En las páginas de configuración del administrador puede configurar los protocolos de seguridad y los algoritmos criptográficos que se utilizan para cifrar las comunicaciones entre los clientes y el dispositivo de Unified Access Gateway.

Requisitos previos

  • Revisar las propiedades de implementación de Unified Access Gateway. La siguiente información es necesaria:
    • Dirección IP estática para el dispositivo de Unified Access Gateway
    • Direcciones IP de los servidores DNS
      Nota: Se puede especificar un máximo de dos direcciones IP de servidor DNS.

      Unified Access Gateway usa las direcciones DNS públicas de reserva predeterminadas de la plataforma solo cuando no se proporciona ninguna dirección de servidor DNS a UAG como parte de las opciones de configuración o a través de DHCP.

    • Contraseña de la consola de administración
    • URL de la instancia del servidor o el equilibrador de carga al que el dispositivo de Unified Access Gateway se dirige
    • URL del servidor syslog para guardar los archivos de registro de eventos

Procedimiento

  1. En la sección de configuración manual de la interfaz de usuario del administrador, haga clic en Seleccionar.
  2. En la sección Configuración avanzada, haga clic en el icono de engranaje de Configuración del sistema.
  3. Edite los siguientes valores de la configuración del dispositivo de Unified Access Gateway.
    Opción Valor predeterminado y descripción
    Nombre de UAG Nombre único del dispositivo Unified Access Gateway.
    Nota: El nombre del dispositivo es una cadena de texto que puede incluir un máximo de 24 caracteres, entre los que se incluyen letras (A-Z), dígitos (0-9), signos menos (-) y puntos (.). Sin embargo, el nombre del dispositivo no puede contener espacios.
    Configuración regional

    Especifica la configuración regional que se va a utilizar al generar mensajes de error.

    • en_US para inglés americano. Este es el valor predeterminado.
    • ja_JP para japonés
    • fr_FR para francés
    • de_DE para alemán
    • zh_CN para chino simplificado
    • zh_TW para chino tradicional
    • ko_KR para coreano
    • es para español
    • pt_BR para portugués de Brasil
    • en_GB para inglés británico
    Conjuntos de claves de cifrado En la mayoría de los casos no es necesario cambiar la configuración predeterminada. Se trata de los algoritmos criptográficos que se utilizan para cifrar las comunicaciones entre los clientes y el dispositivo de Unified Access Gateway. La configuración del cifrado se utiliza para habilitar varios protocolos de seguridad.
    TLS 1.0 habilitado El valor predeterminado es NO.

    Seleccione para habilitar el protocolo de seguridad TLS 1.0.
    TLS 1.1 habilitado El valor predeterminado es NO.

    Seleccione para habilitar el protocolo de seguridad TLS 1.1.
    TLS 1.2 habilitado El valor predeterminado es YES.

    El protocolo de seguridad TLS 1.2 está habilitado.

    TLS 1.3 habilitado El valor predeterminado es YES

    El protocolo de seguridad TLS 1.3 está habilitado.
    Encabezados de host permitidos Introduzca la dirección IP o el nombre de host como valores de encabezado del host. Esta opción se aplica a la implementación de UAG con los casos prácticos de proxy inverso de web y Horizon.

    Para las implementaciones de UAG con Horizon, es posible que se le solicite proporcionar varios encabezados de host. Esto depende de si se utiliza una dirección IP virtual (VIP) N+1 y la puerta de enlace segura de Blast (BSG) y VMware Tunnel están habilitados y configurados para utilizar el puerto 443 de forma externa.

    Los clientes de Horizon envían la dirección IP en el encabezado del host para la solicitud de conexión de Blast. Si la BSG está configurada para utilizar el puerto 443, los encabezados de host permitidos deben contener la dirección IP externa del nombre de host de BSG configurado en la dirección URL externa de Blast para la UAG específica.

    Si no se especifican los valores de encabezado de host, se acepta cualquier valor de encabezado de host enviado por el cliente de forma predeterminada.
    Tipo de syslog Seleccione el tipo de syslog en el menú desplegable. Las opciones son:
    • UDP: los mensajes de syslog se envían a través de la red en texto sin formato a través de UDP. Esta es la opción predeterminada.
    • TLS: se agrega el cifrado TLS entre dos servidores syslog para mantener los mensajes protegidos.
    • TCP: los mensajes de syslog se transmiten a través de TCP.
    Nota: Este ajuste es aplicable para Unified Access Gateway 3.7 y versiones posteriores. La opción TCP es aplicable para Unified Access Gateway 2009 y versiones posteriores.
    URL de syslog Cuando el tipo de syslog se establece en UDP o TCP, esta opción está habilitada. Introduzca la URL del servidor syslog que se utiliza para registrar los eventos de Unified Access Gateway. Este valor puede ser una URL, un nombre de host o una dirección IP. Si no configura la URL del servidor syslog, no se registrará ningún evento.

    Se puede proporcionar el número máximo de dos direcciones URL. Las direcciones URL están separadas por comas. Ejemplo: syslog://server1.example.com:514, syslog://server2.example.com:514

    De forma predeterminada, se registran los eventos de los servicios perimetrales de Secure Email Gateway y Content Gateway. Para registrar eventos en el servidor syslog para el servicio perimetral de Tunnel Gateway configurado en Unified Access Gateway, un administrador debe configurar syslog en Workspace ONE UEM Console con la información. Syslog Hostname=localhost and Port=514

    Para obtener más información sobre syslog en Workspace ONE UEM Console, consulte el tema Configurar el túnel por aplicación de la documentación de VMware Tunnel para Linux.

    Servidores syslog Cuando el tipo de syslog se establece en TLS, esta opción está habilitada. Introduzca la URL del servidor syslog que se utiliza para registrar los eventos de Unified Access Gateway. Este valor puede ser una URL, un nombre de host o una dirección IP. Si no configura la URL del servidor syslog, no se registrará ningún evento.

    Se puede proporcionar el número máximo de dos direcciones URL. Las direcciones URL están separadas por comas. Ejemplo: syslog://server1.example.com:514, syslog://server2.example.com:514

    De forma predeterminada, se registran los eventos de los servicios perimetrales de Secure Email Gateway y Content Gateway. Para registrar eventos en el servidor syslog para el servicio perimetral de Tunnel Gateway configurado en Unified Access Gateway, un administrador debe configurar syslog en Workspace ONE UEM Console con la información. Syslog Hostname=localhost and Port=514

    Nota: Esto es aplicable para Unified Access Gateway 3.7 y versiones posteriores.
    URL de auditoría de Syslog Introduzca la URL del servidor syslog que se utiliza para registrar los eventos de auditoría de Unified Access Gateway. Este valor puede ser una URL, un nombre de host o una dirección IP. Si no configura la URL del servidor syslog, no se registrará ningún evento de auditoría.

    Se puede proporcionar el número máximo de dos direcciones URL. Las direcciones URL están separadas por comas. Ejemplo: syslog://server1.example.com:514, syslog://server2.example.com:514

    Certificado CA Esta opción está habilitada cuando se agrega un servidor syslog. Seleccione un certificado de autoridad de certificación de syslog válido.
    Certificado de cliente syslog
    Nota: Esta opción solo está habilitada cuando se agrega un servidor syslog a la IU de administrador de Unified Access Gateway.

    Seleccione un certificado de cliente de syslog válido en el formato PEM.
    Clave de certificado de cliente syslog
    Nota: Esta opción solo está habilitada cuando se agrega un servidor syslog a la IU de administrador de Unified Access Gateway.

    Seleccione una clave de certificado de cliente de syslog válida en el formato PEM.

    Nota: Cuando se implementa Unified Access Gateway mediante PowerShell, si se proporciona un certificado o una clave no válidos o caducados, la instancia de la interfaz de usuario de administración no estará disponible.
    Syslog incluye mensajes del sistema Seleccione la opción para habilitar los servicios del sistema, como haproxy, cron, ssh, kernel y system, para enviar mensajes del sistema al servidor syslog.

    La opción está establecida en No de forma predeterminada.

    Alternativamente, esta función también se puede configurar a través de la implementación de PowerShell. Para obtener más información sobre el ajuste en el archivo INI, consulte Utilizar PowerShell para implementar el dispositivo de Unified Access Gateway.
    URL de comprobación de estado Introduzca una URL a la que se conecta el equilibrador de carga y comprueba el estado de Unified Access Gateway.
    Cookies que se deben almacenar en caché Conjunto de cookies que Unified Access Gateway almacena en caché. El valor predeterminado es ninguno.
    Tiempo de espera de la sesión El valor predeterminado es 36.000.000 milisegundos.
    Modo inactivo Habilite para pausar el dispositivo de Unified Access Gateway a fin de conseguir un estado coherente a la hora de realizar las tareas de mantenimiento
    Intervalo monitor El valor predeterminado es 60.
    Vigencia de la contraseña Duración de la validez de la contraseña de administrador actual. El valor predeterminado es 90 días. Indique cero (0) si la contraseña no caduca.
    Tiempo de espera de solicitud Indica el tiempo máximo que Unified Access Gateway espera para recibir una solicitud.

    El valor predeterminado es 3000.

    Este tiempo de espera debe especificarse en milisegundos.

    Tiempo de espera de recepción de cuerpo Indica el tiempo máximo que Unified Access Gateway espera para recibir el cuerpo de una solicitud.

    El valor predeterminado es 5000.

    Este tiempo de espera debe especificarse en milisegundos.

    Máximo de conexiones por sesión Número máximo de conexiones TCP permitidas por sesión TLS.

    El valor predeterminado es 16.

    Para que no haya límite en el número permitido de conexiones TCP, establezca el valor de este campo en 0.

    Nota: Un valor de campo de 8 o inferior provoca errores en Horizon Client.
    Tiempo de espera inactivo de la conexión del cliente Especifique el tiempo (en segundos) que una conexión de cliente puede permanecer inactiva antes de que se cierre la conexión. El valor predeterminado es 360 segundos (6 minutos). Un valor de cero indica que no hay ningún tiempo de espera de inactividad.
    Tiempo de espera de autenticación

    El tiempo de espera máximo en milisegundos antes del cual debe producirse la autenticación. El valor predeterminado es 300000. Si se especifica 0, indica que no hay ningún límite de tiempo para la autenticación.
    Tolerancia de sesgo del reloj Introduzca la diferencia de tiempo permitida en segundos entre un reloj de Unified Access Gateway y los demás relojes de la misma red. El valor predeterminado es 600 segundos.
    Máximo de CPU del sistema permitido Indica el promedio máximo permitido de uso de la CPU del sistema en un minuto.

    Cuando se supera el límite de CPU configurado, no se permiten nuevas sesiones y el cliente recibe un error HTTP 503 para indicar que el dispositivo Unified Access Gateway está sobrecargado temporalmente. Además, el límite superado también permite a un equilibrador de carga marcar el dispositivo Unified Access Gateway en modo inactivo para que las nuevas solicitudes puedan dirigirse a otros dispositivos Unified Access Gateway.

    El valor es un porcentaje.

    El valor predeterminado es 100%.
    Unirse a CEIP Si se habilita, se envía información del Programa de mejora de la experiencia de cliente ("CEIP") a VMware. Consulte más información en Unirse al Programa de mejora de la experiencia de cliente o abandonarlo.
    Habilitar SNMP Cambie a para habilitar el servicio SNMP. SNMP (Protocolo simple de administración de redes) recopila estadísticas del sistema e información de memoria y MIB del servicio perimetral de Tunnel mediante Unified Access Gateway. La lista de la base de información de administración (MIB) disponible,
    • UCD-SNMP-MIB::systemStats
    • UCD-SNMP-MIB::memory
    • VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
    Versión de SNMP Seleccione la versión de SNMP deseada.
    Nota: Si ha implementado Unified Access Gateway a través de PowerShell, ha habilitado SNMP, pero no ha configurado los ajustes de SNMPv3 a través de PowerShell o la interfaz de usuario del administrador de Unified Access Gateway, se utilizan las versiones de SNMPv1 y SNMPv2c predeterminadas.

    Para configurar los ajustes de SNMPv3 en la interfaz de usuario del administrador, consulte #GUID-4E74559B-37E4-44C9-AA2D-55FA325FE114.

    Para configurar los ajustes de SNMPv3 a través de la implementación de PowerShell, se deben agregar ciertos ajustes de SNMPv3 al archivo INI. Consulte Utilizar PowerShell para implementar el dispositivo de Unified Access Gateway.
    Texto de descargo de responsabilidad de administrador Introduzca el texto de exención de responsabilidades en función de la directiva de acuerdo de usuario de su organización.

    Para que un administrador inicie sesión correctamente en la interfaz de usuario del administrador de Unified Access Gateway, el administrador debe aceptar la directiva de acuerdo.

    El texto de exención de responsabilidades se puede configurar a través de la implementación de PowerShell o a través de la interfaz de usuario del administrador de Unified Access Gateway. Para obtener más información sobre la configuración de PowerShell en el archivo INI, consulte Utilizar PowerShell para implementar el dispositivo de Unified Access Gateway.

    Mientras se usa la interfaz de usuario del administrador de Unified Access Gateway para configurar este cuadro de texto, el administrador primero debe iniciar sesión en la interfaz de usuario del administrador y, a continuación, configurar el texto de exención de responsabilidades. En los siguientes inicios de sesión del administrador, se muestra el texto para que lo acepte el administrador antes de acceder a la página de inicio de sesión.
    DNS Introduzca las direcciones de sistema de nombres de dominio que se agregan al archivo de configuración /run/systemd/resolve/resolv.conf. Debe contener una dirección de búsqueda de DNS válida. Haga clic en "+" para agregar una nueva dirección DNS.
    Búsqueda de DNS Introduzca la búsqueda de sistema de nombres de dominio que se agrega al archivo de configuración /etc/resolv.conf. Debe contener una dirección de búsqueda de DNS válida. Haga clic en "+" para agregar una nueva entrada de búsqueda de DNS.
    Servidores NTP Servidores NTP para la sincronización del protocolo de tiempo de redes. Puede introducir direcciones IP y nombres de host válidos. Cualquier servidor NTP por interfaz obtenido de la configuración systemd-networkd.service o a través de DHCP tendrá prioridad sobre estas configuraciones. Haga clic en "+" para agregar un nuevo servidor NTP.
    Servidores NTP de reserva Servidores NTP de reserva para la sincronización del protocolo de tiempo de redes. Si no se encuentra la información del servidor NTP, se utilizarán las direcciones IP o los nombres de host del servidor NTP de reserva. Haga clic en "+" para agregar un nuevo servidor NTP de reserva.
    Claves públicas SSH Cargue claves públicas para habilitar el acceso de usuarios raíz a Unified Access Gateway al utilizar la opción par de claves pública-privada.

    Los administradores pueden cargar varias claves públicas únicas para Unified Access Gateway.

    Este campo se puede ver en la interfaz de usuario del administrador solo cuando las siguientes opciones de SSH están establecidas como true durante la implementación: Habilitar SSH y Permitir inicio de sesión root de SSH mediante par de claves. Para obtener información sobre estos métodos, consulte Implementar Unified Access Gateway mediante el asistente de plantillas OVF.

  4. Haga clic en Guardar.

Qué hacer a continuación

Configure las opciones del servicio perimetral de los componentes con los que Unified Access Gateway está implementado. Una vez configuradas las opciones del servicio perimetral, configure las de autenticación.