您可以使用Horizon Cloud with On-Premises Infrastructure 和 Horizon Air 云基础架构来部署 Unified Access Gateway。对于 Horizon 部署,Unified Access Gateway 设备将替代 Horizon 安全服务器。
前提条件
如果您希望在同一 Unified Access Gateway 实例上配置并启用 Horizon 和 Web 反向代理实例(例如 VMware Identity Manager),请参阅高级 Edge 服务设置。
过程
- 在管理 UI 的手动配置部分中,单击选择。
- 在显示。 中,单击
- 单击 Horizon 设置齿轮箱图标。
- 在“Horizon 设置”页中,将“否”更改为是以启用 Horizon。
- 为 Horizon 配置以下 Edge 服务设置资源:
选项 说明 标识符 默认情况下,设置为 Horizon。Unified Access Gateway 可与使用 Horizon XML 协议的服务器进行通信,例如,Horizon 连接服务器、Horizon Air 和Horizon Cloud with On-Premises Infrastructure。 连接服务器 URL 输入 Horizon Server 或负载平衡器的地址。输入为 https://00.00.00.00。 连接服务器 URL 指纹 输入 Horizon Server 指纹列表。 如果未提供指纹列表,请确保受信任的 CA 颁发了服务器证书。输入十六进制指纹数字。例如,sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3。
启用 PCOIP 将“否”更改为是以指定是否启用 PCoIP 安全网关。 PCOIP 外部 URL Horizon Client 用于建立到该 Unified Access Gateway 设备的 Horizon PCoIP 会话的 URL。它必须包含一个 IPv4 地址而不是主机名。例如,10.1.2.3:4172。默认值为 Unified Access Gateway IP 地址和端口 4172。
启用 Blast 要使用 Blast 安全网关,请将“否”更改为是。 连接服务器 IP 模式 从下拉菜单中选择 IPv4、IPv6 或 IPv4+IPv6。默认值为 IPv4。 - 要配置身份验证方法规则和其他高级设置,请单击更多。
选项 说明 身份验证方法 选择要使用的身份验证方法。 默认设置是使用用户名和密码的直通身份验证。将在下拉菜单中列出在 Unified Access Gateway 中配置的身份验证方法。目前,支持 RSA SecurID 和 RADIUS 身份验证方法。
要配置在第一个身份验证尝试失败时应用第二种身份验证方法的身份验证,请执行以下操作:
- 从第一个下拉菜单中选择一种身份验证方法。
- 单击 + 并选择“和”或“或”。
- 从第三个下拉菜单中选择第二种身份验证方法。
要要求用户通过两种身份验证方法进行身份验证,请在下拉菜单中将“或”更改为“和”。
注:- 在 PowerShell 部署中,对于 RSA SecurID 身份验证,将该选项配置为使用 securid-auth AND sp-auth 显示通行码屏幕。
- 在 vSphere 部署中,对于 RSA SecurID 身份验证,将该选项配置为使用 securid-auth 显示通行码屏幕。
-
在 INI 文件的 Horizon 部分中添加以下行。
authMethods=securid-auth && sp-auth matchWindowsUserName=true
在 INI 文件底部添加一个新的部分。[SecurIDAuth] serverConfigFile=C:\temp\sdconf.rec externalHostName=192.168.0.90 internalHostName=192.168.0.90
这两个 IP 地址都应设置为 Unified Access Gateway 的 IP 地址。sdconf.rec 文件是从必须完整配置的 RSA Authentication Manager 中获取的。确认您使用的是 Access Point 2.5 或更高版本(或者 Unified Access Gateway 3.0 或更高版本),并且可以从 Unified Access Gateway 联网访问 RSA Authentication Manager 服务器。重新运行 uagdeploy PowerShell 命令以重新部署为 RSA SecurID 配置的 Unified Access Gateway。
运行状况检查 URI 路径 Unified Access Gateway 为监控运行状况而连接的连接服务器的 URI 路径。 Blast 外部 URL Horizon Client 用于建立到该 Unified Access Gateway 设备的 Horizon Blast 或 BEAT 会话的 URL。例如,https://uag1.myco.com 或 https://uag1.myco.com:443。 如果未指定 TCP 端口号,则默认 TCP 端口为 8443。如果未指定 UDP 端口号,则默认 UDP 端口也是 8443。
启用隧道 如果使用了 Horizon 安全隧道,请将“否”更改为是。客户端使用外部 URL 以通过 Horizon 安全网关建立隧道连接。隧道用于传输 RDP、USB 和多媒体重定向 (Multimedia Redirection, MMR) 流量。 隧道外部 URL Horizon Client 用于建立到该 Unified Access Gateway 设备的 Horizon 隧道会话的 URL。例如,https://uag1.myco.com 或 https://uag1.myco.com:443。 如果未指定 TCP 端口号,则默认 TCP 端口为 443。
端点合规性检查提供程序 选择端点合规性检查提供程序。默认为 OPSWAT。 代理模式 输入匹配与 Horizon Server URL (proxyDestinationUrl) 相关的 URI 的正则表达式。其默认值为
(/|/view-client(.*)|/portal(.*)|/appblast(.*))
。SAML SP 输入 Horizon XMLAPI 代理的 SAML 服务提供程序名称。该名称必须与配置的服务提供程序元数据的名称相匹配,或者是特殊值 DEMO。 匹配 Windows 用户名 将“否”更改为是以匹配 RSA SecurID 和 Windows 用户名。如果设置为“是”,则 securID-auth 设置为 true 并实施 securID 和 Windows 用户名匹配。 网关位置 发出连接请求的位置。网关位置是由安全服务器和 Unified Access Gateway 设置的。该位置可以是外部位置,也可以是内部位置。 受信任证书 将受信任的证书添加到该 Edge 服务中。可以单击“+”以选择 PEM 格式的证书并添加到信任存储中,或单击“-”以将证书从信任存储中移除。默认情况下,别名是 PEM 证书的文件名。可以编辑别名文本框以提供不同的名称。 响应安全标头 单击“+”可添加标头。输入安全标头的名称。输入值。单击“-”可移除标头。可编辑现有安全标头以更新标头的名称和值。 重要事项: 只有在您单击 保存后,才会保存标头的名称和值。 默认情况下会显示一些标准安全标头。仅当所配置的后端服务器的响应中没有所配置的标头时,才会将相应标头添加到对客户端的 Unified Access Gateway 响应中。注: 修改安全响应标头时应小心谨慎。修改这些参数可能会影响 Unified Access Gateway 的安全功能。主机条目 输入要添加到 /etc/hosts 文件中的详细信息。每个条目均应按顺序包含一个 IP、一个主机名和一个可选主机名别名,并且以空格分隔。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。单击“+”号可添加多个主机条目。 重要事项: 只有在您单击 保存后,才会保存主机条目。禁用 HTML Access 如果设置为“是”,将禁止对 Horizon 进行 Web 访问。有关详细信息,请参阅Horizon 的端点合规性检查。 - 单击保存。