BorderManager
Transcription
BorderManager
Guide d’installation de Novell BorderManager 3.7 Novell BorderManager ® www.novell.com 3.7 I N S TA L L AT I O N April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Notices légales Novell exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell, Inc. se réserve en outre le droit de modifier à tout moment les informations qu'elle fournit sans notification préalable de ces modifications à quiconque. Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications à quiconque. Il peut s'avérer nécessaire d'obtenir une autorisation d'exportation auprès du ministère du commerce américain (Department of Commerce) avant de pouvoir exporter ce produit à partir des États-Unis ou du Canada. Copyright (c) 2002 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l'éditeur. Brevets américains nos 5,572,528; 5,719,786; 5,991,810; 6,092,200 et 6,345,266. Brevets en cours d'homologation. Novell, Inc. 1800 South Novell Place Provo, UT 84606 U.S.A. www.novell.com Installation Avril 2002 103-000242-001 Documentation en ligne : Pour accéder à la documentation en ligne relative à ce produit ou à un autre produit Novell ainsi que pour obtenir des mises à jour, consultez le site www.novell.com/documentation. Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Marques commerciales de Novell BorderManager est une marque déposée de Novell, Inc. aux États-Unis et dans d'autres pays. eDirectory est une marque de Novell, Inc. Internetwork Packet Exchange est une marque de Novell, Inc. IPX est une marque de Novell, Inc. NDS est une marque déposée de Novell, Inc. aux États-Unis et dans d'autres pays. NetWare est une marque déposée de Novell, Inc. aux États-Unis et dans d'autres pays. NetWare Loadable Module est une marque de Novell, Inc. NLM est une marque de Novell, Inc. Novell est une marque déposée de Novell, Inc. aux États-Unis et dans d'autres pays. Novell Technical Support est une marque de service de Novell, Inc. Autres marques commerciales Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif. Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual 4 Rev 99a (FRA) 25 September 00 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 29 Manual Rev 99a (FRA) 25 September 00 29 Sommaire À propos de ce guide 9 Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Conventions relatives à la documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1 Installation de Novell BorderManager 3.7 11 Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration serveur requise . . . . . . . . . . . . . . . . . . . . . . . . Configuration client requise . . . . . . . . . . . . . . . . . . . . . . . . . Contrat de Licence Utilisateur Final . . . . . . . . . . . . . . . . . . . . . . . Mise à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Préparation de l'installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation de Novell BorderManager 3.7 sur un serveur NetWare 5.1 SP 4 ou NetWare 6.0 SP 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation du client Novell . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation des snap-ins de l'Administrateur NetWare . . . . . . . . . . . . . . Installation du client VPN (réseau privé virtuel) . . . . . . . . . . . . . . . . . Accès à Novell iManager pour la configuration des filtres . . . . . . . . . . . . Configuration des règles de login . . . . . . . . . . . . . . . . . . . . . . . . Installation de SurfControl . . . . . . . . . . . . . . . . . . . . . . . . . . . . Documentation Novell BorderManager 3.7 . . . . . . . . . . . . . . . . . . . Étapes ultérieures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 12 13 14 14 14 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 18 18 19 20 20 22 23 23 Configuration des filtres de paquets 27 Conditions préalables au filtrage des paquets . . . . . . . . . . . . Configuration des filtres par défaut. . . . . . . . . . . . . . . . . . Utilisation de Novell iManager pour la configuration des filtres . . . Utilisation de FILTCFG pour la configuration des filtres . . . . . . . Configuration des filtres exceptionnels des paquets sortants . . Configuration des filtres exceptionnels pour les paquets entrants Définition de types personnalisés de paquet avec état. . . . . . Enregistrement des filtres dans un fichier texte . . . . . . . . . . . Activation de la consignation globale des paquets IP . . . . . . . . Exécution de tâches de configuration et de gestion avancées. . . . 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration de la conversion d'adresse réseau (NAT) Conditions préalables de NAT . . . . . . . . . . . . . . . . . Configuration de NAT sur une seule interface . . . . . . . . . Configuration de NAT avec les multi-origines . . . . . . . . . Exécution de tâches de configuration et de gestion avancées. . . . . . . . . 28 28 29 33 33 40 42 43 44 45 47 . . . . Sommaire Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 48 49 51 52 5 Manual 4 Rev 99a (FRA) 25 September 00 29 Configuration de la passerelle IP Novell 53 Conditions préalables pour la passerelle IP Novell . . . . . . . . . . . . . . . . . . . . . . Conditions préalables relatives au serveur . . . . . . . . . . . . . . . . . . . . . . . . Conditions préalables relatives au client. . . . . . . . . . . . . . . . . . . . . . . . . . Configuration de la passerelle IP Novell . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration du service de passerelle IPX/IP ou IP/IP . . . . . . . . . . . . . . . . . . Configuration du service SOCKS 4 ou SOCKS 5 . . . . . . . . . . . . . . . . . . . . . Configuration des clients de la passerelle . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration des clients Windows NT ou Windows 98 . . . . . . . . . . . . . . . . . . Configuration des clients SOCKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration des clients pour l'utilisation de l'option de Single Sign-on activée sur le serveur de passerelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration des clients pour l'utilisation du proxy transparent du client de la passerelle Exécution de tâches de configuration et de gestion avancées . . . . . . . . . . . . . . . . 5 . . . . . . . . . 53 54 56 58 58 60 64 65 66 . . . . . . 66 68 68 Configuration des services Proxy Conditions préalables relatives aux services Proxy . . . . . . . . . . . . . . . . . . Configuration du résolveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration de Microsoft Internet Explorer en vue de l'utilisation du proxy Web Configuration de Netscape Navigator en vue de l'utilisation du proxy Web . . . . Configuration d'un serveur proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . Configuration d'un accélérateur HTTP . . . . . . . . . . . . . . . . . . . . . . . . Blocage des requêtes de virus dans un accélérateur HTTP . . . . . . . . . . . . . Configuration des lignes de commande . . . . . . . . . . . . . . . . . . . . . . Ajout et suppression de définitions de requêtes de virus . . . . . . . . . . . . . Mise à jour de la base de données via un script (fichier NCF). . . . . . . . . . . Activation et configuration de la mise à jour automatique . . . . . . . . . . . . . Ajout de nouveaux mots-clés de virus . . . . . . . . . . . . . . . . . . . . . . . Contrôle de la fonction de reconnaissance de définitions de virus . . . . . . . . Effet sur les performances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration d'un serveur proxy FTP. . . . . . . . . . . . . . . . . . . . . . . . . Configuration d'un accélérateur FTP . . . . . . . . . . . . . . . . . . . . . . . . . Configuration d'un serveur proxy de messagerie . . . . . . . . . . . . . . . . . . . Configuration d'un serveur proxy de news . . . . . . . . . . . . . . . . . . . . . . Configuration d'un serveur proxy générique. . . . . . . . . . . . . . . . . . . . . . Configuration d'un proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration des proxies RealAudio et RTSP . . . . . . . . . . . . . . . . . . . . Configuration du client SOCKS (en amont) . . . . . . . . . . . . . . . . . . . . . . Configuration du proxy transparent HTTP. . . . . . . . . . . . . . . . . . . . . . . Configuration d'un proxy transparent Telnet . . . . . . . . . . . . . . . . . . . . . 6 . . . . . . . . . Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 69 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 . 72 . 72 . 73 . 74 . 75 . 77 . 78 . 78 . 79 . 79 . 80 . 81 . 81 . 81 . 83 . 84 . 85 . 86 . 88 . 88 . 89 . 91 . 92 Manual Rev 99a (FRA) 25 September 00 Configuration de l'authentification proxy . . . . . . . . . . . . . . Configuration de l'authentification d'un proxy HTTP . . . . . . Configuration de l'authentification du proxy transparent HTTP. Configuration de l'authentification du proxy transparent Telnet Exécution de tâches de configuration et de gestion avancées. . . 6 7 29 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Conditions préalables relatives au réseau privé virtuel . . . . . . . . . . . . . . . . Conditions préalables relatives au réseau VPN site à site . . . . . . . . . . . . . Conditions préalables relatives au réseau VPN client à site . . . . . . . . . . . . Configuration de votre VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration du serveur maître . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration de VPN de site à site . . . . . . . . . . . . . . . . . . . . . . . . Installation de VPN de client à site . . . . . . . . . . . . . . . . . . . . . . . . . Mise à niveau VPN à partir d'une version antérieure . . . . . . . . . . . . . . . . . Mise à niveau lors d'une mise hors service totale du réseau VPN . . . . . . . . . Mise à niveau lorsque le serveur maître se trouve derrière un routeur. . . . . . . Mise à niveau avec un second serveur maître situé derrière un routeur . . . . . . Mise à niveau à l'aide d'un serveur de remplacement d'un serveur maître existant Exécution de tâches de configuration et de gestion avancées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 . 98 101 103 104 106 111 119 121 122 123 124 125 Configuration des réseaux privés virtuels 127 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration des services d'authentification 128 130 132 134 135 136 137 138 139 Conditions préalables relatives aux services d'authentification de Novell BorderManager 3.7 Mise à niveau à partir d'une version antérieure . . . . . . . . . . . . . . . . . . . . . . . . Création d'un objet Système d'accès à distance . . . . . . . . . . . . . . . . . . . . . . . . Création d'un objet Profil d'accès à distance. . . . . . . . . . . . . . . . . . . . . . . . . . Création d'un objet Profil d'accès à distance pour le service PPP . . . . . . . . . . . . . Création d'un objet Profil d'accès à distance pour le service Telnet . . . . . . . . . . . . Activation d'un utilisateur pour les services d'accès à distance . . . . . . . . . . . . . . . . Démarrage des services d'authentification de Novell BorderManager 3.7. . . . . . . . . . . Test des services d'authentification de Novell BorderManager 3.7 . . . . . . . . . . . . . . Exécution de tâches de configuration et de gestion avancées. . . . . . . . . . . . . . . . . Sommaire Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 92 93 95 95 96 97 Configuration du contrôle d'accès Configuration d'une règle URL . . . . . . . . . . . . . . . . . . . . . . . . . Configuration d'une règle autorisant l'accès via la Passerelle IP Novell . . . . Configuration d'une règle autorisant l'accès via un proxy d'application . . . . Définition d'une règle autorisant les clients VPN à accéder aux serveurs VPN Configuration d'une règle qui autorise le serveur à résoudre les noms d'hôte. Configuration des restrictions horaires pour les règles d'accès . . . . . . . . Affichage de toutes les règles s'appliquant à un objet . . . . . . . . . . . . . Exécution de tâches de configuration et de gestion avancées. . . . . . . . . 8 . . . . . . . . . . . . . . . 140 141 142 145 145 146 147 149 150 151 7 Manual 9 Rev 99a (FRA) 25 September 00 29 Configuration de la notification d'alerte 153 Configuration de la notification des alertes par messagerie. . . . . . . . . . . . . . . . . . . . 154 Exécution de tâches de configuration et de gestion avancées . . . . . . . . . . . . . . . . . . 157 A Informations complémentaires Utilisation de l'utilitaire d'installation des licences . Utilisation de l'Administrateur NetWare . . . . . . Configuration TCP/IP . . . . . . . . . . . . . . . Chargement de TCP/IP . . . . . . . . . . . . Ajout d'une réplique NDS ou eDirectory. . . . . . 159 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Index 8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 160 161 162 163 165 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 À propos de ce guide Introduction L'objectif de cette documentation est de décrire le mode d'installation des composants de Novell® BorderManager® 3.7 ainsi que la configuration de base du logiciel. De plus, cette documentation vous renvoie à des documents en ligne spécifiques pour des informations supplémentaires. Cette documentation s'adresse aux administrateurs réseau expérimentés. Conventions relatives à la documentation Dans cette documentation, le signe supérieur à (>) est utilisé pour séparer les opérations d'une même procédure ainsi que les éléments d'un chemin de renvoi. De même, le symbole de marque commerciale (®, TM, etc.) représente une marque de Novell. Un astérisque (*) correspond à une marque de fabricant tiers. À propos de ce guide Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 9 Manual 10 Rev 99a (FRA) 25 September 00 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 29 Manual 1 Rev 99a (FRA) 25 September 00 29 Installation de Novell BorderManager 3.7 Ce chapitre comprend des instructions sur l'installation du logiciel Novell® BorderManager® 3.7. Il se compose des sections suivantes : ! “Configuration requise”, page 12 ! “Contrat de Licence Utilisateur Final”, page 14 ! “Mise à niveau”, page 14 ! “Préparation de l'installation”, page 14 ! “Installation de Novell BorderManager 3.7 sur un serveur NetWare 5.1 SP 4 ou NetWare 6.0 SP 1”, page 15 ! “Installation du client Novell”, page 18 ! “Installation des snap-ins de l'Administrateur NetWare”, page 18 ! “Installation du client VPN (réseau privé virtuel)”, page 19 ! “Accès à Novell iManager pour la configuration des filtres”, page 20 ! “Installation de SurfControl”, page 22 ! “Configuration des règles de login”, page 20 ! “Documentation Novell BorderManager 3.7”, page 23 ! “Étapes ultérieures”, page 23 Remarque : Ce chapitre décrit les tâches requises pour l'installation initiale du logiciel Novell BorderManager 3.7. Pour obtenir des informations sur la planification et le concept des services qui composent la suite logicielle Novell BorderManager 3.7, reportez-vous au Guide de présentation et de planification de Novell BorderManager 3.7, disponible dans la docume ntation en ligne. Assurez-vous de bien comprendre ces informations avant de configurer les différents services inclus dans la suite Novell BorderManager 3.7. Installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 11 Manual Rev 99a (FRA) 25 September 00 29 Configuration requise L'installation de Novell BorderManager 3.7 (NBM 3.7) s'effectue sur un serveur NetWare® et s'administre via l'Administrateur NetWare à partir d'un poste de travail client Windows* 98, Windows 2000, Windows NT* ou Windows XP. Configuration serveur requise Installation sur NetWare 5.1 SP4 Matériel serveur Logiciel serveur PC doté d'un processeur Pentium* II ou ultérieur NetWare 5.1 doté du Support Pack 4 ou ultérieur 256 Mo de RAM minimum pour NBM 3.7 Remarque : pour les serveurs MLA NetWare 5,1, vous devez disposer d'une 512 Mo de RAM supplémentaires pour licence serveur sur le serveur cible. SurfControl* Réplique Lecture/écriture de la mise à Un minimum de 160 Mo d'espace jour de NetWare NDS® 8 sur le serveur disque, avec 40 Mo supplémentaires Novell BorderManager disponibles pour l'installation Kit Services de licence Novell (NLS) 4 Go d'espace disque pour la prise en (installé automatiquement avec charge des services de caching NetWare 5.1) Lecteur de CD-ROM capable de lire des disques au format ISO 9660 Interface réseau TCP/IP liée et configurée Exécutez une fois INETCFG et transférez les commandes depuis AUTOEXEC.NCF 12 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Installation sur NetWare 6.0 doté du Support Pack 1 Matériel serveur Logiciel serveur PC doté d'un processeur Pentium II ou supérieur NetWare 6.0 SP 1 ou ultérieur Un minimum de 160 Mo d'espace disque, avec 40 Mo supplémentaires disponibles pour l'installation Interface réseau TCP/IP liée et configurée Réplique Lecture/écriture de Novell 256 Mo de RAM minimum pour NBM 3.7 eDirectoryTM 8.6.2 sur le serveur Novell BorderManager 512 Mo de RAM supplémentaires pour SurfControl Kit Services de licence Novell (NLS) Exécutez une fois INETCFG et transférez les commandes depuis AUTOEXEC.NCF 4 Go d'espace disque pour la prise en charge des services de caching Lecteur de CD-ROM capable de lire des disques au format ISO 9660 Remarque : Novell BorderManager 3.7 est doté de fonctions des services de licence Novell (NLS). Aussi, lorsque vous installez votre premier serveur Novell BorderManager 3.7 dans une arborescence ou une partition, installez-le sur un serveur NetWare qui contient une réplique Lecture/écriture NDS ou eDirectory de cette partition. Il n'est pas nécessaire que tous les serveurs Novell BorderManager 3.7 installés ultérieurement sur la même partition disposent d'une réplique Lecture/ écriture. Configuration client requise Matériel client Logiciel client Windows 98, 2000, NT, XP ou Me Windows 98, 2000, NT, XP ou Me Un minimum de 28 Mo d'espace disque disponible Netscape* Navigator* 4.7 ou ultérieur Microsoft* Internet Explorer 5.5 ou ultérieur. Un minimum de 32 Mo de RAM Installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 13 Manual Rev 99a (FRA) 25 September 00 29 Contrat de Licence Utilisateur Final Avant d'installer Novell BorderManager 3.7, vous devez prendre connaissance du Contrat de Licence Utilisateur Final (EULA - End User License Agreement). Les versions anglaise, portugaise, française, italienne, allemande, espagnole, japonaise, tchèque, polonaise et néerlandaise du EULA se trouvent dans le sous-répertoire de langue approprié du répertoire \LICENSE situé à la racine du CD-ROM. Mise à niveau Novell BorderManager 3.7 peut être installé comme mise à niveau de BorderManager Enterprise Edition 3.6. L'installation conserve la configuration existante du serveur, à l'exception du réseau privé virtuel (VPN). La mise à niveau copie la configuration de base dans un fichier et étend les schémas. Une fois l'installation terminée, transférez les filtres manuellement. Voir Etape 18, page 18 pour des informations détaillées. Préparation de l'installation Révisez la liste d'éléments suivante et notez les informations correspondantes : " Emplacement des disquettes de licence ou chemin d'accès au fichier de licence " Adresse IP du serveur et passerelle par défaut " Interfaces publiques et privées et liaisons de celles-ci à des adresses IP " Nom de domaine DNS (Système de nom de domaine) " Adresses IP de trois serveurs de noms DNS maximum sur le réseau 14 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Installation de Novell BorderManager 3.7 sur un serveur NetWare 5.1 SP 4 ou NetWare 6.0 SP 1 Pour installer Novell BorderManager 3.7 sur le serveur à partir d'un CD-ROM : 1 Vérifiez que vous disposez de NetWare 5.1 doté du Support Pack 4, de NetWare 6.0 doté du Support Pack 1 ou d'une version ultérieure sur votre serveur. 2 Montez le CD-ROM NBM 3.7 à partir du serveur en entrant CDROM sur la console du serveur. 3 Sur le serveur, affichez la console graphique X-Server. Si celle-ci n'est pas chargée, entrez STARTX sur la console du serveur. Si STARTX est déjà chargé, appuyez sur Ctrl+Échap et sélectionnez la console graphique X-Server. L'installation de Novell BorderManager 3.7 à partir de NWCONFIG est désactivée. L'installation n'est possible qu'à partir de la console graphique X-Server. 4 Cliquez sur le logo Novell > sélectionnez Installer pour afficher les produits déjà installés. 5 Cliquez sur Ajouter > placez-vous à la racine du CD-ROM > cliquez sur OK. 6 Sélectionnez la page Bienvenue > cliquez sur Suivant. 7 Lisez attentivement le contrat de licence. Si vous acceptez les conditions du contrat, cliquez sur J'accepte. Reportez-vous à “Contrat de Licence Utilisateur Final”, page 14 pour plus d'informations. 8 Sélectionnez la case correspondant au service Novell BorderManager 3.7 que vous souhaitez installer. Remarque : Quels que soient les services Novell BorderManager 3.7 sélectionnés, les licences de tous les services seront installées. Installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 15 Manual Rev 99a (FRA) 25 September 00 29 9 Pour installer les licences maintenant, insérez la disquette de licence Novell BorderManager 3.7, entrez le chemin d'accès au répertoire de la licence (par exemple, A:\LICENSE) cliquez sur Suivant. Sinon, sélectionnez la case Omettre l'installation de la licence > cliquez sur Suivant. Vous pouvez installer les fichiers système sans licence ; cependant, Novell BorderManager 3.7 ne se chargera pas tant qu'aucune licence valide ou d'évaluation ne sera installée. Vous pouvez choisir les licences d'évaluation depuis le menu déroulant de cette page. 10 Dans la boîte de dialogue de login, loguez-vous à l'arborescence NDS ou eDirectory sous votre nom distinctif complet (avec les droits administratifs). Vous devez disposer de droits administratifs sur la racine de l'arborescence NDS ou eDirectory. Cette condition est requise pour tout ayant droit disposant de droits Superviseur sur un conteneur situé au même niveau que le serveur. Des droits administratifs sont requis pour étendre le schéma eDirectory à l'arborescence, installer les licences de produit et configurer Novell BorderManager 3.7 pour la première fois. Si vous installez les services Pare-feu/Caching ou les services VPN BorderManager, vérifiez la liste d'interfaces réseau et leurs liaisons IP. Définissez chaque interface comme publique, privée ou les deux. Si vous procédez à une mise à niveau, allez à Etape 16. 11 Pour les services VPN et Pare-feu/Caching, vous devez spécifier une adresse IP publique à utiliser avec Novell BorderManager 3.7 pour sécuriser vos frontières réseau. Les adresses IP publiques définissent les interfaces serveur d'accès à un réseau public, notamment Internet. Les adresses IP privées définissent les interfaces serveur d'accès à un réseau privé ou à un intranet. 11a Spécifiez une adresse IP publique. Lorsque vous définissez une interface publique, vous activez l'option Définir des filtres pour sécuriser toutes les interfaces publiques. Sélectionnez cette case pour refuser tout trafic à destination et en provenance des interfaces publiques. S'il s'agit d'une mise à niveau, les filtres existants sont conservés et l'option Refuser tous les filtres n'est pas définie sur les interfaces publiques. 11b Spécifiez une adresse IP privée. 16 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 11c Sélectionnez la case Définir des filtres pour sécuriser toutes les interfaces publiques afin de définir les filtres IP et IPX par défaut des interfaces publiques cochées. S'il s'agit d'une mise à niveau, les filtres existants sont conservés. 11d Spécifiez une passerelle. Si le champ Adresse IP de passerelle est vide, entrez le nom de la passerelle par défaut. 11e Cliquez sur Suivant. Si vous n'avez pas spécifié d'adresse IP privée, allez à Etape 14 ; sinon, allez à Etape 12. 12 Sélectionnez les cases correspondant aux services à activer. Des exceptions de filtres seront créées pour ces services sur l'interface publique > cliquez sur Suivant. Après l'installation, configurez manuellement les services de messagerie et de news avec l'Administrateur NetWare. Remarque : Si vous ne disposez que d'une seule interface et que celle-ci est dotée d'un filtre public, aucune exception ne sera créée. 13 Par défaut, la case Contrôle d'accès est activée. Nous vous recommandons d'accepter ce paramètre par défaut. Le contrôle d'accès permet d'empêcher tout trafic et de renforcer la sécurité. Vous pouvez définir les règles de contrôle d'accès à l'aide de l'Administrateur NetWare. Les règles d'accès permettent d'autoriser ou de refuser l'accès à partir d'une source quelconque ou vers une cible quelconque. Cette option n'est disponible que lorsque vous sélectionnez un ou plusieurs services dans l'écran précédent. 14 Entrez un nom de domaine DNS pour votre réseau > cliquez sur Suivant. 15 Cliquez sur Ajouter pour insérer entre une et trois adresses IP de serveur DNS. Par défaut, l'entrée DNS existante figure dans la liste. 16 Cliquez sur Terminer lorsque vous avez fini ou sur Précédent pour revenir aux fenêtres précédentes et modifier vos sélections. Installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 17 Manual Rev 99a (FRA) 25 September 00 29 17 Effectuez l'une des opérations suivantes : ! Cliquez sur Lisezmoi pour visualiser le fichier correspondant. ! Cliquez sur Redémarrer pour accéder aux services Novell BorderManager 3.7. ! Cliquez sur Fermer pour terminer l'installation et revenir à l'interface graphique. 18 Après avoir redémarré, vérifiez que FILTSRV.NLM n'est pas chargé. Si nécessaire, déchargez-le. Si vous n'y parvenez pas, déchargez tous les fichiers NLM qui dépendent de FILTSRV.NLM > déchargez FILTSRV.NLM. 19 Entrez FILTSRV MIGRATE à l'invite de la console pour transférer les filtres existants vers eDirectory. 20 Déchargez FILTSRV et chargez-le en mode normal (Entrez FILTSRV à l'invite de la console). Installation du client Novell Le logiciel Novell ClientTM permet d'accéder à Novell BorderManager 3.7 à partir des postes de travail Windows 98, Windows 2000, Windows NT et Windows XP. Pour installer le client Novell, reportez-vous à la documentation fournie sur le site Web de documentation de Novell (http://www.novell.com/ documentation/lg/noclienu/index.html). Le client Novell version 4.8 ou ultérieure est requis pour Windows NT, 2000 et XP. Le client Novell version 3.3 ou ultérieure est requis pour Windows 98. Pour prendre en charge la passerelle IP Novell, vous devez également installer le composant client de la passerelle IP Novell sur tous les postes de travail client. Installation des snap-ins de l'Administrateur NetWare Les snap-ins de l'Administrateur NetWare permettent d'activer, de configurer et de gérer les composants Novell BorderManager 3.7, tels que les services Proxy, la passerelle IP Novell, le réseau privé virtuel (VPN), les services d'authentification BorderManager Authentication Services et le contrôle d'accès. 18 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 L'utilitaire d'installation de Novell BorderManager 3.7 installe les snap-ins de l'administrateur NetWare 32 bits sur le serveur. Vous pouvez administrer vos serveurs BorderManager en exécutant NWADMN32.EXE à partir du répertoire SYS:\PUBLIC\WIN32 du serveur. Pour installer les snap-ins : 1 Lancez la version de l'Administrateur NetWare choisie pour l'installation des snap-ins > vérifiez qu'elle fonctionne correctement > quittez l'utilitaire. 2 Depuis votre poste de travail administratif, assignez une unité au volume SYS: du serveur Novell BorderManager 3.7 > lancez le programme d'installation de Novell BorderManager 3.7 (SETUP.EXE). Le programme SETUP.EXE de Novell BorderManager 3.7 se trouve sur le serveur dans SYS:\PUBLIC\BRDRMGR\SNAPINS. 3 Suivez les instructions fournies par l'assistant. Lors de l'installation des snap-ins, vous êtes invité à indiquer l'emplacement des fichiers administratifs. En règle générale, les fichiers administratifs se trouvent sur le volume SYS: du serveur dans le répertoire \PUBLIC\WIN32. Si vous souhaitez installer les snap-ins de Novell BorderManager 3.7 sur un site central de l'Administrateur NetWare 32 bits, spécifiez le répertoire où votre fichier NWADMN32.EXE central réside (par exemple, SYS:\PUBLIC\WIN32). 4 Une fois les snap-ins installés, quittez l'assistant. 5 Pour activer les snap-ins après l'installation, allez à SYS:/PUBLIC/ WIN 32 > double-cliquez sur l'icône NWADMIN32. Installation du client VPN (réseau privé virtuel) Pour accéder aux services VPN (réseau privé virtuel) à partir des postes de travail Windows du client, vous devez installer le client VPN. L'installation du client Novell avec le client VPN est facultative : elle n'est pas essentielle pour les services VPN. Pour installer le client VPN à partir du CD-ROM, cliquez sur SETUPEX.EXE sous /CL_INST/VPN/EXES ou, à partir du serveur, sous SYS:/PUBLIC/BRDRMGR/VPN/EXES. Installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 19 Manual Rev 99a (FRA) 25 September 00 29 Accès à Novell iManager pour la configuration des filtres Vous pouvez utiliser Novell iManager pour configurer des filtres sur NetWare 6 SP 1 uniquement. Le rôle de gestion des accès et la tâche de configuration du filtrage des paquets de Novell BorderManager (NBM) se greffent automatiquement sur Novell iManager pendant l'installation de Novell BorderManager 3.7. Par défaut, ce rôle n'est attribué qu'à l'administrateur. Pour vous loguer à Novell iManager : 1 Dans Internet Explorer > allez à https://ipaddress:2200 ou utilisez https:/ /DNS:2200 du serveur. 2 Loguez-vous à Novell iManager pour utiliser la tâche de configuration du filtrage de paquets. 3 Lorsque vous vous loguez à Novell iManager, le rôle de gestion des accès NBM apparaît sur le panneau de gauche. Cliquez sur Gestion d'accès NBM pour afficher la tâche de configuration des filtres. 4 Cliquez sur la tâche de configuration des filtres pour afficher l'option de sélection de serveur NBM. Configuration des règles de login Tous les utilisateurs qui se loguent à des services via Novell BorderManager 3.7 doivent être authentifiés. Le type d'authentification requis pour permettre à un utilisateur de se loguer et d'accéder aux services réseau via Novell BorderManager 3.7 est stocké dans NDS ou eDirectory dans un objet Règle de login. De ce fait, vous devez configurer une règle de login générique permettant aux utilisateurs d'accéder aux services Novell BorderManager 3.7. Sans configuration de règle de login, aucun accès utilisateur n'est possible. Il ne peut y avoir qu'un seul objet Règle de login dans une arborescence NDS ou eDirectory. Cet objet détient les règles de login de tous les serveurs et services Novell BorderManager 3.7 de l'arborescence. Remarque : Les règles stockées dans l'objet Règle de login s'appliquent uniquement aux services Novell BorderManager 3.7. Les précédentes versions de Novell BorderManager 3.7 utilisent des règles par défaut codées en dur. Pour gérer les règles de login de tous les services Novell BorderManager 3.7 à l'aide de l'objet Règle de login, vous devez mettre à niveau les anciennes versions de BorderManager vers la version Novell BorderManager 3.7. 20 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Pour créer un objet Règle de login et configurer des règles génériques qui permettent aux utilisateurs d'accéder aux services réseau par le biais des divers services Novell BorderManager 3.7 à l'aide d'un mot de passe eDirectory, procédez comme suit : 1 Dans l'Administrateur NetWare, sélectionnez l'objet conteneur Sécurité de votre arborescence eDirectory. L'objet Règle de login ne peut être créé que dans l'objet conteneur Sécurité. 2 À partir du menu Objet, cliquez sur Créer > Règle de login > OK. 3 Pour configurer une règle de login, cliquez sur Règles > Ajouter. 4 Pour configurer une règle pour les Services d'authentification de Novell BorderManager 3.7, sélectionnez le bouton d'option du nom d'objet à partir de la boîte de dialogue Type de service > cliquez sur le bouton Parcourir pour sélectionner l'objet Système d'accès à distance associé à ce service > sélectionnez la case Activé. Lorsqu'il s'agit d'une nouvelle installation des Services d'authentification de Novell BorderManager 3.7, vous devrez créer un objet Système d'accès à distance. Reportez-vous à “Création d'un objet Système d'accès à distance”, page 142 pour plus d'informations. 5 Sélectionnez l'onglet Utilisateurs > cliquez sur Ajouter > cliquez sur le bouton Parcourir pour sélectionner les objets Utilisateur, Groupe ou Conteneur pour activer l'accès. 6 Sélectionnez l'onglet Méthodes > cliquez sur Ajouter > sélectionnez la case Méthode de login activée. 7 Dans la boîte de dialogue Types de méthode, sélectionnez la case Mots de passe NDS ou eDirectory. 8 Dans la boîte de dialogue Mise en vigueur de la méthode, sélectionnez la case Obligatoire > cliquez sur OK > Ajouter. 9 Pour configurer une règle pour les services Proxy, sélectionnez le bouton d'option Prédéfini à partir de la boîte de dialogue Type de service > sélectionnez Proxy > sélectionnez la case Activé. 10 Pour configurer une règle pour SOCKS, sélectionnez le bouton d'option Prédéfini à partir de la boîte de dialogue Type de service > sélectionnez SOCKS > sélectionnez la case Activé. Installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 21 Manual Rev 99a (FRA) 25 September 00 29 11 Pour configurer une règle pour un réseau VPN, sélectionnez le bouton d'option Prédéfini à partir de la boîte de dialogue Type de service > sélectionnez VPN > sélectionnez la case Activé. Étant donné que les mots de passe NDS ou eDirectory représentent une condition préalable à l'authentification VPN, vous n'avez qu'à définir des types de méthode et des règles de mise en vigueur supplémentaires si vous souhaitez que les utilisateurs soient authentifiés par d'autres moyens tels que des jetons. (Les utilisateurs VPN doivent toujours entrer leur mot de passe NDS ou eDirectory.) 12 Quittez l'utilitaire. Installation de SurfControl SurfControl* est fourni avec Novell BorderManager 3.7 avec une période d'essai de 45 jours. Si vous envisagez de créer des règles d'accès utilisant les catégories d'URL de SurfControl, vous devez installer un module chargeable NetWare (NLMTM - NetWare Loadable ModuleTM) pour SurfControl sur le serveur BorderManager. SurfControl contient la liste des sites Internet impropres ou qui nuisent à l'environnement de travail, tels que ceux traitant de sujets à connotation sexuelle ou relatifs aux drogues. SurfControl pour BorderManager contient également la liste des sites relatifs à la formation et aux sports/loisirs. Les listes SurfControl sont quotidiennement mises à jour. L'utilisation des listes SurfControl est gratuite pendant la période d'essai de 45 jours. À la fin de la période d'essai, vous pouvez vous abonner à SurfControl et recevoir les listes à jour de façon régulière. Pour plus d'informations, consultez le site Web SurfControl à l'adresse (www.surfcontrol.com). 22 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Documentation Novell BorderManager 3.7 En plus de ce document, d'autres manuels relatifs au produit Novell BorderManager 3.7 sont disponibles en ligne à l'adresse www.novell.com/documentation La distribution de documentation en ligne sur le Web constitue un moyen pratique d'accès aux informations les plus récentes. La documentation en ligne inclut les éléments suivants : ! Présentation et planification : fournit une présentation des services Novell BorderManager 3.7 que vous utilisez pour gérer efficacement vos frontières réseau, traite des exigences en matière de gestion et de contrôle de l'accès à des frontières réseau et inclut des descriptions détaillées de chaque service BorderManager. ! Administration—fournit des informations sur le filtrage de paquets, la conversion d'adresses réseau, la passerelle IP Novell, les services proxy, les réseaux privés virtuels, le contrôle d'accès et les services d'authentification. Étapes ultérieures Le tableau suivant répertorie les paramètres par défaut de chaque service fourni par Novell BorderManager 3.7 et fournit des références à la documentation Novell BorderManager 3.7 pour plus d'informations. Remarque : Si vous avez mis votre serveur à niveau, la configuration existante est conservée, à l'exception de la configuration de votre réseau VPN. Installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 23 Manual Tableau 1 Rev 99a (FRA) 25 September 00 29 Configuration par défaut pour NetWare 5.1 et NetWare 6 Service Paramètre par défaut Informations sur la configuration Filtres de paquets Si, lors de l'installation, vous avez opté pour la protection de l'accès au réseau public grâce au filtrage des paquets, l'interface publique filtre tous les paquets afin d'interdire l'accès au réseau. Pour autoriser uniquement certains types de paquets, vous devez configurer des listes d'exception à l'aide de l'utilitaire FILTCFG. Reportez-vous à Chapitre 2, “Configuration des filtres de paquets”, page 27. Pour obtenir la liste détaillée des filtres par défaut, reportez-vous au Guide de présentation et de planification de Novell BorderManager 3.7, disponible dans la documentation en ligne. Si vous avez sélectionné Non, l'interface publique autorise tout accès et ne filtre aucun paquet. Pour filtrer uniquement certains types de paquets, vous devez configurer des listes d'exception à l'aide de l'utilitaire FILTCFG. 24 Conversion d'adresse réseau (Network Address Translation - NAT) Désactivé. Tous les paquets entrants et sortants sont transmis tels quels à l'adresse ou au port, sans conversion ni modification. Reportez-vous à Chapitre 3, “Configuration de la conversion d'adresse réseau (NAT)”, page 47. Passerelle IP Novell Désactivé. La passerelle IPX/IP, la passerelle IP/IP et les services de passerelle SOCKS sont désactivés. Reportez-vous à Chapitre 4, “Configuration de la passerelle IP Novell”, page 53. Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Service Paramètre par défaut Informations sur la configuration Services Proxy Désactivé. Tous les services proxy sont désactivés, y compris l'accélérateur du client Web (cache proxy standard), l'accélérateur du serveur Web (accélérateur HTTP), l'accélérateur réseau (caching hiérarchique ICP) et tous les proxies d'application (HTTP, FTP, FTP inverse, Messagerie, News, RealAudio*, DNS, HTTPS, SOCKS, Générique et Transparent). Reportez-vous à Chapitre 5, “Configuration des services Proxy”, page 69. Réseau privé virtuel (VPN) Désactivé. Aucune connexion VPN n'est définie par défaut. Pour conserver la configuration précédente, vous devez procéder manuellement. Reportez-vous à “Mise à niveau VPN à partir d'une version antérieure”, page 119 pour des informations détaillées. Reportez-vous à Chapitre 6, “Configuration des réseaux privés virtuels”, page 97. Contrôle d'accès Désactivé. Si vous activez cette fonction via l'Administrateur NetWare , la liste de contrôle d'accès contient une seule règle par défaut, qui interdit tout accès, quelles que soient la source et la cible. Reportez-vous à Chapitre 7, “Configuration du contrôle d'accès”, page 127. Services d'authentification de Novell BorderManager 3.7 Pas de paramètre par défaut. Vous devez définir une configuration initiale à l'aide de l'Administrateur NetWare. Reportez-vous à Chapitre 8, “Configuration des services d'authentification”, page 139. Installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 25 Manual Service Rev 99a (FRA) 25 September 00 Paramètre par défaut Alerte Novell Le paramètre Hériter est BorderManager 3.7 sélectionné par défaut. La configuration de l'alerte est héritée d'un conteneur situé à un niveau supérieur dans l'arborescence NDS ou eDirectory. 26 29 Informations sur la configuration Reportez-vous à Chapitre 9, “Configuration de la notification d'alerte”, page 153. Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual 2 Rev 99a (FRA) 25 September 00 29 Configuration des filtres de paquets Le filtrage des paquets offre une sécurité au niveau de la couche réseau, permettant de contrôler les types d'informations transmis entre les réseaux et les hôtes. Novell® BorderManager® prend en charge les filtres RIP (Routing Information Protocol), EGP (External Gateway Protocol) et les filtres de transmission de paquets qui permettent de contrôler les informations relatives aux services et aux routes des protocoles courants, tels que le logiciel IPXTM (Internetwork Packet ExchangeTM ) et TCP/IP. Si vous avez choisi de sécuriser toutes les interfaces publiques de votre serveur Novell BorderManager 3.7 lors de l'installation, un ensemble de filtres par défaut est configuré à cette étape. Si vous avez effectué une mise à niveau, les filtres existants ont été conservés et les filtres par défaut se sont ajoutés à la liste de filtres. Les filtres par défaut bloquent l'ensemble du trafic passant par les interfaces publiques à l'exception du trafic réacheminé vers et à partir d'un service Novell BorderManager 3.7 activé. Novell BorderManager 3.7 crée des exceptions pour permettre des services sélectionnés pendant l'installation. Ce chapitre détaille les tâches à accomplir pour configurer le filtrage des paquets de façon à permettre aux services supplémentaires de transiter via le serveur Novell BorderManager 3.7. Avec Novell BorderManager 3.7 sur NetWare® 6, les filtres TCP/IP peuvent également être configurés via Novell iManager. Configuration des filtres de paquets Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 27 Manual Rev 99a (FRA) 25 September 00 29 Les sections suivantes sont développées : ! “Conditions préalables au filtrage des paquets”, page 28 ! “Configuration des filtres par défaut”, page 28 ! “Utilisation de Novell iManager pour la configuration des filtres”, page 29 ! “Utilisation de FILTCFG pour la configuration des filtres”, page 33 Conditions préalables au filtrage des paquets Avant de configurer des filtres de paquets pour votre serveur Novell BorderManager 3,7, munissez-vous des informations suivantes : ! Règles de sécurité spécifiques à votre société Les règles de sécurité doivent définir les communications autorisées avec les sources externes et entre les différents segments de l'intranet de la société. ! Topologie actuelle du réseau Vous devez connaître l'agencement des composants de votre réseau. ! Informations sur les autres composants pare-feu Vous devez connaître les autres mesures de sécurité actuellement en vigueur (ou ultérieurement) afin de ne pas contourner ou ignorer ces mesures. Configuration des filtres par défaut Si vous n'avez pas opté pour la sécurisation des interfaces publiques de Novell BorderManager 3.7 lors de l'installation, vous pouvez le faire à tout moment. Pour configurer les filtres par défaut : 1 À l'invite de la console du serveur, tapez LOAD BRDCFG 2 À l'invite, sélectionnez Oui pour configurer les filtres par défaut, puis appuyez sur Entrée. 3 Lorsque le système vous invite à lancer INETCFG, sélectionnez Non > appuyez sur Entrée. 28 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 4 À partir du menu Options de configuration des filtres, sélectionnez Configurer les filtres sur l'interface publique > appuyez sur Entrée. 5 Sélectionnez l'interface publique dans la liste > appuyez sur Entrée. 6 Suivez les invites pour activer et configurer les filtres par défaut. Les paramètres des filtres par défaut bloquent l'ensemble du trafic IPX et IP à l'exception des échanges entre la passerelle IP Novell, les services proxy et les réseaux privés virtuels (VPN). La prise en charge des filtres pour IPX et TCP/ IP est automatiquement activée lorsque les filtres par défaut sont activés. Pour activer manuellement l'option Support des filtres du protocole TCP/IP : 1 À l'invite de la console du serveur, tapez LOAD INETCFG 2 Sélectionnez Protocoles > TCP/IP > Support des filtres > État. 3 Sélectionnez Activé ou Désactivé > appuyez sur Entrée. Remarque : Si Support des filtres est désactivé, le protocole fonctionne comme si le module de filtrage n'était pas chargé. Dans ce cas, le filtrage n'a pas lieu. Si Support des filtres est activé, les modifications effectuées sur la configuration des filtres s'appliquent immédiatement sans que vous n'ayez à réinitialiser le serveur. Remarque : Ce chapitre décrit les tâches requises pour la configuration initiale du filtrage des paquets de Novell BorderManager 3.7. Pour obtenir des informations sur la planification et le concept du filtrage des paquets, reportez-vous au Guide de présentation et de planification de Novell BorderManager 3.7, disponible dans la documentation en ligne. Assurez-vous de bien comprendre ces informations avant de configurer le filtrage des paquets. Utilisation de Novell iManager pour la configuration des filtres Ces sections vous expliquent comment utiliser Novell iManager pour configurer des filtres sur NetWare 6. Le rôle de gestion des accès et la tâche de configuration du filtrage des paquets de Novell BorderManager (NBM) se greffent automatiquement sur Novell iManager pendant l'installation de Novell BorderManager 3.7. Par défaut, ce rôle est uniquement attribué à l'administrateur. Loguez-vous à Novell iManager pour utiliser la tâche de configuration du filtrage de paquets. Configuration des filtres de paquets Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 29 Manual Figure 1 Rev 99a (FRA) 25 September 00 29 Écran de login de Novell iManager Lorsque vous vous loguez à Novell iManager, le rôle de gestion des accès NBM apparaît sur le panneau de gauche. Cliquez sur Gestion d'accès NBM pour afficher la tâche de configuration des filtres. Figure 2 Panneau de gestion d'accès NBM Cliquez sur la tâche de configuration des filtres pour afficher l'option de sélection de serveur NBM. 30 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Figure 3 Rev 99a (FRA) 25 September 00 29 Écran d'option de sélection de serveur Cliquez sur l'icône de sélection d'objets pour accéder au serveur que vous voulez sélectionner. Cliquez sur l'icône du serveur. Le serveur sélectionné apparaît sur la page principale. Cliquez sur OK. Configuration des filtres de paquets Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 31 Manual Figure 4 Rev 99a (FRA) 25 September 00 29 Zone de liste des tâches Sélectionnez la tâche à effectuer dans la zone de liste > cliquez sur OK. 32 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Utilisation de FILTCFG pour la configuration des filtres Ces sections vous expliquent comment utiliser FILTCFG sur le serveur de Novell BorderManager 3.7 : ! “Configuration des filtres exceptionnels des paquets sortants”, page 33 ! “Configuration des filtres exceptionnels pour les paquets entrants”, page 40 ! “Définition de types personnalisés de paquet avec état”, page 42 ! “Enregistrement des filtres dans un fichier texte”, page 43 ! “Activation de la consignation globale des paquets IP”, page 44 ! “Exécution de tâches de configuration et de gestion avancées”, page 45 Configuration des filtres exceptionnels des paquets sortants Étant donné que les filtres par défaut n'autorisent pas automatiquement certains types de paquets à traverser le pare-feu, il peut s'avérer nécessaire d'activer des filtres exceptionnels pour activer d'autres services. Les types de paquets définis par le système permettent de configurer des filtres d'exceptions de paquets avec état pour les services suivants : ! DNS via UDP ! DNS via TCP ! FTP ! Ping ! POP3 ! Simple Mail Transfer Protocol (SMTP) ! Telnet ! HTTP ! HTTPS Configuration des filtres de paquets Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 33 Manual Rev 99a (FRA) 25 September 00 29 Avec le filtrage des paquets avec état (dynamique), il suffit de définir les exceptions qui permettent à des types spécifiques de trafic sortant se dirigeant vers des cibles précises d'être réacheminés par le serveur Novell BorderManager 3.7. Le filtrage des paquets avec état contrôle chaque connexion et crée un filtre temporaire (d'une durée limitée) exceptionnel pour la connexion entrante. Vous pouvez ainsi bloquer le trafic entrant provenant d'une adresse ou d'un numéro de port particulier tout en autorisant le trafic de retour de la même provenance. Le filtrage des paquets avec état assure le suivi des paquets sortants dont il a autorisé la transmission et n'autorise que le retour des paquets de réponse correspondants. Lorsque le premier paquet est transmis au réseau public (Internet), un filtre inverse est créé de façon dynamique. Pour qu'il puisse être considéré comme une réponse, le paquet entrant doit provenir de l'hôte et du port auquel le paquet sortant a été initialement envoyé. Pour configurer les exceptions de réacheminement des paquets avec état afin d'acheminer le trafic sortant via le serveur Novell BorderManager 3.7 : 1 À l'invite de la console du serveur, tapez LOAD FILTCFG 2 À partir du menu Options de configuration des filtres, sélectionnez Configurer les options de l'interface > appuyez sur Entrée. 3 Sélectionnez une interface dans la liste et appuyez sur Tab pour passer de Publique à Privée. Toutes les interfaces figurant dans la liste peuvent être désignées comme publiques (externes) ou privées (internes). 4 Appuyez sur Échap > sélectionnez Configurer les filtres TCP/IP > Filtres de transmission de paquet. L'écran qui s'affiche doit être identique à celui-ci. 34 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Figure 5 Rev 99a (FRA) 25 September 00 29 Écran Filtres de transmission de paquet 5 Procédez comme suit : ! Si l'état est Désactivé, appuyez sur Entrée > sélectionnez Activé > appuyez de nouveau sur Entrée. Les filtres TCP/IP configurés précédemment deviennent immédiatement actifs. ! Si l'opération sélectionnée est Autoriser les paquets dans la liste des filtres > appuyez sur Entrée > sélectionnez Refuser les paquets dans la liste des filtres > appuyez de nouveau sur Entrée. Les paquets correspondant aux types figurant dans la liste des filtres ne seront pas transmis par le serveur Novell BorderManager 3.7. 6 Sélectionnez Filtres et appuyez sur Entrée pour afficher la liste des filtres. Un filtre par défaut défini lors de l'installation bloque tous les paquets IP entrants provenant de l'interface publique. 7 Appuyez sur Échap. Configuration des filtres de paquets Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 35 Manual Rev 99a (FRA) 25 September 00 29 8 Sélectionnez Exceptions > appuyez sur Entrée pour afficher la liste des exceptions. Un filtre exceptionnel par défaut défini lors de l'installation autorise tous les paquets IP sortants à être acheminés via l'interface publique. D'autres filtres exceptionnels permettent aux paquets entrants mentionnés ci-après de transiter via l'interface publique : ! Authentification SSL (Secure Sockets Layer) Port TCP 443. ! TCP dynamique —Ports TCP 1024 à 65535. ! UDP dynamique —Ports UDP 1024 to 65535. ! Maître/esclave VPN (IPX/TCP) Port TCP 213. ! Authentification du client VPN—Port TCP 353. ! VPN "rester en vie" Port UDP 353 ! Protocole SKIP (Simple Key Management for Internet Protocol) Protocol 57. ! Cache proxy Web (WWW-HTTP) Port TCP 80. Remarque : Bien que les filtres exceptionnels par défaut permettent à certains paquets liés à VPN d'être réacheminés, les filtres exceptionnels VPN par défaut ne permettent pas à des paquets codés d'être acheminés d'un membre VPN à un autre. Vous devez mettre à jour les filtres destinés aux tunnels VPN chaque fois que vous configurez un serveur VPN. Pour plus d'informations, reportez-vous au manuel “Exécution de tâches de configuration et de gestion avancées”, page 45 et la Présentation et planification des réseaux privés virtuels. 9 Appuyez sur Inser pour définir un nouveau filtre exceptionnel pour le réacheminement des paquets sortants. L'écran Définir l'exception s'affiche, comme suit. 36 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Figure 6 Rev 99a (FRA) 25 September 00 29 Écran Définir l'exception 10 Sélectionnez Type d'interface source > appuyez sur Entrée. 11 Sélectionnez Interface ou Groupe d'interfaces > appuyez sur Entrée. 12 Sélectionnez Interface source > appuyez sur Entrée. 13 Sélectionnez l'interface privée du serveur Novell BorderManager 3.7 ou le groupe d'interfaces > appuyez sur Entrée. 14 Si vous avez sélectionné une interface WAN, sélectionnez Circuit source et appuyez sur Entrée pour définir les informations de circuit suivantes qui s'appliquent à l'interface : ! DLCI Frame Relay local # (pour relais de trame) : numéro du circuit d'identification de la connexion de données (DLCI) utilisé pour les appels. ! ID de système à distance (pour PPP, X.25 ou ATM) : nom du serveur système distant ou d'un homologue distant associé à ce circuit. ! Type de paramètre du circuit (pour X.25 ou ATM) : type du circuit virtuel utilisé pour établir une connexion. ! Adresse DTE à distance (pour X.25) : adresse du terminal de données X.121 (DTE) assignée au DTE distant spécifique. ! Adresse ATM à distance (pour ATM) : adresse assignée à l'ATM (Asynchronous Transfer Mode) distant spécifique. Configuration des filtres de paquets Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 37 Manual Rev 99a (FRA) 25 September 00 29 15 Sélectionnez Type d'interface cible > appuyez sur Entrée. 16 Sélectionnez Interface ou Groupe d'interfaces > appuyez sur Entrée. 17 Sélectionnez Interface cible > appuyez sur Entrée. 18 Sélectionnez l'interface publique du serveur Novell BorderManager 3.7 ou le groupe d'interfaces > appuyez sur Entrée. 19 Si vous avez sélectionné une interface WAN, sélectionnez Circuit cible > appuyez sur Entrée pour définir les informations de circuit suivantes qui s'appliquent à l'interface : 38 ! DLCI Frame Relay local # (pour relais de trame) : numéro du circuit DLCI utilisé pour les appels. ! ID de système à distance (pour PPP, X.25 ou ATM) : nom du serveur système distant ou d'un homologue distant associé à ce circuit. ! Type de paramètre du circuit (pour X.25 ou ATM) : type du circuit virtuel utilisé pour établir une connexion. ! Adresse DTE à distance (pour X.25) : adresse DTE X.121 assignée au DTE distant spécifique. ! Adresse ATM à distance (pour ATM) : adresse assignée à l'ATM distant spécifique. Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 20 Sélectionnez Type de paquet > appuyez sur Entrée. La fenêtre Types de paquets TCP/IP définis s'affiche. Les filtres de transmission de paquets avec état disponibles sont les suivants. Nom Type de paquet Type de transport Port cible Filtrage avec état dns/tcp-st DNS TCP 53 Activé dns/udp-st DNS UDP 53 Activé ftp-pasv-st FTP TCP 21 FTP_PASV ftp-port-st FTP TCP 21 FTP_PORT ftp-port-pasv-st FTP TCP 21 Activé ping-st PING ICMP N/A Activé pop3-st POP3 Mail TCP 110 Mode Désactivé smtp-st SMTP TCP 25 Activé telnet-st Telnet TCP 23 Activé www-http-st HTTP TCP 80 Activé www-https-st HTTPS TCP 443 Activé 21 Pour le type d'adresse source, sélectionnez N'importe quelle adresse, Hôte ou Réseau. Sélectionnez N'importe quelle adresse, sauf si vous souhaitez que l'exception ne soit valable que pour un hôte ou réseau spécifique de votre réseau privé. 22 Si vous avez sélectionné Hôte ou Réseau, sélectionnez Adresse IP source > entrez l'adresse hôte ou réseau. 23 Pour le type d'adresse cible, sélectionnez N'importe quelle adresse, Hôte ou Réseau. Sélectionnez N'importe quelle adresse, sauf si vous souhaitez que l'exception ne soit valable que pour les paquets adressés à un hôte ou réseau spécifique en dehors de votre réseau privé. Configuration des filtres de paquets Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 39 Manual Rev 99a (FRA) 25 September 00 29 24 Si vous avez sélectionné Hôte ou Réseau, sélectionnez Adresse IP cible > entrez l'adresse hôte ou réseau. 25 (Facultatif) Pour la consignation, appuyez sur Entrée, puis changez l'état de Désactivé à Activé. 26 (Facultatif) Entrez un commentaire dans le champ correspondant afin de décrire l'objectif du filtre. Appuyez sur Échap > sélectionnez Oui pour enregistrer le filtre. Appuyez sur Échap jusqu'à ce que vous soyez invité à quitter FILTCFG. Important : Si vous avez activé la consignation pour un filtre exceptionnel, vous devez également activer la consignation globale pour TCP/IP. La consignation globale et la consignation d'un filtre exceptionnel particulier doivent être activées pour permettre la consignation. Configuration des filtres exceptionnels pour les paquets entrants Si vous avez choisi de sécuriser l'interface publique du serveur Novell BorderManager 3.7' et de prendre en charge les clients de la passerelle IP Novell ou les clients SOCKS, vous devrez peut-être activer les filtres exceptionnels des paquets entrants pour leur permettre de se connecter via l'interface publique. Les clients de la passerelle IP Novell se connectent via les ports TCP 8224 et 8225, et les clients SOCKS via le port TCP 1080. Pour configurer les exceptions de réacheminement des paquets de façon à réacheminer le trafic entrant de la passerelle IP et SOCKS via l'interface publique du serveur Novell BorderManager 3.7 : 1 À l'invite de la console du serveur, tapez LOAD FILTCFG 2 Sélectionnez Configurer les filtres TCP/IP > Filtres de transmission de paquet. 3 Sélectionnez Exceptions > appuyez sur Entrée pour afficher la liste des exceptions. 4 Appuyez sur Inser pour définir un nouveau filtre exceptionnel pour le réacheminement des paquets entrants. 40 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 5 Configurez l'exception pour les clients de la passerelle IP Novell de la façon suivante : 5a Sélectionnez Type d'interface source, puis appuyez sur Entrée. 5b Sélectionnez Interface ou Groupe d'interfaces, puis appuyez sur Entrée. 5c Sélectionnez Interface source, puis appuyez sur Entrée. 5d Sélectionnez l'interface publique du serveur Novell BorderManager 3.7 ou le groupe d'interfaces, puis appuyez sur Entrée. 5e Sélectionnez Type de paquet > appuyez sur Entrée. 5f Appuyez sur Inser pour définir un nouveau type de paquet TCP/IP. 5g Sélectionnez Nom et entrez le nom du type de paquet. 5h Sélectionnez Protocole, puis appuyez sur Inser. 5i Sélectionnez TCP dans la liste de protocoles Internet couramment utilisés. 5j Acceptez <Tout> comme port(s) source. 5k Sélectionnez le(s) port(s) cible(s) et entrez 8224-8225. 5l Sélectionnez Commentaires et entrez une description du type de paquet, telle que Client de la passerelle IP Novell ou Client SOCKS. 5m Appuyez sur Échap pour ajouter le type de paquet en haut de la liste de paquets. 5n Sélectionnez le type de paquet ajouté. 5o Sélectionnez Type d'adresse cible, puis changez le paramètre de N'importe quelle adresse à Hôte. 5p Sélectionnez Adresse IP cible, puis entrez l'adresse IP affectée à l'interface publique de Novell BorderManager 3.7. 5q (Facultatif) Sélectionnez Commentaires, puis entrez une description du filtre. 5r Appuyez sur Échap pour ajouter l'exception. 6 Configurez l'exception pour les clients SOCKS. 7 Appuyez sur Échap jusqu'à ce que vous soyez invité à quitter FILTCFG. Configuration des filtres de paquets Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 41 Manual Rev 99a (FRA) 25 September 00 29 Définition de types personnalisés de paquet avec état Le pare-feu Novell BorderManager 3.7 propose de nombreux types de paquets statiques en plus des types de paquets avec état répertoriés dans “Configuration des filtres exceptionnels des paquets sortants”, page 33. Les types de paquets statiques sont ceux dont le nom ne comprend pas -st. Les types de paquets statiques sont utilisés pour définir la mise en place d'un filtrage de trafic dans un seul sens. Par exemple, au lieu de créer un filtre de paquet avec état dans un sens et de compter sur le système pour activer le filtre à durée limitée dans le sens inverse, vous pouvez créer deux filtres de paquets statiques : un pour les paquets circulant dans un sens et un pour les paquets circulant dans l'autre sens. Si les types de paquets avec état déjà définis par le serveur Novell BorderManager 3.7 n'incluent pas un type de paquet que vous souhaitez filtrer et si vous n'osez pas utiliser les filtres de paquets statiques, vous pouvez créer un type personnalisé de paquet avec état. Pour créer un type personnalisé de paquet avec état, procédez comme suit : 1 À partir de la fenêtre Types de paquets TCP/IP définis, appuyez sur Inser. 2 Entrez le nom du nouveau type de paquet dans le champ Nom. 3 Pour le champ Protocole, appuyez sur Inser puis sélectionnez IP, ICMP, IGMP, TCP ou UDP. 4 Si vous avez sélectionné TCP ou UDP, entrez le numéro de port source et cible ou une plage de numéros. 5 Ne modifiez pas le paramètre par défaut Désactiver pour Filtrage de bit ACK. Étant donné que le filtrage de bit ACK s'effectue automatiquement lorsque le filtrage des paquets avec état est activé, vous n'avez pas besoin d'activer le filtrage de bit ACK séparément. Le logiciel ne vous permet pas d'activer à la fois le filtrage de bit ACK et le filtrage des paquets avec état pour un même filtre. 42 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 6 Activez le filtrage avec état en sélectionnant l'un des modes suivants : ! Activé ! Activé pour FTP actif uniquement (PORT) ! Activé pour FTP passif uniquement (PASV) Remarque : Les deux derniers modes de filtrage avec état s'appliquent uniquement aux types de paquets FTP (port 21). Si vous souhaitez le filtrage avec état à la fois pour FTP actif et FTP passif, sélectionnez Activé. 7 (Facultatif) Entrez un commentaire pour décrire le type de paquet. La définition du type de paquet TCP/IP devrait se présenter comme suit. Figure 7 Type de paquet TCP/IP défini 8 Appuyez sur Échap pour ajouter le paquet à la liste Types de paquets TCP/IP définis. Une fois le type de paquet ajouté à la liste, vous pouvez configurer un filtre de paquet avec état à l'aide de cette définition de type de paquet. Enregistrement des filtres dans un fichier texte Pour enregistrer dans un document les filtres et exceptions activés pour votre serveur : 1 À l'invite de la console du serveur, tapez LOAD FILTCFG 2 Sélectionnez Enregistrer les filtres dans un fichier texte. 3 Entrez le nom du fichier qui doit contenir les filtres. 4 Appuyez sur Échap pour quitter FILTCFG. Configuration des filtres de paquets Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 43 Manual Rev 99a (FRA) 25 September 00 29 Activation de la consignation globale des paquets IP Le drapeau Consignation globale permet d'activer et de désactiver la consignation de tous les filtres contenus dans un protocole particulier tel que TCP/IP. Si ce drapeau n'est pas activé, aucune consignation n'a lieu, même si le drapeau de consignation a été activé pour un filtre ou une exception spécifiques. La consignation de paquets permet d'enregistrer l'activité des filtres individuels spécifiés dans la liste des filtres ou dans les listes d'exception. Remarque : Les options de consignation risquent de réduire les performances du serveur. Pensez à désactiver la consignation après le test des filtres et des exceptions. Pour activer la consignation IP : 1 À l'invite de la console du serveur, tapez LOAD FILTCFG 2 Sélectionnez Options de configuration des filtres disponibles > Configurer les filtres TCP/IP > Consignation IP globale > État. 3 Sélectionnez Activé > appuyez sur Entrée. Remarque : La consignation débute dès que l'option Consignation IP globale est activée. Si vous souhaitez consigner l'activité d'un filtre particulier, vous devez activer l'option Consignation IP globale et l'option de consignation de paquets pour le filtre en question. 4 Appuyez sur Échap jusqu'à ce que vous soyez invité à quitter FILTCFG. 44 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Exécution de tâches de configuration et de gestion avancées Outre les procédures de configuration élémentaires décrites dans ce chapitre, d'autres procédures de configuration et de gestion peuvent s'avérer nécessaires, en fonction de votre configuration spécifique. Les tâches avancées traitent des sujets suivants : ! Configuration d'un filtre HTTP ! Configuration d'un filtre FTP ! Configuration d'un filtre Telnet ! Configuration d'un filtre SMTP ! Configuration d'un filtre POP3 ! Modification des paramètres de consignation de paquets IP par défaut ! Affichage des informations de consignation des paquets IP Configuration des filtres de paquets Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 45 Manual 46 Rev 99a (FRA) 25 September 00 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 29 Manual 3 Rev 99a (FRA) 25 September 00 29 Configuration de la conversion d'adresse réseau (NAT) La conversion d'adresse réseau (NAT) de Novell® BorderManager® 3.7 permet aux clients IP du réseau local d'accéder à Internet sans que vous ayez à assigner de façon globale des adresses IP uniques à chaque système. En outre, NAT joue le rôle de filtre, limitant le nombre de connexions externes autorisées et interdisant l'initialisation des connexions entrantes depuis le réseau public. La configuration NAT consiste à sélectionner l'un des trois modes ci-après : Dynamique seulement, Statique seulement ou une combinaison des modes statique et dynamique. Le mode Dynamique seulement est utilisé pour permettre aux clients de votre réseau privé d'accéder au réseau public (par exemple, à Internet). Le mode Statique seulement est utilisé pour permettre aux clients sur le réseau public d'accéder à des ressources sélectionnées sur votre réseau privé ou pour permettre à des hôtes privés identifiés d'accéder aux hôtes publics. Le mode Statique seulement requiert également la configuration d'une table NAT. Le mode combiné statique et dynamique est utilisé lorsque les fonctions du mode statique et du mode dynamique sont requises. Le mode mixte statique et dynamique requiert également la configuration d'une table NAT pour le mode statique. Le présent chapitre comprend les sections suivantes : ! “Conditions préalables de NAT”, page 48 ! “Configuration de NAT sur une seule interface”, page 49 ! “Configuration de NAT avec les multi-origines”, page 51 ! “Exécution de tâches de configuration et de gestion avancées”, page 52 Configuration de la conversion d'adresse réseau (NAT) Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 47 Manual Rev 99a (FRA) 25 September 00 29 Remarque : Ce chapitre décrit les tâches requises pour la configuration initiale de la conversion d'adresse réseau (NAT) de Novell BorderManager 3.7. Pour obtenir des informations sur la planification et le concept de NAT, reportez-vous au Guide de présentation et de planification de Novell BorderManager 3.7, disponible dans la documentation en ligne. Assurez-vous de bien comprendre ces informations avant de configurer NAT. Conditions préalables de NAT Avant de configurer NAT, vérifiez que les conditions préalables ont été remplies : ! Vous avez obtenu une adresse IP enregistrée pour chaque interface publique sur le serveur. ! TCP/IP a été activé et lié à deux cartes d'interface (interfaces publique et privée). Si votre installation Novell BorderManager 3.7 a réussi, cette condition préalable a été remplie pour au moins une carte. ! Pour les interfaces avec TCP/IP activé, le réacheminement d'un paquet IP a été activé ou le routage statique a été activé en vue de l'utilisation d'une table de routage statique. Pour activer le réacheminement d'un paquet IP à partir de la console du serveur, chargez INETCFG, sélectionnez Protocoles > TCP/IP et passez de l'état Désactivé " noeud de fin " à l'état Activé " Routeur " pour la transmission d'un paquet IP. Pour configurer un routage statique à partir de la console du serveur, chargez INETCFG, sélectionnez Protocoles > TCP/IP, activez Routage statique LAN, puis sélectionnez Table de routage statique LAN pour entrer des routes statiques. ! Une connexion ISP (Internet Service Provider) a été configurée avec une bande passante assez importante pour le nombre d'utilisateurs sur votre réseau. Si le serveur Novell BorderManager 3.7 n'offre pas de connexion au fournisseur ISP, assurez-vous que le serveur comporte une route statique configurée ou que le routeur au fournisseur ISP se trouve dans le chemin de routage du serveur Novell BorderManager 3.7. 48 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Remarque : Nous partons du principe que tous les clients qui utiliseront l'interface NAT comme route par défaut vers Internet ont déjà été configurés avec une pile TCP/IP et une adresse IP. L'adresse IP peut être enregistrée ou désenregistrée. Configuration de NAT sur une seule interface Pour activer et configurer NAT sur une interface LAN ou WAN : 1 À partir de la console du serveur, entrez LOAD INETCFG 2 Sélectionnez Protocoles > Liaisons. 3 Sélectionnez l'interface appropriée à laquelle TCP/IP est lié. NAT peut être configuré sur l'interface privée ou publique. L'interface publique est une interface LAN ou WAN qui connecte votre routeur à Internet ou à un autre réseau public. NAT est plus couramment utilisé sur l'interface publique. 4 Sélectionnez Options de liaison TCP/IP expert. 5 Sélectionnez NAT (Network Address Translation). 6 Définissez l'état sur Dynamique seulement, Statique et dynamique ou Statique seulement. 7 Si vous définissez l'état sur Statique seulement ou Statique et dynamique, exécutez les étapes suivantes pour assigner des adresses IP privées à des adresses IP publiques : 7a Sélectionnez Table de conversion d'adresse réseau. 7b Appuyez sur Inser pour ouvrir la fenêtre Entrée de la conversion d'adresse réseau. 7c Dans le champ Adresse publique, entrez l'adresse IP publique à laquelle une adresse privée est assignée. 7d Dans le champ Adresse privée, entrez l'adresse IP de l'hôte privé à laquelle vous souhaitez accéder via des hôtes publics en utilisant l'adresse IP publique. 7e Appuyez sur Échap pour ajouter une entrée à la table NAT. 7f Pour une traduction d'adresse des requêtes entrantes, répétez les étapes pour chaque hôte privé auquel accéder via des hôtes publics. Configuration de la conversion d'adresse réseau (NAT) Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 49 Manual Rev 99a (FRA) 25 September 00 29 7g (Facultatif) Si vous avez sélectionné Statique seulement, pour une conversion d'adresse des requêtes entrantes, répétez les étapes pour chaque hôte privé auquel vous souhaitez accéder sur Internet par le biais de l'interface NAT en utilisant une adresse publique. Les adresses publiques peuvent être sur le même réseau ou sous-réseau que l'adresse IP principale, ou sur un réseau ou sous-réseau distinct. Si les adresses publiques se trouvent sur le même réseau ou sous-réseau, utilisez les multi-origines, comme décrit dans “Configuration de NAT avec les multi-origines”, page 51, pour ajouter des adresses secondaires à l'interface NAT. Chaque adresse hôte privée peut être assignée à une adresse hôte publique uniquement. Pour accéder à des hôtes IP en utilisant l'adresse publique du réseau privé, assurez-vous que la combinaison d'adresses statiques indique la même adresse à la fois pour les adresses publiques et privées. Si NAT est connecté à Internet à l'aide de liaisons WAN à plusieurs accès, vous devez ajouter des routes statiques sur votre routeur externe afin que les paquets destinés à l'une des adresses publiques soient acheminés vers l'interface NAT. 8 Si vous définissez l'état sur Statique seulement ou Statique et dynamique, configurez une adresse secondaire pour chaque adresse publique que vous avez configuré dans la table NAT. Reportez-vous à “Configuration de NAT avec les multi-origines”, page 51 pour des instructions sur la configuration d'une adresse secondaire. 9 Appuyez sur Échap jusqu'à ce que vous soyez invité à mettre à jour vos modifications, puis sélectionnez Oui. 10 Appuyez sur Échap jusqu'à ce que vous soyez invité à quitter INETCFG, puis sélectionnez Oui. 11 Si vous souhaitez que la configuration NAT prenne effet immédiatement, arrêtez et redémarrez le serveur. 50 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Configuration de NAT avec les multi-origines Les multi-origines permettent au serveur de disposer de plusieurs adresses IP. Les multi-origines peuvent être conçues en ajoutant une adresse IP secondaire à une interface existante ou en ajoutant une autre interface au serveur et en lui liant une autre adresse IP. Une adresse IP secondaire ajoutée à une interface existante doit figurer sur le même réseau que l'adresse IP déjà liée à cette interface. S'il existe plusieurs interfaces et si l'adresse IP secondaire ajoutée n'est valide sur aucun des réseaux existants, l'adresse est rejetée et un message d'erreur apparaît à la console du serveur. Par exemple, si les adresses IP 130.57.0.1 et 10.0.0.1 sont liées à deux interfaces et si vous essayez d'ajouter 172.16.1.1 comme adresse IP secondaire, celle-ci est rejetée puisqu'elle n'appartient pas au même réseau que les deux premières. Les multi-origines sont obligatoires pour NAT lorsque vous utilisez le mode statique. Pour un exemple d'utilisation du multi-origine avec NAT, reportezvous à la documentation en ligne relative à NAT. Pour des informations sur la configuration de NAT pour une implémentation spécifique avec les services proxy ou le réseau privé virtuel (VPN), reportez-vous à Chapitre 5, “Configuration des services Proxy”, page 69 ou à Chapitre 6, “Configuration des réseaux privés virtuels”, page 97. Lorsque les multi-origines sont utilisées avec un serveur proxy, un VPN, NAT ou une autre application TCP/IP, un administrateur doit configurer des adresses secondaires à partir de la console du serveur. Pour configurer des adresses IP secondaires pour les multi-origines : 1 À partir de la console du serveur, entrez LOAD INETCFG 2 Sélectionnez Protocoles. 3 Si TCP/IP n'a pas été configuré sur l'interface publique lors de l'installation, activez TCP/IP sous Protocoles > liez une adresse IP à l'interface publique sous Liaisons. 4 Appuyez sur Échap jusqu'à ce que vous soyez invité à enregistrer vos modifications > sélectionnez Oui. 5 Sélectionnez Gérer la configuration > Éditer AUTOEXEC.NCF. Configuration de la conversion d'adresse réseau (NAT) Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 51 Manual Rev 99a (FRA) 25 September 00 29 6 Ajoutez une adresse IP secondaire en entrant la commande suivante après la ligne qui exécute INITSYS.NCF: ADD SECONDARY IPADDRESS n.n.n.n où n.n.n.n est l'adresse IP secondaire de votre serveur. Important : Cette commande ne prendra effet qu'au redémarrage du système. Pour qu'elle s'applique immédiatement, entrez-la à la console du serveur. 7 Pour supprimer ou afficher les adresses IP secondaires, appuyez sur Alt+Échap jusqu'à l'affichage de l'invite de la console du serveur. Vous pouvez supprimer des adresses IP secondaires en entrant la commande suivante : DELETE SECONDARY IP ADDRESS n.n.n.n où n.n.n.n est l'adresse IP secondaire de votre serveur. Assurez-vous que les commandes correspondantes sont également supprimées de AUTOEXEC.NCF lorsque vous supprimez des adresses IP secondaires. Vous pouvez afficher des adresses IP secondaires en entrant la commande suivante : DISPLAY SECONDARY IP ADDRESS Exécution de tâches de configuration et de gestion avancées Outre les procédures de configuration élémentaires décrites dans ce chapitre, d'autres procédures de configuration et de gestion peuvent s'avérer nécessaires, en fonction de votre configuration spécifique. Les tâches avancées sont décrites dans la documentation en ligne relative à NAT et traitent des sujets suivants : ! Utilisation de NAT dans un réseau privé ! Gestion de NAT 52 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual 4 Rev 99a (FRA) 25 September 00 29 Configuration de la passerelle IP Novell La passerelle IP Novell® permet aux clients Internetwork Packet ExchangeTM (IPXTM) et IP de votre réseau local d'accéder à Internet sans que vous ayez à assigner de façon globale des adresses IP uniques à chaque système local. La passerelle IP Novell prend également en charge les clients SOCKS. En outre, la passerelle IP Novell vous permet de masquer les adresses IP de votre réseau local sur Internet et de contrôler l'accès des clients locaux. Ce chapitre explique les tâches à accomplir pour configurer la passerelle IP Novell de Novell BorderManager®. ! “Conditions préalables pour la passerelle IP Novell”, page 53 ! “Configuration de la passerelle IP Novell”, page 58 ! “Configuration des clients de la passerelle”, page 64 ! “Exécution de tâches de configuration et de gestion avancées”, page 68 Remarque : Ce chapitre décrit les tâches requises pour la configuration initiale de la passerelle IP Novell. Pour obtenir des informations sur la planification et le concept de la passerelle IP Novell, reportez-vous au Guide de présentation et de planification de Novell BorderManager 3.7, disponible dans la documentation en ligne. Assurez-vous de bien comprendre ces informations avant de configurer la passerelle IP Novell. Conditions préalables pour la passerelle IP Novell Avant de configurer la passerelle IP Novell, assurez-vous que les conditions préalables suivantes sont remplies : ! “Conditions préalables pour la passerelle IP Novell”, page 53 Configuration de la passerelle IP Novell Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 53 Manual Rev 99a (FRA) 25 September 00 29 Conditions préalables relatives au serveur Avant de configurer la passerelle IP Novell, vérifiez que les conditions préalables suivantes sont satisfaites au niveau du serveur de la passerelle : ! Vous avez obtenu une adresse IP enregistrée pour chaque interface publique. ! Vous avez activé TCP/IP pour une ou plusieurs cartes d'interface (accompli lors d'une installation réussie de Novell BorderManager 3.7). ! Pour les interfaces avec TCP/IP activé, le réacheminement d'un paquet IP ou le routage statique a été activé en vue de l'utilisation d'une table de routage statique. Pour activer le réacheminement d'un paquet IP à partir de la console du serveur, chargez INETCFG, sélectionnez Protocoles > TCP/IP, et passez de l'état Désactivé " noeud de fin " à l'état Activé " Routeur " pour la transmission d'un paquet IP. Pour configurer un routage statique à partir de la console du serveur, chargez INETCFG, sélectionnez Protocoles > TCP/IP, activez Routage statique LAN, puis sélectionnez Table de routage statique LAN pour entrer des routes statiques. ! (Pour le service de passerelle IPXTM/IP uniquement) Le protocole IPX a été configuré et lié à une interface au moins. Pour configurer IPX à partir de la console du serveur, chargez INETCFG > sélectionnez Protocoles > IPX. Pour lier IPX à une interface sur le serveur, chargez INETCFG et sélectionnez Liaisons. ! Une connexion ISP (Internet Service Provider) a été configurée avec une bande passante assez importante pour le nombre d'utilisateurs sur votre réseau. Si le serveur Novell BorderManager 3.7 n'offre pas de connexion au fournisseur ISP, assurez-vous que le serveur comporte une route statique configurée ou que le routeur au fournisseur ISP se trouve dans le chemin de routage du serveur Novell BorderManager 3.7. ! Les services PKI (Public Key Infrastructure) de Novell et les services d'authentification sécurisée (SAS) ont été installés sur le serveur afin de permettre l'authentification SSL (Secure Sockets Layer) des clients SOCKS 5. Les services PKI et SAS ne sont pas déjà installés, ils sont installés automatiquement au cours de l'installation de Novell BorderManager 3.7. 54 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Dès que SAS et PKI sont installés, utilisez le snap-in PKI de l'Administrateur NetWare pour exécuter les tâches administratives liées à SSL, telles que : ! L'importation de certificats signés par une autorité de certification (CA) externe ! La création et la gestion d'objets matériels clés (KMO) utilisés pour stocker des paires de clés dans NDS® ou Novell eDirectoryTM ! La création d'une autorité certifiée de l'arborescence NDS (CA) ou eDirectory pour signer des certificats utilisés sur un réseau privé Vous trouverez plus d'informations sur les services PKI de Novell et les autorités certifiées dans la documentation en ligne NetWare. Reportez-vous à l'aide en ligne PKI de Novell dans l'Administrateur NetWare pour obtenir les procédures de création et de gestion des objets KMO et des autorités de certification sur les arborescences NDS ou eDirectory. ! Le résolveur DNS (Domain Name System) doit être configuré de manière à fournir un nom de domaine valide pour DNS et l'adresse IP d'au moins un serveur de nom DNS afin de résoudre les noms d'hôtes IP. Vous avez dû accomplir cette tâche lors de l'installation du produit BorderManager. Si le résolveur DNS n'est pas configuré, reportez-vous à “Conditions préalables pour la passerelle IP Novell”, page 53. ! Le filtrage des paquets a été configuré pour autoriser les requêtes DNS et les paquets de réponse. Par défaut, le filtrage des paquets est configuré lors de l'installation pour bloquer tout trafic entrant et sortant. Pour modifier la configuration, reportez-vous à Chapitre 2, “Configuration des filtres de paquets”, page 27. Configuration de la passerelle IP Novell Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 55 Manual Rev 99a (FRA) 25 September 00 29 Configuration du résolveur DNS Pour configurer le résolveur DNS, effectuez les opérations suivantes à la console du serveur : 1 Entrez LOAD NIASCFG, puis sélectionnez Configurer NIAS > Protocoles et routage > Protocoles > TCP/IP > Configuration du résolveur DNS. 2 Entrez le nom de domaine DNS pour votre société ou votre organisation. Votre fournisseur de services Internet (ISP) fournit généralement ce nom. En général, les noms de domaine prennent la forme société_nom.com ou organisation.org. Par exemple, novell.com ou acme.org. 3 Entrez les adresses IP de trois serveurs de nom DNS au maximum dans les champs Serveur de noms. Les ISP offrent souvent l'accès à plusieurs serveurs de nom DNS. 4 Appuyez sur Échap pour sélectionner Oui et mettre à jour la configuration TCP/IP. 5 Appuyez sur Échap jusqu'à ce que vous reveniez au menu Configuration inter-réseau > sélectionnez Reinitialize System (Réinitialiser le système) et quittez NIASCFG. Conditions préalables relatives au client Les conditions préalables relatives au client sont décrites dans les sections suivantes : ! “Conditions préalables pour la passerelle IP Novell”, page 53 Conditions préalables relatives à l'administration de la passerelle IP Novell Les éléments suivants doivent être installés sur le client utilisé par l'administrateur pour configurer les services de passerelle IP Novell : ! Windows 98, Windows* 2000, Windows* XP, Windows* Me ou Windows* NT. ! Novell ClientTM pour logiciel Windows ! Snap-ins Novell BorderManager 3.7 sur l'Administrateur NetWare ! Snap-in des services PKI de Novell sur l'Administrateur NetWare, si le service SOCKS de la passerelle IP Novell est configuré pour utiliser SSL. 56 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Remarque : Les modules snap-in Novell BorderManager 3.7 et PKI peuvent être installés sur le serveur au lieu du client. Ceci est préférable si un administrateur qui utilise plusieurs ordinateurs client dispose d'un script de login pour assigner régulièrement une unité à un répertoire sur lequel est exécuté l'Administrateur (les snap-ins sont installés dans ce répertoire). Conditions préalables relatives au client de la passerelle IPX/IP Les éléments suivants doivent être installés sur un client qui accède à Internet à l'aide du service de passerelle IPX/IP : ! Windows 98, Windows 2000, Windows XP, Windows Me ou Windows NT ! Le client Novell pour Windows ! Le composant de passerelle IP de Novell du logiciel client Novell Conditions préalables relatives au client de la passerelle IP/IP Les éléments suivants doivent être installés sur un client qui accède à Internet à l'aide du service de passerelle IP/IP : ! Windows 98, Windows 2000, Windows XP, Windows Me ou Windows NT ! La pile TCP/IP de Novell (pour des clients Windows 3.1) ou la pile TCP/ IP Microsoft* (pour tous les autres clients Windows) ! Le client Novell pour Windows ! Le composant de passerelle IP de Novell du logiciel client Novell Conditions préalables relatives au client SOCKS Un client SOCKS qui accède à Internet en utilisant le service SOCKS de la passerelle IP de Novell ne requiert aucune configuration spécifique. Néanmoins, pour activer la passerelle IP de Novell de façon à contrôler ou à authentifier les utilisateurs SOCKS, les conditions suivantes doivent être remplies : ! Un administrateur doit créer un objet Utilisateur dans NDS ou eDirectory pour chaque utilisateur SOCKS. Un utilisateur SOCKS se servant également du logiciel client Novell dispose d'un objet Utilisateur. Néanmoins, les utilisateurs SOCKS dont les ordinateurs client fonctionnent sous UNIX*, Macintosh* ou OS/2* requièrent probablement un nouvel objet Utilisateur. Configuration de la passerelle IP Novell Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 57 Manual Rev 99a (FRA) 25 September 00 29 ! Les noms d'utilisateur et les mots de passe créés dans NDS ou eDirectory doivent correspondre aux noms d'utilisateur et mots de passe que les clients SOCKS 5 utilisent déjà ; ceci afin d'éviter toute confusion. Cette condition préalable ne s'applique pas aux utilisateurs SOCKS 4 car ils n'ont pas besoin de mot de passe pour l'authentification. Configuration de la passerelle IP Novell La passerelle IP Novell comprend deux passerelles au niveau du circuit : ! La passerelle IPX/IP, qui fournit aux clients IPX un accès sécurisé et contrôlé vers Internet. ! La passerelle IP/IP, qui fournit des clients IP fonctionnant sous Windows avec un accès sécurisé et contrôlé vers Internet. Lorsque la passerelle IP Novell est configurée pour fonctionner comme un serveur SOCKS, vous pouvez également l'utiliser pour authentifier des clients SOCKS et déterminer leur accès aux ressources du réseau en utilisant les règles de contrôle d'accès stockées dans la base de données NDS ou eDirectory. Remarque : Vous pouvez activer l'exécution simultanée de la passerelle IPX/IP, de la passerelle IP/IP et des services SOCKS sur le même serveur. Ceci permet aux clients Windows, ainsi qu'aux clients SOCKS d'accéder à Internet par l'intermédiaire du même serveur Novell BorderManager 3.7. Les trois services de passerelle sont configurés à l'aide de l'Administrateur NetWare. Pour des instructions détaillées, reportez-vous à la procédure cidessous : ! “Configuration de la passerelle IP Novell”, page 58 Configuration du service de passerelle IPX/IP ou IP/IP Vous pouvez configurer le service de passerelle IPX/IP afin de permettre aux clients Windows qui n'ont pas d'adresse IP attribuée de prendre en charge les applications TCP/IP. Vous pouvez configurer le service de passerelle IP/IP pour la prise en charge du contrôle d'accès NDS ou eDirectory pour des réseaux dont les clients utilisent TCP/IP. 58 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Pour configurer le service de passerelle IPX/IP ou IP/IP : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Cliquez sur l'onglet Passerelle. 3 Sous Activer le service, sélectionnez la case Passerelle IPX/IP ou Passerelle IP/IP. 4 (Facultatif) Si vous souhaitez assigner un autre numéro de port au trafic de passerelle, effectuez les opérations suivantes pour modifier le port de service de la passerelle : 4a Sous Activer le service, double-cliquez sur la passerelle contenant le port de service à modifier ou sélectionnez la passerelle et cliquez sur Détails. 4b Sous Attributs de service, entrez un autre numéro de port dans le champ Port de service. Par défaut, les deux passerelles utilisent le port 8225 (décimal). Bien que la modification du port de service ne soit pas recommandée, si un autre service utilise ce port, vous pouvez assigner un numéro de port différent au trafic de passerelle. 5 (Facultatif) Si vous souhaitez activer l'authentification single sign-on pour le service de passerelle IPX/IP, sélectionnez la case Single Sign-on sous Attributs de service. L'authentification single sign-on permet à la passerelle IPX/IP d'authentifier l'utilisateur en arrière-plan si ce dernier s'est déjà logué dans NDS ou eDirectory. Grâce au single sign-on, les utilisateurs n'ont pas besoin de fournir un nom d'utilisateur et un mot de passe pour accéder aux ressources par l'intermédiaire de la passerelle. Si l'option Single sign-on n'est pas activée, le logiciel de la passerelle IP Novell exécute une authentification secondaire lorsqu'un utilisateur essaye d'accéder aux ressources via le service de passerelle IPX/IP, qu'il se soit déjà logué ou non. Remarque : Le single sign-on s'applique uniquement au service de passerelle IPX/IP. Cette option n'est pas prise en compte lorsque le service de passerelle IP/ IP est utilisé. Configuration de la passerelle IP Novell Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 59 Manual Rev 99a (FRA) 25 September 00 29 6 Cliquez deux fois de suite sur OK pour fermer la fenêtre Configurer les services de passerelle et la page de configuration de Novell BorderManager 3.7. Lorsque vous fermez la page de configuration de Novell BorderManager 3.7, le serveur charge IPXIPGW.NLM, le fichier NLM de la passerelle et crée un objet Serveur de passerelle dans l'arborescence NDS ou eDirectory. Reportez-vous à Chapitre 7, “Configuration du contrôle d'accès”, page 127 pour des informations sur la configuration et l'utilisation du contrôle d'accès avec la passerelle IP Novell. Important : Les règles de contrôle d'accès configurées pour l'objet Serveur à l'aide d'un logiciel de passerelle IPX/IP antérieur à Novell BorderManager 3.7 ne fonctionnent plus lorsque avez vous mis à niveau votre serveur pour Novell BorderManager 3.7 et activé la passerelle IP Novell. Pour être effectives, ces règles doivent être reconfigurées pour l'objet Serveur. Configuration du service SOCKS 4 ou SOCKS 5 Si des clients SOCKS 4 ou SOCKS 5 sont installés sur votre réseau et que vous souhaitez contrôler leur accès à Internet par le biais de la passerelle IP Novell, vous devez configurer le service SOCKS. Lors de la procédure de configuration, vous devez soit indiquer les paramètres d'authentification SOCKS 5, soit activer la vérification d'utilisateur SOCKS 4 (ou les deux si votre réseau regroupe à la fois des clients SOCKS 4 et SOCKS 5). Pour configurer le service SOCKS sur la passerelle IP Novell : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Sélectionnez l'onglet Passerelle. 3 Sous Activer le service, sélectionnez la case SOCKS V4 et V5. 4 (Facultatif) Si vous souhaitez assigner un autre numéro de port au trafic SOCKS, effectuez les opérations suivantes pour modifier le port de service de la passerelle : 4a Sous Activer le service, double-cliquez sur SOCKS V4 et V5 ou sélectionnez SOCKS V4 et V5 puis cliquez sur Détails. 60 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 4b Dans le champ Port de service, entrez un autre numéro de port. Par défaut, le service SOCKS utilise le port 1080 (décimal). Bien que la modification du numéro du port de service ne soit pas recommandée, si un autre service utilise ce port, vous pouvez assigner un numéro de port différent au trafic SOCKS. Important : Si vous modifiez le numéro du port de service, vous devez modifier la configuration de tous les clients SOCKS afin d'utiliser le nouveau numéro de port. 4c Cliquez sur OK pour fermer la fenêtre Configurer SOCKS V4 et V5. 5 Définissez les paramètres d'authentification SOCKS 5 selon la procédure ci-dessous : 5a Sous Activer le service, double-cliquez sur SOCKS V4 et V5 ou sélectionnez SOCKS V4 et V5 > cliquez sur Détails. 5b Sous Authentification SOCKS V5, sélectionnez une ou toutes les méthodes d'authentification ci-dessous (répertoriées dans l'ordre croissant de priorité) : Il existe une autre méthode d'authentification pour les utilisateurs des clients SOCKS 5. Les utilisateurs de clients SOCKS 5 peuvent utiliser des périphériques de sécurité tels que des jetons matériels en plus de leur mot de passe NDS ou eDirectory. Les règles de login qui définissent les règles d'authentification et les méthodes d'accès nécessaires aux utilisateurs à distance pour leur authentification sont stockées dans l'objet Règle de login NDS ou eDirectory. Reportezvous à la documentation en ligne relative aux services d'authentification pour plus d'informations. Important : Si plusieurs méthodes d'authentification sont sélectionnées, la passerelle IP Novell utilise la méthode avec la priorité la plus élevée que le client peut exécuter. ! Aucun(e) : cette option correspond à l'option d'authentification nulle des clients SOCKS 5. Aucune authentification n'est requise par la passerelle IP Novell. Configuration de la passerelle IP Novell Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 61 Manual Rev 99a (FRA) 25 September 00 29 ! Effacer utilisateur/mot de passe texte : lorsque la passerelle IP Novell authentifie un utilisateur, le mot de passe de l'utilisateur est transmis sur le réseau en texte clair sans codage. Le mot de passe est vérifié par rapport à celui de l'utilisateur stocké dans NDS ou eDirectory, mais diffère de l'authentification NDS ou eDirectory. Comme un mot de passe transmis en texte clair n'est pas protégé, cette option ne doit être utilisée que si SSL est également sélectionné pour coder le mot de passe avant qu'il ne soit transmis. ! Utilisateur/Mot de passe NDS ou eDirectory— lorsque la passerelle IP Novell authentifie un utilisateur, le mot de passe de l'utilisateur n'est jamais transmis sur le réseau. Au lieu de cela, comme pour l'authentification d'un client Novell, le mot de passe est utilisé pour générer une paire de clés sécurisée. Les contrôles de flux de stimulation successifs entre le client et le serveur établissent l'authentification. Une option d'authentification NDS ou eDirectory doit être disponible dans le client SOCKS pour que cette méthode d'authentification fonctionne. ! SSL : cette option demande qu'une connexion SSL (Secure Sockets Layer) entre le client et le serveur soit établie avant que la passerelle IP Novell puisse authentifier un utilisateur à l'aide de toute autre méthode d'authentification. SSL utilise un système de codage de clés publiques/privées. L'activation de cette option assure également le codage de toutes les données transmises entre le client et le serveur. Important : Si SSL et le contrôle d'accès sont activés pour la passerelle IP Novell, vous devez également sélectionner Utilisateur/Mot de passe NDS ou eDirectory ou Effacer utilisateur/mot de passe texte puisque le protocole SSL n'établit pas d'authentification utilisateur pour le contrôle d'accès NDS ou eDirectory. 62 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 5c (Facultatif) Si vous avez sélectionné Effacer utilisateur/mot de passe texte comme méthode d'authentification, cliquez sur Contexte d'authentification > Contexte > Ajouter > entrez le contexte et l'arborescence NDS ou eDirectory par défaut de l'utilisateur > cliquez sur OK. Entrez un nom de conteneur distinctif NDS ou eDirectory (sales.my.org, par exemple). Le nom du conteneur NDS ou eDirectory peut comporter jusqu'à 256 caractères. Cette entrée est facultative mais rend le login plus facile pour les utilisateurs. Les utilisateurs du conteneur spécifié peuvent se loguer en ne tapant que leur nom de login, sans la chaîne de contexte intégrale. 5d (Facultatif) Si vous avez sélectionné SSL comme méthode d'authentification, utilisez le menu déroulant ID clé pour sélectionner les fichiers disponibles dans une liste. Remarque : Un fichier d'ID clé est disponible uniquement une fois que vous avez créé un objet matériel clé (KMO) dans NDS ou eDirectory pour le serveur utilisant l'Administrateur NetWare. Pour plus d'informations sur la création d'un objet KMO, reportez-vous à l'aide en ligne PKI dans l'Administrateur NetWare ou aux informations PKI figurant dans la documentation en ligne NetWare. 5e (Facultatif) Activez le single sign-on pour les clients SOCKS 5 en cochant la case Single Sign-on sous Authentification SOCKS V5. Cette option est fournie aux clients qui utilisent à la fois le client Novell pour Windows et un client SOCKS 5 tiers sur le même poste de travail. Lorsqu'un utilisateur s'est déjà authentifié à NDS ou eDirectory en se loguant à partir d'un client Novell et essaye d'utiliser un client SOCKS 5 pour accéder à Internet par le biais de la passerelle IP Novell, la passerelle n'authentifie pas une deuxième fois l'utilisateur. Pour permettre le single sign-on, la machine client doit exécuter CLNTRUST.EXE et DWNTRUST.EXE. Pour plus d'informations sur ces fichiers, reportez-vous à “Configuration des clients de la passerelle”, page 64. Remarque : Si le single sign-on est activé, mais si l'utilisateur n'est pas logué à NDS ou eDirectory ou ne peut utiliser qu'un client SOCKS 5, la passerelle authentifie l'utilisateur par l'une des méthodes d'authentification. Lorsque le single sign-on échoue et qu'aucune méthode d'authentification n'a été sélectionnée, la connexion de l'utilisateur est annulée. 5f Cliquez sur OK pour fermer la fenêtre Configurer SOCKS V4 et V5. Configuration de la passerelle IP Novell Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 63 Manual Rev 99a (FRA) 25 September 00 29 6 Activez le contrôle utilisateur SOCKS 4 selon la procédure ci-dessous : 6a Sous Activer le service, double-cliquez sur SOCKS V4 et V5 ou sélectionnez SOCKS V4 et V5 > cliquez sur Détails. 6b Sélectionnez la case Vérification de l'utilisateur SOCKS V4. Le contrôle utilisateur SOCKS 4 oblige la passerelle IP Novell à vérifier l'existence de l'utilisateur dans NDS ou eDirectory. Par contre, la passerelle ne peut pas authentifier l'utilisateur. L'utilisateur n'a pas besoin de fournir un mot de passe pour accéder à Internet par le biais de la passerelle. 6c Cliquez sur OK pour fermer la fenêtre Configurer SOCKS V4 et V5. 7 Cliquez sur OK pour fermer la page de configuration de Novell BorderManager 3.7. Reportez-vous à Chapitre 7, “Configuration du contrôle d'accès”, page 127 pour des informations sur la configuration et l'utilisation du contrôle d'accès avec la passerelle IP Novell. Remarque : Les règles d'accès basées sur NDS ou eDirectory pour les clients SOCKS permettent de limiter l'accès aux sites uniquement, mais pas aux URL. Pour le filtrage du contenu, utilisez SurfControl* installé sur le serveur Novell BorderManager 3.7. Configuration des clients de la passerelle Le logiciel client de la passerelle IP Novell doit être configuré sur chaque poste de travail Windows qui accède à Internet via le serveur de passerelle. Il s'agit d'une tâche relevant généralement de la responsabilité de l'administrateur réseau ou de la personne responsable de l'administration du bureau et du support. Dans certains cas, les utilisateurs configurent leur propre logiciel client de passerelle. Sur tous les clients de la passerelle, le composant de la passerelle du logiciel client Novell doit être installé et configuré. Pour installer ce composant, il est nécessaire de sélectionner une installation du client personnalisée et la passerelle IP Novell à partir de la liste des composants supplémentaires à installer. Tous les clients utilisant la passerelle IP/IP doivent avoir une pile TCP/IP installée et configurée. 64 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Pour configurer les clients de la passerelle IP Novell, reportez-vous aux procédures ci-dessous : ! “Configuration des clients de la passerelle”, page 64 Configuration des clients Windows NT ou Windows 98 Pour activer le logiciel client de la passerelle sur des clients Windows NT ou Windows 98 et configurer un serveur de passerelle préféré : 1 Cliquez avec le bouton droit de la souris sur Voisinage réseau > sélectionnez Propriétés. 2 Pour configurer un client Windows 98, sélectionnez l'onglet Configuration et cliquez sur Passerelle IP Novell. ou à Pour configurer un client Windows NT, sélectionnez l'onglet Protocoles > cliquez sur Passerelle IP Novell dans la liste des protocoles réseau. Si Passerelle IP Novell n'apparaît pas dans la liste, le composant client de la passerelle n'est probablement pas installé sur votre poste de travail. Installez le logiciel client Novell fourni avec le produit Novell BorderManager 3.7 avant de poursuivre la procédure. Pour plus d'informations, reportez-vous au manuel “Installation du client Novell”, page 18. 3 Cliquez sur Propriétés > sélectionnez la case Activer la passerelle. 4 Dans le champ Serveur préféré > entrez le serveur de passerelle préféré. La syntaxe appropriée du serveur de passerelle est le nom du serveur auquel est ajouté -GW. Vous devez également inclure le contexte du serveur précédé d'un point. Par exemple, si la passerelle IP est activée sur le serveur SJ-NW5 dont le contexte est docs.novell, spécifiez le serveur de passerelle préféré de la façon suivante : .SJ-NW5-GW.docs.novell. 5 Dans le champ Arborescence préférée, entrez l'arborescence NDS ou eDirectory où se trouve le serveur > cliquez sur OK. 6 Redémarrez le poste de travail. Configuration de la passerelle IP Novell Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 65 Manual Rev 99a (FRA) 25 September 00 29 Configuration des clients SOCKS Un poste de travail sur lequel est exécuté le logiciel client Novell et une application SOCKS constituent un client SOCKS. Pour activer un client SOCKS dans le but d'utiliser le service SOCKS de la passerelle IP Novell, l'adresse IP ou le nom d'hôte du serveur Novell BorderManager 3.7 est généralement configuré dans l'application SOCKS pour identifier le serveur Novell BorderManager 3.7 comme étant le serveur SOCKS. Les applications SOCKS nécessitent parfois la configuration des éléments suivants : ! Cibles ! Règles de réacheminement ! Résolution des noms d'hôte DNS ! Méthodes d'authentification Pour obtenir des informations plus précises, reportez-vous à la documentation fournie avec vos applications SOCKS. Configuration des clients pour l'utilisation de l'option de Single Sign-on activée sur le serveur de passerelle Lorsque l'option Single Sign-on est activée, le logiciel de la passerelle IP Novell peut exécuter une authentification NDS ou eDirectory en arrière-plan pour des clients Windows 98, Windows NT et des clients SOCKS 5 dotés de la fonction d'authentification NDS ou eDirectory. Lorsque l'option Single Sign-on est activée sur le serveur, un utilisateur déjà logué ne voit s'afficher aucune boîte de dialogue de login permettant d'utiliser la passerelle IPX/IP ou les services SOCKS de la passerelle IP Novell.' Afin de permettre le single sign-on, les postes de travail clients doivent exécuter CLNTRUST.EXE et DWNTRUST.EXE. CLNTRUST.EXE permet l'authentification du client en arrière-plan et DWNTRUST.EXE réside sur le client pour arrêter CLNTRUST.EXE après la déconnexion d'un utilisateur. 66 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Ces fichiers se trouvent dans le répertoire SYS:PUBLIC sur le serveur. Le composant de la passerelle du client Novell et le logiciel client SOCKS 5 n'exécutent pas ces fichiers automatiquement. Même si ces fichiers peuvent être copiés sur des ordinateurs client et exécutés par des fichiers de commandes avant que l'utilisateur se soit logué dans NDS ou eDirectory, il est préférable de créer un script de login pour chaque utilisateur que vous souhaitez authentifier par single sign-on. L'installation d'un script de login permet au poste de travail d'exécuter DWNTRUST.EXE et CLNTRUST.EXE automatiquement lorsqu'un utilisateur se logue dans NDS ou eDirectory à partir de ce poste. Pour créer un script de login : 1 Dans l'Administrateur NetWare, cliquez avec le bouton droit de la souris sur l'objet Conteneur dans lequel vous souhaitez créer un script de login et sélectionnez Détails. 2 Sélectionnez Script de login. 3 Dans le champ Script de login, entrez les lignes suivantes qui s'appliquent aux systèmes d'exploitation sur les postes de travail des utilisateurs, où Nom_Serveur correspond au nom de votre serveur : If OS= WINNT THEN # Nom_Serveur\SYS\PUBLIC\DWNTRUST.EXE # Nom_Serveur\SYS\PUBLIC\CLNTRUST.EXE END IF OS = "WIN95" THEN # Nom_Serveur\SYS\PUBLIC\DWNTRUST.EXE # Nom_Serveur\SYS\PUBLIC\DWNTRUST.EXE END IF OS = "WIN98" THEN # Nom_Serveur\SYS\PUBLIC\DWNTRUST.EXE # Nom_Serveur\SYS\PUBLIC\CLNTRUST.EXE END 4 Cliquez sur OK pour fermer les pages Script de login et Détails, puis quitter l'Administrateur NetWare. Configuration de la passerelle IP Novell Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 67 Manual Rev 99a (FRA) 25 September 00 29 Configuration des clients pour l'utilisation du proxy transparent du client de la passerelle Aucune configuration n'est nécessaire car la fonction de proxy transparent du client de la passerelle est activée par défaut. Lorsqu'un utilisateur se logue dans NDS ou eDirectory, le composant de passerelle du logiciel client Novell identifie tous les serveurs proxy auxquels l'utilisateur peut accéder. Si l'utilisateur lance une session du navigateur, le client de la passerelle IP Novell se connecte au premier serveur proxy qu'il trouve en recherchant la base de données NDS ou eDirectory et n'établit pas de connexion via la passerelle IP Novell. Exécution de tâches de configuration et de gestion avancées Outre les procédures de configuration élémentaires décrites dans ce chapitre, d'autres procédures de configuration et de gestion peuvent s'avérer nécessaires, en fonction de votre configuration spécifique. Les tâches avancées sont décrites dans la documentation en ligne relative à la passerelle IP Novell et traitent des sujets suivants : ! Configuration de la consignation pour tous les services de passerelle ! Décodage des passages de paquets de passerelle ! Vérification de l'activité de la passerelle en temps réel ! Vérification du journal de contrôle d'accès ! Affichage des statistiques des utilisateurs ! Affichage des statistiques d'un hôte ! Exportation de données ! Vérification du journal d'informations 68 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual 5 Rev 99a (FRA) 25 September 00 29 Configuration des services Proxy Les services Proxy utilisent le caching pour accroître les performances d'Internet et optimiser l'utilisation de la bande passante WAN. Les services Proxy garantissent également le filtrage des protocoles et améliorent la sécurité grâce au masquage des noms et adresses de domaine du réseau privé et à l'envoi de toutes les requêtes via une passerelle unique. Vous pouvez utiliser ce service comme proxy d'application pour des services tels que HTTP, Gopher, FTP, Simple Mail Transfer Protocol (SMTP), Domain Name System (DNS), RealAudio* et Real Time Streaming Protocol (RTSP). Vous pouvez également utiliser ce service comme filtre de protocole pour empêcher certains types de connexions utilisateur ou comme passerelle pour masquer les noms et les adresses de systèmes internes afin que la passerelle soit le seul nom d'hôte connu en dehors du système. Ce chapitre présente les tâches à effectuer pour configurer les services Proxy de Novell® BorderManager® 3.7. ! “Conditions préalables relatives aux services Proxy”, page 70 ! “Configuration d'un serveur proxy HTTP”, page 74 ! “Configuration d'un accélérateur HTTP”, page 75 ! “Blocage des requêtes de virus dans un accélérateur HTTP”, page 77 ! “Configuration d'un serveur proxy FTP”, page 81 ! “Configuration d'un accélérateur FTP”, page 83 ! “Configuration d'un serveur proxy de messagerie”, page 84 ! “Configuration d'un serveur proxy de news”, page 85 ! “Configuration d'un serveur proxy générique”, page 86 ! “Configuration d'un proxy DNS”, page 88 Configuration des services Proxy Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 69 Manual Rev 99a (FRA) 25 September 00 29 ! “Configuration des proxies RealAudio et RTSP”, page 88 ! “Configuration du client SOCKS (en amont)”, page 89 ! “Configuration du proxy transparent HTTP”, page 91 ! “Configuration d'un proxy transparent Telnet”, page 92 ! “Configuration de l'authentification proxy”, page 92 ! “Exécution de tâches de configuration et de gestion avancées”, page 96 Remarque : Ce chapitre décrit les tâches requises pour la configuration initiale des services proxy. Pour obtenir des informations sur la planification et le concept des services Proxy, reportez-vous au Guide de présentation et de planification de Novell BorderManager 3.7, disponible dans la documentation en ligne. Assurezvous de bien comprendre ces informations avant de configurer les services proxy. Conditions préalables relatives aux services Proxy Avant de configurer les services proxy, munissez vous des informations suivantes : ! Adresses IP des interfaces IP de votre serveur, privées ou publiques ! Numéro de port (8080 par défaut) et nom d'hôte ou adresse IP du serveur proxy Novell BorderManager 3.7 Pour préparer le serveur proxy à un accès Internet, vérifiez que les conditions préalables suivantes ont été remplies : ! Le résolveur DNS est configuré de manière à fournir un nom de domaine valide pour DNS et l'adresse IP d'au moins un serveur de nom DNS afin de résoudre les noms d'hôtes IP. Vous avez dû accomplir cette tâche lors de l'installation du produit Novell BorderManager 3.7. Si le résolveur DNS n'est pas configuré, reportez-vous à “Conditions préalables pour la passerelle IP Novell”, page 53. ! Le filtrage des paquets a été configuré pour autoriser les requêtes DNS et les paquets de réponse. Par défaut, le filtrage des paquets est configuré lors de l'installation pour bloquer tout trafic entrant et sortant. Pour modifier la configuration, reportez-vous à Chapitre 2, “Configuration des filtres de paquets”, page 27. 70 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 ! Les utilisateurs de votre société qui font appel aux services proxy pour accéder aux sites Web Internet doivent configurer leur navigateur Web de manière à utiliser le serveur proxy Novell BorderManager 3.7, comme décrit dans les sections suivantes : ! “Conditions préalables relatives aux services Proxy”, page 70 La fonction de proxy transparent HTTP Novell BorderManager 3.7 permet également d'installer des services proxy automatiques, qui fonctionnent en arrière-plan. Grâce au proxy transparent HTTP, il n'est plus nécessaire que les utilisateurs configurent leurs navigateurs en vue de l'utilisation du proxy : cette opération s'effectue de manière invisible. Pour plus d'informations sur l'utilisation du proxy transparent HTTP, reportez-vous à “Configuration du proxy transparent HTTP”, page 91. ! Le logiciel client de la passerelle IP Novell doit être configuré sur chaque client Windows* qui doit passer par la passerelle IP Novell pour accéder aux services et cibles Internet. Pour plus d'informations, reportez-vous au manuel Chapitre 4, “Configuration de la passerelle IP Novell”, page 53. ! Les services PKI (Public Key Infrastructure) de Novell et les services d'authentification sécurisée (SAS) doivent être installés sur le serveur afin de permettre l'authentification SSL (Secure Sockets Layer) des clients SOCKS 5. Les services PKI et SAS ne sont pas déjà installés, ils sont installés automatiquement au cours de l'installation de Novell BorderManager 3.7. Dès que SAS et PKI sont installés, utilisez le snap-in PKI de l'Administrateur NetWare pour exécuter les tâches administratives liées à SSL, telles que : ! L'importation de certificats signés par une autorité de certification (CA) externe ! La création et la gestion d'objets matériels clés (KMO) utilisés pour stocker des paires de clés dans NDS® ou Novell eDirectoryTM ! La création d'une autorité certifiée de l'arborescence NDS (CA) ou eDirectory pour signer des certificats utilisés sur un réseau privé Reportez-vous à l'aide en ligne PKI de Novell dans l'Administrateur NetWare pour obtenir les procédures de création et de gestion des objets KMO et des autorités de certification sur les arborescences NDS ou eDirectory. Configuration des services Proxy Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 71 Manual Rev 99a (FRA) 25 September 00 29 Configuration du résolveur DNS Pour configurer le résolveur DNS, effectuez les opérations suivantes à la console du serveur : 1 Entrez LOAD NIASCFG, puis sélectionnez Configurer NIAS > Protocoles et routage > Protocoles > TCP/IP > Configuration du résolveur DNS. 2 Entrez le nom de domaine DNS pour votre société ou votre organisation. Votre fournisseur de services Internet (ISP) fournit généralement ce nom. En général, les noms de domaine prennent la forme société_nom.com ou organisation.org. Par exemple, novell.com ou acme.org. 3 Entrez les adresses IP de trois serveurs de nom DNS au maximum dans les champs Serveur de noms. Les ISP offrent souvent l'accès à plusieurs serveurs de nom DNS. 4 Appuyez sur Échap pour sélectionner Oui et mettre à jour la configuration TCP/IP. 5 Appuyez sur Échap jusqu'à ce que vous reveniez au menu Configuration inter-réseau, puis sélectionnez Reinitialize System (Réinitialiser le système) et quittez NIASCFG. Configuration de Microsoft Internet Explorer en vue de l'utilisation du proxy Web Pour définir le serveur proxy Novell BorderManager 3.7 sur un navigateur Microsoft* Internet Explorer : 1 Lancez Internet Explorer, puis, en fonction des versions du logiciel, sélectionnez les menus suivants : ! Pour Internet Explorer 5.5, sélectionnez Outils > Options Internet > Connexions > Paramètres LAN > Utiliser un serveur proxy. 2 Entrez le numéro de port (8 080 par défaut) et le nom d'hôte (ou l'adresse IP) du serveur proxy Novell BorderManager 3.7 dans le champ correspondant. 3 Cliquez sur Appliquer. 72 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Pour utiliser l'option avancée afin de définir le même proxy pour toutes les applications : 1 Lancez Internet Explorer, puis, en fonction des versions du logiciel, sélectionnez les menus suivants : ! Pour Internet Explorer 5.5, sélectionnez Outils > Options Internet > Connexions > Paramètres LAN > Utiliser un serveur proxy > cliquez sur Avancés > sélectionnez la case Utiliser le même serveur proxy pour tous les protocoles. 2 Entrez le numéro de port (8 080 par défaut) et le nom d'hôte (ou l'adresse IP) du serveur proxy Novell BorderManager 3.7 dans le champ correspondant. 3 Cliquez sur Appliquer. Configuration de Netscape Navigator en vue de l'utilisation du proxy Web Pour spécifier le serveur proxy Novell BorderManager 3.7 sur un navigateur Web Netscape Navigator 3.x , procédez comme suit : 1 Lancez Netscape Navigator, puis sélectionnez Options > Préférences du réseau > Proxy > Configuration manuelle du Proxy. 2 Cliquez sur Affichage. 3 Entrez le nom d'hôte (ou l'adresse IP) et le numéro de port (8 080) du serveur proxy Novell BorderManager 3.7 dans le champ relatif au proxy. 4 Cliquez sur OK. Pour spécifier le serveur proxy Novell BorderManager 3.7 sur un navigateur Web Netscape Navigator 4.x , procédez comme suit : 1 Lancez Netscape Navigator, puis sélectionnez Édition > Préférences > Avancé > Proxy > Configuration de proxy manuelle > Afficher. 2 Entrez l'URL du serveur proxy Novell BorderManager 3.7 dans le champ relatif à l'URL. 3 Cliquez sur OK. Configuration des services Proxy Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 73 Manual Rev 99a (FRA) 25 September 00 29 Configuration d'un serveur proxy HTTP Le proxy HTTP permet de résoudre les requêtes URL pour le compte de clients Web sur votre réseau. Ce type de proxy est également appelé proxy de réacheminement. Ces requêtes sont mises en cache (si possible) sur le serveur proxy afin de permettre aux informations d'être livrées plus rapidement lors d'une prochaine demande. Remarque : Le serveur proxy peut également être configuré en tant qu'accélérateur HTTP (proxy inverse) pour accélérer les requêtes de serveur Web issues d'utilisateurs Internet pour les serveurs Web de votre intranet. Un serveur peut être configuré comme proxy HTTP, accélérateur HTTP ou les deux à la fois. Pour configurer un serveur proxy HTTP : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Sous l'onglet Proxy d'application, sélectionnez la case Proxy HTTP. 3 Cliquez sur Détails ou double-cliquez sur le service proxy HTTP. 4 Cliquez sur l'onglet HTTP > entrez le numéro du port d'écoute HTTP. Il s'agit du port sur lequel le serveur proxy capte les requêtes URL entrantes provenant des navigateurs client. La valeur par défaut est 8080. Remarque : Le proxy HTTP prend en compte les interfaces identifiées comme Privée ou Les deux, mais pas les interfaces identifiées comme Publique. 5 Spécifiez s'il faut effectuer les opérations suivantes : ! Ignorer les requêtes de rafraîchissement du navigateur Si vous sélectionnez cette option, le proxy n'accède pas au serveur Web pour extraire une URL lorsqu'un utilisateur demande un rechargement ou une actualisation à partir du navigateur. Toutes les requêtes des utilisateurs sont alors mises en cache. ! Filtrer les cookies Si cette option est activée, l'en-tête de cookie n'est pas transmis au serveur d'origine et les pages comportant l'en-tête Set-Cookie (Définir les cookies) ne sont pas mises en cache. Activez cette option pour augmenter la sécurité. 74 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual ! Rev 99a (FRA) 25 September 00 29 Activer connexions permanentes à des navigateurs Si vous avez sélectionné cette option, la connexion entre un navigateur et un serveur proxy est active, même en l'absence de flux de données. ! Activer connexions permanentes à des serveurs d'origine Si vous avez sélectionné cette option, la connexion entre le serveur d'origine et le proxy est active, même en l'absence de flux de données. ! Activez ou désactivez la suppression des applets Java* des fichiers HTML. Lorsque cette option est activée, les applets Java sont retirées du fichier HTML avant son affichage dans la fenêtre du navigateur. 6 Cliquez sur OK, puis de nouveau sur OK dans la page de configuration de Novell BorderManager 3.7. Pour configurer l'authentification pour un serveur proxy HTTP, reportez-vous à “Configuration de l'authentification proxy”, page 92. Configuration d'un accélérateur HTTP Un accélérateur HTTP est également appelé proxy inverse. Dans un tel cas de figure, le serveur fait office de borne d'entrée pour vos serveurs Web sur Internet ou un intranet. Les serveurs à trafic élevé peuvent ainsi rediriger les requêtes fréquentes vers le serveur proxy. La sécurité est également accrue lorsque les adresses IP des serveurs Web ne sont pas accessibles à partir d'Internet. Pour utiliser le serveur proxy, vous devez disposer d'au moins une adresse privée et une adresse publique. Vous pouvez toutefois utiliser une seule adresse comme adresse publique et privée. L'accélérateur HTTP prend en compte les interfaces identifiées comme Publique ou Les deux, mais pas les interfaces identifiées comme Privée. Une sécurité optimale implique deux interfaces. Un serveur peut être configuré comme accélérateur HTTP, proxy HTTP ou les deux à la fois. Configuration des services Proxy Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 75 Manual Rev 99a (FRA) 25 September 00 29 Pour configurer un accélérateur HTTP : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Sous l'onglet Accélération, sélectionnez la case Accélération HTTP. 3 Cliquez sur Détails ou double-cliquez sur le service d'accélérateur HTTP. 4 Cliquez sur Ajouter pour ajouter un nouveau serveur accélérateur à la liste Accélérateur HTTP, puis exécutez les procédures suivantes : 4a Indiquez si cet accélérateur HTTP doit être activé après sa configuration. La valeur par défaut est Désactivé. Si vous configurez plusieurs accélérateurs, indiquez que le serveur doit être désactivé. Vous pouvez désactiver un ou plusieurs serveurs sans conséquence sur les autres sites accélérés. 4b Indiquez si l'authentification doit être activée pour cet accélérateur. 4c Entrez le nom du serveur accélérateur. Si l'authentification du proxy inverse est activée, le nom du serveur accélérateur doit correspondre au nom de domaine DNS du site Web accéléré. Le nom de domaine DNS doit être identique pour les configurations entrantes et sortantes. 4d Entrez le numéro de port pris en compte par le serveur Web d'origine pour les connexions entrantes. Par défaut, il s'agit du port 80 pour HTTP. 4e Cliquez sur Ajouter et entrez le nom d'un serveur Web ou une adresse IP. 4f Cliquez sur Ajouter et sélectionnez une ou plusieurs adresses IP publiques de proxy. Il s'agit des adresses prises en compte par l'accélérateur pour les connexions entrantes à partir d'Internet. Remarque : Vous pouvez associer une ou plusieurs adresses IP publiques à un nom de domaine particulier, mais la combinaison adresse IP - port doit être unique. 76 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Supposons par exemple que vous disposiez du serveur Web www1.myco.com et de deux adresses IP de proxy (1.2.3.4 et 1.2.3.5) et que le serveur Web prenne en compte le port 80. Vous pouvez alors configurer une entrée d'accélérateur pour www1.myco.com avec le port 80 et deux adresses IP de proxy (1.2.3.4 et 1.2.3.5). Comme autre exemple, supposons que vous disposiez de plusieurs serveurs Web et de plusieurs adresses IP de proxy. Vous pouvez alors configurer deux entrées : une pour www1.myco.com avec le port 80 et l'adresse IP 1.2.3.4, et une autre pour www2.myco.com avec le port 80 et l'adresse IP 1.2.3.5. 4g Indiquez si l'accélération doit avoir lieu sur un autre port et entrez un numéro de port pour l'accélérateur. Tous les liens de serveurs Web internes doivent être des URL relatifs. 5 Cliquez sur OK > cliquez de nouveau sur OK dans la page de configuration de Novell BorderManager 3.7. Pour configurer l'authentification pour un accélérateur HTTP, reportez-vous à “Configuration de l'authentification proxy”, page 92. Blocage des requêtes de virus dans un accélérateur HTTP Par mesure de protection contre ce type d'attaques, Novell a ajouté une nouvelle fonction de reconnaissance de définitions de virus à Novell BorderManager 3.7 pour les serveurs Web accélérés par la fonction de proxy inverse de Novell BorderManager 3.7. Cette amélioration comprend différentes fonctions pour faciliter sa configuration et son contrôle. Pour activer cette fonction, vous devez disposer de la dernière version de PROXY.NLM. Les lignes suivantes doivent également figurer dans le fichier SYS:\ETC\PROXY\ PROXY.CFG qui permet d'initialiser le serveur proxy NBM au démarrage : [Configuration supplémentaire]ScanVirusPatterns=1[Configuration de la définition de virus]NoOfVirusPatterns=0PatternSize=16PatternStartOffset=1E nablePatternAutoUpdate=1 Si ces lignes ne figurent pas dans le fichier PROXY.CFG au démarrage du serveur proxy, un message indiquant que la commande de virus est introuvable apparaît sur la console du système lorsque vous tentez d'entrer les commandes décrites ci-dessous. Configuration des services Proxy Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 77 Manual Rev 99a (FRA) 25 September 00 29 Configuration des lignes de commande Pour configurer la fonction de reconnaissance de définitions de virus, vous devez exécuter les commandes de console à partir de la console du système. Comme pour la majorité des systèmes de ce type, les réponses aux commandes apparaissent sur la console du système et sont enregistrées dans un fichier journal (dans ce cas, PROXY.LOG). Remarque : La syntaxe de commande ci-dessous utilise la notation BNF (forme de Backus-Naur), système développé dans les années 1960 pour décrire la syntaxe d'un ensemble de commandes ou d'un langage de programmation informatique donné. Ajout et suppression de définitions de requêtes de virus Lorsque le serveur proxy fonctionne correctement et que sa base de données de définitions initiale est chargée, vous pouvez ajouter de nouvelles définitions et ce, pendant l'exécution du serveur. La syntaxe des commandes de console pour l'ajout d'une nouvelle définition de virus est la suivante : virus add -p pattern -o origLength où pattern correspond à une chaîne de caractères de 16 octets située au décalage 1 dans la requête HTTP GET et origLength correspond à la taille d'origine de la requête, en octets. Il s'agit de paires option-valeur obligatoires. La valeur de chaîne de pattern doit être entre guillemets ; la valeur de origLength correspond à un nombre entier. Par exemple : virus add -p "default.ida?NNNN" -o 385 Le serveur proxy examine le décalage spécifié dans chaque requête entrante et lit les 16 octets suivants. Si la chaîne correspond à l'une des définitions de la base de données existante, la requête, considérée comme une requête de virus, est bloquée. Remarque : Par défaut, la taille et le décalage de début de la définition sont respectivement définis sur 16 et 1. Vous pouvez modifier ces valeurs dans le fichier PROXY.CFG, mais avec précaution. Il s'agit de paramètres globaux qui s'appliquent à toutes les entrées de la base de données de définitions. Pour supprimer une définition de la base de données, utilisez la même syntaxe, mais remplacez la commande add par del. Par exemple : virus del -p "default.ida?NNNN" -o 385 78 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Mise à jour de la base de données via un script (fichier NCF) La fonction de reconnaissance de définitions de virus permet également de mettre à jour la base de données à la manière d'un script en plaçant une liste de commandes virus add . . . dans un fichier NCF et en exécutant le fichier à partir de la console. Vous pouvez ainsi mettre à jour la base de données de définitions de virus sans avoir à mettre le serveur proxy hors service. Vous pouvez utiliser la commande suivante pour écrire toutes les entrées existantes dans un fichier NCF de la base de données : virus dump Le nom du fichier NCF est SYS:\ETC\PROXY\VIRPAT.NCF. Ce fichier peut être exécuté au redémarrage du serveur proxy ou lancé manuellement après le chargement du serveur proxy. Activation et configuration de la mise à jour automatique Novell BorderManager 3.7 propose une fonction de mise à jour automatique qui détecte automatiquement les requêtes de virus et ajoute leurs définitions dans la base de données. La méthode heuristique (auto-apprentissage) d'analyse des requêtes de cette fonction est particulièrement utile pour détecter les définitions de requêtes de virus qui changent fréquemment. Les heuristiques examinent la répartition des requêtes entrantes dans un délai spécifié. Pour un bon fonctionnement de ces heuristiques, deux paramètres doivent être correctement configurés : Threshold (Seuil) —Ce paramètre définit le nombre de nouvelles requêtes dotées de la même valeur qui seront allouées pendant l'intervalle de temps avant que ces requêtes ne soient considérées comme suspectes. La valeur par défaut est de 250 ; celle-ci peut être modifiée via la commande virus -t threshold à partir de la console. Refresh Time Interval (Intervalle de temps de rafraîchissement)— Ce paramètre définit le délai, en secondes, à l'issue duquel les requêtes identiques reçues, et dont la valeur est supérieure au seuil, sont contrôlées pour y rechercher la présence éventuelle de définitions de virus. La valeur par défaut est de 10 secondes. Celle-ci peut être modifiée via la commande virus -r time interval à partir de la console. Configuration des services Proxy Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 79 Manual Rev 99a (FRA) 25 September 00 29 Dans le cas de requêtes identiques dont la valeur est supérieure au seuil et reçues au cours de l'intervalle de temps spécifié, celles-ci sont considérées comme suspectes et sont programmées pour subir une analyse plus approfondie via un processus d'arrière-plan. Pendant ce temps, le serveur proxy continue à recevoir toutes les requêtes de façon à ne jamais bloquer celles qui sont valides. L'écran de configuration des définitions de virus fournit des informations pour vous permettre d'adapter ces paramètres à votre système. Pour plus d'informations, reportez-vous à la section relative au choix d'un seuil approprié. La fonction de mise à jour automatique peut être activée de deux façons. La première consiste à entrer la commande suivante à partir de la console du système : virus -e 1 Remarque : Si vous entrez un 0 (zéro) dans cette commande, la fonction de mise à jour automatique est désactivée. Vous pouvez également placer l'option suivante dans le fichier PROXY.CFG : [Configuration de la définition de virus]EnablePatternAutoUpdate=1 Ajout de nouveaux mots-clés de virus Les définitions de requêtes d'un même type de virus contiennent des mots-clés ou des chaînes de caractères qui peuvent permettre d'identifier la requête. Par exemple, toutes les URL dotées de requêtes de virus Code Red contiennent la chaîne CMD.EXE. Sachant que la présence de cette chaîne identifie l'URL comme une requête de virus, " cmd.exe " est un mot-clé. Remarque : Dans cet exemple, l'ajout de *CMD.EXE* comme règle de filtrage aux routeurs bloquera toutes les requêtes contenant ce mot-clé. Les mots-clés n'interviennent qu'une fois que la requête a été étiquetée comme suspecte par l'intermédiaire des heuristiques décrites ci-dessus. À ce stade, la requête suspecte est analysée pour détecter la présence éventuelle de certains mots-clés. Lorsqu'une correspondance est trouvée, la requête est étiquetée comme requête de virus et sa définition est ajoutée à la base de données. Les futures requêtes qui contiendront ce mot-clé seront automatiquement bloquées. 80 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Pour ajouter un nouveau mot-clé à la liste des mots-clés existants, entrez la commande suivante à partir de la console du système : virus add -k keyword où keyword correspond à une chaîne de caractères qui détermine si une requête suspecte est bien une requête de virus. Contrôle de la fonction de reconnaissance de définitions de virus L'efficacité d'une fonction est parfois mieux comprise via un contrôle, c'est pourquoi le serveur proxy NBM comprend un écran de configuration de définitions de virus. Toutes les informations de configuration et de statistiques relatives aux définitions de virus font l'objet d'un suivi et sont affichées sur cet écran distinct de la console du serveur. Effet sur les performances Compte tenu du temps système très réduit nécessaire au contrôle des requêtes HTTP entrantes, l'activation de la fonction de reconnaissance de définitions de virus n'a pas de conséquences défavorables sur les performances du serveur proxy NBM. Configuration d'un serveur proxy FTP Vous pouvez utiliser un serveur proxy FTP pour contrôler l'accès à des sites FTP authentifiés. Ceci entraîne le contrôle centralisé des accès à Internet ou à un intranet. Le serveur proxy FTP permet également de mettre en cache des données pour des utilisateurs anonymes, ce qui rend les téléchargements plus rapides. Remarque : Le serveur proxy peut également être configuré comme accélérateur FTP pour accélérer les requêtes FTP des utilisateurs d'Internet ou d'un intranet vers vos serveurs FTP. Un serveur peut être configuré comme proxy FTP, accélérateur FTP ou les deux à la fois. Si le serveur est configuré à la fois comme proxy FTP et comme accélérateur FTP, deux adresses distinctes sont nécessaires, une publique et une privée. Pour configurer un serveur proxy FTP : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Sous l'onglet Proxy d'application, sélectionnez la case Proxy FTP. Configuration des services Proxy Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 81 Manual Rev 99a (FRA) 25 September 00 29 3 Cliquez sur Détails ou double-cliquez sur le service proxy FTP. 4 Entrez un caractère de séparation de nom d'utilisateur/mot de passe. Le caractère de séparation de nom d'utilisateur/mot de passe permet de séparer le nom d'utilisateur NDS ou eDirectory, le nom d'utilisateur FTP et le nom d'hôte FTP au niveau de la commande USER. De même, il permet de séparer le mot de passe NDS ou eDirectory de l'utilisateur et le mot de passe FTP au niveau de la commande PASS. L'utilisateur entre ces commandes lors de la connexion au proxy FTP. Par défaut, il s'agit du symbole du dollar ($). Par exemple, entrez les informations suivantes aux invites " user " et " pass " : user>jean_dupond.novell$anonyme$ftp.novell.com pass>xxxxx$yyyyy où jean_dupond.novell est le nom d'utilisateur NDS ou eDirectory, anonyme est le nom d'utilisateur FTP, ftp.novell.com est l'hôte FTP, xxxxx correspond au mot de passe NDS ou eDirectory de jean_dupond et yyyyy est le mot de passe FTP pour les utilisateurs anonymes à ftp.novell.com. 5 Entrez une adresse électronique FTP anonyme ou conservez l'adresse par défaut. Il s'agit de l'adresse de messagerie électronique utilisée comme mot de passe pour le login FTP anonyme par le client FTP du serveur proxy. Par défaut, il s'agit de NovellProxyCache@. 6 Sélectionnez une méthode d'authentification utilisateur : Aucun(e), Effacer texte utilisateur/mot de passe ou Single Sign-on. 82 ! Aucun(e) : l'utilisateur n'a pas besoin d'entrer le nom d'utilisateur et le mot de passe du proxy FTP lors de l'accès au serveur FTP : il lui suffit de fournir le nom d'hôte FTP et le mot de passe. ! Effacer texte utilisateur/mot de passe— l'utilisateur doit entrer un nom d'utilisateur distinctif NDS ou eDirectory, un nom d'utilisateur FTP et un nom d'hôte FTP à l'invite " user " ; puis un mot de passe NDS ou eDirectory et un mot de passe FTP à l'invite " pass ". ! Single Sign-on— lorsqu'un utilisateur est logué à NetWare via le dernier Novell ClientTM, il n'est pas invité à s'authentifier auprès du proxy. Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 7 Cliquez sur OK, puis de nouveau sur OK dans la page de configuration de Novell BorderManager 3.7. Pour configurer le serveur en tant qu'accélérateur FTP, reportez-vous à “Configuration d'un accélérateur FTP”, page 83. Configuration d'un accélérateur FTP Un accélérateur FTP est également appelé proxy inverse. Le serveur fait office de borne d'entrée pour vos serveurs FTP sur Internet ou un intranet. Les requêtes fréquentes peuvent ainsi être redirigées des serveurs FTP d'origine à trafic élevé vers le serveur proxy. La sécurité est accrue lorsque les adresses IP des serveurs FTP ne sont pas accessibles à partir d'Internet ou d'un intranet. Remarque : Un serveur peut être configuré comme accélérateur FTP, proxy FTP ou les deux à la fois. Si le serveur est configuré à la fois comme proxy FTP et comme accélérateur FTP, deux adresses distinctes sont nécessaires, une publique et une privée. Pour configurer un accélérateur FTP : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Sous l'onglet Accélération, sélectionnez la case Accélération FTP. 3 Cliquez sur Détails ou double-cliquez sur un service d'accélérateur FTP. 4 Cliquez sur Ajouter, puis exécutez les procédures suivantes : 4a Indiquez si l'accélérateur FTP doit être activé après sa configuration. 4b Entrez le nom d'hôte du serveur FTP d'origine. 4c Sélectionnez une ou plusieurs adresses IP publiques de proxy dans la liste. Il s'agit des adresses prises en compte par l'accélérateur pour les connexions entrantes à partir d'Internet. Remarque : Vous pouvez associer une ou plusieurs adresses IP publiques à un nom de domaine particulier, mais la combinaison adresse IP - port doit être unique. Supposons par exemple que vous disposiez du serveur FTP ftp:// ftp1.myco.com et de deux adresses IP (1.2.3.4 et 1.2.3.5) et que le serveur FTP prenne en compte le port 21. Vous pouvez alors configurer une entrée d'accélérateur pour ftp1.myco.com avec le port 21 et deux adresses IP (1.2.3.4 et 1.2.3.5). Configuration des services Proxy Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 83 Manual Rev 99a (FRA) 25 September 00 29 Comme autre exemple, supposons que vous ayez plusieurs serveurs FTP et plusieurs adresses IP. Vous pouvez alors configurer deux entrées : une pour ftp1.myco.com avec le port 21 et l'adresse IP 1.2.3.4, et une autre pour ftp2.myco.com avec le port 21 et l'adresse IP 1.2.3.5. 5 Cliquez sur OK, puis de nouveau sur OK dans la page de configuration de Novell BorderManager 3.7. Configuration d'un serveur proxy de messagerie Un serveur proxy de messagerie fournit des services de messagerie SMTP sécurisés pour le courrier entrant et sortant. Il permet également de masquer les hôtes de messagerie et les noms de domaines internes pour l'analyse des messages entrants. Le proxy de messagerie peut être utilisé entre le serveur de messagerie intranet existant et Internet ou directement entre l'intranet et Internet, sans serveur de messagerie intranet. Pour configurer un serveur proxy de messagerie : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Sous l'onglet Proxy d'application, sélectionnez la case Proxy de messagerie. 3 Cliquez sur Détails ou double-cliquez sur le service proxy de messagerie. 4 Entrez des valeurs pour les paramètres de proxy de messagerie suivants : ! Répertoire spool : répertoire de stockage temporaire des fichiers de messagerie. Il doit s'agir d'un chemin absolu sur le serveur indiquant le nom du volume, par exemple, SYS:\ETC\PROXY\SPOOL. 84 ! Taille max répertoire spool : taille maximale (exprimée en Mo) du répertoire de spoul de messagerie. ! Taille messagerie max : taille maximale (exprimée en Mo) d'un élément de messagerie. ! Intervalle nouvel essai message en cas d'échec : nombre maximal de minutes entre deux tentatives d'acheminement par le proxy de messagerie d'un message impossible à remettre. ! Nombre d'essais message en cas d'échec : nombre maximal de tentatives d'acheminement, par le proxy de messagerie, d'un message impossible à remettre. Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 ! Nom de domaine de messagerie principal : (facultatif) nom de domaine utilisé à la place de l'adresse de l'expéditeur dans un message électronique. Ce nom remplace le nom de domaine interne dans les en-têtes de messages sortants et masque l'architecture du réseau interne. Si ce paramètre n'est pas défini, le nom de domaine DNS local est utilisé comme nom de domaine de messagerie principal. Si le nom de domaine DNS local n'est pas configuré non plus, l'adresse de l'expéditeur reste inchangée. ! Nom du serveur de messagerie interne : nom Mail eXchange (enregistrement MX DNS) ou nom de domaine de messagerie interne du serveur de messagerie sur un réseau interne. ! Nom du serveur de messagerie POP3 : nom ou adresse IP du serveur sur lequel est exécuté le logiciel POP3 (Post Office Protocol 3). 5 Cliquez sur OK > cliquez de nouveau sur OK dans la page de configuration de Novell BorderManager 3.7. Configuration d'un serveur proxy de news Un serveur proxy de news permet d'accéder à des news Usenet sur Internet et de fournir des services de news NNTP (Network News Transfer Protocol) sécurisés pour transférer des articles de news de l'intranet vers Internet et viceversa. Un serveur proxy de news permet d'effectuer un filtrage sélectif de manière à exclure les groupes de news indésirables. Un serveur proxy de news ne peut toutefois pas effectuer la mise en cache des articles de news. Pour configurer un serveur proxy de news : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Sous l'onglet Proxy d'application, sélectionnez la case Proxy de news. 3 Cliquez sur Détails ou double-cliquez sur le service proxy de news. 4 (Facultatif) Entrez le nom de domaine principal de news. Il s'agit du nom de domaine utilisé à la place de l'adresse de l'expéditeur dans les articles de news publiés. Ce nom remplace les noms d'hôtes d'origine internes dans les lignes des en-têtes d'articles de news sortantes et masque l'architecture du réseau interne. Si ce paramètre n'est pas défini, le proxy de news utilise le nom de domaine DNS figurant dans l'adresse de l'expéditeur. Configuration des services Proxy Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 85 Manual Rev 99a (FRA) 25 September 00 29 5 (Facultatif) Entrez le nom de serveur ou l'adresse IP des serveurs de news privés (internes) vers lesquels les articles de news entrants sont acheminés. Si ces informations ne sont pas spécifiées, le serveur proxy n'accepte pas les connexions effectuées à partir des serveurs de news publics pour acheminer des articles vers les serveurs de news privés ou les extraire à partir de ces mêmes serveurs. 6 Cliquez sur Ajouter et spécifiez les noms d'hôtes DNS ou les adresses IP des serveurs de news publics (externes) à partir desquels les articles de news sont extraits. Si un serveur de news est configuré, vous devez définir au moins un serveur pour que le proxy de news fonctionne. Le proxy se connecte au premier serveur de news public de la liste, et toutes les requêtes des lecteurs et du serveur de news privé sont réacheminées vers ce serveur. Si la connexion au premier serveur de la liste échoue, le proxy de news utilise le serveur figurant en deuxième position dans la liste, et ainsi de suite. 7 Cliquez sur OK > cliquez de nouveau sur OK dans la page de configuration de Novell BorderManager 3.7. Configuration d'un serveur proxy générique Utilisez un serveur proxy générique pour accéder à plusieurs protocoles si le proxy d'application dont vous avez besoin n'est pas encore défini dans Novell BorderManager 3.7 (par exemple, Telnet et rlogin). Un proxy générique place les données dans le tunnel sans les mettre en cache. Pour configurer un serveur proxy TCP ou UDP générique : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de BorderManager concernant le serveur. 2 Sous l'onglet Proxy d'application, sélectionnez la case Proxy TCP générique ou Proxy UDP générique. 3 Cliquez sur Détails ou double-cliquez sur le service proxy TCP générique ou UDP générique. Remarque : Les procédures suivantes sont identiques pour la configuration d'un serveur proxy générique TCP ou UDP. 86 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 4 Cliquez sur Ajouter pour ajouter un serveur à la liste à transférer, puis exécutez les procédures suivantes : 4a Indiquez si le serveur proxy générique doit être activé après sa configuration. 4b Entrez le nom d'hôte du serveur d'origine. 4c Entrez le numéro de port pris en compte par le serveur d'origine pour les connexions entrantes. Par défaut, il s'agit du port 0 pour un proxy générique. 4d Sélectionnez une ou plusieurs adresses IP publiques de proxy pour le serveur proxy. Il s'agit des adresses prises en compte par le proxy pour les connexions entrantes à partir d'Internet. 4e Entrez le numéro de port du serveur proxy. La valeur par défaut est 0. Remarque : Vous pouvez associer une ou plusieurs adresses IP publiques à un nom de domaine particulier, mais la combinaison adresse IP - port doit être unique. 4f Cliquez sur OK. 5 Cliquez sur OK > cliquez de nouveau sur OK dans la page de configuration de Novell BorderManager 3.7. Configuration des services Proxy Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 87 Manual Rev 99a (FRA) 25 September 00 29 Configuration d'un proxy DNS Un proxy DNS joue le rôle de serveur de nom DNS pour les clients sur l'intranet. Le proxy DNS met en cache les enregistrements DNS. Remarque : L'adresse IP privée du proxy DNS doit être configurée comme adresse du serveur de nom DNS pour le client intranet. Sur le serveur, vous pouvez configurer les adresses IP des serveurs de nom DNS et le nom de domaine dans le fichier SYS:\ETC\RESOLV.CFG. Pour activer le proxy DNS : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Sous l'onglet Proxy d'application, sélectionnez la case Proxy DNS. 3 Cliquez sur Détails ou double-cliquez sur le service proxy DNS. 4 Cliquez sur OK > cliquez de nouveau sur OK dans la page de configuration de Novell BorderManager 3.7. Configuration des proxies RealAudio et RTSP Les proxies RealAudio et RTSP accèdent à un serveur RealAudio sur Internet ce qui permet aux utilisateurs d'un intranet de télécharger et de lire des données audio et vidéo en temps réel. Pour activer les proxies RealAudio et RTSP : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Sous l'onglet Proxy d'application, sélectionnez la case Proxies RealAudio et RTSP. 3 Cliquez sur Détails ou double-cliquez sur le service Proxies RealAudio et RTSP. 4 Cliquez sur OK > cliquez de nouveau sur OK dans la page de configuration de Novell BorderManager 3.7. 88 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Configuration du client SOCKS (en amont) Cette fonctionnalité permet à un proxy de s'authentifier via un pare-feu SOCKS 4 ou SOCKS 5. SOCKS est un protocole de type passerelle de circuit. Avec SOCKS, les hôtes protégés par un pare-feu peuvent bénéficier d'un accès complet à Internet sans une accessibilité IP totale. Lorsque la prise en charge SOCKS est activée, toutes les requêtes envoyées à Internet sont transmises à un serveur SOCKS 5 et le proxy n'est utilisé que pour le caching. Lorsque le proxy reçoit une requête, il vérifie dans son cache. Si l'objet demandé ne figure pas dans le cache, le proxy établit une connexion TCP au serveur SOCKS et redirige la requête de l'intranet vers le serveur SOCKS, ce qui permet un accès Internet plus sûr. Le serveur SOCKS se connecte ensuite au serveur d'origine et extrait l'objet. L'authentification nulle et l'authentification par nom d'utilisateur/mot de passe sont prises en charge. La configuration de la prise en charge de proxies HTTP ou FTP par l'intermédiaire de SOCKS implique trois opérations : ! La configuration du logiciel de services proxy en tant que client SOCKS ! La configuration de la passerelle IP Novell en tant que serveur SOCKS ! La configuration du navigateur Le client SOCKS peut également être utilisé avec un serveur SOCKS tiers au lieu de la passerelle IP Novell. Pour configurer le serveur proxy et la passerelle IP Novell de manière à prendre en charge le proxy HTTP ou FTP par l'intermédiaire de SOCKS : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Sous l'onglet Proxy d'application, sélectionnez Proxy HTTP ou Proxy FTP. 3 Cliquez sur Client SOCKS, puis sélectionnez la case Activer SOCKS. 4 Indiquez l'adresse IP du serveur SOCKS. 5 Entrez le numéro de port du serveur SOCKS. La valeur par défaut est 1080. 6 Cliquez sur Nom d'utilisateur/Mot de passe > entrez le nom d'utilisateur et le mot de passe que le proxy utilisera pour s'authentifier via le serveur SOCKS. Configuration des services Proxy Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 89 Manual Rev 99a (FRA) 25 September 00 29 Si vous sélectionnez Aucune authentification et que vous ne spécifiez pas de nom d'utilisateur et de mot de passe, une authentification nulle sera utilisée. Le nom d'utilisateur et le mot de passe doivent correspondre à ceux configurés pour le serveur SOCKS ou sur le serveur SOCKS tiers. Si une authentification nulle est configurée, vérifiez que la configuration du serveur SOCKS permet une authentification nulle. 7 Cliquez sur OK pour fermer la page Client SOCKS. 8 Si vous n'utilisez pas de serveur SOCKS tiers : Remarque : Les procédures suivantes s'appliquent uniquement si le serveur SOCKS en amont exécute Novell BorderManager 3.7. 8a Cliquez sur l'onglet Passerelle. 8b Sélectionnez la case SOCKS V4 et V5 > cliquez sur Détails. 8c (Facultatif) Entrez le numéro de port du serveur SOCKS. La valeur par défaut est le 1 080. Cette opération permet à la passerelle IP Novell de faire office de serveur SOCKS. Affectez un numéro de port différent pour le trafic SOCKS si un autre service l'utilise déjà. 8d Sélectionnez SOCKS V5 ou SOCKS V4. Sélectionnez V5 si le serveur doit fonctionner avec le client SOCKS Novell BorderManager 3.7. Si vous choisissez V5, sélectionnez une simple demande de connexion et spécifiez une méthode d'authentification. Si vous sélectionnez SSL comme méthode d'authentification, vous devez sélectionner un identificateur (ID) clé. Remarque : Utilisez les services PKI de l'Administrateur NetWare pour modifier et créer les identificateurs clés dans une arborescence NDS ou eDirectory. 8e Sélectionnez une méthode d'authentification. 8f Cliquez sur OK. 8g Sélectionnez la page de configuration des utilisateurs et entrez le nom d'utilisateur et le mot de passe du client SOCKS. Le nom d'utilisateur et le mot de passe doivent être identiques à ceux configurés pour le client SOCKS. 8h Cliquez sur OK. 9 Cliquez sur OK sur la page de configuration de Novell BorderManager 3.7. 90 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 10 Pour utiliser un navigateur à partir du poste de travail, ouvrez la fenêtre de configuration du navigateur. Dans le champ permettant d'indiquer l'emplacement du proxy HTTP, entrez l'adresse IP ou le nom d'hôte DNS du serveur qui exécute Novell BorderManager 3.7. Ainsi, les demandes émanant du navigateur pourront être envoyées au client SOCKS sur lequel les services proxy Novell BorderManager 3.7 fonctionnent, puis transmises au serveur SOCKS si les informations demandées sont introuvables dans le cache proxy. Configuration du proxy transparent HTTP Un proxy transparent HTTP permet d'utiliser un serveur proxy HTTP sans avoir à reconfigurer le navigateur de chaque utilisateur. Utilisez un proxy transparent HTTP pour que les utilisateurs envoient leurs demandes via le serveur proxy. Lorsque le proxy transparent HTTP est utilisé, les clients doivent utiliser l'adresse IP privée du proxy en tant qu'adresse de passerelle TCP/IP. Le routage IP doit être activé sur le serveur. Pour configurer un proxy transparent HTTP : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Sous l'onglet Proxy transparent, sélectionnez la case Proxy transparent HTTP. 3 Cliquez sur Détails ou double-cliquez sur le service proxy transparent. 4 Cliquez sur Ajouter et entrez un numéro de port destiné au contrôle. Indiquez par exemple le numéro de port 80 pour le trafic HTTP. 5 Dans la liste des adresses IP en exception, cliquez sur Ajouter et entrez une adresse IP locale. 6 Cliquez sur OK > cliquez de nouveau sur OK dans la page de configuration de Novell BorderManager 3.7. Remarque : Lorsque le proxy transparent HTTP est activé, il est également activé automatiquement pour la passerelle IP Novell®, si applicable. Pour configurer l'authentification pour un proxy transparent HTTP, reportezvous à “Configuration de l'authentification proxy”, page 92. Configuration des services Proxy Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 91 Manual Rev 99a (FRA) 25 September 00 29 Configuration d'un proxy transparent Telnet Un proxy transparent Telnet permet d'utiliser un serveur proxy Telnet sans avoir à se connecter manuellement à un serveur proxy. Lorsque vous utilisez un proxy transparent Telnet, le client doit utiliser l'adresse IP privée du proxy car l'adresse de passerelle TCP/IP ou le serveur proxy doivent se trouver dans le chemin de routage. Le routage IP doit être activé sur le serveur. Pour configurer un proxy transparent Telnet : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Sous l'onglet Proxy transparent, sélectionnez la case Proxy transparent Telnet. 3 Cliquez sur Détails ou double-cliquez sur le service Telnet transparent. 4 Cliquez sur Ajouter et entrez un numéro de port destiné au contrôle. Indiquez par exemple le numéro de port 23 pour le trafic Telnet. 5 Dans la liste des adresses IP en exception, cliquez sur Ajouter et entrez une adresse IP locale. 6 Cliquez sur OK > cliquez sur la page OK. Remarque : Lorsque le proxy transparent Telnet est activé, il est également activé automatiquement pour la passerelle IP Novell, si applicable. Pour configurer l'authentification pour un proxy transparent Telnet, reportezvous à “Configuration de l'authentification proxy”, page 92. Configuration de l'authentification proxy Important : Il existe une autre méthode d'authentification pour les utilisateurs des serveurs proxy. Les utilisateurs des serveurs proxy peuvent utiliser des périphériques de sécurité tels que des jetons matériels en plus du mot de passe NDS ou eDirectory. Les règles de login qui définissent les règles d'authentification et les méthodes d'accès nécessaires aux utilisateurs à distance pour leur authentification sont stockées dans l'objet Règle de login NDS ou eDirectory. Les sections suivantes fournissent des informations sur l'authentification proxy : ! “Configuration de l'authentification proxy”, page 92 92 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Configuration de l'authentification d'un proxy HTTP Plusieurs méthodes permettent de procéder à l'authentification proxy pour un proxy HTTP et un accélérateur HTTP (proxy HTTP inverse et de réacheminement) : ! Single sign-on pour les clients du logiciel client Novell 32— si un utilisateur est logué à NetWare via le dernier logiciel client Novell, il n'a pas besoin de s'authentifier de nouveau au proxy lorsqu'il utilise le navigateur. ! Authentification proxy SSL : il n'est pas nécessaire que l'utilisateur procède à une authentification sur le proxy s'il est déjà logué aux NDS ou eDirectory. Vous pouvez activer l'authentification NDS ou eDirectory proxy HTTP et imposer à tous les utilisateurs de s'authentifier via leur navigateur avant d'accéder au serveur proxy et à Internet. L'authentification proxy comporte un nom d'utilisateur et un mot de passe. Le mot de passe d'authentification proxy et le mot de passe d'authentification NDS ou eDirectory d'un utilisateur sont identiques. Tous les types de navigateurs client peuvent être authentifiés : Windows 98, Windows 2000, Windows XP, Windows Me, Windows NT, UNIX, OS/2 ou Macintosh*. Si l'authentification proxy est activée et que les méthodes single sign-on et SSL sont toutes deux disponibles, le serveur proxy tente en premier lieu d'authentifier l'utilisateur par single sign-on. Si cette méthode d'authentification échoue ou qu'elle n'est pas activée, le serveur proxy procède alors à l'authentification SSL. Le single sign-on fonctionne uniquement si l'ordinateur client exécute le logiciel client Novell 32 et qu'il est logué aux NDS ou eDirectory. L'ordinateur client doit également exécuter DWNTRUST.EXE et CLNTRUST.EXE. Ces fichiers se trouvent dans le répertoire SYS:PUBLIC sur le serveur. Pour plus d'informations sur ces fichiers et sur la création de scripts de login pour les utilisateurs à authentifier par single sign-on, reportez-vous à Chapitre 4, “Configuration de la passerelle IP Novell”, page 53. Pour configurer l'authentification du proxy HTTP : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Cliquez sur Contexte d'authentification. Configuration des services Proxy Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 93 Manual Rev 99a (FRA) 25 September 00 29 3 Sous l'onglet Authentification, sélectionnez la case Activer l'authentification d'un proxy HTTP. 4 Sélectionnez une méthode d'authentification : Single Sign-on ou SSL. 5 Dans le cas du single sign-on, entrez le délai d'attente d'une réponse. 6 Dans le cas de la méthode SSL, spécifiez les paramètres suivants : ! Port d'écoute SSL : indiquez le port à utiliser pour l'authentification. Il peut s'avérer nécessaire de modifier le numéro de port afin d'empêcher l'exécution, dans le trafic SSL, du trafic du proxy inverse. Le numéro de port 443 est en effet affecté par défaut à la fois pour le trafic du proxy inverse et le trafic SSL.443 ! ID clé : indiquez l'identificateur (ID) clé échangé entre le client et le serveur au cours de l'authentification. Remarque : Utilisez les services PKI de l'Administrateur NetWare pour modifier et créer les identificateurs clés dans une arborescence NDS ou eDirectory. ! Méthode de notification : indiquez si la notification d'authentification doit être envoyée au format HTML ou sous la forme d'une applet Java. ! Temps mort : indiquez le délai d'inactivité autorisé pour une connexion avant de procéder à un nouveau login. 7 Spécifiez si l'authentification n'est requise que lorsqu'un utilisateur essaie d'accéder à une page à accès restreint. 8 Cliquez sur l'onglet Contexte. 9 Cliquez sur Ajouter > entrez le nom d'arborescence et de contexte NDS ou eDirectory par défaut de l'utilisateur. Entrez un nom de conteneur distinctif NDS ou eDirectory (sales.my_org, par exemple). Le nom du conteneur NDS ou eDirectory peut comporter jusqu'à 256 caractères. Cette entrée est facultative mais rend le login plus facile pour les utilisateurs. Les utilisateurs du conteneur spécifié peuvent se loguer en ne tapant que leur nom de login, sans la chaîne de contexte intégrale. 10 Cliquez sur OK > cliquez de nouveau sur OK dans la page de configuration de Novell BorderManager 3.7. 94 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Configuration de l'authentification du proxy transparent HTTP Pour configurer l'authentification du proxy transparent HTTP : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Cliquez sur Contexte d'authentification. 3 Sous l'onglet Authentification, sélectionnez la case Activer l'authentification d'un proxy HTTP. 4 Cliquez sur l'onglet Contexte. 5 Cliquez sur Ajouter et entrez le nom d'arborescence et de contexte NDS ou eDirectory par défaut de l'utilisateur. Entrez un nom de conteneur distinctif NDS ou eDirectory (sales.my_org, par exemple). Le nom du conteneur NDS ou eDirectory peut comporter jusqu'à 256 caractères. Cette entrée est facultative mais rend le login plus facile pour les utilisateurs. Les utilisateurs du conteneur spécifié peuvent se loguer en ne tapant que leur nom de login, sans la chaîne de contexte intégrale. 6 Cliquez sur OK > cliquez de nouveau sur OK dans la page de configuration de Novell BorderManager 3.7. Configuration de l'authentification du proxy transparent Telnet Pour activer l'authentification du proxy transparent Telnet : 1 Dans l'Administrateur NetWare, sélectionnez la page de configuration de Novell BorderManager 3.7 concernant le serveur. 2 Cliquez sur Contexte d'authentification. 3 Sous l'onglet Authentification, sélectionnez la case Activer l'authentification du proxy transparent Telnet. 4 Cliquez sur l'onglet Contexte. Configuration des services Proxy Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 95 Manual Rev 99a (FRA) 25 September 00 29 5 Cliquez sur Ajouter > entrez le nom d'arborescence et de contexte NDS par défaut de l'utilisateur. Entrez un nom de conteneur distinctif NDS ou eDirectory (sales.my_org, par exemple). Le nom du conteneur NDS ou eDirectory peut comporter jusqu'à 256 caractères. Cette entrée est facultative mais rend le login plus facile pour les utilisateurs. Les utilisateurs du conteneur spécifié peuvent se loguer en ne tapant que leur nom de login, sans la chaîne de contexte intégrale. 6 Cliquez sur OK > cliquez de nouveau sur OK dans la page de configuration de Novell BorderManager 3.7. Exécution de tâches de configuration et de gestion avancées Outre les procédures de configuration élémentaires décrites dans ce chapitre, d'autres procédures de configuration et de gestion peuvent s'avérer nécessaires, en fonction de votre configuration spécifique. Les tâches avancées sont décrites dans Configuration avancée des services Proxy et traitent des sujets suivants : ! Configuration des paramètres de cache ! Spécification du téléchargement par lots ! Configuration des hiérarchies de cache ! Spécification des paramètres de timeout relatifs au transport ! Spécification des paramètres DNS ! Configuration de la consignation des services Proxy HTTP ! Contrôle de l'activité du cache proxy en temps réel ! Affichage des statistiques d'un hôte ! Affichage des enregistrements ! Affichage des entrées des hôtes ! Affichage des statistiques des utilisateurs ! Affichage des entrées de connexion d'un utilisateur ! Affichage des tendances d'utilisation ! Exportation de données 96 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual 6 Rev 99a (FRA) 25 September 00 29 Configuration des réseaux privés virtuels Les réseaux privés virtuels (VPN) servent à transférer des données confidentielles sur Internet en toute sécurité, grâce à l'encapsulage et au codage des données. Un réseau VPN peut également être installé sur les intranets, pour lesquels la sécurité des données entre les départements est un élément indispensable. Ce chapitre explique les tâches à accomplir pour configurer le composant VPN du logiciel Novell® BorderManager® 3.7. Il décrit également les étapes préliminaires requises pour certaines tâches. ! “Conditions préalables relatives au réseau privé virtuel”, page 98 ! “Configuration de votre VPN”, page 103 ! “Mise à niveau VPN à partir d'une version antérieure”, page 119 ! “Exécution de tâches de configuration et de gestion avancées”, page 125 Remarque : Ce chapitre décrit les tâches requises pour l'installation initiale du VPN. Pour obtenir des informations sur la planification et le concept du VPN, reportez-vous au Guide de présentation et de planification de Novell BorderManager 3.7, disponible dans la documentation en ligne. Assurez-vous de bien comprendre ces informations avant de configurer votre VPN. Configuration des réseaux privés virtuels Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 97 Manual Rev 99a (FRA) 25 September 00 29 Conditions préalables relatives au réseau privé virtuel Avant de configurer le composant VPN du logiciel Novell BorderManager 3.7, vous devez remplir les conditions décrites dans ce chapitre. Ce chapitre comprend les sections suivantes : ! “Conditions préalables relatives au réseau privé virtuel”, page 98 ! “Conditions préalables relatives au réseau privé virtuel”, page 98 Conditions préalables relatives au réseau VPN site à site Avant de configurer un VPN site à site, vérifiez que le réseau remplit les conditions suivantes : ! Le logiciel de routage NetWare® doit être installé et configuré sur chaque serveur VPN. La configuration du logiciel de routage inclut, mais ne se limite pas à, la configuration de liaisons LAN ou WAN aux autres membres VPN, et la configuration du routage statique ou dynamique pour les paquets Internet Packet ExchangeTM (IPXTM) et IP. Vérifiez la connectivité entre vos serveurs VPN comme requis par votre topologie VPN. Tout logiciel pare-feu associé doit être configuré et la connectivité doit être vérifiée avant l'installation du logiciel VPN et avant la connexion de chaque serveur VPN aux réseaux privés qu'il doit protéger. ! Si vos sites VPN ne se trouvent pas sur le même intranet, chaque serveur VPN doit avoir une connexion à Internet, qu'elle soit directe ou indirecte. Si votre serveur VPN est connecté directement à Internet, utilisez l'adresse IP publique fournie par votre fournisseur de services Internet (ISP) lors de la connexion à Internet. Chaque serveur VPN utilise l'adresse IP publique pour échanger les informations codées avec d'autres serveurs VPN. Procurez-vous l'adresse IP publique avant la configuration du réseau VPN. La connexion ISP doit également être testée avant l'installation du logiciel VPN et la connexion du serveur VPN à tout réseau privé. Dans le cas d'un réseau VPN intranet, la connexion ISP n'est pas requise. ! Si votre serveur VPN est connecté directement à Internet, vous devez obtenir une adresse IP permanente pour la connexion ISP. L'adresse IP ne peut pas être affectée de façon dynamique par l'ISP. ! Le serveur VPN ne doit posséder qu'une seule connexion à Internet. Autrement, vous risquez d'envoyer et de recevoir des données confidentielles sans codage si elles sont acheminées vers l'autre connexion. 98 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 ! Si vous configurez un serveur VPN pour la première fois dans une arborescence NDS® ou Novell eDirectoryTM, vous devez pouvoir vous loguer à l'arborescence du serveur avec des droits administratifs afin d'étendre le schéma de l'objet Serveur. ! Si le serveur VPN fait également office de pare-feu qui protège le réseau privé d'accès Internet, sélectionnez l'option permettant de configurer Novell BorderManager 3.7 de façon à ce que l'accès à l'interface publique soit protégé, lors de la première installation et configuration de Novell BorderManager 3.7. Si ce n'est pas le cas, chargez BDRCFG pour configurer les filtres requis. ! Si le serveur VPN est protégé par un pare-feu, veillez à configurer le parefeu avec les filtres de transmission de paquets adéquats comme défini par vos mesures de sécurité. Si le pare-feu exécute également le logiciel Novell BorderManager 3.7, sélectionnez l'option permettant de configurer Novell BorderManager 3.7 de façon à ce que l'accès à l'interface publique soit protégé lors de l'installation et de la configuration initiales de Novell BorderManager 3.7 pour configurer automatiquement les filtres de pare-feu. Ces filtres de pare-feu doivent ensuite être modifiés en accord avec vos règles de sécurité. Généralement, les filtres doivent être modifiés pour permettre la communication entre les membres VPN et le passage des paquets codés. Les filtres répertoriés dans le peuvent être utilisés comme base de modification des filtres de pare-feu pour le réseau VPN. Les filtres peuvent également être modifiés pour permettre la communication avec d'autres services Novell BorderManager 3.7. Les filtres de pare-feu peuvent également être configurés après l'installation en chargeant BDRCFG. Si le pare-feu n'exécute pas le logiciel Novell BorderManager 3.7, vous devez configurer ces filtres manuellement comme décrit dans la documentation fournie avec le parefeu tiers. Configuration des réseaux privés virtuels Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 99 Manual Tableau 2 Rev 99a (FRA) 25 September 00 29 Filtres VPN Description du filtre Protocole Adresse source Port source Adresse cible Port cible Filtres d'exception pour permettre au serveur maître VPN d'autoriser le trafic entrant TCP (ID=6) Tout 213 Adresse publique VPN Tout SKIP (ID=57) Tout Tout Tout Tout UDP (ID=17) Tout 2010 Adresse publique VPN 2010 TCP (ID=6) Adresse publique VPN Tout Tout 213 SKIP (ID=57) Tout Tout Tout Tout UDP (ID=17) Adresse publique VPN 2010 Tout 2010 TCP (ID=6) Tout Tout Adresse publique VPN 213 SKIP (ID=57) Tout Tout Tout Tout UDP (ID=17) Tout 2010 Adresse publique VPN 2010 Filtres d'exception pour permettre au serveur maître VPN d'autoriser le trafic sortant Filtres d'exception pour le serveur VPN esclave autorisant le trafic entrant 100 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Filtres d'exception pour le serveur VPN esclave autorisant le trafic sortant Rev 99a (FRA) 25 September 00 29 TCP (ID=6) Adresse publique VPN 213 Tout Tout SKIP (ID=57) Tout Tout Tout Tout UDP (ID=17) Adresse publique VPN 2010 Tout 2010 ! Si vous avez configuré deux serveurs VPN sur le même réseau, ou si le nombre de sauts entre les deux serveurs VPN est 1, vous devez utiliser FILTCFG pour empêcher toutes les routes réseau privées d'être diffusées sur les interfaces publiques. Effectuez cette procédure pour IPX et IP comme décrit dans la documentation en ligne relative au filtrage des paquets. ! Si votre réseau utilise le routage dynamique OSPF (Open Shortest Path First), votre serveur VPN doit se trouver sur un réseau principal OSPF "pur". Conditions préalables relatives au réseau VPN client à site Avant d'installer le logiciel client VPN, vérifiez que les conditions préalables suivantes ont été remplies : ! Windows 98*, Windows* 2000, Windows* XP, Windows* Me ou Windows NT* doit fonctionner sur le poste de travail. ! Si le client VPN utilise une connexion à distance, le composant Accès réseau à distance de Microsoft* doit être installé avant le logiciel client VPN. ! Si vous utilisez le client VPN avec le logiciel Novell ClientTM, la version 3.3 (ou ultérieure) de ce dernier est recommandée. ! Si vous utilisez le client VPN LAN, vous devez posséder un adaptateur Ethernet. ! Si vous utilisez Windows NT, vous devez utiliser un poste de travail Intel*. Le client VPN ne prend pas en charge les postes de travail Alpha. Configuration des réseaux privés virtuels 101 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 ! Si vous utilisez Windows NT, le Service Pack 3 (SP3) ou version ultérieure de Windows NT doit être installé avant le logiciel client VPN. Notez que le SP3 doit être réinstallé chaque fois que vous installez des fonctions du CD-ROM de Windows NT, telles que les services d'accès réseau ou d'accès à distance, qui ne figuraient pas sur votre système lors de l'installation du SP3. ! Si vous installez Windows NT, vous devez vous loguer à Windows NT en tant qu'utilisateur disposant de droits administratifs afin d'installer le client VPN. ! Le serveur VPN ne doit posséder qu'une seule connexion à Internet. Autrement, vous risquez d'envoyer et de recevoir des données confidentielles sans codage si elles sont acheminées vers l'autre connexion. ! Si le serveur VPN est protégé par un pare-feu, veillez à configurer le parefeu avec les filtres de transmission de paquets adéquats comme défini par vos mesures de sécurité. Si le pare-feu exécute également le logiciel Novell BorderManager 3.7, sélectionnez l'option permettant de configurer Novell BorderManager 3.7 de façon à ce que l'accès à l'interface publique soit protégé lors de l'installation et de la configuration initiales pour configurer automatiquement les filtres de pare-feu. Ces filtres de pare-feu doivent ensuite être modifiés en accord avec vos règles de sécurité. Généralement, les filtres doivent être modifiés pour permettre la communication entre les clients VPN et le serveur, et le passage des paquets codés. Les filtres répertoriés dans le peuvent être utilisés comme base de modification des filtres de pare-feu. Les filtres peuvent également être modifiés pour permettre la communication avec d'autres services Novell BorderManager 3.7. Les filtres de pare-feu peuvent également être configurés après l'installation en chargeant BDRCFG. Si le pare-feu n'exécute pas le logiciel Novell BorderManager 3.7, vous devez configurer ces filtres manuellement comme décrit dans la documentation fournie avec le parefeu tiers. 102 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Tableau 3 Rev 99a (FRA) 25 September 00 29 Filtres requis pour les VPN client à site Description du filtre Protocole Adresse source Port source Adresse cible Port cible Filtres d'exception pour permettre au serveur maître ou esclave VPN d'autoriser le trafic entrant TCP (ID=6) Tout Tout Adresse publique VPN 353 SKIP (ID=57) Tout Tout Tout Tout UDP (ID=17) Tout 353 Tout 353 TCP (ID=6) Adresse publique VPN 353 Tout Tout SKIP (ID=57) Tout Tout Tout Tout UDP (ID=17) Tout 353 Tout 353 Filtres d'exception pour permettre au serveur maître ou esclave VPN d'autoriser le trafic sortant Configuration de votre VPN Pour configurer n'importe quel type de VPN, vous devez configurer un serveur maître. Après la configuration du serveur maître, vous devez effectuer des tâches supplémentaires selon que vous choisissiez de configurer un réseau VPN site à site ou client à site. Ce chapitre décrit la procédure suivante : ! “Configuration de votre VPN”, page 103 Remarque : L'utilitaire VPNCFG sert à configurer le serveur maître et le serveur esclave et à générer les informations de codage. Configuration des réseaux privés virtuels 103 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Configuration du serveur maître Un réseau VPN ne peut être doté que d'un seul serveur maître. Le serveur maître constitue le point central de contrôle de la configuration et de la gestion du réseau VPN. De plus, un serveur (maître ou esclave) ne peut être membre que d'un seul VPN. Pour configurer le serveur maître de votre réseau VPN, exécutez les étapes suivantes : 1 À l'invite de la console du serveur, tapez LOAD VPNCFG Si ce serveur est le premier dans l'arborescence NDS ou eDirectory à être configuré en tant que serveur VPN, vous êtes invité à vous loguer à l'arborescence. Vous devez disposer des droits administratifs sur le répertoire racine pour étendre le schéma NDS ou eDirectory et définir les attributs VPN. 2 Sélectionnez Configuration du serveur maître. 3 Configurez les adresses IP pour le serveur maître. Le serveur maître VPN utilise deux adresses IP : une adresse publique pour communiquer avec Internet et une adresse de tunnel VPN pour échanger des informations codées avec d'autres membres VPN. 3a Sélectionnez Configurer les adresses IP. 3b Entrez l'adresse IP publique. Si le serveur VPN est connecté directement à Internet, l'adresse IP publique est l'adresse attribuée par votre ISP. 3c Entrez le masque de sous-réseau pour l'adresse IP publique. 3d Entrez l'adresse IP du tunnel VPN. Cette adresse est associée au tunnel VPN au travers duquel les informations codées passent. Cette adresse ne devrait pas être enregistrée. Important : L'adresse IP du tunnel VPN pour tous les serveurs VPN doit se trouver sur le même sous-réseau. L'adresse IP du tunnel VPN est une adresse privée choisie de façon arbitraire. L'étendue de cette adresse se limite à la liaison du tunnel VPN. Cette adresse ne devrait pas être utilisée comme adresse IP source ou de cible pour les paquets de données. Utilisez la commande PING sur cette adresse pour vérifier la connectivité directe via le tunnel VPN. 104 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 3e Entrez le masque de sous-réseau pour l'adresse IP du tunnel VPN. 3f Appuyez sur Échap > à l'invite, sélectionnez Oui pour enregistrer vos modifications. 4 Générez les informations de codage du serveur maître. 4a Sélectionnez Générer les informations de codage. 4b Entrez jusqu'à 255 caractères pour la valeur de départ aléatoire. Il n'est pas nécessaire d'enregistrer cette valeur. Le logiciel utilise cette valeur pour randomiser les clés RSA (Rivest Shamir Adleman) publiques et privées du serveur maître ainsi que les valeurs DiffieHellman publiques et privées du serveur maître qu'il génère. 5 Copiez le fichier d'informations de codage maître (MINFO.VPN) sur une disquette ou enregistrez-le sur un disque dur local. 5a Sélectionnez Copier les informations de codage. 5b Entrez le chemin dans lequel vous voulez enregistrer le fichier d'informations de codage maître. 6 Donnez le fichier MINFO.VPN à l'administrateur réseau de chaque serveur esclave que vous voulez ajouter au VPN. Vous pouvez soit envoyer la disquette qui contient le fichier par courrier, soit envoyer le fichier sous forme de pièce jointe par courrier électronique. La sécurité du fichier ne sera pas compromise en cas d'interception de celui-ci, car il ne contient que des informations publiques. Toute modification du fichier peut être détectée en vérifiant le résumé des messages lors de la configuration du serveur esclave. 7 Appuyez sur Échap le nombre de fois nécessaires pour quitter VPNCFG. Configuration des réseaux privés virtuels 105 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Configuration de VPN de site à site Ce chapitre explique les tâches élémentaires à effectuer pour configurer un réseau VPN site à site. Il se compose des sections suivantes : ! “Configuration de votre VPN”, page 103 Configuration d'un serveur esclave Pour configurer un serveur esclave pour votre réseau VPN, procédez comme suit : Assurez-vous de vous procurer le fichier MINFO.VPN auprès de l'administrateur du serveur maître. 1 À l'invite de la console du serveur, tapez LOAD VPNCFG 2 Sélectionnez Configuration du serveur esclave. 3 Configurez les adresses IP pour le serveur esclave. À l'instar du serveur maître, un serveur esclave VPN utilise deux adresses IP : une adresse publique pour communiquer avec Internet et une adresse de tunnel VPN pour échanger des informations codées avec d'autres membres VPN. 3a Sélectionnez Configurer les adresses IP. 3b Entrez l'adresse IP publique. Si le serveur VPN est connecté directement à Internet, l'adresse IP publique est l'adresse attribuée par votre ISP. 3c Entrez le masque de sous-réseau pour l'adresse IP publique. 3d Entrez l'adresse IP du tunnel VPN. Cette adresse est associée au tunnel VPN au travers duquel les informations codées passent. Cette adresse ne devrait pas être enregistrée. Important : L'adresse IP du tunnel VPN pour tous les serveurs VPN doit se trouver sur le même sous-réseau. 3e Entrez le masque de sous-réseau pour l'adresse IP du tunnel VPN. 3f Appuyez sur Échap et, à l'invite, sélectionnez Oui pour enregistrer vos modifications. 106 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 4 Générez les informations de codage du serveur esclave. 4a Sélectionnez Générer les informations de codage. 4b Entrez l'emplacement du fichier d'informations de codage maître (MINFO.VPN). 4c Contactez l'administrateur du serveur maître et vérifiez que vous disposez des mêmes valeurs du résumé des messages. Le fait de disposer des mêmes valeurs de digest garantit l'authenticité du fichier MINFO.VPN. Important : Si les valeurs de digest ne sont pas identiques, le tunnel codé entre les serveurs esclave et maître ne pourra pas être créé. Dans ce cas, le serveur maître devra fournir un nouveau fichier MINFO.VPN. 4d Demandez à l'administrateur du serveur maître de sélectionner Authentifier les informations de codage pour authentifier le fichier MINFO.VPN. Pour authentifier ce fichier, l'administrateur doit charger VPNCFG et sélectionner les options de menu suivantes : Master Server Configuration (Configuration du serveur maître)> Authenticate Encryption Information (Authentifier les informations de codage). 4e Si les valeurs message digest concordent, entrez 255 caractères au maximum pour la valeur aléatoire de départ. Il n'est pas nécessaire d'enregistrer cette valeur. Le logiciel utilise cette valeur pour définir de façon aléatoire les valeurs DiffieHellman publiques et privées qu'il génère pour le serveur esclave. 5 Copiez le fichier d'informations de codage esclave (SINFO.VPN) sur une disquette ou enregistrez-le sur un disque dur local. 5a Sélectionnez Copier les informations de codage. 5b Entrez le chemin ou le nom du fichier dans lequel vous voulez enregistrer le fichier d'informations de codage esclave. La valeur par défaut est A:\SINFO.VPN. Suggestion : Renommez votre fichier SINFO.VPN en SINFO_S1.VPN, par exemple. Ceci permet à l'administrateur du serveur maître de rassembler tous les fichiers d'informations de codage esclave dans un seul répertoire, sans les écraser. Vous pouvez également utiliser un nom de serveur ou d'emplacement pour renommer le fichier SINFO.VPN. Configuration des réseaux privés virtuels 107 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 6 Remettez votre fichier d'informations de codage à l'administrateur du serveur maître. Vous pouvez soit envoyer la disquette qui contient le fichier par courrier, soit envoyer le fichier sous forme de pièce jointe par courrier électronique. La sécurité du fichier ne sera pas compromise en cas d'interception de celui-ci, car il ne peut pas être interprété sans les clés RSA publiques et privées du serveur maître et sans les valeurs DiffieHellman publiques et privées. 7 Appuyez sur Échap le nombre de fois nécessaires pour quitter VPNCFG. Important : Afin de permettre toute communication entre le serveur esclave et d'autres membres du réseau VPN, vous devez effectuer la procédure décrite dans “Configuration de votre VPN”, page 103. Ajout d'un serveur à un réseau VPN Avant de pouvoir ajouter un serveur à un réseau VPN, vous devez utiliser l'utilitaire VPNCFG pour effectuer les opérations suivantes : ! Configurer le serveur maître. ! Configurer le serveur esclave. ! Générer les fichiers d'informations de codage des serveurs maître et esclave. Une fois que vous avez exécuté les procédures VPNCFG, le serveur maître est ajouté automatiquement au réseau VPN. L'utilitaire Administrateur NetWare sert à ajouter un serveur à un réseau VPN et à synchroniser les serveurs VPN. Pour ajouter un serveur esclave au réseau VPN, procédez comme suit : 1 Dans l'Administrateur NetWare, double-cliquez sur le serveur maître VPN et sélectionnez la page de configuration de Novell BorderManager 3.7. 2 Cliquez sur l'onglet VPN. 3 Sous Activer le service, double-cliquez sur Site à site maître. 4 Cliquez sur Ajouter. 108 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 5 Recherchez le fichier contenant les informations de codage du serveur que vous souhaitez ajouter et cliquez sur Ouvrir. Le fichier d'informations de codage est généré lors de la procédure décrite dans “Configuration de votre VPN”, page 103. Le nom par défaut du fichier est SINFO.VPN. L'Administrateur NetWare lit ce fichier et affiche un résumé des messages de 16 octets. 6 Demandez à l'administrateur du serveur esclave VPN de sélectionner Authentifier les informations de codage pour authentifier le fichier SINFO.VPN. Pour authentifier ce fichier, l'administrateur doit charger VPNCFG et sélectionner les options de menu suivantes : Configuration du serveur esclave> Authentifier les informations de codage Comparez la valeur de votre message digest avec celle générée à la console du serveur esclave. 7 Si les messages digest sont identiques, cliquez sur Oui ; dans le cas inverse, cliquez sur Non. Des valeurs message digest différentes signifient que les données ont été altérées. 8 Cliquez sur État. 9 Cliquez sur Synchroniser tout puis sur OK. Exécutez cette procédure pour chaque serveur esclave devant être ajouté comme membre du réseau VPN. Synchronisation des serveurs VPN Lorsque vous synchronisez les serveurs d'un réseau privé virtuel (VPN), le serveur maître VPN met à jour tous les serveurs esclave VPN de façon à ce qu'ils utilisent la nouvelle topologie et les nouvelles clés de codage VPN. L'état de la synchronisation d'un serveur peut avoir l'une des valeurs suivantes : ! Mise à jour La configuration du serveur prend en compte la topologie et les informations de codage mises à jour. Cet état n'indique pas que les connexions du tunnel VPN du serveur sont opérationnelles. Utilisez l'écran Activité pour déterminer l'état des connexions du tunnel VPN. Configuration des réseaux privés virtuels 109 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 ! En cours de configuration Le serveur doit recevoir les informations de codage et de topologie mises à jour du serveur maître. ! En cours de suppression Le serveur est supprimé du réseau VPN. Remarque : Si l'état d'un serveur demeure En cours de configuration ou En cours de suppression pendant un délai anormalement long, le serveur maître ne parvient manifestement pas à communiquer avec ce membre VPN. Pour plus d'informations, reportez-vous à la documentation en ligne relative à VPN. Pour synchroniser les membres d'un réseau VPN : 1 Dans l'Administrateur NetWare, double-cliquez sur le serveur maître VPN et sélectionnez la page de configuration de Novell BorderManager 3.7. 2 Cliquez sur l'onglet VPN. 3 Sous Activer le service, double-cliquez sur Site à site maître. 4 Cliquez sur État. La fenêtre État de la synchronisation affiche chaque membre du réseau VPN, son adresse IP publique et l'état de sa mise à jour. 5 Pour synchroniser tous les serveurs du réseau VPN, cliquez sur Synchroniser tout. ou Pour synchroniser un seul serveur du réseau VPN, sélectionnez son nom et cliquez sur Synchroniser sélectionné. Configuration de réseaux VPN site à site spécifiques Vous pouvez construire votre réseau VPN site à site de plusieurs façons. Selon la configuration souhaitée, vous devrez effectuer diverses tâches. Les exemples détaillés suivants sont disponibles dans la documentation en ligne relative au réseau VPN : ! Utilisation du serveur VPN comme serveur Border ! Utilisation d'un serveur VPN protégé par un pare-feu ! Configuration d'un serveur VPN au sein d'un réseau privé 110 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Remarque : Pour configurer correctement un réseau VPN particulier, vous devez absolument vous référer aux exemples de la documentation en ligne relative au réseau VPN. Les exemples contiennent des procédures qui sont requises pour une configuration particulière mais qui ne font pas partie des procédures fournies dans cette publication. Installation de VPN de client à site Ce chapitre répertorie les tâches à effectuer pour configurer un réseau VPN de client à site et pour établir une connexion de client à site. Ce chapitre décrit la procédure suivante : ! “Configuration de votre VPN”, page 103 Configuration d'un serveur VPN pour prendre en charge les clients VPN Pour configurer la prise en charge des clients VPN par le serveur VPN : 1 Configurez un serveur NetWare avec le logiciel VPN. ! Si vous souhaitez que le serveur soit membre d'un réseau VPN de site à site (maître ou esclave), configurez le serveur VPN de manière à ce qu'il fasse partie du réseau VPN, comme décrit dans “Configuration de votre VPN”, page 103 ou à “Configuration de votre VPN”, page 103. ! Si vous souhaitez que le serveur ne prenne en charge que les clients à distance et qu'il ne soit pas membre d'un réseau VPN de site à site, configurez le serveur VPN comme serveur VPN maître, comme décrit dans “Configuration de votre VPN”, page 103. ! Vous devez placer le serveur sur un chemin compris entre l'intranet et Internet. Si vous possédez plusieurs points d'accès à Internet à partir de votre intranet, vous devez vous assurer que les paquets provenant de l'intranet peuvent revenir vers le client VPN via le serveur VPN. Les paquets reviennent au client si vous choisissez le serveur VPN comme routeur par défaut sur votre réseau, ou si vous activez NAT sur l'interface privée de votre serveur VPN. 2 Dans l'Administrateur NetWare, double-cliquez sur le serveur VPN choisi pour la prise en charge des clients et sélectionnez la page de configuration de Novell BorderManager 3.7. 3 Cliquez sur l'onglet VPN. 4 Sous Activer le service, double-cliquez sur Client à site. Configuration des réseaux privés virtuels 111 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 5 (Facultatif) Configurez le paramètre Timeout d'inactivité, si nécessaire. 6 Pour activer le codage des données IPX pour les clients VPN, vous devez définir le paramètre Client WAN et adresse réseau IPX sur l'adresse de réseau IPX que les clients VPN utiliseront pour accéder à ce serveur. Cette adresse doit être unique et ne doit pas correspondre à l'adresse réseau du serveur ni à l'adresse réseau des adaptateurs LAN du serveur. Si le client se connecte directement au serveur VPN à l'aide du logiciel d'accès à distance, l'adresse de réseau IPX que vous avez configurée pour l'accès à distance s'affiche automatiquement. Si vous modifiez l'adresse dans ce champ, le logiciel d'accès à distance est mis à jour en fonction de la nouvelle adresse. Important : Lorsque la prise en charge IPX est activée pour le client VPN sur les postes de travail Windows 95 et Windows 98, la connexion IPX du client est désactivée une fois la connexion VPN IPX établie. Cela peut également être le cas lorsque le client n'est pas un client VPN et que vous utilisez l'Accès réseau à distance avec IPX activé. 7 (Facultatif) Si vous ne voulez pas que les clients VPN négocient les méthodes de codage et d'authentification de données pour la connexion au serveur VPN, sélectionnez Limiter les clients à l'utilisation de la sécurité préférée du serveur. Pour configurer la méthode de sécurité préférée du serveur, sélectionnez Détails sous Site à site maître ou Site à site esclave. 8 (Facultatif) Si vous souhaitez définir un nombre limité de réseaux avec lesquels les clients VPN peuvent communiquer en toute sécurité en codant les données, configurez une liste de réseaux protégés. Pour ajouter un réseau à la liste, sélectionnez Coder uniquement les réseaux répertoriés ci-dessous > cliquez sur Ajouter. Sélectionnez l'adresse réseau et le masque de sous-réseau > cliquez sur OK. Cette étape est facultative car par défaut, le client code les données à destination et en provenance de tous les réseaux. En définissant une liste de réseaux protégés, vous permettez au client VPN d'envoyer du trafic IP non codé à Internet et de coder uniquement le trafic intranet. Si votre réseau est de type IPX seulement et que vous ne souhaitez pas coder le trafic IP, sélectionnez Ne coder aucun paquet IP. 112 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 9 (Facultatif) Cliquez sur Digest pour afficher le résumé des informations de configuration du serveur VPN. Ce résumé permet d'authentifier les informations envoyées au client VPN lorsqu'il essaie de se loguer au serveur VPN. 10 Cliquez sur OK > sélectionnez Règles d'accès de Novell BorderManager 3.7. 11 Pour configurer les utilisateurs, groupes ou conteneurs NDS ou eDirectory autorisés à utiliser ce serveur VPN, exécutez les étapes suivantes : 11a Cliquez sur Ajouter. 11b Sélectionnez Client VPN comme type d'accès. 11c Sous Source, sélectionnez Spécifiée > cliquez sur Parcourir. 11d Cliquez sur Ajouter. 11e Sélectionnez un utilisateur, groupe ou conteneur dans la liste d'objets de l'arborescence NDS ou eDirectory, puis cliquez sur OK. 11f Répétez les étapes pour chaque objet supplémentaire comme requis. 12 Cliquez sur OK jusqu'à ce que vous soyez revenu à la page VPN. 13 Si nécessaire, configurez des règles d'authentification et des méthodes d'accès. Les clients VPN peuvent utiliser des périphériques de sécurité tels que des jetons matériels en plus de leur mot de passe NDS ou eDirectory pour s'authentifier auprès du serveur VPN. Si un objet Règle de login existe dans votre arborescence NDS ou eDirectory, il est associé à tous les serveurs VPN version 3.7 de l'arborescence et il authentifie les utilisateurs VPN à l'aide des règles d'authentification et des méthodes d'accès définies dans l'objet. Si un objet Règle de login figure dans votre arborescence, seuls les utilisateurs pour lesquels une règle a été définie pour leur méthode d'authentification peuvent se connecter au serveur VPN. 14 Si les utilisateurs accèdent au serveur VPN à l'aide du logiciel d'accès à distance, configurez les comptes d'accès à distance correspondants comme décrit dans Chapitre 6, “Configuration des réseaux privés virtuels”, page 97. Configuration des réseaux privés virtuels 113 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 15 Fournissez les informations suivantes par messagerie électronique ou par téléphone aux utilisateurs VPN : ! Le nom d'utilisateur et le mot de passe NDS ou eDirectory affectés à chaque utilisateur pour l'arborescence contenant le serveur VPN ! L'adresse IP du serveur VPN si les utilisateurs accèdent au serveur VPN via un fournisseur de services Internet (ISP). ! Si les utilisateurs se connectent directement au serveur VPN, les informations d'accès à distance (numéro de téléphone et mot de passe d'accès à distance) ! (Facultatif) Le résumé des informations de configuration du serveur VPN Installation d'un client VPN à distance ou LAN sur un poste de travail Windows 95, Windows 98 ou Windows NT Pour installer un client VPN sur un poste de travail Windows 98, Windows 2000, Windows XP, Windows Me ou Windows NT : 1 Si vous utilisez un client à distance, vérifiez que le poste de travail possède un modem et qu'il a été configuré. 2 Insérez le CD-ROM du client VPN et démarrez le programme d'installation. 3 Suivez les instructions en ligne du programme d'installation. À l'invite, insérez le CD-ROM Windows 98, Windows 2000, Windows XP, Windows Me ou Windows NT qui contient le logiciel client Novell fourni avec Novell BorderManager 3.7. 4 Redémarrez le poste de travail à l'invite. Si l'installation s'est déroulée correctement, la carte réseau VPN Novell s'affiche dans le Panneau de configuration Réseau Windows 98, Windows 2000, Windows XP, Windows Me ou Windows NT. Pour les systèmes Windows NT, le client VPN de Novell BorderManager 3.7 figure sous l'onglet Services dans la section Réseau du Panneau de configuration. 114 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Configuration d'un client VPN à distance sur un poste de travail Windows 98, Windows 2000, Windows XP, Windows Me ou Windows NT Une entrée d'accès à distance par défaut nommée Novell VPN est créée automatiquement pour le client VPN lors de l'installation. Cette entrée d'accès à distance peut être utilisée pour la connexion à votre ISP en démarrant votre logiciel de login VPN. Utilisez la boîte de dialogue VPN Login pour configurer divers paramètres avant de vous connecter à votre ISP. Ces paramètres incluent les propriétés d'appel, l'emplacement d'appel, le type de modem utilisé et le numéro de téléphone, qui peut être entré manuellement ou sélectionné dans un annuaire Si vous ne voulez pas utiliser l'entrée d'accès à distance par défaut, créez une nouvelle entrée à l'aide de l'Accès réseau à distance de Microsoft. Pour créer et configurer une nouvelle entrée d'accès à distance sur un poste de travail Windows 98, Windows 2000, Windows XP, Windows Me ou Windows NT : 1 Créez une entrée d'accès à distance. 1a Double-cliquez sur Établir une nouvelle connexion. 1b Entrez le nom de l'entrée d'accès à distance et sélectionnez le modem. 1c Cliquez sur Suivant et entrez l'indicatif local, le numéro de téléphone et l'indicatif international. 1d Cliquez sur Suivant, puis sur Terminer pour achever la création de l'entrée d'accès à distance. 2 Pour les clients Windows 98, Windows 2000, Windows XP et Windows Me, définissez le type de serveur pour l'entrée d'accès à distance. Pour les clients Windows NT, ne modifiez pas les paramètres par défaut. 2a Cliquez avec le bouton droit de la souris sur l'entrée d'accès à distance et sélectionnez Propriétés ou sélectionnez l'entrée d'accès à distance et sélectionnez Propriétés dans le menu Fichier. 2b Choisissez l'option Type de serveur. 2c Définissez le paramètre Type of Dial-Up Server (Type de serveur à distance) sur Novell Virtual Private Network (Réseau privé virtuel Novell). 2d Cliquez sur OK pour enregistrer vos modifications. Configuration des réseaux privés virtuels 115 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Login depuis un client VPN Utilisez le login VPN à distance si vous voulez utiliser l'entrée d'Accès réseau à distance de Microsoft pour vous connecter à votre ISP. Utilisez le login VPN LAN si vous êtes déjà connecté à votre ISP via un modem câble, un périphérique ADSL, une connexion LAN ou une connexion d'accès à distance établie. Pour vous loguer depuis un client VPN, procédez comme suit : 1 Démarrez le login VPN de l'une des manières ci-dessous et attendez que la boîte de dialogue Login VPN Novell apparaisse : ! Double-cliquez sur l'une des icônes Login VPN créées automatiquement lors de l'installation du client. ! Pour les clients Windows 98 et Windows Me, sélectionnez Démarrer > Programmes > Novell > Client VPN de Novell BorderManager 3.7 > Login VPN à distance ou Login VPN LAN. ! Pour les clients Windows NT, sélectionnez Démarrer > Programmes > NetWare > Client VPN de Novell BorderManager 3.7 > Login VPN à distance ou Login VPN LAN. ! Sur les postes de travail Windows 98 et Windows Me, double-cliquez sur l'entrée VPN à distance. Le programme Login VPN est lancé lorsque la connexion d'accès à distance spécifiée est établie. 2 Sélectionnez l'onglet Login NetWare dans la boîte de dialogue Login VPN Novell et entrez les informations suivantes : ! Nom d'utilisateur NDS ou eDirectory ! Mot de passe NDS ou eDirectory ! Contexte NDS ou eDirectory ! Adresse IP du serveur VPN L'adresse IP peut être suivie d'un espace et d'une description. 116 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual ! Rev 99a (FRA) 25 September 00 29 Mot de passe jeton (facultatif) Ce mot de passe est nécessaire uniquement si vous avez configuré l'objet Règle de login en l'assortissant de règles imposant aux clients VPN d'utiliser un périphérique de sécurité tel qu'un jeton matériel en plus de leur mot de passe NDS ou eDirectory. Consultez la documentation en ligne relative aux services d'authentification pour plus d'informations sur la façon de générer le mot de passe jeton et de configurer les règles d'authentification. Une fois le client correctement authentifié, ces informations (à l'exception du mot de passe) sont enregistrées par le client VPN dans le registre du poste de travail et sont présentées à l'utilisateur lors de sa prochaine interaction avec le client VPN. Les dernières entrées utilisées pour le nom et l'adresse IP sont enregistrées et affichées. 3 Pour les connexions à distance, sélectionnez l'onglet Connexion à distance, puis sélectionnez un nom d'entrée VPN à distance à partir de la liste des entrées configurées. 4 (Facultatif) Entrez le nom d'utilisateur et le mot de passe d'accès à distance si vous ne vous êtes jamais connecté avec cette entrée d'accès à distance ou si votre mot de passe n'a pas été enregistré. Pour configurer le numéro de téléphone et d'autres propriétés d'appel, sélectionnez Paramètres. Vous pouvez remplacer le numéro de téléphone et le mot de passe d'accès à distance configurés dans l'entrée d'accès à distance en sélectionnant ou en entrant de nouvelles valeurs. 5 (Facultatif) Si votre ISP utilise la fonction de proxy RADIUS pour authentifier les utilisateurs, cliquez sur Utiliser un nom NetWare et affectez au Domaine RADIUS le nom utilisé par l'ISP pour identifier le domaine qui contient l'utilisateur lorsqu'il fait office de proxy de demande d'authentification. Le nom utilisé pour l'authentification d'accès à distance correspond au nom d'utilisateur NetWare et au contexte suivis du domaine RADIUS que vous entrez. Par exemple, si le nom d'utilisateur est Utilisateur1, le contexte Ingénierie.ACME, et le domaine RADIUS acme.com, alors le nom utilisé pour l'authentification d'accès à distance sera .Utilisateur1.Ingé[email protected]. Configuration des réseaux privés virtuels 117 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 6 Sélectionnez l'onglet Options NetWare et effectuez votre sélection parmi les options suivantes : ! Activer le codage IPX : permet au client VPN de communiquer avec le serveur VPN via IPX. Remarque : Si vous avez configuré votre logiciel client Novell de façon à ce qu'il utilise le pilote CMD (Compatibility Mode Driver), vous pouvez utiliser ce pilote pour accéder aux services IPX via le réseau VPN, au lieu d'activer IPX. ! Se loguer à NetWare : permet une connexion automatique à NetWare une fois le tunnel codé établi avec le serveur VPN. ! Supprimer la connexion actuelle : détermine si la connexion remplace les connexions existantes ou s'y ajoute. ! Exécuter les scripts : exécute automatiquement votre script de login utilisateur. ! Afficher la fenêtre de résultats : affiche automatiquement le résultat du traitement du script de login. ! Fermer automatiquement les résultats du script : ferme automatiquement la page de résultats du traitement de script lorsque la connexion est établie. 7 Cliquez sur l'onglet Programme de lancement pour définir l'application lancée une fois le tunnel codé établi avec le serveur VPN. 8 Cliquez sur OK pour vous connecter au serveur VPN. 9 Si l'on vous demande de comparer le résumé des informations d'authentification aux informations distribuées par l'administrateur, cliquez sur OK si les valeurs concordent. Cette invite ne s'affiche que si vous vous connectez à ce serveur VPN à partir de ce poste de travail pour la première fois ou si le serveur VPN a recréé ses clés. 10 (Facultatif) Cliquez sur l'onglet État VPN pour visualiser la progression de la connexion VPN. Une fois la connexion établie, une icône Client VPN apparaît dans la barre des tâches. Double-cliquez sur cette icône pour afficher les statistiques du client VPN pour cette session. Pour plus d'informations sur les statistiques du client VPN, reportez-vous à la documentation en ligne relative au réseau VPN. 118 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 11 Pour mettre fin à votre connexion VPN, double-cliquez sur l'icône Statistiques VPN, puis sur Déconnecter. Sur les systèmes Windows NT, ne terminez pas votre session en interrompant votre connexion d'accès à distance à l'aide du Moniteur d'accès à distance. Vous devez terminer votre connexion VPN à partir de l'écran Statistiques VPN. Configurations de réseaux VPN client à site spécifiques Vous pouvez construire votre réseau VPN client à site de plusieurs façons. Selon la configuration souhaitée, vous devrez effectuer diverses tâches. Les exemples détaillés suivants sont disponibles dans la documentation en ligne relative au réseau VPN : ! Utilisation du client pour se connecter à un ISP et pour se connecter au serveur VPN via Internet ! Utilisation du client pour se connecter directement au serveur VPN ! Utilisation du client pour se connecter au serveur VPN via une connexion LAN ou un modem câble Remarque : Pour configurer correctement un réseau VPN particulier, vous devez absolument vous référer aux exemples de la documentation en ligne relative au réseau VPN. Les exemples contiennent des procédures qui sont requises pour une configuration particulière mais qui ne font pas partie des procédures fournies dans cette publication. Mise à niveau VPN à partir d'une version antérieure Ce chapitre décrit la mise à niveau à partir du logiciel VPN Novell inclus dans la version 3.5 ou 3.6 de BorderManager vers la version actuelle (version 3.7). Ce chapitre décrit la procédure suivante : ! “Mise à niveau VPN à partir d'une version antérieure”, page 119 Configuration des réseaux privés virtuels 119 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Vous disposez de deux méthodes pour la mise à niveau de la version 3.5 ou 3.6 vers la version 3.7 : ! Il est possible de reconfigurer tous les serveurs VPN simultanément, pendant la nuit ou pendant un week-end. Dans ce cas, le nouveau logiciel doit être installé et les informations de codage doivent être regénérées pour tous les serveurs VPN. ! Un nouveau serveur maître VPN peut être configuré pour fonctionner en parallèle avec le serveur maître existant de version 3.5 ou 3.6 et les serveurs esclave peuvent être mis à niveau vers le nouveau réseau l'un après l'autre. La première méthode présente l'avantage de ne requérir aucun nouvel équipement ni aucune nouvelle connexion via un fournisseur de services Internet (ISP) pour exécuter un nouveau serveur maître VPN en parallèle avec le serveur maître existant de la version 3.5 ou 3.6. Cependant, pour que tous les serveurs de version 3.5 ou 3.6 soient convertis sans interruption de service, prévoyez une période de mise hors service suffisante. Le temps nécessaire au transfert des informations de codage vers et depuis chaque serveur esclave doit être pris en compte. La seconde méthode nécessite un ordinateur supplémentaire destiné à être utilisé comme nouveau serveur maître VPN qui fonctionne en parallèle avec le serveur maître existant de version 3.5 ou 3.6. Cette méthode présente l'avantage de permettre une mise à niveau étalée dans le temps sans engendrer d'interruption de service. Les serveurs esclaves VPN qui demeurent sur le VPN existant peuvent encore communiquer les uns avec les autres, mais ne peuvent pas communiquer avec les membres VPN du nouveau VPN tant que la mise à niveau n'est pas achevée. Utilisez la seconde méthode dans les cas suivants : ! Le serveur maître VPN se trouve derrière un routeur. Cette procédure est décrite dans “Mise à niveau VPN à partir d'une version antérieure”, page 119. Utilisez cette même procédure si vous souhaitez remplacer le serveur maître existant au lieu d'ajouter un nouveau serveur maître en parallèle. ! Le serveur maître VPN est connecté directement au fournisseur de services Internet. 120 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Dans ce cas, vous disposez de deux possibilités : ! Ajoutez un serveur maître de la nouvelle version sur un LAN derrière l'ordinateur qui fait office de serveur maître existant de version 3.5 ou 3.6. Dans ce cas, un autre ordinateur doit être utilisé comme nouveau serveur maître de version 3.7. Cependant, ce scénario est préférable en termes de performances. Cette procédure est décrite dans “Mise à niveau VPN à partir d'une version antérieure”, page 119. ! Remplacez le serveur maître existant de version 3.5 ou 3.6 par un nouveau serveur maître VPN 3.7 et utilisez la connexion ISP existante avec le nouveau serveur maître de version 3.7. Cette option ne nécessite aucune autre machine pour le nouveau serveur maître de la version 3.7. Cependant, il existe un inconvénient : après la suppression du serveur maître de la version 3.5 ou 3.6, les serveurs esclaves de la version 3.5 ou 3.6 restants ne peuvent pas être gérés à l'aide du serveur maître tant qu'ils n'ont pas été mis à niveau vers le nouveau réseau VPN. Cette procédure est décrite dans “Mise à niveau VPN à partir d'une version antérieure”, page 119. Mise à niveau lors d'une mise hors service totale du réseau VPN Pour mettre à niveau les sites de version 3.5 ou 3.6 vers la version 3.7 lors de l'arrêt total du VPN, procédez comme suit : 1 Installez et configurez le logiciel du nouveau VPN sur le serveur maître. Reportez-vous à “Configuration de votre VPN”, page 103 pour des instructions détaillées. 2 Configurez les serveurs esclaves et regénérez la clé de chaque nouveau serveur esclave à l'aide des informations de codage maître générées par le nouveau serveur maître. Reportez-vous à “Configuration de votre VPN”, page 103 pour des instructions détaillées. 3 Ajoutez chaque serveur esclave au VPN. Reportez-vous à “Configuration de votre VPN”, page 103 pour des instructions détaillées. Configuration des réseaux privés virtuels 121 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Mise à niveau lorsque le serveur maître se trouve derrière un routeur Pour mettre à niveau les sites de version 3.5 ou 3.6 vers la version 3.7 avec le serveur maître derrière un routeur, procédez comme suit : 1 Désignez l'ordinateur qui sera utilisé comme nouveau serveur maître VPN. 2 Tout en laissant fonctionner les serveurs esclaves et le serveur maître VPN d'origine, installez et configurez le nouveau serveur maître sur le même LAN. Reportez-vous à “Configuration de votre VPN”, page 103 pour des instructions détaillées. Important : N'interrompez pas le fonctionnement du serveur maître VPN d'origine avant d'y être invité ultérieurement au cours de cette procédure. 3 Sélectionnez un serveur esclave devant être mis à niveau vers le nouveau réseau, supprimez le serveur esclave du réseau d'origine et ajoutez-le au nouveau réseau. Reportez-vous à la documentation en ligne relative au réseau VPN et à “Configuration de votre VPN”, page 103 pour des instructions détaillées. 4 Regénérez la clé du nouveau serveur esclave à l'aide des informations de codage maître générées par le nouveau serveur maître. Reportez-vous à “Configuration de votre VPN”, page 103 pour des instructions détaillées. 5 Répétez les étapes pour chaque serveur esclave jusqu'à ce que tous les serveurs esclave soient supprimés du réseau d'origine et ajoutés au nouveau réseau. 6 Une fois la mise à niveau de tous les serveurs esclaves vers le nouveau VPN achevée, mettez le serveur maître d'origine hors service et déconnectez-le. 7 Effectuez les procédures décrites dans “Configuration de votre VPN”, page 103, selon les besoins. 122 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Mise à niveau avec un second serveur maître situé derrière un routeur Pour mettre à niveau les sites de version 3.5 ou 3.6 vers la version 3.7 avec un second serveur maître derrière un routeur, procédez comme suit : 1 Désignez l'ordinateur qui sera utilisé comme nouveau serveur maître VPN. 2 Tout en laissant fonctionner les serveurs esclaves et le serveur maître VPN d'origine, installez et configurez le nouveau serveur maître sur le LAN, derrière le serveur maître VPN d'origine. Reportez-vous à “Configuration de votre VPN”, page 103 pour des instructions détaillées. Important : N'interrompez pas le fonctionnement du serveur maître VPN d'origine avant d'y être invité ultérieurement au cours de cette procédure. 3 Sélectionnez un serveur esclave devant être mis à niveau vers le nouveau réseau, supprimez le serveur esclave du réseau d'origine et ajoutez-le au nouveau réseau. Reportez-vous à la documentation en ligne relative au réseau VPN et à “Configuration de votre VPN”, page 103 pour des instructions détaillées. 4 Regénérez la clé du nouveau serveur esclave à l'aide des informations de codage maître générées par le nouveau serveur maître. Reportez-vous à “Configuration de votre VPN”, page 103 pour des instructions détaillées. 5 Répétez les étapes pour chaque serveur esclave jusqu'à ce que tous les serveurs esclave soient supprimés du réseau d'origine et ajoutés au nouveau réseau. 6 Une fois la mise à niveau de tous les serveurs esclaves vers le nouveau VPN achevée, mettez le serveur maître d'origine hors service et déconnectez-le. 7 Effectuez les procédures décrites dans “Configuration de votre VPN”, page 103, selon les besoins. Configuration des réseaux privés virtuels 123 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Mise à niveau à l'aide d'un serveur de remplacement d'un serveur maître existant Pour mettre à niveau les sites de version 3.5 ou 3.6 vers la version 3.7 en utilisant un serveur de remplacement d'un serveur maître existant, procédez comme suit : 1 Tout en laissant fonctionner les serveurs esclaves de version 3.5 ou 3.6, installez et configurez le logiciel version 3.7 sur le serveur maître d'origine de version 3.5 ou 3.6 et utilisez la même connexion ISP. Reportez-vous à “Configuration de votre VPN”, page 103 pour des instructions détaillées. 2 Sélectionnez un serveur esclave devant être mis à niveau vers le nouveau réseau, supprimez le serveur esclave du réseau d'origine et ajoutez-le au nouveau réseau. Reportez-vous à la documentation en ligne relative au réseau VPN et à “Configuration de votre VPN”, page 103 pour des instructions détaillées. 3 Regénérez la clé du nouveau serveur esclave à l'aide des informations de codage maître générées par le nouveau serveur maître. Reportez-vous à “Configuration de votre VPN”, page 103 pour des instructions détaillées. 4 Répétez les étapes pour chaque serveur esclave jusqu'à ce que tous les serveurs esclave soient supprimés du réseau d'origine et ajoutés au nouveau réseau. 5 Effectuez les procédures décrites dans “Configuration de votre VPN”, page 103, selon les besoins. 124 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Exécution de tâches de configuration et de gestion avancées Outre les procédures de configuration élémentaires décrites dans ce chapitre, il existe des procédures de configuration ou de gestion avancées qui peuvent s'avérer nécessaires selon votre configuration spécifique. Les tâches avancées sont décrites dans Configuration avancée des réseaux privés virtuels et traitent des sujets suivants : ! Sélection des protocoles réseau sur votre réseau VPN ! Spécification des réseaux protégés par un réseau VPN site à site ! Configuration des méthodes de codage et d'authentification des données ! Sélection de l'initialisation unilatérale ou bilatérale de la connexion ! Ajustement du délai de réponse du serveur VPN ! Réglage de la synchronisation des serveurs maître-esclave ! Synchronisation des serveurs VPN ! Suppression d'un serveur esclave d'un réseau VPN ! Sélection de votre topologie VPN Configuration des réseaux privés virtuels 125 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 126 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 29 Manual 7 Rev 99a (FRA) 25 September 00 29 Configuration du contrôle d'accès Le contrôle d'accès est le processus qui permet de réglementer et de surveiller l'accès des utilisateurs à Internet et aux services de l'intranet. Ainsi, le logiciel de contrôle d'accès de Novell® BorderManager® 3.7 se charge d'autoriser ou de refuser les demandes d'accès établies via la Passerelle IP Novell, les services Proxy ou un client du réseau privé virtuel (VPN). Lorsque vous avez activé le proxy HTTP de Novell BorderManager 3.7 pour toutes les interfaces privées lors de l'installation du logiciel, le contrôle d'accès a été activé par défaut. L'ensemble du trafic proxy HTTP qui transite par l'interface privée est refusé tant que vous n'avez pas configuré de règle d'accès pour autoriser de façon spécifique l'accès des utilisateurs au proxy HTTP. Lorsque le contrôle d'accès est activé, la liste de contrôle d'accès (ACL) contenant les règles d'accès s'applique également à la Passerelle IP Novell, aux proxies d'application et aux clients VPN qui essaient de se connecter à un serveur VPN. Une règle d'accès peut être créée pour un objet Pays (C), Organisation (O), Unité organisationnelle (OU) ou Serveur. Ce chapitre explique comment configurer un contrôle d'accès élémentaire de façon à ce que les utilisateurs puissent utiliser les services Novell BorderManager 3.7 que vous avez activés. Ce chapitre se compose des sections suivantes : ! “Configuration d'une règle URL”, page 128 ! “Configuration d'une règle autorisant l'accès via la Passerelle IP Novell”, page 130 ! “Configuration d'une règle autorisant l'accès via un proxy d'application”, page 132 ! “Définition d'une règle autorisant les clients VPN à accéder aux serveurs VPN”, page 134 Configuration du contrôle d'accès 127 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 ! “Configuration d'une règle qui autorise le serveur à résoudre les noms d'hôte”, page 135 ! “Configuration des restrictions horaires pour les règles d'accès”, page 136 ! “Affichage de toutes les règles s'appliquant à un objet”, page 137 ! “Exécution de tâches de configuration et de gestion avancées”, page 138 Remarque : Ce chapitre décrit les tâches requises pour la configuration initiale du contrôle d'accès. Pour obtenir des informations sur la planification et le concept du contrôle d'accès, reportez-vous au Guide de présentation et de planification de Novell BorderManager 3.7, disponible dans la documentation en ligne. Assurezvous de bien comprendre ces informations avant de configurer le contrôle d'accès. Configuration d'une règle URL Les règles d'accès URL s'appliquent aux utilisateurs qui accèdent aux sites Web via un proxy HTTP ou la Passerelle IP Novell. Si vous avez activé le proxy HTTP pour toutes les interfaces privées lors de l'installation, la façon la plus simple de permettre aux utilisateurs d'accéder au proxy HTTP est de créer une règle qui autorise n'importe quelle source du réseau privé à accéder à n'importe quelle cible. Pour créer une règle d'accès pour un URL : 1 Dans l'Administrateur NetWare®, cliquez à l'aide du bouton droit de la souris sur l'objet dans lequel les règles de contrôle d'accès doivent être créées, puis sélectionnez Détails. 2 Sélectionnez la page Règles d'accès de Novell BorderManager 3.7, puis cliquez sur Ajouter. 3 Dans la page Définition d'une règle d'accès, spécifiez Autoriser (valeur par défaut) pour l'opération. 4 Sous Type d'accès, sélectionnez URL. 5 Dans Source, sélectionnez N'importe laquelle afin d'appliquer la règle à tous les objets NDS® ou Novell eDirectoryTM, les noms d'hôtes DNS (Domain Name System), les adresses IP et les sous-réseaux. Sinon, sélectionnez les utilisateurs, les groupes ou les hôtes de la manière suivante : 5a Cliquez sur Spécifiée, puis sur Parcourir. 128 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 5b Spécifiez un objet NDS ou eDirectory, un nom d'hôte DNS, une adresse IP ou une plage d'adresses, ou une adresse de sous-réseau (y compris le masque de sous-réseau correspondant), puis cliquez sur Ajouter. Pour spécifier le nom d'hôte DNS, vous pouvez utiliser le caractère générique (*). 5c Ajoutez des sources. 5d Après avoir ajouté les sources souhaitées, cliquez sur OK. 6 Sous Cible, sélectionnez N'importe lequel afin d'appliquer la règle à tout URL, sinon, sélectionnez Spécifiée et procédez comme suit : 6a Cliquez sur Parcourir >Ajouter. 6b Tapez l'URL incomplet (www.novell.com, par exemple) et cliquez sur OK. 6c Répétez cette procédure pour ajouter d'autres URL, si nécessaire. Remarque : Vous pouvez utiliser des caractères génériques dans les URL. Sachez cependant que le proxy HTTP et la Passerelle IP Novell n'appliquent pas les règles qui contiennent des caractères génériques de la même manière. Le proxy HTTP met en vigueur une règle avec un caractère générique dans le nom d'hôte d'un URL, ce qui n'est pas le cas de la Passerelle IP Novell. Par exemple, le proxy HTTP appliquent les règles pour http://*.novell.*, http://*novell.* et http:// www.*.com, tandis que la Passerelle IP Novell les ignore. La Passerelle IP Novell applique les règles contenant un caractère générique uniquement lorsque celui-ci représente tous les liens à partir d'une page d'accueil (par exemple, http:// www.novell.com/*). 7 (Facultatif) Si vous souhaitez que le serveur enregistre toutes les tentatives d'accès correspondant à la règle, cliquez sur Activer la consignation d'occurrence de règle. Les tentatives d'accès peuvent altérer les performances du serveur. Il est toutefois recommandé d'effectuer ce type d'opération pour détecter d'éventuelles activités non autorisées. 8 Cliquez sur OK, si nécessaire, pour revenir à la page Règles d'accès de Novell BorderManager 3.7 > cliquez sur OK pour mettre à jour les règles d'accès. Configuration du contrôle d'accès 129 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Configuration d'une règle autorisant l'accès via la Passerelle IP Novell Les règles d'accès créées pour les ports s'appliquent aux utilisateur logués à partir d'une passerelle IP Novell ou d'un client SOCKS. Ce chapitre décrit comment créer une règle d'accès pour un port. Pour permettre aux utilisateurs d'accéder à des services spécifiques via la Passerelle IP Novell : 1 Dans l'Administrateur NetWare, cliquez à l'aide du bouton droit de la souris sur l'objet dans lequel les règles de contrôle d'accès doivent être créées, puis sélectionnez Détails. 2 Sélectionnez la page Règles d'accès de Novell BorderManager 3.7 > cliquez sur Ajouter. 3 Dans la page Définition d'une règle d'accès, spécifiez Autoriser (valeur par défaut). 4 Sous Type d'accès, sélectionnez Port. 5 Spécifiez les informations suivantes sous Détails d'accès : ! Sélectionnez un service à partir du menu déroulant Service. ! Entrez le port du serveur d'origine ou une plage de ports. ! Sélectionnez un protocole de transport à partir du menu déroulant Transport. 6 Dans Source, sélectionnez N'importe laquelle afin d'appliquer la règle à tous les objets NDS ou eDirectory, noms d'hôtes DNS (Domain Name System), adresses IP et sous-réseaux, puis cliquez sur OK. Sinon, sélectionnez les utilisateurs, les groupes ou les hôtes de la manière suivante : 6a Cliquez sur Spécifiée, puis sur Parcourir. 6b Spécifiez un objet NDS ou eDirectory, un nom d'hôte DNS, une adresse IP ou une plage d'adresses, ou une adresse de sous-réseau (y compris le masque de sous-réseau correspondant), puis cliquez sur Ajouter. Pour spécifier le nom d'hôte DNS, vous pouvez utiliser le caractère générique (*). 6c Ajoutez des sources. 130 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 6d Après avoir ajouté les sources souhaitées, cliquez sur OK. 7 Sous Cible, sélectionnez N'importe laquelle afin d'appliquer la règle à toute cible > cliquez sur OK. Sinon, sélectionnez les cibles de la manière suivante : 7a Cliquez sur Spécifiée > Parcourir. 7b Spécifiez un nom d'hôte DNS, une adresse IP ou une plage d'adresses ou une adresse de sous-réseau, en incluant le masque de sous-réseau correspondant, puis cliquez sur Ajouter. Pour spécifier le nom d'hôte DNS, vous pouvez utiliser le caractère générique (*). 7c Ajoutez des cibles. 7d Après avoir ajouté les cibles souhaitées, cliquez sur OK. Important : Si vous créez une règle permettant d'accéder à n'importe quelle cible dont le nom d'hôte doit être défini via un serveur DNS, vous devez créer une autre règle permettant au serveur Novell BorderManager 3.7 de résoudre le nom d'hôte. Reportez-vous à “Configuration d'une règle qui autorise le serveur à résoudre les noms d'hôte”, page 135. 8 (Facultatif) Si vous souhaitez que le serveur enregistre toutes les tentatives d'accès correspondant à la règle, cliquez sur Activer la consignation d'occurrence de règle. Les tentatives d'accès peuvent altérer les performances du serveur. Il est toutefois recommandé d'effectuer ce type d'opération pour détecter d'éventuelles activités non autorisées. 9 Cliquez sur OK pour fermer la page Définition d'une règle d'accès. 10 Répétez les étapes pour chacun des services que vous souhaitez mettre à la disposition des utilisateurs. 11 Cliquez sur OK, si nécessaire, pour revenir à la page Règles d'accès de Novell BorderManager 3.7 > cliquez sur OK pour mettre à jour les règles d'accès. Configuration du contrôle d'accès 131 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Configuration d'une règle autorisant l'accès via un proxy d'application Si vous définissez des règles de port qui autorisent les services HTTP (port 80), FTP (port 21), Telnet (port 23), SMTP (Simple Mail Transport Protocol) (port 25), NNTP (Network News Transfer Protocol) (port 119) ou RealAudio* (port 7070), celles-ci s'appliquent uniquement lorsque les utilisateurs accèdent à ces services via la passerelle Novell IP. Lorsqu'un utilisateur accède à un proxy d'application, ces règles sont ignorées. Si vous souhaitez que des règles similaires s'appliquent aux utilisateurs qui accèdent à ces services via un proxy d'application, vous devez configurer des règles d'accès individuellement pour chaque proxy. Pour créer une règle d'accès pour un service proxy : 1 Dans l'Administrateur NetWare, cliquez à l'aide du bouton droit de la souris sur l'objet dans lequel les règles de contrôle d'accès doivent être créées, puis sélectionnez Détails. 2 Sélectionnez la page Règles d'accès de Novell BorderManager 3.7 > cliquez sur Ajouter. 3 Dans la page Définition d'une règle d'accès, spécifiez Autoriser (valeur par défaut). 4 Sous Type d'accès, sélectionnez Proxy d'application. 5 Sous Détails d'accès, sélectionnez un proxy dans le menu déroulant. Le numéro de port s'inscrit automatiquement. Si vous avez sélectionné le proxy de news, un menu déroulant s'ajoute et vous permet de spécifier la direction : Enregistrement ou Lecture. 6 Dans Source, sélectionnez N'importe laquelle afin d'appliquer la règle à tous les objets NDS ou eDirectory, noms d'hôtes DNS (Domain Name System), adresses IP et sous-réseaux. Sinon, sélectionnez les utilisateurs, les groupes ou les hôtes de la manière suivante : 6a Cliquez sur Spécifiée, puis sur Parcourir. 6b Si vous n'avez pas sélectionné la messagerie SMTP ou le proxy de news, spécifiez un objet NDS ou eDirectory, un nom d'hôte DNS, une adresse IP ou une plage d'adresses, ou un sous-réseau (y compris son masque de sous-réseau) > cliquez sur Ajouter. Pour spécifier le nom d'hôte DNS, vous pouvez utiliser le caractère générique (*). 132 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Si vous avez sélectionné le proxy RealAudio, TCP générique, UDP générique ou Telnet, vous pouvez spécifier une adresse IP ou une adresse de sous-réseau uniquement. 6c Si vous avez sélectionné le proxy Messagerie SMTP, spécifiez un utilisateur ou un nom de domaine de messagerie pour désigner tous les utilisateurs du domaine, puis cliquez sur Ajouter. 6d Si vous avez sélectionné Proxy de news et Enregistrement comme direction, spécifiez un utilisateur de messagerie, puis cliquez sur Ajouter. 6e Répétez les étapes pour ajouter des sources. 6f Après avoir ajouté les sources souhaitées, cliquez sur OK. 7 Sous Cible, sélectionnez N'importe laquelle afin d'appliquer la règle à toute cible ; sinon, sélectionnez les cibles de la manière suivante : 7a Cliquez sur Spécifiée, puis sur Parcourir. 7b Si vous n'avez pas sélectionné la messagerie SMTP ou le proxy de news, spécifiez un nom d'hôte DNS, une adresse IP ou une plage d'adresses, ou un sous-réseau (y compris son masque de sousréseau), puis cliquez sur Ajouter. Pour spécifier le nom d'hôte DNS, vous pouvez utiliser le caractère générique (*). 7c Si vous avez sélectionné le proxy Messagerie SMTP, spécifiez un utilisateur ou un nom de domaine de messagerie pour désigner tous les utilisateurs du domaine, puis cliquez sur Ajouter. 7d Si vous avez sélectionné Proxy de news, spécifiez un nom de groupe de discussion, puis cliquez sur Ajouter. 7e Répétez les étapes pour ajouter des cibles. 7f Après avoir ajouté les cibles souhaitées, cliquez sur OK. Important : Si vous créez une règle permettant d'accéder à n'importe quelle cible dont le nom d'hôte doit être défini via un serveur DNS, vous devez créer une autre règle permettant au serveur Novell BorderManager 3.7 de résoudre le nom d'hôte. Reportez-vous à “Configuration d'une règle qui autorise le serveur à résoudre les noms d'hôte”, page 135. Configuration du contrôle d'accès 133 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 8 (Facultatif) Si vous souhaitez que le serveur enregistre toutes les tentatives d'accès correspondant à la règle, cliquez sur Activer la consignation d'occurrence de règle. Les tentatives d'accès peuvent altérer les performances du serveur. Il est toutefois recommandé d'effectuer ce type d'opération pour détecter d'éventuelles activités non autorisées. 9 Cliquez sur OK, si nécessaire, pour revenir à la page Règles d'accès de Novell BorderManager 3.7, puis sur OK pour mettre à jour les règles d'accès. Définition d'une règle autorisant les clients VPN à accéder aux serveurs VPN Les règles d'accès pour les clients VPN s'appliquent à la fois aux clients VPN LAN et aux clients VPN qui essaient de se connecter à un serveur VPN à l'aide d'une connexion à distance. Pour créer une règle d'accès pour un client VPN : 1 Dans l'Administrateur NetWare, cliquez à l'aide du bouton droit de la souris sur l'objet dans lequel les règles de contrôle d'accès doivent être créées, puis sélectionnez Détails. 2 Sélectionnez la page Règles d'accès de Novell BorderManager 3.7 > cliquez sur Ajouter. 3 Dans la page Définition d'une règle d'accès, spécifiez Autoriser (valeur par défaut). 4 Sous Type d'accès, sélectionnez Client VPN. 5 Dans Source, sélectionnez N'importe laquelle afin d'appliquer la règle à tous les objets NDS ou eDirectory, noms d'hôtes DNS (Domain Name System), adresses IP et sous-réseaux. Sinon, sélectionnez les utilisateurs, les groupes ou les hôtes de la manière suivante : 5a Cliquez sur Spécifiée > cliquez sur Parcourir. 5b Cliquez sur Ajouter, effectuez une sélection parmi les objets disponibles de l'arborescence NDS ou eDirectory > cliquez sur OK. 5c Ajoutez des sources. 5d Après avoir ajouté les sources souhaitées, cliquez sur OK. 134 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 6 Sous Cible, sélectionnez N'importe laquelle afin d'appliquer la règle à tout serveur VPN dans l'arborescence NDS ou eDirectory, ou sélectionnez les cibles de la manière suivante : 6a Cliquez sur Spécifiée > cliquez sur Parcourir. 6b Cliquez sur Ajouter, effectuez une sélection parmi les objets Serveur disponibles dans l'arborescence NDS ou eDirectory > cliquez sur OK. 6c Ajoutez des cibles. 6d Après avoir ajouté les cibles souhaitées, cliquez sur OK. 7 (Facultatif) Si vous souhaitez que le serveur enregistre toutes les tentatives d'accès correspondant à la règle, cliquez sur Activer la consignation d'occurrence de règle. Les tentatives d'accès peuvent altérer les performances du serveur. Il est toutefois recommandé d'effectuer ce type d'opération pour détecter d'éventuelles activités non autorisées. 8 Cliquez sur OK, si nécessaire, pour revenir à la page Règles d'accès de Novell BorderManager 3.7 > cliquez sur OK pour mettre à jour les règles d'accès. Configuration d'une règle qui autorise le serveur à résoudre les noms d'hôte Si vous créez des règles qui autorisent l'accès aux cibles de noms d'hôte qui doivent être résolues par un serveur de nom DNS, vous devez créer une autre règle dans l'objet Organisation (O) ou Unité organisationnelle (OU) qui contient le serveur Novell BorderManager 3.7 afin de permettre au serveur de résoudre les noms d'hôte. Pour créer une règle d'accès permettant au serveur d'accéder à un hôte DNS pour résoudre un nom d'hôte : 1 Dans l'Administrateur NetWare, cliquez à l'aide du bouton droit de la souris sur l'objet dans lequel les règles de contrôle d'accès doivent être créées, puis sélectionnez Détails. 2 Sélectionnez la page Règles d'accès de Novell BorderManager 3.7, puis cliquez sur Ajouter. Configuration du contrôle d'accès 135 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 3 Dans la page Définition d'une règle d'accès, spécifiez Autoriser (valeur par défaut). 4 Sous Type d'accès, sélectionnez DNS. Le numéro du port 53 apparaît dans le champ Port. L'autorisation d'accès sortant donnée au port 53 permet au serveur Novell BorderManager 3.7 d'émettre une requête DNS. 5 Sous Source, sélectionnez N'importe laquelle. 6 Sous Cible, sélectionnez N'importe laquelle pour permettre à tout serveur de nom DNS de résoudre le nom d'hôte ou sélectionnez les cibles de la manière suivante : 6a Cliquez sur Spécifiée > cliquez sur Parcourir. 6b Spécifiez un nom d'hôte DNS > cliquez sur Ajouter. Pour spécifier le nom d'hôte DNS, vous pouvez utiliser le caractère générique (*). 6c Ajoutez des cibles. 7 Après avoir ajouté les cibles souhaitées > cliquez sur OK. 8 (Facultatif) Si vous souhaitez que le serveur enregistre toutes les tentatives d'accès correspondant à la règle, cliquez sur Activer la consignation d'occurrence de règle. Les tentatives d'accès peuvent altérer les performances du serveur. Il est toutefois recommandé d'effectuer ce type d'opération pour détecter d'éventuelles activités non autorisées. 9 Cliquez sur OK, si nécessaire, pour revenir à la page Règles d'accès de Novell BorderManager 3.7 > cliquez sur OK pour mettre à jour les règles d'accès. Configuration des restrictions horaires pour les règles d'accès Par défaut, les règles d'accès que vous créez sont en vigueur 24 heures sur 24 et 7 jours sur 7. Si vous souhaitez spécifier les heures de mise en vigueur des règles d'accès, vous pouvez configurer une restriction d'heure pour chaque règle pour qu'elle ne soit applicable qu'à une partie de la journée ou de la semaine. 136 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Pour associer des restrictions horaires à une règle d'accès : 1 Dans l'Administrateur NetWare, cliquez à l'aide du bouton droit de la souris sur l'objet dans lequel les règles de contrôle d'accès ont été créées, puis sélectionnez Détails. 2 Sélectionnez la page Règles d'accès de Novell BorderManager 3.7. 3 Dans la liste des règles d'accès, mettez en surbrillance la règle à laquelle vous souhaitez affecter des restrictions d'heures. Cliquez sur Restrictions des heures, puis sur Spécifiée. 4 Dans la grille, sélectionnez les jours et plages horaires pendant lesquels vous souhaitez appliquer la règle d'accès. Si une zone est en surbrillance, cela signifie que la règle d'accès s'applique à la source uniquement pendant cet horaire. Pour revenir au paramètre de mise en vigueur de la règle en permanence, cliquez sur Aucun(e). 5 Cliquez sur OK pour revenir à la page Règles d'accès de Novell BorderManager 3.7 puis de nouveau sur OK pour mettre à jour les règles d'accès. Affichage de toutes les règles s'appliquant à un objet Les règles d'accès pouvant être appliquées à différentes classes d'objets dans une arborescence NDS ou eDirectory, plusieurs règles peuvent être imposées à un même objet. Les règles effectives pour un objet vont toutes, dans l'ordre d'exécution, de l'objet Serveur à la racine de l'arborescence NDS ou eDirectory. Pour afficher les règles appliquées à un objet : 1 Sur un poste de travail administrateur, loguez-vous à l'arborescence NDS ou eDirectory du serveur Novell BorderManager 3.7 et lancez l'Administrateur NetWare. 2 Dans l'arborescence NDS ou eDirectory, recherchez l'objet source pour lequel vous souhaitez afficher les règles d'accès > cliquez sur l'objet avec le bouton droit de la souris et sélectionnez Détails. L'objet sélectionné doit être un serveur, une organisation, une unité organisationnelle ou un pays. 3 Sélectionnez la page Règles d'accès de Novell BorderManager 3.7. Configuration du contrôle d'accès 137 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 4 Cliquez sur Règles en vigueur. Une nouvelle fenêtre affiche toutes les règles d'accès dans l'ordre de leur application. Remarque : Les nouvelles règles d'accès ne s'affichent pas dans la liste des règles effectives tant que le serveur n'est pas mis à jour (Rafraîchir le serveur) car elles ne sont pas encore enregistrées dans l'arborescence NDS ou eDirectory. Exécution de tâches de configuration et de gestion avancées Outre les procédures de configuration élémentaires décrites dans ce chapitre, d'autres procédures de configuration et de gestion peuvent s'avérer nécessaires, en fonction de votre configuration spécifique. Les tâches avancées sont décrites dans Gestion du contrôle d'accès et traitent des sujets suivants : ! Affichage des statistiques des utilisateurs ! Affichage des entrées de connexion d'un utilisateur ! Affichage des descriptions de règles ! Affichage des statistiques d'un hôte ! Affichage des entrées des hôtes ! Affichage des tendances d'utilisation ! Exportation de données 138 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual 8 Rev 99a (FRA) 25 September 00 29 Configuration des services d'authentification Les services d'authentification de Novell® BorderManager® 3.7 permettent aux utilisateurs à distance de se connecter aux réseaux NetWare® et d'accéder aux informations et aux ressources réseau. Ils garantissent la sécurité en demandant aux utilisateurs de s'authentifier à l'aide du protocole RADIUS (Remote Authentication Dial-In User Service). Ils regroupent les trois composants suivants : ! Serveur RADIUS (serveur NetWare sur lequel les services d'authentification de Novell BorderManager 3.7 sont installés) ! Serveur d'accès réseau (moyen de connexion des utilisateurs à distance) ! Poste de travail d'administration (Administrateur NetWare) Ce chapitre comprend les informations suivantes : ! “Conditions préalables relatives aux services d'authentification de Novell BorderManager 3.7”, page 140 ! “Mise à niveau à partir d'une version antérieure”, page 141 ! “Création d'un objet Système d'accès à distance”, page 142 ! “Création d'un objet Profil d'accès à distance”, page 145 ! “Activation d'un utilisateur pour les services d'accès à distance”, page 147 ! “Démarrage des services d'authentification de Novell BorderManager 3.7”, page 149 ! “Test des services d'authentification de Novell BorderManager 3.7”, page 150 ! “Exécution de tâches de configuration et de gestion avancées”, page 151 Configuration des services d'authentification 139 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Remarque : Ce chapitre décrit les tâches requises pour configurer, démarrer et tester la mise en oeuvre initiale des services d'authentification de Novell BorderManager 3.7. Pour obtenir des informations sur la planification et le concept des services d'authentification de Novell BorderManager 3.7, reportez-vous au Guide de présentation et de planification de Novell BorderManager 3.7, disponible dans la documentation en ligne. Assurez-vous de bien comprendre ces informations avant de configurer les services d'authentification de Novell BorderManager 3.7. Conditions préalables relatives aux services d'authentification de Novell BorderManager 3.7 Avant de configurer les services d'authentification de Novell BorderManager 3.7, vérifiez que les conditions préalables ont été remplies : ! TCP/IP est configuré et fonctionne sur le serveur RADIUS et le serveur d'accès réseau. ! Le serveur d'accès réseau est compatible avec RADIUS (IETF RFC 2138 et RFC 2139 pour la prise en charge de la facturation). ! L'authentification RADIUS est activée sur le serveur d'accès réseau. ! L'adresse du serveur RADIUS sur le serveur d'accès réseau est définie sur le serveur NetWare ou le serveur Windows* NT sur lequel le logiciel du serveur RADIUS sera installé. ! Le secret RADIUS est établi et connu du serveur d'accès réseau. 140 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Mise à niveau à partir d'une version antérieure Si vous mettez à niveau les informations de configuration des services d'authentification de Novell BorderManager 3.7 créées avec une version antérieure du produit vers une autre version, prenez en compte les éléments suivants : Serveur RADIUS Le serveur RADIUS actuel (RADIUS.NLM) peut fonctionner avec les configurations d'accès à distance créées aussi bien avec les versions précédentes qu'avec la version actuelle des services d'authentification de Novell BorderManager 3.7. Administrateur NetWare Le snap-in actuel de l'Administrateur NetWare convertit la configuration de l'accès à distance créée dans une version précédente dans un nouveau format incompatible avec les précédentes versions de l'Administrateur NetWare. Utilisez une version antérieure du snap-in de l'Administrateur NetWare uniquement avec une configuration d'accès à distance créée à l'aide de ce snap-in. Il est impossible d'utiliser une précédente version du snap-in de l'Administrateur NetWare avec la version actuelle du serveur RADIUS. Configuration des services d'authentification 141 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Création d'un objet Système d'accès à distance Un objet Système d'accès à distance NDS® or Novell eDirectoryTM stocke les données de configuration des serveurs RADIUS et permet de gérer une configuration commune pour un ensemble de serveurs RADIUS qui fonctionnent conjointement. Vous devez créer au moins un objet Système d'accès à distance dans l'arborescence NDS ou eDirectory où réside votre serveur RADIUS. Tous les serveurs RADIUS participants utilisent l'objet Système d'accès à distance pour la configuration. Les informations stockées dans l'objet incluent les éléments suivants : ! Configuration clients : permet de définir les adresses IP pour les serveurs d'accès réseau et les secrets partagés utilisés parmi les serveurs RADIUS, les serveurs d'accès réseau et les serveurs RADIUS proxy dont proviendront les requêtes. ! Domaines : permet de configurer d'autres serveurs RADIUS vers lesquels vous souhaitez acheminer les requêtes RADIUS. ! Règle d'authentification : permet de définir une règle d'authentification pour le système d'accès à distance. ! Connexions à distance : permet de limiter le nombre de connexions à distance simultanées. ! Contexte de recherche : définit le chemin de recherche des objets. Pour créer un objet Système d'accès à distance 1 Dans l'Administrateur NetWare, sélectionnez l'objet Organisation ou Unité organisationnelle dans lesquels vous souhaitez placer l'objet Système d'accès à distance. 2 À partir du menu Objet, cliquez sur Créer > Système d'accès à distance > OK. 3 Entrez le nom de l'objet Système d'accès à distance > cliquez sur Créer. 4 Double-cliquez sur l'objet Système d'accès à distance que vous venez de créer, puis cliquez sur Clients > Ajouter. 4a Entrez l'adresse IP du serveur d'accès réseau dans le champ Adresse du client. 4b Sélectionnez le type de client (valeur par défaut : RADIUS générique). 142 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 4c Entrez le secret RADIUS. Entrez-le une seconde fois. Comme secret RADIUS, indiquez de préférence une chaîne aléatoire de 20 à 30 caractères alphanumériques. Ce secret permet de protéger les informations d'authentification lorsqu'elles transitent sur le réseau. 4d Sélectionnez la case Ajouter un autre client si vous souhaitez ajouter un autre serveur d'accès réseau après celui-ci. S'il s'agit du dernier ou du seul client RADIUS que vous allez créer, laissez cette case désactivée. 4e Cliquez sur OK. 5 Sélectionnez Règles d'authentification pour configurer une règle d'authentification. 5a Cliquez sur Ajouter. 5b Sélectionnez l'une des options suivantes dans la zone Type d'authentification : ! Méthode d'authentification : les utilisateurs distants sont authentifiés à l'aide d'une règle d'authentification non répertoriée, telle que l'authentification par jeton. Recherchez et sélectionnez la règle d'authentification. ! Mot de passe NetWare : les utilisateurs distants sont authentifiés à l'aide des mêmes mots de passe que pour les services d'impression et de fichiers NetWare. ! Mot de passe d'accès à distance : les utilisateurs distants sont authentifiés à l'aide de mots de passe distincts qui sont stockés sous forme codée dans la base de données NDS ou eDirectory. ! Mot de passe d'accès à distance (CHAP) : les utilisateurs distants sont authentifiés à l'aide des mots de passe CHAP (Challenge Handshake Authentication Protocol). ! Tout périphérique assigné à l'utilisateur : les utilisateurs distants sont authentifiés à l'aide d'un jeton affecté à un utilisateur. Configuration des services d'authentification 143 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 5c Sélectionnez l'une des options suivantes dans la zone Règles d'authentification : ! Obligatoire : les utilisateurs distants doivent être authentifiés à l'aide du type de règle sélectionné. ! les utilisateurs distants doivent être authentifiés à l'aide du type de règle sélectionné (activé uniquement pour Méthode d'authentification et Tout périphérique assigné à un utilisateur). ! Facultatif : les utilisateurs distants ont la possibilité de choisir la règle d'authentification sélectionnée. 5d Sélectionnez Diminuer logins bonus pour définir le compteur permettant de limiter les logins bonus. 5e Sélectionnez Ajouter une autre règle pour définir une autre règle d'authentification. 6 Sélectionnez Contexte de recherche si vous souhaitez utiliser un login par nom commun. 6a Cliquez sur Ajouter. 6b Recherchez le contexte de nom et sélectionnez-le. 6c Pour ajouter un autre contexte de recherche, sélectionnez Ajouter un autre contexte. 6d Cliquez sur OK. 7 Sélectionnez Divers. 8 Sélectionnez Changer le mot de passe d'accès à distance. 8a Entrez le nouveau mot de passe. Le mot de passe du système d'accès à distance permet de générer les clés de codage pour la protection des mots de passe et des secrets. Nous vous conseillons donc d'indiquer une chaîne aléatoire de 20 à 30 caractères alphanumériques comme mot de passe d'accès à distance. Le mot de passe est requis pour démarrer le service. 8b Entrez de nouveau le nouveau mot de passe > cliquez sur OK. 9 Cliquez deux fois de suite sur OK. Vous êtes alors prêt pour créer un objet Profil d'accès à distance. Reportezvous à l'aide en ligne de l'Administrateur NetWare pour plus d'informations sur les procédures de configuration spécifique pour les restrictions de domaines et de connexions à distance. 144 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Création d'un objet Profil d'accès à distance Chaque objet Profil d'accès à distance définit les attributs communs d'un service utilisé par un ou plusieurs utilisateurs à distance. Cela simplifie l'administration, car il n'est plus nécessaire de configurer les attributs pour chaque utilisateur. Vous pouvez définir autant de profils que nécessaire pour les différents services que vous définissez. Vous pouvez par exemple créer un profil Telnet qui permettra aux utilisateurs de connecter un serveur de terminal à un hôte, ou encore créer un profil Telnet qui permettra aux utilisateurs de se connecter à un hôte à l'aide d'un terminal ou d'un programme d'émulation de terminal. L'objet Profil d'accès à distance contient une liste d'attributs RADIUS qui définissent la configuration associée au service que vous créez. Création d'un objet Profil d'accès à distance pour le service PPP Pour créer un objet Profil d'accès à distance pour le service PPP (Point-toPoint Protocol) : 1 Dans l'Administrateur NetWare, sélectionnez ou créez l'objet Unité organisationnelle dans lequel vous souhaitez placer l'objet Profil d'accès à distance. 2 À partir du menu Objet, cliquez sur Créer > Profil d'accès à distance > OK. 3 Entrez un nom pour l'objet Profil d'accès à distance (par exemple, " PPP ") > cliquez sur Créer. 4 Double-cliquez sur l'objet Profil d'accès à distance que vous venez de créer > cliquez sur Attributs > Ajouter. 4a Double-cliquez sur Générique. 4b Sélectionnez Type de service dans la liste Attribut, puis choisissez Trame dans le champ Valeur. 4c Sélectionnez Protocole de trame dans la liste Attribut, puis sélectionnez PPP dans le champ Valeur. 5 Sélectionnez les attributs requis dans la liste > cliquez sur OK. 6 Lorsque vous avez terminé d'ajouter des attributs, désélectionnez la case Ajouter un autre attribut > cliquez sur OK dans la boîte de dialogue Éditer un attribut. Configuration des services d'authentification 145 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 7 Cliquez sur OK. Vous pouvez à présent activer les utilisateurs pour les services d'accès à distance. Création d'un objet Profil d'accès à distance pour le service Telnet Pour créer un objet Profil d'accès à distance pour le service Telnet 1 Dans l'Administrateur NetWare, sélectionnez ou créez l'objet Unité organisationnelle dans lequel vous souhaitez placer l'objet Profil d'accès à distance. 2 À partir du menu Objet, cliquez sur Créer > Profil d'accès à distance > OK. 3 Entrez un nom pour l'objet Profil d'accès à distance (par exemple, Telnet) > cliquez sur Créer. 4 Double-cliquez sur l'objet Profil d'accès à distance que vous venez de créer > cliquez sur Attributs > Ajouter. 4a Double-cliquez sur Générique. 4b Sélectionnez Type de service dans la liste Attribut, puis choisissez Login dans le champ Valeur. 4c Sélectionnez Service de login dans la liste Attribut, puis sélectionnez Telnet dans le champ Valeur. 4d Sélectionnez Hôte IP pour le login dans la liste Attribut, puis entrez l'adresse IP de l'hôte dans le champ Valeur. 5 Lorsque vous avez terminé d'ajouter des attributs, désélectionnez la case Ajouter un autre attribut > cliquez sur OK dans la boîte de dialogue Éditer un attribut. 6 Cliquez sur OK. Vous pouvez à présent activer les utilisateurs pour les services d'accès à distance. 146 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Activation d'un utilisateur pour les services d'accès à distance Les propriétés d'accès à distance sont ajoutées à l'objet Utilisateur lors de l'installation du service d'authentification de Novell BorderManager 3.7. Dans la page de propriété Services d'accès à distance, vous pouvez : ! permettre à un utilisateur d'utiliser des services d'accès à distance ; ! sélectionner l'objet Système d'accès à distance approprié à un utilisateur ; ! définir le mot de passe d'accès à distance de l'utilisateur (si vous utilisez des mots de passe séparés pour les utilisateurs à distance) ; ! configurer ou définir des services à distance pour l'utilisation ; ! sélectionner un service par défaut lorsqu'un utilisateur est configuré pour plusieurs services d'accès à distance. De plus, les pages de propriétés Services d'accès à distance d'une organisation ou d'une unité organisationnelle vous permettent de définir les propriétés d'accès à distance pour tous les utilisateurs du conteneur sélectionné. Vous pouvez également gérer les services d'accès à distance à l'aide d'un objet Groupe. Pour plus d'informations sur les procédures de configuration spécifiques, reportez-vous à l'aide en ligne de l'Administrateur NetWare. Remarque : vous pouvez spécifier des propriétés d'accès à distance qui sont propres à un objet Utilisateur donné. En d'autres termes, les paramètres d'accès à distance que vous spécifiez dans un objet Utilisateur remplacent ceux qui sont définis dans l'objet Conteneur parent. En revanche, les paramètres que vous ne modifiez pas dans l'objet Utilisateur sont toujours hérités de l'objet Conteneur parent. Pour activer des services d'accès à distance pour un utilisateur, suivez la procédure ci-après : 1 Dans l'Administrateur Netware, cliquez sur l'objet Utilisateur pour lequel vous souhaitez activer les services d'accès à distance et sélectionnez Services d'accès à distance. 2 Sélectionnez l'une des options suivantes dans le bloc Contrôle d'accès à distance : ! Désactiver : désactive les services d'accès à distance pour cet utilisateur. ! Activer : active les services d'accès à distance pour cet utilisateur. Configuration des services d'authentification 147 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual ! Rev 99a (FRA) 25 September 00 29 Utiliser config. du conteneur : indique que les options de contrôle d'accès à distance seront héritées de l'objet Conteneur parent. Remarque : Vous pouvez spécifier des propriétés d'accès à distance qui sont propres à un objet Utilisateur donné, même lorsque l'option Utiliser config. du conteneur est sélectionnée pour cet objet. Les paramètres qui ne sont pas remplacés sont toujours hérités de l'objet Conteneur parent. 3 Recherchez un objet Système d'accès à distance dans l'arborescence NDS ou eDirectory et sélectionnez-le. Dans la plupart des cas, un même objet Système d'accès à distance est à la disposition des utilisateurs. 4 Si la règle de mot de passe adoptée est Utiliser des mots de passe d'accès à distance séparés, procédez comme suit : 4a Cliquez sur Définir le mot de passe d'accès à distance. 4b Entrez le mot de passe. Entrez le mot de passe une deuxième fois > cliquez sur OK. Il arrive que le bouton Définir le mot de passe d'accès à distance soit désactivé, pour l'une des raisons suivantes : ! L'option Utiliser le mot de passe NDS ou eDirectory est sélectionnée dans l'objet Système d'accès à distance. ! Aucun objet Système d'accès à distance n'est spécifié pour l'objet Utilisateur ou le conteneur parent. ! Aucun mot de passe n'est défini pour l'objet Système d'accès à distance. 5 Si vous le souhaitez, sélectionnez des services configurés supplémentaires avec leurs attributs appropriés > cliquez deux fois de suite sur OK. Vous pouvez à présent démarrer les services d'authentification de Novell BorderManager 3.7. 148 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Démarrage des services d'authentification de Novell BorderManager 3.7 Vous devez avoir accompli les tâches suivantes avant de démarrer les services d'authentification de Novell BorderManager 3.7 : ! Création d'un objet Système d'accès à distance ! Création d'un objet Profil d'accès à distance ! Activation d'un ou de plusieurs objets Utilisateur pour les services d'accès à distance Pour démarrer les services d'authentification de Novell BorderManager 3.7 sur un serveur NetWare, procédez comme suit : 1 Depuis la console Serveur, entrez la commande suivante pour les services d'authentification de Novell BorderManager 3.7 : LOAD RADIUS TCP/IP doit être déjà configuré et actif. 2 Entrez le nom distinctif de l'objet Système d'accès à distance. 3 Entrez le mot de passe de l'objet Système d'accès à distance. Le message suivant devrait s'afficher : RADIUS services started. Vous pouvez à présent utiliser les services d'authentification de Novell BorderManager 3.7. Reportez-vous à Test des services d'authentification de Novell BorderManager 3.7 pour tester le bon fonctionnement de votre configuration des services d'authentification de Novell BorderManager 3.7. Configuration des services d'authentification 149 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Test des services d'authentification de Novell BorderManager 3.7 Pour tester le bon fonctionnement de la configuration de vos services d'authentification de Novell BorderManager 3.7 : 1 Dans l'Administrateur NetWare, vérifiez que votre objet Système d'accès à distance est valide. 2 Créez un nouvel objet Profil d'accès à distance. 3 Entrez PPP comme nom de profil d'accès à distance et cliquez sur OK. 4 Cliquez sur le nouvel objet Profil d'accès à distance " PPP " > Attributs > Ajouter. 5 Dans le champ Attribut, sélectionnez Type de service à partir de la liste. 6 Dans le champ Valeur, sélectionnez Trame. 7 Désactivez Ajouter un autre attribut > cliquez deux fois de suite sur OK. 8 Cliquez sur l'objet Utilisateur pour lequel vous souhaitez autoriser l'accès PPP > Services d'accès à distance. 9 Sélectionnez l'objet Système d'accès à distance que vous avez déjà créé. 10 Sous Services configurés, sélectionnez Ajouter. 11 Sélectionnez l'objet Profil d'accès à distance " PPP " que vous avez déjà créé et cliquez deux fois de suite sur OK. 12 À partir d'un client d'accès à distance configuré pour utiliser PPP, connectez-vous au serveur d'accès réseau. 13 Lorsque vous êtes invité à donner votre nom d'utilisateur, entrez le nom distinctif de l'objet Utilisateur que vous venez de configurer pour l'accès à distance, par exemple .eric.acme. 14 Entrez le mot de passe de l'utilisateur. 15 Vérifiez si le client à distance accède ou non au réseau. 150 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Exécution de tâches de configuration et de gestion avancées Outre les procédures de configuration élémentaires décrites dans ce chapitre, d'autres procédures de configuration et de gestion peuvent s'avérer nécessaires, en fonction de votre configuration spécifique. Les tâches avancées sont décrites dans Gestion du contrôle d'accès et traitent des sujets suivants : ! Modification des options du serveur RADIUS ! Configuration des services d'accès à distance et de leurs attributs ! Configuration de l'utilisateur et des groupes pour l'administration des conteneurs et des groupes ! Configuration des restrictions de connexion à distance ! Planification de l'authentification par jeton ! Gestion de l'authentification par jeton ! Planification des règles d'authentification ! Configuration des règles d'authentification ! Planification des services proxy RADIUS ! Gestion des services proxy RADIUS ! Affichage des messages d'état RADIUS Configuration des services d'authentification 151 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 152 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 29 Manual 9 Rev 99a (FRA) 25 September 00 29 Configuration de la notification d'alerte Alerte Novell® BorderManager® 3.7 gère les performances et la sécurité du serveur et rend compte des problèmes potentiels ou existants mettant en cause les performances des services Novell BorderManager 3.7 configurés. Alerte Novell BorderManager 3.7 signale les événements du serveur qui indiquent des problèmes potentiels relatifs aux éléments suivants : ! Performances du serveur ! Acquisition de licence, services d'authentification de Novell BorderManager 3.7 non compris ; Alerte Novell BorderManager 3.7 ne signale pas les problèmes relatifs à la licence des services d'authentification de Novell BorderManager 3.7 ! Sécurité ! Connexions de serveur proxy Alerte Novell BorderManager 3.7 surveille un ensemble prédéfini d'événements de serveur. Cependant, vous pouvez sélectionner un par un les événements pour lesquels vous souhaitez recevoir une notification. Lorsqu'une alerte est déclenchée sur un serveur Novell BorderManager 3.7, la notification par défaut comprend les éléments suivants : ! Un message électronique (envoyé à toutes les adresses électroniques figurant dans la liste d'alerte de messagerie) ! Une entrée dans le fichier journal de suivi d'audit du serveur ! Un message sur la console du serveur Configuration de la notification d'alerte 153 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Remarque : Les résultats d'Alerte Novell BorderManager 3.7 prennent en charge la pagination automatique à partir de votre système de messagerie. Cela requiert une configuration supplémentaire et le processus varie en fonction du logiciel de messagerie que vous utilisez. Consultez la documentation de votre logiciel de messagerie pour déterminer si cette option peut être configurée pour votre système. Ce chapitre explique les tâches à accomplir pour la configuration initiale de la notification par messagerie d'Alerte Novell BorderManager 3.7. Il comprend les sections suivantes : ! “Configuration de la notification des alertes par messagerie”, page 154 ! “Exécution de tâches de configuration et de gestion avancées”, page 157 Remarque : Ce chapitre décrit les tâches requises pour la configuration initiale d'Alerte Novell BorderManager 3.7. Pour obtenir des informations sur la planification et le concept d'Alerte Novell BorderManager 3.7, reportez-vous au Guide de présentation et de planification de Novell BorderManager 3.7, disponible dans la documentation en ligne. Assurez-vous de bien comprendre ces informations avant de configurer Alerte Novell BorderManager 3.7. Configuration de la notification des alertes par messagerie Pour configurer la notification par messagerie de Novell BorderManager 3.7 : 1 Dans l'arborescence NDS® ou Novell eDirectoryTM de l'Administrateur NetWare®, recherchez l'objet pour lequel la configuration d'alerte va être spécifiée > cliquez sur cet objet avec le bouton droit de la souris > sélectionnez Détails. Il est possible de configurer une alerte uniquement pour un objet Organisation (O), Unité organisationnelle (OU) ou Serveur. 2 Cliquez sur la page Alerte Novell BorderManager 3.7. 3 Sélectionnez l'un des schémas de notification suivants : ! Hériter (valeur par défaut) : indique qu'une configuration d'alerte est obtenue d'un conteneur situé à un niveau supérieur dans l'arborescence NDS ou eDirectory. Une alerte configurée pour un objet Serveur ne peut pas être héritée par un autre conteneur ou objet Serveur. 154 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Hériter désactive les listes d'alerte de messagerie et de serveurs de messagerie pour l'objet NDS ou eDirectory sélectionné. Si ces listes ont été préalablement configurées, les destinataires et les serveurs figurant dans les listes sont supprimés quand vous cliquez sur OK. Pour afficher les informations héritées, cliquez sur Configuration effective. Les informations Configuration effective sont en lecture seule. Pour modifier les informations d'alerte, identifiez le conteneur NDS ou eDirectory dans le champ Emplacement des spécifications et ouvrez la page Alerte Novell BorderManager 3.7 à partir de la page Détails de ce conteneur. ! Envoyer une alerte : active les listes d'alertes de messagerie et de serveurs de messagerie configurées pour l'objet NDS ou eDirectory sélectionné. Pour spécifier des serveurs et des destinataires de messages électroniques, passez à l'étape 4. ! Aucun(e) : désactive le service d'alerte. Il n'y aura pas de notification d'erreur ou d'événement. Cependant, la sélection de Aucun(e) conserve votre configuration ; les destinataires et les serveurs sont seulement inactifs. 4 (Facultatif) Si vous avez sélectionné Envoyer une alerte, spécifiez les conditions d'alerte pour lesquelles vous souhaitez recevoir une notification. 4a Cliquez sur Conditions d'alerte. 4b Cliquez sur Spécifique (valeur par défaut : Tout). 4c Cochez les cases pour sélectionner les conditions d'alerte. 4d Cliquez sur OK. 5 Spécifiez les destinataires d'alertes électroniques et les serveurs de messagerie électronique. Remarque : Le serveur Novell BorderManager 3.7 doit être configuré avec au moins un serveur de messagerie électronique. Si ce n'est pas le cas, la notification d'alerte échoue. 5a Cliquez sur le bouton Ajouter correspondant au champ d'alerte de messagerie et entrez l'adresse électronique de la personne devant être notifiée par l'alerte Novell BorderManager 3.7. Ajoutez autant de destinataires de messages électroniques que nécessaire. Le nombre de destinataires pouvant être ajoutés n'est pas plafonné. Configuration de la notification d'alerte 155 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 5b (Facultatif) Pour supprimer un destinataire de la liste, sélectionnez l'adresse électronique du destinataire et cliquez sur le bouton Supprimer correspondant au champ d'alerte de messagerie. 5c Cliquez sur le bouton Ajouter correspondant au champ Serveur de messagerie et entrez le nom du serveur de messagerie ou l'adresse IP des destinataires ajoutés à l'étape 5a. Le premier serveur de la liste correspond au serveur de messagerie principal. Le serveur principal reçoit les messages d'alerte et les achemine vers d'autres serveurs de messagerie sur le réseau, si nécessaire. Tous les autres serveurs de la liste font office de serveurs de messagerie de sauvegarde si le serveur principal ne parvient pas à acheminer le message électronique. Cela peut se produire lorsque le réacheminement des messages électroniques a été désactivé sur le serveur principal ou si le serveur principal cesse de fonctionner. Ajoutez autant de serveurs de messagerie que nécessaire. Bien que le nombre de serveurs de sauvegarde pouvant être ajoutés ne soit pas plafonné, l'alerte Novell BorderManager 3.7 n'envoie des alertes qu'à un serveur de messagerie de la liste. Suggestion : Pour améliorer les performances d'Alerte Novell BorderManager 3.7, entrez les adresses IP des serveurs de messagerie. Lorsque des adresses IP sont utilisées, le serveur Novell BorderManager 3.7 n'a pas besoin de traiter des recherches DNS pour résoudre les noms d'hôtes DNS (Domain Name System) des serveurs de messagerie. 5d (Facultatif) Pour supprimer un serveur de messagerie de la liste, sélectionnez l'adresse IP ou le nom du serveur de messagerie > cliquez sur le bouton Supprimer correspondant au champ Serveur de messagerie. 5e (Facultatif) Pour modifier l'état d'un serveur de messagerie (principal ou de sauvegarde), cliquez sur la flèche Haut ou Bas afin de déplacer l'adresse IP ou le nom du serveur de messagerie vers le haut ou le bas de la liste. 6 Cliquez sur OK pour enregistrer la configuration et quitter la page Détails. Lorsque vous cliquez sur OK, les modifications de la configuration dans NDS ou eDirectory sont enregistrées et notifiées à BRDSRV.NLM. Les configurations d'alerte sont mises à jour sur chaque réplique NDS ou eDirectory lors de la synchronisation NDS ou eDirectory normale. 156 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Si vous avez activé une configuration d'alerte pour une organisation entière, un certain délai peut être nécessaire avant que la modification de la configuration dans NDS ou eDirectory soit notifiée à tous les serveurs Novell BorderManager 3.7. 7 (Facultatif) Si vous avez activé une configuration d'alerte pour une organisation entière et que vous souhaitez qu'un serveur donné utilise cette configuration d'alerte immédiatement sans attendre la synchronisation NDS ou eDirectory, exécutez la procédure ci-dessous : 7a Double-cliquez sur l'objet Serveur représentant le serveur Novell BorderManager 3.7 que vous souhaitez voir utiliser la configuration d'alerte immédiatement. 7b Dans la page Détails de l'objet Serveur, cliquez sur Alerte Novell BorderManager 3.7 pour afficher la page Alerte Novell BorderManager 3.7 du serveur. 7c Cliquez sur Rafraîchir le serveur. Important : Lorsque vous ouvrez la page Alerte Novell BorderManager 3.7 pour la première fois, le bouton Rafraîchir le serveur est disponible. Cliquer sur Rafraîchir le serveur permet à BRDSRV.NLM de lire la nouvelle configuration d'alerte uniquement pour ce serveur. Cette opération ne déclenche en revanche pas une synchronisation NDS ou eDirectory complète. Si vous modifiez la configuration d'alerte pour cet objet Serveur, le bouton Rafraîchir le serveur est inactif. Exécution de tâches de configuration et de gestion avancées Outre les procédures de configuration élémentaires décrites dans ce chapitre, d'autres procédures de configuration et de gestion peuvent s'avérer nécessaires, en fonction de votre configuration spécifique. Les tâches avancées sont décrites dans Gestion des messages d'alerte et traitent des sujets suivants : ! Affichage des alertes envoyées sous forme de messages électroniques ! Affichage des alertes dans le fichier journal de suivi d'audit ! Affichage des alertes dans le journal de la console ! Réponse aux alertes Configuration de la notification d'alerte 157 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 158 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential 29 Manual A Rev 99a (FRA) 25 September 00 29 Informations complémentaires Cette annexe fournit des instructions sur l'octroi de licence pour le logiciel Novell® BorderManager® 3.7 installé sur votre serveur NetWare® à l'aide de l'utilitaire d'installation des licences ou de l'Administrateur NetWare. Vous pouvez suivre la procédure pour installer une licence initiale, une licence d'évaluation ou une nouvelle licence en remplacement d'une licence arrivée à expiration. Si vous n'avez pas installé de licence valide ou d'évaluation, Novell BorderManager 3.7 ne se chargera pas. Ce chapitre comprend les informations suivantes : ! “Utilisation de l'utilitaire d'installation des licences”, page 160 ! “Utilisation de l'Administrateur NetWare”, page 160 ! “Configuration TCP/IP”, page 161 ! “Ajout d'une réplique NDS ou eDirectory”, page 163 Les licences Master License Agreement (MLA), Corporate License Agreement (CLA) et Volume License Agreement (VLA) ne sont pas affectées à un serveur particulier. Elles peuvent par conséquent être utilisées par plusieurs serveurs faisant partie de la même arborescence et doivent être installées une seule fois. Les autres licences, dont les licences d'évaluation, doivent être installées et attribuées à des serveurs individuels. Si vous faites appel à l'utilitaire d'installation des licences, l'assignation des licences aux serveurs est automatique. Si vous faites appel à l'Administrateur NetWare, vous devez effectuer cette opération manuellement. La première méthode (via l'utilitaire d'installation des licences) est recommandée. Informations complémentaires 159 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Utilisation de l'utilitaire d'installation des licences Lorsque vous faites appel à cet utilitaire, les licences sont assignées automatiquement au serveur depuis lequel vous exécutez l'utilitaire. Il s'agit de la méthode recommandée par Novell. Pour installer les licences à la console du serveur avec l'utilitaire d'installation des licences : 1 À partir de la console du serveur, entrez LOAD LICINST 2 Loguez-vous au serveur Novell BorderManager 3.7 en tant qu'administrateur. 3 Entrez le chemin d'accès à l'enveloppe de licences (par exemple, A:\ si votre licence se trouve sur une disquette). 4 Sélectionnez l'enveloppe contenant les licences. 5 Appuyez sur Entrée. Une fenêtre récapitule les licences installées. 6 Appuyez deux fois sur Échap > sélectionnez Oui pour quitter l'utilitaire. Utilisation de l'Administrateur NetWare Lorsque vous faites appel à l'Administrateur NetWare pour installer des licences, vous devez assigner chaque licence manuellement au serveur. Pour installer des licences à l'aide de l'Administrateur NetWare : 1 Depuis un poste de travail administratif, loguez-vous au serveur Novell BorderManager 3.7 en tant qu'administrateur. 2 Assignez une unité au volume SYS: du serveur Novell BorderManager 3.7 > exécutez l'Administrateur NetWare. 3 Sélectionnez le serveur Novell BorderManager 3.7 sur lequel vous souhaitez installer les licences. 4 Dans le menu Outils, sélectionnez Installer la licence > Installer l'enveloppe. 5 Entrez le chemin d'accès à l'enveloppe de licences (par exemple, A:\ si votre licence se trouve sur une disquette) ou cliquez sur Parcourir pour localiser l'enveloppe de licences. 160 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 6 Sélectionnez l'enveloppe contenant les licences. 7 Sélectionnez les certificats de licence à installer. 8 Confirmez le champ du contexte où seront installées les licences. Modifiez ce champ le cas échéant. 9 Prenez connaissance de la description de l'enveloppe et cliquez sur OK. Un rapport récapitule les licences installées correctement. 10 Sélectionnez Fermer, puis quittez et relancez l'Administrateur NetWare afin de réactualiser la vue. 11 Pour assigner la licence à un serveur individuel, procédez comme suit (sauf s'il s'agit d'une licence MLA, CLA ou VLA) : 11a Double-cliquez sur le conteneur de licences que vous avez installé. Le certificat de licence s'affiche. 11b Double-cliquez sur le certificat de licence, puis sélectionnez > Détails > Assignations. 11c Cliquez sur Parcourir afin de rechercher le serveur Novell BorderManager 3.7 sur lequel vous souhaitez installer le certificat de licence > cliquez sur Ajouter. 11d Sélectionnez le contexte contenant le serveur Novell BorderManager 3.7, puis cliquez sur OK. 12 Quittez l'Administrateur NetWare. Configuration TCP/IP Pour installer le logiciel Novell BorderManager 3.7, TCP/IP doit être connecté et configuré. Vous pouvez télécharger la dernière version de TCPIP.NLM à partir du site Web du support technique de Novell. Il existe actuellement trois versions de TCPIP.NLM : ! Une version pour les serveurs NetWare sans installation de Novell BorderManager 3.7 ! Une version pour les serveurs NetWare avec installation de la version de codage 40 bits de Novell BorderManager 3.7. ! Une version pour les serveurs NetWare avec installation de la version de codage 128 bits de Novell BorderManager 3.7. Informations complémentaires 161 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Vérifiez que vous possédez la version adéquate pour le serveur sur lequel vous allez installer TCP/IP. Pour vérifier que TCP/IP est configuré sur votre serveur, procédez comme suit : 1 À l'invite de la console du serveur, tapez CONFIG 2 Consultez la liste relative à la configuration du protocole TCP/IP. Si TCP/IP n'est pas configuré, passez à “Configuration TCP/IP”, page 161. Chargement de TCP/IP Pour charger TCP/IP : 1 À l'invite de la console du serveur NetWare, entrez : LOAD INETCFG 2 Pour transférer le pilote LAN, le protocole et les commandes d'accès à distance, sélectionnez Oui. 3 Dans le menu Configuration inter-réseau, sélectionnez Protocoles > TCP/ IP. 4 Mettez en surbrillance État de TCP/IP > appuyez sur Entrée. 5 Sélectionnez Activé > appuyez sur Entrée. 6 Pour revenir au menu Configuration inter-réseau, appuyez deux fois sur Échap. 7 Dans le menu Configuration inter-réseau, sélectionnez Liaisons. 8 Appuyez sur Inser > sélectionnez TCP/IP. 9 Dans la liste des interfaces réseau configurées, sélectionnez la carte réseau à laquelle TCP/IP sera connecté. 10 Entrez votre adresse IP locale ainsi que le masque de sous-réseau. 11 Pour mettre à jour la configuration TCP/IP, appuyez sur Échap > sélectionnez Oui. 12 Pour réinitialiser le système, entrez la commande suivante au niveau de la console du serveur : REINITIALIZE SYSTEM 162 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 13 Pour vérifier que TCP/IP est configuré correctement, entrez la commande suivante au niveau de la console du serveur : CONFIG Ajout d'une réplique NDS ou eDirectory Novell BorderManager 3.7 étant une application qui prend en charge les services de licence Novell (NLS), le premier serveur Novell BorderManager 3.7 installé dans une arborescence ou sur une partition particulière doit être installé sur un serveur NetWare disposant d'une réplique Lecture/écriture de cette partition. Il n'est pas nécessaire que tous les serveurs Novell BorderManager 3.7 installés ultérieurement sur la même partition disposent d'une réplique Lecture/écriture. Vous n'avez pas besoin d'ajouter une réplique pour installer Novell BorderManager 3.7 sur les trois premiers serveurs d'une arborescence, car ceux-ci disposent déjà par défaut d'une réplique NDS® ou Novell eDirectoryTM. Le premier serveur dispose de la réplique principale, tandis que le deuxième et le troisième serveur disposent de répliques Lecture/ écriture. Pour ajouter une réplique Lecture/écriture, faites appel au Gestionnaire des NDS ou d'eDirectory. Cet utilitaire s'adresse uniquement aux utilisateurs de NetWare 5.1. Pour ajouter une réplique Lecture/écriture sur un serveur, procédez comme suit : 1 À partir de votre poste de travail d'administration, exécutez l'utilitaire Gestionnaire des NDS ou d'eDirectory (SYS:\PUBLIC\WIN95\NDSMGR32.EXE). 2 Sélectionnez la partition que vous souhaitez répliquer. 3 Dans le menu Objet, sélectionnez Ajouter une réplique. 4 Cliquez sur Parcourir pour sélectionner le serveur devant accueillir la réplique. 5 Cliquez sur l'objet Serveur qui représente le serveur NetWare auquel vous souhaitez ajouter la réplique Lecture/écriture > cliquez sur OK. 6 Cliquez sur le bouton d'option Lecture/Écriture > cliquez sur OK. 7 Sélectionnez Oui pour poursuivre la procédure. Une fois la réplique ajoutée, cette dernière affiche l'état Nouveau. Lorsque l'état de la réplique devient ACTIF, vous pouvez poursuivre l'installation de Novell BorderManager 3.7. Informations complémentaires 163 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 8 Dans le menu Objet, sélectionnez Quitter. Si vous utilisez NetWare 6.0 pour ajouter une réplique Lecture/écriture sur un serveur, procédez comme suit : 1 À partir de ConsoleOne > loguez-vous > sélectionnez le conteneur/ l'arborescence 2 Sélectionnez Vues > Vue Partition et réplique 3 Dans le volet de droite, sélectionnez le tableau Liste des répliques > cliquez sur le bouton droit de la souris 4 Sélectionnez Ajouter une réplique 5 Sélectionnez le navigateur > sélectionnez le serveur auquel vous souhaitez ajouter la réplique 6 Sélectionnez le type de réplique Lecture/écriture > cliquez sur OK 164 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 Index A Administrateur NetWare installation de la licence 159 installation de snap-ins 18 Adresse publique IP 104 adresses IP, masquage 53 Ajout d'un serveur au réseau VPN 108 réplique NDS 163 Alerte BorderManager configuration de la notification par messagerie 154 description de 153 paramètres de configuration par défaut 26 Annuaire ajout d'une réplique 163 B BorderManager Installation sur NetWare 5 15 octroi de licence 159 C Caching 69 Chargement, TCP/IP 162 Configuration client SOCKS en amont 89 clients pour utiliser le proxy transparent 68 contrôle d'accès pour DNS 135 contrôle d'accès pour les applications de services proxy 132 NAT avec le multi-origine 51 NAT sur une seule interface 49 règle de contrôle d'accès URL 128 restrictions des heures pour le contrôle d'accès 136 serveur proxy standard TCP ou UDP 86 TCP/IP 162 Configuration d'un serveur proxy générique 86 Configuration requise client 13 serveur 12 Configuration serveur requise espace disque 12, 13 RAM 12, 13 Services de licence Novell 13 TCP/IP 13 Contrôle d'accès Configuration 127 Configuration d'une règle URL 128 configuration de l'accès pour le DNS 135 configuration de l'accès pour le VPN 134 configuration de l'accès pour les applications de services proxy 132 configuration de l'accès via la Passerelle IP Novell 130 configuration des restrictions des heures 136 paramètres de configuration par défaut 25 visualisation des règles 137 Conversion d'adresse réseau conditions préalables 48 configuration avec le multi-origine 51 configuration sur une seule interface 49 description de 47 fonctions de filtrage 47 paramètres de configuration par défaut 24 Corporate License Agreement 159 Création d'un objet Profil d'accès à distance PPP 145 Telnet 146 Cyber Patrol, installation 22 Index 165 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Rev 99a (FRA) 25 September 00 29 D H Définition de types personnalisés de paquet avec état 42 DNS Resolver Configuration 56, 72 configuration de l'accès 135 HTTP configuration d'un proxy transparent 91 Configuration d'un serveur accélérateur 76 configuration d'un serveur proxy 74 Configuration de l'authentification d'un proxy 93 configuration de l'authentification d'un proxy transparent 95 E Espace disque requis 12, 13 I F Installation BorderManager sur NetWare 5 15 Cyber Patrol 22 licences 160 Installation des snap-ins de l'Administrateur NetWare 18 fichier MINFO.VPN 106 Filtrage des paquets filtres de réacheminement des paquets 27 filtres des informations de routage 27 Filtrage des protocoles dans les services proxy 69 Filtres informations de routage 27 informations sur les paquets 27 réacheminement de paquet 27 Filtres de paquets activation 29 activation de la consignation globale IP 44 conditions préalables 28 configuration de filtres exceptionnels pour les paquets sortants 33 configuration des filtres exceptionnels pour les paquets entrants 40 configuration des filtres par défaut 28 définition de types personnalisés de paquet avec état 42 enregistrement dans un fichier texte 43 filtres d'informations sur les paquets 27 paramètres de configuration par défaut 24 Filtres de protocole RIP 27 Filtres des informations de routage 27 Fonctions de filtrage de NAT 47 FTP Configuration d'un serveur accélérateur 83 configuration d'un serveur proxy 81 proxy inverse 83 L licences Master License Agreement (MLA) 159 M Microsoft IE, configuration pour le proxy Web 72 Mise à niveau BorderManager 14 lors de l'arrêt total du VPN 121 réseau VPN à l'aide d'un remplacement pour le serveur maître existant 124 réseau VPN avec un second serveur maître situé derrière un routeur 123 réseau VPN lorsque le serveur maître se trouve derrière un routeur 122 Services d'authentification BorderManager 141 N Netscape Navigator, configuration pour le proxy Web 73 Network News Transfer Protocol 85 NNTP. Voir Network News Transfer Protocol 166 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual O Objet Règle de login 21 Objet Système d'accès à distance, création 142 Octroi de licence Administrateur NetWare 160 pour BorderManager 159 utilitaire d'installation des licences 160 P Paquets de réponse 34 Paramètres de configuration Alerte BorderManager 26 contrôle d'accès 25 Conversion d'adresse réseau (NAT) 24 filtres de paquets 24 par défaut 23 passerelle IP Novell 24 Réseau privé virtuel 25 Services d'authentification BorderManager 25 Services Proxy 25 Paramètres de configuration par défaut 23 Pare-feu, Services proxy 69 Passerelle IP Novell conditions préalables 53 conditions préalables relatives à l'administration du client 56 conditions préalables relatives au client 56 Conditions préalables relatives au client de la passerelle IP/IP 57 Conditions préalables relatives au client de la passerelle IPX/IP 57 Conditions préalables relatives au client SOCKS 57 conditions préalables relatives au serveur 54 Configuration 58 configuration de clients pour une simple demande de connexion 66 configuration des clients afin qu'ils utilisent le proxy transparent 68 configuration des clients de la passerelle 64 configuration des clients Windows NT/95/98 65 configuration du contrôle d'accès 130 description de 53 paramètres de configuration par défaut 24 Passerelle IP/IP conditions préalables relatives au client 57 Configuration 58 Rev 99a (FRA) 25 September 00 29 Passerelle IPX/IP conditions préalables relatives au client 57 Configuration 58 permettre à un utilisateur d'utiliser des services d'accès à distance 147 PPP, Création d'un objet Profil d'accès à distance 145 Proxy DNS, configuration 88 Proxy RealAudio, configuration 88 R RAM requise 12, 13 Real Time Streaming Protocol, configuration d'un proxy pour 88 Réseau privé virtuel ajout d'un serveur 108 conditions préalables client à site 101 conditions préalables générales 98 conditions préalables site à site 98 configuration d'un client sur un poste de travail Windows 115 configuration d'un serveur esclave 106 configuration d'un serveur pour prendre en charge les clients à distance 111 configuration de site à site 106 configuration du contrôle d'accès 134 configuration du serveur maître. 104 encapsulage de données 97 installation d'un client sur un poste de travail Windows 114 login à partir d'un client 116 mise à niveau 119 paramètres de configuration par défaut 25 synchronisation des serveurs 109 RIP. Voir Protocole RIP RTSP. Voir Real Time Streaming Protocol S Sécurité, services proxy 69 Serveur esclave, configuration 106 Serveur maître, configuration du réseau VPN 104 Serveur proxy de messagerie, configuration 84 Serveur proxy de news, configuration 85 Index 167 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential Manual Services BorderManager Alerte BorderManager 26 contrôle d'accès 25 Conversion d'adresse réseau (Network Address Translation - NAT) 24 filtres de paquets 24 Passerelle IP Novell 24 Réseau privé virtuel 25 Services d'authentification BorderManager 25 Services Proxy 25 Services d'authentification BorderManager activation d'un objet Utilisateur 147 conditions préalables 140 Configuration 139 Création d'un objet Profil d'accès à distance 145 Création d'un objet Système d'accès à distance 142 démarrage 149 mise à niveau 141 paramètres de configuration par défaut 25 test 150 services d'authentification. Voir Services d'authentification de BorderManager Services de licence Novell configuration serveur requise 13 Services Proxy conditions préalables 70 configuration d'un proxy Real Time Streaming Protocol 88 configuration d'un proxy transparent HTTP 91 configuration d'un proxy transparent Telnet 92 Configuration d'un serveur accélérateur FTP 83 Configuration d'un serveur accélérateur HTTP 76 configuration d'un serveur proxy de messagerie 84 configuration d'un serveur proxy de news 85 Configuration d'un serveur proxy FTP 81 Configuration d'un serveur proxy HTTP 74 Configuration de l'authentification d'un proxy HTTP 93 Configuration de l'authentification d'un proxy transparent HTTP 95 configuration de l'authentification d'un proxy transparent Telnet 95 configuration de Microsoft IE en vue de l'utilisation du proxy Web 72 Rev 99a (FRA) 25 September 00 29 Configuration de Netscape Navigator en vue de l'utilisation du proxy Web 73 configurer un proxy DNS 88 configurer un proxy RealAudio 88 configurer un serveur proxy TCP ou UDP générique 86 paramètres de configuration par défaut 25 sécurité 69 Services proxy et pare-feu 69 filtrage de protocole 69 Simple Mail Transfer Protocol 84 SMTP. Voir Simple Mail Transfer Protocol SOCKS conditions préalables relatives au client 57 Configuration 60 configuration d'un client 66 configuration du client en amont 89 T TCP/IP chargement 162 configuration 162 configuration serveur requise 13 Telnet configuration d'un proxy transparent 92 configuration de l'authentification d'un proxy transparent 95 Création d'un objet Profil d'accès à distance 146 Types de paquets avec état 42 U utilitaire d'installation des licences 160 V Visualisation des règles de contrôle d'accès 137 Volume License Agreement 159 168 Guide d’installation de Novell BorderManager 3.7 Guide d’installation de Novell BorderManager 3.7 103-000242-001 April 19, 2002 Novell Confidential