Namen und Ordner auswählen |
Name und Speicherort |
Geben Sie einen Namen für die virtuelle Unified Access Gateway-Appliance in das Feld Name der virtuellen Maschine ein. Der Name muss innerhalb des Bestandsordners eindeutig sein. Bei Namen wird die Groß- und Kleinschreibung beachtet. Wählen Sie einen Speicherort für die virtuelle Maschine aus der Liste aus. |
Wählen Sie eine Computing-Ressource |
Host/Cluster |
Wählen Sie den Host oder Cluster aus, auf dem die virtuelle Appliance ausgeführt werden soll. Ergebnis: Es werden Kompatibilitäts- und Validierungsprüfungen durchgeführt, um festzustellen, ob die Computing-Ressource die OVF unterstützen kann. |
Details überprüfen Überprüfen Sie die Details der OVF-Bereitstellung. |
Konfiguration |
Eine Bereitstellungskonfiguration auswählen |
Für ein IPv4- oder IPV6-Netzwerk können Sie eine, zwei oder drei Netzwerkschnittstellen (NICs) verwenden. Viele DMZ-Implementierungen verwenden getrennte Netzwerke zur Sicherung der verschiedenen Datenverkehrstypen. Konfigurieren Sie Unified Access Gateway entsprechend dem Netzwerkdesign der DMZ, in der die Bereitstellung erfolgt. Zusammen mit der Anzahl der Netzwerkkarten können Sie für Unified Access Gateway auch die Bereitstellungsoption Standard oder Groß auswählen.
Hinweis: VM-Optionen für die Bereitstellungen
Standard und
Groß:
- Standard – 2-Kern und 4 GB RAM
- Groß – 4-Kern und 16GB RAM
- Extragroß – 8-Kern und 32GB RAM
|
Speicher auswählen |
Format der virtuellen Festplatte auswählen |
Für Evaluierungs- und Testumgebungen wählen Sie das Format für eine schlanke Speicherzuweisung („Thin Provisioning“). Für Produktionsumgebungen wählen Sie eines der Formate für eine starke Speicherzuweisung („Thick Provisioning“). „Thick Provision Eager Zeroed“ ist ein Typ eines Thick-Formats virtueller Festplatten, das Clustering-Funktionen wie die Fehlertoleranz unterstützt, aber sehr viel mehr Zeit benötigt, um andere Typen virtueller Festplatten zu erstellen. |
VM-Speicherrichtlinie |
Datenspeicherstandard oder eine andere konfigurierte Speicherrichtlinie. Weitere Informationen finden Sie unter Speicherrichtlinien für virtuelle Maschinen in der VMware vSphere-Dokumentation unter VMware Docs. |
Netzwerke auswählen |
|
Wenn Sie einen vSphere Web Client verwenden, können Sie auf der Seite „Netzwerke auswählen“ jede Netzwerkkarte (NIC) einem Netzwerk zuordnen und Protokolleinstellungen festlegen. Ordnen Sie die Netzwerke in der OVF-Vorlage den Netzwerken in Ihrer Bestandsliste zu.
- Wenn Sie mehr als eine Netzwerkkarte verwenden, wählen Sie in der Zeile ManagementNetwork das Zielnetzwerk aus und geben Sie dann die IP-Adressen für den DNS-Server, das Gateway und die Netzmaske für dieses Netzwerk ein.
Wenn Sie nur eine NIC verwenden, werden alle Zeilen demselben Netzwerk zugeordnet.
- Wenn Sie über eine dritte Netzwerkkarte verfügen, müssen Sie auch die dritte Zeile auswählen und die Einstellungen vornehmen.
Wenn Sie nur zwei Netzwerkkarten verwenden, wählen Sie für die Zeile BackendNetwork dasselbe Netzwerk aus, das Sie bereits für ManagementNetwork verwendet haben.
- Wählen Sie die Zeile Internet aus und klicken Sie auf den Pfeil nach unten, um das Zielnetzwerk auszuwählen. Wenn Sie als IP-Protokoll IPv6 ausgewählt haben, müssen Sie das Netzwerk mit IPv6-Funktion auswählen.
Nach der Auswahl der Zeile können Sie auch die IP-Adressen für den DNS-Server, das Gateway und die Netzmaske im unteren Fensterabschnitt eingeben. Klicken Sie auf WEITER.
Hinweis: Ignorieren Sie das Dropdown-Menü
IP-Protokoll, wenn es angezeigt wird, und treffen Sie hier keine Auswahl. Die tatsächliche Auswahl des IP-Protokolls (IPv4/IPv6/beide) hängt davon ab, welcher IP-Modus bei der Anpassung der Netzwerkeigenschaften für „IP-Modus“ der NIC 1 (eth0), NIC 2 (eth1) und NIC 3 (eth2) angegeben ist. DNS-Server- und Standard-Gateway-Einstellungen sind global und keiner bestimmten Netzwerkkarte zugeordnet.
|
Vorlage anpassen |
Netzwerkeigenschaften |
Die Textfelder auf der Eigenschaftenseite sind speziell für Unified Access Gateway vorgesehen und für andere Typen von virtuellen Appliances möglicherweise nicht erforderlich. Der Text auf der Seite des Assistenten erläutert jede Einstellung. Wird der Text auf der rechten Seite des Assistenten abgeschnitten, vergrößern Sie das Fenster durch Ziehen an der Ecke rechts unten. Bei STATICV4 müssen Sie für jede Netzwerkkarte die IPv4-Adresse für die Netzwerkkarte eingeben. Bei STATICV6 müssen Sie für die Netzwerkkarte die IPv6-Adresse angeben. Wenn Sie die Textfelder leer lassen, wird standardmäßig die IP-Adresszuweisung DHCPV4+DHCPV6 verwendet.
Wichtig: Die neueste Version von
Unified Access Gateway akzeptiert keine Netzmasken- oder Präfixwerte und Standard-Gateway-Einstellungen vom Netzwerkprotokollprofil (NPP). Um
Unified Access Gateway mit statischer IP-Zuweisung zu konfigurieren, müssen Sie die Netzmaske/das Präfix in den Netzwerkeigenschaften konfigurieren. Diese Werte werden nicht vom NPP aufgefüllt.
Hinweis:
- Bei den Werten müssen Sie die Groß- und Kleinschreibung beachten.
- Bei der Bereitstellung von Unified Access Gateway mit dem vSphere HTML5-Client in vSphere 6.7 oder früher ist nur NIC1 (eth0) für die Konfiguration verfügbar. Für die Konfiguration stehen mehrere Netzwerkkarten zur Verfügung, wenn der vSphere HTML5-Client in vSphere 7.0 verwendet wird.
- IP-Modus für NIC1 (eth0): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6.
- Kommagetrennte Liste mit weitergegebenen Regeln im Formular {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu Beispielsweise für IPv4, tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443.
- NIC 1 (eth0) IPv4-Adresse. Geben Sie die IPv4-Adresse für die NIC ein, wenn Sie für den NIC-Modus STATICV4 festgelegt haben.
- Kommagetrennte Liste mit benutzerdefinierten IPV4-Routen für NIC (eth0) im Formular ipv4-network-address/bits ipv4-gateway-address. Beispiel: 20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
Hinweis: Wenn die
ipv4-Gateway-Adresse nicht angegeben wird, ist das Gateway der entsprechenden Weiterleitung, die hinzugefügt wird, 0.0.0.0.
- NIC 1 (eth0) IPv6-Adresse. Geben Sie die IPv6-Adresse für die NIC ein, wenn Sie für den NIC-Modus STATICV6 festgelegt haben.
- DNS-Server-Adressen. Geben Sie IPv4- oder IPv6-Adressen der Domänennamensserver für die Unified Access Gateway-Appliance ein. Trennen Sie diese jeweils durch Leerzeichen. Beispiel für einen IPv4-Eintrag: 192.0.2.1 192.0.2.2. Beispiel für einen IPv6-Eintrag: fc00:10:112:54::1
- DNS-Suchdomäne. Geben Sie eine durch Leerzeichen getrennte DNS-Suchliste ein.
- NIC 1 (eth0) IPv4-Netzmaske. Geben Sie die IPv4-Netzmaske für die Netzwerkkarte ein.
- NIC 1 (eth0) IPv6-Präfix. Geben Sie das IPv6-Präfix für die Netzwerkkarte ein.
- NIC1 (eth0) – Benutzerdefinierte Konfiguration. Geben Sie den benutzerdefinierten Konfigurationswert für die NIC im Format
SectionName^Parameter=Value ein. Ein Beispiel eines benutzerdefinierten Konfigurationseintrags lautet DHCP^UseDNS=false . Bei Verwendung dieses Werts wird die Nutzung der vom DHCP-Server bereitgestellten DNS-IP-Adressen deaktiviert. Unter Verwendung desselben Formats können Sie mehrere derartige systemd.network-Konfigurationseinträge hinzufügen, die durch Semikola getrennt sind.
- IPv4-Standard-Gateway. Geben Sie ein IPv4-Standard-Gateway ein, wenn Unified Access Gateway mit einer IP-Adresse kommunizieren muss, die sich nicht auf einem lokalen Segment einer Netzwerkkarte in Unified Access Gateway befindet.
- IPv6-Standard-Gateway. Geben Sie ein IPv6-Standard-Gateway ein, wenn Unified Access Gateway mit einer IP-Adresse kommunizieren muss, die sich nicht auf einem lokalen Segment einer Netzwerkkarte in Unified Access Gateway befindet.
|
Name der Unified Gateay-Appliance |
Geben Sie den Hostnamen der Appliance zur Identifizierung ein. Wenn Sie keinen Namen eingeben, wird dieser automatisch vom System generiert. |
Am CEIP teilnehmen |
Wählen Sie Programm zur Verbesserung der Benutzerfreundlichkeit beitreten aus, um am CEIP teilzunehmen. Deaktivieren Sie die Option, um das CEIP zu verlassen. |
Kennwortoptionen |
Benutzername für BS-Anmeldung |
Geben Sie den Benutzernamen für den Zugriff auf die lokale Konsole von Unified Access Gateway. Nach der Konfiguration wird ein neuer Benutzer mit sudo-Berechtigung mit dem angegebenen Benutzernamen erstellt und die Root-Anmeldung deaktiviert. Es sind nur a-z, 0-9, Unterstrich (_) und Bindestrich (-) erlaubt und die maximale Länge beträgt 32.
Hinweis: Lassen Sie dieses Feld leer, um den Root-Benutzer zu verwenden.
|
Kennwort für BS-Anmeldung |
Geben Sie das Kennwort für die Anmeldung am Betriebssystem ein. Dieses Kennwort gilt entweder für den Root- oder den benutzerdefinierten Benutzer, wie im Feld Benutzername für BS-Anmeldung konfiguriert. |
Kennwortablauf in Tagen für den BS-Benutzer |
Geben Sie die Richtlinie für den Ablauf des Kennworts für den BS-Benutzer ein. Wenn der Wert auf Null gesetzt ist, läuft das Kennwort nie ab. Die Standardeinstellung beträgt 365 Tage. |
Kennwortrichtlinie für die Mindestlänge |
Geben Sie die Mindestlänge des Kennworts ein. Der Standardwert ist 6. |
Kennwortrichtlinie für die Mindestanzahl von Zeichenklassen |
Geben Sie die Kennwortrichtlinie für die Mindestanzahl (1,2,3,4) von Zeichenklassen (Großbuchstaben, Kleinbuchstaben, Ziffern, andere) ein. |
Kennwortrichtlinie für die maximale Anzahl von Fehlversuchen |
Geben Sie die maximal zulässige Anzahl der Fehlversuche ein. Der Standardwert ist 3. |
Kennwortrichtlinie für die Entsperrzeit in Sekunden, bei Erreichen der maximalen Anzahl von Fehlversuchen. |
Geben Sie die Zeit in Sekunden ein, nach der das Kennwort entsperrt wird, wenn die maximale Anzahl von Fehlversuchen erreicht ist. Der Standardwert ist 900. |
Zeitüberschreitung bei Leerlauf der Sitzung für BS-Benutzer in Sekunden |
Geben Sie den Zeitüberschreitungswert für den Leerlauf der Sitzung für BS-Benutzer ein. Der Wert muss im Bereich zwischen 30 und 3600 Sekunden liegen. Der Ablauf der Sitzung ist deaktiviert, wenn dieser Wert auf Null (0) gesetzt ist. Der Standardwert ist 300. |
Maximaler Grenzwert für gleichzeitige Anmeldesitzungen für Sudo-Benutzer |
Geben Sie die maximale Anzahl gleichzeitiger Anmeldesitzungen für Benutzer mit Sudo-Berechtigungen ein. Wenn kein Sudo-Benutzer konfiguriert ist, wird diese Einstellung ignoriert. Der Standardwert ist 10 und der konfigurierbare Mindestwert ist 1. Es gibt keinen Höchstwert. |
Kennwort für den Admin-Benutzer, mit dem der REST API-Zugriff aktiviert wird |
Administratorkennwortrichtlinie für die Mindestlänge |
Geben Sie die Mindestlänge des Administratorkennworts ein. Der Standardwert ist 6. |
Administratorkennwortrichtlinie für die maximale Anzahl von Fehlversuchen |
Geben Sie die maximal zulässige Anzahl der Fehlversuche ein. Der Standardwert ist 3. |
Administratorkennwortrichtlinie für die Entsperrzeit in Minuten, bei Erreichen der maximalen Anzahl von Fehlversuchen |
Geben Sie die Zeit in Minuten ein, nach der das Administratorkennwort entsperrt wird, wenn die maximale Anzahl an Fehlversuchen erreicht ist. Der Standardwert lautet 5 Minuten. |
Zeitüberschreitung beim Leerlauf der Admin-Sitzung in Minuten |
Geben Sie den Zeitüberschreitungswert für den Leerlauf der Sitzung für den Administrator ein. Der Standardwert beträgt 10 und der Höchstwert 1440 Minuten. |
Maximale Anzahl gleichzeitiger Sitzungen für Benutzer der Verwaltungskonsole |
Geben Sie die maximale Anzahl der gleichzeitigen Anmeldesitzungen für den Administrator ein. Der Standardwert beträgt 5 und der Maximalwert 50. Wenn die maximale Anzahl der Sitzungen für einen Benutzer überschritten wird, läuft die am längsten nicht verwendete Sitzung ab. |
Compliance |
DISA STIG-Compliance aktivieren |
Legt die Betriebssystemkonfiguration so fest, dass sie den aktuellen Photon OS 3.0 DISA STIG Bereitschaftsrichtlinien entspricht. Aktivieren Sie dieses Kontrollkästchen, um die Kennwortkomplexität und andere STIG-Anforderungen automatisch zu konfigurieren.
Hinweis: Die Einstellung muss mit der FIPS-Version verwendet werden, wenn DISA STIG OS-Compliance erforderlich ist.
|
Systemeigenschaften |
SSH aktivieren |
Option zum Aktivieren von SSH für den Zugriff auf die Unified Access Gateway-VM. |
SSH-Root-Anmeldung mit Kennwort zulassen |
Option für den Zugriff auf die Unified Access Gateway-VM mithilfe einer SSH-Root-Anmeldung und eines SSH-Kennworts. Standardmäßig ist der Wert dieser Option auf true festgelegt. |
SSH-Anmeldung mit Schlüsselpaar zulassen |
Option für den Zugriff auf die Unified Access Gateway-VM mithilfe einer SSH-Root-Anmeldung und Schlüsselpaaren aus privatem und öffentlichem Schlüssel. Standardmäßig ist dieser Wert auf false festgelegt. Die Verwaltungsoberfläche von Unified Access Gateway enthält das Feld Öffentliche SSH-Schlüssel, in dem ein Administrator öffentliche Schlüssel hochladen kann, um dem konfigurierten oder dem Root-Benutzer den Zugriff auf Unified Access Gateway zu ermöglichen, wenn die Option für Schlüsselpaare aus privatem und öffentlichem Schlüssel verwendet wird. Damit dieses Feld in der Verwaltungsoberfläche verfügbar ist, muss der Wert dieser Option und SSH aktivieren zum Zeitpunkt der Bereitstellung selbst true lauten. Wenn eine dieser Optionen nicht true lautet, ist das Feld Öffentliche SSH-Schlüssel nicht in der Verwaltungsoberfläche verfügbar. Das Feld Öffentliche SSH-Schlüssel ist eine erweiterte Systemeinstellung in der Verwaltungsoberfläche. Siehe Konfigurieren der Unified Access Gateway-Systemeinstellungen. |
Bannertext der Anmeldeshell |
Option zur Anpassung des bei der Anmeldung bei Unified Access Gateway über SSH oder die Webkonsole des vSphere-Clients angezeigten Bannertexts. Diese Option kann nur zum Zeitpunkt der Bereitstellung konfiguriert werden. Wenn Sie diese Option nicht konfigurieren, wird der Standardtext angezeigt: VMware EUC Unified Access Gateway. Im benutzerdefinierten Text werden nur ASCII-Zeichen unterstützt. Bei mehrzeiligen Bannertexten muss \n als Zeilentrennzeichen verwendet werden.
Hinweis: Wenn
Unified Access Gateway mithilfe der OVF-Vorlage bereitgestellt wird und der Anmeldebannertext konfiguriert ist, zeigt die Webkonsole des
vSphere-Clients beim ersten Start von
Unified Access Gateway den Standardbannertext an, und der angepasste Bannertext wird ignoriert. Bei nachfolgenden Startvorgängen wird der angepasste Bannertext angezeigt.
|
SSH-Schnittstelle |
Konfigurieren Sie die Netzwerkschnittstelle, auf der die SSH-Anmeldung aktiviert ist. SSH ist standardmäßig auf allen Schnittstellen aktiviert. Die unterstützten Werte sind je nach Konfiguration eth0 , eth1 und eth2 . |
SSH-Port |
Konfigurieren Sie den Port, auf dem SSH aktiviert ist. Der Standardwert lautet 22 . |
Beim ersten Start auszuführende Befehle |
Geben Sie eine durch Semikolon getrennte Liste von Befehlen im Klartext- oder base64-kodierten Format ein, die beim ersten Start von Unified Access Gateway ausgeführt werden sollen. Die maximale Größe beträgt 8 KB. Weitere Informationen finden Sie unter Konfigurierbare Startzeitbefehle für den ersten Start und jeden Startvorgang. |
Bei jedem Startvorgang auszuführende Befehle |
Geben Sie eine durch Semikolon getrennte Liste von Befehlen im Klartext- oder base64-kodierten Format ein, die bei jedem Start von Unified Access Gateway ausgeführt werden sollen. Die maximale Größe beträgt 8 KB. Weitere Informationen finden Sie unter Konfigurierbare Startzeitbefehle für den ersten Start und jeden Startvorgang. |
SecureRandom-Quelle |
Ermöglicht Ihnen die Konfiguration der sicheren Zufallsbitgeneratorquelle, die von Java-Prozessen für kryptografische Funktionen verwendet wird. Diese Option kann nur zum Zeitpunkt der Bereitstellung konfiguriert werden. Unterstützte Werte lauten: /dev/random und /dev/urandom . Standardmäßig wird /dev/random im Nicht-FIPS-Modus und /dev/urandom im FIPS-Modus verwendet. |