É possível configurar os protocolos de segurança e os algoritmos criptográficos usados para criptografar as comunicações entre os clientes e o appliance do Unified Access Gateway a partir das páginas de configuração do administrador.
Pré-requisitos
- Revisar as propriedades de implantação do Unified Access Gateway. São necessárias as seguintes informações de configurações.
- Endereço IP estático para o appliance do Unified Access Gateway
- Endereços IP dos servidores DNS
Observação: É possível especificar no máximo dois endereços IP do servidor DNS.
O Unified Access Gateway usa os endereços DNS públicos de fallback padrão de plataforma somente quando nenhum endereço de servidor DNS é fornecido ao Unified Access Gateway como parte das definições de configuração ou por meio do DHCP.
- Senha para o console de administração
- URL da instância do servidor ou balanceador de carga para o qual o appliance do Unified Access Gateway aponta
- URL do servidor Syslog para salvar os arquivos de log de evento
Procedimento
- Na seção Configurar Manualmente a IU do administrador, clique em Selecionar.
- Na seção Configurações Avançadas, clique no ícone de engrenagem Configuração do Sistema.
- Edite os seguintes valores de configuração do appliance do Unified Access Gateway.
Opção Valor padrão e descrição Nome UAG Nome exclusivo do dispositivo do Unified Access Gateway. Observação: O nome do dispositivo pode consistir em uma cadeia de caracteres de texto com até 24 caracteres, que inclui letras (A a Z), números (0 a 9), sinal de menos(-)
e ponto(.)
. No entanto, o nome do dispositivo não pode ter espaços.Localidade Especifica o local a ser utilizado ao gerar mensagens de erro.
- en_US para inglês americano. Este é o padrão.
- ja_JP para japonês
- fr_FR para francês
- de_DE para alemão
- zh_CN para chinês simplificado
- zh_TW para chinês tradicional
- ko_KR para coreano
- es para espanhol
- pt_BR para português (Brasil)
- en_GB para inglês britânico
Pacotes de codificação de servidor TLS Digite uma lista separada por vírgulas de pacotes de codificação, que são algoritmos criptográficos usados para criptografar conexões TLS de entrada para o Unified Access Gateway Essa opção é usada com algumas outras opções, como versões de TLS, grupos nomeados, esquemas de assinatura e assim por diante, que são usados para habilitar vários protocolos de segurança.
Os pacotes de Codificação de Servidor TLS com suporte no modo FIPS são os seguintes:- Pacotes de codificação habilitados padrão:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Pacotes de codificação que têm suporte e podem ser configurados manualmente:
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
Os pacotes de Codificação de Servidor TLS padrão com suporte com o modo não FIPS são os seguintes:TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Essa opção pode ser configurada durante a implantação do PowerShell adicionando o parâmetro cipherSuites no arquivo ini. Consulte Executar o script do PowerShell para implantar.
Pacotes de codificação de cliente TLS Digite uma lista separada por vírgulas de pacotes de codificação, que são algoritmos criptográficos usados para criptografar conexões TLS de saída para o Unified Access Gateway Essa opção é usada com algumas outras opções, como versões de TLS, grupos nomeados, esquemas de assinatura e assim por diante, que são usados para habilitar vários protocolos de segurança.
Os seguintes pacotes de codificação têm suporte no modo FIPS:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
No modo não FIPS, por padrão, todos os pacotes de codificação com suporte pela biblioteca SSL (Java/Open SSL) podem ser usados.
Essa opção pode ser configurada durante a implantação do PowerShell adicionando o parâmetro outboundCipherSuites no arquivo ini. Consulte Executar o script do PowerShell para implantar.
Tamanho mínimo do hash SHA Selecione o tamanho mínimo de hash SHA para protocolos Horizon e todas as conexões que não sejam do Horizon durante a comunicação e para a especificação de impressão digital do certificado. SHA-256 é o padrão. Os valores de tamanho de hash SHA com suporte são: SHA-1, SHA-256, SHA-384 e SHA-512. NÃO é recomendado o SHA-1.
Ativar TLS 1.1 Por padrão, essa opção está desativada. Ative essa opção para ativar o protocolo de segurança TLS 1.1.
Ativar TLS 1.2 Por padrão, essa opção está ativada. O protocolo de segurança TLS 1.2 está ativado.
Ativar TLS 1.2 e TLS 1.3 (somente não FIPS) Por padrão, essa opção está ativada. Os protocolos de segurança TLS 1.2 e TLS 1.3 estão ativados.
Provedor SSL Selecione a implementação do provedor SSL usada para lidar com conexões TLS. Para configurar TLS Named Groups e TLS Signature Schemes, o valor dessa opção deve ser
JDK
. Por padrão, o valor dessa opção éOPENSSL
.Observação: Quando o valor dessa opção éJDK
, não há suporte para a verificação de revogação de certificado baseada em OCSP. No entanto, há suporte para a verificação de revogação de certificado baseada em CRL.Quaisquer alterações nessa opção resultam na reinicialização dos serviços do Unified Access Gateway. As sessões do Unified Access Gateway em andamento não são mantidas durante a reinicialização.
Essa opção pode ser configurada durante a implantação do PowerShell adicionando o parâmetro sslProvider no arquivo ini. Consulte Executar o script do PowerShell para implantar.
Grupos nomeados TLS Permite que o administrador configure os grupos nomeados desejados (curvas elípticas) a partir de uma lista de grupos nomeados com suporte usados para a troca de chaves durante o handshake de SSL. Essa opção permite valores separados por vírgula. Alguns dos grupos nomeados com suporte são os seguintes:
secp256r1, secp384r1, secp521r1
.Para configurar essa opção, certifique-se de que a opção SSL Provider esteja definida como
JDK
. Caso contrário, a opção TLS Named Groups está desativada. Quaisquer alterações nessa opção resultam na reinicialização dos serviços do Unified Access Gateway. As sessões do Unified Access Gateway em andamento não são mantidas durante a reinicialização.Essa opção pode ser configurada durante a implantação do PowerShell adicionando o parâmetro tlsNamedGroups no arquivo ini. Consulte Executar o script do PowerShell para implantar.
Esquemas de assinatura TLS Permite que o administrador configure os algoritmos de assinatura TLS com suporte usados para validação de chave durante o handshake de SSL. Essa opção permite valores separados por vírgula. Por exemplo: alguns dos esquemas de assinatura com suporte são os seguintes:
rsa_pkcs1_sha
,rsa_pkcs1_sha256
,rsa_pkcs1_sha384
,rsa_pss_rsae_sha256
ersa_pss_rsae_sha384
.Para configurar essa opção, certifique-se de que a opção SSL Provider esteja definida como
JDK
. Caso contrário, a opção TLS Signature Schemes está desativada. Quaisquer alterações nessa opção resultam na reinicialização dos serviços do Unified Access Gateway. As sessões do Unified Access Gateway em andamento não são mantidas durante a reinicialização.Essa opção pode ser configurada durante a implantação do PowerShell adicionando o parâmetro tlsSignatureSchemes no arquivo ini. Consulte Executar o script do PowerShell para implantar.
Cabeçalhos de Host Permitidos Insira o endereço IP e/ou o nome do host para permitir como valores de cabeçalho de host. Essa configuração se aplica ao Horizon, aos casos de uso do proxy reverso da Web e ao serviço de Administração no Unified Access Gateway. A validação do cabeçalho do Host (ou X-Forwarded-Host) é ativada por padrão em relação aos valores configurados neste campo e a uma lista de permissões automáticas computadas dinamicamente com base nas configurações de rede do UAG e nas Configurações do Serviço de Borda. Todos os nomes de host usados para acessar o Unified Access Gateway diretamente, por meio do balanceador de carga ou do proxy reverso e não estão incluídos na lista de permissões automáticas devem ser configurados neste campo.
Para implantações do Unified Access Gateway com o Horizon, se o Blast Secure Gateway (BSG) e/ou VMware Tunnel estiverem habilitados e as URLs externas estiverem configuradas, esses valores serão incluídos automaticamente na lista de valores de host permitidos. Não é necessária uma configuração explícita desses valores.
Para implantações do Unified Access Gateway com configurações de proxy reverso Web, os padrões de host de proxy e URL externo são incluídos na lista de valores de host permitidos automaticamente.
Quando o Unified Access Gateway é implantado com um IP virtual (VIP) N+1, o IP virtual é incluído na lista de permitidos automaticamente. Além disso, os endereços IP não loopback e o nome do host interno do UAG também estão incluídos nessa lista e são permitidos por padrão.
Certificado CA Essa opção é ativada quando um servidor Syslog é adicionado. Selecione um certificado de Autoridade de Certificação Syslog válido. URL de verificação de integridade Insira um URL pelo qual o balanceador de carga se conecta e verifica a integridade do Unified Access Gateway Monitor de Integridade HTTP Por padrão, essa opção está desativada. A configuração padrão redireciona solicitações de URL de verificação de integridade HTTP para HTTPS. Quando você ative essa opção, o Unified Access Gateway responde à solicitação de verificação de integridade mesmo em HTTP. Cookies a serem armazenados em cache O conjunto de cookies que o Unified Access Gateway armazena em cache. O padrão é nenhum. Tempo limite da sessão O valor padrão é 36000000 milissegundos. Observação: O valor de Session Timeout no Unified Access Gateway deve ser o mesmo que o valor da configuração Forcibly disconnect users no Horizon Connection Server.A configuração Forcibly disconnect users é uma das Configurações Globais Gerais no console do Horizon. Para obter mais informações sobre essa configuração, consulte Definir as configurações para sessões do cliente na documentação do VMware Horizon Administration em VMware Docs.
Modo quiesce Ative essa opção para pausar o dispositivo do Unified Access Gateway a fim de alcançar um estado consistente para realizar tarefas de manutenção Intervalo do monitor O valor padrão é 60. Ativar suporte de sobreposição de certificado SAML Ative essa opção para gerar metadados do SAML SP com o ID de entidade com base no certificado. O ID da entidade baseada em certificado oferece suporte à sobreposição de certificado sem problemas com configurações de SP separadas no IDP. Para alterar esse valor, você deve reconfigurar o IDP. Idade da senha Número de dias em que a senha será válida para o usuário na função de ADMINISTRADOR. O valor padrão é de
90
dias. O valor máximo que pode ser configurado é de999
dias.Para que a senha nunca expire, especifique o valor desse campo como
0
.Monitorar a Idade da Senha dos Usuários Número de dias em que a senha é válida para os usuários na função MONITORAMENTO. O valor padrão é de
90
dias. O valor máximo que pode ser configurado é de999
dias.Para que a senha nunca expire, especifique o valor desse campo como
0
.Tempo limite da solicitação Indica o tempo máximo que o Unified Access Gateway aguarda a recepção de uma solicitação. O valor padrão é
3000
.Esse tempo limite deve ser especificado em milissegundos.
Tempo limite do recebimento do corpo Indica o tempo máximo que o Unified Access Gateway aguarda a recepção de um corpo de solicitação. O padrão é
5000
.Esse tempo limite deve ser especificado em milissegundos.
Máximo de Conexões por Sessão Número máximo de conexões TCP permitidas por sessão TLS. O valor padrão é
16
.Para que não haja limite quanto ao número permitido de conexões TCP, defina o valor desse campo como
0
.Observação: Valor do campo de8
ou inferior causa erros no Horizon Client.Tempo limite de ociosidade de conexão do cliente Especifique o tempo (em segundos) durante o qual uma conexão do cliente pode ficar ociosa antes da conexão ser fechada. O valor padrão é 360 segundos (6 minutos). Um valor igual a Zero indica que não há nenhum tempo limite de ociosidade. Tempo limite da autenticação O tempo de espera máximo em milissegundos antes do qual a autenticação deve acontecer. O padrão é 300000. Se for especificado 0, isso indicará que não há limite de tempo para autenticação.
Tolerância de Desvio do Relógio Digite a diferença de tempo permitida em segundos entre um relógio do Unified Access Gateway e os outros relógios na mesma rede. O padrão é de 600 segundos. Máximo Permitido de CPUs do Sistema Indica o uso da CPU médio do sistema máximo permitido em um minuto. Quando o limite de CPU configurado é excedido, novas sessões não são permitidas e o cliente recebe um erro HTTP 503 para indicar que o dispositivo do Unified Access Gateway está sobrecarregado temporariamente. Além disso, o limite excedido também permite que um balanceador de carga marque o dispositivo do Unified Access Gateway para baixo para que novas solicitações possam ser direcionadas a outros dispositivos do Unified Access Gateway.
O valor está em porcentagem.
O valor padrão é
100%
.Participar do CEIP Se ativado, envia as informações do Programa de aperfeiçoamento da experiência do cliente ("CEIP") à VMware. Ativar SNMP Ative essa opção para ativar o serviço SNMP. O protocolo SNMP (Simple Network Management Protocol) coleta informações sobre estatísticas do sistema, memória, estatísticas de uso do espaço em disco e MIB do serviço de borda do Tunnel pelo Unified Access Gateway. A lista de Base de Informações de Gerenciamento (MIB) disponível, - UCD-SNMP-MIB::systemStats
- UCD-SNMP-MIB::memory
- UCD-SNMP-MIB::dskTable
- VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
Versão SNMP Selecione a versão do SNMP desejada. Se SNMPv1+v2 estiver selecionado como o protocolo SNMP, você poderá adicionar um nome personalizado da comunidade SNMP.
Observação: Você deve ativar o SNMP antes de configurar o Tunnel. Se você ativar o SNMP após configurar o Tunnel, deverá salvar automaticamente as configurações do Tunnel para que as configurações de SNMP entrem em vigor.Se você implantou o Unified Access Gateway por meio do PowerShell, ativou o SNMP, mas não definiu as configurações de SNMPv3 por meio do PowerShell ou da UI do administrador do Unified Access Gateway, por padrão, as versões de SNMPv1+SNMPV2c são usadas.
Estas são as etapas adicionais para definir as configurações do SNMPv3 na UI do administrador:- Digite o nome do Usuário USM SNMPv3.
- Digite o ID do Mecanismo SNMP.
Esse valor é exclusivo para cada dispositivo do Unified Access Gateway.
O comprimento máximo da ID do mecanismo é limitado a 27 caracteres.
- Selecione o Nível de Segurança SNMPv3.
- Dependendo do nível de segurança selecionado na etapa anterior, execute as seguintes ações:
Nível de segurança Ações No Auth, No Priv
(Sem autenticação, sem privacidade)
Clique em Salvar. Nenhuma ação adicional é necessária.
Auth, No Priv
(Autenticação, sem privacidade)
- Selecione o Algoritmo de Autenticação do SNMPv3.
- Digite a Senha de Autenticação do SNMPv3.
A senha deve ter pelo menos oito caracteres.
- Confirmar Senha de Autenticação digitada na etapa anterior.
- Clique em Salvar.
Auth, Priv
(Autenticação, privacidade)
- Selecione o Algoritmo de Autenticação do SNMPv3.
Os valores com suporte são os seguintes:
MD5 (Not Recommended)
,SHA (Not Recommended)
,SHA-224
,SHA-256
,SHA-384
eSHA-512
. - Digite a Senha de Autenticação do SNMPv3.
A senha deve ter pelo menos oito caracteres.
- Confirme a Senha de Autenticação digitada na etapa anterior.
- Selecione o Algoritmo de Privacidade do SNMPv3 .
Os valores com suporte são
DES
eAES
. - Selecione a Senha de Privacidade do SNMPv3.
A senha deve ter pelo menos oito caracteres.
- Confirmar Senha de Privacidade digitada na etapa anterior.
- Clique em Salvar.
Comunidade SNMP Insira um nome de coummidade SNMP personalizado a ser usado. Se esse campo for deixado em branco, "público" será usado. Texto de Isenção de Responsabilidade de Administrador Digite o texto de isenção de responsabilidade com base na política do contrato de usuário da sua organização. Para que um administrador faça login com êxito na interface de usuário do Administrador do Unified Access Gateway, o administrador deve aceitar a política de contrato.
O texto de isenção de responsabilidade pode ser configurado por meio da implantação do PowerShell ou usando a interface de usuário do Administrador do Unified Access Gateway. Para obter mais informações sobre a configuração do PowerShell no arquivo INI, consulte Executar o script do PowerShell para implantar.
Ao usar a interface de usuário do Administrador do Unified Access Gateway para configurar essa caixa de texto, o administrador deve primeiro fazer login na interface de usuário do Administrador e, em seguida, configurar o texto de isenção de responsabilidade. Em logins subsequentes de administrador, o texto é exibido para que o administrador aceite antes de acessar a página de login.
DNS Digite os endereços do Sistema de Nome de Domínio (DNS) que são adicionados ao arquivo de configuração /run/systemd/resolve/resolv.conf. Ele deve conter um endereço de pesquisa de DNS válido. Clique em '+' para adicionar um novo endereço DNS. Pesquisa de DNS Digite a pesquisa do Sistema de Nomes de Domínio que é adicionada ao arquivo de configuração /run/systemd/resolve/resolv.conf. Ele deve conter um endereço de pesquisa de DNS válido. Clique em '+' para adicionar uma nova entrada de pesquisa de DNS. Sincronização de hora com o host Use essa opção para sincronizar a hora no dispositivo do Unified Access Gateway com a hora do host ESXi. Por padrão, essa opção está desativada.
Essa opção usa o VMware Tools para sincronização de hora e tem suporte somente quando o Unified Access Gateway é implantado no host ESXi.
Se você escolher essa opção para sincronização de hora, as opções NTP Servers e FallBack NTP Servers serão desativadas.
Essa opção pode ser configurada por meio do PowerShell adicionando o parâmetro hostClockSyncEnabled no arquivo INI. Consulte Executar o script do PowerShell para implantar.
Servidores NTP Servidores NTP para sincronização do protocolo de tempo de rede. Você pode inserir endereços IP e nomes de host válidos. Todos os servidores NTP por interface obtidos da configuração systemd-networkd.service ou por meio do DHCP terão precedência sobre essas configurações. Clique em '+' para adicionar um novo servidor NTP. Se você escolher essa opção para sincronização de hora, o Time Sync With Host será desativado.
Servidores NTP de Fallback Servidores NTP de Fallback para sincronização do protocolo de tempo de rede. Se as informações do servidor NTP não forem encontradas, esses nomes de host do servidor NTP de fallback ou endereços IP serão usados. Clique em '+' para adicionar um novo servidor NTP de fallback. Se você escolher essa opção para sincronização de hora, o Time Sync With Host será desativado.
Validação de certificado de servidor estendida Ative essa opção para garantir que o Unified Access Gateway execute a validação estendida no certificado do servidor SSL recebido para conexões TLS de saída com os servidores de back-end. As verificações estendidas incluem a validação da expiração do certificado, a incompatibilidade no nome do host, o status de revogação do certificado e os valores de uso da chave estendida.
Por padrão, essa opção está desativada.
Essa opção pode ser configurada por meio do PowerShell adicionando o parâmetro extendedServerCertValidationEnabled no arquivo ini. Consulte Executar o script do PowerShell para implantar.
Chaves Públicas SSH Carregue chaves públicas para permitir que o usuário raiz acesse a máquina virtual do Unified Access Gateway ao usar a opção de par de chaves pública-privada. Os administradores podem carregar várias chaves públicas exclusivas para o Unified Access Gateway.
Este campo é visível na interface de usuário de administração somente quando as seguintes opções de SSH são definidas para
true
durante a implantação: Ativar SSH e Permitir o login raiz de SSH usando o par de chaves. Para obter informações sobre essas opções, consulte Implantação do para vSphere usando o Assistente de Modelo OVF. - Clique em Salvar.
O que Fazer Depois
Defina as configurações do serviço de borda para os componentes com os quais o Unified Access Gateway é implantado. Após definir as configurações de borda, defina as configurações de autenticação.