Configurer les paramètres système d'Unified Access Gateway

Vous pouvez configurer les protocoles de sécurité et les algorithmes cryptographiques qui sont utilisés pour chiffrer les communications entre les clients et le dispositif Unified Access Gateway à partir des pages de configuration d'administration.

Conditions préalables

Passez en revue les propriétés de déploiement Unified Access Gateway. Les informations de paramétrage suivantes sont requises :
- Adresse IP statique pour le dispositif Unified Access Gateway
- Adresses IP des serveurs DNS
  Note : Vous pouvez spécifier un maximum de deux adresses IP de serveur DNS.
  Unified Access Gateway utilise les adresses DNS publiques de secours par défaut de la plate-forme uniquement lorsqu'aucune adresse de serveur DNS n'est fournie à Unified Access Gateway dans le cadre des paramètres de configuration ou via DHCP.
- Mot de passe pour la console d'administration
- URL de l'instance de serveur ou de l'équilibrage de charge vers laquelle le dispositif Unified Access Gateway pointe.
- URL du serveur Syslog permettant d'enregistrer les fichiers journaux des événements

Procédure

Dans la section Configuration manuelle de l'interface utilisateur d'administration, cliquez sur Sélectionner.
Dans la section Paramètres avancés, cliquez sur l'icône en forme d'engrenage Configuration système.

Modifiez les valeurs suivantes de configuration du dispositif Unified Access Gateway.

Option	Valeur par défaut et description
Nom UAG	Nom unique du dispositif Unified Access Gateway. Note : Le nom du dispositif peut être composé d'une chaîne de texte de 24 caractères maximum comprenant des caractères alphabétiques (A-Z), des chiffres (0-9), le signe moins `(-)` et la virgule `(.)`. Cependant, le nom du dispositif ne peut pas contenir d'espaces.
Paramètre régional	Spécifie le paramètre régional à utiliser pour générer les messages d'erreur. `en_US` pour l'anglais américain. Il s'agit du réglage par défaut. `ja_JP` pour le japonais `fr_FR` pour le français `de_DE` pour l'allemand `zh_CN` pour le chinois simplifié `zh_TW` pour le chinois traditionnel `ko_KR` pour le coréen `es` pour l'espagnol `pt_BR` pour le portugais du Brésil `en_GB` pour l'anglais britannique
Suites de chiffrement du serveur TLS	Entrez une liste de suites de chiffrement séparées par des virgules, qui sont des algorithmes de chiffrement utilisés pour chiffrer les connexions TLS entrantes à Unified Access Gateway Cette option est utilisée avec quelques options supplémentaires telles que les versions TLS, les groupes nommés, les schémas de signature, etc. qui sont utilisés pour activer divers protocoles de sécurité. Les suites de chiffrement de serveur TLS prises en charge en mode FIPS sont les suivantes : Suites de chiffrement activées par défaut : `TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384` `TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256` Suites de chiffrement prises en charge et pouvant être configurées manuellement : `TLS_RSA_WITH_AES_256_CBC_SHA256` `TLS_RSA_WITH_AES_128_CBC_SHA256` `TLS_RSA_WITH_AES_256_CBC_SHA` `TLS_RSA_WITH_AES_128_CBC_SHA` Les suites de chiffrement du serveur TLS par défaut prises en charge en mode non-FIPS sont les suivantes : `TLS_AES_128_GCM_SHA256` `TLS_AES_256_GCM_SHA384` `TLS_CHACHA20_POLY1305_SHA256` `TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256` `TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384` `TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256` `TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384` Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre cipherSuites dans le fichier ini. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Suites de chiffrement du client TLS	Entrez une liste de suites de chiffrement séparées par des virgules, qui sont des algorithmes de chiffrement utilisés pour chiffrer les connexions TLS sortantes vers Unified Access Gateway. Cette option est utilisée avec quelques options supplémentaires telles que les versions TLS, les groupes nommés, les schémas de signature, etc. qui sont utilisés pour activer divers protocoles de sécurité. Les suites de chiffrement suivantes sont prises en charge en mode FIPS : `TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384` `TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256` `TLS_DHE_RSA_WITH_AES_128_CBC_SHA256` `TLS_DHE_RSA_WITH_AES_256_CBC_SHA256` `TLS_DHE_RSA_WITH_AES_256_GCM_SHA384` `TLS_DHE_RSA_WITH_AES_128_GCM_SHA256` `TLS_RSA_WITH_AES_256_CBC_SHA256` `TLS_RSA_WITH_AES_128_CBC_SHA256` `TLS_RSA_WITH_AES_256_CBC_SHA` `TLS_RSA_WITH_AES_128_CBC_SHA` En mode non-FIPS, toutes les suites de chiffrement prises en charge par la bibliothèque SSL (Java/Open SSL) peuvent être utilisées par défaut. Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre outboundCipherSuites dans le fichier ini. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Fournisseur SSL	Sélectionnez l'implémentation du fournisseur SSL utilisée pour gérer les connexions TLS. Pour configurer TLS Named Groups et TLS Signature Schemes, la valeur de cette option doit être `JDK`. Par défaut, la valeur de cette option est `OPENSSL`. Note : Lorsque la valeur de cette option est `JDK`, la vérification de la révocation des certificats basée sur OCSP n'est pas prise en charge. Toutefois, la vérification de la révocation des certificats basée sur la liste de révocation des certificats est prise en charge. Toute modification apportée à cette option entraîne le redémarrage des services Unified Access Gateway. Les sessions Unified Access Gateway en cours ne sont pas conservées pendant le redémarrage. Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre sslProvider dans le fichier ini. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Groupes nommés TLS	Permet à l'administrateur de configurer les groupes nommés souhaités (courbes elliptiques) à partir d'une liste de groupes nommés pris en charge utilisés pour l'échange de clés lors de l'établissement de liaison SSL. Cette option autorise les valeurs séparées par des virgules. Certains des groupes nommés pris en charge sont les suivants : `secp256r1, secp384r1, secp521r1`. Pour configurer cette option, assurez-vous que l'option SSL Provider est définie sur `JDK`. Sinon, l'option TLS Named Groups doit être désactivée. Toute modification apportée à cette option entraîne le redémarrage des services Unified Access Gateway. Les sessions Unified Access Gateway en cours ne sont pas conservées pendant le redémarrage. Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre tlsNamedGroups dans le fichier ini. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Modèles de signature TLS	Permet à l'administrateur de configurer les algorithmes de signature TLS pris en charge utilisés pour la validation des clés lors de l'établissement de liaison SSL. Cette option autorise les valeurs séparées par des virgules. Par exemple, voici certains des schémas de signature pris en charge : `rsa_pkcs1_sha`, `rsa_pkcs1_sha256`, `rsa_pkcs1_sha384`, `rsa_pss_rsae_sha256` et `rsa_pss_rsae_sha384`. Pour configurer cette option, assurez-vous que l'option SSL Provider est définie sur `JDK`. Sinon, l'option TLS Signature Schemes doit être désactivée. Toute modification apportée à cette option entraîne le redémarrage des services Unified Access Gateway. Les sessions Unified Access Gateway en cours ne sont pas conservées pendant le redémarrage. Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre tlsSignatureSchemes dans le fichier ini. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Activer TLS 1.0	Par défaut, cette option est désactivée. Activez cette option pour activer le protocole de sécurité TLS 1.0.
Activer TLS 1.1	Par défaut, cette option est désactivée. Activez cette option pour activer le protocole de sécurité TLS 1.1.
Activer TLS 1.2	Par défaut, cette option est activée. Le protocole de sécurité TLS 1.2 est activé.
Activer TLS 1.3	Par défaut, cette option est activée. Le protocole de sécurité TLS 1.3 est activé.
En-têtes d'hôte autorisés	Entrez l'adresse IP ou le nom d'hôte comme valeur d'en-tête de l'hôte. Ce paramètre s'applique au déploiement d'Unified Access Gateway avec des cas d'utilisation pour Horizon et le proxy inverse Web. Pour les déploiements d'Unified Access Gateway avec Horizon, vous devrez peut être fournir plusieurs en-têtes d'hôte. Cela varie selon que l'adresse IP virtuelle (VIP) N+1 est utilisée et que Blast Secure Gateway (BSG) et VMware Tunnel sont activés et configurés pour utiliser le port 443 en externe. Les clients Horizon envoient l'adresse IP dans l'en-tête de l'hôte pour la demande de connexion à Blast. Si BSG est configuré pour utiliser le port 443, les en-têtes d'hôte autorisés doivent contenir l'adresse IP externe du nom d'hôte BSG configuré dans l'URL externe Blast pour le dispositif UAG spécifique. Si les valeurs d'en-tête de l'hôte ne sont pas spécifiées, toute valeur d'en-tête de l'hôte envoyée par le client est acceptée par défaut.
Certificat d'autorité de certification	Cette option est activée lorsqu'un serveur Syslog est ajouté. Sélectionnez un certificat d'autorité de certification Syslog valide.
URL de contrôle de santé	Entrez une URL à laquelle l'équilibrage de charge se connecte et vérifie la santé d'Unified Access Gateway.
Moniteur de santé HTTP	Par défaut, cette option est désactivée. La configuration par défaut redirige les demandes d'URL de contrôle de santé HTTP vers HTTPS. Lorsque vous activez cette option, Unified Access Gateway répond à la demande de contrôle de santé, même sur HTTP.
Cookies à mettre en cache	Ensemble de cookies mis en cache par Unified Access Gateway. La valeur par défaut est aucun.
Délai d'expiration de session	La valeur par défaut est de 36 000 000 millisecondes. Note : La valeur de Session Timeout sur Unified Access Gateway doit être la même que celle du paramètre Forcibly disconnect users sur Horizon Connection Server. Le paramètre Forcibly disconnect users est l'un des paramètres globaux généraux de la console Horizon. Pour plus d'informations sur ce paramètre, reportez-vous à la section Configuration de paramètres pour des sessions client dans la documentation Administration de VMware Horizon sur VMware Docs.
Mode de mise au repos	Activez cette option pour mettre en pause le dispositif Unified Access Gateway afin d'obtenir un état cohérent permettant d'effectuer les tâches de maintenance.
Surveiller l'intervalle	La valeur par défaut est 60.
Âge du mot de passe	Nombre de jours de validité du mot de passe pour l'utilisateur dans le rôle ADMIN. La valeur par défaut est de `90` jours. La valeur maximale configurable est de `999` jours. Pour que le mot de passe n'expire jamais, spécifiez la valeur `0` de ce champ.
Durée de vie du mot de passe des utilisateurs pour la surveillance	Nombre de jours de validité du mot de passe pour les utilisateurs dans le rôle SURVEILLANCE. La valeur par défaut est de `90` jours. La valeur maximale configurable est de `999` jours. Pour que le mot de passe n'expire jamais, spécifiez la valeur `0` de ce champ.
Délai d'expiration de la demande	Indique le temps maximal qu'Unified Access Gateway attend pour recevoir une demande. La valeur par défaut est `3000`. Ce délai d'expiration doit être spécifié en millisecondes.
Délai d'expiration de réception du corps	Indique le temps maximal qu'Unified Access Gateway attend pour recevoir un corps de demande. L'option par défaut est `5000`. Ce délai d'expiration doit être spécifié en millisecondes.
Nombre maximal de connexions par session	Nombre maximal de connexions TCP autorisées par session TLS. La valeur par défaut est `16`. Pour n'appliquer aucune limite au nombre de connexions TCP autorisées, définissez la valeur de ce champ sur `0`. Note : Une valeur du champ inférieure ou égale à `8` provoque des erreurs dans Horizon Client.
Délai d'expiration d'inactivité de connexion du client	Spécifiez la durée (en secondes) pendant laquelle une connexion client peut rester inactive avant la fermeture de la connexion. La valeur par défaut est de 360 secondes (6 minutes). Une valeur de 0 indique qu'il n'y a aucun délai d'inactivité.
Délai d'expiration d'authentification	Durée d'attente maximale, en millisecondes, avant laquelle l'authentification doit avoir lieu. La valeur par défaut est 300 000. Si 0 est spécifié, cela indique aucune limite de temps pour l'authentification.
Tolérance de variation d'horloge	Entrez la différence de temps autorisée en secondes entre une horloge d'Unified Access Gateway et les autres horloges sur le même réseau. La valeur par défaut est de 600 secondes.
Nombre maximal de CPU système autorisé	Indique l'utilisation moyenne maximale autorisée du CPU système en une minute. Lorsque la limite de CPU configurée est dépassée, les nouvelles sessions ne sont pas autorisées et le client reçoit une erreur HTTP 503 indiquant que le dispositif Unified Access Gateway est temporairement surchargé. En outre, la limite dépassée permet également à un équilibrage de charge de marquer le dispositif Unified Access Gateway comme étant inactif afin que les nouvelles demandes puissent être dirigées vers d'autres dispositifs Unified Access Gateway. La valeur est exprimée en pourcentage. La valeur par défaut est `100%`.
Adhérer au CEIP	Si l'option est activée, envoie des informations à VMware dans le cadre du Programme d'amélioration du produit (CEIP). Reportez-vous à la section Participer au programme d'amélioration du produit ou le quitter pour plus d'informations.
Activer SNMP	Activez cette option pour activer le service SNMP. Le protocole de gestion de réseau simple (SNMP) collecte les statistiques système, les données de mémoire, les statistiques d'utilisation de l'espace disque et les informations MIB du service Edge de tunnel par Unified Access Gateway. Liste de la base d'informations de gestion (MIB, Management Information Base) disponible, UCD-SNMP-MIB::systemStats UCD-SNMP-MIB::memory UCD-SNMP-MIB::dskTable VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
Version SNMP	Sélectionnez la version SNMP souhaitée. Note : Si vous avez déployé Unified Access Gateway via PowerShell, activé SNMP, mais pas les paramètres SNMPv3 configurés via PowerShell ou l'interface utilisateur d'administration Unified Access Gateway, les versions SNMPv1 et SNMPV2c sont utilisées par défaut. Pour configurer les paramètres SNMPv3 dans l'interface utilisateur d'administration, reportez-vous à la section Configurer SNMPv3 à l'aide de l'interface utilisateur d'administration Unified Access Gateway. Pour configurer les paramètres SNMPv3 via le déploiement de PowerShell, vous devez ajouter certains paramètres SNMPv3 au fichier INI. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Texte de clause de non-responsabilité de l'administrateur	Entrez le texte de clause de non-responsabilité en fonction de la politique de contrat d'utilisateur de votre entreprise. Pour qu'un administrateur se connecte à l'interface utilisateur d'administration Unified Access Gateway, l'administrateur doit accepter la politique de contrat. Le texte de clause de non-responsabilité peut être configuré via un déploiement PowerShell ou à l'aide de l'interface utilisateur d'administration Unified Access Gateway. Pour plus d'informations sur le paramètre PowerShell dans le fichier INI, reportez-vous à Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway. Lors de l'utilisation de l'interface utilisateur d'administration Unified Access Gateway pour configurer cette zone de texte, l'administrateur doit d'abord se connecter à l'interface utilisateur d'administration, puis configurer le texte de clause de non-responsabilité. Lors des connexions suivantes de l'administrateur, le texte s'affiche pour permettre à l'administrateur d'accepter avant d'accéder à la page de connexion.
DNS	Entrez les adresses du système de noms de domaine qui sont ajoutées au fichier de configuration /run/systemd/resolve/resolv.conf. Il doit contenir une adresse de recherche DNS valide. Cliquez sur « + » pour ajouter une adresse DNS.
Recherche DNS	Entrez la recherche du système de noms de domaine ajoutée au fichier de configuration /run/systemd/resolve/resolv.conf. Il doit contenir une adresse de recherche DNS valide. Cliquez sur « + » pour ajouter une entrée de recherche DNS.
Synchronisation de l'heure avec l'hôte	Activez cette option pour synchroniser l'heure sur le dispositif Unified Access Gateway avec l'heure de l'hôte ESXi. Par défaut, cette option est désactivée. Cette option utilise VMware Tools pour la synchronisation de l'heure et n'est prise en charge que lorsqu'Unified Access Gateway est déployé sur l'hôte ESXi. Si vous choisissez cette option pour la synchronisation de l'heure, les options NTP Servers et FallBack NTP Servers sont désactivées. Cette option peut être configurée à l'aide de PowerShell en ajoutant le paramètre hostClockSyncEnabled dans le fichier INI. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Serveurs NTP	Serveurs NTP pour la synchronisation du protocole de temps du réseau. Vous pouvez entrer des adresses IP et des noms d'hôte valides. Les serveurs NTP par interface obtenus depuis la configuration de systemd-networkd.service ou via DHCP auront priorité sur ces configurations. Cliquez sur « + » pour ajouter un serveur NTP. Si vous choisissez cette option pour la synchronisation de l'heure, l'option Time Sync With Host est désactivée.
Serveurs NTP de secours	Serveurs NTP de secours pour la synchronisation du protocole de temps du réseau. Si les informations de serveur NTP sont introuvables, ces noms d'hôte de serveur NTP de secours ou adresses IP seront utilisés. Cliquez sur « + » pour ajouter un serveur NTP de secours. Si vous choisissez cette option pour la synchronisation de l'heure, l'option Time Sync With Host est désactivée.
Validation étendue du certificat de serveur	Activez cette option pour vous assurer qu'Unified Access Gateway effectue une validation étendue sur le certificat du serveur SSL reçu pour les connexions TLS sortantes vers les serveurs principaux. Les vérifications étendues incluent la validation de l'expiration du certificat, l'incompatibilité dans le nom d'hôte, l'état de révocation du certificat et les valeurs d'utilisation de la clé étendue. Par défaut, cette option est désactivée. Cette option peut être configurée à l'aide de PowerShell en ajoutant le paramètre extendedServerCertValidationEnabled dans le fichier ini. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
Clés publiques SSH	Téléchargez des clés publiques pour activer l'accès de l'utilisateur racine à la machine virtuelle Unified Access Gateway lors de l'utilisation de l'option de paire de clés publique/privée. Les administrateurs peuvent charger plusieurs clés publiques uniques sur Unified Access Gateway. Ce champ est visible sur l'interface utilisateur d'administration uniquement lorsque les options SSH suivantes sont définies sur `true` pendant le déploiement : Activer SSH et Autoriser la connexion racine SSH à l'aide de la paire de clés. Pour plus d'informations sur ces options, reportez-vous à la section Déploiement d'Unified Access Gateway au moyen de l'assistant de modèle OVF.

Cliquez sur Enregistrer.

Que faire ensuite

Configurez les paramètres du service Edge pour les composants avec lesquels Unified Access Gateway est déployé. Une fois les paramètres Edge configurés, configurez les paramètres d'authentification.