En las páginas de configuración del administrador puede configurar los protocolos de seguridad y los algoritmos criptográficos que se utilizan para cifrar las comunicaciones entre los clientes y el dispositivo de Unified Access Gateway.

Requisitos previos

  • Revisar las propiedades de implementación de Unified Access Gateway. La siguiente información es necesaria:
    • Dirección IP estática para el dispositivo de Unified Access Gateway
    • Direcciones IP de los servidores DNS
      Nota: Se puede especificar un máximo de dos direcciones IP de servidor DNS.

      Unified Access Gateway usa las direcciones DNS públicas de reserva predeterminadas de la plataforma solo cuando no se proporciona ninguna dirección de servidor DNS a Unified Access Gateway como parte de las opciones de configuración o a través de DHCP.

    • Contraseña de la consola de administración
    • URL de la instancia del servidor o el equilibrador de carga al que el dispositivo de Unified Access Gateway se dirige
    • URL del servidor syslog para guardar los archivos de registro de eventos

Procedimiento

  1. En la sección de configuración manual de la interfaz de usuario del administrador, haga clic en Seleccionar.
  2. En la sección Configuración avanzada, haga clic en el icono de engranaje de Configuración del sistema.
  3. Edite los siguientes valores de la configuración del dispositivo de Unified Access Gateway.
    Opción Valor predeterminado y descripción
    Nombre de UAG Nombre único del dispositivo Unified Access Gateway.
    Nota: El nombre del dispositivo es una cadena de texto que puede incluir un máximo de 24 caracteres, entre los que se incluyen letras (A-Z), dígitos (0-9), signos menos (-) y puntos (.). Sin embargo, el nombre del dispositivo no puede contener espacios.
    Configuración regional

    Especifica la configuración regional que se va a utilizar al generar mensajes de error.

    • en_US para inglés americano. Este es el valor predeterminado.
    • ja_JP para japonés
    • fr_FR para francés
    • de_DE para alemán
    • zh_CN para chino simplificado
    • zh_TW para chino tradicional
    • ko_KR para coreano
    • es para español
    • pt_BR para portugués de Brasil
    • en_GB para inglés británico
    Conjuntos de cifrado de servidor TLS Introduzca una lista separada por comas de conjuntos de cifrado, que son algoritmos criptográficos utilizados para cifrar las conexiones TLS entrantes a Unified Access Gateway

    Esta opción se utiliza con algunas otras opciones, como las versiones de TLS, los grupos con nombre, los esquemas de firma, etc., que se utilizan para habilitar varios protocolos de seguridad.

    Los conjuntos de cifrado del servidor TLS compatibles con el modo FIPS son los siguientes:
    • Conjuntos de cifrado habilitados de forma predeterminada:
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • Conjuntos de cifrado compatibles y que se pueden configurar manualmente:
      • TLS_RSA_WITH_AES_256_CBC_SHA256
      • TLS_RSA_WITH_AES_128_CBC_SHA256
      • TLS_RSA_WITH_AES_256_CBC_SHA
      • TLS_RSA_WITH_AES_128_CBC_SHA
    Los conjuntos de cifrado del servidor TLS predeterminados que se admiten en el modo no FIPS son los siguientes:
    • TLS_AES_128_GCM_SHA256
    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Esta opción se puede configurar durante la implementación de PowerShell agregando el parámetro cipherSuites en el archivo ini. Consulte Ejecutar un script de PowerShell para implementar.

    Conjuntos de cifrado de cliente TLS Introduzca una lista separada por comas de conjuntos de cifrado, que son algoritmos criptográficos utilizados para cifrar las conexiones TLS salientes a Unified Access Gateway

    Esta opción se utiliza con algunas otras opciones, como las versiones de TLS, los grupos con nombre, los esquemas de firma, etc., que se utilizan para habilitar varios protocolos de seguridad.

    Los siguientes conjuntos de cifrado son compatibles con el modo FIPS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
    • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_RSA_WITH_AES_256_CBC_SHA256
    • TLS_RSA_WITH_AES_128_CBC_SHA256
    • TLS_RSA_WITH_AES_256_CBC_SHA
    • TLS_RSA_WITH_AES_128_CBC_SHA

    En el modo que no es FIPS, de forma predeterminada, se pueden utilizar todos los conjuntos de cifrado compatibles con la biblioteca SSL (Java/Open SSL).

    Esta opción se puede configurar durante la implementación de PowerShell agregando el parámetro outboundCipherSuites en el archivo ini. Consulte Ejecutar un script de PowerShell para implementar.

    Tamaño mínimo de hash SHA Seleccione el Tamaño mínimo de hash SHA para los protocolos de Horizon y todas las conexiones que no sean de Horizon durante la comunicación y para la especificación de huella digital de certificado.

    SHA-256 es el valor predeterminado. Los valores de tamaño de hash SHA admitidos son: SHA-1, SHA-256, SHA-384 y SHA-512. No se recomienda SHA-1.

    Habilitar TLS 1.1 De forma predeterminada, esta opción está desactivada.

    Active esta opción para habilitar el protocolo de seguridad TLS 1.1.

    Habilitar TLS 1.2 De forma predeterminada, esta opción está activada.

    El protocolo de seguridad TLS 1.2 está habilitado.

    Habilitar TLS 1.2 y TLS 1.3 (solo no FIPS) De forma predeterminada, esta opción está activada.

    Los protocolos de seguridad TLS 1.2 y TLS 1.3 están habilitados.

    Proveedor SSL Seleccione la implementación del proveedor de SSL utilizada para controlar las conexiones TLS.

    Para configurar TLS Named Groups y TLS Signature Schemes, el valor de esta opción debe ser JDK. De forma predeterminada, el valor de esta opción es OPENSSL.

    Nota: Cuando el valor de esta opción es JDK, no se admite la comprobación de revocación de certificados basada en OCSP. Sin embargo, se admite la comprobación de revocación de certificados basada en CRL.

    Cualquier cambio en esta opción provoca que se reinicien los servicios de Unified Access Gateway. Las sesiones de Unified Access Gateway en curso no se conservan durante el reinicio.

    Esta opción se puede configurar durante la implementación de PowerShell agregando el parámetro sslProvider en el archivo ini. Consulte Ejecutar un script de PowerShell para implementar.

    Grupos con nombre TLS Permite que el administrador configure los grupos con nombre deseados (curvas elípticas) a partir de una lista de grupos con nombre compatibles que se utilizan para el intercambio de claves durante el protocolo de enlace SSL.

    Esta opción permite valores separados por comas. Algunos de los grupos con nombre admitidos son los siguientes: secp256r1, secp384r1, secp521r1.

    Para configurar esta opción, asegúrese de que la opción SSL Provider esté establecida en JDK. De lo contrario, la opción TLS Named Groups está deshabilitada. Cualquier cambio en esta opción provoca que se reinicien los servicios de Unified Access Gateway. Las sesiones de Unified Access Gateway en curso no se conservan durante el reinicio.

    Esta opción se puede configurar durante la implementación de PowerShell agregando el parámetro tlsNamedGroups en el archivo ini. Consulte Ejecutar un script de PowerShell para implementar.

    Esquemas de firma TLS Permite al administrador configurar los algoritmos de firma TLS compatibles que se utilizan para la validación de claves durante el protocolo de enlace SSL.

    Esta opción permite valores separados por comas. Por ejemplo: algunos de los esquemas de firma admitidos son los siguientes: rsa_pkcs1_sha, rsa_pkcs1_sha256, rsa_pkcs1_sha384, rsa_pss_rsae_sha256 y rsa_pss_rsae_sha384.

    Para configurar esta opción, asegúrese de que la opción SSL Provider esté establecida en JDK. De lo contrario, la opción TLS Signature Schemes está deshabilitada. Cualquier cambio en esta opción provoca que se reinicien los servicios de Unified Access Gateway. Las sesiones de Unified Access Gateway en curso no se conservan durante el reinicio.

    Esta opción se puede configurar durante la implementación de PowerShell agregando el parámetro tlsSignatureSchemes en el archivo ini. Consulte Ejecutar un script de PowerShell para implementar.

    Encabezados de host permitidos Introduzca la dirección IP y/o el nombre de host para permitir como valores de encabezado del host. Esta opción se aplica a Horizon, a casos prácticos de proxy inverso de web y al servicio de administración en Unified Access Gateway. La validación del encabezado de host (o X-Forwarded-Host) está habilitada de forma predeterminada en los valores configurados en este campo y en una lista permitida calculada automáticamente de forma dinámica en función de la configuración de red de UAG y la configuración del servicio perimetral.

    Todos los nombres de host utilizados para acceder a Unified Access Gateway directamente, a través del equilibrador de carga o el proxy inverso, y que no se incluyan en la lista de permitidos automáticamente deben configurarse en este campo.

    Para las implementaciones de Unified Access Gateway con Horizon, si la puerta de enlace segura de Blast (BSG) o VMware Tunnel están habilitados y se configuran URL externas, estos valores se incluyen automáticamente en la lista de valores de host permitidos. No se requiere una configuración explícita de estos valores.

    Para las implementaciones de Unified Access Gateway con configuraciones de proxy inverso de web, los patrones de host de proxy y URL externos se incluyen en la lista de valores de host permitidos automáticamente.

    Cuando se implementa Unified Access Gateway con una IP virtual (VIP) N+1, la dirección IP virtual se incluye en la lista de permitidos automáticamente. Además, las direcciones IP que no son de bucle invertido de UAG y el nombre de host interno también se incluyen en esta lista y se permiten de forma predeterminada.

    Certificado CA Esta opción está habilitada cuando se agrega un servidor syslog. Seleccione un certificado de autoridad de certificación de syslog válido.
    URL de comprobación de estado Introduzca una URL a la que se conecta el equilibrador de carga y comprueba el estado de Unified Access Gateway.
    Monitor de estado HTTP De forma predeterminada, esta opción está desactivada. La configuración predeterminada redirecciona las solicitudes de URL de comprobación de estado HTTP a HTTPS. Al activar esta opción, Unified Access Gateway responde a la solicitud de comprobación de estado incluso en HTTP.
    Cookies que se deben almacenar en caché Conjunto de cookies que Unified Access Gateway almacena en caché. El valor predeterminado es ninguno.
    Tiempo de espera de la sesión El valor predeterminado es 36.000.000 milisegundos.
    Nota: El valor de Session Timeout en Unified Access Gateway debe ser el mismo que el valor del ajuste Forcibly disconnect users de Horizon Connection Server.

    El ajuste Forcibly disconnect users es una de las opciones globales generales de Horizon Console. Para obtener más información sobre esta opción, consulte Configuración de las opciones de las sesiones cliente en la documentación de Administración de VMware Horizon en VMware Docs.

    Modo inactivo Active esta opción para pausar el dispositivo de Unified Access Gateway a fin de conseguir un estado coherente a la hora de realizar las tareas de mantenimiento
    Intervalo monitor El valor predeterminado es 60.
    Habilitar compatibilidad con la sustitución de certificados SAML Active esta opción para generar metadatos de SP de SAML con un identificador de entidad basado en certificados. El identificador de entidad basado en certificados admite una sustitución de certificados fluida con configuraciones de SP independientes en el IDP. Para cambiar este valor, debe volver a configurar el IDP.
    Vigencia de la contraseña Número de días que la contraseña es válida para el usuario con la función de administrador.

    El valor predeterminado es 90 días. El valor máximo que se puede configurar es 999 días.

    Para que la contraseña nunca caduque, especifique el valor de este campo como 0.

    Vigencia de la contraseña de los usuarios de supervisión Número de días que la contraseña es válida para los usuarios con la función de supervisión.

    El valor predeterminado es 90 días. El valor máximo que se puede configurar es 999 días.

    Para que la contraseña nunca caduque, especifique el valor de este campo como 0.

    Tiempo de espera de solicitud Indica el tiempo máximo que Unified Access Gateway espera para recibir una solicitud.

    El valor predeterminado es 3000.

    Este tiempo de espera debe especificarse en milisegundos.

    Tiempo de espera de recepción de cuerpo Indica el tiempo máximo que Unified Access Gateway espera para recibir el cuerpo de una solicitud.

    El valor predeterminado es 5000.

    Este tiempo de espera debe especificarse en milisegundos.

    Máximo de conexiones por sesión Número máximo de conexiones TCP permitidas por sesión TLS.

    El valor predeterminado es 16.

    Para que no haya límite en el número permitido de conexiones TCP, establezca el valor de este campo en 0.

    Nota: Un valor de campo de 8 o inferior provoca errores en Horizon Client.
    Tiempo de espera inactivo de la conexión del cliente Especifique el tiempo (en segundos) que una conexión de cliente puede permanecer inactiva antes de que se cierre la conexión. El valor predeterminado es 360 segundos (6 minutos). Un valor de cero indica que no hay ningún tiempo de espera de inactividad.
    Tiempo de espera de autenticación

    El tiempo de espera máximo en milisegundos antes del cual debe producirse la autenticación. El valor predeterminado es 300000. Si se especifica 0, indica que no hay ningún límite de tiempo para la autenticación.

    Tolerancia de sesgo del reloj Introduzca la diferencia de tiempo permitida en segundos entre un reloj de Unified Access Gateway y los demás relojes de la misma red. El valor predeterminado es 600 segundos.
    Máximo de CPU del sistema permitido Indica el promedio máximo permitido de uso de la CPU del sistema en un minuto.

    Cuando se supera el límite de CPU configurado, no se permiten nuevas sesiones y el cliente recibe un error HTTP 503 para indicar que el dispositivo de Unified Access Gateway está sobrecargado temporalmente. Además, el límite superado también permite a un equilibrador de carga marcar el dispositivo de Unified Access Gateway en modo inactivo para que las nuevas solicitudes puedan dirigirse a otros dispositivos de Unified Access Gateway.

    El valor es un porcentaje.

    El valor predeterminado es 100%.

    Unirse a CEIP Si se habilita, se envía información del Programa de mejora de la experiencia de cliente ("CEIP") a VMware.
    Habilitar SNMP Active esta opción para habilitar el servicio SNMP. SNMP (Protocolo simple de administración de redes) recopila estadísticas del sistema e información de memoria, estadísticas de uso de espacio en disco y MIB del servicio perimetral de Tunnel mediante Unified Access Gateway. La lista de la base de información de administración (MIB) disponible,
    • UCD-SNMP-MIB::systemStats
    • UCD-SNMP-MIB::memory
    • UCD-SNMP-MIB::dskTable
    • VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
    Versión de SNMP Seleccione la versión de SNMP deseada.

    Si se selecciona SNMPv1+v2 como protocolo SNMP, puede agregar un nombre de comunidad de SNMP personalizado.

    Nota: Debe habilitar SNMP antes de configurar Tunnel. Si habilita SNMP después de configurar Tunnel, debe volver a guardar la configuración de Tunnel para que la configuración de SNMP entre en vigor.

    Si ha implementado Unified Access Gateway a través de PowerShell, ha habilitado SNMP, pero no ha configurado los ajustes de SNMPv3 a través de PowerShell o la interfaz de usuario del administrador de Unified Access Gateway, se utilizan las versiones de SNMPv1+SNMPv2c de forma predeterminada.

    Estos son los pasos adicionales para configurar los ajustes de SNMPv3 en la interfaz de usuario del administrador:
    1. Introduzca el nombre de Usuario USM de SNMPv3.
    2. Introduzca el Identificador de motor de SNMP.

      Este valor es único para cada dispositivo de Unified Access Gateway.

      La longitud máxima del identificador del motor está limitada a 27 caracteres.

    3. Seleccione el Nivel de seguridad de SNMPv3.
    4. En función del nivel de seguridad seleccionado en el paso anterior, realice las siguientes acciones:
    Nivel de seguridad Acciones
    No Auth, No Priv

    (Sin autenticación, sin privacidad)

    Haga clic en Guardar.

    No es necesario realizar ninguna otra acción.

    Auth, No Priv

    (Autenticación, sin privacidad)

    1. Seleccione el Algoritmo de autenticación de SNMPv3.
    2. Introduzca la Contraseña de autenticación de SNMPv3.

      La contraseña debe tener al menos 8 caracteres.

    3. Seleccione la opción Confirmar contraseña de autenticación para confirmar la introducida en el paso anterior.
    4. Haga clic en Guardar.
    Auth, Priv

    (Autenticación, privacidad)

    1. Seleccione el Algoritmo de autenticación de SNMPv3.

      Los valores admitidos son los siguientes: MD5 (Not Recommended), SHA (Not Recommended), SHA-224, SHA-256, SHA-384 y SHA-512.

    2. Introduzca la Contraseña de autenticación de SNMPv3.

      La contraseña debe tener al menos 8 caracteres.

    3. Confirme la Contraseña de autenticación introducida en el paso anterior.
    4. Seleccione el Algoritmo de privacidad de SNMPv3.

      Los valores admitidos son DES y AES.

    5. Seleccione la Contraseña de privacidad de SNMPv3.

      La contraseña debe tener al menos 8 caracteres.

    6. Seleccione la opción Confirmar contraseña de privacidad para confirmar la introducida en el paso anterior.
    7. Haga clic en Guardar.
    Comunidad de SNMP Introduzca un nombre de compatibilidad de SNMP personalizado para utilizarlo. Si este campo se deja en blanco, se utiliza "public".
    Texto de descargo de responsabilidad de administrador Introduzca el texto de exención de responsabilidades en función de la directiva de acuerdo de usuario de su organización.

    Para que un administrador inicie sesión correctamente en la interfaz de usuario del administrador de Unified Access Gateway, el administrador debe aceptar la directiva de acuerdo.

    El texto de exención de responsabilidades se puede configurar a través de la implementación de PowerShell o a través de la interfaz de usuario del administrador de Unified Access Gateway. Para obtener más información sobre la configuración de PowerShell en el archivo INI, consulte Ejecutar un script de PowerShell para implementar.

    Mientras se usa la interfaz de usuario del administrador de Unified Access Gateway para configurar este cuadro de texto, el administrador primero debe iniciar sesión en la interfaz de usuario del administrador y, a continuación, configurar el texto de exención de responsabilidades. En los siguientes inicios de sesión del administrador, se muestra el texto para que lo acepte el administrador antes de acceder a la página de inicio de sesión.

    DNS Introduzca las direcciones de sistema de nombres de dominio que se agregan al archivo de configuración /run/systemd/resolve/resolv.conf. Debe contener una dirección de búsqueda de DNS válida. Haga clic en "+" para agregar una nueva dirección DNS.
    Búsqueda de DNS Introduzca la búsqueda del sistema de nombres de dominio que se agrega al archivo de configuración /run/systemd/resolve/resolv.conf. Debe contener una dirección de búsqueda de DNS válida. Haga clic en "+" para agregar una nueva entrada de búsqueda de DNS.
    Sincronización de hora con el host Active esta opción para sincronizar la hora en el dispositivo de Unified Access Gateway con la hora del host ESXi.

    De forma predeterminada, esta opción está desactivada.

    Esta opción utiliza VMware Tools para la sincronización de hora y solo se admite cuando se implementa Unified Access Gateway en el host ESXi.

    Si elige esta opción para la sincronización de hora, se deshabilitan las opciones NTP Servers y FallBack NTP Servers.

    Esta opción se puede configurar a través de PowerShell agregando el parámetro hostClockSyncEnabled en el archivo INI. Consulte Ejecutar un script de PowerShell para implementar.

    Servidores NTP Servidores NTP para la sincronización del protocolo de tiempo de redes. Puede introducir direcciones IP y nombres de host válidos. Cualquier servidor NTP por interfaz obtenido de la configuración systemd-networkd.service o a través de DHCP tendrá prioridad sobre estas configuraciones. Haga clic en "+" para agregar un nuevo servidor NTP.

    Si elige esta opción para la sincronización de hora, se deshabilita Time Sync With Host.

    Servidores NTP de reserva Servidores NTP de reserva para la sincronización del protocolo de tiempo de redes. Si no se encuentra la información del servidor NTP, se utilizarán las direcciones IP o los nombres de host del servidor NTP de reserva. Haga clic en "+" para agregar un nuevo servidor NTP de reserva.

    Si elige esta opción para la sincronización de hora, se deshabilita Time Sync With Host.

    Validación de certificado de servidor extendida Active esta opción para asegurarse de que Unified Access Gateway realice una validación extendida en el certificado de servidor SSL recibido para las conexiones TLS salientes a los servidores back-end.

    Las comprobaciones extendidas incluyen la validación de la caducidad del certificado, la falta de coincidencia en el nombre de host, el estado de revocación del certificado y los valores de uso de claves extendidos.

    De forma predeterminada, esta opción está deshabilitada.

    Esta opción se puede configurar a través de PowerShell agregando el parámetro extendedServerCertValidationEnabled en el archivo ini. Consulte Ejecutar un script de PowerShell para implementar.

    Claves públicas SSH Cargue claves públicas para habilitar el acceso de usuarios raíz a la máquina virtual de Unified Access Gateway al utilizar la opción par de claves pública-privada.

    Los administradores pueden cargar varias claves públicas únicas para Unified Access Gateway.

    Este campo se puede ver en la interfaz de usuario del administrador solo cuando las siguientes opciones de SSH están establecidas como true durante la implementación: Habilitar SSH y Permitir inicio de sesión root de SSH mediante par de claves. Para obtener información sobre estos métodos, consulte Implementar en vSphere mediante el asistente de plantillas de OVF.

  4. Haga clic en Guardar.

Qué hacer a continuación

Configure las opciones del servicio perimetral de los componentes con los que Unified Access Gateway está implementado. Una vez configuradas las opciones del servicio perimetral, configure las de autenticación.