Unified Access Gateway können mithilfe von PowerShell-Skripts bereitgestellt werden. Sie müssen grundlegende Parameter in der. INI-Datei für die Bereitstellung konfigurieren.

Parameter im Abschnitt [Allgemein]

Die Parameter im Abschnitt [Allgemein] gelten für alle Hypervisoren.

INI-Parameter Beschreibung
adminMaxConcurrentSessions

Ermöglicht Ihnen, den Grenzwert für gleichzeitige Administratorsitzungen zu konfigurieren.

Der Standardwert lautet 5.

Der unterstützte Bereich ist 1-50.

Wenn dieser Wert auf 1 festgelegt ist, sind keine gleichzeitigen Sitzungen zulässig.

Wenn Sie eine neue Sitzung erstellen möchten, während die Anzahl der gleichzeitigen Sitzungen bereits den Grenzwert erreicht hat, wird die zuletzt verwendete Sitzung ungültig.

adminpasswordPolicyUnlockTime Dauer (in Minuten), für die die Unified Access Gateway-Verwaltungsoberfläche nach der konfigurierten Anzahl von fehlgeschlagenen Anmeldeversuchen durch den Admin-Benutzer gesperrt wird.

Nach der Sperrung wird die Unified Access Gateway-Verwaltungsoberfläche entsperrt und der Admin-Benutzer kann auf die Benutzeroberfläche zugreifen.

Der Standardwert lautet 5 Minuten.

adminSessionIdleTimeoutMinutes Dauer (in Minuten), für die sich die Sitzung der Unified Access Gateway-Verwaltungsoberfläche im Leerlauf befunden hat. Nach Überschreitung dieses Zeitraums wird die Verwaltungsoberfläche automatisch abgemeldet.

Der Standardwert lautet 10 Minuten.

Der Maximalwert lautet 1440 Minuten.

Wenn der Parameterwert 0 lautet, läuft die Sitzung nicht ab, obwohl sie sich im Leerlauf befindet.

ceipEnabled Wenn der Wert auf TRUE gesetzt ist, werden Informationen des Programms zur Verbesserung der Benutzerfreundlichkeit (CEIP) an VMware gesendet. Weitere Informationen finden Sie unter „Beitreten bzw. Verlassen des Programm zur Verbesserung der Benutzerfreundlichkeit“.
communityName Ein gültiger communityName unterliegt der Groß- und Kleinschreibung und kann Sonderzeichen enthalten.
CustomConfig (eth0CustomConfig, eth1CustomConfig, eth2CustomConfig) Die benutzerdefinierten Konfigurationswerte, die zu den systemd.network-Dateien hinzugefügt werden müssen, können in folgendem Format angegeben werden: SectionName^Parameter=Value

Die nachfolgend aufgeführten Konfigurationsoptionen werden derzeit unterstützt. Wenn mehrere Optionen benötigt werden, müssen sie durch Semikolons getrennt werden:

  • DHCP^UseDNS=false

    Bei Verwendung dieses Werts wird die Nutzung der vom DHCP-Server bereitgestellten DNS-IP-Adressen deaktiviert.

  • Network^DNSOverTLS=yes;Network^DNS=192.168.1.153#dns.example.com;Network^Domains=~.;DHCP^UseDNS=false;DHCP^UseDomains=false;

    Bei Verwendung dieses Werts werden DNS-Abfragen über TLS für den jeweiligen DNS-Server aktiviert.

Beispiele für benutzerdefinierte Konfigurationswerte für das Ethernet (0,1 und 2) sind im Abschnitt [Allgemein] der INI-Beispieldatei enthalten.

deploymentoption UAG kann mit einer, zwei oder drei Netzwerkschnittstellenkarten (NICs) erstellt werden. Geben Sie entweder onenic, twonic oder threenic an. Der Standardwert ist onenic. Dies gilt für die standardmäßige Bereitstellung von 2 vCPU mit 4 GB RAM.

Es ist auch die Angabe von onenic-large, twonic-large, threenic-large, onenic-XL, twonic-XL oder threenic-XL möglich. Die großen Optionen stellen UAG als 4 vCPU 8 GB RAM und die besonders großen (XL)-Optionen stellen UAG als 8 vCPU und 32 GB RAM bereit.

dsComplianceOS

Der Standardwert lautet false.

Wenn dieses Boolesche Flag auf true festgelegt ist, entspricht die Betriebssystemkonfiguration dem aktuellen Photon OS 4.0 DISA STIG Readiness Guide. Die Kennwortkomplexität und andere STIG-Anforderungen werden automatisch konfiguriert.

Hinweis: Die Einstellung muss mit der FIPS-Version verwendet werden, wenn DISA STIG OS-Compliance erforderlich ist.
headersToBeLogged

Geben Sie eine angepasste, kommagetrennte Liste der zu protokollierenden Kopfzeilen ein.

Beispiel: X-Forwarded-Host,host,X-Forwarded-For,X-Forwarded-Proto

Der Standardwert für dieses Feld ist auf X-Forwarded-For festgelegt und enthält die Details für Username, Client build und Client version.

osLoginUsername

Geben Sie während der Unified Access Gateway-Bereitstellung einen benutzerdefinierten Benutzernamen des Benutzers mit umfassenden Berechtigungen ein.

Die maximale Länge des Benutzernamens beträgt 32 Zeichen und kann eine Kombination aus a-z, 0-9, Unterstrichen _ und Bindestrichen - sein.

Wenn dieser Benutzer konfiguriert ist, wird die Root-Anmeldung deaktiviert.

osMaxLoginLimit

Ermöglicht Ihnen die Konfiguration des Grenzwerts für gleichzeitige Anmeldungen bei der lokalen Unified Access Gateway-Konsole mithilfe eines Nicht-Root-Benutzers mit umfassenden Berechtigungen.

Der Standardwert lautet 10.

Hinweis: Diese Konfiguration ist nur wirksam, wenn ein Nicht-Root-Benutzer (osLoginUsername) für die Anmeldung an die lokale Unified Access Gateway-Konsole konfiguriert ist. Es gibt keine Beschränkung für die gleichzeitigen Anmeldungen des Root-Benutzers.
passwordPolicyFailedLockout Anzahl der fehlgeschlagenen Anmeldeversuche, die für den Root-Benutzer für den Zugriff auf die Unified Access Gateway-Konsole zulässig sind.

Der Standardwert lautet 3.

passwordPolicyMinClass Mindestanzahl der Klassen von Zeichentypen, die zum Konfigurieren der Komplexität des Root-Kennworts verwendet werden können.

Die Klassen von Zeichentypen lauten wie folgt: Großbuchstaben, Kleinbuchstaben, Ziffern und andere.

Der Standardwert lautet 1.

Dieser Parameter kann mit den folgenden Werten konfiguriert werden: 1, 2, 3 und 4.

Wenn der Parameter über den Standardwert verfügt, können Sie Zeichen aus allen vier Klassen verwenden. Wenn der Parameterwert 1 lautet, können Sie Zeichen aus einer beliebigen Klasse verwenden.

passwordPolicyMinLen Mindestlänge des Root-Benutzerkennworts.

Der Standardwert dieses Parameters ist 6.

Der Maximalwert für diesen Parameter ist 64.

passwordPolicyUnlockTime Dauer, für die die Unified Access Gateway-Konsole nach der konfigurierten Anzahl von fehlgeschlagenen Anmeldeversuchen durch den Root-Benutzer gesperrt wird.

Nach der Sperrung wird die Unified Access Gateway-Konsole entsperrt und der Root-Benutzer kann auf die Konsole zugreifen.

Der Standardwert lautet 900 Sekunden.

rootPasswordExpirationDays Kennwortablaufrichtlinie für die Root-Benutzer.

Das Kennwort läuft standardmäßig nach 365 days ab.

Um den Ablauf des Kennworts zu verhindern, kann die Ablaufzeit auf 0 festgelegt werden.

rootSessionIdleTimeoutSeconds Dauer (in Sekunden), für die sich die Sitzung der Unified Access Gateway-Konsole im Leerlauf befunden hat. Nach dieser Zeitüberschreitung meldet sich die Konsole automatisch ab.

Bei der Anmeldung bei Unified Access Gateway mit SSH in Microsoft Azure ist der Standardwert dieses Parameters 180 Sekunden. Für andere Plattformen wird ein Wert von 300 Sekunden verwendet.

Für Sitzungen der seriellen Konsole lautet der Standardwert 900 Sekunden.

Der Maximalwert für diesen Parameter ist 3600 Sekunden.

secureRandomSource Ermöglicht Ihnen die Konfiguration der sicheren Zufallsbitgeneratorquelle, die von Java-Prozessen für kryptografische Funktionen verwendet wird.

Diese Option kann nur zum Zeitpunkt der Bereitstellung konfiguriert werden.

Unterstützte Werte lauten: /dev/random und /dev/urandom. Standardmäßig wird /dev/random im Nicht-FIPS-Modus und /dev/urandom im FIPS-Modus verwendet.

sshEnabled Wenn dieser Parameter auf true gesetzt ist, wird der SSH-Zugriff in der bereitgestellten Appliance automatisch aktiviert.

Wenn er auf false gesetzt wird, ist SSH nicht aktiviert.

Hinweis: VMware empfiehlt in der Regel nicht, SSH in Unified Access Gateway zu aktivieren, außer in bestimmten Situationen und wenn der Zugriff eingeschränkt werden kann.

Das Aktivieren des SSH-Zugriffs bei Unified Access Gateway-Bereitstellungen für vSphere, Hyper-V oder Microsoft Azure ist im Allgemeinen nicht erforderlich, da bei diesen Plattformen ein Zugriff über die Konsole möglich ist.

In Fällen, in denen SSH aktiviert ist, muss der Zugriff auf TCP-Port 22 bei Firewalls oder Sicherheitsgruppen auf die Quell-IP-Adressen einzelner Administratoren eingeschränkt werden.

sshInterface

Konfigurieren Sie die Netzwerkschnittstelle, auf der die SSH-Anmeldung aktiviert ist.

SSH ist standardmäßig auf allen Schnittstellen aktiviert.

Die unterstützten Werte sind je nach Konfiguration eth0, eth1 und eth2.

sshLoginBannerText Option zur Anpassung des bei der Anmeldung bei Unified Access Gateway über SSH oder die Webkonsole des vSphere-Clients angezeigten Bannertexts.

Diese Option kann nur zum Zeitpunkt der Bereitstellung konfiguriert werden. Wenn Sie diesen Parameter nicht konfigurieren, wird als Standardtext VMware EUC Unified Access Gateway angezeigt.

Im benutzerdefinierten Text werden nur ASCII-Zeichen unterstützt. Bei mehrzeiligen Bannertexten muss \n als Zeilentrennzeichen verwendet werden.

sshPort

Konfigurieren Sie den Port, auf dem SSH aktiviert ist.

Der Standardwert lautet 22.

Parameter für vSphere- oder Hyper-V-Bereitstellung

Konfigurieren Sie diese zusätzlichen Parameter nur, wenn Sie Unified Access Gateway auf vSphere oder Hyper-V bereitstellen.

INI-Parameter Beschreibung
defaultGateway
Gibt die Standard-Gateway-Adresse für die UAG-Appliance an. Wird in den folgenden Fällen verwendet:
  • Netzwerkprotokollprofile in vSphere enthalten kein Standard-Gateway.
  • Für die Vermeidung von Mehrdeutigkeiten, wenn mehrere Netzwerkprotokollprofile verwendet werden, die jeweils ein anderes Gateway angeben. Eine Appliance kann nur über ein Standard-Gateway verfügen, und dieser Wert kann verwendet werden, um es explizit anzugeben.

Zusätzlich zum defaultGateway können Routen für andere Gateways mithilfe der Einstellung routes0, routes1 und routes2 für jede Netzwerkkarte (NIC) hinzugefügt werden.

Beispiel: 10.108.168.xxx

ds Name des Datenspeichers, auf dem die Appliance bereitgestellt wird.

Beispiel: ds=Local Disk 1

folder
Nicht vergessen: Diese Einstellung gilt nur für vSphere Bereitstellung.
Gibt den Ordner an, in dem die VM erstellt wird. Stellt die Appliance im benannten Ordner „VMs und Vorlagen“ bereit. Ordner in vCenter werden unter VMs und Vorlagen angezeigt. Der angegebene Ordner muss vor der Bereitstellung vorhanden sein.
ip0 Die IPv4-Adresse für NIC0.
ipmode0 Der IPMode für NIC1 (eth0), NIC2 (eth1) und NIC3 (eth2). Die unterstützten Modi sind
STATICV4/ STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/
STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/
DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6
netBackendNetwork Der Name des UAG-Backend-Netzwerks.
netInternet Der Name des primären UAG-Netzwerks.
netManagementNetwork Der Name des UAG-Verwaltungsschnittstellennetzwerks.
netmask0 Die IPv4-Netzmaske für NIC0 (onenic, twonic oder threenic).
source

Laden Sie die Quelldatei aus dem Customer Connect-Portal herunter.

  • vSphere – vollständiger Pfaddateiname des UAG.VM-Image ova.
  • Hyper-V – vollständiger Pfaddateiname des UAG.VM-Image vhdx.

Beispiel:

  • vSphere C:\Users\Administrator\Desktop\UAG Resources\euc-unified-access-gateway-21.00.0.0-13578272_OVF.ova
  • Hyper-V C:\Users\Administrator\VHDX\euc-unified-access-gateway-21.00.0.0-13578272_OVF10.vhdx
target
Nicht vergessen: Diese Einstellung gilt nur für vSphere Bereitstellung.

Gibt die vCenter Server-Informationen und die Ziel-ESX Hosts an. Weitere Informationen zur Zielsyntax finden Sie im Benutzerhandbuch des OVF-Tools.

Beachten Sie, dass das Ziel auf einen vCenter-Host oder -Cluster verweisen muss. Die direkte Bereitstellung auf einem vSphere-Host wird nicht unterstützt. In diesem Beispiel ist 192.168.0.21 die IP-Adresse des vCenter-Hosts und [email protected] der Benutzername des vCenter-Administrators.

Bei den im Zielwert verwendeten Ordner-, Host- und Clusternamen wird die Groß-/Kleinschreibung beachtet.

Wenn Sie sich nicht sicher sind, welchen Wert Sie für das Ziel verwenden möchten, können Sie Ordnernamen usw. weglassen. und OVF Tool stellt dann eine Liste möglicher Werte für die nächste Ebene bereit. Auf diese Weise können Sie die vollständige Zielspezifikation stufenweise exakt erstellen.

Beispiel:

target=vi://[email protected]@192.168.0.21/DC1/host/my folder/esx1.myco.int