Vous pouvez configurer les protocoles de sécurité et les algorithmes cryptographiques qui sont utilisés pour chiffrer les communications entre les clients et le dispositif Unified Access Gateway à partir des pages de configuration d'administration.

Conditions préalables

  • Passez en revue les propriétés de déploiement Unified Access Gateway. Les informations de paramétrage suivantes sont requises :
    • Adresse IP statique pour le dispositif Unified Access Gateway
    • Adresse IP du serveur DNS
    • Mot de passe pour la console d'administration
    • URL de l'instance de serveur ou de l'équilibrage de charge vers laquelle le dispositif Unified Access Gateway pointe.
    • URL du serveur Syslog permettant d'enregistrer les fichiers journaux des événements

Procédure

  1. Dans la section Configuration manuelle de l'interface utilisateur d'administration, cliquez sur Sélectionner.
  2. Dans la section Paramètres avancés, cliquez sur l'icône en forme d'engrenage Configuration système.
  3. Modifiez les valeurs suivantes de configuration du dispositif Unified Access Gateway.
    Option Valeur par défaut et description
    Nom UAG Nom unique du dispositif UAG.
    Paramètre régional

    Spécifie le paramètre régional à utiliser pour générer les messages d'erreur.

    • en_US pour l'anglais américain. Il s'agit du réglage par défaut.
    • ja_JP pour le japonais
    • fr_FR pour le français
    • de_DE pour l'allemand
    • zh_CN pour le chinois simplifié
    • zh_TW pour le chinois traditionnel
    • ko_KR pour le coréen
    • es pour l'espagnol
    • pt_BR pour le portugais du Brésil
    • en_GB pour l'anglais britannique
    Suites de chiffrement Dans la plupart des cas, les paramètres par défaut ne doivent pas être modifiés. Il s'agit des algorithmes cryptographiques qui sont utilisés pour chiffrer les communications entre les clients et le dispositif Unified Access Gateway. Les paramètres de chiffement permettent d'activer différents protocoles de sécurité.
    TLS 1.0 activé La valeur par défaut est NO.

    Sélectionnez YES pour activer le protocole de sécurité TLS 1.0.

    TLS 1.1 activé La valeur par défaut est NO.

    Sélectionnez YES pour activer le protocole de sécurité TLS 1.1.

    TLS 1.2 activé La valeur par défaut est YES.

    Le protocole de sécurité TLS 1.2 est activé.

    Type Syslog Sélectionnez le type Syslog dans la liste déroulante. Les options sont les suivantes :
    • UDP : les messages Syslog sont envoyés sur le réseau en texte brut sur UDP. Il s'agit de l'option par défaut.
    • TLS : le chiffrement TLS est ajouté entre deux serveurs Syslog pour que les messages restent sécurisés.
    Note : Cela s'applique à Unified Access Gateway 3.7 et versions ultérieures.
    URL Syslog Lorsque le type Syslog est défini sur UDP, cette option est activée. Entrez l'URL du serveur Syslog qui est utilisée pour la journalisation des événements Unified Access Gateway. Cette valeur peut être une URL, un nom d'hôte ou une adresse IP. Si vous ne définissez pas l'URL du serveur Syslog, aucun événement n'est journalisé.

    Un nombre maximum de deux URL peut être fourni. Les URL sont séparées par une virgule. Exemple : syslog://server1.example.com:514, syslog://server2.example.com:514

    Par défaut, les événements des services Edge de Content Gateway et Secure Email Gateway sont journalisés. Pour consigner les événements sur le serveur Syslog pour le service Edge Tunnel Gateway configuré sur Unified Access Gateway, un administrateur doit configurer Syslog sur Workspace ONE UEM Console avec les informations.Syslog Hostname=localhost and Port=514

    Pour plus d'informations sur Syslog dans Workspace ONE UEM Console, reportez-vous à la rubrique Configurer le tunnel par application de la documentation VMware Tunnel pour Linux.

    Serveurs Syslog Lorsque le type Syslog est défini sur TLS, cette option est activée. Entrez l'URL du serveur Syslog qui est utilisée pour la journalisation des événements Unified Access Gateway. Cette valeur peut être une URL, un nom d'hôte ou une adresse IP. Si vous ne définissez pas l'URL du serveur Syslog, aucun événement n'est journalisé.

    Un nombre maximum de deux URL peut être fourni. Les URL sont séparées par une virgule. Exemple : syslog://server1.example.com:514, syslog://server2.example.com:514

    Par défaut, les événements des services Edge de Content Gateway et Secure Email Gateway sont journalisés. Pour consigner les événements sur le serveur Syslog pour le service Edge Tunnel Gateway configuré sur Unified Access Gateway, un administrateur doit configurer Syslog sur Workspace ONE UEM Console avec les informations.Syslog Hostname=localhost and Port=514

    Note : Cela s'applique à Unified Access Gateway 3.7 et versions ultérieures.
    URL d'audit de Syslog Entrez l'URL du serveur Syslog qui est utilisée pour la journalisation des événements d'audit d'Unified Access Gateway. Cette valeur peut être une URL, un nom d'hôte ou une adresse IP. Si vous ne définissez pas l'URL du serveur Syslog, aucun événement d'audit n'est journalisé.

    Un nombre maximum de deux URL peut être fourni. Les URL sont séparées par une virgule. Exemple : syslog://server1.example.com:514, syslog://server2.example.com:514

    Certificat d'autorité de certification Cette option est activée lorsqu'un serveur Syslog est ajouté. Sélectionnez un certificat d'autorité de certification Syslog valide.
    Certificat client Syslog Sélectionnez un certificat client Syslog valide au format PEM.
    Clé du certificat client Syslog Sélectionnez une clé de certificat client Syslog valide au format PEM.
    Note : Lorsque le dispositif Unified Access Gateway est déployé à l'aide de PowerShell, si un certificat ou une clé non valide ou expiré(e) est fourni(e), l'instance de l'interface utilisateur d'administration ne sera pas disponible.
    URL de contrôle de santé Entrez une URL à laquelle l'équilibrage de charge se connecte et vérifie la santé d'Unified Access Gateway.
    Cookies à mettre en cache Ensemble de cookies mis en cache par Unified Access Gateway. La valeur par défaut est aucun.
    Mode IP Sélectionnez le mode IP statique : STATICV4 ou STATICV6.
    Délai d'expiration de session La valeur par défaut est de 36 000 000 millisecondes.
    Mode de mise au repos Choisissez YES pour mettre en pause le dispositif Unified Access Gateway afin d'obtenir un état cohérent permettant d'effectuer les tâches de maintenance.
    Surveiller l'intervalle La valeur par défaut est 60.
    Âge du mot de passe Nombre de jours de validité du mot de passe de l'administrateur actuel. La valeur par défaut est de 90 jours. Spécifiez zéro (0) si le mot de passe n'expire jamais.
    Délai d'expiration de la demande Spécifiez le délai d'expiration de la demande en secondes. La valeur par défaut est 3 000.
    Délai d'expiration de réception du corps Spécifiez le délai d'expiration de réception du corps en secondes. La valeur par défaut est 5 000.
    Nombre maximal de connexions par session Nombre maximal de connexions TCP autorisées par session TLS.

    La valeur par défaut est 16.

    Pour n'appliquer aucune limite au nombre de connexions TCP autorisées, définissez la valeur de ce champ sur 0.

    Note : Une valeur du champ inférieure ou égale à 8 provoque des erreurs dans Horizon Client.
    Délai d'expiration d'inactivité de connexion du client Spécifiez la durée (en secondes) pendant laquelle une connexion client peut rester inactive avant la fermeture de la connexion. La valeur par défaut est de 360 secondes (6 minutes). Une valeur de 0 indique qu'il n'y a aucun délai d'inactivité.
    Délai d'expiration d'authentification

    Durée d'attente maximale, en millisecondes, avant laquelle l'authentification doit avoir lieu. La valeur par défaut est 300 000. Si 0 est spécifié, cela indique aucune limite de temps pour l'authentification.

    Tolérance de variation d'horloge Entrez la différence de temps autorisée en secondes entre une horloge d'Unified Access Gateway et les autres horloges sur le même réseau. La valeur par défaut est de 600 secondes.
    Adhérer au CEIP Si l'option est activée, envoie des informations à VMware dans le cadre du Programme d'amélioration du produit (CEIP). Reportez-vous à la section Participer au programme d'amélioration du produit ou le quitter pour plus d'informations.
    Activer SNMP Basculez sur OUI pour activer le service SNMP. Le protocole de gestion de réseau simple (SNMP) collecte les statistiques système, de la mémoire et les informations MIB du service Edge Tunnel par Unified Access Gateway.
    Note : Vous devez activer SNMP avant de configurer Tunnel. Si vous activez SNMP après la configuration de Tunnel, vous devez enregistrer à nouveau les paramètres de Tunnel afin que les paramètres SNMP prennent effet.
    Liste de la base d'informations de gestion (MIB, Management Information Base) disponible,
    • UCD-SNMP-MIB::systemStats
    • UCD-SNMP-MIB::memory
    • VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
    DNS Entrez les adresses du système de noms de domaine qui sont ajoutées au fichier de configuration /run/systemd/resolve/resolv.conf. Il doit contenir une adresse de recherche DNS valide. Cliquez sur « + » pour ajouter une adresse DNS.
    Recherche DNS Entrez la recherche du système de noms de domaine qui est ajoutée au fichier de configuration /etc/resolv.conf. Il doit contenir une adresse de recherche DNS valide. Cliquez sur « + » pour ajouter une entrée de recherche DNS.
    Serveurs NTP Serveurs NTP pour la synchronisation du protocole de temps du réseau. Vous pouvez entrer des adresses IP et des noms d'hôte valides. Les serveurs NTP par interface obtenus depuis la configuration de systemd-networkd.service ou via DHCP auront priorité sur ces configurations. Cliquez sur « + » pour ajouter un serveur NTP.
    Serveurs NTP de secours Serveurs NTP de secours pour la synchronisation du protocole de temps du réseau. Si les informations de serveur NTP sont introuvables, ces noms d'hôte de serveur NTP de secours ou adresses IP seront utilisés. Cliquez sur « + » pour ajouter un serveur NTP de secours.
    Clés publiques SSH Chargez des clés publiques pour activer l'accès de l'utilisateur racine à Unified Access Gateway lors de l'utilisation de l'option de paire de clés publique/privée.

    Les administrateurs peuvent charger plusieurs clés publiques uniques sur Unified Access Gateway.

    Ce champ est visible sur l'interface utilisateur d'administration uniquement lorsque les options SSH suivantes sont définies sur true pendant le déploiement : Activer SSH et Autoriser la connexion racine SSH à l'aide de la paire de clés. Pour plus d'informations sur ces options, reportez-vous à la section Déploiement d'Unified Access Gateway au moyen de l'assistant de modèle OVF.

  4. Cliquez sur Enregistrer.

Que faire ensuite

Configurez les paramètres du service Edge pour les composants avec lesquels Unified Access Gateway est déployé. Une fois les paramètres Edge configurés, configurez les paramètres d'authentification.