您可以从管理配置页面中配置用于加密客户端和 Unified Access Gateway 设备之间的通信的安全协议和加密算法。
前提条件
- 检查 Unified Access Gateway 部署属性。需要使用以下设置信息:
- Unified Access Gateway 设备的静态 IP 地址
- DNS 服务器的 IP 地址
注: 最多可指定两个 DNS 服务器 IP 地址。
仅当没有将任何 DNS 服务器地址作为配置设置的一部分或通过 DHCP 提供给 UAG 时,Unified Access Gateway 才使用平台默认的备用公共 DNS 地址。
- 管理控制台的密码
- Unified Access Gateway 设备指向的服务器实例或负载均衡器的 URL
- 用于保存事件日志文件的 Syslog 服务器 URL
过程
- 在管理 UI 的“手动配置”部分中,单击选择。
- 在“高级设置”部分中,单击系统配置齿轮箱图标。
- 编辑以下 Unified Access Gateway 设备配置值。
选项 默认值和说明 UAG 名称 唯一的 Unified Access Gateway 设备名称。 注: 设备名称可以由长度不超过 24 个字符的文本字符串组成,其中包括字母 (A-Z)、数字 (0-9)、减号(-)和句点(.)。但是,设备名称不能包含空格。区域设置 指定在生成错误消息时使用的区域设置。
- en_US 表示美式英语。这是默认值。
- ja_JP 表示日语
- fr_FR 表示法语
- de_DE 表示德语
- zh_CN 表示简体中文
- zh_TW 表示繁体中文
- ko_KR 表示韩语
- es 表示西班牙语
- pt_BR 表示巴西葡萄牙语
- en_GB 表示英式英语
密码套件 大多数情况下,不需要更改默认设置。这是用于加密客户端和 Unified Access Gateway 设备之间的通信的加密算法。密码设置用于启用各种不同的安全协议。 TLS 1.0 已启用 默认设置为 NO。选择是以启用 TLS 1.0 安全协议。
TLS 1.1 已启用 默认设置为 NO。选择是以启用 TLS 1.1 安全协议。
TLS 1.2 已启用 默认设置为 YES。将启用 TLS 1.2 安全协议。
TLS 1.3 已启用 默认设置为 YES。将启用 TLS 1.3 安全协议。
允许的主机标头 可输入 IP 地址或主机名作为主机标头值。此设置适用于使用 Horizon 和 Web 反向代理用例的 UAG 部署。 对于采用 Horizon 的 UAG 部署,您可能需要提供多个主机标头。具体取决于是否使用了 N+1 个虚拟 IP (VIP),以及是否已启用“Blast 安全网关 (BSG)”和 VMware Tunnel 并将其配置为在外部使用端口 443。
Horizon Client 会在主机标头中发送用于 Blast 连接请求的 IP 地址。如果将 BSG 配置为使用端口 443,则允许的主机标头必须包含在特定 UAG 的 Blast 外部 URL 中配置的 BSG 主机名的外部 IP 地址。
如果未指定主机标头值,则默认情况下,将接受客户端发送的任何主机标头值。
Syslog 类型 从下拉菜单中选择 Syslog 类型。选项包括: - UDP:将使用 UDP 以纯文本形式通过网络发送 Syslog 消息。这是默认选项。
- TLS:将在两个 syslog 服务器之间添加 TLS 加密,从而保护消息安全。
- TCP:Syslog 消息通过 TCP 进行流式传输。
注: 此设置适用于 Unified Access Gateway 3.7 及更高版本。TCP 选项适用于 Unified Access Gateway 2009 及更高版本。Syslog URL 当 Syslog 类型设置为 UDP 或 TCP 时,将启用此选项。输入用于记录 Unified Access Gateway 事件的 Syslog 服务器 URL。该值可以是 URL、主机名或 IP 地址。如果未设置 syslog 服务器 URL,则不会记录任何事件。 最多可以提供两个 URL。以逗号分隔 URL。示例:
syslog://server1.example.com:514, syslog://server2.example.com:514默认情况下,会记录 Content Gateway 和 Secure Email Gateway Edge 服务事件。要在 Syslog 服务器上记录 Unified Access Gateway 上配置的 Tunnel Gateway Edge 服务事件,管理员必须在 Workspace ONE UEM Console 上使用该信息配置 Syslog。
Syslog Hostname=localhost and Port=514有关 Workspace ONE UEM Console 上的 Syslog 的更多信息,请参阅 VMware Tunnel for Linux 文档的配置每应用隧道主题。
Syslog 服务器 当 Syslog 类型设置为 TLS 时,将启用此选项。输入用于记录 Unified Access Gateway 事件的 Syslog 服务器 URL。该值可以是 URL、主机名或 IP 地址。如果未设置 syslog 服务器 URL,则不会记录任何事件。 最多可以提供两个 URL。以逗号分隔 URL。示例:
syslog://server1.example.com:514, syslog://server2.example.com:514默认情况下,会记录 Content Gateway 和 Secure Email Gateway Edge 服务事件。要在 Syslog 服务器上记录 Unified Access Gateway 上配置的 Tunnel Gateway Edge 服务事件,管理员必须在 Workspace ONE UEM Console 上使用该信息配置 Syslog。
Syslog Hostname=localhost and Port=514注: 这适用于 Unified Access Gateway 3.7 及更高版本。Syslog 审核 URL 输入用于记录 Unified Access Gateway 审核事件的 Syslog 服务器 URL。该值可以是 URL、主机名或 IP 地址。如果未设置 Syslog 服务器 URL,则不会记录审核事件。 最多可以提供两个 URL。以逗号分隔 URL。示例:
syslog://server1.example.com:514, syslog://server2.example.com:514CA 证书 添加 Syslog 服务器时,将启用此选项。选择有效的 Syslog 证书颁发机构证书。 Syslog 客户端证书 注: 仅当在 Unified Access Gateway 管理 UI 中添加 Syslog 服务器时,才会启用此选项。选择 PEM 格式的有效 Syslog 客户端证书。
Syslog 客户端证书密钥 注: 仅当在 Unified Access Gateway 管理 UI 中添加 Syslog 服务器时,才会启用此选项。选择 PEM 格式的有效 Syslog 客户端证书密钥。
注: 使用 PowerShell 部署 Unified Access Gateway 时,如果提供了无效或过期的证书或密钥,则管理 UI 实例将不可用。Syslog 包括系统消息 将切换开关设置为是可启用系统服务(如 haproxy、cron、ssh、内核和系统)以向 syslog 服务器发送系统消息。 默认情况下,该切换开关将设置为否。
此外,也可以通过 PowerShell 部署配置此功能。有关 INI 文件中该设置的更多信息,请参阅使用 PowerShell 部署 Unified Access Gateway 设备。
运行状况检查 URL 输入负载均衡器连接到的 URL 并检查 Unified Access Gateway 的运行状况。 要缓存的 Cookie Unified Access Gateway 缓存的一组 Cookie。默认值为“无”。 会话超时 默认值为 36000000 毫秒。 静默模式 启用是以暂停 Unified Access Gateway 设备,从而达到一致的状态以执行维护任务。 监控时间间隔 默认值为 60。 密码期限 当前管理员密码的有效天数。默认为 90 天。如果密码永不过期,请指定为零 (0)。 请求超时 指示 Unified Access Gateway 等待接收请求的最长时间。 默认值为
3000。必须以毫秒为单位指定此超时。
正文接收超时 指示 Unified Access Gateway 等待接收请求正文的最长时间。 默认设置为
5000。必须以毫秒为单位指定此超时。
每个会话的最大连接数 每个 TLS 会话允许的最大 TCP 连接数。 默认值为
16。为了不限制允许的 TCP 连接数,请将此字段的值设置为
0。注:8或更低的字段值将导致 Horizon Client 中出现错误。客户端连接空闲超时 指定客户端连接在关闭之前可以保持空闲状态的时间(以秒为单位)。默认值为 360 秒(6 分钟)。零值表示无空闲超时。 身份验证超时 在其后必须进行身份验证的最长等待时间(以毫秒为单位)。默认值为 300000。如果指定了 0,则表示身份验证没有时间限制。
时钟偏差容限 输入 Unified Access Gateway 时钟与相同网络上其他时钟之间允许的时间差(以秒为单位)。默认为 600 秒。 允许的最大系统 CPU 指示一分钟内允许的平均系统 CPU 使用情况上限。 超出已配置的 CPU 限制时,不允许启动新会话,并且客户端会收到 HTTP 503 错误,指示 Unified Access Gateway 设备暂时过载。此外,超出限制还允许负载均衡器将 Unified Access Gateway 设备标记为关闭,以便可以将新请求定向到其他 Unified Access Gateway 设备。
值以百分比为单位。
默认值为
100%。加入 CEIP 如果启用,将向 VMware 发送客户体验改进计划(“CEIP”)信息。有关详细信息,请参阅加入或退出客户体验改进计划。 启用 SNMP 切换到是可启用 SNMP 服务。简单网络管理协议将通过 Unified Access Gateway 收集系统统计信息、内存和 Tunnel Edge 服务 MIB 信息。可用的管理信息库 (Management Information Base, MIB) 列表: - UCD-SNMP-MIB::systemStats
- UCD-SNMP-MIB::memory
- VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
SNMP 版本 选择所需的 SNMP 版本。 注: 如果您已通过 PowerShell 部署 Unified Access Gateway,启用了 SNMP,但未通过 PowerShell 或 Unified Access Gateway 管理 UI 配置 SNMPv3 设置,则默认情况下将使用 SNMPv1 和 SNMPv2c 版本。有关在管理 UI 中配置 SNMPv3 设置的信息,请参阅#GUID-4E74559B-37E4-44C9-AA2D-55FA325FE114。
要通过 PowerShell 部署配置 SNMPv3 设置,必须将特定的 SNMPv3 设置添加到 INI 文件中。请参阅使用 PowerShell 部署 Unified Access Gateway 设备。
管理员免责声明文本 根据您组织的用户协议策略,输入免责声明文本。 为使管理员成功登录 Unified Access Gateway 管理 UI,管理员必须接受协议策略。
可以通过 PowerShell 部署或使用 Unified Access Gateway 管理 UI 来配置免责声明文本。有关 INI 文件中 PowerShell 设置的更多信息,请参阅使用 PowerShell 部署 Unified Access Gateway 设备。
在使用 Unified Access Gateway 管理 UI 配置此文本框时,管理员必须先登录到管理 UI,然后再配置免责声明文本。在管理员的后续登录中,系统会显示该文本,管理员需先接受此内容才能访问登录页面。
DNS 输入已添加到 /run/systemd/resolve/resolv.conf 配置文件的域名系统地址。其中必须包含有效的 DNS 搜索地址。单击“+”可添加新的 DNS 地址。 DNS 搜索 输入已添加到 /etc/resolv.conf 配置文件的域名系统搜索。其中必须包含有效的 DNS 搜索地址。单击“+”可添加新的 DNS 搜索条目。 NTP 服务器 可通过 NTP 服务器实现网络时间协议同步。可输入有效的 IP 地址和主机名。从 systemd-networkd.service 配置或者通过 DHCP 获取的任何每接口 NTP 服务器将优先于这些配置。单击“+”可添加新的 NTP 服务器。 备用 NTP 服务器 可通过备用 NTP 服务器实现网络时间协议同步。如果未找到 NTP 服务器信息,则将使用这些备用 NTP 服务器的主机名或 IP 地址。单击“+”可添加新的备用 NTP 服务器。 SSH 公钥 在使用公钥-私钥对选项时,请上载公钥以允许 root 用户访问 Unified Access Gateway。 管理员可以将多个唯一的公钥上载到 Unified Access Gateway。
仅当在部署过程中将以下 SSH 选项设置为
true时,此字段才会显示在管理 UI 中:启用 SSH 和允许使用密钥对进行 SSH root 登录。有关这些方法的信息,请参阅使用 OVF 模板向导部署 Unified Access Gateway。 - 单击保存。
下一步做什么
为部署 Unified Access Gateway 时使用的组件配置 Edge 服务设置。在配置 Edge 设置后,请配置身份验证设置。
