Unified Access Gateway peut être déployé à l'aide de scripts PowerShell. Vous devez configurer les paramètres de base dans le fichier .INI pour le déploiement.

Paramètres de la section [Général]

Les paramètres de la section [Général] s'appliquent à tous les hyperviseurs.

Paramètre INI Description
adminMaxConcurrentSessions

Permet de configurer une limite pour les sessions d'administrateur simultanées.

La valeur par défaut est 5.

La plage prise en charge est 1-50.

Cette valeur est définie sur 1, aucune session simultanée n'est autorisée.

Si vous souhaitez créer une session lorsque le nombre de sessions simultanées atteint déjà la limite, le système invalidera la session la moins utilisée récemment.

adminpasswordPolicyUnlockTime Durée (en minutes) de verrouillage de l'interface utilisateur d'administration Unified Access Gateway après le nombre configuré de tentatives de connexion échouées par l'utilisateur Admin.

Après le verrouillage, l'interface utilisateur d'administration Unified Access Gateway est déverrouillée. L'utilisateur Admin peut alors accéder à l'interface utilisateur.

La valeur par défaut est de 5 minutes.

adminSessionIdleTimeoutMinutes Durée d'inactivité (en minutes) de la session de l'interface utilisateur d'administration Unified Access Gateway. Après ce délai d'expiration, l'interface utilisateur d'administration se déconnecte automatiquement.

La valeur par défaut est de 10 minutes.

La valeur maximale est de 1440 minutes.

Si la valeur du paramètre est de 0, la session n'expire pas même en cas d'inactivité.

ceipEnabled Si l'option est définie sur TRUE, des informations sont envoyées à VMware dans le cadre du Programme d'amélioration du produit (CEIP). Pour plus d'informations, reportez-vous à la section Rejoindre ou quitter le Programme d'amélioration du produit.
communityName Une valeur communityName valide est sensible à la casse et peut inclure des caractères spéciaux.
CustomConfig (eth0CustomConfig, eth1CustomConfig, eth2CustomConfig) Les valeurs de configuration personnalisée qui doivent être ajoutées aux fichiers systemd.network peuvent être fournies au format suivant : SectionName^Parameter=Value

Les options de configuration actuellement prises en charge sont les suivantes. Si plusieurs options sont nécessaires, elles doivent être séparées par des points-virgules :

  • DHCP^UseDNS=false

    Lorsque cette valeur est utilisée, elle désactive l'utilisation des adresses IP DNS fournies par le serveur DHCP.

  • Network^DNSOverTLS=yes;Network^DNS=192.168.1.153#dns.example.com;Network^Domains=~.;DHCP^UseDNS=false;DHCP^UseDomains=false;

    Lorsque cette valeur est utilisée, elle active les requêtes DNS sur TLS vers le serveur DNS spécifique.

Des exemples de valeurs de configuration personnalisée pour eth (0, 1 et 2) sont inclus dans la section [Général] de l'exemple de fichier .ini.

deploymentoption UAG peut être créé avec une, deux ou trois cartes réseau (NIC). Spécifiez onenic, twonic ou threenic. La valeur par défaut est onenic. Il s'agit du déploiement standard avec 2 vCPU et 4 Go de RAM.

Il est également possible de spécifier onenic-large, twonic-large, threenic-large, onenic-XL, twonic-XL, threenic-XL. Les options à grande échelle déploient UAG avec 4 vCPU et 8 Go de RAM et les options à très grande échelle (XL) déploient UAG avec 8 vCPU et 32 Go de RAM.

dsComplianceOS

La valeur par défaut est false.

Lorsque l'option est définie sur true, cet indicateur booléen définit la configuration du SE pour qu'elle soit conforme au Guide de disponibilité STIG DISA de Photon OS 4.0. La complexité des mots de passe et d'autres exigences STIG sont automatiquement configurées.

Note : Ce paramètre doit être utilisé avec la version FIPS lorsque la conformité du SE STIG DISA est requise.
headersToBeLogged

Entrez une liste personnalisée, séparée par des virgules, d'en-têtes à journaliser.

Exemple : X-Forwarded-Host,host,X-Forwarded-For,X-Forwarded-Proto

La valeur par défaut de ce champ est définie sur X-Forwarded-For et inclut les détails des éléments Username, Client build et Client version.

osLoginUsername

Entrez un nom d'utilisateur personnalisé de l'utilisateur disposant de privilèges élevés lors du déploiement d'Unified Access Gateway.

La longueur maximale du nom d'utilisateur est de 32 caractères et peut être une combinaison de a-z, de 0-9, d'un trait de soulignement _ et d'un trait d'union -.

Lorsque cet utilisateur est configuré, la connexion racine est désactivée.

osMaxLoginLimit

Permet de configurer la limite des connexions simultanées de la console d'Unified Access Gateway à l'aide d'un utilisateur non racine disposant de privilèges élevés.

La valeur par défaut est 10.

Note : Cette configuration n'est effective que lorsque l'utilisateur non racine (osLoginUsername) est configuré pour la connexion à la console locale d' Unified Access Gateway. Il n'existe aucune limite aux connexions simultanées de l'utilisateur racine.
passwordPolicyFailedLockout Nombre de tentatives de connexion échouées autorisées pour que l'utilisateur racine accède à la console Unified Access Gateway.

La valeur par défaut est 3.

passwordPolicyMinClass Nombre minimal de classes de types de caractères qui peuvent être utilisées pour configurer la complexité du mot de passe racine.

Les classes de types de caractères sont les suivantes : majuscules, minuscules, chiffres, etc.

La valeur par défaut est 1.

Vous pouvez configurer ce paramètre à l'aide des valeurs suivantes : 1, 2, 3 et 4.

Si la valeur par défaut est attribuée au paramètre, vous pouvez utiliser les caractères des quatre classes. Si la valeur du paramètre est de 1, vous pouvez utiliser des caractères de n'importe quelle classe.

passwordPolicyMinLen Longueur minimale du mot de passe de l'utilisateur racine.

La valeur par défaut de ce paramètre est de 6.

La valeur maximale de ce paramètre est de 64.

passwordPolicyUnlockTime Durée de verrouillage de la console Unified Access Gateway après le nombre configuré de tentatives de connexion échouées par l'utilisateur racine.

Après le verrouillage, la console Unified Access Gateway est déverrouillée. L'utilisateur racine peut alors y accéder.

La valeur par défaut est de 900 secondes.

rootPasswordExpirationDays Stratégie d'expiration de mot de passe pour les utilisateurs racine.

Le délai d'expiration du mot de passe par défaut est de 365 days.

Pour empêcher l'expiration du mot de passe, vous pouvez définir le délai d'expiration sur 0.

rootSessionIdleTimeoutSeconds Durée d'inactivité (en secondes) de la session de la console Unified Access Gateway. Après ce délai d'expiration, la console se déconnecte automatiquement.

La valeur par défaut de ce paramètre lors d'une connexion à Unified Access Gateway à l'aide de SSH sur Microsoft Azure est de 180 secondes et de 300 secondes pour les autres plates-formes.

Pour la session de la console série, la valeur par défaut est de 900 secondes.

La valeur maximale de ce paramètre est de 3600 secondes.

secureRandomSource Vous permet de configurer la source de génération de bits aléatoires sécurisée utilisée par les processus Java pour les fonctions de chiffrement.

Cette option ne peut être configurée qu'au moment du déploiement.

Les valeurs prises en charge sont : /dev/random et /dev/urandom. Par défaut, /dev/random est utilisé en mode non-FIPS et /dev/urandom en mode FIPS.

sshEnabled Lorsqu'il est défini sur true, ce paramètre active automatiquement l'accès SSH sur le dispositif déployé.

Lorsqu'il est envoyé à false, SSH n'est pas activé.

Note : VMware ne recommande généralement pas l'activation de SSH sur Unified Access Gateway, sauf dans certaines situations spécifiques et lorsque l'accès peut être limité.

L'activation de l'accès SSH sur les déploiements d'Unified Access Gateway pour vSphere, Hyper-V ou Microsoft Azure n'est généralement pas requise, car il est possible d'utiliser l'accès à la console avec ces plates-formes.

Dans les cas où SSH est activé, l'accès au port TCP 22 doit être restreint dans les pare-feu ou les groupes de sécurité aux adresses IP sources des administrateurs individuels.

sshInterface

Configurez l'interface réseau sur laquelle la connexion SSH est activée.

Par défaut, SSH est activé sur toutes les interfaces.

Les valeurs prises en charge sont eth0, eth1 et eth2 en fonction de la configuration.

sshLoginBannerText Option permettant de personnaliser le texte de la bannière affichée lors de la connexion à Unified Access Gateway vSphere à l'aide de SSH ou de la console Web du client.

Cette option ne peut être configurée qu'au moment du déploiement. Si vous ne configurez pas ce paramètre, le texte par défaut qui s'affiche est VMware EUC Unified Access Gateway.

Seuls les caractères ASCII sont pris en charge dans le texte personnalisé. Pour les textes de bannière sur plusieurs lignes, \n doit être utilisé comme séparateur de ligne.

sshPort

Configurez le port sur lequel SSH est activé.

La valeur par défaut est 22.

Paramètres de déploiement vSphere ou Hyper-V

Configurez ces paramètres supplémentaires uniquement lorsque vous déployez Unified Access Gateway sur vSphere ou Hyper-V.

Paramètre INI Description
defaultGateway
Spécifie l'adresse de passerelle par défaut pour le dispositif UAG. Utilisé dans les cas suivants :
  • Les profils de protocole réseau dans vSphere ne contiennent pas de passerelle par défaut.
  • Pour éviter toute ambiguïté lorsque plusieurs profils de protocole réseau sont utilisés, chacun spécifiant une passerelle différente. Un dispositif ne peut avoir qu'une seule passerelle par défaut, et cette valeur peut être utilisée pour la spécifier explicitement.

Outre la passerelle par défaut, vous pouvez ajouter des routes pour d'autres passerelles à l'aide des paramètres routes0, routes1 et routes2 pour chaque carte réseau.

Exemple : 10.108.168.xxx

ds Nom de la banque de données sur laquelle le dispositif est déployé.

Exemple : ds=Local Disk 1

folder
Mémoriser : Ce paramètre s'applique uniquement au déploiement de vSphere.
Spécifie le dossier dans lequel la machine virtuelle est créée. Déploie le dispositif dans le dossier nommé VM et modèles. Les dossiers dans vCenter s'affichent sous VM et modèles. Le dossier spécifié doit exister avant le déploiement.
ip0 Adresse IPv4 de la carte réseau NIC0.
ipmode0 IPMode pour NIC1 (eth0), NIC2 (eth1) et NIC3 (eth2). Les modes pris en charge sont
STATICV4/ STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/
STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/
DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6
netBackendNetwork Nom du réseau du serveur principal UAG.
netInternet Nom du réseau principal d'UAG.
netManagementNetwork Nom du réseau de l'interface de gestion d'UAG.
netmask0 Masque de réseau IPv4 pour la carte réseau 0 (onenic, twonic ou threenic).
source

Téléchargez le fichier source à partir du portail Customer Connect.

  • vSphere : nom de fichier de chemin complet d'UAG.Image de machine virtuelle ova.
  • Hyper-V : nom de fichier de chemin complet d'UAG.Image de machine virtuelle vhdx.

Exemple :

  • vSphere C:\Users\Administrator\Desktop\UAG Resources\euc-unified-access-gateway-21.00.0.0-13578272_OVF.ova
  • Hyper-V C:\Users\Administrator\VHDX\euc-unified-access-gateway-21.00.0.0-13578272_OVF10.vhdx
target
Mémoriser : Ce paramètre s'applique uniquement au déploiement de vSphere.

Spécifie les informations de vCenter Server et l'hôte ESX cible. Reportez-vous au Guide de l'utilisateur de l'outil OVF pour plus de détails sur la syntaxe de la cible.

Notez que la cible doit référencer un hôte ou un cluster vCenter. Le déploiement direct sur un hôte vSphere n'est pas pris en charge. Dans cet exemple, 192.168.0.21 est l'adresse IP de l'hôte vCenter et [email protected] est le nom d'utilisateur de l'administrateur vCenter.

Les noms de dossiers, d'hôtes et de clusters utilisés dans la valeur cible sont sensibles à la casse.

Si vous n'êtes pas sûr de la valeur à utiliser pour la cible, vous pouvez omettre les noms de dossier, etc. et OVF Tool fournissent ensuite une liste de valeurs possibles pour le niveau suivant. Cela vous permet de créer avec précision la spécification cible complète, un niveau à la fois.

Exemple :

target=vi://[email protected]@192.168.0.21/DC1/host/my folder/esx1.myco.int