Unified Access Gateway se pueden implementar con scripts de PowerShell. En este tipo de implementación, debe configurar los parámetros básicos en el archivo .INI.

[General] Parámetros de sección

Los parámetros de la sección [General] son válidos para todos los hipervisores.

Parámetro de INI Descripción
adminMaxConcurrentSessions

Permite configurar un límite para las sesiones de administrador simultáneas.

El valor predeterminado es 5.

El rango admitido es 1-50.

Cuando este valor se establece en 1, no se permiten sesiones simultáneas.

Si desea crear una nueva sesión cuando el número de sesiones simultáneas ya alcanza el límite, el sistema invalidará la sesión menos utilizada.

adminpasswordPolicyUnlockTime Tiempo (en minutos) durante el cual la interfaz de usuario del administrador de Unified Access Gateway se bloquea después de que el usuario administrador alcance el número de intentos de inicio de sesión fallidos configurado.

Después del bloqueo, la interfaz de usuario del administrador de Unified Access Gateway se desbloquea y el usuario administrador puede acceder a la interfaz de usuario.

El valor predeterminado es 5 minutos.

adminSessionIdleTimeoutMinutes Tiempo (en minutos) durante el cual la interfaz de usuario del administrador de Unified Access Gateway ha estado inactiva. Una vez transcurrido este tiempo de espera, la interfaz de usuario del administrador cierra sesión automáticamente.

El valor predeterminado es 10 minutos.

El valor máximo es 1440 minutos.

Si el valor del parámetro es 0, la sesión no caduca aunque esté en estado inactivo.

ceipEnabled Si se establece en TRUE, se envía información del Programa de mejora de la experiencia de cliente ("CEIP") a VMware. Consulte Unirse o abandonar el Programa de mejora de la experiencia de cliente para obtener información detallada.
communityName Un communityName válido distingue entre mayúsculas y minúsculas y puede incluir caracteres especiales.
CustomConfig (eth0CustomConfig, eth1CustomConfig, eth2CustomConfig) Los valores de configuración personalizados que deben agregarse a los archivos systemd.network se pueden proporcionar en el formato siguiente: SectionName^Parameter=Value

Las opciones de configuración admitidas actualmente son las siguientes. Si se necesita más de una opción, deben estar separadas por punto y coma:

  • DHCP^UseDNS=false

    Cuando se utiliza este valor, deshabilita el uso de las direcciones IP de DNS proporcionadas por el servidor DHCP.

  • Network^DNSOverTLS=yes;Network^DNS=192.168.1.153#dns.example.com;Network^Domains=~.;DHCP^UseDNS=false;DHCP^UseDomains=false;

    Cuando se utiliza este valor, se habilitan las consultas de DNS a través de TLS al servidor DNS específico.

En la sección [General] del archivo .ini de muestra se incluyen ejemplos de valores de configuración personalizados para eth (0, 1 y 2).

deploymentoption UAG se puede crear con una, dos o tres tarjetas de interfaz de red (NIC). Especifique onenic, twonic o threenic. El valor predeterminado es onenic, y valdría para la implementación estándar de 2 vCPU y 4 GB de RAM.

También se puede especificar onenic-large, twonic-large, threenic-large, onenic-XL, twonic-XL o threenic-XL. Las opciones -large implementan UAG con 4 vCPU y 8 GB de RAM, mientras que las opciones extragrandes (-XL) implementan UAG con 8 vCPU y 32 GB de RAM.

dsComplianceOS

El valor predeterminado es false.

Cuando se establece en true, esta marca booleana establece la configuración del sistema operativo para que esté conforme con la guía de preparación de STIG de DISA de Photon OS 4.0 actual. La complejidad de la contraseña y otros requisitos de STIG se configuran automáticamente.

Nota: Esta opción debe utilizarse con la versión FIPS cuando se requiera la conformidad de SO con la STIG de DISA.
headersToBeLogged

Introduzca una lista personalizada separada por comas de los encabezados que se registrarán,

Ejemplo: X-Forwarded-Host,host,X-Forwarded-For,X-Forwarded-Proto

El valor predeterminado de este campo se establece en X-Forwarded-For e incluye los detalles de Username, Client build y Client version.

osLoginUsername

Introduzca un nombre de usuario personalizado para el usuario con privilegios elevados durante la implementación de Unified Access Gateway.

La longitud máxima del nombre de usuario es de 32 caracteres y puede ser una combinación de a-z, 0-9, caracteres de subrayado _ y guiones -.

Cuando se configura este usuario, se desactiva el inicio de sesión raíz.

osMaxLoginLimit

Permite configurar el límite de inicios de sesión simultáneos de la consola local de Unified Access Gateway mediante un usuario no raíz con privilegios elevados.

El valor predeterminado es 10.

Nota: Esta configuración solo es efectiva cuando el usuario no raíz (osLoginUsername) está configurado para el inicio de sesión en la consola local de Unified Access Gateway. No hay límite en los inicios de sesión simultáneos del usuario raíz.
passwordPolicyFailedLockout Número de intentos de inicio de sesión fallidos permitidos para que el usuario raíz acceda a la consola de Unified Access Gateway.

El valor predeterminado es 3.

passwordPolicyMinClass Cantidad mínima de clases de tipos de caracteres que pueden utilizarse para configurar la complejidad de la contraseña raíz.

Las clases de tipos de caracteres son las siguientes: mayúsculas, minúsculas, dígitos y otros.

El valor predeterminado es 1.

Este parámetro puede configurarse con los siguientes valores: 1, 2, 3 y 4.

Si el parámetro tiene el valor predeterminado, puede utilizar caracteres de las cuatro clases. Si el valor del parámetro es 1, puede utilizar caracteres de cualquiera de las clases.

passwordPolicyMinLen Longitud mínima de la contraseña del usuario raíz.

El valor predeterminado de este parámetro es 6.

El valor máximo de este parámetro es 64.

passwordPolicyUnlockTime Tiempo durante el cual la consola de Unified Access Gateway se bloquea después de que el usuario raíz alcance el número de intentos de inicio de sesión fallidos configurado.

Después del bloqueo, la consola de Unified Access Gateway se desbloquea y el usuario raíz puede acceder a la interfaz de usuario.

El valor predeterminado es 900 segundos.

rootPasswordExpirationDays Directiva de caducidad de contraseñas para los usuarios raíz.

El tiempo de caducidad de la contraseña personalizada es 365 days.

Para evitar que la contraseña caduque, la fecha de caducidad puede establecerse en 0.

rootSessionIdleTimeoutSeconds Tiempo (en segundos) durante el cual la consola de sesión de Unified Access Gateway ha estado inactiva. Una vez transcurrido este tiempo de espera, la consola cierra sesión automáticamente.

El valor predeterminado de este parámetro al iniciar sesión en Unified Access Gateway mediante SSH en Microsoft Azure es 180 segundos, y 300 segundos para otras plataformas.

Para la sesión de la consola de serie, el valor predeterminado es 900 segundos.

El valor máximo de este parámetro es 3600 segundos.

secureRandomSource Permite configurar el origen de generador de bits aleatorios seguro que utilizan los procesos Java para las funciones criptográficas.

Esta opción solo se puede configurar en el momento de la implementación.

Los valores admitidos son: /dev/random y /dev/urandom. De forma predeterminada, se utiliza /dev/random en el modo no FIPS y /dev/urandom en el modo FIPS.

sshEnabled Cuando se establece en true, este parámetro habilita automáticamente el acceso SSH en el dispositivo implementado.

Cuando se establece en false, SSH no está habilitado.

Nota: En general, VMware no recomienda habilitar SSH en Unified Access Gateway, excepto en ciertas situaciones específicas y donde se pueda restringir el acceso.

En general, no es necesario habilitar el acceso SSH en implementaciones de Unified Access Gateway para vSphere, Hyper-V o Microsoft Azure, ya que se puede usar el acceso a la consola con esas plataformas.

En casos donde SSH está habilitado, se debe restringir el acceso al puerto TCP 22 en firewalls o grupos de seguridad a direcciones IP de origen de administradores individuales.

sshInterface

Configure la interfaz de red en la que está habilitado el inicio de sesión SSH.

De forma predeterminada, SSH está habilitado en todas las interfaces.

Los valores admitidos son eth0, eth1 y eth2 en función de la configuración.

sshLoginBannerText Opción para personalizar el texto del banner que se muestra al iniciar sesión en Unified Access Gateway mediante SSH o la consola web de vSphere Client.

Esta opción solo se puede configurar en el momento de la implementación. Si no configura este parámetro, el texto predeterminado que se muestra es VMware EUC Unified Access Gateway.

Solo se admiten caracteres ASCII en el texto personalizado. Para los textos de banner de varias líneas, \n debe utilizarse como el separador de líneas.

sshPort

Configure el puerto en el que SSH está habilitado.

El valor predeterminado es 22.

Parámetros para la implementación de vSphere o Hyper-V

Configure estos parámetros adicionales solo cuando implemente Unified Access Gateway en vSphere o Hyper-V.

Parámetro de INI Descripción
defaultGateway
Especifica la dirección de puerta de enlace predeterminada para el dispositivo UAG. Se utiliza en los siguientes casos:
  • Los perfiles de protocolo de red en vSphere no contienen una puerta de enlace predeterminada.
  • Para evitar ambigüedades cuando se utilizan varios perfiles de protocolo de red, en cada uno de ellos se especifica una puerta de enlace diferente. Un dispositivo solo puede tener una puerta de enlace predeterminada, y este valor se puede utilizar para especificarla explícitamente.

Además de la puerta de enlace predeterminada, se pueden agregar rutas de otras puertas de enlace mediante las opciones routes0, routes1 y routes2 de cada NIC.

Ejemplo: 10.108.168.xxx

ds Nombre del almacén de datos en el que se implementa el dispositivo.

Ejemplo: ds=Local Disk 1

folder
Recordatorio: Este ajuste solo es válido en implementaciones de vSphere.
Especifica la carpeta en la que se crea la máquina virtual. Implementa el dispositivo en la carpeta de máquina virtual y plantilla designada. Las carpetas de vCenter se muestran dentro de la categoría de máquina virtual y plantilla. La carpeta especificada debe existir antes de la implementación.
ip0 La dirección IPv4 para NIC0.
ipmode0 El IPMode para NIC1 (eth0), NIC2 (eth1) y NIC3 (eth2). Los modos admitidos son
STATICV4/ STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/
STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/
DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6
netBackendNetwork El nombre de la red de back-end de UAG.
netInternet El nombre de la red principal de UAG.
netManagementNetwork El nombre de la red de interfaz de administración de UAG.
netmask0 La máscara de red IPv4 para NIC0 (onenic, twonic o threenic).
source

Descargue el archivo de origen del portal de Customer Connect.

  • vSphere: nombre de archivo de ruta de acceso completo de UAG.Imagen de máquina virtual ova.
  • Hyper-V: nombre de archivo de ruta de acceso completo de UAG.Imagen de máquina virtual vhdx.

Ejemplo:

  • vSphere: C:\Users\Administrator\Desktop\UAG Resources\euc-unified-access-gateway-21.00.0.0-13578272_OVF.ova
  • Hyper-V: C:\Users\Administrator\VHDX\euc-unified-access-gateway-21.00.0.0-13578272_OVF10.vhdx
target
Recordatorio: Este ajuste solo es válido en implementaciones de vSphere.

Especifica la información del vCenter Server y el host ESX de destino. Consulte la Guía del usuario de OVF Tool para obtener más información sobre la sintaxis del destino.

El destino debe hacer referencia a un clúster o host de vCenter. No se admite la implementación directa en un host de vSphere. En este ejemplo, 192.168.0.21 es la dirección IP del host de vCenter y [email protected], el nombre de usuario del administrador de vCenter.

En los nombres de las carpetas, los hosts y los clústers utilizados en el valor target se distingue entre mayúsculas y minúsculas.

Si tiene dudas de qué valor utilizar para target, puede omitir los nombres de carpetas, etc.; OVF Tool proporcionarán una lista de valores posibles para el siguiente nivel. Esto permite formar con precisión la especificación de destino completa en un nivel a la vez.

Ejemplo:

target=vi://[email protected]@192.168.0.21/DC1/host/my folder/esx1.myco.int