Konfigurieren eines Authentifizierungsdiensts für SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway im VMware Cloud Director Tenant Portal

Verwenden Sie den Bildschirm Authentifizierung auf der Registerkarte SSL VPN-Plus, um einen lokalen Authentifizierungsserver für den SSL VPN-Dienst des Edge-Gateways einzurichten und optional die Authentifizierung von Clientzertifikaten zu aktivieren. VMware Cloud Director verwendet diesen Authentifizierungsserver zur Authentifizierung der Benutzer, die eine Verbindung herstellen. Alle Benutzer, die im lokalen Authentifizierungsserver konfiguriert sind, werden authentifiziert.

Es kann nur ein lokaler SSL-VPN-Plus-Authentifizierungsserver auf dem Edge-Gateway konfiguriert werden. Wenn Sie auf + Lokal klicken und weitere Authentifizierungsserver angeben, wird beim Versuch, die Konfiguration zu speichern, eine Fehlermeldung angezeigt.

Die maximale Zeit für die Authentifizierung über SSL-VPN beträgt drei (3) Minuten. Dieser Maximalwert wird durch die Nichtauthentifizierungs-Zeitüberschreitung festgelegt, die standardmäßig 3 Minuten beträgt und nicht konfigurierbar ist. Wenn mehrere Authentifizierungsserver in der Autorisierungskette vorhanden sind und die Benutzerauthentifizierung länger als 3 Minuten dauert, wird der Benutzer infolgedessen nicht authentifiziert.

Voraussetzungen

Navigieren zum Bildschirm „SSL-VPN Plus“ eines NSX Data Center for vSphere-Edge-Gateways im VMware Cloud Director Tenant Portal.
Hinzufügen eines privaten Netzwerks für die Verwendung mit SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway im VMware Cloud Director Tenant Portal.
Wenn Sie die Clientzertifikatauthentifizierung aktivieren möchten, stellen Sie sicher, dass ein CA-Zertifikat zum Edge-Gateway hinzugefügt wurde. Weitere Informationen finden Sie unter Hinzufügen eines CA-Zertifikats zum Edge-Gateway für die Überprüfung der Vertrauenswürdigkeit von SSL-Zertifikaten mithilfe des VMware Cloud Director Tenant Portal.

Prozedur

Klicken Sie auf die Registerkarte SSL VPN-Plus und anschließend auf Authentifizierung.
Klicken Sie auf Lokal.

Konfigurieren Sie die Einstellungen des Authentifizierungsservers.

(Optional) Aktivieren und konfigurieren Sie die Kennwortrichtlinie.

Option	Beschreibung
Kennwortrichtlinie aktivieren	Aktivieren Sie die Durchsetzung der Einstellungen für die Kennwortrichtlinie, die Sie hier konfigurieren.
Kennwortlänge	Geben Sie die zulässige minimale und maximale Zeichenanzahl für die Kennwortlänge ein.
Mindestanzahl Buchstaben	(Optional) Geben Sie die Mindestanzahl von Buchstabe ein, die für das Kennwort erforderlich sind.
Mindestanzahl Ziffern	(Optional) Geben Sie die Mindestanzahl von numerischen Zeichen ein, die für das Kennwort erforderlich sind.
Mindestanzahl Sonderzeichen	(Optional) Geben Sie die Mindestanzahl der Sonderzeichen ein, beispielsweise kaufmännisches Und-Zeichen (&), Hashtag (#), Prozentzeichen (%) usw., die für das Kennwort erforderlich sind.
Kennwort darf keine Benutzer-ID enthalten	(Optional) Aktivieren Sie diese Option, um durchzusetzen, dass das Kennwort nicht die Benutzer-ID enthalten darf.
Kennwort läuft ab in	(Optional) Geben Sie die maximale Gültigkeitsdauer in Tagen für ein Kennwort ein, bevor der Benutzer es ändern muss.
Ablaufbenachrichtigung in	(Optional) Geben Sie die Anzahl der Tage vor dem Wert Kennwort läuft ab in ein, bei dem der Benutzer benachrichtigt wird, dass das Kennwort in Kürze abläuft.

(Optional) Aktivieren und konfigurieren Sie die Kontosperrungsrichtlinie.

Option	Beschreibung
Kontosperrungsrichtlinie aktivieren	Aktivieren Sie die Durchsetzung der Einstellungen für die Kontosperrungsrichtlinie, die Sie hier konfigurieren.
Wiederholungsanzahl	Geben Sie die Anzahl der Zugriffsversuche ein, die ein Benutzer auf sein Konto hat.
Wiederholungsdauer	Geben Sie das Zeitintervall in Minuten ein, nach dessen Ablauf das Konto des Benutzers bei fehlgeschlagenen Anmeldeversuchen gesperrt wird. Wenn Sie beispielsweise für Wiederholungsanzahl den Wert 5 und für Wiederholungsdauer 1 Minute festlegen, wird das Konto des Benutzers nach 5 fehlgeschlagenen Anmeldeversuchen innerhalb einer Minute gesperrt.
Sperrdauer	Geben Sie den Zeitraum ein, für den das Benutzerkonto gesperrt bleibt. Nach Ablauf dieses Zeitraums wird die Kontosperre automatisch aufgehoben.

Aktivieren Sie im Abschnitt „Status“ diesen Authentifizierungsserver.

(Optional) Konfigurieren Sie die sekundäre Authentifizierung.

Optionen	Beschreibung
Diesen Server für die sekundäre Authentifizierung verwenden	(Optional) Geben Sie an, ob der Server als zweite Authentifizierungsebene verwendet werden soll.
Sitzung bei Fehlschlag der Authentifizierung beenden	(Optional) Geben Sie an, ob die VPN-Sitzung beendet werden soll, wenn die Authentifizierung fehlschlägt.

Klicken Sie auf Behalten.

(Optional) Um die Clientzertifikatauthentifizierung zu aktivieren, klicken Sie auf Zertifikat ändern, aktivieren Sie die Umschaltoption für die Aktivierung und wählen Sie das zu verwendende CA-Zertifikat aus. Klicken Sie anschließend auf OK.

Nächste Maßnahme

Fügen Sie dem lokalen Authentifizierungsserver lokale Benutzer hinzu, damit diese eine Verbindung mit SSL VPN-Plus herstellen können. Weitere Informationen finden Sie unter Hinzufügen von SSL VPN-Plus-Benutzern zum lokalen SSL VPN-Plus-Authentifizierungsserver auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.

Erstellen Sie ein Installationspaket, das den SSL-Client enthält, damit Remotebenutzer ihn auf ihren lokalen Systemen installieren können. Weitere Informationen finden Sie unter Hinzufügen eines Installationspakets für den SSL VPN-Plus Client auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.