Vous pouvez configurer les protocoles de sécurité et les algorithmes cryptographiques qui sont utilisés pour chiffrer les communications entre les clients et le dispositif Unified Access Gateway à partir des pages de configuration d'administration.
Conditions préalables
- Passez en revue les propriétés de déploiement Unified Access Gateway. Les informations de paramétrage suivantes sont requises :
- Adresse IP statique pour le dispositif Unified Access Gateway
- Adresses IP des serveurs DNS
Note : Vous pouvez spécifier un maximum de deux adresses IP de serveur DNS.
Unified Access Gateway utilise les adresses DNS publiques de secours par défaut de la plate-forme uniquement lorsqu'aucune adresse de serveur DNS n'est fournie à Unified Access Gateway dans le cadre des paramètres de configuration ou via DHCP.
- Mot de passe pour la console d'administration
- URL de l'instance de serveur ou de l'équilibrage de charge vers laquelle le dispositif Unified Access Gateway pointe.
- URL du serveur Syslog permettant d'enregistrer les fichiers journaux des événements
Procédure
- Dans la section Configuration manuelle de l'interface utilisateur d'administration, cliquez sur Sélectionner.
- Dans la section Paramètres avancés, cliquez sur l'icône en forme d'engrenage Configuration système.
- Modifiez les valeurs suivantes de configuration du dispositif Unified Access Gateway.
Option Valeur par défaut et description Nom UAG Nom unique du dispositif Unified Access Gateway. Note : Le nom du dispositif peut être composé d'une chaîne de texte de 24 caractères maximum comprenant des caractères alphabétiques (A-Z), des chiffres (0-9), le signe moins(-)
et la virgule(.)
. Cependant, le nom du dispositif ne peut pas contenir d'espaces.Paramètre régional Spécifie le paramètre régional à utiliser pour générer les messages d'erreur.
- en_US pour l'anglais américain. Il s'agit du réglage par défaut.
- ja_JP pour le japonais
- fr_FR pour le français
- de_DE pour l'allemand
- zh_CN pour le chinois simplifié
- zh_TW pour le chinois traditionnel
- ko_KR pour le coréen
- es pour l'espagnol
- pt_BR pour le portugais du Brésil
- en_GB pour l'anglais britannique
Suites de chiffrement du serveur TLS Entrez une liste de suites de chiffrement séparées par des virgules, qui sont des algorithmes de chiffrement utilisés pour chiffrer les connexions TLS entrantes à Unified Access Gateway Cette option est utilisée avec quelques options supplémentaires telles que les versions TLS, les groupes nommés, les schémas de signature, etc. qui sont utilisés pour activer divers protocoles de sécurité.
Les suites de chiffrement de serveur TLS prises en charge en mode FIPS sont les suivantes :- Suites de chiffrement activées par défaut :
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Suites de chiffrement prises en charge et pouvant être configurées manuellement :
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
Les suites de chiffrement du serveur TLS par défaut prises en charge en mode non-FIPS sont les suivantes :TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre cipherSuites dans le fichier ini. Reportez-vous à la section Exécuter un script PowerShell à déployer.
Suites de chiffrement du client TLS Entrez une liste de suites de chiffrement séparées par des virgules, qui sont des algorithmes de chiffrement utilisés pour chiffrer les connexions TLS sortantes vers Unified Access Gateway. Cette option est utilisée avec quelques options supplémentaires telles que les versions TLS, les groupes nommés, les schémas de signature, etc. qui sont utilisés pour activer divers protocoles de sécurité.
Les suites de chiffrement suivantes sont prises en charge en mode FIPS :TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
En mode non-FIPS, toutes les suites de chiffrement prises en charge par la bibliothèque SSL (Java/Open SSL) peuvent être utilisées par défaut.
Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre outboundCipherSuites dans le fichier ini. Reportez-vous à la section Exécuter un script PowerShell à déployer.
Taille minimale de hachage SHA Sélectionnez la taille minimale de hachage SHA pour les protocoles Horizon et toutes les connexions non-Horizon lors de la communication et pour la spécification de l'empreinte numérique de certificat. SHA-256 est la valeur par défaut. Les valeurs de taille de hachage SHA prises en charge sont les suivantes : SHA-1, SHA-256, SHA-384 et SHA-512. SHA-1 n'est pas recommandé.
Activer TLS 1.1 Par défaut, cette option est désactivée. Activez cette option pour activer le protocole de sécurité TLS 1.1.
Activer TLS 1.2 Par défaut, cette option est activée. Le protocole de sécurité TLS 1.2 est activé.
Activer TLS 1.2 et TLS 1.3 (non-FIPS uniquement) Par défaut, cette option est activée. Les protocoles de sécurité TLS 1.2 et TLS 1.3 sont activés.
Fournisseur SSL Sélectionnez la mise en œuvre du fournisseur SSL utilisée pour gérer les connexions TLS. Pour configurer TLS Named Groups et TLS Signature Schemes, la valeur de cette option doit être
JDK
. Par défaut, la valeur de cette option estOPENSSL
.Note : Lorsque la valeur de cette option estJDK
, la vérification de la révocation des certificats basée sur OCSP n'est pas prise en charge. Toutefois, la vérification de la révocation des certificats basée sur la liste de révocation des certificats est prise en charge.Toute modification apportée à cette option entraîne le redémarrage des services Unified Access Gateway. Les sessions Unified Access Gateway en cours ne sont pas conservées pendant le redémarrage.
Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre sslProvider dans le fichier ini. Reportez-vous à la section Exécuter un script PowerShell à déployer.
Groupes nommés TLS Permet à l'administrateur de configurer les groupes nommés souhaités (courbes elliptiques) à partir d'une liste de groupes nommés pris en charge utilisés pour l'échange de clés lors de l'établissement de liaison SSL. Cette option autorise les valeurs séparées par des virgules. Certains des groupes nommés pris en charge sont les suivants :
secp256r1, secp384r1, secp521r1
.Pour configurer cette option, assurez-vous que l'option SSL Provider est définie sur
JDK
. Sinon, l'option TLS Named Groups doit être désactivée. Toute modification apportée à cette option entraîne le redémarrage des services Unified Access Gateway. Les sessions Unified Access Gateway en cours ne sont pas conservées pendant le redémarrage.Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre tlsNamedGroups dans le fichier ini. Reportez-vous à la section Exécuter un script PowerShell à déployer.
Modèles de signature TLS Permet à l'administrateur de configurer les algorithmes de signature TLS pris en charge utilisés pour la validation des clés lors de l'établissement de liaison SSL. Cette option autorise les valeurs séparées par des virgules. Par exemple, voici certains des schémas de signature pris en charge :
rsa_pkcs1_sha
,rsa_pkcs1_sha256
,rsa_pkcs1_sha384
,rsa_pss_rsae_sha256
etrsa_pss_rsae_sha384
.Pour configurer cette option, assurez-vous que l'option SSL Provider est définie sur
JDK
. Sinon, l'option TLS Signature Schemes doit être désactivée. Toute modification apportée à cette option entraîne le redémarrage des services Unified Access Gateway. Les sessions Unified Access Gateway en cours ne sont pas conservées pendant le redémarrage.Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre tlsSignatureSchemes dans le fichier ini. Reportez-vous à la section Exécuter un script PowerShell à déployer.
En-têtes d'hôte autorisés Entrez l'adresse IP et/ou le nom d'hôte à autoriser comme valeurs d'en-têtes d'hôte. Ce paramètre s'applique à Horizon, aux cas d'utilisation du proxy Web inverse et au service d'administration sur Unified Access Gateway. La validation de l'en-tête Host (ou X-Forwarded-Host) est activée par défaut par rapport aux valeurs configurées dans ce champ et à une liste autorisée automatiquement calculée dynamiquement en fonction des paramètres réseau d'UAG et des paramètres du service Edge. Tous les noms d'hôte utilisés pour accéder directement à Unified Access Gateway via l'équilibreur de charge ou le proxy inverse et non inclus dans la liste autorisée automatiquement doivent être configurés dans ce champ.
Pour les déploiements d'Unified Access Gateway avec Horizon, si Blast Secure Gateway (BSG) et/ou VMware Tunnel sont activés et que des URL externes sont configurées, ces valeurs sont automatiquement incluses dans la liste de valeurs d'hôte autorisée. La configuration explicite de ces valeurs n'est pas requise.
Pour les déploiements d'Unified Access Gateway avec des configurations de proxy inverse Web, les modèles d'URL externe et d'hôte proxy sont inclus dans la liste autorisée automatiquement des valeurs d'hôte.
Lorsqu'Unified Access Gateway est déployé avec une adresse IP virtuelle (VIP) N+1, celle-ci est incluse dans la liste autorisée automatiquement. En outre, les adresses IP sans bouclage d'UAG et le nom d'hôte interne sont également inclus dans cette liste et autorisés par défaut.
Certificat d'autorité de certification Cette option est activée lorsqu'un serveur Syslog est ajouté. Sélectionnez un certificat d'autorité de certification Syslog valide. URL de contrôle de santé Entrez une URL à laquelle l'équilibrage de charge se connecte et vérifie la santé d'Unified Access Gateway. Moniteur de santé HTTP Par défaut, cette option est désactivée. La configuration par défaut redirige les demandes d'URL de contrôle de santé HTTP vers HTTPS. Lorsque vous activez cette option, Unified Access Gateway répond à la demande de contrôle de santé, même sur HTTP. Cookies à mettre en cache Ensemble de cookies mis en cache par Unified Access Gateway. La valeur par défaut est aucun. Délai d'expiration de session La valeur par défaut est de 36 000 000 millisecondes. Note : La valeur de Session Timeout sur Unified Access Gateway doit être la même que celle du paramètre Forcibly disconnect users sur Horizon Connection Server.Le paramètre Forcibly disconnect users est l'un des paramètres globaux généraux de la console Horizon. Pour plus d'informations sur ce paramètre, reportez-vous à la section Configuration de paramètres pour des sessions client dans la documentation Administration de VMware Horizon sur VMware Docs.
Mode de mise au repos Activez cette option pour mettre en pause le dispositif Unified Access Gateway afin d'obtenir un état cohérent permettant d'effectuer les tâches de maintenance. Surveiller l'intervalle La valeur par défaut est 60. Activer la prise en charge de la rotation des certificats SAML Activez cette option pour générer des métadonnées SAML SP avec l'ID d'entité basé sur un certificat. L'ID d'entité basé sur un certificat prend en charge la rotation régulière des certificats avec des configurations de fournisseur de services distinctes sur le fournisseur d'identité. Pour modifier cette valeur, vous devez reconfigurer le fournisseur d'identité. Âge du mot de passe Nombre de jours de validité du mot de passe pour l'utilisateur dans le rôle ADMIN. La valeur par défaut est de
90
jours. La valeur maximale configurable est de999
jours.Pour que le mot de passe n'expire jamais, spécifiez la valeur
0
de ce champ.Durée de vie du mot de passe des utilisateurs pour la surveillance Nombre de jours de validité du mot de passe pour les utilisateurs dans le rôle SURVEILLANCE. La valeur par défaut est de
90
jours. La valeur maximale configurable est de999
jours.Pour que le mot de passe n'expire jamais, spécifiez la valeur
0
de ce champ.Délai d'expiration de la demande Indique le temps maximal qu'Unified Access Gateway attend pour recevoir une demande. La valeur par défaut est
3000
.Ce délai d'expiration doit être spécifié en millisecondes.
Délai d'expiration de réception du corps Indique le temps maximal qu'Unified Access Gateway attend pour recevoir un corps de demande. L'option par défaut est
5000
.Ce délai d'expiration doit être spécifié en millisecondes.
Nombre maximal de connexions par session Nombre maximal de connexions TCP autorisées par session TLS. La valeur par défaut est
16
.Pour n'appliquer aucune limite au nombre de connexions TCP autorisées, définissez la valeur de ce champ sur
0
.Note : Une valeur du champ inférieure ou égale à8
provoque des erreurs dans Horizon Client.Délai d'expiration d'inactivité de connexion du client Spécifiez la durée (en secondes) pendant laquelle une connexion client peut rester inactive avant la fermeture de la connexion. La valeur par défaut est de 360 secondes (6 minutes). Une valeur de 0 indique qu'il n'y a aucun délai d'inactivité. Délai d'expiration d'authentification Durée d'attente maximale, en millisecondes, avant laquelle l'authentification doit avoir lieu. La valeur par défaut est 300 000. Si 0 est spécifié, cela indique aucune limite de temps pour l'authentification.
Tolérance de variation d'horloge Entrez la différence de temps autorisée en secondes entre une horloge d'Unified Access Gateway et les autres horloges sur le même réseau. La valeur par défaut est de 600 secondes. Nombre maximal de CPU système autorisé Indique l'utilisation moyenne maximale autorisée du CPU système en une minute. Lorsque la limite de CPU configurée est dépassée, les nouvelles sessions ne sont pas autorisées et le client reçoit une erreur HTTP 503 indiquant que le dispositif Unified Access Gateway est temporairement surchargé. En outre, la limite dépassée permet également à un équilibrage de charge de marquer le dispositif Unified Access Gateway comme étant inactif afin que les nouvelles demandes puissent être dirigées vers d'autres dispositifs Unified Access Gateway.
La valeur est exprimée en pourcentage.
La valeur par défaut est
100%
.Adhérer au CEIP Si l'option est activée, envoie des informations à VMware dans le cadre du Programme d'amélioration du produit (CEIP). Activer SNMP Activez cette option pour activer le service SNMP. Le protocole de gestion de réseau simple (SNMP) collecte les statistiques système, les données de mémoire, les statistiques d'utilisation de l'espace disque et les informations MIB du service Edge de tunnel par Unified Access Gateway. Liste de la base d'informations de gestion (MIB, Management Information Base) disponible, - UCD-SNMP-MIB::systemStats
- UCD-SNMP-MIB::memory
- UCD-SNMP-MIB::dskTable
- VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
Version SNMP Sélectionnez la version SNMP souhaitée. Si SNMPv1+v2 est sélectionné comme protocole SNMP, vous pouvez ajouter un nom de communauté SNMP personnalisé.
Note : Vous devez activer SNMP avant de configurer Tunnel. Si vous activez SNMP après la configuration de Tunnel, vous devez enregistrer à nouveau les paramètres de Tunnel afin que les paramètres SNMP prennent effet.Si vous avez déployé Unified Access Gateway via PowerShell, activé SNMP, mais pas configuré les paramètres SNMPv3 configurés via PowerShell ou l'interface utilisateur d'administration Unified Access Gateway, les versions SNMPv1+SNMPV2c sont utilisées par défaut.
Voici les étapes supplémentaires de configuration des paramètres SNMPv3 dans l'interface utilisateur d'administration :- Entrez le nom Utilisateur d'USM SNMPv3.
- Entrez l'ID du moteur SNMP.
Cette valeur est unique pour chaque dispositif Unified Access Gateway.
La longueur maximale de l'ID du moteur est limitée à 27 caractères.
- Sélectionnez le Niveau de sécurité SNMPv3.
- En fonction du niveau de sécurité sélectionné à l'étape précédente, effectuez les actions suivantes :
Niveau de sécurité Actions No Auth, No Priv
(Aucune authentification, aucune confidentialité)
Cliquez sur Enregistrer. Aucune autre action n'est nécessaire.
Auth, No Priv
(Authentification, aucune confidentialité)
- Sélectionnez Algorithme d'authentification SNMPv3.
- Entrez le Mot de passe d'authentification SNMPv3.
Le mot de passe doit comporter au moins 8 caractères.
- Confirmez le mot de passe d'authentification entré à l'étape précédente.
- Cliquez sur Enregistrer.
Auth, Priv
(Authentification, confidentialité)
- Sélectionnez Algorithme d'authentification SNMPv3.
Les valeurs prises en charge sont les suivantes :
MD5 (Not Recommended)
,SHA (Not Recommended)
,SHA-224
,SHA-256
,SHA-384
etSHA-512
. - Entrez le Mot de passe d'authentification SNMPv3.
Le mot de passe doit comporter au moins 8 caractères.
- Confirmez le Mot de passe d'authentification entré à l'étape précédente.
- Sélectionnez Algorithme de confidentialité SNMPv3.
Les valeurs prises en charge sont
DES
etAES
. - Sélectionnez Mot de passe de confidentialité SNMPv3.
Le mot de passe doit comporter au moins 8 caractères.
- Confirmez le mot de passe de confidentialité entré à l'étape précédente.
- Cliquez sur Enregistrer.
Communauté SNMP Entrez un nom de communauté SNMP personnalisé à utiliser. Si ce champ reste vide, « public » est utilisé. Texte de clause de non-responsabilité de l'administrateur Entrez le texte de clause de non-responsabilité en fonction de la politique de contrat d'utilisateur de votre entreprise. Pour qu'un administrateur se connecte à l'interface utilisateur d'administration Unified Access Gateway, l'administrateur doit accepter la politique de contrat.
Le texte de clause de non-responsabilité peut être configuré via un déploiement PowerShell ou à l'aide de l'interface utilisateur d'administration Unified Access Gateway. Pour plus d'informations sur le paramètre PowerShell dans le fichier INI, reportez-vous à Exécuter un script PowerShell à déployer.
Lors de l'utilisation de l'interface utilisateur d'administration Unified Access Gateway pour configurer cette zone de texte, l'administrateur doit d'abord se connecter à l'interface utilisateur d'administration, puis configurer le texte de clause de non-responsabilité. Lors des connexions suivantes de l'administrateur, le texte s'affiche pour permettre à l'administrateur d'accepter avant d'accéder à la page de connexion.
DNS Entrez les adresses du système de noms de domaine qui sont ajoutées au fichier de configuration /run/systemd/resolve/resolv.conf. Il doit contenir une adresse de recherche DNS valide. Cliquez sur « + » pour ajouter une adresse DNS. Recherche DNS Entrez la recherche du système de noms de domaine ajoutée au fichier de configuration /run/systemd/resolve/resolv.conf. Il doit contenir une adresse de recherche DNS valide. Cliquez sur « + » pour ajouter une entrée de recherche DNS. Synchronisation de l'heure avec l'hôte Activez cette option pour synchroniser l'heure sur le dispositif Unified Access Gateway avec l'heure de l'hôte ESXi. Par défaut, cette option est désactivée.
Cette option utilise VMware Tools pour la synchronisation de l'heure et n'est prise en charge que lorsqu'Unified Access Gateway est déployé sur l'hôte ESXi.
Si vous choisissez cette option pour la synchronisation de l'heure, les options NTP Servers et FallBack NTP Servers sont désactivées.
Cette option peut être configurée à l'aide de PowerShell en ajoutant le paramètre hostClockSyncEnabled dans le fichier INI. Reportez-vous à la section Exécuter un script PowerShell à déployer.
Serveurs NTP Serveurs NTP pour la synchronisation du protocole de temps du réseau. Vous pouvez entrer des adresses IP et des noms d'hôte valides. Les serveurs NTP par interface obtenus depuis la configuration de systemd-networkd.service ou via DHCP auront priorité sur ces configurations. Cliquez sur « + » pour ajouter un serveur NTP. Si vous choisissez cette option pour la synchronisation de l'heure, l'option Time Sync With Host est désactivée.
Serveurs NTP de secours Serveurs NTP de secours pour la synchronisation du protocole de temps du réseau. Si les informations de serveur NTP sont introuvables, ces noms d'hôte de serveur NTP de secours ou adresses IP seront utilisés. Cliquez sur « + » pour ajouter un serveur NTP de secours. Si vous choisissez cette option pour la synchronisation de l'heure, l'option Time Sync With Host est désactivée.
Validation étendue du certificat de serveur Activez cette option pour vous assurer qu'Unified Access Gateway effectue une validation étendue sur le certificat du serveur SSL reçu pour les connexions TLS sortantes vers les serveurs principaux. Les vérifications étendues incluent la validation de l'expiration du certificat, l'incompatibilité dans le nom d'hôte, l'état de révocation du certificat et les valeurs d'utilisation de la clé étendue.
Par défaut, cette option est désactivée.
Cette option peut être configurée à l'aide de PowerShell en ajoutant le paramètre extendedServerCertValidationEnabled dans le fichier ini. Reportez-vous à la section Exécuter un script PowerShell à déployer.
Clés publiques SSH Téléchargez des clés publiques pour activer l'accès de l'utilisateur racine à la machine virtuelle Unified Access Gateway lors de l'utilisation de l'option de paire de clés publique/privée. Les administrateurs peuvent charger plusieurs clés publiques uniques sur Unified Access Gateway.
Ce champ est visible sur l'interface utilisateur d'administration uniquement lorsque les options SSH suivantes sont définies sur
true
pendant le déploiement : Activer SSH et Autoriser la connexion racine SSH à l'aide de la paire de clés. Pour plus d'informations sur ces options, reportez-vous à la section Déploiement vers vSphere à l'aide de l'assistant de modèle OVF. - Cliquez sur Enregistrer.
Que faire ensuite
Configurez les paramètres du service Edge pour les composants avec lesquels Unified Access Gateway est déployé. Une fois les paramètres Edge configurés, configurez les paramètres d'authentification.