システム構成

クライアントと Unified Access Gateway アプライアンス間の通信を暗号化するために使用されるセキュリティプロトコルと暗号化アルゴリズムは、管理機能の構成ページで構成できます。

前提条件

Unified Access Gateway デプロイのプロパティを確認します。次の設定情報は必須です。
- Unified Access Gateway アプライアンスの固定 IP アドレス
- DNS サーバの IP アドレス
  注：最大で 2 つの DNS サーバ IP アドレスを指定できます。
  構成設定の一環として、または DHCP を使用して、Unified Access Gateway に DNS サーバアドレスが提供されていない場合にのみ、Unified Access Gateway はプラットフォームのデフォルトのフォールバックパブリック DNS アドレスを使用します。
- 管理コンソールのパスワード
- Unified Access Gateway アプライアンスが指定するサーバインスタンスまたはロードバランサの URL
- イベントログファイルを保存する Syslog サーバの URL

手順

管理ユーザーインターフェイスの [手動構成] セクションで、[選択] をクリックします。
[詳細設定] セクションで、[システム構成] ギアアイコンをクリックします。

次の Unified Access Gateway アプライアンスの構成値を編集します。

オプションデフォルト値と説明

UAG 名

一意の Unified Access Gateway アプライアンス名。

注：アプライアンス名は、英字 (A～Z)、数字 (0～9)、マイナス記号 (-)、およびピリオド (.) を含む 24 文字以内のテキスト文字列で構成できます。ただし、アプライアンス名にスペースを含めることはできません。

ロケール

エラーメッセージを生成する場合に使用するロケールを指定します。

米国英語は en_US。これはデフォルトです。
日本語は ja_JP
フランス語は fr_FR
ドイツ語は de_DE
簡体字中国語は zh_CN
繁体字中国語は zh_TW
韓国語は ko_KR
スペイン語はes
ブラジルポルトガル語は pt_BR
英国英語は en_GB

TLS サーバ暗号スイート

Unified Access Gateway への受信 TLS 接続を暗号化するために使用される暗号化アルゴリズムである、暗号スイートのカンマ区切りのリストを入力します。

このオプションは、さまざまなセキュリティプロトコルを有効にするために使用される、TLS バージョン、名前付きグループ、署名スキームなどの他のいくつかのオプションとともに使用されます。

FIPS モードでサポートされる TLS サーバ暗号スイートは次のとおりです。

デフォルトで有効な暗号スイート：
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
サポートされていて、手動で設定できる暗号スイート：
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA

非 FIPS モードでサポートされるデフォルトの TLS サーバ暗号スイートは次のとおりです。

TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

このオプションは、PowerShell のデプロイ時に、ini ファイルに cipherSuites パラメータを追加することで構成できます。デプロイするための PowerShell スクリプトの実行を参照してください。

TLS クライアント暗号スイート

Unified Access Gateway への送信 TLS 接続を暗号化するために使用される暗号化アルゴリズムである、暗号スイートのカンマ区切りのリストを入力します。

FIPS モードでは、次の暗号スイートがサポートされます。

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA

非 FIPS モードでは、デフォルトで、SSL ライブラリ (Java/Open SSL) でサポートされているすべての暗号スイートを使用できます。

このオプションは、PowerShell のデプロイ時に、ini ファイルに outboundCipherSuites パラメータを追加することで構成できます。デプロイするための PowerShell スクリプトの実行を参照してください。

SHA ハッシュの最小サイズ

通信中の Horizon プロトコルおよびすべての非 Horizon 接続、および証明書サムプリント仕様の最小 SHA ハッシュサイズを選択します。

SHA-256 がデフォルトです。サポートされている SHA ハッシュサイズの値は、SHA-1、SHA-256、SHA-384、および SHA-512 です。SHA-1 は推奨されません。

TLS 1.1 を有効にする

デフォルトでは、このトグルはオフになっています。

TLS 1.1 セキュリティプロトコルを有効にするには、このトグルをオンにします。

TLS 1.2 を有効にする

デフォルトでは、このトグルはオンになっています。

TLS 1.2 セキュリティプロトコルは有効です。

TLS 1.2 および TLS 1.3 を有効にする（非 FIPS のみ）

デフォルトでは、このトグルはオンになっています。

TLS 1.2 および TLS 1.3 セキュリティプロトコルが有効になっています。

SSL プロバイダ

TLS 接続の処理に使用する SSL プロバイダの実装を選択します。

TLS Named Groups と TLS Signature Schemes を設定するには、このオプションの値を JDK にする必要があります。デフォルトでは、このオプションの値は OPENSSL です。

注：このオプションの値が JDK の場合、OCSP ベースの証明書失効チェックはサポートされません。ただし、CRL ベースの証明書失効チェックはサポートされています。

このオプションに対する変更を行うと、Unified Access Gateway サービスが再起動します。再起動中、実行中の Unified Access Gateway セッションは保持されません。

このオプションは、PowerShell のデプロイ時に、ini ファイルに sslProvider パラメータを追加することで構成できます。デプロイするための PowerShell スクリプトの実行を参照してください。

TLS 名前付きグループ

管理者が、SSL ハンドシェイク中のキー交換で使用される、サポートされている名前付きグループのリストから、必要とする名前付きグループ（楕円曲線）を設定できるようになります。

このオプションでは、カンマ区切り値を使用できます。サポートされている名前付きグループの例として、secp256r1, secp384r1, secp521r1 があります。

このオプションを設定するには、SSL Provider オプションが JDK に設定されている必要があります。それ以外の場合、TLS Named Groups オプションは無効になります。このオプションに対する変更を行うと、Unified Access Gateway サービスが再起動します。再起動中、実行中の Unified Access Gateway セッションは保持されません。

このオプションは、PowerShell のデプロイ時に、ini ファイルに tlsNamedGroups パラメータを追加することで構成できます。デプロイするための PowerShell スクリプトの実行を参照してください。

TLS 署名スキーム

管理者が、SSL ハンドシェイク中のキー検証で使用される、サポートされている TLS 署名アルゴリズムを設定できるようになります。

このオプションでは、カンマ区切り値を使用できます。サポートされている署名スキームの例として、rsa_pkcs1_sha、rsa_pkcs1_sha256、rsa_pkcs1_sha384、rsa_pss_rsae_sha256、および rsa_pss_rsae_sha384 があります。

このオプションを設定するには、SSL Provider オプションが JDK に設定されている必要があります。それ以外の場合、TLS Signature Schemes オプションは無効になります。このオプションに対する変更を行うと、Unified Access Gateway サービスが再起動します。再起動中、実行中の Unified Access Gateway セッションは保持されません。

このオプションは、PowerShell のデプロイ時に、ini ファイルに tlsSignatureSchemes パラメータを追加することで構成できます。デプロイするための PowerShell スクリプトの実行を参照してください。

許可されたホストヘッダー

ホストヘッダー値として許可される IP アドレスまたはホスト名を入力します。この設定は、Horizon、Web リバースプロキシの使用事例、および Unified Access Gateway の管理サービスに適用されます。ホスト（または X-Forwarded-Host）ヘッダーの検証は、このフィールドで構成された値と、UAG のネットワーク設定および Edge サービスの設定に基づいて動的に計算された自動許可リストに対してデフォルトで有効になっています。

ロードバランサまたはリバースプロキシ経由で Unified Access Gateway に直接アクセスするために使用され、自動許可リストに含まれていないホスト名は、このフィールドで構成する必要があります。

Horizon を使用する Unified Access Gateway デプロイでは、Blast Secure Gateway (BSG) または VMware Tunnel が有効になっていて、外部 URL が構成されている場合、これらの値は許可されたホスト値リストに自動的に含まれます。これらの値を明示的に構成する必要はありません。

Web リバースプロキシ構成を使用する Unified Access Gateway デプロイでは、外部 URL とプロキシホストパターンがホスト値の自動許可リストに含まれます。

Unified Access Gateway が N+1 仮想 IP アドレス (VIP) を使用してデプロイされると、仮想 IP アドレスが自動許可リストに含まれます。また、UAG の非ループバック IP アドレスと内部ホスト名もこのリストに含まれ、デフォルトで許可されます。

CA 証明書このオプションは、Syslog サーバが追加されると有効になります。有効な Syslog 認証局証明書を選択します。

健全性チェック URL ロードバランサが接続して Unified Access Gateway の健全性をチェックする URL を入力します。

HTTP 健全性監視デフォルトでは、このトグルはオフになっています。デフォルトの構成では、HTTP 健全性チェックの URL 要求が HTTPS にリダイレクトされます。このトグルをオンにすると、Unified Access Gateway は HTTP でも健全性チェック要求に応答します。

キャッシュされる Cookie Unified Access Gateway がキャッシュする Cookie のセット。デフォルトは [なし] です。

セッションタイムアウト

デフォルト値は [36000000] ミリ秒です。

注： Unified Access Gateway の Session Timeout の値は、 Horizon Connection Server の Forcibly disconnect users 設定の値と同じでなければなりません。

Forcibly disconnect users 設定は、Horizon コンソールの一般グローバル設定の 1 つです。この設定の詳細については、VMware Docs の『VMware Horizon の管理』ドキュメントの「クライアントセッションの構成」を参照してください。

静止モード Unified Access Gateway アプライアンスを一時停止にして、一環した状態でメンテナンスタスクを実行するには、このトグルをオンにします。

監視間隔デフォルト値は [60] です。

SAML 証明書のロールオーバーサポートの有効化証明書に基づいたエンティティ ID を持つ SAML SP メタデータを生成するには、このトグルをオンにします。証明書ベースのエンティティ ID は、IDP での個別の SP 構成によるスムーズな証明書ロールオーバーをサポートします。この値を変更するには、IDP を再構成する必要があります。

パスワードの有効期間

管理者ロールのユーザーに対してパスワードが有効な日数。

デフォルト値は 90 日です。構成可能な最大値は 999 日です。

パスワードが期限切れにならないようにするには、このフィールドの値を 0 に指定します。

監視ユーザーのパスワードの有効期限

監視ロールのユーザーに対してパスワードが有効な日数。

デフォルト値は 90 日です。構成可能な最大値は、999 日です。

パスワードが期限切れにならないようにするには、このフィールドの値を 0 に指定します。

要求のタイムアウト

要求が受け取られるまで Unified Access Gateway が待機する最大時間を示します。

デフォルト値は 3000 です。

このタイムアウトはミリ秒単位で指定する必要があります。

ボディの受信がタイムアウトになりました

要求の本文が受け取られるまで Unified Access Gateway が待機する最大時間を示します。

デフォルトは、5000 です。

このタイムアウトはミリ秒単位で指定する必要があります。

セッションあたりの最大接続数

TLS セッションごとに許可される TCP 接続の最大数。

デフォルト値は 16 です。

許可される TCP 接続数に制限がない場合は、このフィールドの値を 0 に設定します。

注：フィールド値が 8 以下の場合、 Horizon Client にエラーが発生します。

クライアント接続のアイドルタイムアウト接続が閉じるまでにクライアント接続をアイドル状態に保持できる時間（秒）を指定します。デフォルト値は 360 秒（6 分）です。値がゼロの場合、アイドルタイムアウトは発生しません。

認証がタイムアウトになりました

認証が発生するまでの最大待機時間（ミリ秒単位）。デフォルトは 300000 です。0 を指定すると、認証については時間制限がないことになります。

クロックスキューの許容範囲 Unified Access Gateway クロックと同じネットワーク上の他のクロックとの間で許容される時間差を秒単位で入力します。デフォルトは 600 秒です。

最大許容システム CPU

1 分間の最大許容平均システム CPU 使用率を示します。

設定されている CPU 制限を超えると、新しいセッションは許可されず、クライアントは、Unified Access Gateway アプライアンスが一時的に過負荷になっていることを示す HTTP 503 エラーを受信します。さらに、制限を超えると、ロードバランサではその Unified Access Gateway アプライアンスの優先度を下げ、新しい要求を他の Unified Access Gateway アプライアンスに送信できるようにもなります。

値はパーセント単位です。

デフォルト値は 100% です。

CEIP に参加有効にすると、カスタマエクスペリエンス改善プログラム (CEIP) の情報を VMware に送信します。

SNMP を有効にする

SNMP サービスを有効にするには、このトグルをオンにします。簡易ネットワーク管理プロトコルは、システム統計、メモリ、ディスク容量の使用統計、Tunnel Edge サービスの MIB 情報を Unified Access Gateway で収集します。使用可能な管理情報ベース (MIB) のリスト

UCD-SNMP-MIB::systemStats
UCD-SNMP-MIB::memory
UCD-SNMP-MIB::dskTable
VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB

SNMP バージョン

目的の SNMP バージョンを選択します。

SNMP プロトコルとして SNMPv1+v2 が選択されている場合は、カスタム SNMP コミュニティ名を追加できます。

注： Tunnel を構成する前に SNMP を有効にする必要があります。Tunnel の構成後に SNMP を有効にする場合は、SNMP 設定を有効にするために Tunnel 設定を再保存する必要があります。

PowerShell を使用して Unified Access Gateway をデプロイし、SNMP を有効にした後、PowerShell または Unified Access Gateway 管理ユーザーインターフェイスを使用して SNMPv3 設定を構成しなかった場合、デフォルトでは SNMPv1+SNMPV2c のバージョンが使用されます。

管理ユーザーインターフェイスで SNMPv3 設定を構成するための追加の手順は次のとおりです。

[SNMPv3 USM ユーザー] の名前を入力します。
[SNMP エンジン ID] を入力します。
この値は、各 Unified Access Gateway アプライアンスで一意です。
エンジン ID の最大長は 27 文字です。
[SNMPv3 セキュリティレベル] を選択します。
前の手順で選択したセキュリティレベルに応じて、次のアクションを実行します。

セキュリティレベル	アクション
`No Auth, No Priv` （認証なし、プライバシーなし）	[保存] をクリックします。これ以上のアクションは必要ありません。
`Auth, No Priv` （認証あり、プライバシーなし）	[SNMPv3 認証アルゴリズム] を選択します。 [SNMPv3 認証パスワード] を入力します。パスワードは 8 文字以上にする必要があります [認証パスワードの確認] で、前の手順で入力した認証パスワードを確認します。 [保存] をクリックします。
`Auth, Priv` （認証あり、プライバシーあり）	[SNMPv3 認証アルゴリズム] を選択します。サポートされる値は `MD5 (Not Recommended)`、`SHA (Not Recommended)`、`SHA-224`、`SHA-256`、`SHA-384`、および `SHA-512` です。 [SNMPv3 認証パスワード] を入力します。パスワードは 8 文字以上にする必要があります前の手順で入力した [認証パスワード] を確認します。 [SNMPv3 プライバシーアルゴリズム] を選択します。サポートされる値は、`DES` および `AES` です。 [SNMPv3 プライバシーパスワード] を選択します。パスワードは 8 文字以上にする必要があります [プライバシーパスワードの確認] で、前の手順で入力したプライバシーパスワードを確認します。 [保存] をクリックします。

SNMP コミュニティ使用するカスタム SNMP コミュニティ名を入力します。このフィールドを空白のままにすると、「public」が使用されます。

管理者の免責事項のテキスト

組織のユーザー契約ポリシーに基づいて、免責事項のテキストを入力します。

管理者が Unified Access Gateway 管理ユーザーインターフェイスへ正常にログインするには、管理者が契約ポリシーに同意する必要があります。

免責事項のテキストは、PowerShell のデプロイを使用するか、Unified Access Gateway 管理ユーザーインターフェイスを使用して構成できます。INI ファイルの PowerShell 設定の詳細については、デプロイするための PowerShell スクリプトの実行を参照してください。

Unified Access Gateway 管理ユーザーインターフェイスを使用してこのテキストボックスを構成するときに、管理者は最初に管理ユーザーインターフェイスにログインしてから、免責事項のテキストを構成する必要があります。その後の管理者ログインでは、ログインページにアクセスする前に、管理者に同意を求めるテキストが表示されます。

DNS /run/systemd/resolve/resolv.conf 構成ファイルに追加されている DNS (Domain Name System) アドレスを入力します。有効な DNS 検索アドレスを含めてください。[+] をクリックして、新しい DNS アドレスを追加します。

DNS 検索 /run/systemd/resolve/resolv.conf 構成ファイルに追加されている DNS (Domain Name System) 検索を入力します。有効な DNS 検索アドレスを含めてください。[+] をクリックして、新しい DNS 検索エントリを追加します。

ホストとの時刻同期

Unified Access Gateway アプライアンスの時刻を ESXi ホストの時刻と同期するには、このトグルをオンにします。

デフォルトでは、このトグルはオフになっています。

このオプションは、時刻の同期に VMware Tools を使用し、Unified Access Gateway が ESXi ホストにデプロイされている場合にのみサポートされます。

時刻の同期のためにこのオプションを選択すると、NTP Servers オプションと FallBack NTP Servers オプションが無効になります。

このオプションは、INI ファイルに hostClockSyncEnabled パラメータを追加することで、PowerShell を介して設定できます。デプロイするための PowerShell スクリプトの実行を参照してください。

NTP サーバ

NTP (Network Time Protocol) 同期用の NTP サーバ。有効な IP アドレスとホスト名を入力できます。systemd-networkd.service 設定からまたは DHCP を介して取得された、インターフェイスごとの NTP サーバは、これらの構成よりも優先されます。[+] をクリックして、新しい NTP サーバを追加します。

時刻の同期のためにこのオプションを選択すると、Time Sync With Host は無効になります。

フォールバック NTP サーバ

NTP (Network Time Protocol) 同期用のフォールバック NTP サーバ。NTP サーバ情報が見つからない場合は、これらのフォールバック NTP サーバのホスト名または IP アドレスが使用されます。[+] をクリックして、新しいフォールバック NTP サーバを追加します。

時刻の同期のためにこのオプションを選択すると、Time Sync With Host は無効になります。

拡張されたサーバ証明書検証

Unified Access Gateway が、バックエンドサーバへの送信 TLS 接続に対して受信した SSL サーバ証明書について拡張検証を実行するようにするには、このトグルをオンにします。

この拡張検証には、証明書の有効期限、ホスト名の不一致、証明書失効ステータス、拡張キー使用量の値の検証が含まれます。

デフォルトでは、このオプションは無効になっています。

このオプションは、ini ファイルに extendedServerCertValidationEnabled パラメータを追加することで、PowerShell を介して設定できます。デプロイするための PowerShell スクリプトの実行を参照してください。

SSH パブリックキー

パブリックキーをアップロードして、パブリック/プライベートキーペアオプションを使用する場合、Unified Access Gateway 仮想マシンへの root ユーザーアクセスを有効にします。

管理者は複数の一意のパブリックキーを Unified Access Gateway へアップロードできます。

このフィールドは、デプロイ時に SSH オプション [SSH を有効にする] および [キーペアを使用した SSH root ログインを許可する] が true に設定されている場合のみ、管理ユーザーインターフェイスで表示されます。これらのオプションの詳細については、OVF テンプレートウィザードを使用した vSphere へのデプロイを参照してください。

[保存] をクリックします。

次のタスク

Unified Access Gateway をデプロイしたコンポーネントの Edge サービス設定を構成します。Edge の設定を構成したら、認証設定を構成します。