Unified Access Gateway mit Horizon ist NIAP/CSfC-konform, und die Validierung erfordert eine bestimmte Konfiguration in der Unified Access Gateway-Appliance, die für den NIAP/CSfC-Vorgang erforderlich ist.

Die Konfigurationsänderungen werden wie folgt aufgelistet:

  1. Stellen Sie die FIPS-Version von Unified Access Gateway auf VMware vSphere 7 oder höher bereit.
  2. Konfigurieren Sie die folgenden Parameter bei der Bereitstellung.
    Hinweis: Sie können diese Parameter nur während der Bereitstellung konfigurieren. Wenn Sie die Konfiguration nicht bei der Bereitstellung vornehmen, enthält Unified Access Gateway die Standardwerte.
    Parameter Beschreibung
    Root Password Management Policies
    passwordPolicyMinLen Mindestlänge des Root-Kennworts
    passwordPolicyMinClass Mindestkomplexität des Root-Kennworts
    rootPasswordExpirationDays Anzahl der Tage, nach denen das Root-Kennwort zwingend zurückgesetzt werden muss
    passwordPolicyFailedLockout Anzahl der fehlgeschlagenen Anmeldeversuche, nach denen der Root-Benutzerzugriff vorübergehend gesperrt wird
    passwordPolicyUnlockTime Dauer in Sekunden, nach der der Root-Benutzer nach einer vorübergehenden Sperre entsperrt wird
    rootSessionIdleTimeoutSeconds Dauer in Sekunden, nach der eine Sitzung des Root-Benutzers im Leerlauf abläuft
    Admin Password Management Policies
    adminpasswordPolicyMinLen Mindestlänge des Administratorkennworts
    adminpasswordPolicyFailedLockoutCount Anzahl der fehlgeschlagenen Anmeldeversuche, nach denen der Admin-Benutzerzugriff vorübergehend gesperrt wird
    adminpasswordPolicyUnlockTime

    Dauer in Sekunden, nach der der Admin-Benutzer nach einer vorübergehenden Sperre entsperrt wird
    adminSessionIdleTimeoutMinutes Dauer in Sekunden, nach der eine Sitzung des Admin-Benutzers im Leerlauf abläuft
    Other Parameters
    Anmeldebannertext

    Der Bannertext, der während der SSH- oder Webkonsolenanmeldung angezeigt wird
    SecureRandom-Quelle

    Dieser Parameter muss auf /dev/random festgelegt werden

    Weitere Informationen zu diesen Parametern und den zugehörigen Werten finden Sie unter Ausführen des PowerShell-Skripts zum Bereitstellen von Unified Access Gateway im Handbuch Bereitstellen und Konfigurieren von VMware Unified Access Gateway auf VMware Docs.

  3. Generieren Sie die CSR für TLS-Zertifikate und binden Sie signierte Zertifikate für Unified Access Gateway-Admin- und öffentliche Schnittstellen. Weitere Informationen finden Sie unter Erzeugen einer Zertifikatssignieranforderung und eines privaten Schlüssels mithilfe des Befehls „uagcertutil“ im Handbuch Bereitstellen und Konfigurieren von VMware Unified Access Gateway auf VMware Docs.
    Hinweis: Stellen Sie sicher, dass alle Zertifikate in der Kette über SHA-384-Signaturen verfügen. Jede Nichtübereinstimmung von Signaturalgorithmen in den Zertifikaten und den TLS-Konfigurationen unter „Systemeinstellungen“ kann zu TLS-Handshake-Fehlern und zum Verlust des Zugriffs auf den Server führen.
  4. Konfigurieren Sie die folgenden Parameter im Abschnitt „Systemkonfiguration“ der Admin-Benutzeroberfläche. Weitere Informationen zu diesen Parametern finden Sie unter Konfigurieren der Unified Access Gateway-Systemeinstellungen im Handbuch Bereitstellen und Konfigurieren von VMware Unified Access Gateway auf VMware Docs.
    1. Konfigurieren Sie TLS-Serververschlüsselungs-Suites wie folgt: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384.
    2. Konfigurieren sie TLS-Clientverschlüsselungs-Suites wie folgt: 
      TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
    3. Konfigurieren Sie SSL-Anbieter wie folgt: JDK.
    4. Konfigurieren Sie benannte TLS-Gruppen wie folgt: secp256r1,secp384r1,secp521r1,ffdhe2048,ffdhe3072,ffdhe4096,ffdhe6144,ffdhe8192.
    5. Konfigurieren Sie TLS-Signaturschemata wie folgt: rsa_pkcs1_sha384.
    6. Konfigurieren Sie den Text des Haftungsausschlusses für Administratoren.
    7. Aktivieren Sie die Umschaltoption Uhrzeitsynchronisierung mit Host.
    8. Aktivieren Sie die Umschaltoption Erweiterte Validierung des Serverzertifikats.
      Hinweis: Unified Access Gateway unterstützt keine LDAP-URLs für CRLs, nur HTTP-URLs werden unterstützt.
  5. Konfigurieren Sie die Syslog-Servereinstellungen mit dem TLS-Protokoll. Weitere Informationen zu diesen Einstellungen finden Sie unter Konfigurieren von Syslog-Servereinstellungen im Handbuch Bereitstellen und Konfigurieren von VMware Unified Access Gateway auf VMware Docs.
    Hinweis: Beim Syslog-Serverzertifikat muss extendedKeyUsage als kritische Erweiterung markiert sein.
      1. Klicken Sie auf Auswählen um das TLS-Syslog-Clientzertifikat und den TLS-Syslog-Clientzertifikatsschlüssel hochzuladen.
      2. Aktivieren Sie die Umschaltoption Syslog enthält Systemnachrichten.
      3. Klicken Sie auf Syslog-Eintrag hinzufügen, um der Tabelle einen neuen Syslog-Eintrag mit den folgenden Details hinzuzufügen.
        1. Legen Sie Kategorie auf All Events fest.
        2. Legen Sie das Protokoll auf TLS fest.
        3. Fügen Sie Host und Port des Syslog-Servers hinzu.
      4. Klicken Sie auf Auswählen, um das vertrauenswürdige CA-Zertifikat hochzuladen.
      5. Klicken Sie auf Hinzufügen, um den neuen Eintrag zu speichern, und klicken Sie auf Speichern, um die Syslog-Einstellungen zu speichern.
  6. Konfigurieren und aktivieren Sie die Einstellung für die X509-Zertifikatsauthentifizierung. Weitere Informationen zu diesen Einstellungen finden Sie unter Konfigurieren der Zertifikatsauthentifizierung auf Unified Access Gateway im Handbuch Bereitstellen und Konfigurieren von VMware Unified Access Gateway auf VMware Docs.
    1. Öffnen Sie die X.509-Zertifikatkonfiguration unter Authentifizierungseinstellungen.
    2. Aktivieren Sie die Umschaltoption X.509-Zertifikat aktivieren.
    3. Klicken Sie auf Auswählen um die vertrauenswürdigen Root- und Zwischen-CA-Zertifikate des Clients im PEM-Format hochzuladen.
    4. Aktivieren Sie die Umschaltoption Zurückrufen von Zertifikaten.
    5. Konfigurieren Sie die CRL-basierte Überprüfung des Zertifikatswiderrufs. Sie können entweder eine URL zum Abrufen der CRL konfigurieren oder die Details aus der Zertifikatskette selbst lesen.
    6. Speichern Sie die Konfiguration der Einstellungen für die X.509-Zertifikatsauthentifizierung.
  7. Generieren Sie die Einstellungen für den SAML-Identitätsanbieter und konfigurieren Sie die Einstellungen für den SAML-Dienstanbieter.
    1. Öffnen Sie die SAML-Einstellungen und erweitern Sie die Einstellungen für den SAML-Identitätsanbieter.
    2. Generieren Sie die Identitätsanbietereinstellungen, indem Sie den privaten Schlüssel und die Zertifikatskette (signiert mit dem RSA+SHA384-Algorithmus) hochladen. Weitere Informationen finden Sie unter Erzeugen von SAML-Metadaten für Unified Access Gateway im Handbuch Bereitstellen und Konfigurieren von VMware Unified Access Gateway auf VMware Docs.
    3. Laden Sie die generierte XML-Datei mit den Einstellungen für Identitätsanbieter herunter, indem Sie einen externen Hostnamen von Unified Access Gateway angeben.
    4. Laden Sie die XML-Datei auf den Verbindungsserver hoch und laden Sie die SAML-Metadaten-XML herunter. Weitere Informationen finden Sie unter Konfigurieren der SAML-Authentifizierung für die Verwendung von True SSO in der VMware Horizon-Produktdokumentation unter VMware Docs.
    5. Klicken Sie auf SAML-Einstellungen und erweitern Sie die Einstellungen für den SAML-Dienstanbieter.
    6. Geben Sie einen Dienstanbieternamen ein und fügen Sie den Inhalt der SAML-Metadaten-XML ein. Weitere Informationen finden Sie unter Kopieren der SAML-Metadaten des Dienstanbieters auf Unified Access Gateway im Handbuch Bereitstellen und Konfigurieren von VMware Unified Access Gateway auf VMware Docs.
    7. Speichern Sie die Einstellungen für den SAML-Dienstanbieter.