Sie können Unified Access Gateway mit Horizon Cloud with On-Premises Infrastructure und der Cloud-Infrastruktur Horizon Air bereitstellen. Für die Bereitstellung von Horizon ersetzt die Appliance Unified Access Gateway den Horizon-Sicherheitsserver.

Voraussetzungen

Wenn sowohl Horizon als auch eine Web-Reverse-Proxy-Instanz wie VMware Identity Manager auf der gleichen Unified Access Gateway-Instanz konfiguriert und aktiviert werden sollen, finden Sie entsprechende Informationen unter Erweiterte Einstellungen für Edge-Dienst.

Prozedur

  1. Klicken Sie auf der Admin-UI im Bereich Manuell konfigurieren auf Auswählen.
  2. Klicken Sie unter Allgemeine Einstellungen > Edge-Dienst-Einstellungen auf Anzeigen.
  3. Klicken Sie auf das Zahnradsymbol für die Horizon-Einstellungen.
  4. Ändern Sie auf der Seite der Horizon-Einstellungen NEIN in JA, um Horizon zu aktivieren.
  5. Konfigurieren Sie die folgenden Edge-Diensteinstellungen für Horizon:

    Option

    Beschreibung

    Bezeichner

    Standardmäßig ist hier Horizon eingestellt. Unified Access Gateway kann mit Servern kommunizieren, die das XML-Protokoll von Horizon verwenden – etwa dem Horizon-Verbindungsserver, Horizon Air und Horizon Cloud with On-Premises Infrastructure.

    Verbindungsserver-URL

    Geben Sie die Adresse des Horizon Servers oder des Load Balancers ein. Geben Sie diesen in folgender Form ein: https://00.00.00.00.

    Fingerabdruck der Verbindungsserver-URL

    Geben Sie die Liste der Horizon Server-Fingerabdrücke ein.

    Wenn Sie keine Fingerabdruckliste zur Verfügung stellen, müssen Sie sicherstellen, dass die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt wurden. Geben Sie die Fingerabdrücke als Hexadezimalzahlen ein. Beispiel: sha1 = C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

    PCOIP aktivieren

    Ändern Sie NEIN zu JA, um festzulegen, dass PCoIP Secure Gateway aktiviert ist.

    PCOIP-Legacy-Zertifikat deaktivieren

    Ändern Sie NEIN zu JA, um anzugeben, dass das hochgeladene SSL-Serverzertifikat statt des Legacy-Zertifikats verwendet werden soll. Legacy-PCoIP-Clients funktionieren nicht, wenn dieser Parameter auf JA festgelegt ist.

    Externe PCOIP-URL

    Die von Horizon Clients verwendete URL für die Herstellung der Horizon-PCoIP-Sitzung auf dieser Unified Access Gateway-Appliance. Sie muss eine IPv4-Adresse und keinen Hostnamen enthalten. Beispielsweise 10.1.2.3:4172. Standardmäßig sind die Unified Access Gateway-IP-Adresse und Port 4172 angegeben.

    Blast aktivieren

    Ändern Sie NEIN in JA, um das Blast Secure Gateway zu verwenden.

    IP-Modus für Verbindungsserver

    Wählen Sie IPv4, IPv6 oder IPv4+IPv6 aus dem Dropdown-Menü aus. Die Standardeinstellung ist IPv4.

  6. Klicken Sie auf Mehr, um die Authentifizierungsmethodenregel und andere erweiterte Einstellungen zu konfigurieren.

    Option

    Beschreibung

    Authentifizierungsmethoden

    Wählen Sie die zu verwendenden Authentifizierungsmethoden aus.

    Standardmäßig wird die Passthrough-Authentifizierung des Benutzernamens und des Kennworts verwendet. In den Dropdown-Menüs sind die von Ihnen in Unified Access Gateway konfigurierten Authentifizierungsmethoden aufgeführt. Aktuell werden die Authentifizierungsmethoden RSA SecurID und RADIUS unterstützt.

    Sie können eine Authentifizierung konfigurieren, bei der eine zweite Authentifizierungsmethode verwendet wird, sofern der erste Authentifizierungsversuch fehlschlägt:

    1. Wählen Sie im ersten Dropdown-Menü eine Authentifizierungsmethode aus.

    2. Klicken Sie auf + und wählen Sie UND oder ODER aus.

    3. Wählen Sie im dritten Dropdown-Menü die zweite Authentifizierungsmethode aus.

    Damit Benutzer sich über beide Authentifizierungsmethoden authentifizieren müssen, ändern Sie im Dropdown-Menü ODER in UND.

    Hinweis:
    • Konfigurieren Sie bei der PowerShell-Bereitstellung für die RSA SecurID-Authentifizierung diese Option, um den Bildschirm „Passcode“ mit securid-auth AND sp-auth anzuzeigen.

    • Konfigurieren Sie bei der vSphere-Bereitstellung für die RSA SecurID-Authentifizierung diese Option, um den Bildschirm „Passcode“ mit securid-auth anzuzeigen.

    • Fügen Sie die folgenden Zeilen dem Horizon-Abschnitt der INI-Datei hinzu.

      authMethods=securid-auth && sp-auth
      matchWindowsUserName=true

      Fügen Sie am Ende Ihrer INI-Datei einen neuen Abschnitt hinzu.

      [SecurIDAuth]
      serverConfigFile=C:\temp\sdconf.rec
      externalHostName=192.168.0.90
      internalHostName=192.168.0.90

      Für beide IP-Adressen sollte die IP-Adresse von Unified Access Gateway eingestellt werden. Die sdconf.rec-Datei wird von RSA Authentication Manager abgerufen, der vollständig konfiguriert sein muss. Stellen Sie sicher, dass Sie Access Point 2.5 oder höher (oder Unified Access Gateway 3.0 oder höher) verwenden und dass Unified Access Gateway im Netzwerk auf den RSA Authentication Manager-Server zugreifen kann. Führen Sie den Befehl „uagdeploy Powershell“ erneut aus, um das für RSA SecurID konfigurierte Unified Access Gateway erneut bereitzustellen.

    URI-Pfad für Integritätsprüfung

    Der für die Integritätsstatusüberwachung benötigte URI-Pfad für den Verbindungsserver, mit dem Unified Access Gateway sich verbindet.

    Externe Blast-URL

    Die von Horizon Clients verwendete URL für die Herstellung der Horizon-Blast- oder BEAT-Sitzung auf dieser Unified Access Gateway-Appliance. Z. B. https://uag1.myco.com oder https://uag1.myco.com:443.

    Wenn die TCP-Portnummer nicht angegeben wird, ist der Standard-TCP-Port 8443. Wenn die UDP-Portnummer nicht angegeben wird, ist der Standard-UDP-Port auch 8443.

    UDP-Server aktivieren

    Verbindungen werden über den UDP-Tunnel-Server eingerichtet, wenn eine geringe Bandbreite vorhanden ist.

    Blast-Proxy-Zertifikat

    Proxy-Zertifikat für Blast. Klicken Sie auf Auswählen, um ein Zertifikat im PEM-Format hochzuladen und dem BLAST Trust Store hinzuzufügen. Klicken Sie auf Ändern, um das vorhandene Zertifikat zu ersetzen.

    Wenn der Benutzer manuell dasselbe Zertifikat für Unified Access Gateway in den Lastausgleichsdienst hochlädt und ein anderes Zertifikat für Unified Access Gateway und Blast Gateway verwenden muss, tritt beim Erstellen einer Blast-Desktop-Sitzung ein Fehler auf, da der Fingerabdruck zwischen dem Client und Unified Access Gateway nicht übereinstimmt. Die Eingabe eines benutzerdefinierten Fingerabdrucks für Unified Access Gateway oder Blast Gateway löst dieses Problem, indem der Fingerabdruck weitergegeben wird, um die Client-Sitzung herzustellen.

    Tunnel aktivieren

    Wenn der sichere Horizon-Tunnel verwendet wird, ändern Sie NEIN in JA. Der Client verwendet die externe URL für Tunnelverbindungen über das Horizon Secure Gateway. Der Tunnel wird für den Verkehr von RDP, USB und MMR (Multimedia-Umleitung) benutzt.

    Externe Tunnel-URL

    Die von Horizon Clients verwendete URL für die Herstellung der Horizon Tunnel-Sitzung auf dieser Unified Access Gateway-Appliance. Z. B. https://uag1.myco.com oder https://uag1.myco.com:443.

    Wenn die TCP-Portnummer nicht angegeben wird, ist der Standard-TCP-Port 443.

    Tunnel-Proxy-Zertifikat

    Das Proxy-Zertifikat für Horizon Tunnel. Klicken Sie auf Auswählen, um ein Zertifikat im PEM-Format hochzuladen und dem Tunnel Trust Store hinzuzufügen. Klicken Sie auf Ändern, um das vorhandene Zertifikat zu ersetzen.

    Wenn der Benutzer manuell dasselbe Zertifikat für Unified Access Gateway in den Lastausgleichsdienst hochlädt und ein anderes Zertifikat für Unified Access Gateway und Horizon Tunnel verwenden muss, tritt beim Erstellen einer Tunnel-Sitzung ein Fehler auf, da der Fingerabdruck zwischen dem Client und Unified Access Gateway nicht übereinstimmt. Die Eingabe eines benutzerdefinierten Fingerabdrucks für Unified Access Gateway oder Horizon Tunnel löst dieses Problem, da der Fingerabdruck weitergegeben wird, um die Client-Sitzung herzustellen.

    Anbieter zur Überprüfung der Endpunktübereinstimmung

    Wählen Sie den Anbieter zur Überprüfung der Endpunktübereinstimmung. Der Standard lautet OPSWAT.

    Proxy-Muster

    Geben Sie den regulären Ausdruck ein, mit dem die URIs, die mit der Horizon Server-URL verbunden sind (proxyDestinationUrl), abgeglichen werden. Der Standardwert ist (/|/view-client(.*)|/portal(.*)|/appblast(.*)).

    SAML SP

    Geben Sie den Namen des SAML-Dienstanbieters für den Horizon XMLAPI-Broker ein. Dieser Name muss entweder mit dem Namen in den Metadaten eines konfigurierten Dienstanbieters übereinstimmen oder der spezielle Wert DEMO sein.

    Übereinstimmung mit Windows-Benutzername

    Ändern Sie NEIN in JA, damit RSA SecurID und der Windows-Benutzername übereinstimmen. Wenn JA festgelegt ist, wird securID-auth auf „wahr“ gesetzt, und die Übereinstimmung von securID mit dem Windows-Benutzernamen wird erzwungen.

    Hinweis:

    Wenn Sie in Horizon 7 die Einstellungen Serverinformationen in der Kunden-Benutzeroberfläche ausblenden und Domänenliste in der Kunden-Benutzeroberfläche ausblenden aktivieren und die zweistufige Authentifizierung (RSA SecureID oder RADIUS) für die Verbindungsserverinstanz auswählen, dürfen Sie nicht die Windows-Benutzernamenübereinstimmung erzwingen. Wenn Sie die Windows-Benutzernamenübereinstimmung erzwingen, werden Benutzer daran gehindert, Domäneninformationen im Textfeld „Benutzername“ einzugeben, und die Anmeldung schlägt immer fehl. Weitere Informationen finden Sie in den Themen zur zweistufigen Authentifizierung im Dokument „Horizon 7-Verwaltung“.

    Gateway-Standort

    Der Standort, von dem die Verbindungsanforderung stammt. Der Sicherheitsserver und Unified Access Gateway legen den Gateway-Standort fest. Es kann sich um einen externen oder um einen internen Standort handeln.

    Vertrauenswürdige Zertifikate

    Fügen Sie diesem Edge-Dienst ein vertrauenswürdiges Zertifikat hinzu. Klicken Sie auf „+“, wählen Sie ein Zertifikat im PEM-Format und fügen Sie es zum Trust Store hinzu. Klicken Sie auf „-“, um ein Zertifikat aus dem Trust Store zu entfernen. Standardmäßig ist der Aliasname der Dateinamen des PEM-Zertifikats. Bearbeiten Sie das Textfeld „Alias“, um einen anderen Namen anzugeben.

    Sicherheitsheader der Antwort

    Klicken Sie auf „+“, um eine Kopfzeile hinzuzufügen. Geben Sie den Namen der Sicherheitskopfzeile ein. Geben Sie den Wert ein. Klicken Sie auf „-“, um eine Kopfzeile zu entfernen. Bearbeiten Sie eine vorhandene Sicherheitskopfzeile, um den Namen und den Wert der Kopfzeile zu aktualisieren.

    Wichtig:

    Die Kopfzeilennamen und -werte werden erst gespeichert, nachdem Sie auf Speichern geklickt haben. Einige Sicherheitskopfzeilen sind standardmäßig vorhanden. Die konfigurierten Kopfzeilen werden der Unified Access Gateway-Antwort an den Client nur dann hinzugefügt, wenn die entsprechenden Kopfzeilen in der Antwort vom konfigurierten Backend-Server nicht vorhanden sind.

    Hinweis:

    Gehen Sie vorsichtig beim Ändern von Sicherheitsantwortkopfzeilen vor. Eine Änderung dieser Parameter kann die sichere Funktion von Unified Access Gateway beeinträchtigen.

    Hosteinträge

    Geben Sie die Details ein, die der Datei /etc/hosts hinzugefügt werden sollen. Jeder Eintrag sollte eine IP, einen Hostnamen und einen optionalen Hostnamensalias (in dieser Reihenfolge) enthalten, die durch ein Leerzeichen voneinander getrennt sind. Beispiel: 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Klicken Sie auf das Pluszeichen, um mehrere Hosteinträge hinzuzufügen.

    Wichtig:

    Die Hosteinträge werden erst gespeichert, nachdem Sie auf Speichern geklickt haben.

    HTML Access deaktivieren

    Mit der Einstellung JA wird der Webzugriff auf Horizon deaktiviert. Weitere Informationen dazu finden Sie unter Überprüfung der Endpunktübereinstimmung für Horizon.

  7. Klicken Sie auf Speichern.