In qualità di operatore, è possibile aggiungere o modificare i valori delle proprietà di sistema.

Le tabelle seguenti descrivono alcune delle proprietà di sistema. Come operatore, è possibile impostare i valori delle proprietà seguenti.

Tabella 1. Email di avviso
Proprietà di sistema Descrizione
vco.alert.mail.to

Quando viene attivato un avviso, viene inviata immediatamente una notifica all'elenco degli indirizzi email forniti nel campo Value di questa proprietà di sistema. È possibile immettere ID email multipli separati da virgole.

Se la proprietà non contiene alcun valore, la notifica non viene inviata.

La notifica ha lo scopo di avvisare il personale di assistenza/operativo di VMware di problemi imminenti prima di avvisare il cliente.

vco.alert.mail.cc Quando le email di avviso vengono inviate a qualsiasi cliente, viene inviata una copia agli indirizzi email forniti nel campo Value di questa proprietà di sistema. È possibile immettere ID email multipli separati da virgole.
mail.* Sono disponibili più proprietà di sistema per controllare le email di avviso. È possibile definire i parametri email quali le proprietà SMTP, il nome utente, la password e così via.
Tabella 2. Avvisi (Alerts)
Proprietà di sistema Descrizione
vco.alert.enable Consente di attivare o disattivare globalmente la creazione di avvisi sia per i clienti Operatore che per i clienti Enterprise.
vco.enterprise.alert.enable Consente di attivare o disattivare globalmente la creazione di avvisi per i clienti Enterprise.
vco.operator.alert.enable Consente di attivare o disattivare globalmente la creazione di avvisi per gli operatori.
Tabella 3. Configurazione Orchestrator Bastion
Proprietà di sistema Descrizione
session.options.enableBastionOrchestrator Abilita la funzionalità Orchestrator Bastion.

Per ulteriori informazioni, vedere la Guida alla configurazione di Orchestrator Bastion disponibile all'indirizzo https://docs.vmware.com/it/VMware-SD-WAN/index.html.

vco.bation.private.enable Consente all'Orchestrator di essere l'Orchestrator privato della coppia di Bastion.
vco.bation.public.enable Consente all'Orchestrator di essere l'Orchestrator pubblico della coppia di Bastion.
Tabella 4. Autorità di certificazione
Proprietà di sistema Descrizione
edge.certificate.renewal.window Questa proprietà di sistema facoltativa consente all'operatore di definire una o più finestre di manutenzione durante le quali il rinnovo del certificato dell'Edge è abilitato. I certificati il cui rinnovo è previsto al di fuori delle finestre verranno rinviati finché l'ora corrente non rientrerà in una delle finestre abilitate.

Abilitare la proprietà di sistema:

Per abilitare questa proprietà di sistema, digitare "true" per "enabled" nella prima parte dell'area di testo Valore (Value) nella finestra di dialogo Modifica proprietà di sistema (Modify System Property). Di seguito è disponibile un esempio della prima parte di questa proprietà di sistema quando è abilitata.

Gli operatori possono definire più finestre per limitare i giorni e le ore del giorno durante cui i rinnovi degli Edge sono abilitati. Ogni finestra può essere definita da un giorno o da un elenco di giorni (separati da una virgola), nonché da un'ora di inizio e un'ora di fine. Le ore di inizio e di fine possono essere specificate rispetto al fuso orario locale di un Edge o rispetto all'ora UTC. Per un esempio, vedere l'immagine qui sotto.

Nota: Se gli attributi non sono presenti, il valore predefinito è "false".
Quando si definiscono gli attributi della finestra, attenersi alle seguenti linee guida:
  • Utilizzare i fusi orari IANA, non PDT o PST (ad esempio America/Los_Angeles). Per ulteriori informazioni, vedere https://en.wikipedia.org/wiki/List_of_tz_database_time_zones.
  • Utilizzare la denominazione UTC per i giorni (ad esempio SAT, SUN).
    • Devono essere separati da una virgola.
    • Devono essere espressi con tre lettere in inglese.
    • Non viene fatta distinzione tra maiuscole e minuscole.
  • Utilizzare solo il formato orario militare di 24 ore (HH:MM) per le ore di inizio (ad esempio 01:30) e di fine (ad esempio 05:30).

Se mancano i valori indicati sopra, i valori predefiniti degli attributi in ogni definizione di finestra sono i seguenti:

  • Se enabled non è presente, il valore predefinito è false.
  • Se timezone non è presente, il valore predefinito è "local".
  • Se manca "days" o gli orari di inizio e di fine, i valori predefiniti sono i seguenti:
    • Se "days" non è presente, le ore di inizio e di fine vengono applicate a ogni giorno della settimana (mon, tue, wed, thu, fri, sat, sun).
    • Se mancano le ore di inizio e di fine, ogni ora del giorno specificato corrisponderà (start = 00:00 e end = 23:59).
    • NOTA: "days" o le ore di inizio e di fine devono comunque essere presenti. Tuttavia, se mancano, i valori predefiniti saranno quelli indicati sopra.

Disattivare la proprietà di sistema:

Questa proprietà di sistema è disattivata per impostazione predefinita. Ciò significa che il certificato verrà rinnovato automaticamente dopo la scadenza. "Enabled" sarà impostato su "false" nella prima parte dell'area di testo Valore (Value) nella finestra di dialogo Modifica proprietà di sistema (Modify System Property). Di seguito, è disponibile un esempio di questa proprietà quando è disattivata.

{

"enabled": false,

"windows": [

{

Nota: questa proprietà di sistema richiede che l'infrastruttura PKI sia abilitata.

gateway.certificate.renewal.window Questa proprietà di sistema facoltativa consente all'operatore di definire una o più finestre di manutenzione durante le quali il rinnovo del certificato del gateway è abilitato. I certificati il cui rinnovo è previsto al di fuori delle finestre verranno rinviati finché l'ora corrente non rientrerà in una delle finestre abilitate.

Abilitare la proprietà di sistema:

Per abilitare questa proprietà di sistema, digitare "true" per "enabled" nella prima parte dell'area di testo Valore (Value) nella finestra di dialogo Modifica proprietà di sistema (Modify System Property). Per un esempio, vedere l'immagine qui sotto.

Gli operatori possono definire più finestre per limitare i giorni e le ore del giorno durante cui i rinnovi degli Edge sono abilitati. Ogni finestra può essere definita da un giorno o da un elenco di giorni (separati da una virgola), nonché da un'ora di inizio e un'ora di fine. Le ore di inizio e di fine possono essere specificate rispetto al fuso orario locale di un Edge o rispetto all'ora UTC. Per un esempio, vedere l'immagine qui sotto.

Nota: Se gli attributi non sono presenti, il valore predefinito è "false".
Quando si definiscono gli attributi della finestra, attenersi alle seguenti linee guida:
  • Utilizzare i fusi orari IANA, non PDT o PST (ad esempio America/Los_Angeles). Per ulteriori informazioni, vedere https://en.wikipedia.org/wiki/List_of_tz_database_time_zones.
  • Utilizzare la denominazione UTC per i giorni (ad esempio SAT, SUN).
    • Devono essere separati da una virgola.
    • Devono essere espressi con tre lettere in inglese.
    • Non viene fatta distinzione tra maiuscole e minuscole.
  • Utilizzare solo il formato orario militare di 24 ore (HH:MM) per le ore di inizio (ad esempio 01:30) e di fine (ad esempio 05:30).

Se mancano i valori indicati sopra, i valori predefiniti degli attributi in ogni definizione di finestra sono i seguenti:

  • Se enabled non è presente, il valore predefinito è false.
  • Se timezone non è presente, il valore predefinito è "local".
  • Se manca "days" o gli orari di inizio e di fine, i valori predefiniti sono i seguenti:
    • Se "days" non è presente, le ore di inizio e di fine vengono applicate a ogni giorno della settimana (mon, tue, wed, thu, fri, sat, sun).
    • Se mancano le ore di inizio e di fine, ogni ora del giorno specificato corrisponderà (start = 00:00 e end = 23:59).
    • NOTA: "days" o le ore di inizio e di fine devono comunque essere presenti. Tuttavia, se mancano, i valori predefiniti saranno quelli indicati sopra.

Disattivare la proprietà di sistema:

Questa proprietà di sistema è disattivata per impostazione predefinita. Ciò significa che il certificato verrà rinnovato automaticamente dopo la scadenza. "Enabled" sarà impostato su "false" nella prima parte dell'area di testo Valore (Value) nella finestra di dialogo Modifica proprietà di sistema (Modify System Property). Di seguito, è disponibile un esempio di questa proprietà quando è disattivata.

{

"enabled": false,

"windows": [

{

Nota: Questa proprietà di sistema richiede che l'infrastruttura PKI sia abilitata.
Tabella 5. Configurazione cliente
Proprietà di sistema Descrizione
session.options.enableServiceLicenses Questa proprietà di sistema consente agli utenti operatore di gestire la configurazione del servizio in Impostazioni globali (Global Settings) > Configurazione cliente (Customer Configuration) ed è impostata su True per impostazione predefinita.
Tabella 6. Conservazione dei dati
Proprietà di sistema Descrizione
retention.highResFlows.days Questa proprietà di sistema consente agli operatori di configurare la conservazione dei dati delle statistiche dei flussi ad alta risoluzione per un periodo compreso tra 1 e 90 giorni.
retention.lowResFlows.months Questa proprietà di sistema consente agli operatori di configurare la conservazione dei dati delle statistiche dei flussi a bassa risoluzione per un periodo compreso tra 1 e 365 giorni.
session.options.maxFlowstatsRetentionDays Questa proprietà consente agli operatori di eseguire query sui dati delle statistiche dei flussi di più di due settimane.
retentionWeeks.enterpriseEvents Periodo di conservazione degli eventi aziendali (-1 imposta la conservazione sul periodo di tempo massimo consentito)
retentionWeeks.operatorEvents Periodo di conservazione degli eventi dell'operatore (-1 imposta la conservazione sul periodo di tempo massimo consentito)
retentionWeeks.proxyEvents Periodo di conservazione degli eventi proxy (-1 imposta la conservazione sul periodo di tempo massimo consentito)
retentionWeeks.firewallLogs Periodo di conservazione dei registri del firewall (-1 imposta la conservazione sul periodo di tempo massimo consentito)
retention.linkstats.days Periodo di conservazione delle statistiche del link (-1 imposta la conservazione sul periodo di tempo massimo consentito)
retention.linkquality.days Periodo di conservazione degli eventi relativi alla qualità del link (-1 imposta la conservazione sul periodo di tempo massimo consentito)
retention.healthstats.days Periodo di conservazione delle statistiche di integrità dell'Edge (-1 imposta la conservazione sul periodo di tempo massimo consentito)
retention.pathstats.days Periodo di conservazione delle statistiche del percorso (-1 imposta la conservazione sul periodo di tempo massimo consentito)
Tabella 7. Conservazione dei dati SD-WAN
Dati SD-WAN Proprietà di sistema Predefinito Massimo Prima della versione 4.0
Eventi aziendali retentionWeeks.enterpriseEvents 40 settimane 1 anno 40 settimane
Avvisi aziendali N/D 40 settimane 1 anno Nessun criterio
Eventi operatore (Operator Events) retentionWeeks.operatorEvents 40 settimane 1 anno 40 settimane
Eventi proxy aziendali retentionWeeks.proxyEvents 40 settimane 1 anno 40 settimane
Registri firewall retentionWeeks.firewallLogs Non supportato Non supportato 40 settimane
Statistiche link retention.linkstats.days 40 settimane 1 anno 40 settimane
QoE link retention.linkquality.days 40 settimane 1 anno 40 settimane
Statistiche del percorso retention.pathstats.days 2 settimane 2 settimane N/D
Statistiche di flusso retention.lowResFlows.months

retention.highResFlows.days

Rollup 1 anno - 1 ora

2 settimane - 5 minuti

Rollup 1 anno - 1 ora

3 mesi - 5 minuti

1 anno con rollup
Statistiche di integrità Edge (versione 5.0 e successive) retention.healthstats.days 1 anno 1 anno N/D
Tabella 8. Edge
Proprietà di sistema Descrizione
edge.offline.limit.sec Se Orchestrator non rileva un heartbeat da un Edge per il periodo di tempo specificato, lo stato dell'Edge viene posto in modalità OFFLINE.
edge.link.unstable.limit.sec Quando Orchestrator non riceve le statistiche relative a un link per il periodo di tempo specificato, il link viene posto in modalità INSTABILE (UNSTABLE).
edge.link.disconnected.limit.sec Quando Orchestrator non riceve le statistiche relative a un link per il periodo di tempo specificato, il link viene disconnesso.
edge.deadbeat.limit.days Se un Edge non è attivo per il numero di giorni specificato, l'Edge non viene considerato per la creazione di avvisi.
vco.operator.alert.edgeLinkEvent.enable Consente di attivare o disattivare globalmente gli avvisi degli Operatori per gli eventi di link Edge.
vco.operator.alert.edgeLiveness.enable Consente di attivare o disattivare globalmente gli avvisi degli Operatori per gli eventi di attività Edge.
Tabella 9. Attivazione Edge
Proprietà di sistema Descrizione
edge.activation.key.encode.enable Base64 codifica i parametri dell'URL di attivazione per oscurare i valori quando l'email di attivazione Edge viene inviata al contatto del sito.
edge.activation.trustedIssuerReset.enable Reimposta l'elenco degli emittenti di certificati attendibili dell'Edge in modo che contenga solo l'autorità di certificazione di Orchestrator. Tutto il traffico TLS dall'Edge è limitato dal nuovo elenco di emittenti.
network.public.certificate.issuer Imposta un valore di network.public.certificate.issuer uguale alla codifica PEM dell'emittente del certificato del server Orchestrator, quando edge.activation.trustedIssuerReset.enable è impostato su True. In questo modo, l'emittente del certificato del server viene aggiunto all'emittente attendibile dell'Edge, oltre all'autorità di certificazione di Orchestrator.
Tabella 10. Gestione Edge
Proprietà di sistema Descrizione
edge.link.show.limit.sec Consente di impostare il valore di Limite link inattivo Edge (Edge Link Down Limit) per ogni Edge.
Tabella 11. Regole NAT lato LAN (LAN-Side NAT Rules)
Proprietà di sistema Descrizione
session.options.enableLansidePortRules Consente di configurare i parametri Porta interna (Inside Port) e Porta esterna (Outside Port) nella scheda Impostazione dispositivo (Device Settings) > Routing e NAT (Routing and NAT) > Regole NAT lato LAN (LAN-Side NAT Rules) per un Edge o un profilo.
Tabella 12. Monitoraggio
Proprietà di sistema Descrizione
vco.monitor.enable Attiva o disattiva globalmente il monitoraggio degli stati delle entità Enterprise o Operatore. Se si imposta Value su False si impedisce a SASE Orchestrator di modificare gli stati delle entità e di attivare gli avvisi.
vco.enterprise.monitor.enable Attiva o disattiva globalmente il monitoraggio degli stati delle entità Enterprise.
vco.operator.monitor.enable Attiva o disattiva globalmente il monitoraggio degli stati delle entità Operatore.
Tabella 13. Notifiche
Proprietà di sistema Descrizione
vco.notification.enable Consente di attivare o disattivare globalmente la consegna delle notifiche di avviso sia all'operatore che alle aziende.
vco.enterprise.notification.enable Consente di attivare o disattivare globalmente la consegna delle notifiche di avviso alle aziende.
vco.operator.notification.enable Consente di attivare o disattivare globalmente la consegna delle notifiche di avviso all'operatore.
Tabella 14. Reimpostazione password e blocco
Proprietà di sistema Descrizione
vco.enterprise.resetPassword.token.expirySeconds Periodo di tempo dopo il quale il collegamento di reimpostazione della password per un utente Enterprise scade.
vco.enterprise.authentication.passwordPolicy

Definisce la complessità, cronologia e i criteri di scadenza delle password degli utenti dei clienti.

Modificare il modello JSON nel campo Value per definire quanto segue:

strength

  • minlength: lunghezza minima di caratteri della password. La lunghezza minima predefinita della password è di 8 caratteri.
  • maxlength: lunghezza massima di caratteri della password. La lunghezza massima predefinita della password è di 32 caratteri.
  • requireNumber: la password deve contenere almeno un carattere numerico. I requisiti per i valori numerici sono abilitati per impostazione predefinita.
  • requireLower: la password deve contenere almeno un carattere minuscolo. I requisiti per le lettere minuscole sono abilitati per impostazione predefinita.
  • requireUpper: la password deve contenere almeno un carattere maiuscolo. I requisiti per le lettere maiuscole non sono abilitati per impostazione predefinita.
  • requireSpecial: la password deve contenere almeno un carattere speciale (ad esempio _@!). I requisiti per i caratteri speciali non sono abilitati per impostazione predefinita.
  • excludeTop: la password non deve corrispondere a un elenco di password più comunemente utilizzate. Il valore predefinito è 1000 e rappresenta le prime 1000 password più utilizzate. È configurabile fino a un massimo di 10.000 password tra quelle più utilizzate.
  • maxRepeatingCharacters: la password non deve includere un numero configurabile di caratteri ripetuti. Ad esempio, se maxRepeatingCharacters è impostato su '2', l'Orchestrator rifiuterà qualsiasi password con 3 o più caratteri ripetitivi, come “Passwordaaa”. Il valore predefinito -1 indica che questa funzionalità non è abilitata.
  • maxSequenceCharacters: la password non deve includere un numero configurabile di caratteri sequenziali. Ad esempio, se maxSequenceCharacters è impostato su '3', l'Orchestrator rifiuterà qualsiasi password con 4 o più caratteri sequenziali, come “Password1234”. Il valore predefinito -1 indica che questa funzionalità non è abilitata.
  • disallowUsernameCharacters: la password non deve corrispondere a una parte configurabile dell'ID utente. Ad esempio, quando disallowUsernameCharacters è impostato su 5, se un utente con nome utente [email protected] tenta di configurare una nuova password che include "usern" o "serna" oppure qualsiasi stringa di cinque caratteri che corrisponde a una sezione del nome utente dell'utente, la nuova password verrà rifiutata dall'Orchestrator. Il valore predefinito -1 indica che questa funzionalità non è abilitata.
  • variationValidationCharacters: la nuova password deve differire dalla password precedente di un numero configurabile di caratteri. L'Orchestrator utilizza la distanza di Levenshtein tra due parole per determinare la variazione tra la nuova password e la vecchia password. La distanza di Levenshtein indica il numero minimo di modifiche a caratteri singoli (inserimenti, eliminazioni o sostituzioni) necessarie per cambiare una parola in un'altra. 
  • Se variationValidationCharacters è impostato su 4, la distanza di Levenshtein tra la nuova password e la vecchia password deve essere uguale o superiore a 4. In altre parole, la nuova password deve avere 4 o più varianti rispetto alla vecchia password. Ad esempio, se la vecchia password utilizzata era "kitten" e la nuova password è "sitting", la distanza di Levenshtein è 3 in quanto sono richieste solo tre modifiche per cambiare kitten in sitting:
    • kitten → sitten (sostituzione della "s" che prende il posto della "k")
    • sitten → sittin (sostituzione della "i" che prende il posto della "e")
    • sittin → sitting (inserimento della "g" alla fine).

Poiché la nuova password varia di soli 3 caratteri rispetto alla vecchia password, la denominazione “sitting” verrebbe rifiutata come nuova password in sostituzione di “kitten”. Il valore predefinito -1 indica che questa funzionalità non è abilitata.

expiry:
  • enable: impostare questo valore su true per abilitare la scadenza automatica delle password degli utenti del cliente.
  • days: immettere il numero di giorni in cui è possibile utilizzare una password cliente prima della scadenza forzata.
history:
  • enable: impostare questo valore su true per abilitare la registrazione delle password precedenti degli utenti cliente.
  • count: immettere il numero di password precedenti da salvare nella cronologia. Quando un utente cliente si appresta a modificare la password, il sistema non consente all'utente di immettere una password già salvata nella cronologia.
enterprise.user.lockout.defaultAttempts Numero di tentativi di accesso da parte dell'utente aziendale. Se l'accesso non riesce per il numero di volte specificato, l'account viene bloccato.
enterprise.user.lockout.defaultDurationSeconds Periodo di tempo per il quale l'account utente Enterprise è bloccato.
enterprise.user.lockout.enabled Attiva o disattiva l'opzione di blocco per gli errori di accesso all'azienda.
vco.operator.resetPassword.token.expirySeconds Periodo di tempo dopo il quale il collegamento di reimpostazione della password per un utente operatore scade.
vco.operator.authentication.passwordPolicy

Definisce la complessità, cronologia e i criteri di scadenza delle password degli utenti operatore.

Modificare il modello JSON nel campo Value per definire quanto segue:

strength

  • minlength: lunghezza minima di caratteri della password. La lunghezza minima predefinita della password è di 8 caratteri.
  • maxlength: lunghezza massima di caratteri della password. La lunghezza massima predefinita della password è di 32 caratteri.
  • requireNumber: la password deve contenere almeno un carattere numerico. I requisiti per i valori numerici sono abilitati per impostazione predefinita.
  • requireLower: la password deve contenere almeno un carattere minuscolo. I requisiti per le lettere minuscole sono abilitati per impostazione predefinita.
  • requireUpper: la password deve contenere almeno un carattere maiuscolo. I requisiti per le lettere maiuscole non sono abilitati per impostazione predefinita.
  • requireSpecial: la password deve contenere almeno un carattere speciale (ad esempio _@!). I requisiti per i caratteri speciali non sono abilitati per impostazione predefinita.
  • excludeTop: la password non deve corrispondere a un elenco di password più comunemente utilizzate. Il valore predefinito è 1000 e rappresenta le prime 1000 password più utilizzate. È configurabile fino a un massimo di 10.000 password tra quelle più utilizzate.
  • maxRepeatingCharacters: la password non deve includere un numero configurabile di caratteri ripetuti. Ad esempio, se maxRepeatingCharacters è impostato su '2', l'Orchestrator rifiuterà qualsiasi password con 3 o più caratteri ripetitivi, come “Passwordaaa”. Il valore predefinito -1 indica che questa funzionalità non è abilitata.
  • maxSequenceCharacters: la password non deve includere un numero configurabile di caratteri sequenziali. Ad esempio, se maxSequenceCharacters è impostato su '3', l'Orchestrator rifiuterà qualsiasi password con 4 o più caratteri sequenziali, come “Password1234”. Il valore predefinito -1 indica che questa funzionalità non è abilitata.
  • disallowUsernameCharacters: la password non deve corrispondere a una parte configurabile dell'ID utente. Ad esempio, quando disallowUsernameCharacters è impostato su 5, se un utente con nome utente [email protected] tenta di configurare una nuova password che include "usern" o "serna" oppure qualsiasi stringa di cinque caratteri che corrisponde a una sezione del nome utente dell'utente, la nuova password verrà rifiutata dall'Orchestrator. Il valore predefinito -1 indica che questa funzionalità non è abilitata.
  • variationValidationCharacters: la nuova password deve differire dalla password precedente di un numero configurabile di caratteri. L'Orchestrator utilizza la distanza di Levenshtein tra due parole per determinare la variazione tra la nuova password e la vecchia password. La distanza di Levenshtein indica il numero minimo di modifiche a caratteri singoli (inserimenti, eliminazioni o sostituzioni) necessarie per cambiare una parola in un'altra. 
  • Se variationValidationCharacters è impostato su 4, la distanza di Levenshtein tra la nuova password e la vecchia password deve essere uguale o superiore a 4. In altre parole, la nuova password deve avere 4 o più varianti rispetto alla vecchia password. Ad esempio, se la vecchia password utilizzata era "kitten" e la nuova password è "sitting", la distanza di Levenshtein è 3 in quanto sono richieste solo tre modifiche per cambiare kitten in sitting:
    • kitten → sitten (sostituzione della "s" che prende il posto della "k")
    • sitten → sittin (sostituzione della "i" che prende il posto della "e")
    • sittin → sitting (inserimento della "g" alla fine).

Poiché la nuova password varia di soli 3 caratteri rispetto alla vecchia password, la denominazione “sitting” verrebbe rifiutata come nuova password in sostituzione di “kitten”. Il valore predefinito -1 indica che questa funzionalità non è abilitata.

expiry:
  • enable: impostare questo valore su true per abilitare la scadenza automatica delle password degli utenti operatore.
  • days: immettere il numero di giorni in cui è possibile utilizzare una password operatore prima della scadenza forzata.
history:
  • enable: impostare questo valore su true per abilitare la registrazione delle password precedenti degli utenti operatore.
  • count: immettere il numero di password precedenti da salvare nella cronologia. Quando un utente Operatore si appresta a modificare la password, il sistema non consente all'utente di immettere una password già salvata nella cronologia.
operator.user.lockout.defaultAttempts Numero di tentativi di accesso da parte dell'utente operatore. Se l'accesso non riesce per il numero di volte specificato, l'account viene bloccato.
operator.user.lockout.defaultDurationSeconds Periodo di tempo per il quale l'account utente operatore bloccato.
operator.user.lockout.enabled Attiva o disattiva l'opzione di blocco per gli errori di accesso operatore.
Tabella 15. API che limitano la velocità
Proprietà di sistema Descrizione
vco.api.rateLimit.enabled Consente ai superuser operatore di attivare o disattivare la funzionalità di limitazione della velocità a livello di sistema. Per impostazione predefinita, il valore è False.
Nota: La funzionalità di limitazione della velocità non è effettivamente abilitata, ovvero non rifiuterà le richieste API che superano i limiti configurati, a meno che l'impostazione vco.api.rateLimit.mode.logOnly sia disattivata.
vco.api.rateLimit.mode.logOnly

Consente al superuser operatore di utilizzare il limite di velocità in modalità LOG_ONLY. Quando il valore è impostato su True, se un limite di velocità viene superato, questa opzione registra solo l'errore e genera le rispettive metriche consentendo ai client di effettuare richieste senza limitazione della velocità.

Quando il valore è impostato su False, l'API della richiesta viene limitata con i criteri definiti e viene restituito l'errore HTTP 429.

vco.api.rateLimit.rules.global

Consente di definire un set di criteri applicabili globalmente utilizzati dalla funzionalità di limitazione della velocità in un array JSON. Per impostazione predefinita, il valore è un array vuoto.

Ogni tipo di utente (operatore, partner e cliente) può effettuare fino a 500 richieste ogni 5 secondi. Il numero di richieste è soggetto a modifica in base al modello di comportamento delle richieste con velocità limitata.

L'array JSON è costituito dai seguenti parametri:

Tipo (Type): gli oggetti type rappresentano i contesti diversi in cui vengono applicati i limiti di velocità. Gli oggetti type disponibili sono i seguenti:
  • SYSTEM: specifica un limite globale condiviso da tutti gli utenti.
  • OPERATOR_USER: limite che può essere impostato in generale per tutti gli utenti operatore.
  • ENTERPRISE_USER: limite che può essere impostato in generale per tutti gli utenti aziendali.
  • MSP_USER: limite che può essere impostato in generale per tutti gli utenti MSP.
  • ENTERPRISE: limite che può essere condiviso tra tutti gli utenti di un'azienda ed è applicabile a tutte le aziende della rete.
  • PROXY: limite che può essere condiviso tra tutti gli utenti di un proxy ed è applicabile a tutti i proxy.
Criteri (Policies): aggiungere regole ai criteri per applicare le richieste che corrispondono alla regola, configurando i seguenti parametri:
  • Corrispondenza (Match): inserire il tipo di richiesta per la corrispondenza:
    • All: applica il limite di velocità a tutte le richieste che corrispondono a uno degli oggetti type.
    • METHOD: applica il limite di velocità a tutte le richieste che corrispondono al nome del metodo specificato.
    • METHOD_PREFIX: applica il limite di velocità a tutte le richieste che corrispondono al gruppo di metodi specificato.
  • Regole (Rules): immettere i valori per i seguenti parametri:
    • maxConcurrent: numero di processi che possono essere eseguiti nello stesso momento.
    • reservoir: numero di processi che possono essere eseguiti prima che la funzionalità di limitazione interrompa l'esecuzione dei processi.
    • reservoirRefreshAmount: valore su cui impostare il parametro reservoir quando reservoirRefreshInterval è in uso.
    • reservoirRefreshInterval: per ogni millisecondo di reservoirRefreshInterval, il parametro reservoir verrà aggiornato automaticamente impostandolo sul valore di reservoirRefreshAmount. Il valore reservoirRefreshInterval deve essere un multiplo di 250 (5000 per il clustering).

Enabled: ogni limite di type può essere attivato o disattivato includendo la chiave enabled in APIRateLimiterTypeObject. Per impostazione predefinita, il valore di enabled è True, anche se la chiave non è inclusa. È necessario includere la chiave "enabled": false per disattivare i singoli limiti di type.

L'esempio seguente illustra un file JSON di esempio con valori predefiniti:

[
    {
        "type": "OPERATOR_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "MSP_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "ENTERPRISE_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    }
]
Nota: È consigliabile non modificare i valori predefiniti dei parametri di configurazione.
vco.api.rateLimit.rules.enterprise.default Include il set predefinito di criteri specifici dell'azienda applicati ai clienti appena creati. Le proprietà specifiche del cliente vengono archiviate nella proprietà aziendale vco.api.rateLimit.rules.enterprise.
vco.api.rateLimit.rules.enterpriseProxy.default Include il set predefinito di criteri specifici dell'azienda applicati ai partner appena creati. Le proprietà specifiche dei partner vengono archiviate nella proprietà del proxy aziendale vco.api.rateLimit.rules.enterpriseProxy.

Per ulteriori informazioni sulla limitazione della velocità, vedere Richieste API che limitano la velocità.

Tabella 16. Diagnostica remota (Remote Diagnostics)
Proprietà di sistema Descrizione
network.public.address Specifica l'indirizzo di origine del browser o il nome host DNS utilizzato per accedere all'interfaccia utente di SASE Orchestrator.
network.portal.websocket.address Consente di impostare un nome host o un indirizzo DNS alternativo per accedere all'interfaccia utente di SASE Orchestrator da un browser, se l'indirizzo del browser non è uguale al valore della proprietà di sistema network.public.address.

Poiché la diagnostica remota utilizza ora una connessione WebSocket, per garantire la sicurezza del Web, l'indirizzo di origine del browser utilizzato per accedere all'interfaccia utente di Orchestrator viene convalidato per le richieste in arrivo. Nella maggior parte dei casi, questo indirizzo è uguale alla proprietà di sistema network.public.address. In rari scenari, è possibile accedere all'interfaccia utente di Orchestrator utilizzando un nome host o indirizzo DNS diverso dal valore impostato nella proprietà di sistema network.public.address. In questi casi, è possibile impostare questa proprietà di sistema sul nome host o indirizzo DNS alternativo. Per impostazione predefinita, questo valore non è impostato.

session.options.websocket.portal.idle.timeout Consente di impostare la quantità totale di tempo (in secondi) per cui la connessione WebSocket del browser rimane attiva in uno stato inattivo. Per impostazione predefinita, la connessione WebSocket del browser rimane attiva per 300 secondi in uno stato inattivo.
Tabella 17. Security Service Edge (SSE)
Proprietà di sistema Descrizione
session.options.enableSseService Attiva o disattiva la funzionalità Security Service Edge (SSE) per gli utenti aziendali.
Tabella 18. Segmentazione
Proprietà di sistema Descrizione
enterprise.capability.enableSegmentation Attiva o disattiva la funzionalità di segmentazione per gli utenti Enterprise.
enterprise.segments.system.maximum Specifica il numero massimo di segmenti consentiti per qualsiasi utente aziendale. Assicurarsi di modificare il valore di questa proprietà di sistema impostandolo su 128 se si desidera abilitare 128 segmenti nell'SASE Orchestrator per un utente aziendale.
enterprise.segments.maximum Specifica il valore predefinito per il numero massimo di segmenti consentiti per un utente aziendale nuovo o esistente. Il valore predefinito per qualsiasi utente aziendale è 16.
Nota: Questo valore deve essere minore o uguale al numero definito nella proprietà di sistema enterprise.segments.system.maximum.
Se si desidera abilitare 128 segmenti per un utente aziendale, non è consigliabile modificare il valore di questa proprietà di sistema. È invece possibile abilitare Funzionalità cliente (Customer Capabilities) nella pagina Configurazione cliente (Customer Configuration) per configurare il numero di segmenti richiesto. Per istruzioni, fare riferimento alla sezione "Configurazione delle funzionalità dei clienti" nella guida dell'operatore di VMware SD-WAN nella documentazione di VMware SD-WAN.
enterprise.subinterfaces.maximum Specifica il numero massimo di interfacce secondarie che possono essere configurate per un utente aziendale. Il valore predefinito è 32.
enterprise.vlans.maximum Specifica il numero massimo di VLAN che è possibile configurare per un utente aziendale. Il valore predefinito è 32.
session.options.enableAsyncAPI Quando il numero di segmenti viene aumentato a 128 per qualsiasi utente aziendale, per impedire timeout dell'interfaccia utente, è possibile abilitare il supporto delle API asincrone nell'interfaccia utente utilizzando questa proprietà di sistema. Il valore predefinito è true.
session.options.asyncPollingMilliSeconds Specifica l'intervallo di polling per le API asincrone nell'interfaccia utente. Il valore predefinito è 5000 millisecondi.
session.options.asyncPollingMaxCount Specifica il numero massimo di chiamate all'API getStatus dall'interfaccia utente. Il valore predefinito è 10.
vco.enterprise.events.configuration.diff.enable Attiva o disattiva la registrazione degli eventi diff della configurazione. Ogni volta che il numero di segmenti per un utente aziendale è superiore a 4, la registrazione degli eventi diff della configurazione verrà disattivata. È possibile abilitare la registrazione degli eventi diff usando questa proprietà di sistema.
Tabella 19. Reimpostazione autonoma password
Proprietà di sistema Descrizione
vco.enterprise.resetPassword.twoFactor.mode Definisce la modalità per il secondo livello per l'autenticazione di reimpostazione della password, per tutti gli utenti Enterprise. Al momento, è supportata solo la modalità SMS.
vco.enterprise.resetPassword.twoFactor.required Attiva o disattiva l'autenticazione a due fattori per la reimpostazione della password degli utenti Enterprise.
vco.enterprise.selfResetPassword.enabled Attiva o disattiva la reimpostazione della password in autonomia per gli utenti Enterprise.
vco.enterprise.selfResetPassword.token.expirySeconds Periodo di tempo dopo il quale il collegamento di reimpostazione della password in autonomia per un utente Enterprise scade.
vco.operator.resetPassword.twoFactor.required Attiva o disattiva l'autenticazione a due fattori per la reimpostazione della password degli utenti operatore.
vco.operator.selfResetPassword.enabled Attiva o disattiva la reimpostazione della password in autonomia per gli utenti operatore.
vco.operator.selfResetPassword.token.expirySeconds Periodo di tempo dopo il quale il collegamento di reimpostazione della password in autonomia per un utente operatore scade.
Tabella 20. Inoltro syslog (Syslog Forwarding)
Proprietà di sistema Descrizione
log.syslog.backend Configurazione dell'integrazione syslog del servizio di backend.
log.syslog.portal Configurazione dell'integrazione syslog del servizio del portale.
log.syslog.upload Configurazione dell'integrazione syslog del servizio di caricamento.
log.syslog.lastFetchedCRL.backend Mantiene l'ultimo CRL aggiornato come stringa in formato PEM per il syslog del servizio e lo aggiorna regolarmente.
log.syslog.lastFetchedCRL.portal Mantiene l'ultimo CRL aggiornato come stringa in formato PEM per il syslog del servizio e lo aggiorna regolarmente.
log.syslog.lastFetchedCRL.upload Mantiene l'ultimo CRL aggiornato come stringa in formato PEM per il syslog del servizio e lo aggiorna regolarmente.
Tabella 21. Servizi TACACS (TACACS Services)
Proprietà di sistema Descrizione
session.options.enableTACACS Attiva o disattiva i servizi TACACS per gli utenti Enterprise.
Tabella 22. Autenticazione a due fattori
Proprietà di sistema Descrizione
vco.enterprise.authentication.twoFactor.enable Attiva o disattiva l'autenticazione a due fattori degli utenti Enterprise.
vco.enterprise.authentication.twoFactor.mode Definisce la modalità per l'autenticazione di secondo livello per gli utenti Enterprise. Al momento SMS è supportato solo SMS come modalità di autenticazione di secondo livello.
vco.enterprise.authentication.twoFactor.require Definisce l'autenticazione a due fattori come obbligatoria per gli utenti Enterprise.
vco.operator.authentication.twoFactor.enable Attiva o disattiva l'autenticazione a due fattori per gli utenti Operatore.
vco.operator.authentication.twoFactor.mode Definisce la modalità per l'autenticazione di secondo livello per gli utenti operatore. Al momento SMS è supportato solo SMS come modalità di autenticazione di secondo livello.
vco.operator.authentication.twoFactor.require Definisce l'autenticazione a due fattori come obbligatoria per gli utenti operatore.
Tabella 23. Parametri del tunnel per gli Edge
Proprietà di sistema Descrizione
session.options.enableNsdPkiIPv6Config Attiva la modalità di autenticazione Certificato (Certificate) e il tipo di identificazione locale IPv6.
Tabella 24. Configurazione di VNF
Proprietà di sistema Descrizione
edge.vnf.extraImageInfos Definisce le proprietà di un'immagine VNF.
Per un'immagine VNF, è possibile immettere le seguenti informazioni in formato JSON nel campo Valore (Value):
[
  {
    "vendor": "Vendor Name",
    "version": "VNF Image Version",
    "checksum": "VNF Checksum Value",
    "checksumType": "VNF Checksum Type"
  }
]
Esempio di file JSON per l'immagine del firewall Check Point:
[
  {
    "vendor": "checkPoint",
    "version": "r80.40_no_workaround_46",
    "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d",
    "checksumType": "sha-1"
  }
]
Esempio di file JSON per l'immagine del firewall Fortinet:
[
   {
      "vendor": "fortinet",
      "version": "624",
      "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f",
      "checksumType": "sha-1"
   }
]
edge.vnf.metric.record.limit Definisce il numero di record da archiviare nel database.
enterprise.capability.edgeVnfs.enable Consente la distribuzione della funzionalità VNF nei modelli di Edge supportati.
enterprise.capability.edgeVnfs.securityVnf.checkPoint Attiva la funzionalità VNF del firewall delle reti Check Point.
enterprise.capability.edgeVnfs.securityVnf.fortinet Attiva la funzionalità VNF del firewall delle reti Fortinet.
enterprise.capability.edgeVnfs.securityVnf.paloAlto Attiva la funzionalità VNF del firewall di Palo Alto Networks.
session.options.enableVnf Attiva la funzionalità VNF.
vco.operator.alert.edgeVnfEvent.enable Attiva o disattiva globalmente gli avvisi degli operatori per gli eventi VNF dell'Edge.
vco.operator.alert.edgeVnfInsertionEvent.enable Attiva o disattiva globalmente gli avvisi degli operatori per gli eventi di inserimento VNF dell'Edge.
edge.vnf.extraImageInfos. Consente la selezione dell'immagine VNF di Check Point.
Tabella 25. VPN
Proprietà di sistema Descrizione
vpn.disconnect.wait.sec Intervallo di tempo che il sistema deve attendere prima di disconnettere un tunnel VPN.
vpn.reconnect.wait.sec Intervallo di tempo che il sistema deve attendere prima di riconnettere un tunnel VPN.
Tabella 26. Banner di avviso
Proprietà di sistema Descrizione
login.warning.banner.message Questa proprietà di sistema facoltativa consente all'operatore di configurare e visualizzare una notifica di avviso specificata dall'amministratore della sicurezza e un messaggio di avviso per il consenso relativo all'utilizzo di SASE Orchestrator. Il messaggio di avviso viene visualizzato in SASE Orchestrator prima dell'accesso dell'utente.

Per istruzioni su come configurare questa proprietà di sistema, vedere Configurazione della notifica di avviso e del messaggio di avviso per il consenso per SD-WAN Orchestrator.

Tabella 27. Zscaler
Proprietà di sistema Descrizione
session.options.enableZscalerProfileAutomation Consente di configurare le impostazioni di Zscaler a livello di profilo.