En las páginas de configuración del administrador puede configurar los protocolos de seguridad y los algoritmos criptográficos que se utilizan para cifrar las comunicaciones entre los clientes y el dispositivo de Unified Access Gateway.

Requisitos previos

  • Revisar las propiedades de implementación de Unified Access Gateway. La siguiente información es necesaria:
    • Dirección IP estática para el dispositivo de Unified Access Gateway
    • Direcciones IP de los servidores DNS
      Nota: Se puede especificar un máximo de dos direcciones IP de servidor DNS.

      Si no se especifica ninguna dirección IP de servidor DNS, Unified Access Gateway usa las direcciones DNS públicas de reserva predeterminadas de la plataforma.

    • Contraseña de la consola de administración
    • URL de la instancia del servidor o el equilibrador de carga al que el dispositivo de Unified Access Gateway se dirige
    • URL del servidor syslog para guardar los archivos de registro de eventos

Procedimiento

  1. En la sección de configuración manual de la interfaz de usuario del administrador, haga clic en Seleccionar.
  2. En la sección Configuración avanzada, haga clic en el icono de engranaje de Configuración del sistema.
  3. Edite los siguientes valores de la configuración del dispositivo de Unified Access Gateway.
    Opción Valor predeterminado y descripción
    Nombre de UAG El nombre único del dispositivo UAG.
    Configuración regional

    Especifica la configuración regional que se va a utilizar al generar mensajes de error.

    • en_US para inglés americano. Este es el valor predeterminado.
    • ja_JP para japonés
    • fr_FR para francés
    • de_DE para alemán
    • zh_CN para chino simplificado
    • zh_TW para chino tradicional
    • ko_KR para coreano
    • es para español
    • pt_BR para portugués de Brasil
    • en_BR para inglés británico
    Conjuntos de claves de cifrado En la mayoría de los casos no es necesario cambiar la configuración predeterminada. Se trata de los algoritmos criptográficos que se utilizan para cifrar las comunicaciones entre los clientes y el dispositivo de Unified Access Gateway. La configuración del cifrado se utiliza para habilitar varios protocolos de seguridad.
    TLS 1.0 habilitado El valor predeterminado es NO.

    Seleccione para habilitar el protocolo de seguridad TLS 1.0.

    TLS 1.1 habilitado El valor predeterminado es NO.

    Seleccione para habilitar el protocolo de seguridad TLS 1.1.

    TLS 1.2 habilitado El valor predeterminado es YES.

    El protocolo de seguridad TLS 1.2 está habilitado.

    TLS 1.3 habilitado El valor predeterminado es YES

    El protocolo de seguridad TLS 1.3 está habilitado.

    Tipo de syslog Seleccione el tipo de syslog en la lista desplegable. Las opciones son:
    • UDP: los mensajes de syslog se envían a través de la red en texto sin formato a través de UDP. Esta es la opción predeterminada.
    • TLS: se agrega el cifrado TLS entre dos servidores syslog para mantener los mensajes protegidos.
    Nota: Esto es aplicable para Unified Access Gateway 3.7 y versiones posteriores.
    URL de syslog Cuando el tipo de syslog se establece en UDP, esta opción está habilitada. Introduzca la URL del servidor syslog que se utiliza para registrar los eventos de Unified Access Gateway. Este valor puede ser una URL, un nombre de host o una dirección IP. Si no configura la URL del servidor syslog, no se registrará ningún evento.

    Se puede proporcionar el número máximo de dos direcciones URL. Las direcciones URL están separadas por comas. Ejemplo: syslog://server1.example.com:514, syslog://server2.example.com:514

    De forma predeterminada, se registran los eventos de los servicios perimetrales de Secure Email Gateway y Content Gateway. Para registrar eventos en el servidor syslog para el servicio perimetral de Tunnel Gateway configurado en Unified Access Gateway, un administrador debe configurar syslog en Workspace ONE UEM Console con la información. Syslog Hostname=localhost and Port=514

    Para obtener más información acerca de syslog en Workspace ONE UEM, consulte Configurar VMware Tunnel en la Documentación de VMware Workspace ONE UEM Console en VMware Docs.

    Servidores syslog Cuando el tipo de syslog se establece en TLS, esta opción está habilitada. Introduzca la URL del servidor syslog que se utiliza para registrar los eventos de Unified Access Gateway. Este valor puede ser una URL, un nombre de host o una dirección IP. Si no configura la URL del servidor syslog, no se registrará ningún evento.

    Se puede proporcionar el número máximo de dos direcciones URL. Las direcciones URL están separadas por comas. Ejemplo: syslog://server1.example.com:514, syslog://server2.example.com:514

    De forma predeterminada, se registran los eventos de los servicios perimetrales de Secure Email Gateway y Content Gateway. Para registrar eventos en el servidor syslog para el servicio perimetral de Tunnel Gateway configurado en Unified Access Gateway, un administrador debe configurar syslog en Workspace ONE UEM Console con la información. Syslog Hostname=localhost and Port=514

    Nota: Esto es aplicable para Unified Access Gateway 3.7 y versiones posteriores.
    URL de auditoría de Syslog Introduzca la URL del servidor syslog que se utiliza para registrar los eventos de auditoría de Unified Access Gateway. Este valor puede ser una URL, un nombre de host o una dirección IP. Si no configura la URL del servidor syslog, no se registrará ningún evento de auditoría.

    Se puede proporcionar el número máximo de dos direcciones URL. Las direcciones URL están separadas por comas. Ejemplo: syslog://server1.example.com:514, syslog://server2.example.com:514

    Certificado CA Esta opción está habilitada cuando se agrega un servidor syslog. Seleccione un certificado de autoridad de certificación de syslog válido.
    Certificado de cliente syslog
    Nota: Esta opción solo está habilitada cuando se agrega un servidor syslog a la IU de administrador de Unified Access Gateway.

    Seleccione un certificado de cliente de syslog válido en el formato PEM.

    Clave de certificado de cliente syslog
    Nota: Esta opción solo está habilitada cuando se agrega un servidor syslog a la IU de administrador de Unified Access Gateway.

    Seleccione una clave de certificado de cliente de syslog válida en el formato PEM.

    Nota: Cuando se implementa Unified Access Gateway mediante PowerShell, si se proporciona un certificado o una clave no válidos o caducados, la instancia de la interfaz de usuario de administración no estará disponible.
    URL de comprobación de estado Introduzca una URL a la que se conecta el equilibrador de carga y comprueba el estado de Unified Access Gateway.
    Cookies que se deben almacenar en caché Conjunto de cookies que Unified Access Gateway almacena en caché. El valor predeterminado es ninguno.
    Tiempo de espera de la sesión El valor predeterminado es 36.000.000 milisegundos.
    Modo inactivo Habilite para pausar el dispositivo de Unified Access Gateway a fin de conseguir un estado coherente a la hora de realizar las tareas de mantenimiento
    Intervalo monitor El valor predeterminado es 60.
    Vigencia de la contraseña Duración de la validez de la contraseña de administrador actual. El valor predeterminado es 90 días. Indique cero (0) si la contraseña no caduca.
    Tiempo de espera de solicitud Indica el tiempo máximo que Unified Access Gateway espera para recibir una solicitud.

    El valor predeterminado es 3000.

    Este tiempo de espera debe especificarse en milisegundos.

    Tiempo de espera de recepción de cuerpo Indica el tiempo máximo que Unified Access Gateway espera para recibir el cuerpo de una solicitud.

    El valor predeterminado es 5000.

    Este tiempo de espera debe especificarse en milisegundos.

    Máximo de conexiones por sesión Número máximo de conexiones TCP permitidas por sesión TLS.

    El valor predeterminado es 16.

    Para que no haya límite en el número permitido de conexiones TCP, establezca el valor de este campo en 0.

    Nota: Un valor de campo de 8 o inferior provoca errores en Horizon Client.
    Tiempo de espera inactivo de la conexión del cliente Especifique el tiempo (en segundos) que una conexión de cliente puede permanecer inactiva antes de que se cierre la conexión. El valor predeterminado es 360 segundos (6 minutos). Un valor de cero indica que no hay ningún tiempo de espera de inactividad.
    Tiempo de espera de autenticación

    El tiempo de espera máximo en milisegundos antes del cual debe producirse la autenticación. El valor predeterminado es 300000. Si se especifica 0, indica que no hay ningún límite de tiempo para la autenticación.

    Tolerancia de sesgo del reloj Introduzca la diferencia de tiempo permitida en segundos entre un reloj de Unified Access Gateway y los demás relojes de la misma red. El valor predeterminado es 600 segundos.
    Máximo de CPU del sistema permitido Indica el promedio máximo permitido de uso de la CPU del sistema en un minuto.

    Cuando se supera el límite de CPU configurado, no se permiten nuevas sesiones y el cliente recibe un error HTTP 503 para indicar que el dispositivo de Unified Access Gateway está sobrecargado temporalmente. Además, el límite superado también permite a un equilibrador de carga marcar el dispositivo de Unified Access Gateway en modo inactivo para que las nuevas solicitudes puedan dirigirse a otros dispositivos de Unified Access Gateway.

    El valor es un porcentaje.

    El valor predeterminado es 100%.

    Unirse a CEIP Si se habilita, se envía información del Programa de mejora de la experiencia de cliente ("CEIP") a VMware. Consulte más información en Unirse al Programa de mejora de la experiencia de cliente o abandonarlo.
    Habilitar SNMP Cambie a para habilitar el servicio SNMP. SNMP (Protocolo simple de administración de redes) recopila estadísticas del sistema e información de memoria y MIB del servicio perimetral de Tunnel mediante Unified Access Gateway.
    Nota: Debe habilitar SNMP antes de configurar Tunnel. Si habilita SNMP después de configurar Tunnel, debe volver a guardar la configuración de Tunnel para que la configuración de SNMP entre en vigor.
    La lista de la base de información de administración (MIB) disponible,
    • UCD-SNMP-MIB::systemStats
    • UCD-SNMP-MIB::memory
    • VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
    Texto de descargo de responsabilidad de administrador Introduzca el texto de exención de responsabilidades en función de la directiva de acuerdo de usuario de su organización.

    Para que un administrador inicie sesión correctamente en la interfaz de usuario del administrador de Unified Access Gateway, el administrador debe aceptar la directiva de acuerdo.

    El texto de exención de responsabilidades se puede configurar a través de la implementación de PowerShell o a través de la interfaz de usuario del administrador de Unified Access Gateway. Para obtener más información sobre la configuración de PowerShell en el archivo INI, consulte Utilizar PowerShell para implementar el dispositivo de Unified Access Gateway.

    Mientras se usa la interfaz de usuario del administrador de Unified Access Gateway para configurar este cuadro de texto, el administrador primero debe iniciar sesión en la interfaz de usuario del administrador y, a continuación, configurar el texto de exención de responsabilidades. En los siguientes inicios de sesión del administrador, se muestra el texto para que lo acepte el administrador antes de acceder a la página de inicio de sesión.

    DNS Introduzca las direcciones de sistema de nombres de dominio que se agregan al archivo de configuración /run/systemd/resolve/resolv.conf. Debe contener una dirección de búsqueda de DNS válida. Haga clic en "+" para agregar una nueva dirección DNS.
    Búsqueda de DNS Introduzca la búsqueda de sistema de nombres de dominio que se agrega al archivo de configuración /etc/resolv.conf. Debe contener una dirección de búsqueda de DNS válida. Haga clic en "+" para agregar una nueva entrada de búsqueda de DNS.
    Servidores NTP Servidores NTP para la sincronización del protocolo de tiempo de redes. Puede introducir direcciones IP y nombres de host válidos. Cualquier servidor NTP por interfaz obtenido de la configuración systemd-networkd.service o a través de DHCP tendrá prioridad sobre estas configuraciones. Haga clic en "+" para agregar un nuevo servidor NTP.
    Servidores NTP de reserva Servidores NTP de reserva para la sincronización del protocolo de tiempo de redes. Si no se encuentra la información del servidor NTP, se utilizarán las direcciones IP o los nombres de host del servidor NTP de reserva. Haga clic en "+" para agregar un nuevo servidor NTP de reserva.
    Claves públicas SSH Cargue claves públicas para habilitar el acceso de usuarios raíz a Unified Access Gateway al utilizar la opción par de claves pública-privada.

    Los administradores pueden cargar varias claves públicas únicas para Unified Access Gateway.

    Este campo se puede ver en la interfaz de usuario del administrador solo cuando las siguientes opciones de SSH están establecidas como true durante la implementación: Habilitar SSH y Permitir inicio de sesión root de SSH mediante par de claves. Para obtener información sobre estos métodos, consulte Implementar Unified Access Gateway mediante el asistente de plantillas OVF.

  4. Haga clic en Guardar.

Qué hacer a continuación

Configure las opciones del servicio perimetral de los componentes con los que Unified Access Gateway está implementado. Una vez configuradas las opciones del servicio perimetral, configure las de autenticación.