Os scripts do PowerShell preparam seu ambiente com todas as configurações. Ao executar o script do PowerShell para implementar o Unified Access Gateway, a solução está pronta para produção na primeira inicialização do sistema.

Importante: Com uma implantação do PowerShell, você pode fornecer todas as configurações no arquivo INI e a instância do Unified Access Gateway fica pronta para produção assim que é inicializada. Se você não quiser alterar qualquer configuração pós-implantação, não precisará fornecer a senha da interface de usuário do administrador.

No entanto, interface de usuário do administrador e a API não estarão disponíveis se a senha da interface de usuário do administrador não for fornecida durante a implantação. Se você não fornecer a senha da interface de usuário do administrador no momento da implantação, não poderá adicionar um usuário posteriormente para ativar o acesso à interface de usuário do administrador ou à API. Você deve reimplantar o Unified Access Gateway.

Você pode incluir os parâmetros no arquivo INI para criar usuários administradores de baixo privilégio com funções de monitoramento. Não há suporte para a criação de superusuário administrador. Você pode configurar as políticas de senha para o usuário raiz e o usuário administrador antes de implantar a instância do Unified Access Gateway.

Para obter mais informações sobre os parâmetros, você pode ver a seção na qual o parâmetro de UI do administrador equivalente é usado. Por exemplo: alguns dos parâmetros de implantação são descritos em Parâmetros de implantação do PowerShell e Implantação do para vSphere usando o Assistente de Modelo OVF, para obter informações sobre os parâmetros usados na configuração do sistema, configurações do servidor de syslog, configurações de rede e assim por diante, consulte Configurações avançadas, e para obter informações sobre os parâmetros usados em serviços de borda e outros casos de uso do Unified Access Gateway, como Workspace ONE Intelligence e Ponte de Identidade, consulte Configurações do serviço de borda.

Pré-requisitos

  • Para uma implantação do Hyper-V, e se você estiver fazendo upgrade do Unified Access Gateway com IP estático, exclua o appliance mais antigo antes de implantar a instância mais recente do Unified Access Gateway.
  • Verifique se os requisitos do sistema são apropriados e se estão disponíveis para uso.

Procedimento

  1. Baixe o Unified Access Gateway OVA do portal do Customer Connect para a sua máquina.
  2. Baixe os arquivos uagdeploy-XXX.zip em uma pasta na máquina.
    Os arquivos ZIP estão disponíveis na página Customer Connect do Unified Access Gateway.
  3. Abra um script do PowerShell e modifique o diretório do local do seu script.
  4. Abra o arquivo de configuração INI para o dispositivo virtual do Unified Access Gateway. Consulte Parâmetros de implantação do PowerShell.
    Por exemplo: implante um novo UAG1 do dispositivo do Unified Access Gateway. O arquivo de configuração é chamado uag1.ini. Esse arquivo contém todas as definições de configuração para UAG1. É possível usar os exemplos de arquivos INI no arquivo uagdeploy.ZIP para criar o arquivo INI e modificar as configurações adequadamente.
    Observação:
    • Você pode ter arquivos INI exclusivos para várias implantações do Unified Access Gateway no seu ambiente. Você deve alterar os Endereços IP e os parâmetros de nome no arquivo INI adequadamente para implantar vários appliances.
    • Para converter a chave privada de PKCS8 em PKCS1, ou seja, do formato INICIAR CHAVE PRIVADA no formato INICIAR CHAVE PRIVADA RSA, execute o seguinte comando openssl:

      openssl rsa -in key.pem -out keyrsa.pem

      Para converter o arquivo de formato PKCS#12 com uma extensão de arquivo .p12 ou .pfx e para garantir que a chave seja RSA, execute os seguintes comandos:

      openssl pkcs12 -in cert.pfx -nokeys -out cert.pem

      openssl pkcs12 -in cert.pfx -nodes -nocerts -out key.pem

      openssl rsa -in key.pem -check -out keyrsa.pem

    Exemplo do arquivo INI a ser modificado.
    [General]
    adminCertRolledBack=false
    adminDisclaimerText=
    adminMaxConcurrentSessions=5
    adminPasswordExpirationDays=90
    adminPasswordPolicyFailedLockoutCount=3
    adminPasswordPolicyMinLen=8
    adminPasswordPolicyUnlockTime=5
    adminSessionIdleTimeoutMinutes=10
    authenticationTimeout=300000
    bodyReceiveTimeoutMsec=15000
    ceipEnabled=true
    cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    , TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    clientConnectionIdleTimeout=180
    cookiesToBeCached=none
    defaultGateway=10.108.120.125
    deploymentOption=threenic
    diskMode=
    dns = 192.0.2.1 192.0.2.2
    dnsSearch = example1.com example2.com
    ds=
    dsComplianceOS=false
    eth0CustomConfig=DHCP^UseDNS=false
    eth1CustomConfig=DHCP^UseDNS=false
    extendedServerCertValidationEnabled=false
    fallBackNtpServers=ipOrHostname1 ipOrHostname2
    fipsEnabled=false
    healthCheckUrl=/favicon.ico
    hostClockSyncEnabled=false
    httpConnectionTimeout=120
    ip0=10.108.120.119
    ipMode=DHCPV4_DHCPV6
    ipModeforNIC2=DHCPV4_DHCPV6
    ipModeforNIC3=DHCPV4_DHCPV6
    isCiphersSetByUser=false
    isTLS11SetByUser=false
    locale=en_US
    monitoringUsersPasswordExpirationDays=90
    monitorInterval=60
    name=
    netBackendNetwork=
    netInternet=
    netManagementNetwork=
    ntpServers=ipOrHostname1 ipOrHostname2
    osLoginUsername= 
    osMaxLoginLimit=10
    outboundCipherSuites=
    passwordPolicyFailedLockout=3
    passwordPolicyMinClass=1
    passwordPolicyMinLen=6
    passwordPolicyUnlockTime=900
    quiesceMode=false
    requestTimeoutMsec=10000
    rootPasswordExpirationDays=365
    rootSessionIdleTimeoutSeconds=300
    secureRandomSource=
    sessionTimeout=36000000
    snmpEnabled= TRUE | FALSE
    source=
    sshEnabled=
    sshInterface=eth0
    sshKeyAccessEnabled=
    sshLoginBannerText=VMware EUC Unified Access Gateway
    sshPasswordAccessEnabled=
    sshPort=22
    sshPublicKey1=
    ssl30Enabled=false
    sslprovider=
    target=
    tls10Enabled=false
    tls11Enabled=false
    tls12Enabled=true
    tlsNamedGroups=
    tlsPortSharingEnabled=true
    tlsSignatureSchemes=
    uagName=UAG1
    
    
    [WorkspaceOneIntelligenceSettings1]
    encodedCredentialsFile=
    name=TEST1
    trustedCert1=
    urlThumbprints=bed22939bf8546d15de2136f4c33f48f31d44e71
    
    [WorkspaceOneIntelligenceSettings2]
    encodedCredentialsFile=
    name=RISK_SCORE
    
    [SnmpSettings]
    version= v3
    usmUser=SAM_SNMP_V3
    securityLevel=
    authAlgorithm=
    authPassword=
    privacyAlgorithm=
    privacyPassword=
    engineID=uag1.example.com
    
    [SnmpSettings]
    version=V1+V2c
    communityName=abc
    
    [WebReverseProxy1]
    proxyDestinationUrl=https://10.108.120.21
    trustedCert1=
    instanceId=view
    healthCheckUrl=/favicon.ico
    userNameHeader=AccessPoint-User-ID
    proxyPattern=/(.*)
    landingPagePath=/
    hostEntry1=10.108.120.21 HZNView.uagqe.auto.com
    
    [Horizon]
    endpointComplianceCheckProvider=Workspace_ONE_Intelligence_Risk_Score
    proxyDestinationUrl=https://enterViewConnectionServerUrl
    trustedCert1=
    gatewayLocation=external
    disableHtmlAccess=true
    healthCheckUrl=/favicon.ico
    proxyDestinationIPSupport=IPV4
    smartCardHintPrompt=false
    queryBrokerInterval=300
    proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
    matchWindowsUserName=false
    windowsSSOEnabled=false
    complianceCheckOnAuthentication=true
    proxyDestinationUrlThumbprints=
    proxyDestinationPreLoginMessageEnabled=true
    customExecutable1=WEBEXVDIPLUGIN
    
    [CustomExecutableSettings1]
    name=OPSWAT2
    osType=
    trustedSigningCertificates1=
    url=<<URL to custom executable file>>
    urlResponseRefreshInterval=
    isObtainedFromURL=
    
    [Airwatch]
    tunnelGatewayEnabled=true
    disableAutoConfigUpdate=false
    pacFilePath=
    pacFileURL=
    credentialFilePath=
    apiServerUsername=domain\apiusername
    apiServerPassword=*****
    proxyDestinationUrl=https://null
    ntlmAuthentication=false
    healthCheckUrl=/favicon.ico
    organizationGroupCode=
    apiServerUrl=https://null
    outboundProxyHost=1.2.3.4
    outboundProxyPort=3128
    outboundProxyUsername=proxyuser
    outboundProxyPassword=****
    reinitializeGatewayProcess=false
    airwatchServerHostname=tunnel.acme.com
    trustedCert1=c:\temp\CA-Cert-A.pem
    hostEntry1=1.3.5.7 backend.acme.com
    tunnelConfigurationId=
    
    [AirwatchSecureEmailGateway]
    memConfigurationId=abc123
    apiServerUsername=domain\apiusername
    healthCheckUrl=/favicon.ico
    apiServerUrl=https://null
    outboundProxyHost=1.2.3.4
    outboundProxyPort=3128
    outboundProxyUsername=proxyuser
    outboundProxyPassword=****
    reinitializeGatewayProcess=false
    airwatchServerHostname=serverNameForSNI
    apiServerPassword=****
    trustedCert1=c:\temp\CA-Cert-A.pem
    pfxCerts=C:\Users\admin\My Certs\mycacerts.pfx
    hostEntry1=1.3.5.7 exchange.acme.com
    
    [AirWatchContentGateway]
    cgConfigId=abc123
    apiServerUrl=https://null
    apiServerUsername=domain\apiusername
    apiServerPassword=*****
    outboundProxyHost=
    outboundProxyPort=
    outboundProxyUsername=proxyuser
    outboundProxyPassword=*****
    hostEntry1=192.168.1.1 cgbackend.acme.com
    trustedCert1=c:\temp\CA-Cert-A.pem
    ntlmAuthentication=false
    reinitializeGatewayProcess=false
    airwatchServerHostname=cg.acme.com
    
    [SSLCert]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    [SSLCertAdmin]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    [WorkspaceONEIntelligenceRiskScoreEndpointComplianceCheckSettings]
    allowLow=true
    allowMedium=true
    allowHigh=true
    allowOthers=false
    complianceCheckInterval=5
    name=Workspace_ONE_Intelligence_Risk_Score
    workspaceOneIntelligenceSettingsName=RISK_SCORE
    
    [JWTSettings1]
    publicKey1=
    publicKey2=
    publicKey3=
    name=JWT_1
    
    [JWTSettings2]
    publicKey1=
    publicKey2=
    name=JWT_2
    
    [JWTIssuerSettings1]
    issuer=issuer-1
    jwtType=PRODUCER
    name=issuerJWT_1
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    [JWTIssuerSettings2]
    issuer=issuer-2
    jwtType=PRODUCER
    name=issuerJWT_2
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    [AdminUser1]
    enabled=true
    name=monitoringUser1
    
    [AdminUser2]
    enabled=true
    name=monitoringUser2
    
    [OutboundProxySettings1]
    proxyUrl=
    name=
    proxyType=HTTP
    includedHosts1=
    includedHosts2=
    trustedCert1=
    
    [OutboundProxySettings2]
    proxyUrl=
    name=
    proxyType=HTTP
    includedHosts1=
    includedHosts2=
    trustedCert1=
    
    [adminSAMLSettings]
    enable=true
    entityId=https://www.entityid.com
    
    [IDPExternalMetadata1]
    allowUnencrypted=false
    certChainPem=
    encryptionCertificateType=
    entityID=<entityID>
    forceAuthN=false
    metadataXmlFile=<Path of IDP metadata xml file>
    privateKeyPem=
    
    [OPSWATEndpointComplianceCheckSettings]
    allowInCompliance=
    allowEndpointUnknown=
    complianceCheckFastInterval=
    complianceCheckInitialDelay=
    complianceCheckInterval=
    allowNotInCompliance=
    allowOutOfLicenseUsage=
    allowAssessmentPending=
    allowOthers=
    hostName=
    name=
    clientSecret=
    clientKey=
    
    [PackageUpdates]
    packageUpdatesScheme=OFF|ON_NEXT_BOOT|ON_EVERY_BOOT
    packageUpdatesOSURL=
    packageUpdatesURL=
    trustedCert1=
    
    [SyslogServerSettings1]
    sysLogType=TCP
    syslogCategory=ALL
    syslogFormat=TEXT
    syslogSettingName=
    syslogSystemMessagesEnabledV2=true
    syslogUrl=
    
    [SyslogServerSettings2]
    hostname=
    port=6515
    sysLogType=TLS
    syslogCategory=ALL
    syslogClientCertKeyPemV2=
    syslogClientCertPemV2=
    syslogServerCACertPemV2=
    syslogFormat=TEXT
    syslogSettingName=
    syslogSystemMessagesEnabledV2=false
    
    [SyslogServerSettings3]
    mqttClientCertCertPem=
    mqttClientCertKeyPem=
    mqttServerCACertPem=
    mqttTopic=
    sysLogType=MQTT
    syslogCategory=ALL
    syslogFormat=TEXT
    syslogSettingName=
    syslogSystemMessagesEnabledV2=true
    syslogUrl=
    Observação:
    • O [adminSAMLSettings] incluído no arquivo INI é para a configuração do método de autenticação SAML usado para autenticar os usuários com acesso de administrador à UI do administrador. Aqui, entityId refere-se à ID da entidade do provedor de metadados externo.
    • As senhas para usuários administradores com baixo privilégio e funções de monitoramento são fornecidas como parâmetro para o script do PowerShell. Se a senha não for fornecida, o usuário será solicitado a inserir a senha. Forneça o parâmetro como newAdminUserPwd e o valor de parâmetro semelhante a monitoringUser1:P@ssw0rd1;monitoringUser2:P@ssw0rd2. O parâmetro enabled no arquivo INI é opcional e adotará o padrão true se o parâmetro não estiver disponível.
  5. Para assegurar que a execução do script não seja restrita, digite o comando set-executionpolicy do PowerShell.
    set-executionpolicy -scope currentuser unrestricted
    Você só precisa fazer isso uma vez para remover a restrição.
    1. (Opcional) Se houver um aviso para o script, execute o seguinte comando para desbloquear o aviso: unblock-file -path .\uagdeploy.ps1
  6. Execute o comando para iniciar a implementação. Se você não especificar o arquivo .INI, o script será padronizado para ap.ini.
    .\uagdeploy.ps1 -iniFile uag1.ini
  7. Insira as credenciais quando receber o aviso e conclua o script.
    Observação: Se você receber um aviso para adicionar a impressão digital da máquina de destino, digite sim.
    O appliance do Unified Access Gateway está implementado e disponível para produção.

O que Fazer Depois

Se você quiser fazer upgrade do Unified Access Gateway preservando as configurações existentes, edite o arquivo .ini para alterar a referência de origem para a nova versão e execute novamente o arquivo .ini: uagdeploy.ps1 uag1.ini. Esse processo pode levar até três minutos.
[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

Se você quiser fazer upgrade sem interrupção do serviço, consulte Atualização com tempo de inatividade zero.