Vous pouvez configurer les protocoles de sécurité et les algorithmes cryptographiques qui sont utilisés pour chiffrer les communications entre les clients et le dispositif Unified Access Gateway à partir des pages de configuration d'administration.

Conditions préalables

  • Passez en revue les propriétés de déploiement Unified Access Gateway. Les informations de paramétrage suivantes sont requises :
    • Adresse IP statique pour le dispositif Unified Access Gateway
    • Adresses IP des serveurs DNS
      Note : Vous pouvez spécifier un maximum de deux adresses IP de serveur DNS.

      Unified Access Gateway utilise les adresses DNS publiques de secours par défaut de la plate-forme uniquement lorsqu'aucune adresse de serveur DNS n'est fournie à UAG dans le cadre des paramètres de configuration ou via DHCP.

    • Mot de passe pour la console d'administration
    • URL de l'instance de serveur ou de l'équilibrage de charge vers laquelle le dispositif Unified Access Gateway pointe.
    • URL du serveur Syslog permettant d'enregistrer les fichiers journaux des événements

Procédure

  1. Dans la section Configuration manuelle de l'interface utilisateur d'administration, cliquez sur Sélectionner.
  2. Dans la section Paramètres avancés, cliquez sur l'icône en forme d'engrenage Configuration système.
  3. Modifiez les valeurs suivantes de configuration du dispositif Unified Access Gateway.
    Option Valeur par défaut et description
    Nom UAG Nom unique du dispositif Unified Access Gateway.
    Note : Le nom du dispositif peut être composé d'une chaîne de texte de 24 caractères maximum comprenant des caractères alphabétiques (A-Z), des chiffres (0-9), le signe moins (-) et la virgule (.). Cependant, le nom du dispositif ne peut pas contenir d'espaces.
    Paramètre régional

    Spécifie le paramètre régional à utiliser pour générer les messages d'erreur.

    • en_US pour l'anglais américain. Il s'agit du réglage par défaut.
    • ja_JP pour le japonais
    • fr_FR pour le français
    • de_DE pour l'allemand
    • zh_CN pour le chinois simplifié
    • zh_TW pour le chinois traditionnel
    • ko_KR pour le coréen
    • es pour l'espagnol
    • pt_BR pour le portugais du Brésil
    • en_GB pour l'anglais britannique
    Suites de chiffrement Dans la plupart des cas, les paramètres par défaut ne doivent pas être modifiés. Il s'agit des algorithmes cryptographiques qui sont utilisés pour chiffrer les communications entre les clients et le dispositif Unified Access Gateway. Les paramètres de chiffement permettent d'activer différents protocoles de sécurité.
    TLS 1.0 activé La valeur par défaut est NO.

    Sélectionnez YES pour activer le protocole de sécurité TLS 1.0.
    TLS 1.1 activé La valeur par défaut est NO.

    Sélectionnez YES pour activer le protocole de sécurité TLS 1.1.
    TLS 1.2 activé La valeur par défaut est YES.

    Le protocole de sécurité TLS 1.2 est activé.

    TLS 1.3 activé La valeur par défaut est YES

    Le protocole de sécurité TLS 1.3 est activé.
    En-têtes d'hôte autorisés Entrez l'adresse IP ou le nom d'hôte comme valeur d'en-tête de l'hôte. Ce paramètre s'applique au déploiement d'UAG avec des cas d'utilisation pour Horizon et de proxy inverse Web.

    Pour les déploiements d'UAG avec Horizon, il peut être nécessaire de fournir plusieurs en-têtes d'hôte. Cela varie selon que l'adresse IP virtuelle (VIP) N+1 est utilisée et que Blast Secure Gateway (BSG) et VMware Tunnel sont activés et configurés pour utiliser le port 443 en externe.

    Les clients Horizon envoient l'adresse IP dans l'en-tête de l'hôte pour la demande de connexion à Blast. Si BSG est configuré pour utiliser le port 443, les en-têtes d'hôte autorisés doivent contenir l'adresse IP externe du nom d'hôte BSG configuré dans l'URL externe Blast pour le dispositif UAG spécifique.

    Si les valeurs d'en-tête de l'hôte ne sont pas spécifiées, toute valeur d'en-tête de l'hôte envoyée par le client est acceptée par défaut.
    Type Syslog Sélectionnez le type Syslog dans le menu déroulant. Les options sont les suivantes :
    • UDP : les messages Syslog sont envoyés sur le réseau en texte brut sur UDP. Il s'agit de l'option par défaut.
    • TLS : le chiffrement TLS est ajouté entre deux serveurs Syslog pour que les messages restent sécurisés.
    • TCP : les messages Syslog sont diffusés via TCP.
    Note : Ce paramètre s'applique à Unified Access Gateway 3.7 et versions ultérieures. L'option TCP s'applique à Unified Access Gateway 2009 et versions ultérieures.
    URL Syslog Lorsque le type Syslog est défini sur UDP ou TCP, cette option est activée. Entrez l'URL du serveur Syslog qui est utilisée pour la journalisation des événements Unified Access Gateway. Cette valeur peut être une URL, un nom d'hôte ou une adresse IP. Si vous ne définissez pas l'URL du serveur Syslog, aucun événement n'est journalisé.

    Un nombre maximum de deux URL peut être fourni. Les URL sont séparées par une virgule. Exemple : syslog://server1.example.com:514, syslog://server2.example.com:514

    Par défaut, les événements des services Edge de Content Gateway et Secure Email Gateway sont journalisés. Pour consigner les événements sur le serveur Syslog pour le service Edge Tunnel Gateway configuré sur Unified Access Gateway, un administrateur doit configurer Syslog sur Workspace ONE UEM Console avec les informations.Syslog Hostname=localhost and Port=514

    Pour plus d'informations sur Syslog dans Workspace ONE UEM Console, reportez-vous à la rubrique Configurer le tunnel par application de la documentation VMware Tunnel pour Linux.

    Serveurs Syslog Lorsque le type Syslog est défini sur TLS, cette option est activée. Entrez l'URL du serveur Syslog qui est utilisée pour la journalisation des événements Unified Access Gateway. Cette valeur peut être une URL, un nom d'hôte ou une adresse IP. Si vous ne définissez pas l'URL du serveur Syslog, aucun événement n'est journalisé.

    Un nombre maximum de deux URL peut être fourni. Les URL sont séparées par une virgule. Exemple : syslog://server1.example.com:514, syslog://server2.example.com:514

    Par défaut, les événements des services Edge de Content Gateway et Secure Email Gateway sont journalisés. Pour consigner les événements sur le serveur Syslog pour le service Edge Tunnel Gateway configuré sur Unified Access Gateway, un administrateur doit configurer Syslog sur Workspace ONE UEM Console avec les informations.Syslog Hostname=localhost and Port=514

    Note : Cela s'applique à Unified Access Gateway 3.7 et versions ultérieures.
    URL d'audit de Syslog Entrez l'URL du serveur Syslog qui est utilisée pour la journalisation des événements d'audit d'Unified Access Gateway. Cette valeur peut être une URL, un nom d'hôte ou une adresse IP. Si vous ne définissez pas l'URL du serveur Syslog, aucun événement d'audit n'est journalisé.

    Un nombre maximum de deux URL peut être fourni. Les URL sont séparées par une virgule. Exemple : syslog://server1.example.com:514, syslog://server2.example.com:514

    Certificat d'autorité de certification Cette option est activée lorsqu'un serveur Syslog est ajouté. Sélectionnez un certificat d'autorité de certification Syslog valide.
    Certificat client Syslog
    Note : Cette option est activée uniquement en cas d'ajout d'un serveur Syslog dans l'interface utilisateur d'administration d' Unified Access Gateway.

    Sélectionnez un certificat client Syslog valide au format PEM.
    Clé du certificat client Syslog
    Note : Cette option est activée uniquement en cas d'ajout d'un serveur Syslog dans l'interface utilisateur d'administration d' Unified Access Gateway.

    Sélectionnez une clé de certificat client Syslog valide au format PEM.

    Note : Lorsque le dispositif Unified Access Gateway est déployé à l'aide de PowerShell, si un certificat ou une clé non valide ou expiré(e) est fourni(e), l'instance de l'interface utilisateur d'administration ne sera pas disponible.
    Syslog inclut des messages système Sélectionnez Oui pour activer les services système tels que haproxy, cron, le protocole ssh, le noyau et le système pour envoyer des messages système au serveur Syslog.

    Par défaut, l'option est définie sur Non.

    Cette fonctionnalité peut également être configurée via le déploiement de PowerShell. Pour plus d'informations sur le paramètre dans le fichier INI, reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
    URL de contrôle de santé Entrez une URL à laquelle l'équilibrage de charge se connecte et vérifie la santé d'Unified Access Gateway.
    Cookies à mettre en cache Ensemble de cookies mis en cache par Unified Access Gateway. La valeur par défaut est aucun.
    Délai d'expiration de session La valeur par défaut est de 36 000 000 millisecondes.
    Mode de mise au repos Choisissez YES pour mettre en pause le dispositif Unified Access Gateway afin d'obtenir un état cohérent permettant d'effectuer les tâches de maintenance.
    Surveiller l'intervalle La valeur par défaut est 60.
    Âge du mot de passe Nombre de jours de validité du mot de passe de l'administrateur actuel. La valeur par défaut est de 90 jours. Spécifiez zéro (0) si le mot de passe n'expire jamais.
    Délai d'expiration de la demande Indique le temps maximal qu'Unified Access Gateway attend pour recevoir une demande.

    La valeur par défaut est 3000.

    Ce délai d'expiration doit être spécifié en millisecondes.

    Délai d'expiration de réception du corps Indique le temps maximal qu'Unified Access Gateway attend pour recevoir un corps de demande.

    L'option par défaut est 5000.

    Ce délai d'expiration doit être spécifié en millisecondes.

    Nombre maximal de connexions par session Nombre maximal de connexions TCP autorisées par session TLS.

    La valeur par défaut est 16.

    Pour n'appliquer aucune limite au nombre de connexions TCP autorisées, définissez la valeur de ce champ sur 0.

    Note : Une valeur du champ inférieure ou égale à 8 provoque des erreurs dans Horizon Client.
    Délai d'expiration d'inactivité de connexion du client Spécifiez la durée (en secondes) pendant laquelle une connexion client peut rester inactive avant la fermeture de la connexion. La valeur par défaut est de 360 secondes (6 minutes). Une valeur de 0 indique qu'il n'y a aucun délai d'inactivité.
    Délai d'expiration d'authentification

    Durée d'attente maximale, en millisecondes, avant laquelle l'authentification doit avoir lieu. La valeur par défaut est 300 000. Si 0 est spécifié, cela indique aucune limite de temps pour l'authentification.
    Tolérance de variation d'horloge Entrez la différence de temps autorisée en secondes entre une horloge d'Unified Access Gateway et les autres horloges sur le même réseau. La valeur par défaut est de 600 secondes.
    Nombre maximal de CPU système autorisé Indique l'utilisation moyenne maximale autorisée du CPU système en une minute.

    Lorsque la limite de CPU configurée est dépassée, les nouvelles sessions ne sont pas autorisées et le client reçoit une erreur HTTP 503 indiquant que le dispositif Unified Access Gateway est temporairement surchargé. En outre, la limite dépassée permet également à un équilibrage de charge de marquer le dispositif Unified Access Gateway comme étant inactif afin que les nouvelles demandes puissent être dirigées vers d'autres dispositifs Unified Access Gateway.

    La valeur est exprimée en pourcentage.

    La valeur par défaut est 100%.
    Adhérer au CEIP Si l'option est activée, envoie des informations à VMware dans le cadre du Programme d'amélioration du produit (CEIP). Reportez-vous à la section Participer au programme d'amélioration du produit ou le quitter pour plus d'informations.
    Activer SNMP Basculez sur OUI pour activer le service SNMP. Le protocole de gestion de réseau simple (SNMP) collecte les statistiques système, de la mémoire et les informations MIB du service Edge Tunnel par Unified Access Gateway. Liste de la base d'informations de gestion (MIB, Management Information Base) disponible,
    • UCD-SNMP-MIB::systemStats
    • UCD-SNMP-MIB::memory
    • VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
    Version SNMP Sélectionnez la version SNMP souhaitée.
    Note : Si vous avez déployé Unified Access Gateway via PowerShell, activé SNMP, mais pas les paramètres SNMPv3 configurés via PowerShell ou l'interface utilisateur d'administration Unified Access Gateway, les versions SNMPv1 et SNMPV2c sont utilisées par défaut.

    Pour configurer les paramètres SNMPv3 dans l'interface utilisateur d'administration, reportez-vous à la section #GUID-4E74559B-37E4-44C9-AA2D-55FA325FE114.

    Pour configurer les paramètres SNMPv3 via le déploiement de PowerShell, vous devez ajouter certains paramètres SNMPv3 au fichier INI. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
    Texte de clause de non-responsabilité de l'administrateur Entrez le texte de clause de non-responsabilité en fonction de la politique de contrat d'utilisateur de votre entreprise.

    Pour qu'un administrateur se connecte à l'interface utilisateur d'administration Unified Access Gateway, l'administrateur doit accepter la politique de contrat.

    Le texte de clause de non-responsabilité peut être configuré via un déploiement PowerShell ou à l'aide de l'interface utilisateur d'administration Unified Access Gateway. Pour plus d'informations sur le paramètre PowerShell dans le fichier INI, reportez-vous à Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.

    Lors de l'utilisation de l'interface utilisateur d'administration Unified Access Gateway pour configurer cette zone de texte, l'administrateur doit d'abord se connecter à l'interface utilisateur d'administration, puis configurer le texte de clause de non-responsabilité. Lors des connexions suivantes de l'administrateur, le texte s'affiche pour permettre à l'administrateur d'accepter avant d'accéder à la page de connexion.
    DNS Entrez les adresses du système de noms de domaine qui sont ajoutées au fichier de configuration /run/systemd/resolve/resolv.conf. Il doit contenir une adresse de recherche DNS valide. Cliquez sur « + » pour ajouter une adresse DNS.
    Recherche DNS Entrez la recherche du système de noms de domaine qui est ajoutée au fichier de configuration /etc/resolv.conf. Il doit contenir une adresse de recherche DNS valide. Cliquez sur « + » pour ajouter une entrée de recherche DNS.
    Serveurs NTP Serveurs NTP pour la synchronisation du protocole de temps du réseau. Vous pouvez entrer des adresses IP et des noms d'hôte valides. Les serveurs NTP par interface obtenus depuis la configuration de systemd-networkd.service ou via DHCP auront priorité sur ces configurations. Cliquez sur « + » pour ajouter un serveur NTP.
    Serveurs NTP de secours Serveurs NTP de secours pour la synchronisation du protocole de temps du réseau. Si les informations de serveur NTP sont introuvables, ces noms d'hôte de serveur NTP de secours ou adresses IP seront utilisés. Cliquez sur « + » pour ajouter un serveur NTP de secours.
    Clés publiques SSH Chargez des clés publiques pour activer l'accès de l'utilisateur racine à Unified Access Gateway lors de l'utilisation de l'option de paire de clés publique/privée.

    Les administrateurs peuvent charger plusieurs clés publiques uniques sur Unified Access Gateway.

    Ce champ est visible sur l'interface utilisateur d'administration uniquement lorsque les options SSH suivantes sont définies sur true pendant le déploiement : Activer SSH et Autoriser la connexion racine SSH à l'aide de la paire de clés. Pour plus d'informations sur ces options, reportez-vous à la section Déploiement d'Unified Access Gateway au moyen de l'assistant de modèle OVF.
  4. Cliquez sur Enregistrer.

Que faire ensuite

Configurez les paramètres du service Edge pour les composants avec lesquels Unified Access Gateway est déployé. Une fois les paramètres Edge configurés, configurez les paramètres d'authentification.