Vous pouvez configurer les protocoles de sécurité et les algorithmes cryptographiques qui sont utilisés pour chiffrer les communications entre les clients et le dispositif Unified Access Gateway à partir des pages de configuration d'administration.
Conditions préalables
- Passez en revue les propriétés de déploiement Unified Access Gateway. Les informations de paramétrage suivantes sont requises :
- Adresse IP statique pour le dispositif Unified Access Gateway
- Adresses IP des serveurs DNS
Note : Vous pouvez spécifier un maximum de deux adresses IP de serveur DNS.
Unified Access Gateway utilise les adresses DNS publiques de secours par défaut de la plate-forme uniquement lorsqu'aucune adresse de serveur DNS n'est fournie à Unified Access Gateway dans le cadre des paramètres de configuration ou via DHCP.
- Mot de passe pour la console d'administration
- URL de l'instance de serveur ou de l'équilibrage de charge vers laquelle le dispositif Unified Access Gateway pointe.
- URL du serveur Syslog permettant d'enregistrer les fichiers journaux des événements
Procédure
- Dans la section Configuration manuelle de l'interface utilisateur d'administration, cliquez sur Sélectionner.
- Dans la section Paramètres avancés, cliquez sur l'icône en forme d'engrenage Configuration système.
- Modifiez les valeurs suivantes de configuration du dispositif Unified Access Gateway.
Option Valeur par défaut et description Nom UAG Nom unique du dispositif Unified Access Gateway. Note : Le nom du dispositif peut être composé d'une chaîne de texte de 24 caractères maximum comprenant des caractères alphabétiques (A-Z), des chiffres (0-9), le signe moins(-)
et la virgule(.)
. Cependant, le nom du dispositif ne peut pas contenir d'espaces.Paramètre régional Spécifie le paramètre régional à utiliser pour générer les messages d'erreur.
- en_US pour l'anglais américain. Il s'agit du réglage par défaut.
- ja_JP pour le japonais
- fr_FR pour le français
- de_DE pour l'allemand
- zh_CN pour le chinois simplifié
- zh_TW pour le chinois traditionnel
- ko_KR pour le coréen
- es pour l'espagnol
- pt_BR pour le portugais du Brésil
- en_GB pour l'anglais britannique
Suites de chiffrement du serveur TLS Entrez une liste de suites de chiffrement séparées par des virgules, qui sont des algorithmes de chiffrement utilisés pour chiffrer les connexions TLS entrantes à Unified Access Gateway Cette option est utilisée avec quelques options supplémentaires telles que les versions TLS, les groupes nommés, les schémas de signature, etc. qui sont utilisés pour activer divers protocoles de sécurité.
Les suites de chiffrement de serveur TLS prises en charge en mode FIPS sont les suivantes :- Suites de chiffrement activées par défaut :
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Suites de chiffrement prises en charge et pouvant être configurées manuellement :
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
Les suites de chiffrement du serveur TLS par défaut prises en charge en mode non-FIPS sont les suivantes :TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre cipherSuites dans le fichier ini. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Suites de chiffrement du client TLS Entrez une liste de suites de chiffrement séparées par des virgules, qui sont des algorithmes de chiffrement utilisés pour chiffrer les connexions TLS sortantes vers Unified Access Gateway. Cette option est utilisée avec quelques options supplémentaires telles que les versions TLS, les groupes nommés, les schémas de signature, etc. qui sont utilisés pour activer divers protocoles de sécurité.
Les suites de chiffrement suivantes sont prises en charge en mode FIPS :TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
En mode non-FIPS, toutes les suites de chiffrement prises en charge par la bibliothèque SSL (Java/Open SSL) peuvent être utilisées par défaut.
Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre outboundCipherSuites dans le fichier ini. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Fournisseur SSL Sélectionnez l'implémentation du fournisseur SSL utilisée pour gérer les connexions TLS. Pour configurer TLS Named Groups et TLS Signature Schemes, la valeur de cette option doit être
JDK
. Par défaut, la valeur de cette option estOPENSSL
.Note : Lorsque la valeur de cette option estJDK
, la vérification de la révocation des certificats basée sur OCSP n'est pas prise en charge. Toutefois, la vérification de la révocation des certificats basée sur la liste de révocation des certificats est prise en charge.Toute modification apportée à cette option entraîne le redémarrage des services Unified Access Gateway. Les sessions Unified Access Gateway en cours ne sont pas conservées pendant le redémarrage.
Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre sslProvider dans le fichier ini. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Groupes nommés TLS Permet à l'administrateur de configurer les groupes nommés souhaités (courbes elliptiques) à partir d'une liste de groupes nommés pris en charge utilisés pour l'échange de clés lors de l'établissement de liaison SSL. Cette option autorise les valeurs séparées par des virgules. Certains des groupes nommés pris en charge sont les suivants :
secp256r1, secp384r1, secp521r1
.Pour configurer cette option, assurez-vous que l'option SSL Provider est définie sur
JDK
. Sinon, l'option TLS Named Groups doit être désactivée. Toute modification apportée à cette option entraîne le redémarrage des services Unified Access Gateway. Les sessions Unified Access Gateway en cours ne sont pas conservées pendant le redémarrage.Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre tlsNamedGroups dans le fichier ini. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Modèles de signature TLS Permet à l'administrateur de configurer les algorithmes de signature TLS pris en charge utilisés pour la validation des clés lors de l'établissement de liaison SSL. Cette option autorise les valeurs séparées par des virgules. Par exemple, voici certains des schémas de signature pris en charge :
rsa_pkcs1_sha
,rsa_pkcs1_sha256
,rsa_pkcs1_sha384
,rsa_pss_rsae_sha256
etrsa_pss_rsae_sha384
.Pour configurer cette option, assurez-vous que l'option SSL Provider est définie sur
JDK
. Sinon, l'option TLS Signature Schemes doit être désactivée. Toute modification apportée à cette option entraîne le redémarrage des services Unified Access Gateway. Les sessions Unified Access Gateway en cours ne sont pas conservées pendant le redémarrage.Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre tlsSignatureSchemes dans le fichier ini. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Activer TLS 1.0 Par défaut, cette option est désactivée. Activez cette option pour activer le protocole de sécurité TLS 1.0.
Activer TLS 1.1 Par défaut, cette option est désactivée. Activez cette option pour activer le protocole de sécurité TLS 1.1.
Activer TLS 1.2 Par défaut, cette option est activée. Le protocole de sécurité TLS 1.2 est activé.
Activer TLS 1.3 Par défaut, cette option est activée. Le protocole de sécurité TLS 1.3 est activé.
En-têtes d'hôte autorisés Entrez l'adresse IP ou le nom d'hôte comme valeur d'en-tête de l'hôte. Ce paramètre s'applique au déploiement d'Unified Access Gateway avec des cas d'utilisation pour Horizon et le proxy inverse Web. Pour les déploiements d'Unified Access Gateway avec Horizon, vous devrez peut être fournir plusieurs en-têtes d'hôte. Cela varie selon que l'adresse IP virtuelle (VIP) N+1 est utilisée et que Blast Secure Gateway (BSG) et VMware Tunnel sont activés et configurés pour utiliser le port 443 en externe.
Les clients Horizon envoient l'adresse IP dans l'en-tête de l'hôte pour la demande de connexion à Blast. Si BSG est configuré pour utiliser le port 443, les en-têtes d'hôte autorisés doivent contenir l'adresse IP externe du nom d'hôte BSG configuré dans l'URL externe Blast pour le dispositif UAG spécifique.
Si les valeurs d'en-tête de l'hôte ne sont pas spécifiées, toute valeur d'en-tête de l'hôte envoyée par le client est acceptée par défaut.
Certificat d'autorité de certification Cette option est activée lorsqu'un serveur Syslog est ajouté. Sélectionnez un certificat d'autorité de certification Syslog valide. URL de contrôle de santé Entrez une URL à laquelle l'équilibrage de charge se connecte et vérifie la santé d'Unified Access Gateway. Moniteur de santé HTTP Par défaut, cette option est désactivée. La configuration par défaut redirige les demandes d'URL de contrôle de santé HTTP vers HTTPS. Lorsque vous activez cette option, Unified Access Gateway répond à la demande de contrôle de santé, même sur HTTP. Cookies à mettre en cache Ensemble de cookies mis en cache par Unified Access Gateway. La valeur par défaut est aucun. Délai d'expiration de session La valeur par défaut est de 36 000 000 millisecondes. Note : La valeur de Session Timeout sur Unified Access Gateway doit être la même que celle du paramètre Forcibly disconnect users sur Horizon Connection Server.Le paramètre Forcibly disconnect users est l'un des paramètres globaux généraux de la console Horizon. Pour plus d'informations sur ce paramètre, reportez-vous à la section Configuration de paramètres pour des sessions client dans la documentation Administration de VMware Horizon sur VMware Docs.
Mode de mise au repos Activez cette option pour mettre en pause le dispositif Unified Access Gateway afin d'obtenir un état cohérent permettant d'effectuer les tâches de maintenance. Surveiller l'intervalle La valeur par défaut est 60. Âge du mot de passe Nombre de jours de validité du mot de passe pour l'utilisateur dans le rôle ADMIN. La valeur par défaut est de
90
jours. La valeur maximale configurable est de999
jours.Pour que le mot de passe n'expire jamais, spécifiez la valeur
0
de ce champ.Durée de vie du mot de passe des utilisateurs pour la surveillance Nombre de jours de validité du mot de passe pour les utilisateurs dans le rôle SURVEILLANCE. La valeur par défaut est de
90
jours. La valeur maximale configurable est de999
jours.Pour que le mot de passe n'expire jamais, spécifiez la valeur
0
de ce champ.Délai d'expiration de la demande Indique le temps maximal qu'Unified Access Gateway attend pour recevoir une demande. La valeur par défaut est
3000
.Ce délai d'expiration doit être spécifié en millisecondes.
Délai d'expiration de réception du corps Indique le temps maximal qu'Unified Access Gateway attend pour recevoir un corps de demande. L'option par défaut est
5000
.Ce délai d'expiration doit être spécifié en millisecondes.
Nombre maximal de connexions par session Nombre maximal de connexions TCP autorisées par session TLS. La valeur par défaut est
16
.Pour n'appliquer aucune limite au nombre de connexions TCP autorisées, définissez la valeur de ce champ sur
0
.Note : Une valeur du champ inférieure ou égale à8
provoque des erreurs dans Horizon Client.Délai d'expiration d'inactivité de connexion du client Spécifiez la durée (en secondes) pendant laquelle une connexion client peut rester inactive avant la fermeture de la connexion. La valeur par défaut est de 360 secondes (6 minutes). Une valeur de 0 indique qu'il n'y a aucun délai d'inactivité. Délai d'expiration d'authentification Durée d'attente maximale, en millisecondes, avant laquelle l'authentification doit avoir lieu. La valeur par défaut est 300 000. Si 0 est spécifié, cela indique aucune limite de temps pour l'authentification.
Tolérance de variation d'horloge Entrez la différence de temps autorisée en secondes entre une horloge d'Unified Access Gateway et les autres horloges sur le même réseau. La valeur par défaut est de 600 secondes. Nombre maximal de CPU système autorisé Indique l'utilisation moyenne maximale autorisée du CPU système en une minute. Lorsque la limite de CPU configurée est dépassée, les nouvelles sessions ne sont pas autorisées et le client reçoit une erreur HTTP 503 indiquant que le dispositif Unified Access Gateway est temporairement surchargé. En outre, la limite dépassée permet également à un équilibrage de charge de marquer le dispositif Unified Access Gateway comme étant inactif afin que les nouvelles demandes puissent être dirigées vers d'autres dispositifs Unified Access Gateway.
La valeur est exprimée en pourcentage.
La valeur par défaut est
100%
.Adhérer au CEIP Si l'option est activée, envoie des informations à VMware dans le cadre du Programme d'amélioration du produit (CEIP). Reportez-vous à la section Participer au programme d'amélioration du produit ou le quitter pour plus d'informations. Activer SNMP Activez cette option pour activer le service SNMP. Le protocole de gestion de réseau simple (SNMP) collecte les statistiques système, les données de mémoire, les statistiques d'utilisation de l'espace disque et les informations MIB du service Edge de tunnel par Unified Access Gateway. Liste de la base d'informations de gestion (MIB, Management Information Base) disponible, - UCD-SNMP-MIB::systemStats
- UCD-SNMP-MIB::memory
- UCD-SNMP-MIB::dskTable
- VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
Version SNMP Sélectionnez la version SNMP souhaitée. Note : Si vous avez déployé Unified Access Gateway via PowerShell, activé SNMP, mais pas les paramètres SNMPv3 configurés via PowerShell ou l'interface utilisateur d'administration Unified Access Gateway, les versions SNMPv1 et SNMPV2c sont utilisées par défaut.Pour configurer les paramètres SNMPv3 dans l'interface utilisateur d'administration, reportez-vous à la section Configurer SNMPv3 à l'aide de l'interface utilisateur d'administration Unified Access Gateway.
Pour configurer les paramètres SNMPv3 via le déploiement de PowerShell, vous devez ajouter certains paramètres SNMPv3 au fichier INI. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Texte de clause de non-responsabilité de l'administrateur Entrez le texte de clause de non-responsabilité en fonction de la politique de contrat d'utilisateur de votre entreprise. Pour qu'un administrateur se connecte à l'interface utilisateur d'administration Unified Access Gateway, l'administrateur doit accepter la politique de contrat.
Le texte de clause de non-responsabilité peut être configuré via un déploiement PowerShell ou à l'aide de l'interface utilisateur d'administration Unified Access Gateway. Pour plus d'informations sur le paramètre PowerShell dans le fichier INI, reportez-vous à Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Lors de l'utilisation de l'interface utilisateur d'administration Unified Access Gateway pour configurer cette zone de texte, l'administrateur doit d'abord se connecter à l'interface utilisateur d'administration, puis configurer le texte de clause de non-responsabilité. Lors des connexions suivantes de l'administrateur, le texte s'affiche pour permettre à l'administrateur d'accepter avant d'accéder à la page de connexion.
DNS Entrez les adresses du système de noms de domaine qui sont ajoutées au fichier de configuration /run/systemd/resolve/resolv.conf. Il doit contenir une adresse de recherche DNS valide. Cliquez sur « + » pour ajouter une adresse DNS. Recherche DNS Entrez la recherche du système de noms de domaine ajoutée au fichier de configuration /run/systemd/resolve/resolv.conf. Il doit contenir une adresse de recherche DNS valide. Cliquez sur « + » pour ajouter une entrée de recherche DNS. Synchronisation de l'heure avec l'hôte Activez cette option pour synchroniser l'heure sur le dispositif Unified Access Gateway avec l'heure de l'hôte ESXi. Par défaut, cette option est désactivée.
Cette option utilise VMware Tools pour la synchronisation de l'heure et n'est prise en charge que lorsqu'Unified Access Gateway est déployé sur l'hôte ESXi.
Si vous choisissez cette option pour la synchronisation de l'heure, les options NTP Servers et FallBack NTP Servers sont désactivées.
Cette option peut être configurée à l'aide de PowerShell en ajoutant le paramètre hostClockSyncEnabled dans le fichier INI. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Serveurs NTP Serveurs NTP pour la synchronisation du protocole de temps du réseau. Vous pouvez entrer des adresses IP et des noms d'hôte valides. Les serveurs NTP par interface obtenus depuis la configuration de systemd-networkd.service ou via DHCP auront priorité sur ces configurations. Cliquez sur « + » pour ajouter un serveur NTP. Si vous choisissez cette option pour la synchronisation de l'heure, l'option Time Sync With Host est désactivée.
Serveurs NTP de secours Serveurs NTP de secours pour la synchronisation du protocole de temps du réseau. Si les informations de serveur NTP sont introuvables, ces noms d'hôte de serveur NTP de secours ou adresses IP seront utilisés. Cliquez sur « + » pour ajouter un serveur NTP de secours. Si vous choisissez cette option pour la synchronisation de l'heure, l'option Time Sync With Host est désactivée.
Validation étendue du certificat de serveur Activez cette option pour vous assurer qu'Unified Access Gateway effectue une validation étendue sur le certificat du serveur SSL reçu pour les connexions TLS sortantes vers les serveurs principaux. Les vérifications étendues incluent la validation de l'expiration du certificat, l'incompatibilité dans le nom d'hôte, l'état de révocation du certificat et les valeurs d'utilisation de la clé étendue.
Par défaut, cette option est désactivée.
Cette option peut être configurée à l'aide de PowerShell en ajoutant le paramètre extendedServerCertValidationEnabled dans le fichier ini. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Clés publiques SSH Téléchargez des clés publiques pour activer l'accès de l'utilisateur racine à la machine virtuelle Unified Access Gateway lors de l'utilisation de l'option de paire de clés publique/privée. Les administrateurs peuvent charger plusieurs clés publiques uniques sur Unified Access Gateway.
Ce champ est visible sur l'interface utilisateur d'administration uniquement lorsque les options SSH suivantes sont définies sur
true
pendant le déploiement : Activer SSH et Autoriser la connexion racine SSH à l'aide de la paire de clés. Pour plus d'informations sur ces options, reportez-vous à la section Déploiement d'Unified Access Gateway au moyen de l'assistant de modèle OVF. - Cliquez sur Enregistrer.
Que faire ensuite
Configurez les paramètres du service Edge pour les composants avec lesquels Unified Access Gateway est déployé. Une fois les paramètres Edge configurés, configurez les paramètres d'authentification.