Datei:         LIESMICH.TXT
Produkt:       Secure Entry Client Linux
Hersteller:    NCP engineering GmbH Nrnberg, Deutschland

--------------------------------------------------------------------------------
Zu Installation und Update des NCP Secure Entry Clients Linux
--------------------------------------------------------------------------------

1.      Installationsvoraussetzungen
1.1     Betriebssystem
1.2     Zielsystem
1.3     Lokales System
1.4     Voraussetzungen fr die Strong Security-Version
2.      Installation
2.1     Informationen zur Installation
2.2     Script-gesteuerte Installation
2.2.1   Installation vorbereiten
2.2.2   Install-Script aufrufen
2.2.3   Install-Script abarbeiten
2.2.4   Installationsroutine
2.2.4.1 Neuinstallation
2.2.4.2 Update
2.2.4.3 Unbeaufsichtigte Installation
2.2.5   Installation abschlieen
2.3     Die installierten Dateien
3.      Grundkonfiguration
4.      Freischalten einer Vollversion
4.1     Popup
4.2     Lizenzinformationen
4.3     Lizenzierung
4.4     ncplic
5.      Update und Deinstallation
5.1     Update
5.2     Deinstallation
6.      Assistent fr erste Konfiguration
7.      Start des Linux Clients
8.      Tests des Clients
8.1     Testverbindung IPSec native
8.2     Testen mit Ping
8.3     Testen mit FTP
8.4     Testen der Web-Funktionalitt
9.      Anhang


--------------------------------------------------------------------------------
1.    Installationsvoraussetzungen
--------------------------------------------------------------------------------


1.1   Betriebssystem

Getestet wurde vorliegende Version unter SuSE 9.3 und 10.0. sowie Fedora Core 3. 

1.2   Zielsystem

Das Zielsystem muss eine der folgenden Verbindungsarten untersttzen: 
ISDN, Modem, LAN/WLAN (over IP), xDSL (PPPoE), xDSL (AVM-PPP over CAPI), 
GPRS/UMTS, oder PPTP.


1.3   Lokales System

Zunchst muss ein tap-Device (ethertap - lter, oder tuntap - neuer)
entweder in den Kernel kompiliert oder als Modul vorhanden sein. Dieses Modul
setzt den netlink-Support im Kernel voraus. (siehe -> 3. Grundkonfiguration)

Des weiteren muss eines der folgenden Kommunikationsgerte installiert sein:

+ ISDN-Adapter (ISDN)
Der ISDN-Adapter sollte entweder die ISDN CAPI 2.0 oder eine Modememulation
untersttzen. Wenn Sie PPP Multilink nutzen, kann die Software bis zu 8 ISDN B-
Kanle (je nach Kanalanzahl des Adapters) bndeln.
Beachten Sie bitte, falls Sie die CAPI-Verbindung nutzen wollen, das auf ihrem
System ein Link auf die CAPI-Library gesetzt ist (/usr/lib/libcapi20.so).

+ Analoges Modem (PSTN)
Fr die Kommunikation ber Modem muss das Modem korrekt installiert sein, sowie 
Modem Init. String und COM-Port Definition zugewiesen sein. Das Modem muss den 
Hayes-Befehlssatz untersttzen.

Ebenso knnen Mobiltelefone fr die Datenkommunikation genutzt werden, nachdem 
die zugehrige Software installiert wurde, die sich fr den Client genauso 
darstellt wie ein analoges Modem. Als Schnittstelle zwischen Handy und PC kann 
die serielle Schnittstelle, die IR-Schnittstelle (Infrarot) oder Bluetooth 
genutzt werden. Je nach bertragungsart (GSM, V.110, GPRS oder HSCSD) muss die 
Gegenstelle ber die entsprechende Einwahlplattform verfgen. Der in die 
Modemkonfiguration des Entry Clients einzutragende Initialisierungs-String ist 
vom ISP oder dem Hersteller des Mobiltelefons zu beziehen.

+ LAN-Adapter (LAN/WLAN (over IP))
Um die Client-Software mit der Verbindungsart "LAN" in einem Local Area Network 
betreiben zu knnen, muss zustzlich zum bereits installierten LAN-Adapter 
Ethernet oder Token Ring) kein weiterer Adapter installiert werden. Die 
Verbindung der LAN-Clients ins WAN stellt ein beliebiger Access Router her. 
Einzige Vorausetzung: IP-Verbindung zum Zielsystem muss mglich sein. Die VPN-
Funktionalitt liefert die Client Software.
Adapter fr ein wireless LAN (WLAN-Adapter) werden genauso behandelt wie normale 
LAN-Adapter. Auch fr WLAN muss als Verbindungsart "LAN/WLAN (over IP)" gewhlt 
werden.

+ xDSL-Modem (xDSL (PPPoE))
Die Verbindungsart PPP over Ethernet setzt voraus, dass eine Ethernet-Karte 
installiert und darber ein xDSL-Modem mit Splitter korrekt angeschlossen ist. 

+ xDSL (AVM-PPP over CAPI)
Im Telefonbuch wurde im Konfigurationsfeld "Zielsystem" die Verbindungsart "xDSL 
(AVM - PPP over CAPI)" hinzugefgt. Diese Verbindungsart kann gewhlt werden, 
wenn eine AVM Fritz! DSL-Karte eingesetzt wird. Im Feld "Rufnummer (Ziel)" in 
der Gruppe "Netzeinwahl" knnen fr die Verbindung ber CAPI noch AVM-
spezifische Intitialisierungskommandos eingetragen werden.

Bei Verwendung der AVM Fritz! DSL-Karte wird keine separate zustzliche 
Netzwerkkarte bentigt.
 
+ Multifunktionskarte (GPRS/UMTS)
Wird eine Multifunktionskarte* fr UMTS/GPRS/WLAN eingesetzt, so knnen mit der 
Client Software spezielle Features des Mobile Computings unter Einbeziehung der 
Karteneigenschaften genutzt werden.
Aufgrund der direkten Untersttzung der Multifunktionskarte fr UMTS/GPRS/WLAN
durch den Secure Client kann die Installation einer Management-Software von der 
eingesetzten Karte entfallen.
Die VPNVerbindung wird unabhngig vom Microsoft DF-Netzwerk ber den 
integrierten NCP Dialer aufgebaut.
* derzeit untersttzte Multifunktionskarten:
T-Mobile Multimedia NetCard
Vodafone Mobile Connect Card
KPN Mobile Connect Card

+ Ethernet-Adapter oder xDSL-Modem fr PPTP
Um das Microsoft Point-to-Point Tunnel Protocol nutzen zu knnen muss ein 
Ethernet-Adapter oder ein xDSL-Modem angeschlossen sein. Als Gegenstelle dient
ein Access-Router im xDSL.


1.4   Voraussetzungen fr die Strong Security-Version

Wenn Sie die Software VPN/PKI Client (Strong Security-Version des Clients)
nutzen, welche Zertifizierung (X.509) untersttzt, mssen folgende 
Voraussetzungen erfllt sein:

+ TCP/IP
Das Netzwerk-Protokoll TCP/IP muss auf dem Rechner installiert sein.

+ Chipkartenleser (PC/SC-konform)
Wenn Sie die "Erweiterte Authentisierung" (Strong Authentication) nutzen wollen, 
muss ein Chipkartenleser an Ihr System angeschlossen sein. Die Client Software 
untersttzt automatisch alle Chipkartenleser, die PC/SC-konform sind. Diese 
Chipkartenleser werden nur in der Liste der Chipkartenleser aufgenommen, nachdem 
der Leser angeschlossen und die zugehrige Treiber-Software installiert wurde. 
Die Client Software erkennt dann den Chipkartenleser nach einem Boot-Vorgang 
automatisch. Erst dann kann der installierte Leser ausgewhlt und genutzt 
werden.
Dazu stellen Sie nach dem ersten Start des Monitors den Chipkartenleser ein 
unter "Konfiguration -> Zertifikate -> Benutzer-Zertifikat". Nachdem Sie die 
Smart Card in den Chipkartenleser gesteckt haben, knnen Sie Ihre PIN eingeben.

+ Chipkartenleser (CT-API-konform)
Wenn Sie einen CT-API-konformen Chipkartenleser nutzen, beachten Sie bitte 
folgendes:
* Mit der aktuellen Software werden Treiber fr die Modelle Kobil B0/B1 und
Kobil Kaan mitgeliefert. 
Diese Chipkartenleser knnen im Monitor unter "Konfiguration -> Zertifikate -> 
Benutzer-Zertifikat" eingestellt werden. Sollte der Chipkartenleser mit den 
mitgelieferten Treibern nicht funktionieren oder ein anderer Chipkartenleser 
installiert sein, wenden Sie sich unbedingt an den Hersteller des 
Chipkartenlesers, bzw. konsultieren Sie die entsprechende Website bezglich 
aktueller Hardware-Treiber, um den aktuellsten CT-API-Treiber zu erhalten und zu 
installieren. Nehmen Sie auerdem folgende Einstellung in der Client Software 
vor:
* Die entsprechende Bibliotheksdatei (*.so) muss in einem Verzeichnis abgelegt 
sein, welches vom System durchsucht wird (i.a. /usr/lib bzw. einstellbar ber 
die Umgebungsvariable LD_LIBRARY_PATH).
* Editieren Sie die Datei NCPPKI.CONF, befindlich im Verzeichnis /etc/ncp mit 
einem ASCII-Editor, indem Sie als "ReaderName" den Namen des angeschlossenen 
Chipkartenlesers eintragen und als DL_LINUX den Namen des installierten 
Treibers eintragen.

ReaderName  = Kobil B0/B1 (CT-API)
DL_LINUX    = libct_b1.so

ReaderName  = Kobil Kaan (CT-API)
DL_LINUX    = libct_kaan.so 

* Nach einem Boot-Vorgang erscheint der von Ihnen eingetragene "ReaderName" im 
Monitor-Men unter " Konfiguration -> Zertifikate -> Benutzer-Zertifikat -> 
Chipkartenleser". Selektieren Sie nun diesen Chipkartenleser.

+ Soft-Zertifikate und Tokens
Statt eines Chipkartenlesers knnen auch Soft-Zertifikate oder Tokens genutzt
werden.

+ Chipkarten
Folgende Chipkarten werden untersttzt:
* Signtrust
* NetKey 2000
* TC Trust (CardOS M4)

+ Soft-Zertifikate (PKCS#12)
Statt einer Smart Card knnen auch Soft-Zertifikate genutzt werden.

+ Chipkarten oder Token (PKCS#11)
Mit der Software fr die Smart Card oder den Token werden Treiber in Form einer 
PKCS#11-Bibliothek (.so) mitgeliefert. Diese Treiber-Software muss zunchst 
installiert werden. Anschlieend muss die Datei NCPPKI.CONF editiert werden.

Editieren Sie die Datei NCPPKI.CONF, befindlich im Verzeichnis /etc/ncp mit 
einem ASCII-Editor, indem Sie als "ReaderName" den Namen des angeschlossenen 
Lesers oder Tokens eintragen. Als PKCS11-DLL muss der Name des installierten 
Treibers (xxx.so) eintragen werden. Der zugehrige "Slotindex" ist 
herstellerabhngig (Standard = 0).

Wichtig: Nur die Treiber sind in der Liste sichtbar, die mit "visible = 1" auf 
sichtbar gesetzt wurden!

ReaderName = xxxname
PKCS11-DLL = xxx.so
Slotindex  = 

Nach einem Restart der Client-Dmonen (rcncpclntd restart) erscheint der von 
Ihnen eingetragene "Modulname" im Monitor-Men unter "Konfiguration -> 
Zertifikate -> Benutzer-Zertifikat -> Chipkartenleser". Selektieren Sie nun 
diesen Chipkartenleser oder Token.


--------------------------------------------------------------------------------
2.    Installation
--------------------------------------------------------------------------------

2.1   Informationen zur Installation

Bitte beachten Sie bei der Installation des NCP Secure Entry Clients Linux 
Clients:

In der weiteren Beschreibung werden fr die Versionsbezeichnung folgenden 
Platzhalter verwendet:

huu_bbb  ... Versionsbezeichnung (z.B. 200_017)
h        ... Hauptversionsnummer
uu       ... Unterversionsnummer
bbb      ... Buildnummer

ncp_entrycl_linux_221_014.i386.sh

Die Installation muss unter dem User durchfhrt werden, der den Client spter 
benutzt. Jedoch wird whrend der Installation das Root-Passwort abgefragt, da 
Teile der Installation nur mit Root-Rechten durchfhrbar sind (die Umschaltung 
erfolgt innerhalb des Install-Scripts).

Das Software-Paket wird als sich selbst installierendes Script ausgeliefert. Sie 
erhalten die Software fr den NCP Secure Entry Client Linux Client auf einer CD. 
Das Installationsscript befindet sich auf der CD in dem Verzeichnis: 
Products/SecEntCl/Bin/Linux/h_uu.

Sie knnen das Installationsscript direkt von CD starten.

Darber hinaus knnen Sie die Software auch ber den FTP-Zugang der Firma NCP 
beziehen.
Beachten Sie bitte, dass Sie dem Installationsscript vorher Ausfhrungsrechte 
vergeben mssen (chmod +x ncpentrycl_linux_221_014.i386.sh).


2.2   Script-gesteuerte Installation

2.2.1 Installation vorbereiten

Wenn von CD installiert wird, muss das CD-Laufwerk vorher eingehngt werden:
- mount -t iso9660 /dev/cdrom /mnt-point
- cd /mnt-point/Products/SecEntCl/Bin/Linux/h_uu
Nach der Installation knnen Sie das CD-Laufwerk wieder aushngen:
- umount /mnt-point 

2.2.2 Install-Script aufrufen

- ncp_entrycl_linux_221_014.i386.sh [u]
- Option u ... unattended installation
                 Unbeaufsichtigte Installation - die Installation
                 erfolgt ohne Benutzereingaben 

2.2.3 Install-Script abarbeiten

Das Installations-Script
- entpackt das integrierte Archiv in das Verzeichnis ./ncpinst
- wechselt in dieses Verzeichnis
- testet verschiedene Voraussetzungen fr die Installation (s.u.)
- kopiert die zu installierenden Dateien in ihre Zielverzeichnisse und
- startet die Entry Client Dmonen (ncprwsd, rwsrsud)
Im folgenden sind die einzelnen Installationsschritte nher erlutert.

2.2.4 Installationsroutine

Es sind 3 mgliche Varianten der Installation zu unterscheiden:
- Neuinstallation:
  - es war vor der Installation kein NCP Secure Entry Client Linux installiert 
bzw. er wurde
    vorher komplett deinstalliert.
- Update:
  - Eine Version des NCP Secure Entry Clients Linux ist bereits installiert.
- Unbeaufsichtigte Installation (Option "u"):
  - Die Installation erfolgt ohne Benutzereingaben. Es werden Vorgabewerte fr
    Dialoge benutzt.

Das Installationsscript prft als erstes verschiedene Installationsvoraus-
setzungen und Systemeinstellungen wie
- ist die Kernel-Version grer gleich 2.4.10,
- ist eines der VPN-Device-Module installiert (tun oder ethertap),
- ist das Firewall-Modul iptables installiert.
- ist eine Version des NCP Secure Entry Clients Linux bereits installiert,

Danach entscheidet sich die Installationsroutine fr eine der 3 Varianten.

Sollten Sie die Installation nicht als Benutzer "root" ausfhren (was i.a. sehr 
zu empfehlen ist, da der Client sonst nur unter hohem Sicherheitsrisiko als 
Benutzer "root" genutzt werden kann), so werden Sie als erstes immer nach dem 
Root-Passwort gefragt.
 
2.2.4.1 Neuinstallation

Hier wird als erstes die Lizenzvereinbarung angezeigt. Dieser muss zugestimmt
werden, soll die Installation fortgesetzt werden.
Innerhalb des Lizenztextes kann mittels der Tasten "Leertaste", "Enter",
"Shift Page-Up", "Shift Page-Down" navigiert werden.
Im nchsten Schritt hat man die Wahl den Client als Testversion oder als Voll-
version zu installieren.
Die Testversion ist 30 Tage gltig. Whrend dieser Zeit ist die Software ohne
jede Einschrnkung funktionsfhig und kann jederzeit mit einem entsprechenden
Aktivierungsschlssel und einer Seriennummer zu einer Vollversion aufgerstet
werden (s. 4.).
Danach kopiert die Installationsroutine die bentigten Dateien (Anhang)
in die entsprechenden Verzeichnisse, legt Links in den Systeminitverzeichnissen,
den Autostart- und Desktop-Ornders an und startet die Client-Dmonen.

2.2.4.2 Update

In diesem Fall wird die aktuell installierte Version angezeigt und gefragt, ob
diese Version ersetzt werden soll. Bei der Antwort nein bleibt alles beim
alten. Bei ja wird zuerst das Programmverzeichnis des installierten Entry
Clients (/usr/local/ncpclnt) nach
  /var/adm/backup/ncpclnt-update-yymmdd[-l]
gesichert und danach die neuen Dateien in die entsprechenden Verzeichnisse
kopiert und Links angelegt (s. 2.2.4.1).
Das Telefonbuch und die Verbindungssteuerung wird bei einem Update in der frher 
gemachten Konfiguration beibehalten.

2.2.4.3 Unbeaufsichtigte Installation

Diese Installationsart erfordert keine Benutzereingaben. Es wird entweder
die Lizenzeinstellung der Vorgngerversion bernommen (bei einem Update) oder
es wird eine 30-Tage-Testversion lizenziert (bei Neuinstallation).
Bei einem Update wird die alte Version ungefragt nach
  /var/adm/backup/ncpclnt-update-yymmdd[-l]
gesichert.
Ansonsten ist der Ablauf der gleiche wie unter 2.2.4.1 beschrieben.

2.2.5 Installation abschlieen

Das Installationsscript lscht automatisch das temporre Installationsver-
zeichnis und beendet sich anschlieend.


2.3   Die installierten Dateien

Die Dateien werden in folgende Ordner kopiert (siehe auch -> 
Verzeichnisstruktur):
- ausfhrbare Dateien in: /usr/local/ncpclnt/bin
- Links auf ausfhrbare Dateien: /usr/local/bin und /usr/local/sbin
- Konfigurationsdateien: /etc/ncp (das Telefonbuch in /etc/ncp/rws/cfg)
- Log-Dateien: /var/log/ncp

Damit der Client beim nchsten Systemstart automatisch geladen wird, werden
die dafr notwendigen Dateien in die Init- bzw. Autostart-Scripte eingetragen:
- SuSE:
  Die Dmonen ncprwsd und rwsrsud werden in die Init-Routinen der beiden
  Distributionen intergriert. Sie knnen auch separat mit
  rcncpclntd start|stop|try-restart|restart|status gestartet werden.
  Links auf die beiden GUI-Anwendungen ncppopup (Client Popup) und ncpmon
  (Client Monitor) werden in den Autostart-Ordnern der entspr. Windows-Manager
  eingetragen (KDE1, KDE2). 

Zustzlich wird ein Link auf dem Desktop abgelegt.
Fr andere X-Windows-Manager muss dies, wenn gewnscht, per Hand erfolgen.


--------------------------------------------------------------------------------
3.    Grundkonfiguration 
------------------------------------------------------------------------------

Fr das VPN-Interface wird das Device tuntap genutzt (wenn nicht vorhanden
wird auf ethertap ausgewichen), das von Linux bereitgestellt wird. Alle gng-
igen Installationen haben dieses Device in ihren Kernel eingebunden. Falls ein
Kernel selbst kompiliert wird, sollten folgende Punkte beachtet werden, um
dieses Device mit einzubinden:
- nach dem Start der Kernel-Konfiguration zu folgendem Abschnitt wechseln: 
"* code maturity level options", dort aktivieren:
"* prompt for development or incomplete code/drivers", danach wechseln zu:
"* Network options", dort aktivieren:
"* Netlink device emulation" dann wechseln zu:
"* Network device support", dort aktivieren:
"* Universal TUN/TAP device driver support"

Einige Grundeinstellungen fr das VPN-Device knnen ber die Datei ncprwsd.conf
vorgenommen. Diese Datei befindet sich nach der Installtion im Verzeichnis
/etc/ncp/rws/cfg.
Die folgenden Parameter knnen ber diesen Weg gesetzt werden:
- host:       IP-Adresse des VPN-Devices, wenn DHCP nicht verwendet werden soll.
- mask:       das Gleiche fr die Netzmaske.
- pppoe_if:   Name des Interfaces, ber welches der PPP-OE-Verkehr laufen soll.
Nach der Installation sind alle Parameter auskommentiert, d.h. es werden Vor-
gabewerte fr diese Parameter verwendet (die auskommentierten Eintrgen
entsprechen den Vorgabewerten). Mchte man andere Parametereinstellungen
verwenden, muss das Kommantarzeichen am Zeilenanfang entfernt und der
gewnschte Wert eingetragen werden.


--------------------------------------------------------------------------------
4.    Freischalten einer Vollversion
--------------------------------------------------------------------------------

4.1   Popup

Wenn Sie bisher eine Testversion der Client Software benutzt haben und nun eine 
Vollversion nachinstallieren mchten, starten Sie zunchst das Client Popup.

4.2   Lizenzinformationen

Unter dem Menpunkt "Info" finden Sie die ntigen Angaben, um eine Lizenz 
erwerben zu knnen.

4.3   Lizenzierung

Unter dem Menpunkt "Aktivierungsschlssel" knnen Sie die Testversion 
freischalten. Vor dem Bild des Popup-Mens erscheint ein Fenster, worin Sie 
Aktivierungsschlssel und Seriennummer Ihrer Vollversion eintragen knnen. 
Tragen Sie nun Aktivierungsschlssel und Seriennummer ein. Wenn Sie korrekt 
eingetragen sind, knnen Sie den OK-Button bedienen. Damit ist eine Vollversion 
freigeschaltet.

4.4.  ncplic

Sie haben eine 2. Mglichkeit, den Aktivierungsschlssel einzugeben.
Starten Sie dazu das Programm "ncplic" auf einer Root-Konsole. Mit dem
Kommandoschalter -f erscheint eine Eingabemaske. In diese tragen Sie den
Aktivierungsschlssel und die Seriennummer ein.
Sie knnen beide Werte auch als Parameter mit dem Kommandoschalter -l eingeben.
- ncplic -l llll-llll-llll-llll-llll ssssssss. 


--------------------------------------------------------------------------------
5.    Deinstallation
--------------------------------------------------------------------------------

Um die Client Software zu entfernen, starten Sie das Script ncpclntdeinstall. 
Bei einer Deinstallation haben Sie die Mglichkeit auch das Telefonbuch 
automatisch entfernen zu lassen.


--------------------------------------------------------------------------------
6.      Assistent fr erste Konfiguration
--------------------------------------------------------------------------------

Nachdem Sie die Software erfolgreich installiert haben und die Lizenz mittels 
NCPPOPUP aktiviert haben, kann der Client-Monitor NCPMON starten. Dort wird 
automatisch der "Assistent fr die erste Konfiguration" gestartet - 
vorausgesetzt, Sie haben den Entry Client zum ersten Mal installiert oder das 
Telefonbuch gelscht (siehe -> Deinstallation).

Der "Assistent fr erste Konfiguration" bietet Ihnen die Mglichkeit eine Test-
Verbindung anzulegen. Wenn Sie diese Mglichkeit nutzen, fhrt Sie der 
Assistent durch die Konfiguration der wichtigsten Parameter und legt nach der 
Vorgabe Ihrer Daten ein Zielsystem fr die Testverbindung im Telefonbuch an.

Fr den Telefonbucheintrag den Sie mit diesem Assistenten erstellt haben, 
werden die Zugangsdaten verwendet, die unter "Tests des Clients" beschrieben 
sind. Sie knnen diesen Eintrag anschlieend zum Testen der Software benutzen.

Wenn Sie keine Test-Verbindung anlegen und den "Assistent fr erste 
Konfiguration" abbrechen, erstellen Sie die ersten Telefonbucheintrge, wie im 
Handbuch unter "Client Monitor" - "Neuer Eintrag - Zielsystem" beschrieben.


--------------------------------------------------------------------------------
7.      Start des Linux Clients
--------------------------------------------------------------------------------

Der Entry Client besteht aus den Komponenten VPN-Device-Treiber (ncprwsd) und 
Monitor (ncpclnt). Fr den automatischen Update werden noch die Dmonen rwsrsud 
und rsudlgd bentigt.
In den SuSE-Distributionen werden die Dmonen beim Systemstart
geladen, da sie hier whrend der Installation in die Systeminit-Scripte
integriert wurden. Bei allen anderen Distributionen muss man die Integration
in die Init-Scripte per Hand vornehmen oder die Dmonen von einer Root-Konsole
starten (/usr/local/ncpclnt/bin/ncpclntd start).
Nach jedem Start des Client Dmons ncprwsd (z. B. nach dem Start des Systems
od. nach rcncpclntd start) mu als erstes das Popup aufgerufen werden, da erst
dadurch die Lizenz ihre Gltigkeit erhlt. Beim Start des Systems erfolgt das
im allgemeinen automatisch, wenn Links auf die beiden GUI-Programmme in den
Autostartordnern vorhanden sind.
Per Hand knnen die GUI-Programme entweder ber ein Icon auf dem Arbeitsplatz,
oder ber Alt-F2 bei KDE, oder von einer Konsole gestartet werden. Diese Auf-
rufe mssen unter dem User erfolgen, der die Software auch installiert hat,
da es ansonsten zu Rechte-Konflikten kommen kann.
Der Aufruf von der Konsole sieht z.B. so aus:
  ncppopup &
und
  ncpmon &

vom Ladezustand der Dmonen kann man sich mit den beiden Aufrufen
rcncpclntd status bzw.
/usr/local/ncpclnt/bin/ncpclntd status
berzeugen.


--------------------------------------------------------------------------------
8.      Tests des Clients
--------------------------------------------------------------------------------

Das Telefonbuch des Clients enthlt ein vorkonfiguriertes Zielsystem fr 
Testzwecke:

"Testverbindung IPSec native"

Ebenfalls fr Testzwecke wurde ein "X.509 Soft-Zertifikat" beigegeben. Es wird 
bei der Installation als PKCS#12-Datei abgelegt in dem Verzeichnis:
etc/ncp/certs 
Der Dateiname ist "user1.p12" und die PIN "1234". Dieses Zertifikat kann genutzt 
werden, um die Strong Security des NCP Secure Entry Clients Linux zu testen.

8.1   Testverbindung IPSec native

Zugangsdaten fr IPSec native:
Tunnel-Endpunkt (Ziel)   : 62.153.165.36
VPN-Protokoll            : IPSec
XAUTH-Benutzername       : ncpipsecnative
XAUTH-Passwort           : ncpipsecnative


8.2   Testen mit Ping

Bei bestehendem Tunnel knnen Sie die IP-Adresse 
172.16.119.8 anpingen.

Geben Sie dazu in einem Terminal folgendes ein:
/ping 172.16.119.8 (<ENTER>)

Bei erfolgreichem Ping sehen Sie folgende oder hnliche Ausgaben:

64 bytes from 172.16.119.8: icmp_seq=103 ttl=128 time=66.1 ms
64 bytes from 172.16.119.8: icmp_seq=104 ttl=128 time=66.1 ms
64 bytes from 172.16.119.8: icmp_seq=105 ttl=128 time=66.1 ms
64 bytes from 172.16.119.8: icmp_seq=106 ttl=128 time=66.1 ms
64 bytes from 172.16.119.8: icmp_seq=107 ttl=128 time=66.0 ms
64 bytes from 172.16.119.8: icmp_seq=108 ttl=128 time=66.1 ms
64 bytes from 172.16.119.8: icmp_seq=109 ttl=128 time=66.0 ms
64 bytes from 172.16.119.8: icmp_seq=110 ttl=128 time=65.1 ms
64 bytes from 172.16.119.8: icmp_seq=111 ttl=128 time=66.0 ms

Im Monitor werden die versendeten (Tx) und die empfangenen (Rx) Bytes angezeigt.


8.3   Testen mit FTP

Bei bestehendem Tunnel knnen Sie die FTP-Funktionalitt testen.

Ihre Zugangsdaten:
IP-Adresse       :  172.16.119.8
Benutzer         :  ncptest
Passwort         :  ncptest

Geben Sie dazu in einer Kommandozeile folgendes ein:
/ftp 172.16.119.8
Connected to 172.16.119.8
220 Serv-U FTP-Server v2.3b for WinSock ready...
Name (172.16.119.8:(none)): ncptest
331 User name OK, needpassword
Password: (hier "ncptest" eingeben) 
230 User logged in
Ftp>
Ftp> ls -l
200 PORT Command OK
150 Opening data connection
total 1
drwxr-xr-x  1 User     Group            0 May 27 10:37 testfile 
226 Transfer complete
Ftp: 139 Bytes empfangen in 0.00Sekunden 139000.00KB/Sek.
Ftp>bye


8.4   Testen der Web-Funktionalitt

Geben Sie Ihrem geffneten Web-Browser folgende Adresse ein:
192.168.1.11

anschlieend erhalten Sie die NCP-Website auf Ihrem Bildschirm.


--------------------------------------------------------------------------------
9.    Anhang
--------------------------------------------------------------------------------

Verzeichnisstruktur NCP Secure Entry Client Linux

Verzeichnis
Dateien               Funktion                                    Erstellung

/usr/local/ncpclnt      Binaries des Clients
/usr/local/ncpclnt/bin  GUI-Apps., Dmonen, Scripts und Hilfsroutinen
Dmonen:
ncprwsd               VPN-Modul                                   inst.
rwsrsud               Remote-Software-Update (RSU-) Client        inst.
rsudlgd               grafische Elemente des RSU-Client           inst.
ncpepsec              End-Point-Security.                               
                      Wird nach Bedarf gestartet.                 inst.

GUI-Anwendungen:
ncpclnt               Client Monitor
ncppopup              Client Popup: Anzeige des Lizensierungs-    inst.
                      status und Mglichkeit fr Produktaktivier.
ncptrcw               Client Tracer (graf. Trace-Anzeige)         inst.

Hilfsroutinen:
rwscmd                Konsolenprogramm, um die Steuerung des      inst.
                      Clients per Script zu ermglichen
ncplicclnt            Konsolen-Lizensierungstool und Mglichkeit  inst.
                      fr Produktaktivierung
ncposlog              Hilfsprogramm zum nachtrglichen Einstellen inst.
                      der Loglevel des VPN-Moduls
ncpkill               beendet Prozesse                            inst.
ipcdel                Setzt IPC-Semaphore zurck, falls nach      inst.
                      einem Fehler der NCP Secure Entry Client 
                      Linux nicht mehr ordungsgem hochfhrt.

Scripte:
ncpmon                ruft ncpclnt auf                            inst.
startncppopup         ruft ncppopup auf                           inst.
ncptrace              ruft ncptrcw auf                            inst.
                      diese 3 Scripte setzen vorher den Pfad auf
                      die mitgelieferte qt-Bibliothek
ncpinststartup        dieses Script gestattet das nachtrgliche   inst.
                      Aktivieren bzw. Deaktivieren des SysV-Init-
                      Scripts und damit das Starten bzw. Nicht-
                      starten des VPN- und RSU-Moduls in der
                      Boot-Phase (kann nur als root ausgefhrt
                      werden)
ncpclntd              SysV-Init-Script zum Starten/Stoppen des    inst.
                      VPN-Moduls des Clients
clntdstart            startet die Dmonen des 
                      NCP Secure Entry Clients Linux              inst. 
clntdstop             stoppt die Dmonen des 
                      NCP Secure Entry Clients Linux              inst.
clntdstatus           informiert ber den Ladezustand der Dmonen inst. 
                      des NCP Secure Entry Clients Linux
clntdeinst            Deinstallationsscript;                      inst.

sonstige:
ncpfunc               Script-Bibliothek, die allgemeingltige     inst.
                      Funktionen und Definitionen fr die
                      verschiedenen Scripte enthlt
clntfilelist          Liste der zu installierenden Dateien in     inst.
                      verschiedenen Variablen aufgeteilt
ncpclntinst.log   (*) Installationslog                            generiert


-------------------------------------------------------------------------------
/usr/local/ncpclnt/rsudata  Download Verzeichnis fr Remote Update
rwsrsud               Kopie aus /usr/local/ncpclnt/bin            inst.
rsudlgd               Kopie aus /usr/local/ncpclnt/bin            inst.
                      Wird bentigt, damit der Update-Dmon eine
                      neuere Version von sich selbst erkennen kann

-------------------------------------------------------------------------------
/usr/local/ncpclnt/lib  von den Binaries bentigte Bibliotheken
libbsdntif.so         Verknpfung auf libbsdntif.so.1.0.0         inst.
libbsdntif.so.1.0.0   BSD-Sockets-Wrapper                         inst.
libct_b1.so           Verknpfung auf libct_b1.so.1               inst.
libct_b1.so.1         CT-Api-Bibliothek fr Kobil B1 Leser        inst.
libct_kaan.so         Verknpfung auf libct_kaan.so.1             inst.
libct_kaan.so.1       CT-Api-Bibliothek fr Kobil Kaan Leser      inst.
libncpcfg.so          Verknpfung auf libncpcfg.so.1.0.0          inst.
libncpcfg.so.1.0.0    Funktionen fr verschlsselte Lizenzinfos   inst.
libncpcompr.so        Verknpfung auf libncpcompr.so.1.0.0        inst.
libncpcompr.so.1.0.0  Funktionen fr                              inst.
                      Komprimierung und Dekomprimierung
libncpgacc.so         Verknpfung auf libncpgacc.so.1.0.0         inst.
libncpgacc.so.1.0.0   Funktionen fr den Datenaustausch           inst.
libncphwinfo.so       Verknpfung auf libncphwinfo.so.1.0.0       inst.
libncphwinfo.so.1.0.0 Hardware-Zertifikate                        inst.
libncpmif32.so        Verknpfung auf libncpmif32.so.1.0.0        inst.
libncpmif32.so.1.0.0  Funktionen fr interne MIF-Bufferverwaltung inst.
                      und Shared Memory Handling
libncpos.so           Verknpfung auf libncpos.so.1.0.0           inst.
libncpos.so.1.0.0     Wrapper fr Betriebssystemfunktionen        inst.
libncpwlan.so         Verknpfung auf libncpwlan.so.1.0.0         inst.
libncpwlan.so.1.0.0   Funktionen fr automatische                 inst.
                      Hotspoterkennung
libqt.so.2            Verknpfung auf libqt.so.2.2.4              inst.
libqt.so.2.2.4        Bibliothek fr grafische Elemente           inst.
libqtintf.so          Verknpfung auf libqtintf.so.2.2.4          inst.
libqtintf.so.2.2.4    Bibliothek fr grafische Elemente           inst.

-------------------------------------------------------------------------------
/usr/local/sbin       Verknpfung auf von root zu startende Programme
rcncpclntd            /etc/init.d/ncpclntd                        inst.

-------------------------------------------------------------------------------
/usr/local/bin        Verknpfungen auf vom Benutzer zu startende
                      Programme + Script fr Deinstallation
ncpclntdeinstall  (*) Wrapper fr clntdeinst, um die Deinstal-    inst.
                      lation als normaler User starten zu knnen
ncplic                /usr/local/ncpclnt/bin/ncplicclnt           inst.
ncpmon                /usr/local/ncpclnt/bin/ncpmon               inst.
ncposlog              /usr/local/ncpclnt/bin/ncposlog             inst.
ncppopup              /usr/local/ncpclnt/bin/startncppopup        inst.
ncptrace              /usr/local/ncpclnt/bin/ncptrace             inst.

-------------------------------------------------------------------------------
>HOME_DIR</xxx/Autostart  Verknpfungen der GUI-Anwendungen in diesem
ncpmon                Ordner sorgen dafr, dass die Programme     inst.
ncppopup              automatisch gestartet werden                inst.

>HOME_DIR</yyyDesktop Verknpfungen der GUI-Anwendungen in diesem
ncpmon                Ordner sorgen dafr, dass die Programme     inst.
ncppopup              auf dem Desktop abgelegt werden             inst.
xxx bzw. yyy          steht fr einen Windows-Manager spezi-
                      fischen Ordner/Eintrag,
                      bei KDE2 xxx = .kde2 und yyy = K
                      
-------------------------------------------------------------------------------
/etc/ncp              Konfigurationverzeichnis
ncppki.conf           Einstellungen fr das PKI-Modul             inst.
ncppki.conf.update    Backup-Datei                                generiert
card.dat              angeschlossene Smartcard-Reader             shm
cacert0.crt           Zwischengespeicherte Zertifikate der CA     generiert
clientcert.crt        des Clients                                 generiert
svrcert.crt           des Servers                                 generiert

/etc/ncp/certs        persnliche, vordefinierte Zertifikate
user1.p12             vordefiniertes Nutzer-Zertifikat            inst.

/etc/ncp/cacerts      Root-Zertifikate
ncpsupportca.pem      vordefiniertes CA-Zertifikat fr die        inst.
                      Testverbindung zu NCP

/etc/ncp/rws/cfg      Entry Client Konfiguration
deutsch.dat           Sprachdateien fr die Texte der GUI-        inst.
english.dat           Anwendungen (ncpclnt, ncppopup)             inst.
services.dat          Mapping derTCP-/UDP-Dienste fr GUI-Apps.   inst.
ncprwsd.conf          Konfiguration des VPN-Moduls (ncprwsd)      inst.
ncprwsd.conf.update   Backup-Datei                                generiert 
logo.bmp              Bitmaps fr die GUI-Anwendungen             inst.
info_ncp.bmp                                                      inst.
logoinfo.bmp                                                      inst.
popup.bmp                                                         inst.
gelb.bmp                                                          inst.
gruen.bmp                                                         inst.
rot.bmp                                                           inst.
connect.sh            Scripte die beim Verbindungsauf- bzw.       inst.
connect.sh.update     Backup-Datei                                generiert 
disconnect.sh         abbau aufgerufen werden. Damit wird die     inst.
                      Mglichkeit geschaffen, zustzlich Proramme
                      zu starten.
disconnect.sh.update  Backup-Datei                                generiert 
fwmsge.dat            Firewall-Log-Template                       inst.
pindlg.conf           Pin-Dialog individuell gestalten            inst.
pindlg.conf.update    Backup-Datei                                generiert 
ncpphone.bak          Backup-Datei                                generiert 
ncpphone.cfg          Telefonbuch (wird generiert, falls nicht    inst./
                      vorhanden)                                  generiert
ncpphone.sav          benutzererzeugte Sicherung                  generiert
ncpclnt.conf          Einstellungen des Client Monitors (ncpclnt) generiert
reader.ini            die laut ncppki.conf aktivierten            generiert
                      Smartcard-Reader ([Interfaces])
ncpepsec.exe          Endpoint Security                           inst.

-------------------------------------------------------------------------------
/etc/init.d           Verzeichnis der SysV-Init-Scripte
ncpclntd              SysV-Init-Script zum Starten/Stoppen des    inst.
                      VPN-Moduls des Clients
                      (Kopie aus /usr/local/ncpclnt/bin)

/etc/init.d/rc1.d     Start-/Stopp-Aufrufe fr SysV-Init
/etc/init.d/rc2.d     (s. entspr. Linux-Distribution, denn diese
/etc/init.d/rc3.d     Verzeichnisse knnen sich etwas voneinander
/etc/init.d/rc5.d     unterscheiden)
Sxxncpclntd           Verknpfung auf /etc/init.d/ncpclntd        generiert
Kxxncpclntd           Verknpfung auf /etc/init.d/ncpclntd        generiert
                      xx wird durch eine Zahl ersetzt, die die
                      Startreihenfolge vorgibt. Die Zahl wird
                      von einem entspr. Tool selbstndig vergeben.

/etc/modules.conf     Eintrge fr tun- bzw. tap-Device, wenn     vorhanden
                      noch nicht vorhanden.

-------------------------------------------------------------------------------
/var/log/ncp          Logverzeichnis
ncpyymmdd.log         Entry Client Log                            generiert
ncpTraceLog.txt       Textdatei                                   generiert
rwsrsu.log            RSU-Log-Datei                               generiert

/var/log/ncp/log      (wenn kein anderes Verz. konfiguriert wurde)
fwyymmdd.log          Firewall-Log-Datei                          generiert
(yymmdd               Jahr Monat Tag)
yymmdd                Jahr Monat Tag an dem das Verzeichnis ange-
                      legt wird

-------------------------------------------------------------------------------
/var/run
ncprwsd.pid           pids dieser Dmonen                         generiert
rwsrsud.pid                                                       generiert

-------------------------------------------------------------------------------
/usr/share/doc/packages/ncpclnt/
                      Doku-Verzeichnis
infoengl.txt          Info zum Update auf Vollversion in englisch inst.
infoger.txt           Info zum Update auf Vollversion in deutsch  inst.
licengl.txt           Lizenzvereinbarung in englisch              inst.
licger.txt            Lizenzvereinbarung  in deutsch              inst.
liesmich.txt     (**) letzte Infos in deutsch                     inst.
readme.txt       (**) letzte Infos in engl.isch                   inst.

-------------------------------------------------------------------------------
/var/adm/backup/ncpclnt-deinst-yymmdd[-l]
                      enthalten die whrend der Deistallation     generiert
                      gesicherten Dateien, d.h. dieses Verzeichnis
                      ist erst nach einer erstmaligen Deinstal-
                      lation vorhanden (ffnen nur mit Root-Rechten mgl.)
/var/adm/backup/ncpclnt-update-yymmdd[-l]
                      enthalten die whrend eines Updates         generiert
                      gesicherten Binaries aus /usr/local/ncp,
                      d.h. dieses Verzeichnis ist erst nach einem
                      erstmaligen Update (Installation auf ein
                      System, auf welchem der NCP Secure Entry Client Linux 
                      bereits installiert war) vorhanden

yymmdd                Jahr, Monat, Tag an dem das Verzeichnis ange-
                      legt wird
l                     optional laufende Nummer falls das Anlegen
                      am gleichen Tag erfolgt

-------------------------------------------------------------------------------
die hier aufgelisteten Scripte werden nur fr die Installation per Script
bentigt und werden nicht mit installiert:
                      die unten aufgefhrten Scripte benutzt.
clntchk               dieses Script berprft die Installations-
                      voraussetzungen
clntinst              Script, der die Zielverzeichnisse erzeugt
                      und die Dateien kopiert

(*)     diese Dateien werden nur bei der Installation ber Script bentigt
(**)    diese Dateien werden nur dann bei der Installation mit kopiert,
        wenn sie sich auf dem Installationsmedium zustzlich zum
        Installationsscript befinden.
shm     shared memory = generiert

-------------------------------------------------------------------------------
NCP engineering GmbH, Februar 2006

