Auf den Verwaltungsseiten können Sie konfigurieren, welche Sicherheitsprotokolle und kryptographischen Algorithmen zur Verschlüsselung der Kommunikation zwischen Clients und der Unified Access Gateway-Appliance verwendet werden.
Voraussetzungen
- Überprüfen Sie die Unified Access Gateway-Bereitstellungseigenschaften. Die folgenden Informationen sind erforderlich:
- Statische IP-Adresse für die Unified Access Gateway-Appliance
- IP-Adressen der DNS-Server
Hinweis: Maximal zwei IP-Adressen können für den DNS-Server angegeben werden.
Unified Access Gateway verwendet nur dann die öffentlichen DNS-Standardadressen für einen Fallback der Plattform, wenn UAG entweder als Teil der Konfigurationseinstellungen oder über DHCP keine DNS-Serveradressen für UAG bereitgestellt werden.
- Kennwort für die Verwaltungskonsole
- URL der Serverinstanz des Load Balancers, auf den die Unified Access Gateway-Appliance verweist
- Syslog-Server-URL für das Speichern der Ereignisprotokolldateien
Prozedur
- Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
- Klicken Sie im Bereich „Erweiterte Einstellungen“ auf das Zahnradsymbol für die Systemkonfiguration.
- Bearbeiten Sie die folgenden Konfigurationswerte für die Unified Access Gateway-Appliance.
Option Standardwert und Beschreibung UAG-Name Der eindeutige Unified Access Gateway-Appliance-Name. Hinweis: Der Appliance-Name kann aus einer Textzeichenfolge von bis zu 24 Zeichen bestehen, die Buchstaben (A-Z), Ziffern (0-9), Minuszeichen(-)
und Punkte(.)
enthalten. Der Appliance-Name darf jedoch keine Leerzeichen enthalten.Gebietsschema Legt das Gebietsschema für die Ausgabe von Fehlermeldungen fest.
- en_US für amerikanisches Englisch Hierbei handelt es sich um die Standardeinstellung.
- ja_JP für Japanisch
- fr_FR für Französisch
- de_DE für Deutsch
- zh_CN für Vereinfachtes Chinesisch
- zh_TW für Traditionelles Chinesisch
- ko_KR für Koreanisch
- es für Spanisch
- pt_BR für brasilianisches Portugiesisch
- en_GB für britisches Englisch
Verschlüsselungssammlungen In den meisten Fällen ist es nicht erforderlich, die Standardeinstellungen zu ändern. Dies sind die kryptografischen Algorithmen, mit denen die Kommunikation zwischen Clients und der Unified Access Gateway-Appliance verschlüsselt wird. Mit den Verschlüsselungseinstellungen werden verschiedene Sicherheitsprotokolle aktiviert. TLS 1.0 aktiviert Der Standardwert lautet NO
.Wählen Sie JA aus, um das Sicherheitsprotokoll TLS 1.0 zu aktivieren.
TLS 1.1 aktiviert Der Standardwert lautet NO
.Wählen Sie JA aus, um das Sicherheitsprotokoll TLS 1.1 zu aktivieren.
TLS 1.2 aktiviert Der Standardwert lautet YES
.Das Sicherheitsprotokoll TLS 1.2 ist aktiviert.
TLS 1.3 aktiviert Der Standardwert lautet YES
Das Sicherheitsprotokoll TLS 1.3 ist aktiviert.
Zulässige Host-Header Geben Sie die IP-Adresse oder den Hostnamen als Host-Kopfzeilenwerte ein. Diese Einstellung gilt für die UAG-Bereitstellung mit den Horizon- und Web Reverse Proxy-Anwendungsfällen. Für UAG-Bereitstellungen mit Horizon müssen Sie möglicherweise mehrere Host-Kopfzeilen angeben. Dies hängt davon ab, ob die virtuelle N+1-IP (VIP) verwendet wird und ob Blast Secure Gateway (BSG) und VMware Tunnel aktiviert und für die externe Verwendung von Port 443 konfiguriert sind.
Die Horizon-Clients senden die IP-Adresse in der Kopfzeile des Hosts für die Blast-Verbindungsanforderung. Wenn das BSG für die Verwendung von Port 443 konfiguriert ist, müssen die zulässigen Host-Kopfzeilen die externe IP-Adresse des BSG-Hostnamens enthalten, der in der externen Blast-URL für das jeweilige UAG konfiguriert ist.
Wenn keine Host-Kopfzeilenwerte angegeben werden, wird der vom Client gesendete Host-Kopfzeilenwert standardmäßig akzeptiert.
Syslog-Typ Wählen Sie im Dropdown-Menü den Syslog-Typ aus. Folgende Optionen stehen zur Verfügung: - UDP: Syslog-Nachrichten werden über das Netzwerk in Klartext über UDP gesendet. Dies ist die Standardoption.
- TLS: TLS-Verschlüsselung wird zwischen zwei Syslog-Servern hinzugefügt, damit die Nachrichten gesichert bleiben.
- TCP: Syslog-Meldungen werden über TCP gestreamt.
Hinweis: Dies Einstellung gilt für Unified Access Gateway 3.7 und höher. Die TCP-Option gilt für Unified Access Gateway 2009 und höher.Syslog-URL Wenn der Syslog-Typ auf UDP oder TCP festgelegt ist, ist diese Option aktiviert. Geben Sie die Syslog-Server-URL ein, die für die Protokollierung von Unified Access Gateway-Ereignissen verwendet wird. Bei diesem Wert kann es sich um eine URL, um einen Hostnamen oder um eine IP-Adresse handeln. Wenn Sie keine Syslog-Server-URL angeben, werden keine Ereignisse protokolliert. Sie können maximal zwei URLs angeben. URLs werden durch Komma getrennt. Beispiel:
syslog://server1.example.com:514, syslog://server2.example.com:514
Standardmäßig werden Ereignisse des Content Gateway- und Secure Email Gateway-Edge-Dienstes protokolliert. Zum Protokollieren von Ereignissen auf dem Syslog-Server für den Tunnel Gateway-Edge-Dienst, der auf Unified Access Gateway konfiguriert ist, muss ein Administrator das Syslog auf der Workspace ONE UEM Console mit den Informationen konfigurieren.
Syslog Hostname=localhost and Port=514
Weitere Informationen zu Syslog auf der Workspace ONE UEM Console finden Sie im Thema Konfigurieren von Pro-App-Tunnel in der Dokumentation zu VMware Tunnel für Linux.
Syslog-Server Wenn der Syslog-Typ auf TLS festgelegt ist, ist diese Option aktiviert. Geben Sie die Syslog-Server-URL ein, die für die Protokollierung von Unified Access Gateway-Ereignissen verwendet wird. Bei diesem Wert kann es sich um eine URL, um einen Hostnamen oder um eine IP-Adresse handeln. Wenn Sie keine Syslog-Server-URL angeben, werden keine Ereignisse protokolliert. Sie können maximal zwei URLs angeben. URLs werden durch Komma getrennt. Beispiel:
syslog://server1.example.com:514, syslog://server2.example.com:514
Standardmäßig werden Ereignisse des Content Gateway- und Secure Email Gateway-Edge-Dienstes protokolliert. Zum Protokollieren von Ereignissen auf dem Syslog-Server für den Tunnel Gateway-Edge-Dienst, der auf Unified Access Gateway konfiguriert ist, muss ein Administrator das Syslog auf der Workspace ONE UEM Console mit den Informationen konfigurieren.
Syslog Hostname=localhost and Port=514
Hinweis: Dies gilt für Unified Access Gateway 3.7 und höher.Syslog-Überwachungs-URL Geben Sie die Syslog-Server-URL ein, die für die Protokollierung von Unified Access Gateway-Überwachungsereignissen verwendet wird. Bei diesem Wert kann es sich um eine URL, um einen Hostnamen oder um eine IP-Adresse handeln. Wenn Sie keine Syslog-Server-URL festlegen, werden keine Überwachungsereignisse protokolliert. Sie können maximal zwei URLs angeben. URLs werden durch Komma getrennt. Beispiel:
syslog://server1.example.com:514, syslog://server2.example.com:514
CA-Zertifikat Diese Option wird aktiviert, wenn ein Syslog-Server hinzugefügt wird. Wählen Sie ein gültiges Zertifikat der Syslog-Zertifizierungsstelle aus. Syslog-Clientzertifikat Hinweis: Diese Option wird nur dann aktiviert, wenn ein Syslog-Server zur Admin-Benutzeroberfläche von Unified Access Gateway hinzugefügt wird.Wählen Sie ein gültiges Syslog-Clientzertifikat im PEM-Format aus.
Schlüssel des Syslog-Clientzertifikats Hinweis: Diese Option wird nur dann aktiviert, wenn ein Syslog-Server zur Admin-Benutzeroberfläche von Unified Access Gateway hinzugefügt wird.Wählen Sie einen gültigen Syslog-Clientzertifikatsschlüssel im PEM-Format aus.
Hinweis: Wenn Unified Access Gateway mithilfe von PowerShell bereitgestellt wird und ein Zertifikat oder Schlüssel angegeben wird, das bzw. der ungültig oder abgelaufen ist, ist die Admin-UI-Instanz nicht verfügbar.Syslog enthält Systemnachrichten Wählen Sie die Umschaltoption Ja aus, um Systemdienste wie HAPROXY, CRON, SSH, Kernel und System zu aktivieren, um Systemnachrichten an den Syslog-Server zu senden. Diese Umschaltoption ist standardmäßig auf Nein festgelegt.
Alternativ kann diese Funktionen auch über die PowerShell-Bereitstellung konfiguriert werden. Weitere Informationen zu der Einstellung in der INI-Datei finden Sie unter Verwenden von PowerShell zur Bereitstellung der Unified Access Gateway-Appliance.
URL für Integritätsprüfung Geben Sie eine URL ein, mit der der Load Balancer eine Verbindung herstellt und den Zustand von Unified Access Gateway überprüft. Cookies für Zwischenspeicherung Der Satz Cookies, den Unified Access Gateway zwischenspeichert. Der Standardwert ist „keine“. Zeitüberschreitung der Sitzung Der Standardwert ist 36000000 Millisekunden. Stilllegungsmodus Aktivieren Sie JA, um die Unified Access Gateway-Appliance anzuhalten, damit ein konsistenter Zustand für Wartungsaufgaben erreicht wird Überwachungsintervall Der Standardwert ist 60. Lebensdauer des Kennworts Die Anzahl der Tage, die das aktuelle Administratorkennwort gültig ist. Die Standardeinstellung ist 90 Tage. Geben Sie 0 (null) ein, wenn das Kennwort nie abläuft. Zeitüberschreitung für Anforderung Gibt die maximale Wartezeit an, die Unified Access Gateway auf den Erhalt einer Anfrage wartet. Der Standardwert lautet
3000
.Diese Zeitüberschreitung muss in Millisekunden angegeben werden.
Body-Receive-Zeitüberschreitung Gibt die maximale Wartezeit an, die Unified Access Gateway auf den Erhalt eines Anfragetexts wartet. Die Standardeinstellung ist
5000
.Diese Zeitüberschreitung muss in Millisekunden angegeben werden.
Maximale Anzahl von Verbindungen pro Sitzung Maximale Anzahl der zulässigen TCP-Verbindungen pro TLS-Sitzung. Der Standardwert lautet
16
.Um für die zulässige Anzahl von TCP-Verbindungen keinen Grenzwert anzugeben, legen Sie als Wert für dieses Feld
0
fest.Hinweis: Ein Feldwert von8
oder niedriger führt zu Fehlern bei Horizon Client.Leerlaufzeitüberschreitung für Client-Verbindung Geben Sie den Zeitraum (in Sekunden) ein, über den eine Clientverbindung im Leerlauf verbleiben kann, bevor die Verbindung getrennt wird. Der Standardwert beträgt 360 Sekunden (6 Minuten). Der Wert 0 bedeutet, dass keine Zeitüberschreitung für den Leerlauf vorhanden ist. Zeitüberschreitung für die Authentifizierung Die maximale Wartezeit in Millisekunden, bis zu der die Authentifizierung erfolgen muss. Die Standardeinstellung ist 300000. Wenn 0 angegeben ist, gibt es keine Zeitbeschränkung für die Authentifizierung.
Toleranz für Zeitabweichung Geben Sie den zwischen einer Unified Access Gateway-Uhr und den anderen Uhren im selben Netzwerk zulässigen Zeitunterschied in Sekunden ein. Die Standardeinstellung ist 600 Sekunden. Maximale zulässige System-CPU Gibt die maximal zulässige durchschnittliche CPU-Nutzung des Systems pro Minute an. Wenn der konfigurierte CPU-Grenzwert überschritten wird, sind keine neuen Sitzungen zulässig und der Client erhält einen HTTP 503-Fehler mit dem Hinweis, dass die Unified Access Gateway-Appliance vorübergehend überlastet ist. Darüber hinaus ermöglicht der überschrittene Grenzwert einem Lastausgleichsdienst, die Unified Access Gateway-Appliance als „Heruntergefahren“ zu markieren, damit neue Anfragen an andere Unified Access Gateway-Appliances weitergeleitet werden können.
Der Wert wird in Prozent angegeben.
Der Standardwert lautet
100%
.Am CEIP teilnehmen Bei Aktivierung werden Informationen des Programms zur Verbesserung der Benutzerfreundlichkeit (CEIP) an VMware gesendet. Weitere Informationen dazu finden Sie unter Programm zur Verbesserung der Benutzerfreundlichkeit beitreten oder verlassen. SNMP aktivieren Wechseln Sie zu JA, um den SNMP-Dienst zu aktivieren. Simple Network Management Protocol erfasst Systemstatistiken, Arbeitsspeicherdaten und MIB-Informationen des Tunnel-Servers durch Unified Access Gateway. Die Liste der verfügbaren Management Information Base (MIB), - UCD-SNMP-MIB::systemStats
- UCD-SNMP-MIB::memory
- VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
SNMP-Version Wählen Sie die gewünschte SNMP-Version aus. Hinweis: Wenn Sie Unified Access Gateway über PowerShell bereitgestellt und SNMP aktiviert haben, aber weder über PowerShell noch über die Unified Access Gateway-Admin-Benutzeroberfläche SNMPv3-Einstellungen konfiguriert haben, werden standardmäßig die Versionen SNMPv1 und SNMPV2c verwendet.Informationen zum Konfigurieren der SNMPv3-Einstellungen in der Admin-Benutzeroberfläche finden Sie unter #GUID-4E74559B-37E4-44C9-AA2D-55FA325FE114.
Zum Konfigurieren von SNMPv3-Einstellungen über die PowerShell-Bereitstellung müssen bestimmte SNMPv3-Einstellungen zur INI-Datei hinzugefügt werden. Siehe Verwenden von PowerShell zur Bereitstellung der Unified Access Gateway-Appliance.
Haftungsausschluss für Administratoren Geben Sie den Text für den Haftungsausschluss basierend auf der Benutzervereinbarungsrichtlinie Ihrer Organisation ein. Damit sich ein Administrator erfolgreich bei der Admin-Benutzeroberfläche von Unified Access Gateway anmelden kann, muss der Administrator die Vereinbarung akzeptieren.
Der Text für den Haftungsausschluss kann entweder über die PowerShell-Bereitstellung oder die Admin-Benutzeroberfläche von Unified Access Gateway konfiguriert werden. Weitere Informationen zur PowerShell-Einstellung in der INI-Datei finden Sie unter Verwenden von PowerShell zur Bereitstellung der Unified Access Gateway-Appliance.
Bei Verwendung der Admin-Benutzeroberfläche von Unified Access Gateway zum Konfigurieren dieses Textfelds muss sich der Administrator zuerst bei der Admin-Benutzeroberfläche anmelden und anschließend den Text für den Haftungsausschluss konfigurieren. Bei nachfolgenden Administratoranmeldungen wird der Text angezeigt, den der Administrator vor dem Zugriff auf die Anmeldeseite akzeptieren muss.
DNS Geben Sie Domain Name System(DNS)-Adressen ein, die zur Konfigurationsdatei /run/systemd/resolve/resolv.conf hinzugefügt werden. Diese muss eine gültige DNS-Suchadresse enthalten. Klicken Sie auf „+“, um eine neue DNS-Adresse hinzuzufügen. DNS-Suche Geben Sie eine DNS-Suche ein, die zur Konfigurationsdatei /etc/resolv.conf hinzugefügt wird. Diese muss eine gültige DNS-Suchadresse enthalten. Klicken Sie auf „+“, um einen neuen DNS-Sucheintrag hinzuzufügen. NTP-Server NTP-Server für die Synchronisierung des Netzwerkzeitprotokolls. Sie können gültige IP-Adressen und Hostnamen eingeben. Alle schnittstellenbezogenen NTP-Server, die von der systemd-networkd.service-Konfiguration oder über DHCP abgerufen werden, haben Vorrang vor diesen Konfigurationen. Klicken Sie auf „+“, um einen neuen NTP-Server hinzuzufügen. Fallback-NTP-Server Fallback-NTP-Server für die Synchronisierung des Netzwerkzeitprotokolls. Wenn keine NTP-Serverinformationen gefunden werden, werden diese Fallback-NTP-Server-Hostnamen oder -IP-Adressen verwendet. Klicken Sie auf „+“, um einen neuen Fallback-NTP-Server hinzuzufügen. Öffentliche SSH-Schlüssel Laden Sie öffentliche Schlüssel hoch, um Root-Benutzerzugriff auf das Unified Access Gateway zu ermöglichen, wenn Sie die Option für öffentliche/private Schlüsselpaare verwenden. Administratoren können mehrere, eindeutige öffentliche Schlüssel in das Unified Access Gateway hochladen.
Dieses Feld ist nur dann in der Admin-UI sichtbar, wenn folgende SSH-Optionen während der Bereitstellung auf
true
festgelegt sind: SSH aktivieren und SSH-Root-Anmeldung mit Schlüsselpaar zulassen. Informationen zu diesen Optionen finden Sie unter Bereitstellen von Unified Access Gateway mit dem OVF-Vorlagenassistenten. - Klicken Sie auf Speichern.
Nächste Maßnahme
Konfigurieren Sie die Edge-Diensteinstellungen für die Komponenten, mit denen Unified Access Gateway bereitgestellt wird. Konfigurieren Sie nach den Edgeeinstellungen die Authentifizierungseinstellungen.