É possível configurar os protocolos de segurança e os algoritmos criptográficos usados para criptografar as comunicações entre os clientes e o appliance do Unified Access Gateway a partir das páginas de configuração do administrador.
Pré-requisitos
- Revisar as propriedades de implantação do Unified Access Gateway. São necessárias as seguintes informações de configurações.
- Endereço IP estático para o appliance do Unified Access Gateway
- Endereços IP dos servidores DNS
Observação: É possível especificar no máximo dois endereços IP do servidor DNS.
O Unified Access Gateway usa os endereços DNS públicos de fallback padrão de plataforma somente quando nenhum endereço de servidor DNS é fornecido para o UAG como parte das definições de configuração ou por meio do DHCP.
- Senha para o console de administração
- URL da instância do servidor ou balanceador de carga para o qual o appliance do Unified Access Gateway aponta
- URL do servidor Syslog para salvar os arquivos de log de evento
Procedimento
- Na seção Configurar Manualmente a IU do administrador, clique em Selecionar.
- Na seção Configurações Avançadas, clique no ícone de engrenagem Configuração do Sistema.
- Edite os seguintes valores de configuração do appliance do Unified Access Gateway.
Opção Valor padrão e descrição Nome UAG Nome exclusivo do dispositivo do Unified Access Gateway. Observação: O nome do dispositivo pode consistir em uma cadeia de caracteres de texto com até 24 caracteres, que inclui letras (A a Z), números (0 a 9), sinal de menos(-)
e ponto(.)
. No entanto, o nome do dispositivo não pode ter espaços.Localidade Especifica o local a ser utilizado ao gerar mensagens de erro.
- en_US para inglês americano. Este é o padrão.
- ja_JP para japonês
- fr_FR para francês
- de_DE para alemão
- zh_CN para chinês simplificado
- zh_TW para chinês tradicional
- ko_KR para coreano
- es para espanhol
- pt_BR para português (Brasil)
- en_GB para inglês britânico
Conjuntos de criptografia Na maioria dos casos, as configurações padrão não precisam ser alteradas. Esses são os algoritmos criptográficos usados para criptografar as comunicações entre os clientes e o appliance do Unified Access Gateway. As configurações de criptografia são usadas para ativar vários protocolos de segurança. TLS 1.0 ativado O padrão é NO
.Selecione SIM para ativar o protocolo de segurança TLS 1.0.
TLS 1.1 ativado O padrão é NO
.Selecione SIM para ativar o protocolo de segurança TLS 1.1.
TLS 1.2 ativado O padrão é YES
.O protocolo de segurança TLS 1.2 está ativado.
TLS 1.3 ativado O padrão é YES
O protocolo de segurança TLS 1.3 está ativado.
Cabeçalhos de Host Permitidos Digite o endereço IP ou o nome do host como os valores do cabeçalho do host. Essa configuração é aplicável para a implantação do UAG com o Horizon e casos de uso de proxy reverso da Web. Para implantações do UAG com o Horizon, talvez seja necessário fornecer vários cabeçalhos de host. Isso depende se o IP virtual (VIP) N+1 é usado e se o Blast Secure Gateway (BSG) e o VMware Tunnel estão ativados e configurados para usar a porta 443 externamente.
Os clientes do Horizon enviam o endereço IP no cabeçalho do host para a solicitação de conexão do Blast. Se o BSG estiver configurado para usar a porta 443, os cabeçalhos de host permitidos deverão conter o endereço IP externo do nome do host do BSG configurado na URL externa do Blast para o UAG específico.
Se os valores do cabeçalho do host não forem especificados, qualquer valor de cabeçalho do host enviado pelo cliente será aceito por padrão.
Tipo de Syslog Selecione o tipo Syslog no menu suspenso. As opções são: - UDP: as mensagens syslog são enviadas pela rede em texto simples via UDP. Esta é a opção padrão.
- TLS: a criptografia TLS é adicionada entre dois servidores syslog para manter as mensagens protegidas.
- TCP: mensagens do syslog são transmitidas por TCP.
Observação: Essa configuração é aplicável ao Unified Access Gateway 3.7 e versões posteriores. A opção TCP é aplicável ao Unified Access Gateway 2009 e versões posteriores.URL do Syslog Quando o Tipo de Syslog está definido como UDP ou TCP, essa opção está ativada. Insira a URL do servidor Syslog utilizado para registrar eventos do Unified Access Gateway. Este valor pode ser uma URL ou um nome do host ou endereço IP. Se você não definir a URL do servidor Syslog, nenhum evento será registrado. O número máximo de duas URLs pode ser estipulado. As URLs são separadas por vírgula. Exemplo:
syslog://server1.example.com:514, syslog://server2.example.com:514
Por padrão, os eventos de serviços de borda do Content Gateway e do Secure Email Gateway são registrados em log. Para registrar eventos no servidor syslog para o serviço de borda do Gateway do Tunnel configurado no Unified Access Gateway, um administrador deve configurar o Syslog no Workspace ONE UEM Console com as informações.
Syslog Hostname=localhost and Port=514
Para obter mais informações sobre o Syslog no Workspace ONE UEM Console, consulte o tópico Configurar Per-App Tunnel da documentação do VMware Tunnel para Linux.
Servidores de Syslog Quando o Tipo de Syslog está definido como TLS, essa opção está ativada. Insira a URL do servidor Syslog utilizado para registrar eventos do Unified Access Gateway. Este valor pode ser uma URL ou um nome do host ou endereço IP. Se você não definir a URL do servidor Syslog, nenhum evento será registrado. O número máximo de duas URLs pode ser estipulado. As URLs são separadas por vírgula. Exemplo:
syslog://server1.example.com:514, syslog://server2.example.com:514
Por padrão, os eventos de serviços de borda do Content Gateway e do Secure Email Gateway são registrados em log. Para registrar eventos no servidor syslog para o serviço de borda do Gateway do Tunnel configurado no Unified Access Gateway, um administrador deve configurar o Syslog no Workspace ONE UEM Console com as informações.
Syslog Hostname=localhost and Port=514
Observação: Isso é aplicável ao Unified Access Gateway 3.7 e versões posteriores.URL de Auditoria do Syslog Insira a URL do servidor Syslog utilizado para registrar eventos de auditoria do Unified Access Gateway. Este valor pode ser uma URL ou um nome do host ou endereço IP. Se você não definir a URL do servidor syslog, nenhum evento de auditoria será registrado. O número máximo de duas URLs pode ser estipulado. As URLs são separadas por vírgula. Exemplo:
syslog://server1.example.com:514, syslog://server2.example.com:514
Certificado CA Essa opção é ativada quando um servidor Syslog é adicionado. Selecione um certificado de Autoridade de Certificação Syslog válido. Certificado de cliente syslog Observação: Essa opção é ativada apenas quando um Servidor de Syslog é adicionado na interface de usuário do Administrador do Unified Access Gateway.Selecione um certificado de cliente Syslog válido no formato PEM.
Chave do certificado de cliente syslog Observação: Essa opção é ativada apenas quando um Servidor de Syslog é adicionado na interface de usuário do Administrador do Unified Access Gateway.Selecione uma chave de certificado de cliente Syslog válida no formato PEM.
Observação: Quando o Unified Access Gateway é implantado usando o PowerShell, se um certificado ou chave inválido ou expirado for fornecido, a instância da IU do administrador não estará disponível.O syslog inclui mensagens do sistema Alterne para Sim para ativar serviços do sistema, como haproxy, cron, ssh, kernel e sistema, para enviar mensagens do sistema para o servidor de syslog. Por padrão, a opção está configurada como Não.
Como alternativa, esse recurso também pode ser configurado por meio da implantação do PowerShell. Para obter mais informações sobre a configuração no arquivo INI, consulte Usando o PowerShell para implementar o appliance do Unified Access Gateway.
URL de verificação de integridade Insira um URL pelo qual o balanceador de carga se conecta e verifica a integridade do Unified Access Gateway Cookies a serem armazenados em cache O conjunto de cookies que o Unified Access Gateway armazena em cache. O padrão é nenhum. Tempo limite da sessão O valor padrão é 36000000 milissegundos. Modo quiesce Ative SIM para pausar o appliance do Unified Access Gateway a fim de alcançar um estado consistente para realizar tarefas de manutenção Intervalo do monitor O valor padrão é 60. Idade da senha Número de dias em que a senha de administrador atual estará válida. O padrão é 90 dias. Especifique 0 (zero) se a senha nunca deve expirar. Tempo limite da solicitação Indica o tempo máximo que o Unified Access Gateway aguarda a recepção de uma solicitação. O valor padrão é
3000
.Esse tempo limite deve ser especificado em milissegundos.
Tempo limite do recebimento do corpo Indica o tempo máximo que o Unified Access Gateway aguarda a recepção de um corpo de solicitação. O padrão é
5000
.Esse tempo limite deve ser especificado em milissegundos.
Máximo de Conexões por Sessão Número máximo de conexões TCP permitidas por sessão TLS. O valor padrão é
16
.Para que não haja limite quanto ao número permitido de conexões TCP, defina o valor desse campo como
0
.Observação: Valor do campo de8
ou inferior causa erros no Horizon Client.Tempo limite de ociosidade de conexão do cliente Especifique o tempo (em segundos) durante o qual uma conexão do cliente pode ficar ociosa antes da conexão ser fechada. O valor padrão é 360 segundos (6 minutos). Um valor igual a Zero indica que não há nenhum tempo limite de ociosidade. Tempo limite da autenticação O tempo de espera máximo em milissegundos antes do qual a autenticação deve acontecer. O padrão é 300000. Se for especificado 0, isso indicará que não há limite de tempo para autenticação.
Tolerância de Desvio do Relógio Digite a diferença de tempo permitida em segundos entre um relógio do Unified Access Gateway e os outros relógios na mesma rede. O padrão é de 600 segundos. Máximo Permitido de CPUs do Sistema Indica o uso da CPU médio do sistema máximo permitido em um minuto. Quando o limite de CPU configurado é excedido, novas sessões não são permitidas e o cliente recebe um erro HTTP 503 para indicar que o dispositivo do Unified Access Gateway está sobrecarregado temporariamente. Além disso, o limite excedido também permite que um balanceador de carga marque o dispositivo do Unified Access Gateway para baixo para que novas solicitações possam ser direcionadas a outros dispositivos do Unified Access Gateway.
O valor está em porcentagem.
O valor padrão é
100%
.Participar do CEIP Se ativado, envia as informações do Programa de aperfeiçoamento da experiência do cliente ("CEIP") à VMware. Consulte Entrar ou sair do Programa de aperfeiçoamento da experiência do cliente para obter mais detalhes. Ativar SNMP Ative SIM para ativar o serviço SNMP. O protocolo SNMP (Simple Network Management Protocol) coleta informações sobre estatísticas do sistema, memória e MIB do serviço de borda do Tunnel pelo Unified Access Gateway. A lista de Base de Informações de Gerenciamento (MIB) disponível, - UCD-SNMP-MIB::systemStats
- UCD-SNMP-MIB::memory
- VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
Versão SNMP Selecione a versão do SNMP desejada. Observação: Se você implantou o Unified Access Gateway por meio do PowerShell, ativou o SNMP, mas não definiu as configurações de SNMPv3 por meio do PowerShell ou da interface de usuário do administrador do Unified Access Gateway, por padrão, as versões de SNMPv1 e SNMPV2c são usadas.Para definir as configurações de SNMPv3 na IU do administrador, consulte #GUID-4E74559B-37E4-44C9-AA2D-55FA325FE114.
Para definir as configurações de SNMPv3 por meio da implantação do PowerShell, determinadas configurações de SNMPv3 devem ser adicionadas ao arquivo INI. Consulte Usando o PowerShell para implementar o appliance do Unified Access Gateway.
Texto de Isenção de Responsabilidade de Administrador Digite o texto de isenção de responsabilidade com base na política do contrato de usuário da sua organização. Para que um administrador faça login com êxito na interface de usuário do Administrador do Unified Access Gateway, o administrador deve aceitar a política de contrato.
O texto de isenção de responsabilidade pode ser configurado por meio da implantação do PowerShell ou usando a interface de usuário do Administrador do Unified Access Gateway. Para obter mais informações sobre a configuração do PowerShell no arquivo INI, consulte Usando o PowerShell para implementar o appliance do Unified Access Gateway.
Ao usar a interface de usuário do Administrador do Unified Access Gateway para configurar essa caixa de texto, o administrador deve primeiro fazer login na interface de usuário do Administrador e, em seguida, configurar o texto de isenção de responsabilidade. Em logins subsequentes de administrador, o texto é exibido para que o administrador aceite antes de acessar a página de login.
DNS Digite os endereços do Sistema de Nome de Domínio (DNS) que são adicionados ao arquivo de configuração /run/systemd/resolve/resolv.conf. Ele deve conter um endereço de pesquisa de DNS válido. Clique em '+' para adicionar um novo endereço DNS. Pesquisa de DNS Digite a pesquisa do Sistema de Nome de Domínio (DNS) adicionada ao arquivo de configuração /etc/resolv.conf. Ele deve conter um endereço de pesquisa de DNS válido. Clique em '+' para adicionar uma nova entrada de pesquisa de DNS. Servidores NTP Servidores NTP para sincronização do protocolo de tempo de rede. Você pode inserir endereços IP e nomes de host válidos. Todos os servidores NTP por interface obtidos da configuração systemd-networkd.service ou por meio do DHCP terão precedência sobre essas configurações. Clique em '+' para adicionar um novo servidor NTP. Servidores NTP de Fallback Servidores NTP de Fallback para sincronização do protocolo de tempo de rede. Se as informações do servidor NTP não forem encontradas, esses nomes de host do servidor NTP de fallback ou endereços IP serão usados. Clique em '+' para adicionar um novo servidor NTP de fallback. Chaves Públicas SSH Carregue chaves públicas para permitir que o usuário raiz acesse Unified Access Gateway ao usar a opção de par de chaves pública-privada. Os administradores podem carregar várias chaves públicas exclusivas para o Unified Access Gateway.
Este campo é visível na interface de usuário de administração somente quando as seguintes opções de SSH são definidas para
true
durante a implantação: Ativar SSH e Permitir o login raiz de SSH usando o par de chaves. Para obter informações sobre essas opções, consulte Implementar o Unified Access Gateway usando o assistente modelo do OVF. - Clique em Salvar.
O que Fazer Depois
Defina as configurações do serviço de borda para os componentes com os quais o Unified Access Gateway é implantado. Após definir as configurações de borda, defina as configurações de autenticação.