クライアントと Unified Access Gateway アプライアンス間の通信を暗号化するために使用されるセキュリティ プロトコルと暗号化アルゴリズムは、管理機能の構成ページで構成できます。
前提条件
- Unified Access Gateway デプロイのプロパティを確認します。次の設定情報は必須です。
- Unified Access Gateway アプライアンスの固定 IP アドレス
- DNS サーバの IP アドレス
注: 最大で 2 つの DNS サーバ IP アドレスを指定できます。
構成設定の一環として、または DHCP を使用して、Unified Access Gateway に DNS サーバ アドレスが提供されていない場合にのみ、Unified Access Gateway はプラットフォームのデフォルトのフォールバック パブリック DNS アドレスを使用します。
- 管理コンソールのパスワード
- Unified Access Gateway アプライアンスが指定するサーバ インスタンスまたはロード バランサの URL
- イベント ログ ファイルを保存する Syslog サーバの URL
手順
- 管理ユーザー インターフェイスの [手動構成] セクションで、[選択] をクリックします。
- [詳細設定] セクションで、[システム構成] ギア アイコンをクリックします。
- 次の Unified Access Gateway アプライアンスの構成値を編集します。
オプション デフォルト値と説明 UAG 名 一意の Unified Access Gateway アプライアンス名。 注: アプライアンス名は、英字 (A~Z)、数字 (0~9)、マイナス記号(-)
、およびピリオド(.)
を含む 24 文字以内のテキスト文字列で構成できます。ただし、アプライアンス名にスペースを含めることはできません。ロケール エラー メッセージを生成する場合に使用するロケールを指定します。
- 米国英語は en_US。これはデフォルトです。
- 日本語は ja_JP
- フランス語は fr_FR
- ドイツ語は de_DE
- 簡体字中国語は zh_CN
- 繁体字中国語は zh_TW
- 韓国語は ko_KR
- スペイン語はes
- ブラジル ポルトガル語は pt_BR
- 英国英語は en_GB
TLS サーバ暗号スイート Unified Access Gateway への受信 TLS 接続を暗号化するために使用される暗号化アルゴリズムである、暗号スイートのカンマ区切りのリストを入力します。 このオプションは、さまざまなセキュリティ プロトコルを有効にするために使用される、TLS バージョン、名前付きグループ、署名スキームなどの他のいくつかのオプションとともに使用されます。
FIPS モードでサポートされる TLS サーバ暗号スイートは次のとおりです。- デフォルトで有効な暗号スイート:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- サポートされていて、手動で設定できる暗号スイート:
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
非 FIPS モードでサポートされるデフォルトの TLS サーバ暗号スイートは次のとおりです。TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
このオプションは、PowerShell のデプロイ時に、ini ファイルに cipherSuites パラメータを追加することで構成できます。Unified Access Gateway をデプロイするための PowerShell スクリプトの実行を参照してください。
TLS クライアント暗号スイート Unified Access Gateway への送信 TLS 接続を暗号化するために使用される暗号化アルゴリズムである、暗号スイートのカンマ区切りのリストを入力します。 このオプションは、さまざまなセキュリティ プロトコルを有効にするために使用される、TLS バージョン、名前付きグループ、署名スキームなどの他のいくつかのオプションとともに使用されます。
FIPS モードでは、次の暗号スイートがサポートされます。TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
非 FIPS モードでは、デフォルトで、SSL ライブラリ (Java/Open SSL) でサポートされているすべての暗号スイートを使用できます。
このオプションは、PowerShell のデプロイ時に、ini ファイルに outboundCipherSuites パラメータを追加することで構成できます。Unified Access Gateway をデプロイするための PowerShell スクリプトの実行を参照してください。
SSL プロバイダ TLS 接続の処理に使用する SSL プロバイダの実装を選択します。 TLS Named Groups と TLS Signature Schemes を設定するには、このオプションの値を
JDK
にする必要があります。デフォルトでは、このオプションの値はOPENSSL
です。注: このオプションの値がJDK
の場合、OCSP ベースの証明書失効チェックはサポートされません。ただし、CRL ベースの証明書失効チェックはサポートされています。このオプションに対する変更を行うと、Unified Access Gateway サービスが再起動します。再起動中、実行中の Unified Access Gateway セッションは保持されません。
このオプションは、PowerShell のデプロイ時に、ini ファイルに sslProvider パラメータを追加することで構成できます。Unified Access Gateway をデプロイするための PowerShell スクリプトの実行を参照してください。
TLS 名前付きグループ 管理者が、SSL ハンドシェイク中のキー交換で使用される、サポートされている名前付きグループのリストから、必要とする名前付きグループ(楕円曲線)を設定できるようになります。 このオプションでは、カンマ区切り値を使用できます。サポートされている名前付きグループの例として、
secp256r1, secp384r1, secp521r1
があります。このオプションを設定するには、SSL Provider オプションが
JDK
に設定されている必要があります。それ以外の場合、TLS Named Groups オプションは無効になります。このオプションに対する変更を行うと、Unified Access Gateway サービスが再起動します。再起動中、実行中の Unified Access Gateway セッションは保持されません。このオプションは、PowerShell のデプロイ時に、ini ファイルに tlsNamedGroups パラメータを追加することで構成できます。Unified Access Gateway をデプロイするための PowerShell スクリプトの実行を参照してください。
TLS 署名スキーム 管理者が、SSL ハンドシェイク中のキー検証で使用される、サポートされている TLS 署名アルゴリズムを設定できるようになります。 このオプションでは、カンマ区切り値を使用できます。サポートされている署名スキームの例として、
rsa_pkcs1_sha
、rsa_pkcs1_sha256
、rsa_pkcs1_sha384
、rsa_pss_rsae_sha256
、およびrsa_pss_rsae_sha384
があります。このオプションを設定するには、SSL Provider オプションが
JDK
に設定されている必要があります。それ以外の場合、TLS Signature Schemes オプションは無効になります。このオプションに対する変更を行うと、Unified Access Gateway サービスが再起動します。再起動中、実行中の Unified Access Gateway セッションは保持されません。このオプションは、PowerShell のデプロイ時に、ini ファイルに tlsSignatureSchemes パラメータを追加することで構成できます。Unified Access Gateway をデプロイするための PowerShell スクリプトの実行を参照してください。
TLS 1.0 を有効にする デフォルトでは、このトグルはオフになっています。 TLS 1.0 セキュリティ プロトコルを有効にするには、このトグルをオンにします。
TLS 1.1 を有効にする デフォルトでは、このトグルはオフになっています。 TLS 1.1 セキュリティ プロトコルを有効にするには、このトグルをオンにします。
TLS 1.2 を有効にする デフォルトでは、このトグルはオンになっています。 TLS 1.2 セキュリティ プロトコルは有効です。
TLS 1.3 を有効にする デフォルトでは、このトグルはオンになっています。 TLS 1.3 セキュリティ プロトコルは有効です。
許可されたホスト ヘッダー ホスト ヘッダー値として、IP アドレスまたはホスト名を入力します。この設定は、Horizon および Web リバース プロキシのユースケースを使用した Unified Access Gateway 環境に適用されます。 Horizon を使用した Unified Access Gateway 環境では、複数の Host ヘッダーを指定しなければならない場合があります。これは、N + 1 仮想 IP (VIP) アドレスが使用されているかどうか、および Blast Secure Gateway (BSG) と VMware Tunnel が有効になっていて、外部でポート 443 を使用するように構成されているかどうかによって異なります。
Horizon クライアントは、Blast 接続要求のために、ホスト ヘッダーに IP アドレスを送信します。BSG がポート 443 を使用するように構成されている場合、許可されたホスト ヘッダーには、特定の UAG のブラスト外部 URL に設定された BSG ホスト名の外部 IP アドレスが含まれている必要があります。
ホスト ヘッダーの値が指定されていない場合、クライアントが送信するホスト ヘッダーの値がデフォルトで受け入れられます。
CA 証明書 このオプションは、Syslog サーバが追加されると有効になります。有効な Syslog 認証局証明書を選択します。 健全性チェック URL ロード バランサが接続して Unified Access Gateway の健全性をチェックする URL を入力します。 HTTP 健全性監視 デフォルトでは、このトグルはオフになっています。デフォルトの構成では、HTTP 健全性チェックの URL 要求が HTTPS にリダイレクトされます。このトグルをオンにすると、Unified Access Gateway は HTTP でも健全性チェック要求に応答します。 キャッシュされる Cookie Unified Access Gateway がキャッシュする Cookie のセット。デフォルトは [なし] です。 セッション タイムアウト デフォルト値は [36000000] ミリ秒です。 注: Unified Access Gateway の Session Timeout の値は、 Horizon Connection Server の Forcibly disconnect users 設定の値と同じでなければなりません。Forcibly disconnect users 設定は、Horizon コンソールの一般グローバル設定の 1 つです。この設定の詳細については、VMware Docs の『VMware Horizon の管理』ドキュメントの「クライアント セッションの構成」を参照してください。
静止モード Unified Access Gateway アプライアンスを一時停止にして、一環した状態でメンテナンス タスクを実行するには、このトグルをオンにします。 監視間隔 デフォルト値は [60] です。 SAML 証明書のロールオーバー サポートの有効化 証明書に基づいたエンティティ ID を持つ SAML SP メタデータを生成するには、このトグルをオンにします。証明書ベースのエンティティ ID は、IDP での個別の SP 構成によるスムーズな証明書ロールオーバーをサポートします。この値を変更するには、IDP を再構成する必要があります。 パスワードの有効期間 管理者ロールのユーザーに対してパスワードが有効な日数。 デフォルト値は
90
日です。構成可能な最大値は999
日です。パスワードが期限切れにならないようにするには、このフィールドの値を
0
に指定します。監視ユーザーのパスワードの有効期限 監視ロールのユーザーに対してパスワードが有効な日数。 デフォルト値は
90
日です。構成可能な最大値は、999
日です。パスワードが期限切れにならないようにするには、このフィールドの値を
0
に指定します。要求のタイムアウト 要求が受け取られるまで Unified Access Gateway が待機する最大時間を示します。 デフォルト値は
3000
です。このタイムアウトはミリ秒単位で指定する必要があります。
ボディの受信がタイムアウトになりました 要求の本文が受け取られるまで Unified Access Gateway が待機する最大時間を示します。 デフォルトは、
5000
です。このタイムアウトはミリ秒単位で指定する必要があります。
セッションあたりの最大接続数 TLS セッションごとに許可される TCP 接続の最大数。 デフォルト値は
16
です。許可される TCP 接続数に制限がない場合は、このフィールドの値を
0
に設定します。注: フィールド値が8
以下の場合、 Horizon Client にエラーが発生します。クライアント接続のアイドル タイムアウト 接続が閉じるまでにクライアント接続をアイドル状態に保持できる時間(秒)を指定します。デフォルト値は 360 秒(6 分)です。値がゼロの場合、アイドル タイムアウトは発生しません。 認証がタイムアウトになりました 認証が発生するまでの最大待機時間(ミリ秒単位)。デフォルトは 300000 です。0 を指定すると、認証については時間制限がないことになります。
クロック スキューの許容範囲 Unified Access Gateway クロックと同じネットワーク上の他のクロックとの間で許容される時間差を秒単位で入力します。デフォルトは 600 秒です。 最大許容システム CPU 1 分間の最大許容平均システム CPU 使用率を示します。 設定されている CPU 制限を超えると、新しいセッションは許可されず、クライアントは、Unified Access Gateway アプライアンスが一時的に過負荷になっていることを示す HTTP 503 エラーを受信します。さらに、制限を超えると、ロード バランサではその Unified Access Gateway アプライアンスの優先度を下げ、新しい要求を他の Unified Access Gateway アプライアンスに送信できるようにもなります。
値はパーセント単位です。
デフォルト値は
100%
です。CEIP に参加 有効にすると、カスタマ エクスペリエンス改善プログラム (CEIP) の情報を VMware に送信します。詳細については、カスタマ エクスペリエンス改善プログラムへの参加または脱退を参照してください。 SNMP を有効にする SNMP サービスを有効にするには、このトグルをオンにします。簡易ネットワーク管理プロトコルは、システム統計、メモリ、ディスク容量の使用統計、Tunnel Edge サービスの MIB 情報を Unified Access Gateway で収集します。使用可能な管理情報ベース (MIB) のリスト - UCD-SNMP-MIB::systemStats
- UCD-SNMP-MIB::memory
- UCD-SNMP-MIB::dskTable
- VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
SNMP バージョン 目的の SNMP バージョンを選択します。 注: PowerShell を使用して Unified Access Gateway をデプロイし、SNMP を有効にした後、PowerShell または Unified Access Gateway 管理ユーザー インターフェイスを使用して SNMPv3 設定を構成しなかった場合、デフォルトでは SNMPv1 と SNMPv2c のバージョンが使用されます。管理ユーザー インターフェイスで SNMPv3 設定を構成する方法については、Unified Access Gateway 管理ユーザー インターフェイスを使用した SNMPv3 の構成を参照してください。
PowerShell デプロイを使用して SNMPv3 設定を構成するには、特定の SNMPv3 設定を INI ファイルに追加する必要があります。Unified Access Gateway をデプロイするための PowerShell スクリプトの実行を参照してください。
管理者の免責事項のテキスト 組織のユーザー契約ポリシーに基づいて、免責事項のテキストを入力します。 管理者が Unified Access Gateway 管理ユーザー インターフェイスへ正常にログインするには、管理者が契約ポリシーに同意する必要があります。
免責事項のテキストは、PowerShell のデプロイを使用するか、Unified Access Gateway 管理ユーザー インターフェイスを使用して構成できます。INI ファイルの PowerShell 設定の詳細については、Unified Access Gateway をデプロイするための PowerShell スクリプトの実行 を参照してください。
Unified Access Gateway 管理ユーザー インターフェイスを使用してこのテキスト ボックスを構成するときに、管理者は最初に管理ユーザー インターフェイスにログインしてから、免責事項のテキストを構成する必要があります。その後の管理者ログインでは、ログイン ページにアクセスする前に、管理者に同意を求めるテキストが表示されます。
DNS /run/systemd/resolve/resolv.conf 構成ファイルに追加されている DNS (Domain Name System) アドレスを入力します。有効な DNS 検索アドレスを含めてください。[+] をクリックして、新しい DNS アドレスを追加します。 DNS 検索 /run/systemd/resolve/resolv.conf 構成ファイルに追加されている DNS (Domain Name System) 検索を入力します。有効な DNS 検索アドレスを含めてください。[+] をクリックして、新しい DNS 検索エントリを追加します。 ホストとの時刻同期 Unified Access Gateway アプライアンスの時刻を ESXi ホストの時刻と同期するには、このトグルをオンにします。 デフォルトでは、このトグルはオフになっています。
このオプションは、時刻の同期に VMware Tools を使用し、Unified Access Gateway が ESXi ホストにデプロイされている場合にのみサポートされます。
時刻の同期のためにこのオプションを選択すると、NTP Servers オプションと FallBack NTP Servers オプションが無効になります。
このオプションは、INI ファイルに hostClockSyncEnabled パラメータを追加することで、PowerShell を介して設定できます。Unified Access Gateway をデプロイするための PowerShell スクリプトの実行を参照してください。
NTP サーバ NTP (Network Time Protocol) 同期用の NTP サーバ。有効な IP アドレスとホスト名を入力できます。systemd-networkd.service 設定からまたは DHCP を介して取得された、インターフェイスごとの NTP サーバは、これらの構成よりも優先されます。[+] をクリックして、新しい NTP サーバを追加します。 時刻の同期のためにこのオプションを選択すると、Time Sync With Host は無効になります。
フォールバック NTP サーバ NTP (Network Time Protocol) 同期用のフォールバック NTP サーバ。NTP サーバ情報が見つからない場合は、これらのフォールバック NTP サーバのホスト名または IP アドレスが使用されます。[+] をクリックして、新しいフォールバック NTP サーバを追加します。 時刻の同期のためにこのオプションを選択すると、Time Sync With Host は無効になります。
拡張されたサーバ証明書検証 Unified Access Gateway が、バックエンド サーバへの送信 TLS 接続に対して受信した SSL サーバ証明書について拡張検証を実行するようにするには、このトグルをオンにします。 この拡張検証には、証明書の有効期限、ホスト名の不一致、証明書失効ステータス、拡張キー使用量の値の検証が含まれます。
デフォルトでは、このオプションは無効になっています。
このオプションは、ini ファイルに extendedServerCertValidationEnabled パラメータを追加することで、PowerShell を介して設定できます。Unified Access Gateway をデプロイするための PowerShell スクリプトの実行を参照してください。
SSH パブリック キー パブリック キーをアップロードして、パブリック/プライベート キー ペア オプションを使用する場合、Unified Access Gateway 仮想マシンへの root ユーザー アクセスを有効にします。 管理者は複数の一意のパブリック キーを Unified Access Gateway へアップロードできます。
このフィールドは、デプロイ時に SSH オプション [SSH を有効にする] および [キー ペアを使用した SSH root ログインを許可する] が
true
に設定されている場合のみ、管理ユーザー インターフェイスで表示されます。これらのオプションの詳細については、OVF テンプレート ウィザードによる Unified Access Gateway のデプロイを参照してください。 - [保存] をクリックします。
次のタスク
Unified Access Gateway をデプロイしたコンポーネントの Edge サービス設定を構成します。Edge の設定を構成したら、認証設定を構成します。