HorizonUnified Access Gateway の併用は NIAP/CSfC に準拠しており、検証には NIAP/CSfC 操作に必要な Unified Access Gateway アプライアンス内の特定の構成が必要です。

この構成の変更は次のとおりです。

  1. Unified Access Gateway の FIPS バージョンを、VMware vSphere 7 以降にデプロイします。
  2. デプロイ中に次のパラメータを構成します。
    注: これらのパラメータは、デプロイ時にのみ構成できます。デプロイ中に構成しない場合、 Unified Access Gateway にはデフォルト値が含まれます。
    パラメータ 説明
    Root Password Management Policies
    passwordPolicyMinLen root パスワードの最小長
    passwordPolicyMinClass root パスワードの最小複雑性
    rootPasswordExpirationDays root パスワードが強制的にリセットされるまでの日数
    passwordPolicyFailedLockout root ユーザー アクセスが一時的にロックアウトされるまでのログイン試行の失敗回数
    passwordPolicyUnlockTime 一時的なロックアウト後に root ユーザーがロック解除される期間(秒)
    rootSessionIdleTimeoutSeconds root ユーザーのアイドル セッションが期限切れになるまでの期間(秒)
    Admin Password Management Policies
    adminpasswordPolicyMinLen 管理者パスワードの最小長
    adminpasswordPolicyFailedLockoutCount 管理者ユーザー アクセスが一時的にロックアウトされるまでのログイン試行の失敗回数
    adminpasswordPolicyUnlockTime

    一時的なロックアウト後に管理者ユーザーがロック解除される期間(秒)
    adminSessionIdleTimeoutMinutes 管理者ユーザーのアイドル セッションが期限切れになるまでの期間(秒)
    Other Parameters
    ログイン バナー テキスト

    SSH または Web コンソール ログイン時に表示されるバナー テキスト
    SecureRandom ソース

    パラメータは、/dev/random に設定する必要があります。

    これらのパラメータとその値の詳細については、VMware Docs の『VMware Unified Access Gateway の導入および設定』ガイドの「PowerShell スクリプトを使用した Unified Access Gateway のデプロイ」を参照してください。

  3. TLS 証明書の CSR を生成し、Unified Access Gateway 管理者インターフェイスとパブリック インターフェイスの署名証明書をバインドします。詳細については、VMware Docs の『VMware Unified Access Gateway の導入および設定』ガイドの「uagcertutil コマンドを使用した CSR とプライベート キーの生成」を参照してください。
    注: チェーン内のすべての証明書に SHA-384 署名があることを確認します。[システム設定] の証明書と TLS 構成で署名アルゴリズムの不一致が発生すると、TLS ハンドシェイクに失敗し、サーバへのアクセスが失われる可能性があります。
  4. 管理ユーザー インターフェイスの [システム構成] セクションで、次のパラメータを構成します。これらのパラメータの詳細については、VMware Docs の『VMware Unified Access Gateway の導入および設定』ガイドの「Unified Access Gateway システム設定の構成」を参照してください。
    1. [TLS サーバ暗号スイート]TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 に構成します。
    2. [TLS クライアント暗号スイート] を構成します。 
      TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
    3. [SSL プロバイダ]JDK に構成します。
    4. TLS 名前付きグループを secp256r1,secp384r1,secp521r1,ffdhe2048,ffdhe3072,ffdhe4096,ffdhe6144,ffdhe8192 に構成します。
    5. [TLS 署名スキーム]rsa_pkcs1_sha384 に構成します。
    6. [管理者の免責事項のテキスト] を構成します。
    7. [ホストとの時刻同期] トグルをオンにします。
    8. [拡張されたサーバ証明書検証] トグルをオンにします。
      注: Unified Access Gateway は CRL の LDAP URL をサポートしていません。http URL のみがサポートされています。
  5. TLS プロトコルを使用して Syslog サーバ設定を構成します。これらの設定の詳細については、VMware Docs の『VMware Unified Access Gateway の導入および設定』ガイドの「Syslog サーバ設定の構成」を参照してください。
    注: Syslog サーバ証明書には、 [extendedKeyUsage ]critical extension としてマークされている必要があります。
      1. [選択] をクリックして、[TLS Syslog クライアントの証明書][TLS Syslog クライアントの証明書キー] をアップロードします。
      2. [Syslog にシステム メッセージを含める] トグルをオンにします。
      3. [Syslog エントリを追加] をクリックして、次の詳細情報を含む新しい Syslog エントリをテーブルに追加します。
        1. [カテゴリ]All Events に設定します。
        2. [プロトコル]TLS に設定します。
        3. Syslog サーバの [ホスト][ポート] を追加します。
      4. [選択] をクリックして、信頼できる [CA 証明書] をアップロードします。
      5. [追加] をクリックして新しいエントリを保存し、[保存] をクリックして Syslog 設定を保存します。
  6. X509 証明書認証の設定を構成して有効にします。これらの設定の詳細については、VMware Docs の『VMware Unified Access Gateway の導入および設定』ガイドの「Unified Access Gateway での証明書認証の構成」を参照してください。
    1. [認証設定] で X.509 証明書の構成を開きます。
    2. [X.509 証明書を有効にする] トグルをオンにします。
    3. [選択] をクリックして、クライアントの信頼される [ルートおよび中間 CA 証明書] を PEM 形式でアップロードします。
    4. [証明書の失効] トグルをオンにします。
    5. CRL ベースの証明書失効チェックを構成します。URL を構成して CRL を取得するか、証明書チェーン自体から詳細を読み取るように構成できます。
    6. X.509 証明書認証設定の構成を保存します。
  7. SAML ID プロバイダ設定を生成し、SAML サービス プロバイダ設定を構成します。
    1. SAML 設定を開き、SAML ID プロバイダ設定を展開します。
    2. [プライベート キー][証明書チェーン](RSA+SHA384 アルゴリズムで署名)をアップロードして、ID プロバイダの設定を生成します。詳細については、VMware Docs の『VMware Unified Access Gateway の導入および設定』ガイドの「Unified Access Gateway SAML メタデータの生成」を参照してください。
    3. Unified Access Gateway の外部 [ホスト名] を指定して、生成された ID プロバイダ設定の XML をダウンロードします。
    4. Connection Server で XML ファイルをアップロードし、SAML メタデータ XML をダウンロードします。詳細については、VMware DocsVMware Horizon 製品ドキュメントの「True SSO と連携するための SAML 認証の構成」を参照してください。
    5. SAML 設定を開き、SAML サービス プロバイダ設定を展開します。
    6. [サービス プロバイダ名] を入力し、SAML の [メタデータ XML] コンテンツを貼り付けます。詳細については、VMware Docs の『VMware Unified Access Gateway の導入および設定』ガイドの「Unified Access Gateway へのサービス プロバイダ SAML メタデータのコピー」を参照してください。
    7. SAML サービス プロバイダの設定を保存します。