クライアントと Unified Access Gateway アプライアンス間の通信を暗号化するために使用されるセキュリティ プロトコルと暗号化アルゴリズムは、管理機能の構成ページで構成できます。
前提条件
- Unified Access Gateway デプロイのプロパティを確認します。次の設定情報は必須です。
- Unified Access Gateway アプライアンスの固定 IP アドレス
- DNS サーバの IP アドレス
注: 最大で 2 つの DNS サーバ IP アドレスを指定できます。
構成設定の一環として、または DHCP を使用して、UAG に DNS サーバ アドレスが提供されていない場合にのみ、Unified Access Gateway はプラットフォーム デフォルトのフォールバック パブリック DNS アドレスを使用します。
- 管理コンソールのパスワード
- Unified Access Gateway アプライアンスが指定するサーバ インスタンスまたはロード バランサの URL
- イベント ログ ファイルを保存する Syslog サーバの URL
手順
- 管理ユーザー インターフェイスの [手動構成] セクションで、[選択] をクリックします。
- [詳細設定] セクションで、[システム構成] ギア アイコンをクリックします。
- 次の Unified Access Gateway アプライアンスの構成値を編集します。
オプション デフォルト値と説明 UAG 名 一意の Unified Access Gateway アプライアンス名。 注: アプライアンス名は、英字 (A~Z)、数字 (0~9)、マイナス記号(-)
、およびピリオド(.)
を含む 24 文字以内のテキスト文字列で構成できます。ただし、アプライアンス名にスペースを含めることはできません。ロケール エラー メッセージを生成する場合に使用するロケールを指定します。
- 米国英語は en_US。これはデフォルトです。
- 日本語は ja_JP
- フランス語は fr_FR
- ドイツ語は de_DE
- 簡体字中国語は zh_CN
- 繁体字中国語は zh_TW
- 韓国語は ko_KR
- スペイン語はes
- ブラジル ポルトガル語は pt_BR
- 英国英語は en_GB
暗号化スイート ほとんどの場合、デフォルトの設定は変更する必要はありません。これは、クライアントと Unified Access Gateway アプライアンス間の通信を暗号化するために使用される暗号化アルゴリズムです。暗号設定は、さまざまなセキュリティ プロトコルを有効にするために使用されます。 TLS 1.0 が有効 デフォルトは、 NO
です。TLS 1.0 セキュリティ プロトコルを有効にするには、[はい] を選択します。
TLS 1.1 が有効 デフォルトは、 NO
です。TLS 1.1 セキュリティ プロトコルを有効にするには、[はい] を選択します。
TLS 1.2 が有効 デフォルトは、 YES
です。TLS 1.2 セキュリティ プロトコルは有効です。
TLS 1.3 が有効 デフォルトは、 YES
です。TLS 1.3 セキュリティ プロトコルは有効です。
許可されたホスト ヘッダー ホスト ヘッダー値として、IP アドレスまたはホスト名を入力します。この設定は、Horizon および Web リバース プロキシのユースケースを含む UAG デプロイに適用されます。 Horizon を使用した UAG 環境では、複数のホスト ヘッダーを指定しなければならない場合があります。これは、N + 1 仮想 IP (VIP) アドレスが使用されているかどうか、および Blast Secure Gateway (BSG) と VMware Tunnel が有効になっていて、外部でポート 443 を使用するように構成されているかどうかによって異なります。
Horizon クライアントは、Blast 接続要求のために、ホスト ヘッダーに IP アドレスを送信します。BSG がポート 443 を使用するように構成されている場合、許可されたホスト ヘッダーには、特定の UAG のブラスト外部 URL に設定された BSG ホスト名の外部 IP アドレスが含まれている必要があります。
ホスト ヘッダーの値が指定されていない場合、クライアントが送信するホスト ヘッダーの値がデフォルトで受け入れられます。
Syslog タイプ ドロップダウン メニューから Syslog タイプを選択します。次のオプションがあります。 - UDP:Syslog メッセージは、UDP 経由のプレーン テキストで、ネットワークを介して送信されます。これはデフォルトのオプションです。
- TLS:メッセージのセキュリティを保護するため、2 つの Syslog サーバの間に TLS 暗号化が追加されています。
- TCP:Syslog メッセージは TCP 経由でストリーミングされます。
注: この設定は、 Unified Access Gateway 3.7 以降に適用されます。TCP オプションは、 Unified Access Gateway 2009 以降に適用されます。Syslog URL Syslog タイプが UDP または TCP に設定されている場合、このオプションは有効になります。Unified Access Gateway イベントを記録するために使用する Syslog サーバの URL を入力します。この値には、URL またはホスト名または IP アドレスを使用できます。Syslog サーバの URL を設定しないと、イベントは記録されません。 最大 2 つの URL を指定できます。URL はコンマで区切られます。例:
syslog://server1.example.com:514, syslog://server2.example.com:514
デフォルトでは、Content Gateway と Secure Email Gateway の Edge サービス イベントがログに記録されます。Unified Access Gateway で構成された Tunnel Gateway Edge サービスのイベントを Syslog サーバで記録するには、管理者が次の情報を使用して Workspace UEM Console での Syslog を構成する必要があります。
Syslog Hostname=localhost and Port=514
Workspace UEM Console の Syslog の詳細については、『Linux 用の VMware Tunnel』ドキュメントの「アプリケーション単位のトンネルの構成」のトピックを参照してください。
Syslog サーバ Syslog タイプが TLS に設定されている場合、このオプションは有効になります。Unified Access Gateway イベントを記録するために使用する Syslog サーバの URL を入力します。この値には、URL またはホスト名または IP アドレスを使用できます。Syslog サーバの URL を設定しないと、イベントは記録されません。 最大 2 つの URL を指定できます。URL はコンマで区切られます。例:
syslog://server1.example.com:514, syslog://server2.example.com:514
デフォルトでは、Content Gateway と Secure Email Gateway の Edge サービス イベントがログに記録されます。Unified Access Gateway で構成された Tunnel Gateway Edge サービスのイベントを Syslog サーバで記録するには、管理者が次の情報を使用して Workspace UEM Console での Syslog を構成する必要があります。
Syslog Hostname=localhost and Port=514
注: これは、 Unified Access Gateway 3.7 以降に適用されます。Syslog 監査 URL Unified Access Gateway 監査イベントを記録するために使用する Syslog サーバの URL を入力します。この値には、URL またはホスト名または IP アドレスを使用できます。Syslog サーバの URL を設定しないと、監査イベントは記録されません。 最大 2 つの URL を指定できます。URL はコンマで区切られます。例:
syslog://server1.example.com:514, syslog://server2.example.com:514
CA 証明書 このオプションは、Syslog サーバが追加されると有効になります。有効な Syslog 認証局証明書を選択します。 Syslog クライアント証明書 注: このオプションは、Syslog サーバが Unified Access Gateway 管理ユーザー インターフェイスに追加されている場合にのみ有効になります。PEM 形式の有効な Syslog クライアント証明書を選択します。
Syslog クライアント証明書キー 注: このオプションは、Syslog サーバが Unified Access Gateway 管理ユーザー インターフェイスに追加されている場合にのみ有効になります。PEM 形式の有効な Syslog クライアント証明書キーを選択します。
注: Unified Access Gateway が PowerShell を使用してデプロイされている場合に、無効または有効期限切れの証明書やキーが指定されていると、管理ユーザー インターフェイス インスタンスは利用できません。Syslog にシステム メッセージを含める [はい] に切り替えて、haproxy、cron、ssh、kernel、system などのシステム サービスを有効にし、Syslog サーバにシステム メッセージを送信します。 デフォルトでは、このトグルは [true] に設定されています。
または、PowerShell の展開を使用してこの機能を構成することもできます。INI ファイルの設定の詳細については、PowerShell を使用した Unified Access Gateway アプライアンスのデプロイ を参照してください。
健全性チェック URL ロード バランサが接続して Unified Access Gateway の健全性をチェックする URL を入力します。 キャッシュされる Cookie Unified Access Gateway がキャッシュする Cookie のセット。デフォルトは [なし] です。 セッション タイムアウト デフォルト値は [36000000] ミリ秒です。 静止モード [はい] にして有効にすると、Unified Access Gateway アプライアンスを一時停止にして、一環した状態で、メンテナンス タスクを実行できます 監視間隔 デフォルト値は [60] です。 パスワードの有効期間 現在の管理者パスワードが有効な日数。デフォルトは 90 日です。パスワードが無期限の場合、ゼロ (0) に指定します。 要求のタイムアウト 要求が受け取られるまで Unified Access Gateway が待機する最大時間を示します。 デフォルト値は
3000
です。このタイムアウトはミリ秒単位で指定する必要があります。
ボディの受信がタイムアウトになりました 要求の本文が受け取られるまで Unified Access Gateway が待機する最大時間を示します。 デフォルトは、
5000
です。このタイムアウトはミリ秒単位で指定する必要があります。
セッションあたりの最大接続数 TLS セッションごとに許可される TCP 接続の最大数。 デフォルト値は
16
です。許可される TCP 接続数に制限がない場合は、このフィールドの値を
0
に設定します。注: フィールド値が8
以下の場合、 Horizon Client にエラーが発生します。クライアント接続のアイドル タイムアウト 接続が閉じるまでにクライアント接続をアイドル状態に保持できる時間(秒)を指定します。デフォルト値は 360 秒(6 分)です。値がゼロの場合、アイドル タイムアウトは発生しません。 認証がタイムアウトになりました 認証が発生するまでの最大待機時間(ミリ秒単位)。デフォルトは 300000 です。0 を指定すると、認証については時間制限がないことになります。
クロック スキューの許容範囲 Unified Access Gateway クロックと同じネットワーク上の他のクロックとの間で許容される時間差を秒単位で入力します。デフォルトは 600 秒です。 最大許容システム CPU 1 分間の最大許容平均システム CPU 使用率を示します。 設定されている CPU 制限を超えると、新しいセッションは許可されず、クライアントは、Unified Access Gateway アプライアンスが一時的に過負荷になっていることを示す HTTP 503 エラーを受信します。さらに、制限を超えると、ロード バランサではその Unified Access Gateway アプライアンスの優先度を下げ、新しい要求を他の Unified Access Gateway アプライアンスに送信できるようにもなります。
値はパーセント単位です。
デフォルト値は
100%
です。CEIP に参加 有効にすると、カスタマ エクスペリエンス改善プログラム (CEIP) の情報を VMware に送信します。詳細については、カスタマ エクスペリエンス改善プログラムへの参加または脱退sを参照してください。 SNMP を有効にする [はい] に切り替えて、SNMP サービスを有効にします。簡易ネットワーク管理プロトコルは、システム統計、メモリ、Tunnel Edge サービスの MIB 情報を Unified Access Gateway で収集します。使用可能な管理情報ベース (MIB) のリスト - UCD-SNMP-MIB::systemStats
- UCD-SNMP-MIB::memory
- VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
SNMP バージョン 目的の SNMP バージョンを選択します。 注: PowerShell を使用して Unified Access Gateway をデプロイし、SNMP を有効にした後、PowerShell または Unified Access Gateway 管理ユーザー インターフェイスを使用して SNMPv3 設定を構成しなかった場合、デフォルトでは SNMPv1 と SNMPv2c のバージョンが使用されます。管理ユーザー インターフェイスで SNMPv3 設定を構成する方法については、#GUID-4E74559B-37E4-44C9-AA2D-55FA325FE114を参照してください。
PowerShell デプロイを使用して SNMPv3 設定を構成するには、特定の SNMPv3 設定を INI ファイルに追加する必要があります。PowerShell を使用した Unified Access Gateway アプライアンスのデプロイを参照してください。
管理者の免責事項のテキスト 組織のユーザー契約ポリシーに基づいて、免責事項のテキストを入力します。 管理者が Unified Access Gateway 管理ユーザー インターフェイスへ正常にログインするには、管理者が契約ポリシーに同意する必要があります。
免責事項のテキストは、PowerShell のデプロイを使用するか、Unified Access Gateway 管理ユーザー インターフェイスを使用して構成できます。INI ファイルの PowerShell 設定の詳細については、PowerShell を使用した Unified Access Gateway アプライアンスのデプロイ を参照してください。
Unified Access Gateway 管理ユーザー インターフェイスを使用してこのテキスト ボックスを構成するときに、管理者は最初に管理ユーザー インターフェイスにログインしてから、免責事項のテキストを構成する必要があります。その後の管理者ログインでは、ログイン ページにアクセスする前に、管理者に同意を求めるテキストが表示されます。
DNS /run/systemd/resolve/resolv.conf 構成ファイルに追加されている DNS (Domain Name System) アドレスを入力します。有効な DNS 検索アドレスを含めてください。[+] をクリックして、新しい DNS アドレスを追加します。 DNS 検索 /etc/resolv.conf 構成ファイルに追加されている DNS (Domain Name System) 検索を入力します。有効な DNS 検索アドレスを含めてください。[+] をクリックして、新しい DNS 検索エントリを追加します。 NTP サーバ NTP (Network Time Protocol) 同期用の NTP サーバ。有効な IP アドレスとホスト名を入力できます。systemd-networkd.service 設定からまたは DHCP を介して取得された、インターフェイスごとの NTP サーバは、これらの構成よりも優先されます。[+] をクリックして、新しい NTP サーバを追加します。 フォールバック NTP サーバ NTP (Network Time Protocol) 同期用のフォールバック NTP サーバ。NTP サーバ情報が見つからない場合は、これらのフォールバック NTP サーバのホスト名または IP アドレスが使用されます。[+] をクリックして、新しいフォールバック NTP サーバを追加します。 SSH パブリック キー パブリック キーをアップロードして、パブリック/プライベート キー ペア オプションを使用する場合、Unified Access Gateway への root ユーザー アクセスを有効にします。 管理者は複数の一意のパブリック キーを Unified Access Gateway へアップロードできます。
このフィールドは、デプロイ時に SSH オプション [SSH を有効にする] および [キー ペアを使用した SSH root ログインを許可する] が
true
に設定されている場合のみ、管理ユーザー インターフェイスで表示されます。これらのオプションの詳細については、OVF テンプレート ウィザードによる Unified Access Gateway のデプロイを参照してください。 - [保存] をクリックします。
次のタスク
Unified Access Gateway をデプロイしたコンポーネントの Edge サービス設定を構成します。Edge の設定を構成したら、認証設定を構成します。