puis sélectionnez Table de routage statique LAN pour
entrer des routes statiques.
! (Pour le service de passerelle IPXTM/IP uniquement) Le protocole IPX a
été configuré et lié à une interface au moins.
Pour configurer IPX à partir de la console du serveur, chargez INETCFG
> sélectionnez Protocoles > IPX. Pour lier IPX à une interface sur le
serveur, chargez INETCFG et sélectionnez Liaisons.
! Une connexion ISP (Internet Service Provider) a été configurée avec une
bande passante assez importante pour le nombre d'utilisateurs sur votre
réseau.
Si le serveur Novell BorderManager 3.7 n'offre pas de connexion au
fournisseur ISP, assurez-vous que le serveur comporte une route statique
configurée ou que le routeur au fournisseur ISP se trouve dans le chemin
de routage du serveur Novell BorderManager 3.7.
! Les services PKI (Public Key Infrastructure) de Novell et les services
d'authentification sécurisée (SAS) ont été installés sur le serveur afin de
permettre l'authentification SSL (Secure Sockets Layer) des clients
SOCKS 5.
Les services PKI et SAS ne sont pas déjà installés, ils sont installés
automatiquement au cours de l'installation de Novell BorderManager 3.7.
54
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Dès que SAS et PKI sont installés, utilisez le snap-in PKI de
l'Administrateur NetWare pour exécuter les tâches administratives liées à
SSL, telles que :
! L'importation de certificats signés par une autorité de certification
(CA) externe
! La création et la gestion d'objets matériels clés (KMO) utilisés pour
stocker des paires de clés dans NDS® ou Novell eDirectoryTM
! La création d'une autorité certifiée de l'arborescence NDS (CA) ou
eDirectory pour signer des certificats utilisés sur un réseau privé
Vous trouverez plus d'informations sur les services PKI de Novell et les
autorités certifiées dans la documentation en ligne NetWare.
Reportez-vous à l'aide en ligne PKI de Novell dans l'Administrateur
NetWare pour obtenir les procédures de création et de gestion des objets
KMO et des autorités de certification sur les arborescences NDS ou
eDirectory.
! Le résolveur DNS (Domain Name System) doit être configuré de manière
à fournir un nom de domaine valide pour DNS et l'adresse IP d'au moins
un serveur de nom DNS afin de résoudre les noms d'hôtes IP. Vous avez
dû accomplir cette tâche lors de l'installation du produit BorderManager.
Si le résolveur DNS n'est pas configuré, reportez-vous à “Conditions
préalables pour la passerelle IP Novell”, page 53.
! Le filtrage des paquets a été configuré pour autoriser les requêtes DNS et
les paquets de réponse.
Par défaut, le filtrage des paquets est configuré lors de l'installation pour
bloquer tout trafic entrant et sortant. Pour modifier la configuration,
reportez-vous à Chapitre 2, “Configuration des filtres de paquets”, page
27.
103-000242-001
April 19, 2002
Novell Confidential
55
Manual
29
Configuration du résolveur DNS
Pour configurer le résolveur DNS, effectuez les opérations suivantes à la
console du serveur :
1 Entrez LOAD NIASCFG, puis sélectionnez Configurer NIAS >
Protocoles et routage > Protocoles > TCP/IP > Configuration du
résolveur DNS.
2 Entrez le nom de domaine DNS pour votre société ou votre organisation.
Votre fournisseur de services Internet (ISP) fournit généralement ce nom.
En général, les noms de domaine prennent la forme société_nom.com ou
organisation.org. Par exemple, novell.com ou acme.org.
3 Entrez les adresses IP de trois serveurs de nom DNS au maximum dans
les champs Serveur de noms.
Les ISP offrent souvent l'accès à plusieurs serveurs de nom DNS.
4 Appuyez sur Échap pour sélectionner Oui et mettre à jour la configuration
TCP/IP.
5 Appuyez sur Échap jusqu'à ce que vous reveniez au menu Configuration
inter-réseau > sélectionnez Reinitialize System (Réinitialiser le système)
et quittez NIASCFG.
Conditions préalables relatives au client
Les conditions préalables relatives au client sont décrites dans les sections
suivantes :
Conditions préalables relatives à l'administration de la passerelle IP Novell
Les éléments suivants doivent être installés sur le client utilisé par
l'administrateur pour configurer les services de passerelle IP Novell :
! Windows 98, Windows* 2000, Windows* XP, Windows* Me ou
Windows* NT.
! Novell ClientTM pour logiciel Windows
! Snap-ins Novell BorderManager 3.7 sur l'Administrateur NetWare
! Snap-in des services PKI de Novell sur l'Administrateur NetWare, si le
service SOCKS de la passerelle IP Novell est configuré pour utiliser SSL.
56
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Remarque : Les modules snap-in Novell BorderManager 3.7 et PKI peuvent être
installés sur le serveur au lieu du client. Ceci est préférable si un administrateur qui
utilise plusieurs ordinateurs client dispose d'un script de login pour assigner
régulièrement une unité à un répertoire sur lequel est exécuté l'Administrateur (les
snap-ins sont installés dans ce répertoire).
Conditions préalables relatives au client de la passerelle IPX/IP
Les éléments suivants doivent être installés sur un client qui accède à Internet
à l'aide du service de passerelle IPX/IP :
! Windows 98, Windows 2000, Windows XP, Windows Me ou
Windows NT
! Le client Novell pour Windows
! Le composant de passerelle IP de Novell du logiciel client Novell
Conditions préalables relatives au client de la passerelle IP/IP
Les éléments suivants doivent être installés sur un client qui accède à Internet
à l'aide du service de passerelle IP/IP :
! Windows 98, Windows 2000, Windows XP, Windows Me ou
Windows NT
! La pile TCP/IP de Novell (pour des clients Windows 3.1) ou la pile TCP/
IP Microsoft* (pour tous les autres clients Windows)
! Le client Novell pour Windows
! Le composant de passerelle IP de Novell du logiciel client Novell
Conditions préalables relatives au client SOCKS
Un client SOCKS qui accède à Internet en utilisant le service SOCKS de la
passerelle IP de Novell ne requiert aucune configuration spécifique.
Néanmoins, pour activer la passerelle IP de Novell de façon à contrôler ou à
authentifier les utilisateurs SOCKS, les conditions suivantes doivent être
remplies :
! Un administrateur doit créer un objet Utilisateur dans NDS ou eDirectory
pour chaque utilisateur SOCKS.
Un utilisateur SOCKS se servant également du logiciel client Novell
dispose d'un objet Utilisateur. Néanmoins, les utilisateurs SOCKS dont
les ordinateurs client fonctionnent sous UNIX*, Macintosh* ou OS/2*
requièrent probablement un nouvel objet Utilisateur.
103-000242-001
April 19, 2002
Novell Confidential
57
Manual
29
! Les noms d'utilisateur et les mots de passe créés dans NDS ou eDirectory
doivent correspondre aux noms d'utilisateur et mots de passe que les
clients SOCKS 5 utilisent déjà ; ceci afin d'éviter toute confusion. Cette
condition préalable ne s'applique pas aux utilisateurs SOCKS 4 car ils
n'ont pas besoin de mot de passe pour l'authentification.
La passerelle IP Novell comprend deux passerelles au niveau du circuit :
! La passerelle IPX/IP, qui fournit aux clients IPX un accès sécurisé et
contrôlé vers Internet.
! La passerelle IP/IP, qui fournit des clients IP fonctionnant sous Windows
avec un accès sécurisé et contrôlé vers Internet.
Lorsque la passerelle IP Novell est configurée pour fonctionner comme un
serveur SOCKS, vous pouvez également l'utiliser pour authentifier des clients
SOCKS et déterminer leur accès aux ressources du réseau en utilisant les
règles de contrôle d'accès stockées dans la base de données NDS ou
eDirectory.
Remarque : Vous pouvez activer l'exécution simultanée de la passerelle IPX/IP,
de la passerelle IP/IP et des services SOCKS sur le même serveur. Ceci permet
aux clients Windows, ainsi qu'aux clients SOCKS d'accéder à Internet par
l'intermédiaire du même serveur Novell BorderManager 3.7.
Les trois services de passerelle sont configurés à l'aide de l'Administrateur
NetWare. Pour des instructions détaillées, reportez-vous à la procédure cidessous :
! “Configuration de la passerelle IP Novell”, page 58
Configuration du service de passerelle IPX/IP ou IP/IP
Vous pouvez configurer le service de passerelle IPX/IP afin de permettre aux
clients Windows qui n'ont pas d'adresse IP attribuée de prendre en charge les
applications TCP/IP. Vous pouvez configurer le service de passerelle IP/IP
pour la prise en charge du contrôle d'accès NDS ou eDirectory pour des
réseaux dont les clients utilisent TCP/IP.
58
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Pour configurer le service de passerelle IPX/IP ou IP/IP :
1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de
Novell BorderManager 3.7 concernant le serveur.
2 Cliquez sur l'onglet Passerelle.
3 Sous Activer le service, sélectionnez la case Passerelle IPX/IP ou
Passerelle IP/IP.
4 (Facultatif) Si vous souhaitez assigner un autre numéro de port au trafic
de passerelle, effectuez les opérations suivantes pour modifier le port de
service de la passerelle :
4a Sous Activer le service, double-cliquez sur la passerelle contenant le
port de service à modifier ou sélectionnez la passerelle et cliquez sur
Détails.
4b Sous Attributs de service, entrez un autre numéro de port dans le
champ Port de service.
Par défaut, les deux passerelles utilisent le port 8225 (décimal). Bien
que la modification du port de service ne soit pas recommandée, si
un autre service utilise ce port, vous pouvez assigner un numéro de
port différent au trafic de passerelle.
5 (Facultatif) Si vous souhaitez activer l'authentification single sign-on
pour le service de passerelle IPX/IP, sélectionnez la case Single Sign-on
sous Attributs de service.
L'authentification single sign-on permet à la passerelle IPX/IP
d'authentifier l'utilisateur en arrière-plan si ce dernier s'est déjà logué dans
NDS ou eDirectory. Grâce au single sign-on, les utilisateurs n'ont pas
besoin de fournir un nom d'utilisateur et un mot de passe pour accéder aux
ressources par l'intermédiaire de la passerelle. Si l'option Single sign-on
n'est pas activée, le logiciel de la passerelle IP Novell exécute une
authentification secondaire lorsqu'un utilisateur essaye d'accéder aux
ressources via le service de passerelle IPX/IP, qu'il se soit déjà logué ou
non.
Remarque : Le single sign-on s'applique uniquement au service de passerelle
IPX/IP. Cette option n'est pas prise en compte lorsque le service de passerelle IP/
IP est utilisé.
103-000242-001
April 19, 2002
Novell Confidential
59
Manual
29
6 Cliquez deux fois de suite sur OK pour fermer la fenêtre Configurer les
services de passerelle et la page de configuration de Novell
BorderManager 3.7.
Lorsque vous fermez la page de configuration de Novell BorderManager
3.7, le serveur charge IPXIPGW.NLM, le fichier NLM de la passerelle et
crée un objet Serveur de passerelle dans l'arborescence NDS ou
eDirectory.
Reportez-vous à Chapitre 7, “Configuration du contrôle d'accès”, page 127
pour des informations sur la configuration et l'utilisation du contrôle d'accès
avec la passerelle IP Novell.
Important : Les règles de contrôle d'accès configurées pour l'objet Serveur à
l'aide d'un logiciel de passerelle IPX/IP antérieur à Novell BorderManager 3.7 ne
fonctionnent plus lorsque avez vous mis à niveau votre serveur pour Novell
BorderManager 3.7 et activé la passerelle IP Novell. Pour être effectives, ces
règles doivent être reconfigurées pour l'objet Serveur.
Configuration du service SOCKS 4 ou SOCKS 5
Si des clients SOCKS 4 ou SOCKS 5 sont installés sur votre réseau et que
vous souhaitez contrôler leur accès à Internet par le biais de la passerelle IP
Novell, vous devez configurer le service SOCKS.
Lors de la procédure de configuration, vous devez soit indiquer les paramètres
d'authentification SOCKS 5, soit activer la vérification d'utilisateur SOCKS 4
(ou les deux si votre réseau regroupe à la fois des clients SOCKS 4 et
SOCKS 5).
Pour configurer le service SOCKS sur la passerelle IP Novell :
2 Sélectionnez l'onglet Passerelle.
3 Sous Activer le service, sélectionnez la case SOCKS V4 et V5.
4 (Facultatif) Si vous souhaitez assigner un autre numéro de port au trafic
SOCKS, effectuez les opérations suivantes pour modifier le port de
service de la passerelle :
4a Sous Activer le service, double-cliquez sur SOCKS V4 et V5 ou
sélectionnez SOCKS V4 et V5 puis cliquez sur Détails.
60
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
4b Dans le champ Port de service, entrez un autre numéro de port.
Par défaut, le service SOCKS utilise le port 1080 (décimal). Bien que
la modification du numéro du port de service ne soit pas
recommandée, si un autre service utilise ce port, vous pouvez
assigner un numéro de port différent au trafic SOCKS.
Important : Si vous modifiez le numéro du port de service, vous devez
modifier la configuration de tous les clients SOCKS afin d'utiliser le nouveau
numéro de port.
4c Cliquez sur OK pour fermer la fenêtre Configurer SOCKS V4 et V5.
5 Définissez les paramètres d'authentification SOCKS 5 selon la procédure
ci-dessous :
sélectionnez SOCKS V4 et V5 > cliquez sur Détails.
5b Sous Authentification SOCKS V5, sélectionnez une ou toutes les
méthodes d'authentification ci-dessous (répertoriées dans l'ordre
croissant de priorité) :
Il existe une autre méthode d'authentification pour les utilisateurs des
clients SOCKS 5. Les utilisateurs de clients SOCKS 5 peuvent
utiliser des périphériques de sécurité tels que des jetons matériels en
plus de leur mot de passe NDS ou eDirectory. Les règles de login qui
définissent les règles d'authentification et les méthodes d'accès
nécessaires aux utilisateurs à distance pour leur authentification sont
stockées dans l'objet Règle de login NDS ou eDirectory. Reportezvous à la documentation en ligne relative aux services
d'authentification pour plus d'informations.
Important : Si plusieurs méthodes d'authentification sont sélectionnées, la
passerelle IP Novell utilise la méthode avec la priorité la plus élevée que le
client peut exécuter.
!
Aucun(e) : cette option correspond à l'option d'authentification
nulle des clients SOCKS 5. Aucune authentification n'est
requise par la passerelle IP Novell.
103-000242-001
April 19, 2002
Novell Confidential
61
Manual
29
!
Effacer utilisateur/mot de passe texte : lorsque la passerelle IP
Novell authentifie un utilisateur, le mot de passe de l'utilisateur
est transmis sur le réseau en texte clair sans codage. Le mot de
passe est vérifié par rapport à celui de l'utilisateur stocké dans
NDS ou eDirectory, mais diffère de l'authentification NDS ou
eDirectory. Comme un mot de passe transmis en texte clair n'est
pas protégé, cette option ne doit être utilisée que si SSL est
également sélectionné pour coder le mot de passe avant qu'il ne
soit transmis.
!
Utilisateur/Mot de passe NDS ou eDirectory— lorsque la
passerelle IP Novell authentifie un utilisateur, le mot de passe de
l'utilisateur n'est jamais transmis sur le réseau. Au lieu de cela,
comme pour l'authentification d'un client Novell, le mot de
passe est utilisé pour générer une paire de clés sécurisée. Les
contrôles de flux de stimulation successifs entre le client et le
serveur établissent l'authentification. Une option
d'authentification NDS ou eDirectory doit être disponible dans
le client SOCKS pour que cette méthode d'authentification
fonctionne.
!
SSL : cette option demande qu'une connexion SSL (Secure
Sockets Layer) entre le client et le serveur soit établie avant que
la passerelle IP Novell puisse authentifier un utilisateur à l'aide
de toute autre méthode d'authentification. SSL utilise un
système de codage de clés publiques/privées. L'activation de
cette option assure également le codage de toutes les données
transmises entre le client et le serveur.
Important : Si SSL et le contrôle d'accès sont activés pour la passerelle IP
Novell, vous devez également sélectionner Utilisateur/Mot de passe NDS ou
eDirectory ou Effacer utilisateur/mot de passe texte puisque le protocole SSL
n'établit pas d'authentification utilisateur pour le contrôle d'accès NDS ou
eDirectory.
62
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
5c (Facultatif) Si vous avez sélectionné Effacer utilisateur/mot de passe
texte comme méthode d'authentification, cliquez sur Contexte
d'authentification > Contexte > Ajouter > entrez le contexte et
l'arborescence NDS ou eDirectory par défaut de l'utilisateur >
cliquez sur OK.
Entrez un nom de conteneur distinctif NDS ou eDirectory
(sales.my.org, par exemple). Le nom du conteneur NDS ou
eDirectory peut comporter jusqu'à 256 caractères. Cette entrée est
facultative mais rend le login plus facile pour les utilisateurs. Les
utilisateurs du conteneur spécifié peuvent se loguer en ne tapant que
leur nom de login, sans la chaîne de contexte intégrale.
5d (Facultatif) Si vous avez sélectionné SSL comme méthode
d'authentification, utilisez le menu déroulant ID clé pour sélectionner
les fichiers disponibles dans une liste.
Remarque : Un fichier d'ID clé est disponible uniquement une fois que vous
avez créé un objet matériel clé (KMO) dans NDS ou eDirectory pour le
serveur utilisant l'Administrateur NetWare. Pour plus d'informations sur la
création d'un objet KMO, reportez-vous à l'aide en ligne PKI dans
l'Administrateur NetWare ou aux informations PKI figurant dans la
documentation en ligne NetWare.
5e (Facultatif) Activez le single sign-on pour les clients SOCKS 5 en
cochant la case Single Sign-on sous Authentification SOCKS V5.
Cette option est fournie aux clients qui utilisent à la fois le client
Novell pour Windows et un client SOCKS 5 tiers sur le même poste
de travail. Lorsqu'un utilisateur s'est déjà authentifié à NDS ou
eDirectory en se loguant à partir d'un client Novell et essaye d'utiliser
un client SOCKS 5 pour accéder à Internet par le biais de la
passerelle IP Novell, la passerelle n'authentifie pas une deuxième
fois l'utilisateur.
Pour permettre le single sign-on, la machine client doit exécuter
CLNTRUST.EXE et DWNTRUST.EXE. Pour plus d'informations
sur ces fichiers, reportez-vous à “Configuration des clients de la
passerelle”, page 64.
Remarque : Si le single sign-on est activé, mais si l'utilisateur n'est pas
logué à NDS ou eDirectory ou ne peut utiliser qu'un client SOCKS 5, la
passerelle authentifie l'utilisateur par l'une des méthodes d'authentification.
Lorsque le single sign-on échoue et qu'aucune méthode d'authentification n'a
été sélectionnée, la connexion de l'utilisateur est annulée.
5f Cliquez sur OK pour fermer la fenêtre Configurer SOCKS V4 et V5.
103-000242-001
April 19, 2002
Novell Confidential
63
Manual
29
6 Activez le contrôle utilisateur SOCKS 4 selon la procédure ci-dessous :
sélectionnez SOCKS V4 et V5 > cliquez sur Détails.
6b Sélectionnez la case Vérification de l'utilisateur SOCKS V4.
Le contrôle utilisateur SOCKS 4 oblige la passerelle IP Novell à
vérifier l'existence de l'utilisateur dans NDS ou eDirectory. Par
contre, la passerelle ne peut pas authentifier l'utilisateur. L'utilisateur
n'a pas besoin de fournir un mot de passe pour accéder à Internet par
le biais de la passerelle.
6c Cliquez sur OK pour fermer la fenêtre Configurer SOCKS V4 et V5.
7 Cliquez sur OK pour fermer la page de configuration de Novell
BorderManager 3.7.
Reportez-vous à Chapitre 7, “Configuration du contrôle d'accès”, page 127
pour des informations sur la configuration et l'utilisation du contrôle d'accès
avec la passerelle IP Novell.
Remarque : Les règles d'accès basées sur NDS ou eDirectory pour les clients
SOCKS permettent de limiter l'accès aux sites uniquement, mais pas aux URL.
Pour le filtrage du contenu, utilisez SurfControl* installé sur le serveur Novell
BorderManager 3.7.
Configuration des clients de la passerelle
Le logiciel client de la passerelle IP Novell doit être configuré sur chaque
poste de travail Windows qui accède à Internet via le serveur de passerelle. Il
s'agit d'une tâche relevant généralement de la responsabilité de
l'administrateur réseau ou de la personne responsable de l'administration du
bureau et du support. Dans certains cas, les utilisateurs configurent leur propre
logiciel client de passerelle.
Sur tous les clients de la passerelle, le composant de la passerelle du logiciel
client Novell doit être installé et configuré. Pour installer ce composant, il est
nécessaire de sélectionner une installation du client personnalisée et la
passerelle IP Novell à partir de la liste des composants supplémentaires à
installer.
Tous les clients utilisant la passerelle IP/IP doivent avoir une pile TCP/IP
installée et configurée.
64
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Pour configurer les clients de la passerelle IP Novell, reportez-vous aux
procédures ci-dessous :
! “Configuration des clients de la passerelle”, page 64
Configuration des clients Windows NT ou Windows 98
Pour activer le logiciel client de la passerelle sur des clients Windows NT ou
Windows 98 et configurer un serveur de passerelle préféré :
1 Cliquez avec le bouton droit de la souris sur Voisinage réseau >
sélectionnez Propriétés.
2 Pour configurer un client Windows 98, sélectionnez l'onglet
Configuration et cliquez sur Passerelle IP Novell.
ou à
Pour configurer un client Windows NT, sélectionnez l'onglet Protocoles >
cliquez sur Passerelle IP Novell dans la liste des protocoles réseau.
Si Passerelle IP Novell n'apparaît pas dans la liste, le composant client de
la passerelle n'est probablement pas installé sur votre poste de travail.
Installez le logiciel client Novell fourni avec le produit Novell
BorderManager 3.7 avant de poursuivre la procédure. Pour plus
d'informations, reportez-vous au manuel “Installation du client Novell”,
page 18.
3 Cliquez sur Propriétés > sélectionnez la case Activer la passerelle.
4 Dans le champ Serveur préféré > entrez le serveur de passerelle préféré.
La syntaxe appropriée du serveur de passerelle est le nom du serveur
auquel est ajouté -GW. Vous devez également inclure le contexte du
serveur précédé d'un point. Par exemple, si la passerelle IP est activée sur
le serveur SJ-NW5 dont le contexte est docs.novell, spécifiez le serveur
de passerelle préféré de la façon suivante : .SJ-NW5-GW.docs.novell.
5 Dans le champ Arborescence préférée, entrez l'arborescence NDS ou
eDirectory où se trouve le serveur > cliquez sur OK.
6 Redémarrez le poste de travail.
103-000242-001
April 19, 2002
Novell Confidential
65
Manual
29
Configuration des clients SOCKS
Un poste de travail sur lequel est exécuté le logiciel client Novell et une
application SOCKS constituent un client SOCKS.
Pour activer un client SOCKS dans le but d'utiliser le service SOCKS de la
passerelle IP Novell, l'adresse IP ou le nom d'hôte du serveur Novell
BorderManager 3.7 est généralement configuré dans l'application SOCKS
pour identifier le serveur Novell BorderManager 3.7 comme étant le serveur
SOCKS.
Les applications SOCKS nécessitent parfois la configuration des éléments
suivants :
! Cibles
! Règles de réacheminement
! Résolution des noms d'hôte DNS
! Méthodes d'authentification
Pour obtenir des informations plus précises, reportez-vous à la documentation
fournie avec vos applications SOCKS.
Configuration des clients pour l'utilisation de l'option de Single
Sign-on activée sur le serveur de passerelle
Lorsque l'option Single Sign-on est activée, le logiciel de la passerelle IP
Novell peut exécuter une authentification NDS ou eDirectory en arrière-plan
pour des clients Windows 98, Windows NT et des clients SOCKS 5 dotés de
la fonction d'authentification NDS ou eDirectory. Lorsque l'option Single
Sign-on est activée sur le serveur, un utilisateur déjà logué ne voit s'afficher
aucune boîte de dialogue de login permettant d'utiliser la passerelle IPX/IP ou
les services SOCKS de la passerelle IP Novell.'
Afin de permettre le single sign-on, les postes de travail clients doivent
exécuter CLNTRUST.EXE et DWNTRUST.EXE. CLNTRUST.EXE permet
l'authentification du client en arrière-plan et DWNTRUST.EXE réside sur le
client pour arrêter CLNTRUST.EXE après la déconnexion d'un utilisateur.
66
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Ces fichiers se trouvent dans le répertoire SYS:PUBLIC sur le serveur. Le
composant de la passerelle du client Novell et le logiciel client SOCKS 5
n'exécutent pas ces fichiers automatiquement. Même si ces fichiers peuvent
être copiés sur des ordinateurs client et exécutés par des fichiers de
commandes avant que l'utilisateur se soit logué dans NDS ou eDirectory, il est
préférable de créer un script de login pour chaque utilisateur que vous
souhaitez authentifier par single sign-on. L'installation d'un script de login
permet au poste de travail d'exécuter DWNTRUST.EXE et CLNTRUST.EXE
automatiquement lorsqu'un utilisateur se logue dans NDS ou eDirectory à
partir de ce poste.
Pour créer un script de login :
1 Dans l'Administrateur NetWare, cliquez avec le bouton droit de la souris
sur l'objet Conteneur dans lequel vous souhaitez créer un script de login
et sélectionnez Détails.
2 Sélectionnez Script de login.
3 Dans le champ Script de login, entrez les lignes suivantes qui s'appliquent
aux systèmes d'exploitation sur les postes de travail des utilisateurs, où
Nom_Serveur correspond au nom de votre serveur :
If OS= WINNT THEN
# Nom_Serveur\SYS\PUBLIC\DWNTRUST.EXE
# Nom_Serveur\SYS\PUBLIC\CLNTRUST.EXE
END
IF OS = "WIN95" THEN
#
Nom_Serveur\SYS\PUBLIC\DWNTRUST.EXE
#
END
IF OS = "WIN98" THEN
#
#
Nom_Serveur\SYS\PUBLIC\CLNTRUST.EXE
END
4 Cliquez sur OK pour fermer les pages Script de login et Détails, puis
quitter l'Administrateur NetWare.
103-000242-001
April 19, 2002
Novell Confidential
67
Manual
29
Configuration des clients pour l'utilisation du proxy transparent du
client de la passerelle
Aucune configuration n'est nécessaire car la fonction de proxy transparent du
client de la passerelle est activée par défaut. Lorsqu'un utilisateur se logue
dans NDS ou eDirectory, le composant de passerelle du logiciel client Novell
identifie tous les serveurs proxy auxquels l'utilisateur peut accéder. Si
l'utilisateur lance une session du navigateur, le client de la passerelle IP Novell
se connecte au premier serveur proxy qu'il trouve en recherchant la base de
données NDS ou eDirectory et n'établit pas de connexion via la passerelle IP
Novell.
avancées
avancées sont décrites dans la documentation en ligne relative à la passerelle
IP Novell et traitent des sujets suivants :
! Configuration de la consignation pour tous les services de passerelle
! Décodage des passages de paquets de passerelle
! Vérification de l'activité de la passerelle en temps réel
! Vérification du journal de contrôle d'accès
! Affichage des statistiques des utilisateurs
! Affichage des statistiques d'un hôte
! Exportation de données
! Vérification du journal d'informations
68
103-000242-001
April 19, 2002
Novell Confidential
Manual
5
29
Les services Proxy utilisent le caching pour accroître les performances
d'Internet et optimiser l'utilisation de la bande passante WAN. Les services
Proxy garantissent également le filtrage des protocoles et améliorent la
sécurité grâce au masquage des noms et adresses de domaine du réseau privé
et à l'envoi de toutes les requêtes via une passerelle unique.
Vous pouvez utiliser ce service comme proxy d'application pour des services
tels que HTTP, Gopher, FTP, Simple Mail Transfer Protocol (SMTP), Domain
Name System (DNS), RealAudio* et Real Time Streaming Protocol (RTSP).
Vous pouvez également utiliser ce service comme filtre de protocole pour
empêcher certains types de connexions utilisateur ou comme passerelle pour
masquer les noms et les adresses de systèmes internes afin que la passerelle
soit le seul nom d'hôte connu en dehors du système.
Ce chapitre présente les tâches à effectuer pour configurer les services Proxy
de Novell® BorderManager® 3.7.
! “Conditions préalables relatives aux services Proxy”, page 70
! “Configuration d'un serveur proxy HTTP”, page 74
! “Configuration d'un accélérateur HTTP”, page 75
! “Blocage des requêtes de virus dans un accélérateur HTTP”, page 77
! “Configuration d'un serveur proxy FTP”, page 81
! “Configuration d'un accélérateur FTP”, page 83
! “Configuration d'un serveur proxy de messagerie”, page 84
! “Configuration d'un serveur proxy de news”, page 85
! “Configuration d'un serveur proxy générique”, page 86
! “Configuration d'un proxy DNS”, page 88
103-000242-001
April 19, 2002
Novell Confidential
69
Manual
29
! “Configuration des proxies RealAudio et RTSP”, page 88
! “Configuration du client SOCKS (en amont)”, page 89
! “Configuration du proxy transparent HTTP”, page 91
! “Configuration d'un proxy transparent Telnet”, page 92
! “Configuration de l'authentification proxy”, page 92
Remarque : Ce chapitre décrit les tâches requises pour la configuration initiale
des services proxy. Pour obtenir des informations sur la planification et le concept
des services Proxy, reportez-vous au Guide de présentation et de planification
de Novell BorderManager 3.7, disponible dans la documentation en ligne. Assurezvous de bien comprendre ces informations avant de configurer les services proxy.
Conditions préalables relatives aux services Proxy
Avant de configurer les services proxy, munissez vous des informations
suivantes :
! Adresses IP des interfaces IP de votre serveur, privées ou publiques
! Numéro de port (8080 par défaut) et nom d'hôte ou adresse IP du serveur
proxy Novell BorderManager 3.7
Pour préparer le serveur proxy à un accès Internet, vérifiez que les conditions
préalables suivantes ont été remplies :
! Le résolveur DNS est configuré de manière à fournir un nom de domaine
valide pour DNS et l'adresse IP d'au moins un serveur de nom DNS afin
de résoudre les noms d'hôtes IP. Vous avez dû accomplir cette tâche lors
de l'installation du produit Novell BorderManager 3.7. Si le résolveur
DNS n'est pas configuré, reportez-vous à “Conditions préalables pour la
passerelle IP Novell”, page 53.
! Le filtrage des paquets a été configuré pour autoriser les requêtes DNS et
les paquets de réponse.
Par défaut, le filtrage des paquets est configuré lors de l'installation pour
bloquer tout trafic entrant et sortant. Pour modifier la configuration,
reportez-vous à Chapitre 2, “Configuration des filtres de paquets”, page
27.
70
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
! Les utilisateurs de votre société qui font appel aux services proxy pour
accéder aux sites Web Internet doivent configurer leur navigateur Web de
manière à utiliser le serveur proxy Novell BorderManager 3.7, comme
décrit dans les sections suivantes :
! “Conditions préalables relatives aux services Proxy”, page 70
La fonction de proxy transparent HTTP Novell BorderManager 3.7
permet également d'installer des services proxy automatiques, qui
fonctionnent en arrière-plan. Grâce au proxy transparent HTTP, il n'est
plus nécessaire que les utilisateurs configurent leurs navigateurs en vue
de l'utilisation du proxy : cette opération s'effectue de manière invisible.
Pour plus d'informations sur l'utilisation du proxy transparent HTTP,
reportez-vous à “Configuration du proxy transparent HTTP”, page 91.
! Le logiciel client de la passerelle IP Novell doit être configuré sur chaque
client Windows* qui doit passer par la passerelle IP Novell pour accéder
aux services et cibles Internet. Pour plus d'informations, reportez-vous au
manuel Chapitre 4, “Configuration de la passerelle IP Novell”, page 53.
! Les services PKI (Public Key Infrastructure) de Novell et les services
d'authentification sécurisée (SAS) doivent être installés sur le serveur afin
de permettre l'authentification SSL (Secure Sockets Layer) des clients
SOCKS 5.
Les services PKI et SAS ne sont pas déjà installés, ils sont installés
automatiquement au cours de l'installation de Novell BorderManager 3.7.
Dès que SAS et PKI sont installés, utilisez le snap-in PKI de
l'Administrateur NetWare pour exécuter les tâches administratives liées à
SSL, telles que :
! L'importation de certificats signés par une autorité de certification
(CA) externe
! La création et la gestion d'objets matériels clés (KMO) utilisés pour
stocker des paires de clés dans NDS® ou Novell eDirectoryTM
! La création d'une autorité certifiée de l'arborescence NDS (CA) ou
eDirectory pour signer des certificats utilisés sur un réseau privé
Reportez-vous à l'aide en ligne PKI de Novell dans l'Administrateur
NetWare pour obtenir les procédures de création et de gestion des objets
KMO et des autorités de certification sur les arborescences NDS ou
eDirectory.
103-000242-001
April 19, 2002
Novell Confidential
71
Manual
29
Configuration du résolveur DNS
Pour configurer le résolveur DNS, effectuez les opérations suivantes à la
console du serveur :
1 Entrez LOAD NIASCFG, puis sélectionnez Configurer NIAS >
Protocoles et routage > Protocoles > TCP/IP > Configuration du
résolveur DNS.
2 Entrez le nom de domaine DNS pour votre société ou votre organisation.
Votre fournisseur de services Internet (ISP) fournit généralement ce nom.
En général, les noms de domaine prennent la forme société_nom.com ou
organisation.org. Par exemple, novell.com ou acme.org.
3 Entrez les adresses IP de trois serveurs de nom DNS au maximum dans
les champs Serveur de noms.
Les ISP offrent souvent l'accès à plusieurs serveurs de nom DNS.
4 Appuyez sur Échap pour sélectionner Oui et mettre à jour la configuration
TCP/IP.
5 Appuyez sur Échap jusqu'à ce que vous reveniez au menu Configuration
inter-réseau, puis sélectionnez Reinitialize System (Réinitialiser le
système) et quittez NIASCFG.
Configuration de Microsoft Internet Explorer en vue de l'utilisation du
proxy Web
Pour définir le serveur proxy Novell BorderManager 3.7 sur un navigateur
Microsoft* Internet Explorer :
1 Lancez Internet Explorer, puis, en fonction des versions du logiciel,
sélectionnez les menus suivants :
!
Pour Internet Explorer 5.5, sélectionnez Outils > Options Internet >
Connexions > Paramètres LAN > Utiliser un serveur proxy.
2 Entrez le numéro de port (8 080 par défaut) et le nom d'hôte (ou l'adresse
IP) du serveur proxy Novell BorderManager 3.7 dans le champ
correspondant.
3 Cliquez sur Appliquer.
72
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Pour utiliser l'option avancée afin de définir le même proxy pour toutes les
applications :
1 Lancez Internet Explorer, puis, en fonction des versions du logiciel,
sélectionnez les menus suivants :
!
Pour Internet Explorer 5.5, sélectionnez Outils > Options Internet >
Connexions > Paramètres LAN > Utiliser un serveur proxy > cliquez
sur Avancés > sélectionnez la case Utiliser le même serveur proxy
pour tous les protocoles.
2 Entrez le numéro de port (8 080 par défaut) et le nom d'hôte (ou l'adresse
IP) du serveur proxy Novell BorderManager 3.7 dans le champ
correspondant.
3 Cliquez sur Appliquer.
Configuration de Netscape Navigator en vue de l'utilisation du proxy
Web
Pour spécifier le serveur proxy Novell BorderManager 3.7 sur un navigateur
Web Netscape Navigator 3.x , procédez comme suit :
1 Lancez Netscape Navigator, puis sélectionnez Options > Préférences du
réseau > Proxy > Configuration manuelle du Proxy.
2 Cliquez sur Affichage.
3 Entrez le nom d'hôte (ou l'adresse IP) et le numéro de port (8 080) du
serveur proxy Novell BorderManager 3.7 dans le champ relatif au proxy.
4 Cliquez sur OK.
Pour spécifier le serveur proxy Novell BorderManager 3.7 sur un navigateur
Web Netscape Navigator 4.x , procédez comme suit :
1 Lancez Netscape Navigator, puis sélectionnez Édition > Préférences >
Avancé > Proxy > Configuration de proxy manuelle > Afficher.
2 Entrez l'URL du serveur proxy Novell BorderManager 3.7 dans le champ
relatif à l'URL.
3 Cliquez sur OK.
103-000242-001
April 19, 2002
Novell Confidential
73
Manual
29
Configuration d'un serveur proxy HTTP
Le proxy HTTP permet de résoudre les requêtes URL pour le compte de
clients Web sur votre réseau. Ce type de proxy est également appelé proxy de
réacheminement. Ces requêtes sont mises en cache (si possible) sur le serveur
proxy afin de permettre aux informations d'être livrées plus rapidement lors
d'une prochaine demande.
Remarque : Le serveur proxy peut également être configuré en tant
qu'accélérateur HTTP (proxy inverse) pour accélérer les requêtes de serveur Web
issues d'utilisateurs Internet pour les serveurs Web de votre intranet. Un serveur
peut être configuré comme proxy HTTP, accélérateur HTTP ou les deux à la fois.
Pour configurer un serveur proxy HTTP :
2 Sous l'onglet Proxy d'application, sélectionnez la case Proxy HTTP.
3 Cliquez sur Détails ou double-cliquez sur le service proxy HTTP.
4 Cliquez sur l'onglet HTTP > entrez le numéro du port d'écoute HTTP.
Il s'agit du port sur lequel le serveur proxy capte les requêtes URL
entrantes provenant des navigateurs client. La valeur par défaut est 8080.
Remarque : Le proxy HTTP prend en compte les interfaces identifiées comme
Privée ou Les deux, mais pas les interfaces identifiées comme Publique.
5 Spécifiez s'il faut effectuer les opérations suivantes :
!
Ignorer les requêtes de rafraîchissement du navigateur
Si vous sélectionnez cette option, le proxy n'accède pas au serveur
Web pour extraire une URL lorsqu'un utilisateur demande un
rechargement ou une actualisation à partir du navigateur. Toutes les
requêtes des utilisateurs sont alors mises en cache.
!
Filtrer les cookies
Si cette option est activée, l'en-tête de cookie n'est pas transmis au
serveur d'origine et les pages comportant l'en-tête Set-Cookie
(Définir les cookies) ne sont pas mises en cache. Activez cette option
pour augmenter la sécurité.
74
103-000242-001
April 19, 2002
Novell Confidential
Manual
!
29
Activer connexions permanentes à des navigateurs
Si vous avez sélectionné cette option, la connexion entre un
navigateur et un serveur proxy est active, même en l'absence de flux
de données.
!
Activer connexions permanentes à des serveurs d'origine
Si vous avez sélectionné cette option, la connexion entre le serveur
d'origine et le proxy est active, même en l'absence de flux de
données.
!
Activez ou désactivez la suppression des applets Java* des fichiers
HTML.
Lorsque cette option est activée, les applets Java sont retirées du
fichier HTML avant son affichage dans la fenêtre du navigateur.
6 Cliquez sur OK, puis de nouveau sur OK dans la page de configuration
de Novell BorderManager 3.7.
Pour configurer l'authentification pour un serveur proxy HTTP, reportez-vous
à “Configuration de l'authentification proxy”, page 92.
Configuration d'un accélérateur HTTP
Un accélérateur HTTP est également appelé proxy inverse. Dans un tel cas de
figure, le serveur fait office de borne d'entrée pour vos serveurs Web sur
Internet ou un intranet. Les serveurs à trafic élevé peuvent ainsi rediriger les
requêtes fréquentes vers le serveur proxy. La sécurité est également accrue
lorsque les adresses IP des serveurs Web ne sont pas accessibles à partir
d'Internet.
Pour utiliser le serveur proxy, vous devez disposer d'au moins une adresse
privée et une adresse publique. Vous pouvez toutefois utiliser une seule
adresse comme adresse publique et privée. L'accélérateur HTTP prend en
compte les interfaces identifiées comme Publique ou Les deux, mais pas les
interfaces identifiées comme Privée. Une sécurité optimale implique deux
interfaces.
Un serveur peut être configuré comme accélérateur HTTP, proxy HTTP ou les
deux à la fois.
103-000242-001
April 19, 2002
Novell Confidential
75
Manual
29
Pour configurer un accélérateur HTTP :
2 Sous l'onglet Accélération, sélectionnez la case Accélération HTTP.
3 Cliquez sur Détails ou double-cliquez sur le service d'accélérateur HTTP.
4 Cliquez sur Ajouter pour ajouter un nouveau serveur accélérateur à la
liste Accélérateur HTTP, puis exécutez les procédures suivantes :
4a Indiquez si cet accélérateur HTTP doit être activé après sa
configuration.
La valeur par défaut est Désactivé. Si vous configurez plusieurs
accélérateurs, indiquez que le serveur doit être désactivé. Vous
pouvez désactiver un ou plusieurs serveurs sans conséquence sur les
autres sites accélérés.
4b Indiquez si l'authentification doit être activée pour cet accélérateur.
4c Entrez le nom du serveur accélérateur.
Si l'authentification du proxy inverse est activée, le nom du serveur
accélérateur doit correspondre au nom de domaine DNS du site Web
accéléré. Le nom de domaine DNS doit être identique pour les
configurations entrantes et sortantes.
4d Entrez le numéro de port pris en compte par le serveur Web d'origine
pour les connexions entrantes.
Par défaut, il s'agit du port 80 pour HTTP.
4e Cliquez sur Ajouter et entrez le nom d'un serveur Web ou une adresse
IP.
4f Cliquez sur Ajouter et sélectionnez une ou plusieurs adresses IP
publiques de proxy.
Il s'agit des adresses prises en compte par l'accélérateur pour les
connexions entrantes à partir d'Internet.
Remarque : Vous pouvez associer une ou plusieurs adresses IP publiques
à un nom de domaine particulier, mais la combinaison adresse IP - port doit
être unique.
76
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Supposons par exemple que vous disposiez du serveur Web
www1.myco.com et de deux adresses IP de proxy (1.2.3.4 et 1.2.3.5) et que
le serveur Web prenne en compte le port 80. Vous pouvez alors configurer
une entrée d'accélérateur pour www1.myco.com avec le port 80 et deux
adresses IP de proxy (1.2.3.4 et 1.2.3.5).
Comme autre exemple, supposons que vous disposiez de plusieurs serveurs
Web et de plusieurs adresses IP de proxy. Vous pouvez alors configurer deux
entrées : une pour www1.myco.com avec le port 80 et l'adresse IP 1.2.3.4, et
une autre pour www2.myco.com avec le port 80 et l'adresse IP 1.2.3.5.
4g Indiquez si l'accélération doit avoir lieu sur un autre port et entrez un
numéro de port pour l'accélérateur.
Tous les liens de serveurs Web internes doivent être des URL relatifs.
5 Cliquez sur OK > cliquez de nouveau sur OK dans la page de
configuration de Novell BorderManager 3.7.
Pour configurer l'authentification pour un accélérateur HTTP, reportez-vous à
“Configuration de l'authentification proxy”, page 92.
Blocage des requêtes de virus dans un accélérateur
HTTP
Par mesure de protection contre ce type d'attaques, Novell a ajouté une
nouvelle fonction de reconnaissance de définitions de virus à Novell
BorderManager 3.7 pour les serveurs Web accélérés par la fonction de proxy
inverse de Novell BorderManager 3.7. Cette amélioration comprend
différentes fonctions pour faciliter sa configuration et son contrôle.
Pour activer cette fonction, vous devez disposer de la dernière version de
PROXY.NLM. Les lignes suivantes doivent également figurer dans le fichier
SYS:\ETC\PROXY\ PROXY.CFG qui permet d'initialiser le serveur proxy
NBM au démarrage :
[Configuration
supplémentaire]ScanVirusPatterns=1[Configuration de la
définition de
virus]NoOfVirusPatterns=0PatternSize=16PatternStartOffset=1E
nablePatternAutoUpdate=1
Si ces lignes ne figurent pas dans le fichier PROXY.CFG au démarrage du
serveur proxy, un message indiquant que la commande de virus est introuvable
apparaît sur la console du système lorsque vous tentez d'entrer les commandes
décrites ci-dessous.
103-000242-001
April 19, 2002
Novell Confidential
77
Manual
29
Configuration des lignes de commande
Pour configurer la fonction de reconnaissance de définitions de virus, vous
devez exécuter les commandes de console à partir de la console du système.
Comme pour la majorité des systèmes de ce type, les réponses aux
commandes apparaissent sur la console du système et sont enregistrées dans
un fichier journal (dans ce cas, PROXY.LOG).
Remarque : La syntaxe de commande ci-dessous utilise la notation BNF (forme
de Backus-Naur), système développé dans les années 1960 pour décrire la
syntaxe d'un ensemble de commandes ou d'un langage de programmation
informatique donné.
Ajout et suppression de définitions de requêtes de virus
Lorsque le serveur proxy fonctionne correctement et que sa base de données
de définitions initiale est chargée, vous pouvez ajouter de nouvelles
définitions et ce, pendant l'exécution du serveur. La syntaxe des commandes
de console pour l'ajout d'une nouvelle définition de virus est la suivante :
virus add -p pattern -o origLength
où pattern correspond à une chaîne de caractères de 16 octets située au
décalage 1 dans la requête HTTP GET et origLength correspond à la taille
d'origine de la requête, en octets. Il s'agit de paires option-valeur obligatoires.
La valeur de chaîne de pattern doit être entre guillemets ; la valeur de
origLength correspond à un nombre entier. Par exemple :
virus add -p "default.ida?NNNN" -o 385
Le serveur proxy examine le décalage spécifié dans chaque requête entrante
et lit les 16 octets suivants. Si la chaîne correspond à l'une des définitions de
la base de données existante, la requête, considérée comme une requête de
virus, est bloquée.
Remarque : Par défaut, la taille et le décalage de début de la définition sont
respectivement définis sur 16 et 1. Vous pouvez modifier ces valeurs dans le fichier
PROXY.CFG, mais avec précaution. Il s'agit de paramètres globaux qui
s'appliquent à toutes les entrées de la base de données de définitions.
Pour supprimer une définition de la base de données, utilisez la même syntaxe,
mais remplacez la commande add par del. Par exemple :
virus del -p "default.ida?NNNN" -o 385
78
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Mise à jour de la base de données via un script (fichier NCF)
La fonction de reconnaissance de définitions de virus permet également de
mettre à jour la base de données à la manière d'un script en plaçant une liste
de commandes virus add . . . dans un fichier NCF et en exécutant le fichier à
partir de la console. Vous pouvez ainsi mettre à jour la base de données de
définitions de virus sans avoir à mettre le serveur proxy hors service.
Vous pouvez utiliser la commande suivante pour écrire toutes les entrées
existantes dans un fichier NCF de la base de données :
virus dump
Le nom du fichier NCF est SYS:\ETC\PROXY\VIRPAT.NCF. Ce fichier peut
être exécuté au redémarrage du serveur proxy ou lancé manuellement après le
chargement du serveur proxy.
Activation et configuration de la mise à jour automatique
Novell BorderManager 3.7 propose une fonction de mise à jour automatique
qui détecte automatiquement les requêtes de virus et ajoute leurs définitions
dans la base de données. La méthode heuristique (auto-apprentissage)
d'analyse des requêtes de cette fonction est particulièrement utile pour détecter
les définitions de requêtes de virus qui changent fréquemment.
Les heuristiques examinent la répartition des requêtes entrantes dans un délai
spécifié. Pour un bon fonctionnement de ces heuristiques, deux paramètres
doivent être correctement configurés :
Threshold (Seuil) —Ce paramètre définit le nombre de nouvelles requêtes
dotées de la même valeur qui seront allouées pendant l'intervalle de temps
avant que ces requêtes ne soient considérées comme suspectes. La valeur par
défaut est de 250 ; celle-ci peut être modifiée via la commande virus -t
threshold à partir de la console.
Refresh Time Interval (Intervalle de temps de rafraîchissement)—
Ce paramètre définit le délai, en secondes, à l'issue duquel les requêtes
identiques reçues, et dont la valeur est supérieure au seuil, sont contrôlées pour
y rechercher la présence éventuelle de définitions de virus. La valeur par
défaut est de 10 secondes. Celle-ci peut être modifiée via la commande virus
-r time interval à partir de la console.
103-000242-001
April 19, 2002
Novell Confidential
79
Manual
29
Dans le cas de requêtes identiques dont la valeur est supérieure au seuil et
reçues au cours de l'intervalle de temps spécifié, celles-ci sont considérées
comme suspectes et sont programmées pour subir une analyse plus
approfondie via un processus d'arrière-plan. Pendant ce temps, le serveur
proxy continue à recevoir toutes les requêtes de façon à ne jamais bloquer
celles qui sont valides.
L'écran de configuration des définitions de virus fournit des informations pour
vous permettre d'adapter ces paramètres à votre système. Pour plus
d'informations, reportez-vous à la section relative au choix d'un seuil
approprié.
La fonction de mise à jour automatique peut être activée de deux façons.
La première consiste à entrer la commande suivante à partir de la console du
système :
virus -e 1
Remarque : Si vous entrez un 0 (zéro) dans cette commande, la fonction de mise
à jour automatique est désactivée.
Vous pouvez également placer l'option suivante dans le fichier PROXY.CFG :
[Configuration de la définition de
virus]EnablePatternAutoUpdate=1
Ajout de nouveaux mots-clés de virus
Les définitions de requêtes d'un même type de virus contiennent des mots-clés
ou des chaînes de caractères qui peuvent permettre d'identifier la requête. Par
exemple, toutes les URL dotées de requêtes de virus Code Red contiennent la
chaîne CMD.EXE. Sachant que la présence de cette chaîne identifie l'URL
comme une requête de virus, " cmd.exe " est un mot-clé.
Remarque : Dans cet exemple, l'ajout de *CMD.EXE* comme règle de filtrage
aux routeurs bloquera toutes les requêtes contenant ce mot-clé.
Les mots-clés n'interviennent qu'une fois que la requête a été étiquetée comme
suspecte par l'intermédiaire des heuristiques décrites ci-dessus. À ce stade, la
requête suspecte est analysée pour détecter la présence éventuelle de certains
mots-clés. Lorsqu'une correspondance est trouvée, la requête est étiquetée
comme requête de virus et sa définition est ajoutée à la base de données. Les
futures requêtes qui contiendront ce mot-clé seront automatiquement
bloquées.
80
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Pour ajouter un nouveau mot-clé à la liste des mots-clés existants, entrez la
commande suivante à partir de la console du système :
virus add -k keyword
où keyword correspond à une chaîne de caractères qui détermine si une requête
suspecte est bien une requête de virus.
Contrôle de la fonction de reconnaissance de définitions de virus
L'efficacité d'une fonction est parfois mieux comprise via un contrôle, c'est
pourquoi le serveur proxy NBM comprend un écran de configuration de
définitions de virus. Toutes les informations de configuration et de statistiques
relatives aux définitions de virus font l'objet d'un suivi et sont affichées sur cet
écran distinct de la console du serveur.
Effet sur les performances
Compte tenu du temps système très réduit nécessaire au contrôle des requêtes
HTTP entrantes, l'activation de la fonction de reconnaissance de définitions de
virus n'a pas de conséquences défavorables sur les performances du serveur
proxy NBM.
Configuration d'un serveur proxy FTP
Vous pouvez utiliser un serveur proxy FTP pour contrôler l'accès à des sites
FTP authentifiés. Ceci entraîne le contrôle centralisé des accès à Internet ou à
un intranet. Le serveur proxy FTP permet également de mettre en cache des
données pour des utilisateurs anonymes, ce qui rend les téléchargements plus
rapides.
Remarque : Le serveur proxy peut également être configuré comme accélérateur
FTP pour accélérer les requêtes FTP des utilisateurs d'Internet ou d'un intranet
vers vos serveurs FTP. Un serveur peut être configuré comme proxy FTP,
accélérateur FTP ou les deux à la fois. Si le serveur est configuré à la fois comme
proxy FTP et comme accélérateur FTP, deux adresses distinctes sont nécessaires,
une publique et une privée.
Pour configurer un serveur proxy FTP :
2 Sous l'onglet Proxy d'application, sélectionnez la case Proxy FTP.
103-000242-001
April 19, 2002
Novell Confidential
81
Manual
29
3 Cliquez sur Détails ou double-cliquez sur le service proxy FTP.
4 Entrez un caractère de séparation de nom d'utilisateur/mot de passe.
Le caractère de séparation de nom d'utilisateur/mot de passe permet de
séparer le nom d'utilisateur NDS ou eDirectory, le nom d'utilisateur FTP
et le nom d'hôte FTP au niveau de la commande USER. De même, il
permet de séparer le mot de passe NDS ou eDirectory de l'utilisateur et le
mot de passe FTP au niveau de la commande PASS. L'utilisateur entre ces
commandes lors de la connexion au proxy FTP. Par défaut, il s'agit du
symbole du dollar ($).
Par exemple, entrez les informations suivantes aux invites " user " et "
pass " :
user>jean_dupond.novell$anonyme$ftp.novell.com
pass>xxxxx$yyyyy
où jean_dupond.novell est le nom d'utilisateur NDS ou eDirectory,
anonyme est le nom d'utilisateur FTP, ftp.novell.com est l'hôte FTP, xxxxx
correspond au mot de passe NDS ou eDirectory de jean_dupond et yyyyy
est le mot de passe FTP pour les utilisateurs anonymes à ftp.novell.com.
5 Entrez une adresse électronique FTP anonyme ou conservez l'adresse par
défaut.
Il s'agit de l'adresse de messagerie électronique utilisée comme mot de
passe pour le login FTP anonyme par le client FTP du serveur proxy. Par
défaut, il s'agit de NovellProxyCache@.
6 Sélectionnez une méthode d'authentification utilisateur : Aucun(e),
Effacer texte utilisateur/mot de passe ou Single Sign-on.
82
!
Aucun(e) : l'utilisateur n'a pas besoin d'entrer le nom d'utilisateur et
le mot de passe du proxy FTP lors de l'accès au serveur FTP : il lui
suffit de fournir le nom d'hôte FTP et le mot de passe.
!
Effacer texte utilisateur/mot de passe— l'utilisateur doit entrer un
nom d'utilisateur distinctif NDS ou eDirectory, un nom d'utilisateur
FTP et un nom d'hôte FTP à l'invite " user " ; puis un mot de passe
NDS ou eDirectory et un mot de passe FTP à l'invite " pass ".
!
Single Sign-on— lorsqu'un utilisateur est logué à NetWare via le
dernier Novell ClientTM, il n'est pas invité à s'authentifier auprès du
proxy.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Pour configurer le serveur en tant qu'accélérateur FTP, reportez-vous à
“Configuration d'un accélérateur FTP”, page 83.
Configuration d'un accélérateur FTP
Un accélérateur FTP est également appelé proxy inverse. Le serveur fait office
de borne d'entrée pour vos serveurs FTP sur Internet ou un intranet. Les
requêtes fréquentes peuvent ainsi être redirigées des serveurs FTP d'origine à
trafic élevé vers le serveur proxy. La sécurité est accrue lorsque les adresses
IP des serveurs FTP ne sont pas accessibles à partir d'Internet ou d'un intranet.
Remarque : Un serveur peut être configuré comme accélérateur FTP, proxy FTP
ou les deux à la fois. Si le serveur est configuré à la fois comme proxy FTP et
comme accélérateur FTP, deux adresses distinctes sont nécessaires, une publique
et une privée.
Pour configurer un accélérateur FTP :
2 Sous l'onglet Accélération, sélectionnez la case Accélération FTP.
3 Cliquez sur Détails ou double-cliquez sur un service d'accélérateur FTP.
4 Cliquez sur Ajouter, puis exécutez les procédures suivantes :
4a Indiquez si l'accélérateur FTP doit être activé après sa configuration.
4b Entrez le nom d'hôte du serveur FTP d'origine.
4c Sélectionnez une ou plusieurs adresses IP publiques de proxy dans la
liste.
Il s'agit des adresses prises en compte par l'accélérateur pour les
être unique.
Supposons par exemple que vous disposiez du serveur FTP ftp://
ftp1.myco.com et de deux adresses IP (1.2.3.4 et 1.2.3.5) et que le serveur
FTP prenne en compte le port 21. Vous pouvez alors configurer une entrée
d'accélérateur pour ftp1.myco.com avec le port 21 et deux adresses IP
(1.2.3.4 et 1.2.3.5).
103-000242-001
April 19, 2002
Novell Confidential
83
Manual
29
Comme autre exemple, supposons que vous ayez plusieurs serveurs FTP et
plusieurs adresses IP. Vous pouvez alors configurer deux entrées : une pour
ftp1.myco.com avec le port 21 et l'adresse IP 1.2.3.4, et une autre pour
ftp2.myco.com avec le port 21 et l'adresse IP 1.2.3.5.
Configuration d'un serveur proxy de messagerie
Un serveur proxy de messagerie fournit des services de messagerie SMTP
sécurisés pour le courrier entrant et sortant. Il permet également de masquer
les hôtes de messagerie et les noms de domaines internes pour l'analyse des
messages entrants. Le proxy de messagerie peut être utilisé entre le serveur de
messagerie intranet existant et Internet ou directement entre l'intranet et
Internet, sans serveur de messagerie intranet.
Pour configurer un serveur proxy de messagerie :
2 Sous l'onglet Proxy d'application, sélectionnez la case Proxy de
messagerie.
3 Cliquez sur Détails ou double-cliquez sur le service proxy de messagerie.
4 Entrez des valeurs pour les paramètres de proxy de messagerie suivants :
!
Répertoire spool : répertoire de stockage temporaire des fichiers de
messagerie.
Il doit s'agir d'un chemin absolu sur le serveur indiquant le nom du
volume, par exemple, SYS:\ETC\PROXY\SPOOL.
84
!
Taille max répertoire spool : taille maximale (exprimée en Mo) du
répertoire de spoul de messagerie.
!
Taille messagerie max : taille maximale (exprimée en Mo) d'un
élément de messagerie.
!
Intervalle nouvel essai message en cas d'échec : nombre maximal de
minutes entre deux tentatives d'acheminement par le proxy de
messagerie d'un message impossible à remettre.
!
Nombre d'essais message en cas d'échec : nombre maximal de
tentatives d'acheminement, par le proxy de messagerie, d'un message
impossible à remettre.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
!
Nom de domaine de messagerie principal : (facultatif) nom de
domaine utilisé à la place de l'adresse de l'expéditeur dans un
message électronique. Ce nom remplace le nom de domaine interne
dans les en-têtes de messages sortants et masque l'architecture du
réseau interne. Si ce paramètre n'est pas défini, le nom de domaine
DNS local est utilisé comme nom de domaine de messagerie
principal. Si le nom de domaine DNS local n'est pas configuré non
plus, l'adresse de l'expéditeur reste inchangée.
!
Nom du serveur de messagerie interne : nom Mail eXchange
(enregistrement MX DNS) ou nom de domaine de messagerie interne
du serveur de messagerie sur un réseau interne.
!
Nom du serveur de messagerie POP3 : nom ou adresse IP du serveur
sur lequel est exécuté le logiciel POP3 (Post Office Protocol 3).
Configuration d'un serveur proxy de news
Un serveur proxy de news permet d'accéder à des news Usenet sur Internet et
de fournir des services de news NNTP (Network News Transfer Protocol)
sécurisés pour transférer des articles de news de l'intranet vers Internet et viceversa. Un serveur proxy de news permet d'effectuer un filtrage sélectif de
manière à exclure les groupes de news indésirables. Un serveur proxy de news
ne peut toutefois pas effectuer la mise en cache des articles de news.
Pour configurer un serveur proxy de news :
2 Sous l'onglet Proxy d'application, sélectionnez la case Proxy de news.
3 Cliquez sur Détails ou double-cliquez sur le service proxy de news.
4 (Facultatif) Entrez le nom de domaine principal de news.
Il s'agit du nom de domaine utilisé à la place de l'adresse de l'expéditeur
dans les articles de news publiés. Ce nom remplace les noms d'hôtes
d'origine internes dans les lignes des en-têtes d'articles de news sortantes
et masque l'architecture du réseau interne. Si ce paramètre n'est pas défini,
le proxy de news utilise le nom de domaine DNS figurant dans l'adresse
de l'expéditeur.
103-000242-001
April 19, 2002
Novell Confidential
85
Manual
29
5 (Facultatif) Entrez le nom de serveur ou l'adresse IP des serveurs de news
privés (internes) vers lesquels les articles de news entrants sont
acheminés.
Si ces informations ne sont pas spécifiées, le serveur proxy n'accepte pas
les connexions effectuées à partir des serveurs de news publics pour
acheminer des articles vers les serveurs de news privés ou les extraire à
partir de ces mêmes serveurs.
6 Cliquez sur Ajouter et spécifiez les noms d'hôtes DNS ou les adresses IP
des serveurs de news publics (externes) à partir desquels les articles de
news sont extraits.
Si un serveur de news est configuré, vous devez définir au moins un
serveur pour que le proxy de news fonctionne. Le proxy se connecte au
premier serveur de news public de la liste, et toutes les requêtes des
lecteurs et du serveur de news privé sont réacheminées vers ce serveur. Si
la connexion au premier serveur de la liste échoue, le proxy de news
utilise le serveur figurant en deuxième position dans la liste, et ainsi de
suite.
Configuration d'un serveur proxy générique
Utilisez un serveur proxy générique pour accéder à plusieurs protocoles si le
proxy d'application dont vous avez besoin n'est pas encore défini dans Novell
BorderManager 3.7 (par exemple, Telnet et rlogin). Un proxy générique place
les données dans le tunnel sans les mettre en cache.
Pour configurer un serveur proxy TCP ou UDP générique :
BorderManager concernant le serveur.
2 Sous l'onglet Proxy d'application, sélectionnez la case Proxy TCP
générique ou Proxy UDP générique.
3 Cliquez sur Détails ou double-cliquez sur le service proxy TCP générique
ou UDP générique.
Remarque : Les procédures suivantes sont identiques pour la configuration d'un
serveur proxy générique TCP ou UDP.
86
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
4 Cliquez sur Ajouter pour ajouter un serveur à la liste à transférer, puis
exécutez les procédures suivantes :
4a Indiquez si le serveur proxy générique doit être activé après sa
configuration.
4b Entrez le nom d'hôte du serveur d'origine.
4c Entrez le numéro de port pris en compte par le serveur d'origine pour
les connexions entrantes.
Par défaut, il s'agit du port 0 pour un proxy générique.
4d Sélectionnez une ou plusieurs adresses IP publiques de proxy pour le
serveur proxy.
Il s'agit des adresses prises en compte par le proxy pour les
4e Entrez le numéro de port du serveur proxy.
La valeur par défaut est 0.
être unique.
4f Cliquez sur OK.
103-000242-001
April 19, 2002
Novell Confidential
87
Manual
29
Configuration d'un proxy DNS
Un proxy DNS joue le rôle de serveur de nom DNS pour les clients sur
l'intranet. Le proxy DNS met en cache les enregistrements DNS.
Remarque : L'adresse IP privée du proxy DNS doit être configurée comme
adresse du serveur de nom DNS pour le client intranet. Sur le serveur, vous pouvez
configurer les adresses IP des serveurs de nom DNS et le nom de domaine dans
le fichier SYS:\ETC\RESOLV.CFG.
Pour activer le proxy DNS :
2 Sous l'onglet Proxy d'application, sélectionnez la case Proxy DNS.
3 Cliquez sur Détails ou double-cliquez sur le service proxy DNS.
Configuration des proxies RealAudio et RTSP
Les proxies RealAudio et RTSP accèdent à un serveur RealAudio sur Internet
ce qui permet aux utilisateurs d'un intranet de télécharger et de lire des
données audio et vidéo en temps réel.
Pour activer les proxies RealAudio et RTSP :
2 Sous l'onglet Proxy d'application, sélectionnez la case Proxies RealAudio
et RTSP.
3 Cliquez sur Détails ou double-cliquez sur le service Proxies RealAudio et
RTSP.
88
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Configuration du client SOCKS (en amont)
Cette fonctionnalité permet à un proxy de s'authentifier via un pare-feu
SOCKS 4 ou SOCKS 5. SOCKS est un protocole de type passerelle de circuit.
Avec SOCKS, les hôtes protégés par un pare-feu peuvent bénéficier d'un accès
complet à Internet sans une accessibilité IP totale. Lorsque la prise en charge
SOCKS est activée, toutes les requêtes envoyées à Internet sont transmises à
un serveur SOCKS 5 et le proxy n'est utilisé que pour le caching.
Lorsque le proxy reçoit une requête, il vérifie dans son cache. Si l'objet
demandé ne figure pas dans le cache, le proxy établit une connexion TCP au
serveur SOCKS et redirige la requête de l'intranet vers le serveur SOCKS, ce
qui permet un accès Internet plus sûr. Le serveur SOCKS se connecte ensuite
au serveur d'origine et extrait l'objet. L'authentification nulle et
l'authentification par nom d'utilisateur/mot de passe sont prises en charge.
La configuration de la prise en charge de proxies HTTP ou FTP par
l'intermédiaire de SOCKS implique trois opérations :
! La configuration du logiciel de services proxy en tant que client SOCKS
! La configuration de la passerelle IP Novell en tant que serveur SOCKS
! La configuration du navigateur
Le client SOCKS peut également être utilisé avec un serveur SOCKS tiers au
lieu de la passerelle IP Novell.
Pour configurer le serveur proxy et la passerelle IP Novell de manière à
prendre en charge le proxy HTTP ou FTP par l'intermédiaire de SOCKS :
2 Sous l'onglet Proxy d'application, sélectionnez Proxy HTTP ou Proxy
FTP.
3 Cliquez sur Client SOCKS, puis sélectionnez la case Activer SOCKS.
4 Indiquez l'adresse IP du serveur SOCKS.
5 Entrez le numéro de port du serveur SOCKS.
La valeur par défaut est 1080.
6 Cliquez sur Nom d'utilisateur/Mot de passe > entrez le nom d'utilisateur
et le mot de passe que le proxy utilisera pour s'authentifier via le serveur
SOCKS.
103-000242-001
April 19, 2002
Novell Confidential
89
Manual
29
Si vous sélectionnez Aucune authentification et que vous ne spécifiez pas
de nom d'utilisateur et de mot de passe, une authentification nulle sera
utilisée. Le nom d'utilisateur et le mot de passe doivent correspondre à
ceux configurés pour le serveur SOCKS ou sur le serveur SOCKS tiers.
Si une authentification nulle est configurée, vérifiez que la configuration
du serveur SOCKS permet une authentification nulle.
7 Cliquez sur OK pour fermer la page Client SOCKS.
8 Si vous n'utilisez pas de serveur SOCKS tiers :
Remarque : Les procédures suivantes s'appliquent uniquement si le serveur
SOCKS en amont exécute Novell BorderManager 3.7.
8a Cliquez sur l'onglet Passerelle.
8b Sélectionnez la case SOCKS V4 et V5 > cliquez sur Détails.
8c (Facultatif) Entrez le numéro de port du serveur SOCKS.
La valeur par défaut est le 1 080. Cette opération permet à la
passerelle IP Novell de faire office de serveur SOCKS. Affectez un
numéro de port différent pour le trafic SOCKS si un autre service
l'utilise déjà.
8d Sélectionnez SOCKS V5 ou SOCKS V4.
Sélectionnez V5 si le serveur doit fonctionner avec le client SOCKS
Novell BorderManager 3.7. Si vous choisissez V5, sélectionnez une
simple demande de connexion et spécifiez une méthode
d'authentification. Si vous sélectionnez SSL comme méthode
d'authentification, vous devez sélectionner un identificateur (ID) clé.
Remarque : Utilisez les services PKI de l'Administrateur NetWare pour
modifier et créer les identificateurs clés dans une arborescence NDS ou
eDirectory.
8e Sélectionnez une méthode d'authentification.
8f Cliquez sur OK.
8g Sélectionnez la page de configuration des utilisateurs et entrez le
nom d'utilisateur et le mot de passe du client SOCKS.
Le nom d'utilisateur et le mot de passe doivent être identiques à ceux
configurés pour le client SOCKS.
8h Cliquez sur OK.
9 Cliquez sur OK sur la page de configuration de Novell BorderManager
3.7.
90
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
10 Pour utiliser un navigateur à partir du poste de travail, ouvrez la fenêtre
de configuration du navigateur. Dans le champ permettant d'indiquer
l'emplacement du proxy HTTP, entrez l'adresse IP ou le nom d'hôte DNS
du serveur qui exécute Novell BorderManager 3.7.
Ainsi, les demandes émanant du navigateur pourront être envoyées au
client SOCKS sur lequel les services proxy Novell BorderManager 3.7
fonctionnent, puis transmises au serveur SOCKS si les informations
demandées sont introuvables dans le cache proxy.
Configuration du proxy transparent HTTP
Un proxy transparent HTTP permet d'utiliser un serveur proxy HTTP sans
avoir à reconfigurer le navigateur de chaque utilisateur. Utilisez un proxy
transparent HTTP pour que les utilisateurs envoient leurs demandes via le
serveur proxy.
Lorsque le proxy transparent HTTP est utilisé, les clients doivent utiliser
l'adresse IP privée du proxy en tant qu'adresse de passerelle TCP/IP. Le
routage IP doit être activé sur le serveur.
Pour configurer un proxy transparent HTTP :
2 Sous l'onglet Proxy transparent, sélectionnez la case Proxy transparent
HTTP.
3 Cliquez sur Détails ou double-cliquez sur le service proxy transparent.
4 Cliquez sur Ajouter et entrez un numéro de port destiné au contrôle.
Indiquez par exemple le numéro de port 80 pour le trafic HTTP.
5 Dans la liste des adresses IP en exception, cliquez sur Ajouter et entrez
une adresse IP locale.
Remarque : Lorsque le proxy transparent HTTP est activé, il est également
activé automatiquement pour la passerelle IP Novell®, si applicable.
Pour configurer l'authentification pour un proxy transparent HTTP, reportezvous à “Configuration de l'authentification proxy”, page 92.
103-000242-001
April 19, 2002
Novell Confidential
91
Manual
29
Configuration d'un proxy transparent Telnet
Un proxy transparent Telnet permet d'utiliser un serveur proxy Telnet sans
avoir à se connecter manuellement à un serveur proxy.
Lorsque vous utilisez un proxy transparent Telnet, le client doit utiliser
l'adresse IP privée du proxy car l'adresse de passerelle TCP/IP ou le serveur
proxy doivent se trouver dans le chemin de routage. Le routage IP doit être
activé sur le serveur.
Pour configurer un proxy transparent Telnet :
2 Sous l'onglet Proxy transparent, sélectionnez la case Proxy transparent
Telnet.
3 Cliquez sur Détails ou double-cliquez sur le service Telnet transparent.
4 Cliquez sur Ajouter et entrez un numéro de port destiné au contrôle.
Indiquez par exemple le numéro de port 23 pour le trafic Telnet.
5 Dans la liste des adresses IP en exception, cliquez sur Ajouter et entrez
une adresse IP locale.
6 Cliquez sur OK > cliquez sur la page OK.
Remarque : Lorsque le proxy transparent Telnet est activé, il est également
activé automatiquement pour la passerelle IP Novell, si applicable.
Pour configurer l'authentification pour un proxy transparent Telnet, reportezvous à “Configuration de l'authentification proxy”, page 92.
Configuration de l'authentification proxy
Important : Il existe une autre méthode d'authentification pour les utilisateurs
des serveurs proxy. Les utilisateurs des serveurs proxy peuvent utiliser des
périphériques de sécurité tels que des jetons matériels en plus du mot de passe
NDS ou eDirectory. Les règles de login qui définissent les règles d'authentification
et les méthodes d'accès nécessaires aux utilisateurs à distance pour leur
authentification sont stockées dans l'objet Règle de login NDS ou eDirectory.
Les sections suivantes fournissent des informations sur l'authentification
proxy :
! “Configuration de l'authentification proxy”, page 92
92
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Configuration de l'authentification d'un proxy HTTP
Plusieurs méthodes permettent de procéder à l'authentification proxy pour un
proxy HTTP et un accélérateur HTTP (proxy HTTP inverse et de
réacheminement) :
! Single sign-on pour les clients du logiciel client Novell 32— si un
utilisateur est logué à NetWare via le dernier logiciel client Novell, il n'a
pas besoin de s'authentifier de nouveau au proxy lorsqu'il utilise le
navigateur.
! Authentification proxy SSL : il n'est pas nécessaire que l'utilisateur
procède à une authentification sur le proxy s'il est déjà logué aux NDS ou
eDirectory.
Vous pouvez activer l'authentification NDS ou eDirectory proxy HTTP et
imposer à tous les utilisateurs de s'authentifier via leur navigateur avant
d'accéder au serveur proxy et à Internet. L'authentification proxy comporte un
nom d'utilisateur et un mot de passe. Le mot de passe d'authentification proxy
et le mot de passe d'authentification NDS ou eDirectory d'un utilisateur sont
identiques. Tous les types de navigateurs client peuvent être authentifiés :
Windows 98, Windows 2000, Windows XP, Windows Me, Windows NT,
UNIX, OS/2 ou Macintosh*.
Si l'authentification proxy est activée et que les méthodes single sign-on et
SSL sont toutes deux disponibles, le serveur proxy tente en premier lieu
d'authentifier l'utilisateur par single sign-on. Si cette méthode
d'authentification échoue ou qu'elle n'est pas activée, le serveur proxy procède
alors à l'authentification SSL.
Le single sign-on fonctionne uniquement si l'ordinateur client exécute le
logiciel client Novell 32 et qu'il est logué aux NDS ou eDirectory. L'ordinateur
client doit également exécuter DWNTRUST.EXE et CLNTRUST.EXE. Ces
fichiers se trouvent dans le répertoire SYS:PUBLIC sur le serveur. Pour plus
d'informations sur ces fichiers et sur la création de scripts de login pour les
utilisateurs à authentifier par single sign-on, reportez-vous à Chapitre 4,
“Configuration de la passerelle IP Novell”, page 53.
Pour configurer l'authentification du proxy HTTP :
2 Cliquez sur Contexte d'authentification.
103-000242-001
April 19, 2002
Novell Confidential
93
Manual
29
3 Sous l'onglet Authentification, sélectionnez la case Activer
l'authentification d'un proxy HTTP.
4 Sélectionnez une méthode d'authentification : Single Sign-on ou SSL.
5 Dans le cas du single sign-on, entrez le délai d'attente d'une réponse.
6 Dans le cas de la méthode SSL, spécifiez les paramètres suivants :
!
Port d'écoute SSL : indiquez le port à utiliser pour l'authentification.
Il peut s'avérer nécessaire de modifier le numéro de port afin
d'empêcher l'exécution, dans le trafic SSL, du trafic du proxy
inverse. Le numéro de port 443 est en effet affecté par défaut à la fois
pour le trafic du proxy inverse et le trafic SSL.443
!
ID clé : indiquez l'identificateur (ID) clé échangé entre le client et le
serveur au cours de l'authentification.
Remarque : Utilisez les services PKI de l'Administrateur NetWare pour
modifier et créer les identificateurs clés dans une arborescence NDS ou
eDirectory.
!
Méthode de notification : indiquez si la notification
d'authentification doit être envoyée au format HTML ou sous la
forme d'une applet Java.
!
Temps mort : indiquez le délai d'inactivité autorisé pour une
connexion avant de procéder à un nouveau login.
7 Spécifiez si l'authentification n'est requise que lorsqu'un utilisateur essaie
d'accéder à une page à accès restreint.
8 Cliquez sur l'onglet Contexte.
9 Cliquez sur Ajouter > entrez le nom d'arborescence et de contexte NDS
ou eDirectory par défaut de l'utilisateur.
Entrez un nom de conteneur distinctif NDS ou eDirectory (sales.my_org,
par exemple). Le nom du conteneur NDS ou eDirectory peut comporter
jusqu'à 256 caractères. Cette entrée est facultative mais rend le login plus
facile pour les utilisateurs. Les utilisateurs du conteneur spécifié peuvent
se loguer en ne tapant que leur nom de login, sans la chaîne de contexte
intégrale.
94
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Configuration de l'authentification du proxy transparent HTTP
Pour configurer l'authentification du proxy transparent HTTP :
l'authentification d'un proxy HTTP.
5 Cliquez sur Ajouter et entrez le nom d'arborescence et de contexte NDS
ou eDirectory par défaut de l'utilisateur.
intégrale.
Configuration de l'authentification du proxy transparent Telnet
Pour activer l'authentification du proxy transparent Telnet :
l'authentification du proxy transparent Telnet.
103-000242-001
April 19, 2002
Novell Confidential
95
Manual
29
5 Cliquez sur Ajouter > entrez le nom d'arborescence et de contexte NDS
par défaut de l'utilisateur.
intégrale.
avancées
avancées sont décrites dans Configuration avancée des services Proxy et
! Configuration des paramètres de cache
! Spécification du téléchargement par lots
! Configuration des hiérarchies de cache
! Spécification des paramètres de timeout relatifs au transport
! Spécification des paramètres DNS
! Configuration de la consignation des services Proxy HTTP
! Contrôle de l'activité du cache proxy en temps réel
! Affichage des enregistrements
! Affichage des entrées des hôtes
! Affichage des entrées de connexion d'un utilisateur
! Affichage des tendances d'utilisation
96
103-000242-001
April 19, 2002
Novell Confidential
Manual
6
29
Configuration des réseaux privés
virtuels
Les réseaux privés virtuels (VPN) servent à transférer des données
confidentielles sur Internet en toute sécurité, grâce à l'encapsulage et au
codage des données. Un réseau VPN peut également être installé sur les
intranets, pour lesquels la sécurité des données entre les départements est un
élément indispensable.
Ce chapitre explique les tâches à accomplir pour configurer le composant
VPN du logiciel Novell® BorderManager® 3.7. Il décrit également les étapes
préliminaires requises pour certaines tâches.
! “Conditions préalables relatives au réseau privé virtuel”, page 98
! “Configuration de votre VPN”, page 103
! “Mise à niveau VPN à partir d'une version antérieure”, page 119
Remarque : Ce chapitre décrit les tâches requises pour l'installation initiale du
VPN. Pour obtenir des informations sur la planification et le concept du VPN,
reportez-vous au Guide de présentation et de planification de Novell
BorderManager 3.7, disponible dans la documentation en ligne. Assurez-vous de
bien comprendre ces informations avant de configurer votre VPN.
103-000242-001
April 19, 2002
Novell Confidential
97
Manual
29
Conditions préalables relatives au réseau privé virtuel
Avant de configurer le composant VPN du logiciel Novell BorderManager
3.7, vous devez remplir les conditions décrites dans ce chapitre. Ce chapitre
comprend les sections suivantes :
Conditions préalables relatives au réseau VPN site à site
Avant de configurer un VPN site à site, vérifiez que le réseau remplit les
conditions suivantes :
! Le logiciel de routage NetWare® doit être installé et configuré sur chaque
serveur VPN. La configuration du logiciel de routage inclut, mais ne se
limite pas à, la configuration de liaisons LAN ou WAN aux autres
membres VPN, et la configuration du routage statique ou dynamique pour
les paquets Internet Packet ExchangeTM (IPXTM) et IP. Vérifiez la
connectivité entre vos serveurs VPN comme requis par votre topologie
VPN. Tout logiciel pare-feu associé doit être configuré et la connectivité
doit être vérifiée avant l'installation du logiciel VPN et avant la connexion
de chaque serveur VPN aux réseaux privés qu'il doit protéger.
! Si vos sites VPN ne se trouvent pas sur le même intranet, chaque serveur
VPN doit avoir une connexion à Internet, qu'elle soit directe ou indirecte.
Si votre serveur VPN est connecté directement à Internet, utilisez
l'adresse IP publique fournie par votre fournisseur de services Internet
(ISP) lors de la connexion à Internet. Chaque serveur VPN utilise
l'adresse IP publique pour échanger les informations codées avec d'autres
serveurs VPN. Procurez-vous l'adresse IP publique avant la configuration
du réseau VPN. La connexion ISP doit également être testée avant
l'installation du logiciel VPN et la connexion du serveur VPN à tout
réseau privé. Dans le cas d'un réseau VPN intranet, la connexion ISP n'est
pas requise.
! Si votre serveur VPN est connecté directement à Internet, vous devez
obtenir une adresse IP permanente pour la connexion ISP. L'adresse IP ne
peut pas être affectée de façon dynamique par l'ISP.
! Le serveur VPN ne doit posséder qu'une seule connexion à Internet.
Autrement, vous risquez d'envoyer et de recevoir des données
confidentielles sans codage si elles sont acheminées vers l'autre
connexion.
98
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
! Si vous configurez un serveur VPN pour la première fois dans une
arborescence NDS® ou Novell eDirectoryTM, vous devez pouvoir vous
loguer à l'arborescence du serveur avec des droits administratifs afin
d'étendre le schéma de l'objet Serveur.
! Si le serveur VPN fait également office de pare-feu qui protège le réseau
privé d'accès Internet, sélectionnez l'option permettant de configurer
Novell BorderManager 3.7 de façon à ce que l'accès à l'interface publique
soit protégé, lors de la première installation et configuration de Novell
BorderManager 3.7. Si ce n'est pas le cas, chargez BDRCFG pour
configurer les filtres requis.
! Si le serveur VPN est protégé par un pare-feu, veillez à configurer le parefeu avec les filtres de transmission de paquets adéquats comme défini par
vos mesures de sécurité. Si le pare-feu exécute également le logiciel
Novell BorderManager 3.7, sélectionnez l'option permettant de
configurer Novell BorderManager 3.7 de façon à ce que l'accès à
l'interface publique soit protégé lors de l'installation et de la configuration
initiales de Novell BorderManager 3.7 pour configurer automatiquement
les filtres de pare-feu. Ces filtres de pare-feu doivent ensuite être modifiés
en accord avec vos règles de sécurité. Généralement, les filtres doivent
être modifiés pour permettre la communication entre les membres VPN
et le passage des paquets codés. Les filtres répertoriés dans le peuvent
être utilisés comme base de modification des filtres de pare-feu pour le
réseau VPN. Les filtres peuvent également être modifiés pour permettre
la communication avec d'autres services Novell BorderManager 3.7.
Les filtres de pare-feu peuvent également être configurés après
l'installation en chargeant BDRCFG. Si le pare-feu n'exécute pas le
logiciel Novell BorderManager 3.7, vous devez configurer ces filtres
manuellement comme décrit dans la documentation fournie avec le parefeu tiers.
103-000242-001
April 19, 2002
Novell Confidential
99
Manual
Tableau 2
29
Filtres VPN
Description du
filtre
Protocole
Adresse
source
Port
source
Adresse cible
Port
cible
Filtres
d'exception
pour permettre
au serveur
maître VPN
d'autoriser le
trafic entrant
TCP (ID=6)
Tout
213
Adresse
publique VPN
Tout
SKIP (ID=57)
Tout
Tout
Tout
Tout
UDP (ID=17)
Tout
2010
Adresse
publique VPN
2010
TCP (ID=6)
Adresse
publique VPN
Tout
Tout
213
SKIP (ID=57)
Tout
Tout
Tout
Tout
UDP (ID=17)
Adresse
publique VPN
2010
Tout
2010
TCP (ID=6)
Tout
Tout
Adresse
publique VPN
213
SKIP (ID=57)
Tout
Tout
Tout
Tout
UDP (ID=17)
Tout
2010
Adresse
publique VPN
2010
Filtres
d'exception
pour permettre
au serveur
maître VPN
d'autoriser le
trafic sortant
Filtres
d'exception
pour le serveur
VPN esclave
autorisant le
trafic entrant
100 Guide d’installation de Novell BorderManager 3.7
103-000242-001
April 19, 2002
Novell Confidential
Manual
Filtres
d'exception
pour le serveur
VPN esclave
autorisant le
trafic sortant
29
TCP (ID=6)
Adresse
publique VPN
213
Tout
Tout
SKIP (ID=57)
Tout
Tout
Tout
Tout
UDP (ID=17)
Adresse
publique VPN
2010
Tout
2010
! Si vous avez configuré deux serveurs VPN sur le même réseau, ou si le
nombre de sauts entre les deux serveurs VPN est 1, vous devez utiliser
FILTCFG pour empêcher toutes les routes réseau privées d'être diffusées
sur les interfaces publiques. Effectuez cette procédure pour IPX et IP
comme décrit dans la documentation en ligne relative au filtrage des
paquets.
! Si votre réseau utilise le routage dynamique OSPF (Open Shortest Path
First), votre serveur VPN doit se trouver sur un réseau principal OSPF
"pur".
Conditions préalables relatives au réseau VPN client à site
Avant d'installer le logiciel client VPN, vérifiez que les conditions préalables
suivantes ont été remplies :
! Windows 98*, Windows* 2000, Windows* XP, Windows* Me ou
Windows NT* doit fonctionner sur le poste de travail.
! Si le client VPN utilise une connexion à distance, le composant Accès
réseau à distance de Microsoft* doit être installé avant le logiciel client
VPN.
! Si vous utilisez le client VPN avec le logiciel Novell ClientTM, la version
3.3 (ou ultérieure) de ce dernier est recommandée.
! Si vous utilisez le client VPN LAN, vous devez posséder un adaptateur
Ethernet.
! Si vous utilisez Windows NT, vous devez utiliser un poste de travail
Intel*. Le client VPN ne prend pas en charge les postes de travail Alpha.
Configuration des réseaux privés virtuels 101
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
! Si vous utilisez Windows NT, le Service Pack 3 (SP3) ou version
ultérieure de Windows NT doit être installé avant le logiciel client VPN.
Notez que le SP3 doit être réinstallé chaque fois que vous installez des
fonctions du CD-ROM de Windows NT, telles que les services d'accès
réseau ou d'accès à distance, qui ne figuraient pas sur votre système lors
de l'installation du SP3.
! Si vous installez Windows NT, vous devez vous loguer à Windows NT en
tant qu'utilisateur disposant de droits administratifs afin d'installer le
client VPN.
! Le serveur VPN ne doit posséder qu'une seule connexion à Internet.
Autrement, vous risquez d'envoyer et de recevoir des données
confidentielles sans codage si elles sont acheminées vers l'autre
connexion.
! Si le serveur VPN est protégé par un pare-feu, veillez à configurer le parefeu avec les filtres de transmission de paquets adéquats comme défini par
vos mesures de sécurité. Si le pare-feu exécute également le logiciel
Novell BorderManager 3.7, sélectionnez l'option permettant de
configurer Novell BorderManager 3.7 de façon à ce que l'accès à
l'interface publique soit protégé lors de l'installation et de la configuration
initiales pour configurer automatiquement les filtres de pare-feu. Ces
filtres de pare-feu doivent ensuite être modifiés en accord avec vos règles
de sécurité. Généralement, les filtres doivent être modifiés pour permettre
la communication entre les clients VPN et le serveur, et le passage des
paquets codés. Les filtres répertoriés dans le peuvent être utilisés comme
base de modification des filtres de pare-feu. Les filtres peuvent également
être modifiés pour permettre la communication avec d'autres services
Les filtres de pare-feu peuvent également être configurés après
l'installation en chargeant BDRCFG. Si le pare-feu n'exécute pas le
logiciel Novell BorderManager 3.7, vous devez configurer ces filtres
manuellement comme décrit dans la documentation fournie avec le parefeu tiers.
103-000242-001
April 19, 2002
Novell Confidential
Manual
Tableau 3
29
Filtres requis pour les VPN client à site
Description du
filtre
Protocole
Adresse
source
Port
source
Adresse cible
Port
cible
Filtres
d'exception
pour permettre
au serveur
maître ou
esclave VPN
d'autoriser le
trafic entrant
TCP (ID=6)
Tout
Tout
Adresse
publique VPN
353
SKIP (ID=57)
Tout
Tout
Tout
Tout
UDP (ID=17)
Tout
353
Tout
353
TCP (ID=6)
Adresse
publique VPN
353
Tout
Tout
SKIP (ID=57)
Tout
Tout
Tout
Tout
UDP (ID=17)
Tout
353
Tout
353
Filtres
d'exception
pour permettre
au serveur
maître ou
esclave VPN
d'autoriser le
trafic sortant
Configuration de votre VPN
Pour configurer n'importe quel type de VPN, vous devez configurer un
serveur maître. Après la configuration du serveur maître, vous devez effectuer
des tâches supplémentaires selon que vous choisissiez de configurer un réseau
VPN site à site ou client à site. Ce chapitre décrit la procédure suivante :
Remarque : L'utilitaire VPNCFG sert à configurer le serveur maître et le serveur
esclave et à générer les informations de codage.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Configuration du serveur maître
Un réseau VPN ne peut être doté que d'un seul serveur maître. Le serveur
maître constitue le point central de contrôle de la configuration et de la gestion
du réseau VPN. De plus, un serveur (maître ou esclave) ne peut être membre
que d'un seul VPN.
Pour configurer le serveur maître de votre réseau VPN, exécutez les étapes
suivantes :
LOAD VPNCFG
Si ce serveur est le premier dans l'arborescence NDS ou eDirectory à être
configuré en tant que serveur VPN, vous êtes invité à vous loguer à
l'arborescence. Vous devez disposer des droits administratifs sur le
répertoire racine pour étendre le schéma NDS ou eDirectory et définir les
attributs VPN.
2 Sélectionnez Configuration du serveur maître.
3 Configurez les adresses IP pour le serveur maître.
Le serveur maître VPN utilise deux adresses IP : une adresse publique
pour communiquer avec Internet et une adresse de tunnel VPN pour
échanger des informations codées avec d'autres membres VPN.
3a Sélectionnez Configurer les adresses IP.
3b Entrez l'adresse IP publique.
Si le serveur VPN est connecté directement à Internet, l'adresse IP
publique est l'adresse attribuée par votre ISP.
3c Entrez le masque de sous-réseau pour l'adresse IP publique.
3d Entrez l'adresse IP du tunnel VPN.
Cette adresse est associée au tunnel VPN au travers duquel les
informations codées passent. Cette adresse ne devrait pas être
enregistrée.
Important : L'adresse IP du tunnel VPN pour tous les serveurs VPN doit se
trouver sur le même sous-réseau. L'adresse IP du tunnel VPN est une
adresse privée choisie de façon arbitraire. L'étendue de cette adresse se
limite à la liaison du tunnel VPN. Cette adresse ne devrait pas être utilisée
comme adresse IP source ou de cible pour les paquets de données. Utilisez
la commande PING sur cette adresse pour vérifier la connectivité directe via
le tunnel VPN.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
3e Entrez le masque de sous-réseau pour l'adresse IP du tunnel VPN.
3f Appuyez sur Échap > à l'invite, sélectionnez Oui pour enregistrer vos
modifications.
4 Générez les informations de codage du serveur maître.
4a Sélectionnez Générer les informations de codage.
4b Entrez jusqu'à 255 caractères pour la valeur de départ aléatoire.
Il n'est pas nécessaire d'enregistrer cette valeur. Le logiciel utilise
cette valeur pour randomiser les clés RSA (Rivest Shamir Adleman)
publiques et privées du serveur maître ainsi que les valeurs DiffieHellman publiques et privées du serveur maître qu'il génère.
5 Copiez le fichier d'informations de codage maître (MINFO.VPN) sur une
disquette ou enregistrez-le sur un disque dur local.
5a Sélectionnez Copier les informations de codage.
5b Entrez le chemin dans lequel vous voulez enregistrer le fichier
d'informations de codage maître.
6 Donnez le fichier MINFO.VPN à l'administrateur réseau de chaque
serveur esclave que vous voulez ajouter au VPN.
Vous pouvez soit envoyer la disquette qui contient le fichier par courrier,
soit envoyer le fichier sous forme de pièce jointe par courrier
électronique. La sécurité du fichier ne sera pas compromise en cas
d'interception de celui-ci, car il ne contient que des informations
publiques. Toute modification du fichier peut être détectée en vérifiant le
résumé des messages lors de la configuration du serveur esclave.
7 Appuyez sur Échap le nombre de fois nécessaires pour quitter VPNCFG.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Configuration de VPN de site à site
Ce chapitre explique les tâches élémentaires à effectuer pour configurer un
réseau VPN site à site. Il se compose des sections suivantes :
Configuration d'un serveur esclave
Pour configurer un serveur esclave pour votre réseau VPN, procédez comme
suit : Assurez-vous de vous procurer le fichier MINFO.VPN auprès de
l'administrateur du serveur maître.
LOAD VPNCFG
2 Sélectionnez Configuration du serveur esclave.
3 Configurez les adresses IP pour le serveur esclave.
À l'instar du serveur maître, un serveur esclave VPN utilise deux adresses
IP : une adresse publique pour communiquer avec Internet et une adresse
de tunnel VPN pour échanger des informations codées avec d'autres
membres VPN.
3a Sélectionnez Configurer les adresses IP.
3b Entrez l'adresse IP publique.
Si le serveur VPN est connecté directement à Internet, l'adresse IP
publique est l'adresse attribuée par votre ISP.
3c Entrez le masque de sous-réseau pour l'adresse IP publique.
3d Entrez l'adresse IP du tunnel VPN.
Cette adresse est associée au tunnel VPN au travers duquel les
informations codées passent. Cette adresse ne devrait pas être
enregistrée.
Important : L'adresse IP du tunnel VPN pour tous les serveurs VPN doit se
trouver sur le même sous-réseau.
3e Entrez le masque de sous-réseau pour l'adresse IP du tunnel VPN.
3f Appuyez sur Échap et, à l'invite, sélectionnez Oui pour enregistrer
vos modifications.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
4 Générez les informations de codage du serveur esclave.
4a Sélectionnez Générer les informations de codage.
4b Entrez l'emplacement du fichier d'informations de codage maître
(MINFO.VPN).
4c Contactez l'administrateur du serveur maître et vérifiez que vous
disposez des mêmes valeurs du résumé des messages.
Le fait de disposer des mêmes valeurs de digest garantit l'authenticité
du fichier MINFO.VPN.
Important : Si les valeurs de digest ne sont pas identiques, le tunnel codé
entre les serveurs esclave et maître ne pourra pas être créé. Dans ce cas, le
serveur maître devra fournir un nouveau fichier MINFO.VPN.
4d Demandez à l'administrateur du serveur maître de sélectionner
Authentifier les informations de codage pour authentifier le fichier
MINFO.VPN.
Pour authentifier ce fichier, l'administrateur doit charger VPNCFG et
sélectionner les options de menu suivantes :
Master Server Configuration (Configuration du serveur maître)>
Authenticate Encryption Information (Authentifier les informations
de codage).
4e Si les valeurs message digest concordent, entrez 255 caractères au
maximum pour la valeur aléatoire de départ.
Il n'est pas nécessaire d'enregistrer cette valeur. Le logiciel utilise
cette valeur pour définir de façon aléatoire les valeurs DiffieHellman publiques et privées qu'il génère pour le serveur esclave.
5 Copiez le fichier d'informations de codage esclave (SINFO.VPN) sur une
disquette ou enregistrez-le sur un disque dur local.
5a Sélectionnez Copier les informations de codage.
5b Entrez le chemin ou le nom du fichier dans lequel vous voulez
enregistrer le fichier d'informations de codage esclave. La valeur par
défaut est A:\SINFO.VPN.
Suggestion : Renommez votre fichier SINFO.VPN en SINFO_S1.VPN, par
exemple. Ceci permet à l'administrateur du serveur maître de rassembler tous les
fichiers d'informations de codage esclave dans un seul répertoire, sans les
écraser. Vous pouvez également utiliser un nom de serveur ou d'emplacement
pour renommer le fichier SINFO.VPN.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
6 Remettez votre fichier d'informations de codage à l'administrateur du
serveur maître.
Vous pouvez soit envoyer la disquette qui contient le fichier par courrier,
soit envoyer le fichier sous forme de pièce jointe par courrier
électronique. La sécurité du fichier ne sera pas compromise en cas
d'interception de celui-ci, car il ne peut pas être interprété sans les clés
RSA publiques et privées du serveur maître et sans les valeurs DiffieHellman publiques et privées.
7 Appuyez sur Échap le nombre de fois nécessaires pour quitter VPNCFG.
Important : Afin de permettre toute communication entre le serveur esclave et
d'autres membres du réseau VPN, vous devez effectuer la procédure décrite dans
“Configuration de votre VPN”, page 103.
Ajout d'un serveur à un réseau VPN
Avant de pouvoir ajouter un serveur à un réseau VPN, vous devez utiliser
l'utilitaire VPNCFG pour effectuer les opérations suivantes :
! Configurer le serveur maître.
! Configurer le serveur esclave.
! Générer les fichiers d'informations de codage des serveurs maître et
esclave.
Une fois que vous avez exécuté les procédures VPNCFG, le serveur maître est
ajouté automatiquement au réseau VPN. L'utilitaire Administrateur NetWare
sert à ajouter un serveur à un réseau VPN et à synchroniser les serveurs VPN.
Pour ajouter un serveur esclave au réseau VPN, procédez comme suit :
1 Dans l'Administrateur NetWare, double-cliquez sur le serveur maître
VPN et sélectionnez la page de configuration de Novell BorderManager
3.7.
2 Cliquez sur l'onglet VPN.
3 Sous Activer le service, double-cliquez sur Site à site maître.
4 Cliquez sur Ajouter.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
5 Recherchez le fichier contenant les informations de codage du serveur
que vous souhaitez ajouter et cliquez sur Ouvrir.
Le fichier d'informations de codage est généré lors de la procédure décrite
dans “Configuration de votre VPN”, page 103. Le nom par défaut du
fichier est SINFO.VPN. L'Administrateur NetWare lit ce fichier et affiche
un résumé des messages de 16 octets.
6 Demandez à l'administrateur du serveur esclave VPN de sélectionner
Authentifier les informations de codage pour authentifier le fichier
SINFO.VPN.
Pour authentifier ce fichier, l'administrateur doit charger VPNCFG et
sélectionner les options de menu suivantes :
Configuration du serveur esclave> Authentifier les informations de
codage
Comparez la valeur de votre message digest avec celle générée à la
console du serveur esclave.
7 Si les messages digest sont identiques, cliquez sur Oui ; dans le cas
inverse, cliquez sur Non.
Des valeurs message digest différentes signifient que les données ont été
altérées.
8 Cliquez sur État.
9 Cliquez sur Synchroniser tout puis sur OK.
Exécutez cette procédure pour chaque serveur esclave devant être ajouté
comme membre du réseau VPN.
Synchronisation des serveurs VPN
Lorsque vous synchronisez les serveurs d'un réseau privé virtuel (VPN), le
serveur maître VPN met à jour tous les serveurs esclave VPN de façon à ce
qu'ils utilisent la nouvelle topologie et les nouvelles clés de codage VPN.
L'état de la synchronisation d'un serveur peut avoir l'une des valeurs
suivantes :
! Mise à jour
La configuration du serveur prend en compte la topologie et les
informations de codage mises à jour. Cet état n'indique pas que les
connexions du tunnel VPN du serveur sont opérationnelles. Utilisez
l'écran Activité pour déterminer l'état des connexions du tunnel VPN.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
! En cours de configuration
Le serveur doit recevoir les informations de codage et de topologie mises
à jour du serveur maître.
! En cours de suppression
Le serveur est supprimé du réseau VPN.
Remarque : Si l'état d'un serveur demeure En cours de configuration ou En cours
de suppression pendant un délai anormalement long, le serveur maître ne parvient
manifestement pas à communiquer avec ce membre VPN. Pour plus
d'informations, reportez-vous à la documentation en ligne relative à VPN.
Pour synchroniser les membres d'un réseau VPN :
1 Dans l'Administrateur NetWare, double-cliquez sur le serveur maître
VPN et sélectionnez la page de configuration de Novell BorderManager
3.7.
3 Sous Activer le service, double-cliquez sur Site à site maître.
4 Cliquez sur État.
La fenêtre État de la synchronisation affiche chaque membre du réseau
VPN, son adresse IP publique et l'état de sa mise à jour.
5 Pour synchroniser tous les serveurs du réseau VPN, cliquez sur
Synchroniser tout.
ou
Pour synchroniser un seul serveur du réseau VPN, sélectionnez son nom
et cliquez sur Synchroniser sélectionné.
Configuration de réseaux VPN site à site spécifiques
Vous pouvez construire votre réseau VPN site à site de plusieurs façons. Selon
la configuration souhaitée, vous devrez effectuer diverses tâches. Les
exemples détaillés suivants sont disponibles dans la documentation en ligne
relative au réseau VPN :
! Utilisation du serveur VPN comme serveur Border
! Utilisation d'un serveur VPN protégé par un pare-feu
! Configuration d'un serveur VPN au sein d'un réseau privé
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Remarque : Pour configurer correctement un réseau VPN particulier, vous devez
absolument vous référer aux exemples de la documentation en ligne relative au
réseau VPN. Les exemples contiennent des procédures qui sont requises pour une
configuration particulière mais qui ne font pas partie des procédures fournies dans
cette publication.
Installation de VPN de client à site
Ce chapitre répertorie les tâches à effectuer pour configurer un réseau VPN de
client à site et pour établir une connexion de client à site. Ce chapitre décrit la
procédure suivante :
Configuration d'un serveur VPN pour prendre en charge les clients VPN
Pour configurer la prise en charge des clients VPN par le serveur VPN :
1 Configurez un serveur NetWare avec le logiciel VPN.
!
Si vous souhaitez que le serveur soit membre d'un réseau VPN de site
à site (maître ou esclave), configurez le serveur VPN de manière à ce
qu'il fasse partie du réseau VPN, comme décrit dans “Configuration
de votre VPN”, page 103 ou à “Configuration de votre VPN”, page
103.
!
Si vous souhaitez que le serveur ne prenne en charge que les clients
à distance et qu'il ne soit pas membre d'un réseau VPN de site à site,
configurez le serveur VPN comme serveur VPN maître, comme
décrit dans “Configuration de votre VPN”, page 103.
!
Vous devez placer le serveur sur un chemin compris entre l'intranet
et Internet. Si vous possédez plusieurs points d'accès à Internet à
partir de votre intranet, vous devez vous assurer que les paquets
provenant de l'intranet peuvent revenir vers le client VPN via le
serveur VPN. Les paquets reviennent au client si vous choisissez le
serveur VPN comme routeur par défaut sur votre réseau, ou si vous
activez NAT sur l'interface privée de votre serveur VPN.
2 Dans l'Administrateur NetWare, double-cliquez sur le serveur VPN
choisi pour la prise en charge des clients et sélectionnez la page de
4 Sous Activer le service, double-cliquez sur Client à site.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
5 (Facultatif) Configurez le paramètre Timeout d'inactivité, si nécessaire.
6 Pour activer le codage des données IPX pour les clients VPN, vous devez
définir le paramètre Client WAN et adresse réseau IPX sur l'adresse de
réseau IPX que les clients VPN utiliseront pour accéder à ce serveur.
Cette adresse doit être unique et ne doit pas correspondre à l'adresse
réseau du serveur ni à l'adresse réseau des adaptateurs LAN du serveur. Si
le client se connecte directement au serveur VPN à l'aide du logiciel
d'accès à distance, l'adresse de réseau IPX que vous avez configurée pour
l'accès à distance s'affiche automatiquement. Si vous modifiez l'adresse
dans ce champ, le logiciel d'accès à distance est mis à jour en fonction de
la nouvelle adresse.
Important : Lorsque la prise en charge IPX est activée pour le client VPN sur les
postes de travail Windows 95 et Windows 98, la connexion IPX du client est
désactivée une fois la connexion VPN IPX établie. Cela peut également être le cas
lorsque le client n'est pas un client VPN et que vous utilisez l'Accès réseau à
distance avec IPX activé.
7 (Facultatif) Si vous ne voulez pas que les clients VPN négocient les
méthodes de codage et d'authentification de données pour la connexion au
serveur VPN, sélectionnez Limiter les clients à l'utilisation de la sécurité
préférée du serveur.
Pour configurer la méthode de sécurité préférée du serveur, sélectionnez
Détails sous Site à site maître ou Site à site esclave.
8 (Facultatif) Si vous souhaitez définir un nombre limité de réseaux avec
lesquels les clients VPN peuvent communiquer en toute sécurité en
codant les données, configurez une liste de réseaux protégés.
Pour ajouter un réseau à la liste, sélectionnez Coder uniquement les
réseaux répertoriés ci-dessous > cliquez sur Ajouter. Sélectionnez
l'adresse réseau et le masque de sous-réseau > cliquez sur OK.
Cette étape est facultative car par défaut, le client code les données à
destination et en provenance de tous les réseaux. En définissant une liste
de réseaux protégés, vous permettez au client VPN d'envoyer du trafic IP
non codé à Internet et de coder uniquement le trafic intranet.
Si votre réseau est de type IPX seulement et que vous ne souhaitez pas
coder le trafic IP, sélectionnez Ne coder aucun paquet IP.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
9 (Facultatif) Cliquez sur Digest pour afficher le résumé des informations
de configuration du serveur VPN.
Ce résumé permet d'authentifier les informations envoyées au client VPN
lorsqu'il essaie de se loguer au serveur VPN.
10 Cliquez sur OK > sélectionnez Règles d'accès de Novell BorderManager
3.7.
11 Pour configurer les utilisateurs, groupes ou conteneurs NDS ou
eDirectory autorisés à utiliser ce serveur VPN, exécutez les étapes
suivantes :
11a Cliquez sur Ajouter.
11b Sélectionnez Client VPN comme type d'accès.
11c Sous Source, sélectionnez Spécifiée > cliquez sur Parcourir.
11d Cliquez sur Ajouter.
11e Sélectionnez un utilisateur, groupe ou conteneur dans la liste d'objets
de l'arborescence NDS ou eDirectory, puis cliquez sur OK.
11f Répétez les étapes pour chaque objet supplémentaire comme requis.
12 Cliquez sur OK jusqu'à ce que vous soyez revenu à la page VPN.
13 Si nécessaire, configurez des règles d'authentification et des méthodes
d'accès.
Les clients VPN peuvent utiliser des périphériques de sécurité tels que
des jetons matériels en plus de leur mot de passe NDS ou eDirectory pour
s'authentifier auprès du serveur VPN. Si un objet Règle de login existe
dans votre arborescence NDS ou eDirectory, il est associé à tous les
serveurs VPN version 3.7 de l'arborescence et il authentifie les
utilisateurs VPN à l'aide des règles d'authentification et des méthodes
d'accès définies dans l'objet.
Si un objet Règle de login figure dans votre arborescence, seuls les
utilisateurs pour lesquels une règle a été définie pour leur méthode
d'authentification peuvent se connecter au serveur VPN.
14 Si les utilisateurs accèdent au serveur VPN à l'aide du logiciel d'accès à
distance, configurez les comptes d'accès à distance correspondants
comme décrit dans Chapitre 6, “Configuration des réseaux privés
virtuels”, page 97.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
15 Fournissez les informations suivantes par messagerie électronique ou par
téléphone aux utilisateurs VPN :
!
Le nom d'utilisateur et le mot de passe NDS ou eDirectory affectés à
chaque utilisateur pour l'arborescence contenant le serveur VPN
!
L'adresse IP du serveur VPN si les utilisateurs accèdent au serveur
VPN via un fournisseur de services Internet (ISP).
!
Si les utilisateurs se connectent directement au serveur VPN, les
informations d'accès à distance (numéro de téléphone et mot de passe
d'accès à distance)
!
(Facultatif) Le résumé des informations de configuration du serveur
VPN
Installation d'un client VPN à distance ou LAN sur un poste de travail Windows 95,
Windows 98 ou Windows NT
Pour installer un client VPN sur un poste de travail Windows 98, Windows
2000, Windows XP, Windows Me ou Windows NT :
1 Si vous utilisez un client à distance, vérifiez que le poste de travail
possède un modem et qu'il a été configuré.
2 Insérez le CD-ROM du client VPN et démarrez le programme
d'installation.
3 Suivez les instructions en ligne du programme d'installation. À l'invite,
insérez le CD-ROM Windows 98, Windows 2000, Windows XP,
Windows Me ou Windows NT qui contient le logiciel client Novell fourni
avec Novell BorderManager 3.7.
4 Redémarrez le poste de travail à l'invite.
Si l'installation s'est déroulée correctement, la carte réseau VPN Novell
s'affiche dans le Panneau de configuration Réseau Windows 98, Windows
2000, Windows XP, Windows Me ou Windows NT. Pour les systèmes
Windows NT, le client VPN de Novell BorderManager 3.7 figure sous
l'onglet Services dans la section Réseau du Panneau de configuration.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Configuration d'un client VPN à distance sur un poste de travail Windows 98,
Windows 2000, Windows XP, Windows Me ou Windows NT
Une entrée d'accès à distance par défaut nommée Novell VPN est créée
automatiquement pour le client VPN lors de l'installation. Cette entrée d'accès
à distance peut être utilisée pour la connexion à votre ISP en démarrant votre
logiciel de login VPN. Utilisez la boîte de dialogue VPN Login pour
configurer divers paramètres avant de vous connecter à votre ISP. Ces
paramètres incluent les propriétés d'appel, l'emplacement d'appel, le type de
modem utilisé et le numéro de téléphone, qui peut être entré manuellement ou
sélectionné dans un annuaire Si vous ne voulez pas utiliser l'entrée d'accès à
distance par défaut, créez une nouvelle entrée à l'aide de l'Accès réseau à
distance de Microsoft.
Pour créer et configurer une nouvelle entrée d'accès à distance sur un poste de
travail Windows 98, Windows 2000, Windows XP, Windows Me ou Windows
NT :
1 Créez une entrée d'accès à distance.
1a Double-cliquez sur Établir une nouvelle connexion.
1b Entrez le nom de l'entrée d'accès à distance et sélectionnez le modem.
1c Cliquez sur Suivant et entrez l'indicatif local, le numéro de téléphone
et l'indicatif international.
1d Cliquez sur Suivant, puis sur Terminer pour achever la création de
l'entrée d'accès à distance.
2 Pour les clients Windows 98, Windows 2000, Windows XP et Windows
Me, définissez le type de serveur pour l'entrée d'accès à distance. Pour les
clients Windows NT, ne modifiez pas les paramètres par défaut.
2a Cliquez avec le bouton droit de la souris sur l'entrée d'accès à
distance et sélectionnez Propriétés ou sélectionnez l'entrée d'accès à
distance et sélectionnez Propriétés dans le menu Fichier.
2b Choisissez l'option Type de serveur.
2c Définissez le paramètre Type of Dial-Up Server (Type de serveur à
distance) sur Novell Virtual Private Network (Réseau privé virtuel
Novell).
2d Cliquez sur OK pour enregistrer vos modifications.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Login depuis un client VPN
Utilisez le login VPN à distance si vous voulez utiliser l'entrée d'Accès réseau
à distance de Microsoft pour vous connecter à votre ISP.
Utilisez le login VPN LAN si vous êtes déjà connecté à votre ISP via un
modem câble, un périphérique ADSL, une connexion LAN ou une connexion
d'accès à distance établie.
Pour vous loguer depuis un client VPN, procédez comme suit :
1 Démarrez le login VPN de l'une des manières ci-dessous et attendez que
la boîte de dialogue Login VPN Novell apparaisse :
!
Double-cliquez sur l'une des icônes Login VPN créées
automatiquement lors de l'installation du client.
!
Pour les clients Windows 98 et Windows Me, sélectionnez
Démarrer > Programmes > Novell > Client VPN de Novell
BorderManager 3.7 > Login VPN à distance ou Login VPN LAN.
!
Pour les clients Windows NT, sélectionnez Démarrer >
Programmes > NetWare > Client VPN de
Novell BorderManager 3.7 > Login VPN à distance ou
Login VPN LAN.
!
Sur les postes de travail Windows 98 et Windows Me, double-cliquez
sur l'entrée VPN à distance. Le programme Login VPN est lancé
lorsque la connexion d'accès à distance spécifiée est établie.
2 Sélectionnez l'onglet Login NetWare dans la boîte de dialogue Login
VPN Novell et entrez les informations suivantes :
!
Nom d'utilisateur NDS ou eDirectory
!
Mot de passe NDS ou eDirectory
!
Contexte NDS ou eDirectory
!
Adresse IP du serveur VPN
L'adresse IP peut être suivie d'un espace et d'une description.
103-000242-001
April 19, 2002
Novell Confidential
Manual
!
29
Mot de passe jeton (facultatif)
Ce mot de passe est nécessaire uniquement si vous avez configuré
l'objet Règle de login en l'assortissant de règles imposant aux clients
VPN d'utiliser un périphérique de sécurité tel qu'un jeton matériel en
plus de leur mot de passe NDS ou eDirectory. Consultez la
documentation en ligne relative aux services d'authentification pour
plus d'informations sur la façon de générer le mot de passe jeton et
de configurer les règles d'authentification.
Une fois le client correctement authentifié, ces informations (à
l'exception du mot de passe) sont enregistrées par le client VPN dans le
registre du poste de travail et sont présentées à l'utilisateur lors de sa
prochaine interaction avec le client VPN. Les dernières entrées utilisées
pour le nom et l'adresse IP sont enregistrées et affichées.
3 Pour les connexions à distance, sélectionnez l'onglet Connexion à
distance, puis sélectionnez un nom d'entrée VPN à distance à partir de la
liste des entrées configurées.
4 (Facultatif) Entrez le nom d'utilisateur et le mot de passe d'accès à
distance si vous ne vous êtes jamais connecté avec cette entrée d'accès à
distance ou si votre mot de passe n'a pas été enregistré.
Pour configurer le numéro de téléphone et d'autres propriétés d'appel,
sélectionnez Paramètres. Vous pouvez remplacer le numéro de téléphone
et le mot de passe d'accès à distance configurés dans l'entrée d'accès à
distance en sélectionnant ou en entrant de nouvelles valeurs.
5 (Facultatif) Si votre ISP utilise la fonction de proxy RADIUS pour
authentifier les utilisateurs, cliquez sur Utiliser un nom NetWare et
affectez au Domaine RADIUS le nom utilisé par l'ISP pour identifier le
domaine qui contient l'utilisateur lorsqu'il fait office de proxy de demande
d'authentification.
Le nom utilisé pour l'authentification d'accès à distance correspond au
nom d'utilisateur NetWare et au contexte suivis du domaine RADIUS que
vous entrez. Par exemple, si le nom d'utilisateur est Utilisateur1, le
contexte Ingénierie.ACME, et le domaine RADIUS acme.com, alors le
nom utilisé pour l'authentification d'accès à distance sera
.Utilisateur1.Ingé[email protected].
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
6 Sélectionnez l'onglet Options NetWare et effectuez votre sélection parmi
les options suivantes :
!
Activer le codage IPX : permet au client VPN de communiquer avec
le serveur VPN via IPX.
Remarque : Si vous avez configuré votre logiciel client Novell de façon à ce
qu'il utilise le pilote CMD (Compatibility Mode Driver), vous pouvez utiliser ce
pilote pour accéder aux services IPX via le réseau VPN, au lieu d'activer IPX.
!
Se loguer à NetWare : permet une connexion automatique à NetWare
une fois le tunnel codé établi avec le serveur VPN.
!
Supprimer la connexion actuelle : détermine si la connexion
remplace les connexions existantes ou s'y ajoute.
!
Exécuter les scripts : exécute automatiquement votre script de login
utilisateur.
!
Afficher la fenêtre de résultats : affiche automatiquement le résultat
du traitement du script de login.
!
Fermer automatiquement les résultats du script : ferme
automatiquement la page de résultats du traitement de script lorsque
la connexion est établie.
7 Cliquez sur l'onglet Programme de lancement pour définir l'application
lancée une fois le tunnel codé établi avec le serveur VPN.
8 Cliquez sur OK pour vous connecter au serveur VPN.
9 Si l'on vous demande de comparer le résumé des informations
d'authentification aux informations distribuées par l'administrateur,
cliquez sur OK si les valeurs concordent.
Cette invite ne s'affiche que si vous vous connectez à ce serveur VPN à
partir de ce poste de travail pour la première fois ou si le serveur VPN a
recréé ses clés.
10 (Facultatif) Cliquez sur l'onglet État VPN pour visualiser la progression
de la connexion VPN.
Une fois la connexion établie, une icône Client VPN apparaît dans la
barre des tâches. Double-cliquez sur cette icône pour afficher les
statistiques du client VPN pour cette session. Pour plus d'informations sur
les statistiques du client VPN, reportez-vous à la documentation en ligne
relative au réseau VPN.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
11 Pour mettre fin à votre connexion VPN, double-cliquez sur l'icône
Statistiques VPN, puis sur Déconnecter.
Sur les systèmes Windows NT, ne terminez pas votre session en
interrompant votre connexion d'accès à distance à l'aide du Moniteur
d'accès à distance. Vous devez terminer votre connexion VPN à partir de
l'écran Statistiques VPN.
Configurations de réseaux VPN client à site spécifiques
Vous pouvez construire votre réseau VPN client à site de plusieurs façons.
Selon la configuration souhaitée, vous devrez effectuer diverses tâches. Les
exemples détaillés suivants sont disponibles dans la documentation en ligne
relative au réseau VPN :
! Utilisation du client pour se connecter à un ISP et pour se connecter au
serveur VPN via Internet
! Utilisation du client pour se connecter directement au serveur VPN
! Utilisation du client pour se connecter au serveur VPN via une connexion
LAN ou un modem câble
Remarque : Pour configurer correctement un réseau VPN particulier, vous devez
absolument vous référer aux exemples de la documentation en ligne relative au
réseau VPN. Les exemples contiennent des procédures qui sont requises pour une
configuration particulière mais qui ne font pas partie des procédures fournies dans
cette publication.
Mise à niveau VPN à partir d'une version antérieure
Ce chapitre décrit la mise à niveau à partir du logiciel VPN Novell inclus dans
la version 3.5 ou 3.6 de BorderManager vers la version actuelle (version 3.7).
Ce chapitre décrit la procédure suivante :
! “Mise à niveau VPN à partir d'une version antérieure”, page 119
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Vous disposez de deux méthodes pour la mise à niveau de la version 3.5 ou 3.6
vers la version 3.7 :
! Il est possible de reconfigurer tous les serveurs VPN simultanément,
pendant la nuit ou pendant un week-end. Dans ce cas, le nouveau logiciel
doit être installé et les informations de codage doivent être regénérées
pour tous les serveurs VPN.
! Un nouveau serveur maître VPN peut être configuré pour fonctionner en
parallèle avec le serveur maître existant de version 3.5 ou 3.6 et les
serveurs esclave peuvent être mis à niveau vers le nouveau réseau l'un
après l'autre.
La première méthode présente l'avantage de ne requérir aucun nouvel
équipement ni aucune nouvelle connexion via un fournisseur de services
Internet (ISP) pour exécuter un nouveau serveur maître VPN en parallèle avec
le serveur maître existant de la version 3.5 ou 3.6. Cependant, pour que tous
les serveurs de version 3.5 ou 3.6 soient convertis sans interruption de service,
prévoyez une période de mise hors service suffisante. Le temps nécessaire au
transfert des informations de codage vers et depuis chaque serveur esclave
doit être pris en compte.
La seconde méthode nécessite un ordinateur supplémentaire destiné à être
utilisé comme nouveau serveur maître VPN qui fonctionne en parallèle avec
le serveur maître existant de version 3.5 ou 3.6. Cette méthode présente
l'avantage de permettre une mise à niveau étalée dans le temps sans engendrer
d'interruption de service. Les serveurs esclaves VPN qui demeurent sur le
VPN existant peuvent encore communiquer les uns avec les autres, mais ne
peuvent pas communiquer avec les membres VPN du nouveau VPN tant que
la mise à niveau n'est pas achevée.
Utilisez la seconde méthode dans les cas suivants :
! Le serveur maître VPN se trouve derrière un routeur.
Cette procédure est décrite dans “Mise à niveau VPN à partir d'une
version antérieure”, page 119. Utilisez cette même procédure si vous
souhaitez remplacer le serveur maître existant au lieu d'ajouter un
nouveau serveur maître en parallèle.
! Le serveur maître VPN est connecté directement au fournisseur de
services Internet.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Dans ce cas, vous disposez de deux possibilités :
! Ajoutez un serveur maître de la nouvelle version sur un LAN derrière
l'ordinateur qui fait office de serveur maître existant de version 3.5
ou 3.6.
Dans ce cas, un autre ordinateur doit être utilisé comme nouveau
serveur maître de version 3.7. Cependant, ce scénario est préférable
en termes de performances. Cette procédure est décrite dans “Mise à
niveau VPN à partir d'une version antérieure”, page 119.
! Remplacez le serveur maître existant de version 3.5 ou 3.6 par un
nouveau serveur maître VPN 3.7 et utilisez la connexion ISP
existante avec le nouveau serveur maître de version 3.7.
Cette option ne nécessite aucune autre machine pour le nouveau
serveur maître de la version 3.7. Cependant, il existe un
inconvénient : après la suppression du serveur maître de la version
3.5 ou 3.6, les serveurs esclaves de la version 3.5 ou 3.6 restants ne
peuvent pas être gérés à l'aide du serveur maître tant qu'ils n'ont pas
été mis à niveau vers le nouveau réseau VPN. Cette procédure est
décrite dans “Mise à niveau VPN à partir d'une version antérieure”,
page 119.
Mise à niveau lors d'une mise hors service totale du réseau VPN
Pour mettre à niveau les sites de version 3.5 ou 3.6 vers la version 3.7 lors de
l'arrêt total du VPN, procédez comme suit :
1 Installez et configurez le logiciel du nouveau VPN sur le serveur maître.
Reportez-vous à “Configuration de votre VPN”, page 103 pour des
instructions détaillées.
2 Configurez les serveurs esclaves et regénérez la clé de chaque nouveau
serveur esclave à l'aide des informations de codage maître générées par le
nouveau serveur maître.
3 Ajoutez chaque serveur esclave au VPN.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Mise à niveau lorsque le serveur maître se trouve derrière un routeur
Pour mettre à niveau les sites de version 3.5 ou 3.6 vers la version 3.7 avec le
serveur maître derrière un routeur, procédez comme suit :
1 Désignez l'ordinateur qui sera utilisé comme nouveau serveur maître
VPN.
2 Tout en laissant fonctionner les serveurs esclaves et le serveur maître
VPN d'origine, installez et configurez le nouveau serveur maître sur le
même LAN.
Important : N'interrompez pas le fonctionnement du serveur maître VPN
d'origine avant d'y être invité ultérieurement au cours de cette procédure.
3 Sélectionnez un serveur esclave devant être mis à niveau vers le nouveau
réseau, supprimez le serveur esclave du réseau d'origine et ajoutez-le au
nouveau réseau.
Reportez-vous à la documentation en ligne relative au réseau VPN et à
“Configuration de votre VPN”, page 103 pour des instructions détaillées.
4 Regénérez la clé du nouveau serveur esclave à l'aide des informations de
codage maître générées par le nouveau serveur maître.
5 Répétez les étapes pour chaque serveur esclave jusqu'à ce que tous les
serveurs esclave soient supprimés du réseau d'origine et ajoutés au
nouveau réseau.
6 Une fois la mise à niveau de tous les serveurs esclaves vers le nouveau
VPN achevée, mettez le serveur maître d'origine hors service et
déconnectez-le.
7 Effectuez les procédures décrites dans “Configuration de votre VPN”,
page 103, selon les besoins.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Mise à niveau avec un second serveur maître situé derrière un
routeur
Pour mettre à niveau les sites de version 3.5 ou 3.6 vers la version 3.7 avec un
second serveur maître derrière un routeur, procédez comme suit :
1 Désignez l'ordinateur qui sera utilisé comme nouveau serveur maître
VPN.
2 Tout en laissant fonctionner les serveurs esclaves et le serveur maître
VPN d'origine, installez et configurez le nouveau serveur maître sur le
LAN, derrière le serveur maître VPN d'origine.
Important : N'interrompez pas le fonctionnement du serveur maître VPN
d'origine avant d'y être invité ultérieurement au cours de cette procédure.
nouveau réseau.
nouveau réseau.
6 Une fois la mise à niveau de tous les serveurs esclaves vers le nouveau
VPN achevée, mettez le serveur maître d'origine hors service et
déconnectez-le.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Mise à niveau à l'aide d'un serveur de remplacement d'un serveur
maître existant
Pour mettre à niveau les sites de version 3.5 ou 3.6 vers la version 3.7 en
utilisant un serveur de remplacement d'un serveur maître existant, procédez
comme suit :
1 Tout en laissant fonctionner les serveurs esclaves de version 3.5 ou 3.6,
installez et configurez le logiciel version 3.7 sur le serveur maître
d'origine de version 3.5 ou 3.6 et utilisez la même connexion ISP.
nouveau réseau.
nouveau réseau.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
avancées
il existe des procédures de configuration ou de gestion avancées qui peuvent
s'avérer nécessaires selon votre configuration spécifique. Les tâches avancées
sont décrites dans Configuration avancée des réseaux privés virtuels et
! Sélection des protocoles réseau sur votre réseau VPN
! Spécification des réseaux protégés par un réseau VPN site à site
! Configuration des méthodes de codage et d'authentification des données
! Sélection de l'initialisation unilatérale ou bilatérale de la connexion
! Ajustement du délai de réponse du serveur VPN
! Réglage de la synchronisation des serveurs maître-esclave
! Synchronisation des serveurs VPN
! Suppression d'un serveur esclave d'un réseau VPN
! Sélection de votre topologie VPN
103-000242-001
April 19, 2002
Novell Confidential
Manual
103-000242-001
April 19, 2002
Novell Confidential
29
Manual
7
29
Configuration du contrôle d'accès
Le contrôle d'accès est le processus qui permet de réglementer et de surveiller
l'accès des utilisateurs à Internet et aux services de l'intranet. Ainsi, le logiciel
de contrôle d'accès de Novell® BorderManager® 3.7 se charge d'autoriser ou
de refuser les demandes d'accès établies via la Passerelle IP Novell, les
services Proxy ou un client du réseau privé virtuel (VPN).
Lorsque vous avez activé le proxy HTTP de Novell BorderManager 3.7 pour
toutes les interfaces privées lors de l'installation du logiciel, le contrôle d'accès
a été activé par défaut. L'ensemble du trafic proxy HTTP qui transite par
l'interface privée est refusé tant que vous n'avez pas configuré de règle d'accès
pour autoriser de façon spécifique l'accès des utilisateurs au proxy HTTP.
Lorsque le contrôle d'accès est activé, la liste de contrôle d'accès (ACL)
contenant les règles d'accès s'applique également à la Passerelle IP Novell,
aux proxies d'application et aux clients VPN qui essaient de se connecter à un
serveur VPN.
Une règle d'accès peut être créée pour un objet Pays (C), Organisation (O),
Unité organisationnelle (OU) ou Serveur. Ce chapitre explique comment
configurer un contrôle d'accès élémentaire de façon à ce que les utilisateurs
puissent utiliser les services Novell BorderManager 3.7 que vous avez activés.
Ce chapitre se compose des sections suivantes :
! “Configuration d'une règle URL”, page 128
! “Configuration d'une règle autorisant l'accès via la Passerelle IP Novell”,
page 130
! “Configuration d'une règle autorisant l'accès via un proxy d'application”,
page 132
! “Définition d'une règle autorisant les clients VPN à accéder aux serveurs
VPN”, page 134
Configuration du contrôle d'accès 127
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
! “Configuration d'une règle qui autorise le serveur à résoudre les noms
d'hôte”, page 135
! “Configuration des restrictions horaires pour les règles d'accès”, page 136
! “Affichage de toutes les règles s'appliquant à un objet”, page 137
Remarque : Ce chapitre décrit les tâches requises pour la configuration initiale du
contrôle d'accès. Pour obtenir des informations sur la planification et le concept du
contrôle d'accès, reportez-vous au Guide de présentation et de planification de
Novell BorderManager 3.7, disponible dans la documentation en ligne. Assurezvous de bien comprendre ces informations avant de configurer le contrôle d'accès.
Configuration d'une règle URL
Les règles d'accès URL s'appliquent aux utilisateurs qui accèdent aux sites
Web via un proxy HTTP ou la Passerelle IP Novell. Si vous avez activé le
proxy HTTP pour toutes les interfaces privées lors de l'installation, la façon la
plus simple de permettre aux utilisateurs d'accéder au proxy HTTP est de créer
une règle qui autorise n'importe quelle source du réseau privé à accéder à
n'importe quelle cible.
Pour créer une règle d'accès pour un URL :
1 Dans l'Administrateur NetWare®, cliquez à l'aide du bouton droit de la
souris sur l'objet dans lequel les règles de contrôle d'accès doivent être
créées, puis sélectionnez Détails.
2 Sélectionnez la page Règles d'accès de Novell BorderManager 3.7, puis
cliquez sur Ajouter.
3 Dans la page Définition d'une règle d'accès, spécifiez Autoriser (valeur
par défaut) pour l'opération.
4 Sous Type d'accès, sélectionnez URL.
5 Dans Source, sélectionnez N'importe laquelle afin d'appliquer la règle à
tous les objets NDS® ou Novell eDirectoryTM, les noms d'hôtes DNS
(Domain Name System), les adresses IP et les sous-réseaux. Sinon,
sélectionnez les utilisateurs, les groupes ou les hôtes de la manière
suivante :
5a Cliquez sur Spécifiée, puis sur Parcourir.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
5b Spécifiez un objet NDS ou eDirectory, un nom d'hôte DNS, une
adresse IP ou une plage d'adresses, ou une adresse de sous-réseau (y
compris le masque de sous-réseau correspondant), puis cliquez sur
Ajouter.
Pour spécifier le nom d'hôte DNS, vous pouvez utiliser le caractère
générique (*).
5c Ajoutez des sources.
5d Après avoir ajouté les sources souhaitées, cliquez sur OK.
6 Sous Cible, sélectionnez N'importe lequel afin d'appliquer la règle à tout
URL, sinon, sélectionnez Spécifiée et procédez comme suit :
6a Cliquez sur Parcourir >Ajouter.
6b Tapez l'URL incomplet (www.novell.com, par exemple) et cliquez
sur OK.
6c Répétez cette procédure pour ajouter d'autres URL, si nécessaire.
Remarque : Vous pouvez utiliser des caractères génériques dans les URL.
Sachez cependant que le proxy HTTP et la Passerelle IP Novell n'appliquent pas
les règles qui contiennent des caractères génériques de la même manière. Le
proxy HTTP met en vigueur une règle avec un caractère générique dans le nom
d'hôte d'un URL, ce qui n'est pas le cas de la Passerelle IP Novell. Par exemple,
le proxy HTTP appliquent les règles pour http://*.novell.*, http://*novell.* et http://
www.*.com, tandis que la Passerelle IP Novell les ignore. La Passerelle IP Novell
applique les règles contenant un caractère générique uniquement lorsque celui-ci
représente tous les liens à partir d'une page d'accueil (par exemple, http://
www.novell.com/*).
7 (Facultatif) Si vous souhaitez que le serveur enregistre toutes les
tentatives d'accès correspondant à la règle, cliquez sur Activer la
consignation d'occurrence de règle.
Les tentatives d'accès peuvent altérer les performances du serveur. Il est
toutefois recommandé d'effectuer ce type d'opération pour détecter
d'éventuelles activités non autorisées.
8 Cliquez sur OK, si nécessaire, pour revenir à la page Règles d'accès de
Novell BorderManager 3.7 > cliquez sur OK pour mettre à jour les règles
d'accès.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Configuration d'une règle autorisant l'accès via la
Passerelle IP Novell
Les règles d'accès créées pour les ports s'appliquent aux utilisateur logués à
partir d'une passerelle IP Novell ou d'un client SOCKS. Ce chapitre décrit
comment créer une règle d'accès pour un port.
Pour permettre aux utilisateurs d'accéder à des services spécifiques via la
Passerelle IP Novell :
1 Dans l'Administrateur NetWare, cliquez à l'aide du bouton droit de la
2 Sélectionnez la page Règles d'accès de Novell BorderManager 3.7 >
par défaut).
4 Sous Type d'accès, sélectionnez Port.
5 Spécifiez les informations suivantes sous Détails d'accès :
!
Sélectionnez un service à partir du menu déroulant Service.
!
Entrez le port du serveur d'origine ou une plage de ports.
!
Sélectionnez un protocole de transport à partir du menu déroulant
Transport.
tous les objets NDS ou eDirectory, noms d'hôtes DNS (Domain Name
System), adresses IP et sous-réseaux, puis cliquez sur OK. Sinon,
sélectionnez les utilisateurs, les groupes ou les hôtes de la manière
suivante :
6b Spécifiez un objet NDS ou eDirectory, un nom d'hôte DNS, une
adresse IP ou une plage d'adresses, ou une adresse de sous-réseau (y
compris le masque de sous-réseau correspondant), puis cliquez sur
Ajouter.
générique (*).
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
7 Sous Cible, sélectionnez N'importe laquelle afin d'appliquer la règle à
toute cible > cliquez sur OK. Sinon, sélectionnez les cibles de la manière
suivante :
7a Cliquez sur Spécifiée > Parcourir.
7b Spécifiez un nom d'hôte DNS, une adresse IP ou une plage d'adresses
ou une adresse de sous-réseau, en incluant le masque de sous-réseau
correspondant, puis cliquez sur Ajouter.
générique (*).
7c Ajoutez des cibles.
7d Après avoir ajouté les cibles souhaitées, cliquez sur OK.
Important : Si vous créez une règle permettant d'accéder à n'importe
quelle cible dont le nom d'hôte doit être défini via un serveur DNS, vous devez
créer une autre règle permettant au serveur Novell BorderManager 3.7 de
résoudre le nom d'hôte. Reportez-vous à “Configuration d'une règle qui
autorise le serveur à résoudre les noms d'hôte”, page 135.
9 Cliquez sur OK pour fermer la page Définition d'une règle d'accès.
10 Répétez les étapes pour chacun des services que vous souhaitez mettre à
la disposition des utilisateurs.
d'accès.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Configuration d'une règle autorisant l'accès via un
proxy d'application
Si vous définissez des règles de port qui autorisent les services HTTP (port
80), FTP (port 21), Telnet (port 23), SMTP (Simple Mail Transport Protocol)
(port 25), NNTP (Network News Transfer Protocol) (port 119) ou RealAudio*
(port 7070), celles-ci s'appliquent uniquement lorsque les utilisateurs accèdent
à ces services via la passerelle Novell IP. Lorsqu'un utilisateur accède à un
proxy d'application, ces règles sont ignorées. Si vous souhaitez que des règles
similaires s'appliquent aux utilisateurs qui accèdent à ces services via un proxy
d'application, vous devez configurer des règles d'accès individuellement pour
chaque proxy.
Pour créer une règle d'accès pour un service proxy :
par défaut).
4 Sous Type d'accès, sélectionnez Proxy d'application.
5 Sous Détails d'accès, sélectionnez un proxy dans le menu déroulant.
Le numéro de port s'inscrit automatiquement. Si vous avez sélectionné le
proxy de news, un menu déroulant s'ajoute et vous permet de spécifier la
direction : Enregistrement ou Lecture.
System), adresses IP et sous-réseaux. Sinon, sélectionnez les utilisateurs,
les groupes ou les hôtes de la manière suivante :
6b Si vous n'avez pas sélectionné la messagerie SMTP ou le proxy de
news, spécifiez un objet NDS ou eDirectory, un nom d'hôte DNS,
une adresse IP ou une plage d'adresses, ou un sous-réseau (y compris
son masque de sous-réseau) > cliquez sur Ajouter.
générique (*).
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Si vous avez sélectionné le proxy RealAudio, TCP générique, UDP
générique ou Telnet, vous pouvez spécifier une adresse IP ou une
adresse de sous-réseau uniquement.
6c Si vous avez sélectionné le proxy Messagerie SMTP, spécifiez un
utilisateur ou un nom de domaine de messagerie pour désigner tous
les utilisateurs du domaine, puis cliquez sur Ajouter.
6d Si vous avez sélectionné Proxy de news et Enregistrement comme
direction, spécifiez un utilisateur de messagerie, puis cliquez sur
Ajouter.
6e Répétez les étapes pour ajouter des sources.
6f Après avoir ajouté les sources souhaitées, cliquez sur OK.
toute cible ; sinon, sélectionnez les cibles de la manière suivante :
7b Si vous n'avez pas sélectionné la messagerie SMTP ou le proxy de
news, spécifiez un nom d'hôte DNS, une adresse IP ou une plage
d'adresses, ou un sous-réseau (y compris son masque de sousréseau), puis cliquez sur Ajouter.
générique (*).
7c Si vous avez sélectionné le proxy Messagerie SMTP, spécifiez un
utilisateur ou un nom de domaine de messagerie pour désigner tous
les utilisateurs du domaine, puis cliquez sur Ajouter.
7d Si vous avez sélectionné Proxy de news, spécifiez un nom de groupe
de discussion, puis cliquez sur Ajouter.
7e Répétez les étapes pour ajouter des cibles.
7f Après avoir ajouté les cibles souhaitées, cliquez sur OK.
Important : Si vous créez une règle permettant d'accéder à n'importe
quelle cible dont le nom d'hôte doit être défini via un serveur DNS, vous devez
créer une autre règle permettant au serveur Novell BorderManager 3.7 de
résoudre le nom d'hôte. Reportez-vous à “Configuration d'une règle qui
autorise le serveur à résoudre les noms d'hôte”, page 135.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Novell BorderManager 3.7, puis sur OK pour mettre à jour les règles
d'accès.
Définition d'une règle autorisant les clients VPN à
accéder aux serveurs VPN
Les règles d'accès pour les clients VPN s'appliquent à la fois aux clients VPN
LAN et aux clients VPN qui essaient de se connecter à un serveur VPN à l'aide
d'une connexion à distance.
Pour créer une règle d'accès pour un client VPN :
par défaut).
4 Sous Type d'accès, sélectionnez Client VPN.
System), adresses IP et sous-réseaux. Sinon, sélectionnez les utilisateurs,
les groupes ou les hôtes de la manière suivante :
5a Cliquez sur Spécifiée > cliquez sur Parcourir.
5b Cliquez sur Ajouter, effectuez une sélection parmi les objets
disponibles de l'arborescence NDS ou eDirectory > cliquez sur OK.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
tout serveur VPN dans l'arborescence NDS ou eDirectory, ou
sélectionnez les cibles de la manière suivante :
6b Cliquez sur Ajouter, effectuez une sélection parmi les objets Serveur
disponibles dans l'arborescence NDS ou eDirectory > cliquez sur
OK.
6d Après avoir ajouté les cibles souhaitées, cliquez sur OK.
d'accès.
Configuration d'une règle qui autorise le serveur à
résoudre les noms d'hôte
Si vous créez des règles qui autorisent l'accès aux cibles de noms d'hôte qui
doivent être résolues par un serveur de nom DNS, vous devez créer une autre
règle dans l'objet Organisation (O) ou Unité organisationnelle (OU) qui
contient le serveur Novell BorderManager 3.7 afin de permettre au serveur de
résoudre les noms d'hôte.
Pour créer une règle d'accès permettant au serveur d'accéder à un hôte DNS
pour résoudre un nom d'hôte :
2 Sélectionnez la page Règles d'accès de Novell BorderManager 3.7, puis
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
par défaut).
4 Sous Type d'accès, sélectionnez DNS.
Le numéro du port 53 apparaît dans le champ Port. L'autorisation d'accès
sortant donnée au port 53 permet au serveur Novell BorderManager 3.7
d'émettre une requête DNS.
5 Sous Source, sélectionnez N'importe laquelle.
6 Sous Cible, sélectionnez N'importe laquelle pour permettre à tout serveur
de nom DNS de résoudre le nom d'hôte ou sélectionnez les cibles de la
manière suivante :
6b Spécifiez un nom d'hôte DNS > cliquez sur Ajouter.
générique (*).
7 Après avoir ajouté les cibles souhaitées > cliquez sur OK.
d'accès.
Configuration des restrictions horaires pour les règles
d'accès
Par défaut, les règles d'accès que vous créez sont en vigueur 24 heures sur 24
et 7 jours sur 7. Si vous souhaitez spécifier les heures de mise en vigueur des
règles d'accès, vous pouvez configurer une restriction d'heure pour chaque
règle pour qu'elle ne soit applicable qu'à une partie de la journée ou de la
semaine.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Pour associer des restrictions horaires à une règle d'accès :
souris sur l'objet dans lequel les règles de contrôle d'accès ont été créées,
puis sélectionnez Détails.
2 Sélectionnez la page Règles d'accès de Novell BorderManager 3.7.
3 Dans la liste des règles d'accès, mettez en surbrillance la règle à laquelle
vous souhaitez affecter des restrictions d'heures. Cliquez sur Restrictions
des heures, puis sur Spécifiée.
4 Dans la grille, sélectionnez les jours et plages horaires pendant lesquels
vous souhaitez appliquer la règle d'accès.
Si une zone est en surbrillance, cela signifie que la règle d'accès
s'applique à la source uniquement pendant cet horaire. Pour revenir au
paramètre de mise en vigueur de la règle en permanence, cliquez sur
Aucun(e).
5 Cliquez sur OK pour revenir à la page Règles d'accès de Novell
BorderManager 3.7 puis de nouveau sur OK pour mettre à jour les règles
d'accès.
Affichage de toutes les règles s'appliquant à un objet
Les règles d'accès pouvant être appliquées à différentes classes d'objets dans
une arborescence NDS ou eDirectory, plusieurs règles peuvent être imposées
à un même objet. Les règles effectives pour un objet vont toutes, dans l'ordre
d'exécution, de l'objet Serveur à la racine de l'arborescence NDS ou
eDirectory.
Pour afficher les règles appliquées à un objet :
1 Sur un poste de travail administrateur, loguez-vous à l'arborescence NDS
ou eDirectory du serveur Novell BorderManager 3.7 et lancez
l'Administrateur NetWare.
2 Dans l'arborescence NDS ou eDirectory, recherchez l'objet source pour
lequel vous souhaitez afficher les règles d'accès > cliquez sur l'objet avec
le bouton droit de la souris et sélectionnez Détails.
L'objet sélectionné doit être un serveur, une organisation, une unité
organisationnelle ou un pays.
3 Sélectionnez la page Règles d'accès de Novell BorderManager 3.7.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
4 Cliquez sur Règles en vigueur.
Une nouvelle fenêtre affiche toutes les règles d'accès dans l'ordre de leur
application.
Remarque : Les nouvelles règles d'accès ne s'affichent pas dans la liste des
règles effectives tant que le serveur n'est pas mis à jour (Rafraîchir le serveur) car
elles ne sont pas encore enregistrées dans l'arborescence NDS ou eDirectory.
avancées
avancées sont décrites dans Gestion du contrôle d'accès et traitent des
sujets suivants :
! Affichage des entrées de connexion d'un utilisateur
! Affichage des descriptions de règles
! Affichage des entrées des hôtes
! Affichage des tendances d'utilisation
103-000242-001
April 19, 2002
Novell Confidential
Manual
8
29
Configuration des services
d'authentification
Les services d'authentification de Novell® BorderManager® 3.7 permettent
aux utilisateurs à distance de se connecter aux réseaux NetWare® et d'accéder
aux informations et aux ressources réseau. Ils garantissent la sécurité en
demandant aux utilisateurs de s'authentifier à l'aide du protocole RADIUS
(Remote Authentication Dial-In User Service). Ils regroupent les trois
composants suivants :
! Serveur RADIUS (serveur NetWare sur lequel les services
d'authentification de Novell BorderManager 3.7 sont installés)
! Serveur d'accès réseau (moyen de connexion des utilisateurs à distance)
! Poste de travail d'administration (Administrateur NetWare)
Ce chapitre comprend les informations suivantes :
! “Conditions préalables relatives aux services d'authentification de Novell
BorderManager 3.7”, page 140
! “Mise à niveau à partir d'une version antérieure”, page 141
! “Création d'un objet Système d'accès à distance”, page 142
! “Création d'un objet Profil d'accès à distance”, page 145
! “Activation d'un utilisateur pour les services d'accès à distance”, page 147
! “Démarrage des services d'authentification de Novell BorderManager
3.7”, page 149
! “Test des services d'authentification de Novell BorderManager 3.7”, page
150
Configuration des services d'authentification 139
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Remarque : Ce chapitre décrit les tâches requises pour configurer, démarrer et
tester la mise en oeuvre initiale des services d'authentification de Novell
BorderManager 3.7. Pour obtenir des informations sur la planification et le concept
des services d'authentification de Novell BorderManager 3.7, reportez-vous au
informations avant de configurer les services d'authentification de Novell
BorderManager 3.7.
Conditions préalables relatives aux services
d'authentification de Novell BorderManager 3.7
Avant de configurer les services d'authentification de Novell BorderManager
3.7, vérifiez que les conditions préalables ont été remplies :
! TCP/IP est configuré et fonctionne sur le serveur RADIUS et le serveur
d'accès réseau.
! Le serveur d'accès réseau est compatible avec RADIUS (IETF RFC 2138
et RFC 2139 pour la prise en charge de la facturation).
! L'authentification RADIUS est activée sur le serveur d'accès réseau.
! L'adresse du serveur RADIUS sur le serveur d'accès réseau est définie sur
le serveur NetWare ou le serveur Windows* NT sur lequel le logiciel du
serveur RADIUS sera installé.
! Le secret RADIUS est établi et connu du serveur d'accès réseau.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Mise à niveau à partir d'une version antérieure
Si vous mettez à niveau les informations de configuration des services
d'authentification de Novell BorderManager 3.7 créées avec une version
antérieure du produit vers une autre version, prenez en compte les éléments
suivants :
Serveur RADIUS
Le serveur RADIUS actuel (RADIUS.NLM) peut
fonctionner avec les configurations d'accès à
distance créées aussi bien avec les versions
précédentes qu'avec la version actuelle des
services d'authentification de Novell
BorderManager 3.7.
Administrateur NetWare
Le snap-in actuel de l'Administrateur NetWare
convertit la configuration de l'accès à distance
créée dans une version précédente dans un
nouveau format incompatible avec les précédentes
versions de l'Administrateur NetWare.
Utilisez une version antérieure du snap-in de
l'Administrateur NetWare uniquement avec une
configuration d'accès à distance créée à l'aide de
ce snap-in.
Il est impossible d'utiliser une précédente version
du snap-in de l'Administrateur NetWare avec la
version actuelle du serveur RADIUS.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Création d'un objet Système d'accès à distance
Un objet Système d'accès à distance NDS® or Novell eDirectoryTM stocke les
données de configuration des serveurs RADIUS et permet de gérer une
configuration commune pour un ensemble de serveurs RADIUS qui
fonctionnent conjointement. Vous devez créer au moins un objet Système
d'accès à distance dans l'arborescence NDS ou eDirectory où réside votre
serveur RADIUS. Tous les serveurs RADIUS participants utilisent l'objet
Système d'accès à distance pour la configuration. Les informations stockées
dans l'objet incluent les éléments suivants :
! Configuration clients : permet de définir les adresses IP pour les serveurs
d'accès réseau et les secrets partagés utilisés parmi les serveurs RADIUS,
les serveurs d'accès réseau et les serveurs RADIUS proxy dont
proviendront les requêtes.
! Domaines : permet de configurer d'autres serveurs RADIUS vers lesquels
vous souhaitez acheminer les requêtes RADIUS.
! Règle d'authentification : permet de définir une règle d'authentification
pour le système d'accès à distance.
! Connexions à distance : permet de limiter le nombre de connexions à
distance simultanées.
! Contexte de recherche : définit le chemin de recherche des objets.
Pour créer un objet Système d'accès à distance
1 Dans l'Administrateur NetWare, sélectionnez l'objet Organisation ou
Unité organisationnelle dans lesquels vous souhaitez placer l'objet
Système d'accès à distance.
2 À partir du menu Objet, cliquez sur Créer > Système d'accès à distance >
OK.
3 Entrez le nom de l'objet Système d'accès à distance > cliquez sur Créer.
4 Double-cliquez sur l'objet Système d'accès à distance que vous venez de
créer, puis cliquez sur Clients > Ajouter.
4a Entrez l'adresse IP du serveur d'accès réseau dans le champ Adresse
du client.
4b Sélectionnez le type de client (valeur par défaut : RADIUS
générique).
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
4c Entrez le secret RADIUS. Entrez-le une seconde fois.
Comme secret RADIUS, indiquez de préférence une chaîne aléatoire
de 20 à 30 caractères alphanumériques. Ce secret permet de protéger
les informations d'authentification lorsqu'elles transitent sur le
réseau.
4d Sélectionnez la case Ajouter un autre client si vous souhaitez ajouter
un autre serveur d'accès réseau après celui-ci. S'il s'agit du dernier ou
du seul client RADIUS que vous allez créer, laissez cette case
désactivée.
4e Cliquez sur OK.
5 Sélectionnez Règles d'authentification pour configurer une règle
d'authentification.
5b Sélectionnez l'une des options suivantes dans la zone Type
d'authentification :
!
Méthode d'authentification : les utilisateurs distants sont
authentifiés à l'aide d'une règle d'authentification non
répertoriée, telle que l'authentification par jeton. Recherchez et
sélectionnez la règle d'authentification.
!
Mot de passe NetWare : les utilisateurs distants sont authentifiés
à l'aide des mêmes mots de passe que pour les services
d'impression et de fichiers NetWare.
!
Mot de passe d'accès à distance : les utilisateurs distants sont
authentifiés à l'aide de mots de passe distincts qui sont stockés
sous forme codée dans la base de données NDS ou eDirectory.
!
Mot de passe d'accès à distance (CHAP) : les utilisateurs distants
sont authentifiés à l'aide des mots de passe CHAP (Challenge
Handshake Authentication Protocol).
!
Tout périphérique assigné à l'utilisateur : les utilisateurs distants
sont authentifiés à l'aide d'un jeton affecté à un utilisateur.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
5c Sélectionnez l'une des options suivantes dans la zone Règles
d'authentification :
!
Obligatoire : les utilisateurs distants doivent être authentifiés à
l'aide du type de règle sélectionné.
!
les utilisateurs distants doivent être authentifiés à l'aide du type
de règle sélectionné (activé uniquement pour Méthode
d'authentification et Tout périphérique assigné à un utilisateur).
!
Facultatif : les utilisateurs distants ont la possibilité de choisir la
règle d'authentification sélectionnée.
5d Sélectionnez Diminuer logins bonus pour définir le compteur
permettant de limiter les logins bonus.
5e Sélectionnez Ajouter une autre règle pour définir une autre règle
d'authentification.
6 Sélectionnez Contexte de recherche si vous souhaitez utiliser un login par
nom commun.
6b Recherchez le contexte de nom et sélectionnez-le.
6c Pour ajouter un autre contexte de recherche, sélectionnez Ajouter un
autre contexte.
6d Cliquez sur OK.
7 Sélectionnez Divers.
8 Sélectionnez Changer le mot de passe d'accès à distance.
8a Entrez le nouveau mot de passe.
Le mot de passe du système d'accès à distance permet de générer les
clés de codage pour la protection des mots de passe et des secrets.
Nous vous conseillons donc d'indiquer une chaîne aléatoire de 20 à
30 caractères alphanumériques comme mot de passe d'accès à
distance. Le mot de passe est requis pour démarrer le service.
8b Entrez de nouveau le nouveau mot de passe > cliquez sur OK.
9 Cliquez deux fois de suite sur OK.
Vous êtes alors prêt pour créer un objet Profil d'accès à distance. Reportezvous à l'aide en ligne de l'Administrateur NetWare pour plus d'informations
sur les procédures de configuration spécifique pour les restrictions de
domaines et de connexions à distance.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Création d'un objet Profil d'accès à distance
Chaque objet Profil d'accès à distance définit les attributs communs d'un
service utilisé par un ou plusieurs utilisateurs à distance. Cela simplifie
l'administration, car il n'est plus nécessaire de configurer les attributs pour
chaque utilisateur. Vous pouvez définir autant de profils que nécessaire pour
les différents services que vous définissez. Vous pouvez par exemple créer un
profil Telnet qui permettra aux utilisateurs de connecter un serveur de terminal
à un hôte, ou encore créer un profil Telnet qui permettra aux utilisateurs de se
connecter à un hôte à l'aide d'un terminal ou d'un programme d'émulation de
terminal.
L'objet Profil d'accès à distance contient une liste d'attributs RADIUS qui
définissent la configuration associée au service que vous créez.
Création d'un objet Profil d'accès à distance pour le service PPP
Pour créer un objet Profil d'accès à distance pour le service PPP (Point-toPoint Protocol) :
1 Dans l'Administrateur NetWare, sélectionnez ou créez l'objet Unité
organisationnelle dans lequel vous souhaitez placer l'objet Profil d'accès
à distance.
2 À partir du menu Objet, cliquez sur Créer > Profil d'accès à distance >
OK.
3 Entrez un nom pour l'objet Profil d'accès à distance
(par exemple, " PPP ") > cliquez sur Créer.
4 Double-cliquez sur l'objet Profil d'accès à distance que vous venez de
créer > cliquez sur Attributs > Ajouter.
4a Double-cliquez sur Générique.
4b Sélectionnez Type de service dans la liste Attribut, puis choisissez
Trame dans le champ Valeur.
4c Sélectionnez Protocole de trame dans la liste Attribut, puis
sélectionnez PPP dans le champ Valeur.
5 Sélectionnez les attributs requis dans la liste > cliquez sur OK.
6 Lorsque vous avez terminé d'ajouter des attributs, désélectionnez la case
Ajouter un autre attribut > cliquez sur OK dans la boîte de dialogue Éditer
un attribut.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
7 Cliquez sur OK.
Vous pouvez à présent activer les utilisateurs pour les services d'accès à
distance.
Création d'un objet Profil d'accès à distance pour le service Telnet
Pour créer un objet Profil d'accès à distance pour le service Telnet
1 Dans l'Administrateur NetWare, sélectionnez ou créez l'objet Unité
organisationnelle dans lequel vous souhaitez placer l'objet Profil d'accès
à distance.
2 À partir du menu Objet, cliquez sur Créer > Profil d'accès à distance >
OK.
3 Entrez un nom pour l'objet Profil d'accès à distance (par exemple,
Telnet) > cliquez sur Créer.
4 Double-cliquez sur l'objet Profil d'accès à distance que vous venez de
créer > cliquez sur Attributs > Ajouter.
4a Double-cliquez sur Générique.
4b Sélectionnez Type de service dans la liste Attribut, puis choisissez
Login dans le champ Valeur.
4c Sélectionnez Service de login dans la liste Attribut, puis sélectionnez
Telnet dans le champ Valeur.
4d Sélectionnez Hôte IP pour le login dans la liste Attribut, puis entrez
l'adresse IP de l'hôte dans le champ Valeur.
5 Lorsque vous avez terminé d'ajouter des attributs, désélectionnez la case
Ajouter un autre attribut > cliquez sur OK dans la boîte de dialogue Éditer
un attribut.
6 Cliquez sur OK.
Vous pouvez à présent activer les utilisateurs pour les services d'accès à
distance.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Activation d'un utilisateur pour les services d'accès à
distance
Les propriétés d'accès à distance sont ajoutées à l'objet Utilisateur lors de
l'installation du service d'authentification de Novell BorderManager 3.7. Dans
la page de propriété Services d'accès à distance, vous pouvez :
! permettre à un utilisateur d'utiliser des services d'accès à distance ;
! sélectionner l'objet Système d'accès à distance approprié à un utilisateur ;
! définir le mot de passe d'accès à distance de l'utilisateur (si vous utilisez
des mots de passe séparés pour les utilisateurs à distance) ;
! configurer ou définir des services à distance pour l'utilisation ;
! sélectionner un service par défaut lorsqu'un utilisateur est configuré pour
plusieurs services d'accès à distance.
De plus, les pages de propriétés Services d'accès à distance d'une organisation
ou d'une unité organisationnelle vous permettent de définir les propriétés
d'accès à distance pour tous les utilisateurs du conteneur sélectionné. Vous
pouvez également gérer les services d'accès à distance à l'aide d'un objet
Groupe. Pour plus d'informations sur les procédures de configuration
spécifiques, reportez-vous à l'aide en ligne de l'Administrateur NetWare.
Remarque : vous pouvez spécifier des propriétés d'accès à distance qui sont
propres à un objet Utilisateur donné. En d'autres termes, les paramètres d'accès à
distance que vous spécifiez dans un objet Utilisateur remplacent ceux qui sont
définis dans l'objet Conteneur parent. En revanche, les paramètres que vous ne
modifiez pas dans l'objet Utilisateur sont toujours hérités de l'objet Conteneur
parent.
Pour activer des services d'accès à distance pour un utilisateur, suivez la
procédure ci-après :
1 Dans l'Administrateur Netware, cliquez sur l'objet Utilisateur pour lequel
vous souhaitez activer les services d'accès à distance et sélectionnez
Services d'accès à distance.
2 Sélectionnez l'une des options suivantes dans le bloc Contrôle d'accès à
distance :
!
Désactiver : désactive les services d'accès à distance pour cet
utilisateur.
!
Activer : active les services d'accès à distance pour cet utilisateur.
103-000242-001
April 19, 2002
Novell Confidential
Manual
!
29
Utiliser config. du conteneur : indique que les options de contrôle
d'accès à distance seront héritées de l'objet Conteneur parent.
Remarque : Vous pouvez spécifier des propriétés d'accès à distance qui sont
propres à un objet Utilisateur donné, même lorsque l'option Utiliser config. du
conteneur est sélectionnée pour cet objet. Les paramètres qui ne sont pas
remplacés sont toujours hérités de l'objet Conteneur parent.
3 Recherchez un objet Système d'accès à distance dans l'arborescence NDS
ou eDirectory et sélectionnez-le.
Dans la plupart des cas, un même objet Système d'accès à distance est à
la disposition des utilisateurs.
4 Si la règle de mot de passe adoptée est Utiliser des mots de passe d'accès
à distance séparés, procédez comme suit :
4a Cliquez sur Définir le mot de passe d'accès à distance.
4b Entrez le mot de passe. Entrez le mot de passe une deuxième fois >
cliquez sur OK.
Il arrive que le bouton Définir le mot de passe d'accès à distance soit
désactivé, pour l'une des raisons suivantes :
!
L'option Utiliser le mot de passe NDS ou eDirectory est
sélectionnée dans l'objet Système d'accès à distance.
!
Aucun objet Système d'accès à distance n'est spécifié pour
l'objet Utilisateur ou le conteneur parent.
!
Aucun mot de passe n'est défini pour l'objet Système d'accès à
distance.
5 Si vous le souhaitez, sélectionnez des services configurés
supplémentaires avec leurs attributs appropriés > cliquez deux fois de
suite sur OK.
Vous pouvez à présent démarrer les services d'authentification de Novell
BorderManager 3.7.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Démarrage des services d'authentification de Novell
BorderManager 3.7
Vous devez avoir accompli les tâches suivantes avant de démarrer les services
d'authentification de Novell BorderManager 3.7 :
! Création d'un objet Système d'accès à distance
! Création d'un objet Profil d'accès à distance
! Activation d'un ou de plusieurs objets Utilisateur pour les services d'accès
à distance
Pour démarrer les services d'authentification de Novell BorderManager 3.7
sur un serveur NetWare, procédez comme suit :
1 Depuis la console Serveur, entrez la commande suivante pour les services
LOAD RADIUS
TCP/IP doit être déjà configuré et actif.
2 Entrez le nom distinctif de l'objet Système d'accès à distance.
3 Entrez le mot de passe de l'objet Système d'accès à distance.
Le message suivant devrait s'afficher :
RADIUS services started.
Vous pouvez à présent utiliser les services d'authentification de Novell
BorderManager 3.7.
Reportez-vous à Test des services d'authentification de Novell
BorderManager 3.7 pour tester le bon fonctionnement de votre configuration
des services d'authentification de Novell BorderManager 3.7.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Test des services d'authentification de Novell
BorderManager 3.7
Pour tester le bon fonctionnement de la configuration de vos services
1 Dans l'Administrateur NetWare, vérifiez que votre objet Système d'accès
à distance est valide.
2 Créez un nouvel objet Profil d'accès à distance.
3 Entrez PPP comme nom de profil d'accès à distance et cliquez sur OK.
4 Cliquez sur le nouvel objet Profil d'accès à distance " PPP " > Attributs >
Ajouter.
5 Dans le champ Attribut, sélectionnez Type de service à partir de la liste.
6 Dans le champ Valeur, sélectionnez Trame.
7 Désactivez Ajouter un autre attribut > cliquez deux fois de suite sur OK.
8 Cliquez sur l'objet Utilisateur pour lequel vous souhaitez autoriser l'accès
PPP > Services d'accès à distance.
9 Sélectionnez l'objet Système d'accès à distance que vous avez déjà créé.
10 Sous Services configurés, sélectionnez Ajouter.
11 Sélectionnez l'objet Profil d'accès à distance " PPP " que vous avez déjà
créé et cliquez deux fois de suite sur OK.
12 À partir d'un client d'accès à distance configuré pour utiliser PPP,
connectez-vous au serveur d'accès réseau.
13 Lorsque vous êtes invité à donner votre nom d'utilisateur, entrez le nom
distinctif de l'objet Utilisateur que vous venez de configurer pour l'accès
à distance, par exemple .eric.acme.
14 Entrez le mot de passe de l'utilisateur.
15 Vérifiez si le client à distance accède ou non au réseau.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
avancées
avancées sont décrites dans Gestion du contrôle d'accès et traitent des
sujets suivants :
! Modification des options du serveur RADIUS
! Configuration des services d'accès à distance et de leurs attributs
! Configuration de l'utilisateur et des groupes pour l'administration des
conteneurs et des groupes
! Configuration des restrictions de connexion à distance
! Planification de l'authentification par jeton
! Gestion de l'authentification par jeton
! Planification des règles d'authentification
! Configuration des règles d'authentification
! Planification des services proxy RADIUS
! Gestion des services proxy RADIUS
! Affichage des messages d'état RADIUS
103-000242-001
April 19, 2002
Novell Confidential
Manual
103-000242-001
April 19, 2002
Novell Confidential
29
Manual
9
29
Configuration de la notification
d'alerte
Alerte Novell® BorderManager® 3.7 gère les performances et la sécurité du
serveur et rend compte des problèmes potentiels ou existants mettant en cause
les performances des services Novell BorderManager 3.7 configurés.
Alerte Novell BorderManager 3.7 signale les événements du serveur qui
indiquent des problèmes potentiels relatifs aux éléments suivants :
! Performances du serveur
! Acquisition de licence, services d'authentification de Novell
BorderManager 3.7 non compris ; Alerte Novell BorderManager 3.7 ne
signale pas les problèmes relatifs à la licence des services
d'authentification de Novell BorderManager 3.7
! Sécurité
! Connexions de serveur proxy
Alerte Novell BorderManager 3.7 surveille un ensemble prédéfini
d'événements de serveur. Cependant, vous pouvez sélectionner un par un les
événements pour lesquels vous souhaitez recevoir une notification.
Lorsqu'une alerte est déclenchée sur un serveur Novell BorderManager 3.7, la
notification par défaut comprend les éléments suivants :
! Un message électronique (envoyé à toutes les adresses électroniques
figurant dans la liste d'alerte de messagerie)
! Une entrée dans le fichier journal de suivi d'audit du serveur
! Un message sur la console du serveur
Configuration de la notification d'alerte 153
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Remarque : Les résultats d'Alerte Novell BorderManager 3.7 prennent en charge
la pagination automatique à partir de votre système de messagerie. Cela requiert
une configuration supplémentaire et le processus varie en fonction du logiciel de
messagerie que vous utilisez. Consultez la documentation de votre logiciel de
messagerie pour déterminer si cette option peut être configurée pour votre
système.
Ce chapitre explique les tâches à accomplir pour la configuration initiale de la
notification par messagerie d'Alerte Novell BorderManager 3.7. Il comprend
les sections suivantes :
! “Configuration de la notification des alertes par messagerie”, page 154
Remarque : Ce chapitre décrit les tâches requises pour la configuration initiale
d'Alerte Novell BorderManager 3.7. Pour obtenir des informations sur la
planification et le concept d'Alerte Novell BorderManager 3.7, reportez-vous au
informations avant de configurer Alerte Novell BorderManager 3.7.
Configuration de la notification des alertes par
messagerie
Pour configurer la notification par messagerie de Novell BorderManager 3.7 :
1 Dans l'arborescence NDS® ou Novell eDirectoryTM de l'Administrateur
NetWare®, recherchez l'objet pour lequel la configuration d'alerte va être
spécifiée > cliquez sur cet objet avec le bouton droit de la souris >
sélectionnez Détails.
Il est possible de configurer une alerte uniquement pour un objet
Organisation (O), Unité organisationnelle (OU) ou Serveur.
2 Cliquez sur la page Alerte Novell BorderManager 3.7.
3 Sélectionnez l'un des schémas de notification suivants :
!
Hériter (valeur par défaut) : indique qu'une configuration d'alerte est
obtenue d'un conteneur situé à un niveau supérieur dans
l'arborescence NDS ou eDirectory. Une alerte configurée pour un
objet Serveur ne peut pas être héritée par un autre conteneur ou objet
Serveur.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Hériter désactive les listes d'alerte de messagerie et de serveurs de
messagerie pour l'objet NDS ou eDirectory sélectionné. Si ces listes
ont été préalablement configurées, les destinataires et les serveurs
figurant dans les listes sont supprimés quand vous cliquez sur OK.
Pour afficher les informations héritées, cliquez sur Configuration
effective. Les informations Configuration effective sont en lecture
seule. Pour modifier les informations d'alerte, identifiez le conteneur
NDS ou eDirectory dans le champ Emplacement des spécifications
et ouvrez la page Alerte Novell BorderManager 3.7 à partir de la
page Détails de ce conteneur.
!
Envoyer une alerte : active les listes d'alertes de messagerie et de
serveurs de messagerie configurées pour l'objet NDS ou eDirectory
sélectionné. Pour spécifier des serveurs et des destinataires de
messages électroniques, passez à l'étape 4.
!
Aucun(e) : désactive le service d'alerte. Il n'y aura pas de notification
d'erreur ou d'événement. Cependant, la sélection de Aucun(e)
conserve votre configuration ; les destinataires et les serveurs sont
seulement inactifs.
4 (Facultatif) Si vous avez sélectionné Envoyer une alerte, spécifiez les
conditions d'alerte pour lesquelles vous souhaitez recevoir une
notification.
4a Cliquez sur Conditions d'alerte.
4b Cliquez sur Spécifique (valeur par défaut : Tout).
4c Cochez les cases pour sélectionner les conditions d'alerte.
4d Cliquez sur OK.
5 Spécifiez les destinataires d'alertes électroniques et les serveurs de
messagerie électronique.
Remarque : Le serveur Novell BorderManager 3.7 doit être configuré avec au
moins un serveur de messagerie électronique. Si ce n'est pas le cas, la notification
d'alerte échoue.
5a Cliquez sur le bouton Ajouter correspondant au champ d'alerte de
messagerie et entrez l'adresse électronique de la personne devant être
notifiée par l'alerte Novell BorderManager 3.7.
Ajoutez autant de destinataires de messages électroniques que
nécessaire. Le nombre de destinataires pouvant être ajoutés n'est pas
plafonné.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
5b (Facultatif) Pour supprimer un destinataire de la liste, sélectionnez
l'adresse électronique du destinataire et cliquez sur le bouton
Supprimer correspondant au champ d'alerte de messagerie.
5c Cliquez sur le bouton Ajouter correspondant au champ Serveur de
messagerie et entrez le nom du serveur de messagerie ou l'adresse IP
des destinataires ajoutés à l'étape 5a.
Le premier serveur de la liste correspond au serveur de messagerie
principal. Le serveur principal reçoit les messages d'alerte et les
achemine vers d'autres serveurs de messagerie sur le réseau, si
nécessaire.
Tous les autres serveurs de la liste font office de serveurs de
messagerie de sauvegarde si le serveur principal ne parvient pas à
acheminer le message électronique. Cela peut se produire lorsque le
réacheminement des messages électroniques a été désactivé sur le
serveur principal ou si le serveur principal cesse de fonctionner.
Ajoutez autant de serveurs de messagerie que nécessaire. Bien que le
nombre de serveurs de sauvegarde pouvant être ajoutés ne soit pas
plafonné, l'alerte Novell BorderManager 3.7 n'envoie des alertes qu'à
un serveur de messagerie de la liste.
Suggestion : Pour améliorer les performances d'Alerte Novell
BorderManager 3.7, entrez les adresses IP des serveurs de messagerie.
Lorsque des adresses IP sont utilisées, le serveur Novell BorderManager 3.7
n'a pas besoin de traiter des recherches DNS pour résoudre les noms d'hôtes
DNS (Domain Name System) des serveurs de messagerie.
5d (Facultatif) Pour supprimer un serveur de messagerie de la liste,
sélectionnez l'adresse IP ou le nom du serveur de messagerie >
cliquez sur le bouton Supprimer correspondant au champ Serveur de
messagerie.
5e (Facultatif) Pour modifier l'état d'un serveur de messagerie (principal
ou de sauvegarde), cliquez sur la flèche Haut ou Bas afin de déplacer
l'adresse IP ou le nom du serveur de messagerie vers le haut ou le bas
de la liste.
6 Cliquez sur OK pour enregistrer la configuration et quitter la page
Détails.
Lorsque vous cliquez sur OK, les modifications de la configuration dans
NDS ou eDirectory sont enregistrées et notifiées à BRDSRV.NLM. Les
configurations d'alerte sont mises à jour sur chaque réplique NDS ou
eDirectory lors de la synchronisation NDS ou eDirectory normale.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Si vous avez activé une configuration d'alerte pour une organisation
entière, un certain délai peut être nécessaire avant que la modification de
la configuration dans NDS ou eDirectory soit notifiée à tous les serveurs
7 (Facultatif) Si vous avez activé une configuration d'alerte pour une
organisation entière et que vous souhaitez qu'un serveur donné utilise
cette configuration d'alerte immédiatement sans attendre la
synchronisation NDS ou eDirectory, exécutez la procédure ci-dessous :
7a Double-cliquez sur l'objet Serveur représentant le serveur Novell
BorderManager 3.7 que vous souhaitez voir utiliser la configuration
d'alerte immédiatement.
7b Dans la page Détails de l'objet Serveur, cliquez sur Alerte Novell
BorderManager 3.7 pour afficher la page Alerte Novell
BorderManager 3.7 du serveur.
7c Cliquez sur Rafraîchir le serveur.
Important : Lorsque vous ouvrez la page Alerte Novell BorderManager 3.7 pour
la première fois, le bouton Rafraîchir le serveur est disponible. Cliquer sur
Rafraîchir le serveur permet à BRDSRV.NLM de lire la nouvelle configuration
d'alerte uniquement pour ce serveur. Cette opération ne déclenche en revanche
pas une synchronisation NDS ou eDirectory complète. Si vous modifiez la
configuration d'alerte pour cet objet Serveur, le bouton Rafraîchir le serveur est
inactif.
avancées
avancées sont décrites dans Gestion des messages d'alerte et traitent des
sujets suivants :
! Affichage des alertes envoyées sous forme de messages électroniques
! Affichage des alertes dans le fichier journal de suivi d'audit
! Affichage des alertes dans le journal de la console
! Réponse aux alertes
103-000242-001
April 19, 2002
Novell Confidential
Manual
103-000242-001
April 19, 2002
Novell Confidential
29
Manual
A
29
Informations complémentaires
Cette annexe fournit des instructions sur l'octroi de licence pour le logiciel
Novell® BorderManager® 3.7 installé sur votre serveur NetWare® à l'aide de
l'utilitaire d'installation des licences ou de l'Administrateur NetWare. Vous
pouvez suivre la procédure pour installer une licence initiale, une licence
d'évaluation ou une nouvelle licence en remplacement d'une licence arrivée à
expiration. Si vous n'avez pas installé de licence valide ou d'évaluation, Novell
BorderManager 3.7 ne se chargera pas. Ce chapitre comprend les informations
suivantes :
! “Utilisation de l'utilitaire d'installation des licences”, page 160
! “Utilisation de l'Administrateur NetWare”, page 160
! “Configuration TCP/IP”, page 161
! “Ajout d'une réplique NDS ou eDirectory”, page 163
Les licences Master License Agreement (MLA), Corporate License
Agreement (CLA) et Volume License Agreement (VLA) ne sont pas affectées
à un serveur particulier. Elles peuvent par conséquent être utilisées par
plusieurs serveurs faisant partie de la même arborescence et doivent être
installées une seule fois. Les autres licences, dont les licences d'évaluation,
doivent être installées et attribuées à des serveurs individuels. Si vous faites
appel à l'utilitaire d'installation des licences, l'assignation des licences aux
serveurs est automatique. Si vous faites appel à l'Administrateur NetWare,
vous devez effectuer cette opération manuellement. La première méthode (via
l'utilitaire d'installation des licences) est recommandée.
Informations complémentaires 159
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Utilisation de l'utilitaire d'installation des licences
Lorsque vous faites appel à cet utilitaire, les licences sont assignées
automatiquement au serveur depuis lequel vous exécutez l'utilitaire. Il s'agit
de la méthode recommandée par Novell.
Pour installer les licences à la console du serveur avec l'utilitaire d'installation
des licences :
LOAD LICINST
2 Loguez-vous au serveur Novell BorderManager 3.7 en tant
qu'administrateur.
3 Entrez le chemin d'accès à l'enveloppe de licences (par exemple, A:\ si
votre licence se trouve sur une disquette).
4 Sélectionnez l'enveloppe contenant les licences.
5 Appuyez sur Entrée.
Une fenêtre récapitule les licences installées.
6 Appuyez deux fois sur Échap > sélectionnez Oui pour quitter l'utilitaire.
Utilisation de l'Administrateur NetWare
Lorsque vous faites appel à l'Administrateur NetWare pour installer des
licences, vous devez assigner chaque licence manuellement au serveur.
Pour installer des licences à l'aide de l'Administrateur NetWare :
1 Depuis un poste de travail administratif, loguez-vous au serveur Novell
BorderManager 3.7 en tant qu'administrateur.
2 Assignez une unité au volume SYS: du serveur Novell BorderManager
3.7 > exécutez l'Administrateur NetWare.
3 Sélectionnez le serveur Novell BorderManager 3.7 sur lequel vous
souhaitez installer les licences.
4 Dans le menu Outils, sélectionnez Installer la licence > Installer
l'enveloppe.
5 Entrez le chemin d'accès à l'enveloppe de licences (par exemple, A:\ si
votre licence se trouve sur une disquette) ou cliquez sur Parcourir pour
localiser l'enveloppe de licences.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
6 Sélectionnez l'enveloppe contenant les licences.
7 Sélectionnez les certificats de licence à installer.
8 Confirmez le champ du contexte où seront installées les licences.
Modifiez ce champ le cas échéant.
9 Prenez connaissance de la description de l'enveloppe et cliquez sur OK.
Un rapport récapitule les licences installées correctement.
10 Sélectionnez Fermer, puis quittez et relancez l'Administrateur NetWare
afin de réactualiser la vue.
11 Pour assigner la licence à un serveur individuel, procédez comme suit
(sauf s'il s'agit d'une licence MLA, CLA ou VLA) :
11a Double-cliquez sur le conteneur de licences que vous avez installé.
Le certificat de licence s'affiche.
11b Double-cliquez sur le certificat de licence, puis sélectionnez > Détails
> Assignations.
11c Cliquez sur Parcourir afin de rechercher le serveur Novell
BorderManager 3.7 sur lequel vous souhaitez installer le certificat de
licence > cliquez sur Ajouter.
11d Sélectionnez le contexte contenant le serveur Novell BorderManager
3.7, puis cliquez sur OK.
12 Quittez l'Administrateur NetWare.
Configuration TCP/IP
Pour installer le logiciel Novell BorderManager 3.7, TCP/IP doit être
connecté et configuré. Vous pouvez télécharger la dernière version de
TCPIP.NLM à partir du site Web du support technique de Novell. Il existe
actuellement trois versions de TCPIP.NLM :
! Une version pour les serveurs NetWare sans installation de Novell
BorderManager 3.7
! Une version pour les serveurs NetWare avec installation de la version de
codage 40 bits de Novell BorderManager 3.7.
! Une version pour les serveurs NetWare avec installation de la version de
codage 128 bits de Novell BorderManager 3.7.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Vérifiez que vous possédez la version adéquate pour le serveur sur lequel vous
allez installer TCP/IP.
Pour vérifier que TCP/IP est configuré sur votre serveur, procédez comme
suit :
CONFIG
2 Consultez la liste relative à la configuration du protocole TCP/IP.
Si TCP/IP n'est pas configuré, passez à “Configuration TCP/IP”, page
161.
Chargement de TCP/IP
Pour charger TCP/IP :
1 À l'invite de la console du serveur NetWare, entrez :
LOAD INETCFG
2 Pour transférer le pilote LAN, le protocole et les commandes d'accès à
distance, sélectionnez Oui.
3 Dans le menu Configuration inter-réseau, sélectionnez Protocoles > TCP/
IP.
4 Mettez en surbrillance État de TCP/IP > appuyez sur Entrée.
5 Sélectionnez Activé > appuyez sur Entrée.
6 Pour revenir au menu Configuration inter-réseau, appuyez deux fois sur
Échap.
7 Dans le menu Configuration inter-réseau, sélectionnez Liaisons.
8 Appuyez sur Inser > sélectionnez TCP/IP.
9 Dans la liste des interfaces réseau configurées, sélectionnez la carte
réseau à laquelle TCP/IP sera connecté.
10 Entrez votre adresse IP locale ainsi que le masque de sous-réseau.
11 Pour mettre à jour la configuration TCP/IP, appuyez sur Échap >
sélectionnez Oui.
12 Pour réinitialiser le système, entrez la commande suivante au niveau de
la console du serveur :
REINITIALIZE SYSTEM
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
13 Pour vérifier que TCP/IP est configuré correctement, entrez la commande
suivante au niveau de la console du serveur :
CONFIG
Ajout d'une réplique NDS ou eDirectory
Novell BorderManager 3.7 étant une application qui prend en charge les
services de licence Novell (NLS), le premier serveur Novell BorderManager
3.7 installé dans une arborescence ou sur une partition particulière doit être
installé sur un serveur NetWare disposant d'une réplique Lecture/écriture de
cette partition. Il n'est pas nécessaire que tous les serveurs Novell
BorderManager 3.7 installés ultérieurement sur la même partition disposent
d'une réplique Lecture/écriture. Vous n'avez pas besoin d'ajouter une réplique
pour installer Novell BorderManager 3.7 sur les trois premiers serveurs d'une
arborescence, car ceux-ci disposent déjà par défaut d'une réplique NDS® ou
Novell eDirectoryTM. Le premier serveur dispose de la réplique principale,
tandis que le deuxième et le troisième serveur disposent de répliques Lecture/
écriture. Pour ajouter une réplique Lecture/écriture, faites appel au
Gestionnaire des NDS ou d'eDirectory.
Cet utilitaire s'adresse uniquement aux utilisateurs de NetWare 5.1.
Pour ajouter une réplique Lecture/écriture sur un serveur, procédez comme
suit :
1 À partir de votre poste de travail d'administration, exécutez l'utilitaire
Gestionnaire des NDS ou d'eDirectory
(SYS:\PUBLIC\WIN95\NDSMGR32.EXE).
2 Sélectionnez la partition que vous souhaitez répliquer.
3 Dans le menu Objet, sélectionnez Ajouter une réplique.
4 Cliquez sur Parcourir pour sélectionner le serveur devant accueillir la
réplique.
5 Cliquez sur l'objet Serveur qui représente le serveur NetWare auquel vous
souhaitez ajouter la réplique Lecture/écriture > cliquez sur OK.
6 Cliquez sur le bouton d'option Lecture/Écriture > cliquez sur OK.
7 Sélectionnez Oui pour poursuivre la procédure.
Une fois la réplique ajoutée, cette dernière affiche l'état Nouveau.
Lorsque l'état de la réplique devient ACTIF, vous pouvez poursuivre
l'installation de Novell BorderManager 3.7.
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
8 Dans le menu Objet, sélectionnez Quitter.
Si vous utilisez NetWare 6.0 pour ajouter une réplique Lecture/écriture sur un
serveur, procédez comme suit :
1 À partir de ConsoleOne > loguez-vous > sélectionnez le conteneur/
l'arborescence
2 Sélectionnez Vues > Vue Partition et réplique
3 Dans le volet de droite, sélectionnez le tableau Liste des répliques >
cliquez sur le bouton droit de la souris
4 Sélectionnez Ajouter une réplique
5 Sélectionnez le navigateur > sélectionnez le serveur auquel vous
souhaitez ajouter la réplique
6 Sélectionnez le type de réplique Lecture/écriture > cliquez sur OK
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
Index
A
Administrateur NetWare
installation de la licence 159
installation de snap-ins 18
Adresse publique IP 104
adresses IP, masquage 53
Ajout
d'un serveur au réseau VPN 108
réplique NDS 163
Alerte BorderManager
configuration de la notification par
messagerie 154
description de 153
paramètres de configuration par défaut 26
Annuaire ajout d'une réplique 163
B
BorderManager
Installation sur NetWare 5 15
octroi de licence 159
C
Caching 69
Chargement, TCP/IP 162
Configuration
client SOCKS en amont 89
clients pour utiliser le proxy transparent 68
contrôle d'accès pour DNS 135
contrôle d'accès pour les applications de
services proxy 132
NAT avec le multi-origine 51
NAT sur une seule interface 49
règle de contrôle d'accès URL 128
restrictions des heures pour le contrôle d'accès
136
serveur proxy standard TCP ou UDP 86
TCP/IP 162
Configuration d'un serveur proxy générique 86
Configuration requise
client 13
serveur 12
Configuration serveur requise
espace disque 12, 13
RAM 12, 13
Services de licence Novell 13
TCP/IP 13
Contrôle d'accès
Configuration 127
Configuration d'une règle URL 128
configuration de l'accès pour le DNS 135
configuration de l'accès pour le VPN 134
configuration de l'accès pour les applications de
services proxy 132
configuration de l'accès via la Passerelle IP
Novell 130
configuration des restrictions des heures 136
visualisation des règles 137
Conversion d'adresse réseau
conditions préalables 48
configuration avec le multi-origine 51
configuration sur une seule interface 49
description de 47
fonctions de filtrage 47
Corporate License Agreement 159
Création d'un objet Profil d'accès à distance
PPP 145
Telnet 146
Cyber Patrol, installation 22
Index 165
103-000242-001
April 19, 2002
Novell Confidential
Manual
29
D
H
Définition de types personnalisés de paquet avec
état 42
DNS Resolver
Configuration 56, 72
configuration de l'accès 135
HTTP
configuration d'un proxy transparent 91
Configuration d'un serveur accélérateur 76
configuration d'un serveur proxy 74
Configuration de l'authentification d'un proxy 93
configuration de l'authentification d'un proxy
transparent 95
E
Espace disque requis 12, 13
I
F
Installation
BorderManager sur NetWare 5 15
Cyber Patrol 22
licences 160
Installation des snap-ins de l'Administrateur
NetWare 18
fichier MINFO.VPN 106
Filtrage des paquets
filtres de réacheminement des paquets 27
filtres des informations de routage 27
Filtrage des protocoles dans les services proxy 69
Filtres
informations de routage 27
informations sur les paquets 27
réacheminement de paquet 27
Filtres de paquets
activation 29
activation de la consignation globale IP 44
configuration de filtres exceptionnels pour les
paquets sortants 33
configuration des filtres exceptionnels pour les
paquets entrants 40
configuration des filtres par défaut 28
définition de types personnalisés de paquet
avec état 42
enregistrement dans un fichier texte 43
filtres d'informations sur les paquets 27
Filtres de protocole RIP 27
Filtres des informations de routage 27
Fonctions de filtrage de NAT 47
FTP
Configuration d'un serveur accélérateur 83
configuration d'un serveur proxy 81
proxy inverse 83
L
licences Master License Agreement (MLA) 159
M
Microsoft IE, configuration pour le proxy Web 72
Mise à niveau
BorderManager 14
lors de l'arrêt total du VPN 121
réseau VPN à l'aide d'un remplacement pour le
serveur maître existant 124
réseau VPN avec un second serveur maître
situé derrière un routeur 123
réseau VPN lorsque le serveur maître se trouve
derrière un routeur 122
Services d'authentification BorderManager 141
N
Netscape Navigator, configuration pour le proxy
Web 73
Network News Transfer Protocol 85
NNTP. Voir Network News Transfer Protocol
103-000242-001
April 19, 2002
Novell Confidential
Manual
O
Objet Règle de login 21
Objet Système d'accès à distance, création 142
Octroi de licence
Administrateur NetWare 160
pour BorderManager 159
utilitaire d'installation des licences 160
P
Paquets de réponse 34
Paramètres de configuration
Alerte BorderManager 26
contrôle d'accès 25
Conversion d'adresse réseau (NAT) 24
filtres de paquets 24
par défaut 23
passerelle IP Novell 24
Réseau privé virtuel 25
Services Proxy 25
Paramètres de configuration par défaut 23
Pare-feu, Services proxy 69
Passerelle IP Novell
conditions préalables relatives à l'administration
du client 56
conditions préalables relatives au client 56
Conditions préalables relatives au client de la
passerelle IP/IP 57
Conditions préalables relatives au client de la
passerelle IPX/IP 57
Conditions préalables relatives au client
SOCKS 57
conditions préalables relatives au serveur 54
Configuration 58
configuration de clients pour une simple
demande de connexion 66
configuration des clients afin qu'ils utilisent le
proxy transparent 68
configuration des clients de la passerelle 64
configuration des clients Windows NT/95/98 65
configuration du contrôle d'accès 130
description de 53
Passerelle IP/IP
Configuration 58
29
Passerelle IPX/IP
Configuration 58
permettre à un utilisateur d'utiliser des services
d'accès à distance 147
PPP, Création d'un objet Profil d'accès
à distance 145
Proxy DNS, configuration 88
Proxy RealAudio, configuration 88
R
RAM requise 12, 13
Real Time Streaming Protocol, configuration d'un
proxy pour 88
Réseau privé virtuel
ajout d'un serveur 108
conditions préalables client à site 101
conditions préalables générales 98
conditions préalables site à site 98
configuration d'un client sur un poste de travail
Windows 115
configuration d'un serveur esclave 106
configuration d'un serveur pour prendre en
charge les clients à distance 111
configuration de site à site 106
configuration du contrôle d'accès 134
configuration du serveur maître. 104
encapsulage de données 97
installation d'un client sur un poste de travail
Windows 114
login à partir d'un client 116
mise à niveau 119
synchronisation des serveurs 109
RIP. Voir Protocole RIP
RTSP. Voir Real Time Streaming Protocol
S
Sécurité, services proxy 69
Serveur esclave, configuration 106
Serveur maître, configuration du réseau VPN 104
Serveur proxy de messagerie, configuration 84
Serveur proxy de news, configuration 85
Index 167
103-000242-001
April 19, 2002
Novell Confidential
Manual
Services BorderManager
Alerte BorderManager 26
contrôle d'accès 25
Conversion d'adresse réseau (Network Address
Translation - NAT) 24
filtres de paquets 24
Passerelle IP Novell 24
Réseau privé virtuel 25
Services Proxy 25
Services d'authentification BorderManager
activation d'un objet Utilisateur 147
Configuration 139
Création d'un objet Profil d'accès
à distance 145
Création d'un objet Système d'accès
à distance 142
démarrage 149
mise à niveau 141
test 150
services d'authentification. Voir Services
d'authentification de BorderManager
Services de licence Novell
configuration serveur requise 13
Services Proxy
configuration d'un proxy Real Time Streaming
Protocol 88
configuration d'un proxy transparent HTTP 91
configuration d'un proxy transparent Telnet 92
Configuration d'un serveur accélérateur FTP 83
Configuration d'un serveur accélérateur
HTTP 76
configuration d'un serveur proxy de
messagerie 84
configuration d'un serveur proxy de news 85
Configuration d'un serveur proxy FTP 81
Configuration d'un serveur proxy HTTP 74
Configuration de l'authentification d'un proxy
HTTP 93
Configuration de l'authentification d'un proxy
transparent HTTP 95
transparent Telnet 95
configuration de Microsoft IE en vue de
l'utilisation du proxy Web 72
29
Configuration de Netscape Navigator en vue de
l'utilisation du proxy Web 73
configurer un proxy DNS 88
configurer un proxy RealAudio 88
configurer un serveur proxy TCP ou UDP
générique 86
sécurité 69
Services proxy
et pare-feu 69
filtrage de protocole 69
Simple Mail Transfer Protocol 84
SMTP. Voir Simple Mail Transfer Protocol
SOCKS
Configuration 60
configuration d'un client 66
configuration du client en amont 89
T
TCP/IP
chargement 162
configuration 162
configuration serveur requise 13
Telnet
configuration d'un proxy transparent 92
transparent 95
Création d'un objet Profil d'accès
à distance 146
Types de paquets avec état 42
U
utilitaire d'installation des licences 160
V
Visualisation des règles de contrôle d'accès 137
Volume License Agreement 159
103-000242-001
April 19, 2002
Novell Confidential

BorderManager

Transcription

Documents pareils

DESS Génie Logiciel - Page personnelle de Mendes Fabrice

Thierry PASTORELLO - Clusters Wallonie

2016 - gestionnaire d`applications et infrastructure

procédure pour changer sa signature dans lotus notes

10_016_E Saint Maclou

Le RESEAU EM@ Espace Multimédia de l

Comparer des documents à l`aide de la visionneuse en ligne

Configuration Proxy

Novell Messenger 3.0

Mode d`emploi pour la configuration des chaînes pour TV Sony