O Unified Access Gateway com Horizon é compatível com NIAP/CSfC, e a validação requer uma configuração específica no dispositivo do Unified Access Gateway que é necessário para a operação de NIAP/CSfC.
As alterações de configuração são listadas da seguinte maneira:
- Implante a versão FIPS do Unified Access Gateway no VMware vSphere 7 ou posterior.
- Configure os parâmetros a seguir durante a implantação.
Observação: Você pode configurar esses parâmetros somente no momento da implantação. Se você não configurar o durante a implantação, o Unified Access Gateway incluirá os valores padrão.
Parâmetros Descrição Root Password Management Policies passwordPolicyMinLen Comprimento mínimo da senha de root passwordPolicyMinClass Complexidade mínima da senha raiz rootPasswordExpirationDays Número de dias após os quais a senha de root deve ser obrigatoriamente redefinida passwordPolicyFailedLockout Número de tentativas de login com falha após as quais o acesso do usuário raiz está bloqueado temporariamente passwordPolicyUnlockTime Duração em segundos que o usuário raiz é desbloqueado após um bloqueio temporário rootSessionIdleTimeoutSeconds Duração em segundos após a qual uma sessão ociosa do usuário raiz expirará Admin Password Management Policies adminpasswordPolicyMinLen Comprimento mínimo da senha de administrador adminpasswordPolicyFailedLockoutCount Número de tentativas de login com falha após as quais o acesso do usuário administrador será bloqueado temporariamente adminpasswordPolicyUnlockTime Duração em segundos que o usuário administrador é desbloqueado após o bloqueio temporário
adminSessionIdleTimeoutMinutes Duração em segundos após a qual uma sessão ociosa do usuário administrador expirará Other Parameters Texto do Banner de Login O texto da faixa exibido durante o login no SSH ou no console da Web
Origem SecureRandom O parâmetro deve ser definido como
/dev/random
Para obter mais informações sobre esses parâmetros e seus valores, consulte Executar Script do PowerShell para implantar Unified Access Gateway, no Guia de Implantação e Configuração do VMware Unified Access Gateway em VMware Docs.
- Gere o CSR para certificados TLS e vincule certificados assinados para interfaces administrativas e públicas do Unified Access Gateway. Para obter mais informações, consulte Gerar CSR e chave privada usando o comando uagcertutil no Guia de Implantação e Configuração do VMware Unified Access Gateway em VMware Docs.
Observação: Certifique-se de que todos os certificados na cadeia tenham assinaturas SHA-384. Qualquer incompatibilidade de algoritmos de assinatura nos certificados e nas configurações TLS em Configurações do Sistema pode resultar em falhas de handshake TLS e perda de acesso ao servidor.
- Configure os parâmetros a seguir na seção Configuração do Sistema da IU do administrador. Para obter mais informações sobre esses parâmetros, consulte Definir configurações do sistema do Unified Access Gateway, no Guia de Implantação e Configuração do VMware Unified Access Gateway em VMware Docs.
- Configure Pacotes de Codificação de Servidor TLS para o
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
. - Configure Pacotes de Codificação de Cliente TLS para
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
- Configure o Provedor SSL para o
JDK
. - Configure os Grupos Nomeados TLS para o
secp256r1,secp384r1,secp521r1,ffdhe2048,ffdhe3072,ffdhe4096,ffdhe6144,ffdhe8192
. - Configure Esquemas de Assinatura TLS para o
rsa_pkcs1_sha384
. - Configure o Texto de Isenção de Responsabilidade de Administrador.
- Ative a opção Sincronização de hora com o host.
- Ative a opção Validação de Certificado de Servidor Externo.
Observação: O Unified Access Gateway não oferece suporte a URLs LDAP para CRL; apenas URLs http são compatíveis.
- Configure Pacotes de Codificação de Servidor TLS para o
- Defina as configurações do servidor de syslog com o protocolo TLS. Para obter mais informações sobre essas configurações, consulte Definir configurações de Servidor Syslog, no Guia de Implantação e Configuração do VMware Unified Access Gateway em VMware Docs.
Observação: O certificado do servidor de Syslog deve ter extendedKeyUsage marcada como extensão crítica.
-
- Clique em Selecionar para carregar o Certificado de Cliente TLS Syslog e a Chave de Certificado de Cliente Syslog TLS.
- Ative a opção Incluir Mensagens do Sistema de Syslog.
- Clique em Adicionar entrada de Syslog para adicionar uma nova entrada de syslog à tabela com os detalhes a seguir.
- Defina Categoria como
All Events
. - Defina o Protocolo como
TLS
. - Adicione o servidor de syslog Host e Porta.
- Defina Categoria como
- Clique em Selecionar para carregar o certificado de CA.
- Clique em Adicionar para salvar a nova entrada e clique em Salvar para salvar as configurações de syslog.
-
- Configure e habilite a configuração Autenticação de Certificado X509. Para obter mais informações sobre essas configurações, consulte Configurar a autenticação de certificado no Unified Access Gateway, no Guia de Implantação e Configuração do VMware Unified Access Gateway em VMware Docs.
- Abra a configuração do Certificado X.509 em Configurações de Autenticação.
- Ative a opção Ativar Certificado X.509.
- Clique em Selecionar para carregar os Certificados de Autoridade de Certificação Raiz e Intermediários confiáveis do cliente no formato PEM.
- Ative a opção Revogação de Certificado.
- Configure a verificação de revogação de certificado baseada em CRL. Você pode configurar uma URL para obter a CRL ou configurar o para ler os detalhes da própria cadeia de certificados.
- Salve a definição de configurações de Autenticação de Certificado X.509.
- Gere as configurações do Provedor de Identidade SAML e defina as configurações do provedor de serviços SAML.
- Abra as configurações de SAML e expanda as configurações do Provedor de Identidade SAML.
- Gere as configurações do provedor de identidade carregando a Chave Privada e a Cadeia de Certificados (assinada com o algoritmo RSA+SHA384). Para obter mais informações, consulte Gerar metadados SAML do Unified Access Gateway no Guia de Implantação e Configuração do VMware Unified Access Gateway em VMware Docs.
- Baixe o XML das configurações do provedor de identidade gerado fornecendo um Hostname de Unified Access Gateway.
- Carregue o arquivo XML no Servidor de Conexão e baixe o XML de metadados SAML. Para obter mais informações, consulte Configurar a autenticação SAML para funcionar com o True SSO na Documentação do produto VMware Horizon em VMware Docs.
- Abra Configurações de SAML e expanda as configurações do Provedor de Serviços SAML.
- Digite um Nome do Provedor de Serviço e cole o conteúdo SAML de Metadados XML. Para obter mais informações, consulte Copiar metadados SAML do provedor de serviços para o Unified Access Gateway, no Guia de Implantação e Configuração do VMware Unified Access Gateway em VMware Docs.
- Salve as configurações do provedor de serviços SAML.