Auf den Verwaltungsseiten können Sie konfigurieren, welche Sicherheitsprotokolle und kryptographischen Algorithmen zur Verschlüsselung der Kommunikation zwischen Clients und der Unified Access Gateway-Appliance verwendet werden.

Voraussetzungen

  • Überprüfen Sie die Unified Access Gateway-Bereitstellungseigenschaften. Die folgenden Informationen sind erforderlich:
    • Statische IP-Adresse für die Unified Access Gateway-Appliance
    • IP-Adressen der DNS-Server
      Hinweis: Maximal zwei IP-Adressen können für den DNS-Server angegeben werden.

      Unified Access Gateway verwendet nur dann die öffentlichen DNS-Standardadressen für einen Fallback der Plattform, wenn Unified Access Gateway keine DNS-Serveradressen entweder als Teil der Konfigurationseinstellungen oder über DHCP bereitgestellt werden.

    • Kennwort für die Verwaltungskonsole
    • URL der Serverinstanz des Load Balancers, auf den die Unified Access Gateway-Appliance verweist
    • Syslog-Server-URL für das Speichern der Ereignisprotokolldateien

Prozedur

  1. Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
  2. Klicken Sie im Bereich „Erweiterte Einstellungen“ auf das Zahnradsymbol für die Systemkonfiguration.
  3. Bearbeiten Sie die folgenden Konfigurationswerte für die Unified Access Gateway-Appliance.
    Option Standardwert und Beschreibung
    UAG-Name Der eindeutige Unified Access Gateway-Appliance-Name.
    Hinweis: Der Appliance-Name kann aus einer Textzeichenfolge von bis zu 24 Zeichen bestehen, die Buchstaben (A-Z), Ziffern (0-9), Minuszeichen (-) und Punkte (.) enthalten. Der Appliance-Name darf jedoch keine Leerzeichen enthalten.
    Gebietsschema

    Legt das Gebietsschema für die Ausgabe von Fehlermeldungen fest.

    • en_US für amerikanisches Englisch. Hierbei handelt es sich um die Standardeinstellung.
    • ja_JP für Japanisch
    • fr_FR für Französisch
    • de_DE für Deutsch
    • zh_CN für Vereinfachtes Chinesisch
    • zh_TW für Traditionelles Chinesisch
    • ko_KR für Koreanisch
    • es für Spanisch
    • pt_BR für brasilianisches Portugiesisch
    • en_GB für britisches Englisch
    TLS-Serververschlüsselungs-Suites Geben Sie eine kommagetrennte Liste von Verschlüsselungs-Suites ein, bei denen es sich um kryptografische Algorithmen handelt, die zum Verschlüsseln von eingehenden TLS-Verbindungen mit Unified Access Gateway verwendet werden.

    Diese Option wird mit einigen anderen Optionen wie TLS-Versionen, benannten Gruppen, Signaturschemata usw. verwendet, die beim Aktivieren verschiedener Sicherheitsprotokolle verwendet werden.

    Die im FIPS-Modus unterstützten TLS-Serververschlüsselungs-Suites lauten wie folgt:
    • Standardmäßig aktivierte Verschlüsselungs-Suites:
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • Verschlüsselungs-Suites, die unterstützt werden und manuell konfiguriert werden können:
      • TLS_RSA_WITH_AES_256_CBC_SHA256
      • TLS_RSA_WITH_AES_128_CBC_SHA256
      • TLS_RSA_WITH_AES_256_CBC_SHA
      • TLS_RSA_WITH_AES_128_CBC_SHA
    Die standardmäßigen TLS-Serververschlüsselungs-Suites, die im Nicht-FIPS-Modus unterstützt werden, lauten wie folgt:
    • TLS_AES_128_GCM_SHA256
    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Diese Option kann während der PowerShell-Bereitstellung durch Hinzufügen des Parameters cipherSuites in der ini-Datei konfiguriert werden. Siehe Ausführen eines PowerShell-Skripts für die Bereitstellung.
    TLS-Clientverschlüsselungs-Suites Geben Sie eine kommagetrennte Liste von Verschlüsselungs-Suites ein, bei denen es sich um kryptografische Algorithmen handelt, die zum Verschlüsseln ausgehender TLS-Verbindungen mit Unified Access Gateway verwendet werden.

    Diese Option wird mit einigen anderen Optionen wie TLS-Versionen, benannten Gruppen, Signaturschemata usw. verwendet, die beim Aktivieren verschiedener Sicherheitsprotokolle verwendet werden.

    Die folgenden Verschlüsselungs-Suites werden im FIPS-Modus unterstützt:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
    • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_RSA_WITH_AES_256_CBC_SHA256
    • TLS_RSA_WITH_AES_128_CBC_SHA256
    • TLS_RSA_WITH_AES_256_CBC_SHA
    • TLS_RSA_WITH_AES_128_CBC_SHA

    Im Nicht-FIPS-Modus können standardmäßig alle Verschlüsselungs-Suites verwendet werden, die von der SSL-Bibliothek (Java/Open SSL) unterstützt werden.

    Diese Option kann während der PowerShell-Bereitstellung durch Hinzufügen des Parameters outboundCipherSuites in der ini-Datei konfiguriert werden. Siehe Ausführen eines PowerShell-Skripts für die Bereitstellung.
    Minimale SHA-Hash-Größe Wählen Sie die minimale SHA-Hash-Größe für Horizon-Protokolle und alle Nicht-Horizon-Verbindungen während der Kommunikation und für die Spezifikation des Zertifikatfingerabdrucks aus.

    SHA-256 ist die Standardeinstellung. Die unterstützten Sha-Hash-Größenwerte sind: SHA-1, SHA-256, SHA-384 und SHA-512. SHA-1 wird nicht empfohlen.
    TLS 1.1 aktivieren Diese Umschaltoption ist standardmäßig deaktiviert.

    Aktivieren Sie diese Umschaltoption, um das TLS 1.1-Sicherheitsprotokoll zu aktivieren.
    TLS 1.2 aktivieren Standardmäßig ist diese Umschaltoption aktiviert.

    Das Sicherheitsprotokoll TLS 1.2 ist aktiviert.

    Aktivieren Sie TLS 1.2 und TLS 1.3 (nur Nicht-FIPS) Standardmäßig ist diese Umschaltoption aktiviert.

    Die Sicherheitsprotokolle TLS 1.2 und TLS 1.3 sind aktiviert.
    SSL-Anbieter Wählen Sie die SSL-Anbieterimplementierung aus, die für die Verarbeitung von TLS-Verbindungen verwendet wird.

    Um TLS Named Groups und TLS Signature Schemes zu konfigurieren, muss der Wert dieser Option JDK lauten. Standardmäßig ist der Wert dieser Option auf OPENSSL festgelegt.

    Hinweis: Wenn der Wert dieser Option JDK lautet, wird die OCSP-basierte Zertifikatswiderrufprüfung nicht unterstützt. Allerdings wird die CRL-basierte Zertifikatswiderrufprüfung unterstützt.

    Alle Änderungen an dieser Option führen dazu, dass Unified Access Gateway-Dienste neu gestartet werden. Laufende Unified Access Gateway-Sitzungen werden während des Neustarts nicht beibehalten.

    Diese Option kann während der PowerShell-Bereitstellung durch Hinzufügen des Parameters sslProvider in der ini-Datei konfiguriert werden. Siehe Ausführen eines PowerShell-Skripts für die Bereitstellung.
    Benannte TLS-Gruppen Ermöglicht es dem Administrator, die gewünschten benannten Gruppen (elliptische Kurven) aus einer Liste unterstützter benannter Gruppen zu konfigurieren, die für den Schlüsselaustausch während des SSL-Handshakes verwendet werden.

    Diese Option ermöglicht kommagetrennte Werte. Einige der unterstützten benannten Gruppen lauten wie folgt: secp256r1, secp384r1, secp521r1.

    Um diese Option zu konfigurieren, stellen Sie sicher, dass die Option SSL Provider auf JDK festgelegt ist. Andernfalls ist die Option TLS Named Groups deaktiviert. Alle Änderungen an dieser Option führen dazu, dass Unified Access Gateway-Dienste neu gestartet werden. Laufende Unified Access Gateway-Sitzungen werden während des Neustarts nicht beibehalten.

    Diese Option kann während der PowerShell-Bereitstellung durch Hinzufügen des Parameters tlsNamedGroups in der ini-Datei konfiguriert werden. Siehe Ausführen eines PowerShell-Skripts für die Bereitstellung.
    TLS-Signaturschemata Ermöglicht dem Administrator, die unterstützten TLS-Signaturalgorithmen zu konfigurieren, die für die Schlüsselvalidierung während des SSL-Handshakes verwendet werden.

    Diese Option ermöglicht kommagetrennte Werte. Beispiel: Einige der unterstützten Signaturschemata lauten wie folgt: rsa_pkcs1_sha, rsa_pkcs1_sha256, rsa_pkcs1_sha384, rsa_pss_rsae_sha256 und rsa_pss_rsae_sha384.

    Um diese Option zu konfigurieren, stellen Sie sicher, dass die Option SSL Provider auf JDK festgelegt ist. Andernfalls ist die Option TLS Signature Schemes deaktiviert. Alle Änderungen an dieser Option führen dazu, dass Unified Access Gateway-Dienste neu gestartet werden. Laufende Unified Access Gateway-Sitzungen werden während des Neustarts nicht beibehalten.

    Diese Option kann während der PowerShell-Bereitstellung durch Hinzufügen des Parameters tlsSignatureSchemes in der ini-Datei konfiguriert werden. Siehe Ausführen eines PowerShell-Skripts für die Bereitstellung.
    Zulässige Host-Header Geben Sie die IP-Adresse und/oder den Hostnamen ein, die als Host-Kopfzeilenwerte zugelassen werden sollen. Diese Einstellung gilt für Horizon, Web-Reverse-Proxy-Anwendungsfälle und den Admin-Dienst in Unified Access Gateway. Die Validierung des Host-Headers (oder X-Forwarded-Host) ist standardmäßig für in diesem Feld konfigurierte Werte und eine dynamisch berechnete automatisch zugelassene Liste aktiviert, die auf den Netzwerkeinstellungen des UAG und den Edge-Diensteinstellungen basieren.

    Alle Hostnamen, die für den direkten Zugriff auf das Unified Access Gateway über den Lastausgleichsdienst oder den Reverse-Proxy verwendet werden und nicht in der automatisch zugelassenen Liste enthalten sind, sollten in diesem Feld konfiguriert werden.

    Wenn bei Unified Access Gateway-Bereitstellungen mit Horizon ein Blast Secure Gateway (BSG) und/oder VMware Tunnel aktiviert ist und externe URLs konfiguriert sind, werden diese Werte automatisch in die Liste der zulässigen Hostwerte aufgenommen. Eine explizite Konfiguration dieser Werte ist nicht erforderlich.

    Bei Unified Access Gateway-Bereitstellungen mit Web-Reverse-Proxy-Konfigurationen werden die externe URL und Proxy-Host-Muster in die automatisch zugelassene Liste der Hostwerte aufgenommen.

    Bei Unified Access Gateway-Bereitstellungen mit einer virtuellen N+1-IP (VIP) wird die virtuelle IP in die automatisch zugelassene Liste aufgenommen. Darüber hinaus sind auch die Nicht-Loopback-IP-Adressen und der interne Hostname des UAG in dieser Liste enthalten und standardmäßig zulässig.
    CA-Zertifikat Diese Option wird aktiviert, wenn ein Syslog-Server hinzugefügt wird. Wählen Sie ein gültiges Zertifikat der Syslog-Zertifizierungsstelle aus.
    URL für Integritätsprüfung Geben Sie eine URL ein, mit der der Load Balancer eine Verbindung herstellt und den Zustand von Unified Access Gateway überprüft.
    HTTP-Systemzustandsüberwachung Diese Umschaltoption ist standardmäßig deaktiviert. In der Standardkonfiguration werden HTTP-URL-Anforderungen zur Integritätsprüfung an HTTPS weitergeleitet. Wenn Sie diese Umschaltoption aktivieren, antwortet Unified Access Gateway auf die Integritätsprüfungsanforderung auch über HTTP.
    Cookies für Zwischenspeicherung Der Satz Cookies, den Unified Access Gateway zwischenspeichert. Der Standardwert ist „keine“.
    Zeitüberschreitung der Sitzung Der Standardwert ist 36000000 Millisekunden.
    Hinweis: Der Wert von Session Timeout auf dem Unified Access Gateway muss mit dem Wert der Forcibly disconnect users-Einstellung auf dem Horizon Connection Server übereinstimmen.

    Die Forcibly disconnect users-Einstellung ist eine der allgemeinen globalen Einstellungen in der Horizon-Konsole. Weitere Informationen zu dieser Einstellung finden Sie unter Konfigurieren von Einstellungen für Client-Sitzungen in der Dokumentation VMware Horizon-Verwaltung unter VMware Docs.
    Stilllegungsmodus Aktivieren Sie diese Umschaltoption, um die Unified Access Gateway-Appliance anzuhalten, damit ein konsistenter Zustand für Wartungsaufgaben erreicht wird
    Überwachungsintervall Der Standardwert ist 60.
    Unterstützung für SAML-Zertifikat-Rollover aktivieren Aktivieren Sie diese Umschaltoption, um SAML-SP-Metadaten mit Entitäts-ID basierend auf dem Zertifikat zu generieren. Die zertifikatbasierte Entitäts-ID unterstützt einen reibungslosen Zertifikats-Rollover mit separaten SP-Konfigurationen auf IDP. Um diesen Wert zu ändern, müssen Sie den IDP neu konfigurieren.
    Lebensdauer des Kennworts Anzahl der Tage, die das Kennwort für den Benutzer in der Rolle ADMIN gültig ist.

    Der Standardwert lautet 90 Tage. Der Maximalwert, der konfiguriert werden kann, beträgt 999 Tage.

    Damit das Kennwort nie abläuft, geben Sie 0 als Wert für dieses Feld an.
    Überwachen der Lebensdauer des Benutzerkennworts Anzahl der Tage, die das Kennwort für die Benutzer in der Rolle ÜBERWACHUNG gültig ist.

    Der Standardwert lautet 90 Tage. Der Maximalwert, der konfiguriert werden kann, beträgt 999 Tage.

    Damit das Kennwort nie abläuft, geben Sie 0 als Wert für dieses Feld an.
    Zeitüberschreitung für Anforderung Gibt die maximale Wartezeit an, die Unified Access Gateway auf den Erhalt einer Anfrage wartet.

    Der Standardwert lautet 3000.

    Diese Zeitüberschreitung muss in Millisekunden angegeben werden.

    Body-Receive-Zeitüberschreitung Gibt die maximale Wartezeit an, die Unified Access Gateway auf den Erhalt eines Anfragetexts wartet.

    Die Standardeinstellung ist 5000.

    Diese Zeitüberschreitung muss in Millisekunden angegeben werden.

    Maximale Anzahl von Verbindungen pro Sitzung Maximale Anzahl der zulässigen TCP-Verbindungen pro TLS-Sitzung.

    Der Standardwert lautet 16.

    Um für die zulässige Anzahl von TCP-Verbindungen keinen Grenzwert anzugeben, legen Sie als Wert für dieses Feld 0 fest.

    Hinweis: Ein Feldwert von 8 oder niedriger führt zu Fehlern bei Horizon Client.
    Leerlaufzeitüberschreitung für Client-Verbindung Geben Sie den Zeitraum (in Sekunden) ein, über den eine Clientverbindung im Leerlauf verbleiben kann, bevor die Verbindung getrennt wird. Der Standardwert beträgt 360 Sekunden (6 Minuten). Der Wert 0 bedeutet, dass keine Zeitüberschreitung für den Leerlauf vorhanden ist.
    Zeitüberschreitung für die Authentifizierung

    Die maximale Wartezeit in Millisekunden, bis zu der die Authentifizierung erfolgen muss. Die Standardeinstellung ist 300000. Wenn 0 angegeben ist, gibt es keine Zeitbeschränkung für die Authentifizierung.
    Toleranz für Zeitabweichung Geben Sie den zwischen einer Unified Access Gateway-Uhr und den anderen Uhren im selben Netzwerk zulässigen Zeitunterschied in Sekunden ein. Die Standardeinstellung ist 600 Sekunden.
    Maximale zulässige System-CPU Gibt die maximal zulässige durchschnittliche CPU-Nutzung des Systems pro Minute an.

    Wenn der konfigurierte CPU-Grenzwert überschritten wird, sind keine neuen Sitzungen zulässig und der Client erhält einen HTTP 503-Fehler mit dem Hinweis, dass die Unified Access Gateway-Appliance vorübergehend überlastet ist. Darüber hinaus ermöglicht der überschrittene Grenzwert einem Lastausgleichsdienst, die Unified Access Gateway-Appliance als „Heruntergefahren“ zu markieren, damit neue Anfragen an andere Unified Access Gateway-Appliances weitergeleitet werden können.

    Der Wert wird in Prozent angegeben.

    Der Standardwert lautet 100%.
    Am CEIP teilnehmen Bei Aktivierung werden Informationen des Programms zur Verbesserung der Benutzerfreundlichkeit (CEIP) an VMware gesendet.
    SNMP aktivieren Aktivieren Sie diese Umschaltoption, um den SNMP-Dienst zu aktivieren. Simple Network Management Protocol erfasst Systemstatistiken, Arbeitsspeicher- und Festplattennutzungsstatistiken sowie MIB-Informationen des Tunnel-Servers durch Unified Access Gateway. Die Liste der verfügbaren Management Information Base (MIB),
    • UCD-SNMP-MIB::systemStats
    • UCD-SNMP-MIB::memory
    • UCD-SNMP-MIB::dskTable
    • VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
    SNMP-Version Wählen Sie die gewünschte SNMP-Version aus.

    Wenn SNMPv1+v2 als SNMP-Protokoll ausgewählt ist, können Sie einen benutzerdefinierten SNMP-Community-Namen hinzufügen.

    Hinweis: Sie müssen SNMP aktivieren, bevor Sie Tunnel konfigurieren. Wenn Sie SNMP nach der Konfiguration von Tunnel aktivieren, müssen Sie die Tunnel-Einstellungen erneut speichern, damit die SNMP-Einstellungen wirksam werden.

    Wenn Sie Unified Access Gateway über PowerShell bereitgestellt und SNMP aktiviert haben, aber weder über PowerShell noch über die Unified Access Gateway-Admin-Benutzeroberfläche SNMPv3-Einstellungen konfiguriert haben, werden standardmäßig die Versionen SNMPv1 und SNMPV2c verwendet.

    Führen Sie zum Konfigurieren der SNMPv3-Einstellungen folgende Schritte auf der Admin-Benutzeroberfläche durch:
    1. Geben Sie den Namen unter SNMPv3-USM-Benutzer ein.
    2. Geben Sie die SNMP-Engine-ID ein.

      Dieser Wert ist für jede Unified Access Gateway-Appliance eindeutig.

      Die maximale Länge der Engine-ID ist auf 27 Zeichen begrenzt.

    3. Wählen Sie die SNMPv3-Sicherheitsstufe aus.
    4. Führen Sie abhängig von der im vorherigen Schritt ausgewählten Sicherheitsstufe die folgenden Aktionen aus:
    Sicherheitsstufe Aktionen
    No Auth, No Priv

    (Keine Authentifizierung, kein Datenschutz)

    		 Klicken Sie auf Speichern.

    Es sind keine weiteren Aktionen erforderlich.
    Auth, No Priv

    (Authentifizierung, Kein Datenschutz)
    1. Wählen Sie den SNMPv3-Authentifizierungsalgorithmus aus.
    2. Geben Sie das SNMPv3-Authentifizierungskennwort ein.

      Das Kennwort muss mindestens 8 Zeichen lang sein.

    3. Bestätigen Sie das im vorherigen Schritt eingegebene Authentifizierungskennwort.
    4. Klicken Sie auf Speichern.
    Auth, Priv

    (Authentifizierung, Datenschutz)
    1. Wählen Sie den SNMPv3-Authentifizierungsalgorithmus aus.

      Folgende Werte werden unterstützt: MD5 (Not Recommended), SHA (Not Recommended), SHA-224, SHA-256, SHA-384 und SHA-512.

    2. Geben Sie das SNMPv3-Authentifizierungskennwort ein.

      Das Kennwort muss mindestens 8 Zeichen lang sein.

    3. Bestätigen Sie das im vorherigen Schritt eingegebene Authentifizierungskennwort.
    4. Wählen Sie den SNMPv3-Datenschutzalgorithmus aus.

      Die unterstützten Werte lauten DES und AES.

    5. Wählen Sie das SNMPv3-Datenschutzkennwort aus.

      Das Kennwort muss mindestens 8 Zeichen lang sein.

    6. Bestätigen Sie anhand der Option Datenschutzkennwort bestätigen das im vorherigen Schritt eingegebene Kennwort.
    7. Klicken Sie auf Speichern.
    SNMP-Community Geben Sie einen benutzerdefinierten SNMP-Community-Namen ein, der verwendet werden soll. Enthält dieses Feld keinen Eintrag, wird „Öffentlich“ verwendet.
    Haftungsausschluss für Administratoren Geben Sie den Text für den Haftungsausschluss basierend auf der Benutzervereinbarungsrichtlinie Ihrer Organisation ein.

    Damit sich ein Administrator erfolgreich bei der Admin-Benutzeroberfläche von Unified Access Gateway anmelden kann, muss der Administrator die Vereinbarung akzeptieren.

    Der Text für den Haftungsausschluss kann entweder über die PowerShell-Bereitstellung oder die Admin-Benutzeroberfläche von Unified Access Gateway konfiguriert werden. Weitere Informationen zur PowerShell-Einstellung in der INI-Datei finden Sie unter Ausführen eines PowerShell-Skripts für die Bereitstellung.

    Bei Verwendung der Admin-Benutzeroberfläche von Unified Access Gateway zum Konfigurieren dieses Textfelds muss sich der Administrator zuerst bei der Admin-Benutzeroberfläche anmelden und anschließend den Text für den Haftungsausschluss konfigurieren. Bei nachfolgenden Administratoranmeldungen wird der Text angezeigt, den der Administrator vor dem Zugriff auf die Anmeldeseite akzeptieren muss.
    DNS Geben Sie Domain Name System(DNS)-Adressen ein, die zur Konfigurationsdatei /run/systemd/resolve/resolv.conf hinzugefügt werden. Diese muss eine gültige DNS-Suchadresse enthalten. Klicken Sie auf „+“, um eine neue DNS-Adresse hinzuzufügen.
    DNS-Suche Geben Sie eine DNS-Suche ein, die zur Konfigurationsdatei /run/systemd/resolve/resolv.conf hinzugefügt wird. Diese muss eine gültige DNS-Suchadresse enthalten. Klicken Sie auf „+“, um einen neuen DNS-Sucheintrag hinzuzufügen.
    Uhrzeitsynchronisierung mit Host Aktivieren Sie diese Umschaltoption, um die Uhrzeit auf der Unified Access Gateway-Appliance mit der Uhrzeit des ESXi-Hosts zu synchronisieren.

    Diese Umschaltoption ist standardmäßig deaktiviert.

    Diese Option verwendet VMware Tools für die Uhrzeitsynchronisierung und wird nur unterstützt, wenn Unified Access Gateway auf dem ESXi-Host bereitgestellt wird.

    Wenn Sie diese Option für die Uhrzeitsynchronisierung auswählen, sind die Optionen NTP Servers und FallBack NTP Servers deaktiviert.

    Diese Option kann über PowerShell konfiguriert werden, indem der Parameter hostClockSyncEnabled in der INI-Datei hinzugefügt wird. Siehe Ausführen eines PowerShell-Skripts für die Bereitstellung.
    NTP-Server NTP-Server für die Synchronisierung des Netzwerkzeitprotokolls. Sie können gültige IP-Adressen und Hostnamen eingeben. Alle schnittstellenbezogenen NTP-Server, die von der systemd-networkd.service-Konfiguration oder über DHCP abgerufen werden, haben Vorrang vor diesen Konfigurationen. Klicken Sie auf „+“, um einen neuen NTP-Server hinzuzufügen.

    Wenn Sie diese Option für die Uhrzeitsynchronisierung auswählen, wird Time Sync With Host deaktiviert.
    Fallback-NTP-Server Fallback-NTP-Server für die Synchronisierung des Netzwerkzeitprotokolls. Wenn keine NTP-Serverinformationen gefunden werden, werden diese Fallback-NTP-Server-Hostnamen oder -IP-Adressen verwendet. Klicken Sie auf „+“, um einen neuen Fallback-NTP-Server hinzuzufügen.

    Wenn Sie diese Option für die Uhrzeitsynchronisierung auswählen, wird Time Sync With Host deaktiviert.
    Erweiterte Validierung des Serverzertifikats Aktivieren Sie diese Umschaltoption, um sicherzustellen, dass Unified Access Gateway eine erweiterte Validierung des empfangenen SSL-Serverzertifikats für ausgehende TLS-Verbindungen zu den Backend-Servern durchführt.

    Zu den erweiterten Prüfungen gehören die Validierung des Ablaufs des Zertifikats, die Nichtübereinstimmung im Hostnamen, der Zertifikatsperrstatus und die Werte für die erweiterte Schlüsselnutzung.

    Diese Option ist standardmäßig deaktiviert.

    Diese Option kann über PowerShell konfiguriert werden, indem der Parameter extendedServerCertValidationEnabled in der ini-Datei hinzugefügt wird. Siehe Ausführen eines PowerShell-Skripts für die Bereitstellung.
    Öffentliche SSH-Schlüssel Laden Sie öffentliche Schlüssel hoch, um Root-Benutzerzugriff auf die virtuelle Maschine von Unified Access Gateway zu ermöglichen, wenn Sie die Option für öffentliche/private Schlüsselpaare verwenden.

    Administratoren können mehrere, eindeutige öffentliche Schlüssel in das Unified Access Gateway hochladen.

    Dieses Feld ist nur dann in der Admin-UI sichtbar, wenn folgende SSH-Optionen während der Bereitstellung auf true festgelegt sind: SSH aktivieren und SSH-Root-Anmeldung mit Schlüsselpaar zulassen. Informationen zu diesen Optionen finden Sie unter Durchführen einer Bereitstellung auf vSphere mithilfe des OVF-Vorlagenassistenten.
  4. Klicken Sie auf Speichern.

Nächste Maßnahme

Konfigurieren Sie die Edge-Diensteinstellungen für die Komponenten, mit denen Unified Access Gateway bereitgestellt wird. Konfigurieren Sie nach den Edgeeinstellungen die Authentifizierungseinstellungen.