您可以使用Horizon Cloud with On-Premises InfrastructureHorizon Air 云基础架构来部署 Unified Access Gateway。对于 Horizon 部署,Unified Access Gateway 设备将替代 Horizon 安全服务器。

前提条件

如果您希望在同一 Unified Access Gateway 实例上配置并启用 Horizon 和 Web 反向代理实例(例如 VMware Identity Manager),请参阅高级 Edge 服务设置

过程

  1. 在管理 UI 的手动配置部分中,单击选择
  2. 常规设置 > Edge 服务设置中,单击显示
  3. 单击 Horizon 设置齿轮箱图标。
  4. 在“Horizon 设置”页中,将“否”更改为以启用 Horizon。
  5. 为 Horizon 配置以下 Edge 服务设置资源:

    选项

    说明

    标识符

    默认情况下,设置为 HorizonUnified Access Gateway 可与使用 Horizon XML 协议的服务器进行通信,例如,Horizon 连接服务器、Horizon AirHorizon Cloud with On-Premises Infrastructure

    连接服务器 URL

    输入 Horizon Server 或负载平衡器的地址。输入为 https://00.00.00.00

    连接服务器 URL 指纹

    输入 Horizon Server 指纹列表。

    如果未提供指纹列表,请确保受信任的 CA 颁发了服务器证书。输入十六进制指纹数字。例如,sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3。

    启用 PCOIP

    将“否”更改为以指定是否启用 PCoIP 安全网关。

    禁用 PCOIP 旧版证书

    更改为以指定使用上载的 SSL 服务器证书,而不是旧版证书。如果此参数设置为,旧版 PCoIP 客户端将无法运行。

    PCOIP 外部 URL

    Horizon Client 用于建立到该 Unified Access Gateway 设备的 Horizon PCoIP 会话的 URL。它必须包含一个 IPv4 地址而不是主机名。例如,10.1.2.3:4172。默认值为 Unified Access Gateway IP 地址和端口 4172。

    启用 Blast

    要使用 Blast 安全网关,请将“否”更改为

    连接服务器 IP 模式

    从下拉菜单中选择 IPv4、IPv6 或 IPv4+IPv6。默认值为 IPv4。

  6. 要配置身份验证方法规则和其他高级设置,请单击更多

    选项

    说明

    身份验证方法

    选择要使用的身份验证方法。

    默认设置是使用用户名和密码的直通身份验证。将在下拉菜单中列出在 Unified Access Gateway 中配置的身份验证方法。目前,支持 RSA SecurID 和 RADIUS 身份验证方法。

    要配置在第一个身份验证尝试失败时应用第二种身份验证方法的身份验证,请执行以下操作:

    1. 从第一个下拉菜单中选择一种身份验证方法。

    2. 单击 + 并选择“和”或“或”。

    3. 从第三个下拉菜单中选择第二种身份验证方法。

    要要求用户通过两种身份验证方法进行身份验证,请在下拉菜单中将“或”更改为“和”。

    注:
    • 在 PowerShell 部署中,对于 RSA SecurID 身份验证,请将该选项配置为使用 securid-auth AND sp-auth 显示通行码屏幕。

    • vSphere 部署中,对于 RSA SecurID 身份验证,请将该选项配置为使用 securid-auth 显示通行码屏幕。

    • 在 INI 文件的 Horizon 部分中添加以下行。

      authMethods=securid-auth && sp-auth
      matchWindowsUserName=true

      在 INI 文件底部添加一个新的部分。

      [SecurIDAuth]
      serverConfigFile=C:\temp\sdconf.rec
      externalHostName=192.168.0.90
      internalHostName=192.168.0.90

      这两个 IP 地址都应设置为 Unified Access Gateway 的 IP 地址。sdconf.rec 文件是从必须完整配置的 RSA Authentication Manager 中获取的。确认您使用的是 Access Point 2.5 或更高版本(或者 Unified Access Gateway 3.0 或更高版本),并且可以从 Unified Access Gateway 联网访问 RSA Authentication Manager 服务器。重新运行 uagdeploy PowerShell 命令以重新部署为 RSA SecurID 配置的 Unified Access Gateway

    运行状况检查 URI 路径

    Unified Access Gateway 为监控运行状况而连接的连接服务器的 URI 路径。

    Blast 外部 URL

    Horizon Client 用于建立到该 Unified Access Gateway 设备的 Horizon Blast 或 BEAT 会话的 URL。例如,https://uag1.myco.comhttps://uag1.myco.com:443

    如果未指定 TCP 端口号,则默认 TCP 端口为 8443。如果未指定 UDP 端口号,则默认 UDP 端口也是 8443。

    启用 UDP 服务器

    带宽较低时,可通过 UDP 隧道服务器建立连接。

    Blast 代理证书

    Blast 的代理证书。单击选择可上载 PEM 格式的证书并将其添加到 BLAST 信任存储中。单击更改可替换现有证书。

    如果用户手动将 Unified Access Gateway 的相同证书上载到负载平衡器,同时 Unified Access Gateway 和 Blast 网关需要使用不同的证书,则建立 Blast 桌面会话会失败,因为客户端与 Unified Access Gateway 之间的指纹不匹配。可为 Unified Access Gateway 或 Blast 网关输入自定义指纹,这样通过中继用来建立客户端会话的指纹可解决该问题。

    启用隧道

    如果使用了 Horizon 安全隧道,请将“否”更改为。客户端使用外部 URL 以通过 Horizon 安全网关建立隧道连接。隧道用于传输 RDP、USB 和多媒体重定向 (Multimedia Redirection, MMR) 流量。

    隧道外部 URL

    Horizon Client 用于建立到该 Unified Access Gateway 设备的 Horizon 隧道会话的 URL。例如,https://uag1.myco.comhttps://uag1.myco.com:443

    如果未指定 TCP 端口号,则默认 TCP 端口为 443。

    隧道代理证书

    Horizon 隧道的代理证书。单击选择可上载 PEM 格式的证书并将其添加到隧道信任存储中。单击更改可替换现有证书。

    如果用户手动将 Unified Access Gateway 的相同证书上载到负载平衡器,同时 Unified Access Gateway 和 Horizon 隧道需要使用不同的证书,则建立隧道会话会失败,因为客户端与 Unified Access Gateway 之间的指纹不匹配。可为 Unified Access Gateway 或 Horizon 隧道输入自定义指纹,这样通过中继用来建立客户端会话的指纹可解决该问题。

    端点合规性检查提供程序

    选择端点合规性检查提供程序。默认为 OPSWAT。

    代理模式

    输入匹配与 Horizon Server URL (proxyDestinationUrl) 相关的 URI 的正则表达式。其默认值为 (/|/view-client(.*)|/portal(.*)|/appblast(.*))

    SAML SP

    输入 Horizon XMLAPI 代理的 SAML 服务提供程序名称。该名称必须与配置的服务提供程序元数据的名称相匹配,或者是特殊值 DEMO。

    匹配 Windows 用户名

    更改为以匹配 RSA SecurID 和 Windows 用户名。如果设置为,则将 securID-auth 设置为 true 并强制实施 securID 和 Windows 用户名匹配。

    注:

    在 Horizon 7 中,如果启用在客户端用户界面中隐藏服务器信息在客户端用户界面中隐藏域列表设置,并为连接服务器实例选择双因素身份验证(RSA SecurID 或 RADIUS),则不要强制实施 Windows 用户名匹配。实施 Windows 用户名匹配将禁止用户在用户名文本框中输入域信息,登录将始终失败。有关更多信息,请参阅《Horizon 7 管理指南》文档中关于双因素身份验证的主题。

    网关位置

    发出连接请求的位置。网关位置是由安全服务器和 Unified Access Gateway 设置的。该位置可以是外部位置,也可以是内部位置。

    受信任证书

    将受信任的证书添加到该 Edge 服务中。可以单击“+”以选择 PEM 格式的证书并添加到信任存储中,或单击“-”以将证书从信任存储中移除。默认情况下,别名是 PEM 证书的文件名。可以编辑别名文本框以提供不同的名称。

    响应安全标头

    单击“+”可添加标头。输入安全标头的名称。输入值。单击“-”可移除标头。可编辑现有安全标头以更新标头的名称和值。

    重要:

    只有在您单击保存后,才会保存标头的名称和值。默认情况下会显示一些标准安全标头。仅当所配置的后端服务器的响应中没有所配置的标头时,才会将相应标头添加到对客户端的 Unified Access Gateway 响应中。

    注:

    修改安全响应标头时应小心谨慎。修改这些参数可能会影响 Unified Access Gateway 的安全功能。

    主机条目

    输入要添加到 /etc/hosts 文件中的详细信息。每个条目均应按顺序包含一个 IP、一个主机名和一个可选主机名别名,并且以空格分隔。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。单击“+”号可添加多个主机条目。

    重要:

    只有在您单击保存后,才会保存主机条目。

    禁用 HTML Access

    如果设置为“是”,将禁止对 Horizon 进行 Web 访问。有关详细信息,请参阅Horizon 的端点合规性检查

  7. 单击保存