관리 구성 페이지에서 클라이언트와 Unified Access Gateway 장치 간의 통신을 암호화하는 데 사용되는 보안 프로토콜 및 암호화 알고리즘을 구성할 수 있습니다.
사전 요구 사항
- Unified Access Gateway 배포 속성을 검토합니다. 다음 설정 정보가 필요합니다.
- Unified Access Gateway 장치에 대한 정적 IP 주소
- DNS 서버의 IP 주소
참고: 최대 2개의 DNS 서버 IP 주소를 지정할 수 있습니다.
Unified Access Gateway는 구성 설정의 일부로 또는 DHCP를 통해 Unified Access Gateway에 제공된 DNS 서버 주소가 없는 경우에만 플랫폼 기본 폴백 공용 DNS 주소를 사용합니다.
- 관리 콘솔의 암호
- Unified Access Gateway 장치가 가리키는 서버 인스턴스 또는 로드 밸런서의 URL
- 이벤트 로그 파일을 저장할 Syslog 서버 URL
프로시저
- 관리 UI [수동 구성] 섹션에서 선택을 클릭합니다.
- [고급 설정] 섹션에서 시스템 구성 톱니 모양 아이콘을 클릭합니다.
- 다음 Unified Access Gateway 장치 구성 값을 편집합니다.
옵션 기본값 및 설명 UAG 이름 고유한 Unified Access Gateway 장치 이름입니다. 참고: 장치 이름은 알파벳(A-Z), 숫자(0-9), 빼기 기호(-)
및 마침표(.)
를 포함하는 최대 24자의 텍스트 문자열로 구성될 수 있습니다. 그러나 장치 이름에는 공백을 포함할 수 없습니다.로케일 오류 메시지를 생성할 때 사용할 로케일을 지정합니다.
- 미국 영어의 경우 en_US. 이것이 기본값입니다.
- 일본어의 경우 ja_JP
- 프랑스어의 경우 fr_FR
- 독일어의 경우 de_DE
- 중국어 간체의 경우 zh_CN
- 중국어 번체의 경우 zh_TW
- 한국어의 경우 ko_KR
- 스페인어의 경우 es
- 포르투갈어(브라질)의 경우 pt_BR
- 영국 영어의 경우 en_GB
TLS 서버 암호 그룹 Unified Access Gateway의 인바운드 TLS 연결을 암호화할 때 사용하는 암호화 알고리즘인 쉼표로 구분된 암호 그룹 목록을 입력하십시오. 이 옵션은 TLS 버전, 명명된 그룹, 서명 체계 등 다양한 보안 프로토콜을 사용하도록 설정할 때 사용하는 다른 몇 가지 옵션과 함께 사용됩니다.
FIPS 모드에서 지원되는 TLS 서버 암호 그룹은 다음과 같습니다.- 기본 지원 암호 그룹:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- 지원되고 수동으로 구성할 수 있는 암호 그룹:
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
비 FIPS 모드에서 지원되는 기본 TLS 서버 암호 그룹은 다음과 같습니다.TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
이 옵션은 PowerShell 배포 중에 ini 파일에 cipherSuites 매개 변수를 추가하여 구성할 수 있습니다. PowerShell을 사용하여 Unified Access Gateway 장치 배포의 내용을 참조하십시오.
TLS 클라이언트 암호 그룹 Unified Access Gateway의 아웃바운드 TLS 연결을 암호화할 때 사용하는 암호화 알고리즘인 쉼표로 구분된 암호 그룹 목록을 입력하십시오. 이 옵션은 TLS 버전, 명명된 그룹, 서명 체계 등 다양한 보안 프로토콜을 사용하도록 설정할 때 사용하는 다른 몇 가지 옵션과 함께 사용됩니다.
FIPS 모드에서는 다음과 같은 암호 그룹이 지원됩니다.TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
비 FIPS 모드에서는 기본적으로 SSL 라이브러리(Java/Open SSL)에서 지원하는 모든 암호 그룹을 사용할 수 있습니다.
이 옵션은 PowerShell 배포 중에 ini 파일에 outboundCipherSuites 매개 변수를 추가하여 구성할 수 있습니다. PowerShell을 사용하여 Unified Access Gateway 장치 배포의 내용을 참조하십시오.
SSL 제공자 TLS 연결 처리에 사용되는 SSL 제공자 구현을 선택합니다. TLS Named Groups 및 TLS Signature Schemes를 구성하려면 이 옵션의 값이
JDK
여야 합니다. 기본적으로 이 옵션의 값은OPENSSL
입니다.참고: 이 옵션의 값이JDK
이면 OCSP 기반 인증서 해지 검사를 지원하지 않습니다. 그러나 CRL 기반 인증서 해지 검사는 지원됩니다.이 옵션을 변경하면 Unified Access Gateway 서비스가 다시 시작됩니다. 진행 중인 Unified Access Gateway 세션은 다시 시작하는 동안 유지되지 않습니다.
이 옵션은 PowerShell 배포 중에 ini 파일에 sslProvider 매개 변수를 추가하여 구성할 수 있습니다. PowerShell을 사용하여 Unified Access Gateway 장치 배포의 내용을 참조하십시오.
TLS 명명된 그룹 관리자는 SSL 핸드셰이크 동안 키 교환에 사용되는 지원되는 명명된 그룹 목록에서 원하는 명명된 그룹(타원 곡선)을 구성할 수 있습니다. 이 옵션은 쉼표로 구분된 값을 허용합니다. 지원되는 명명된 그룹 중 일부는 다음과 같습니다.
secp256r1, secp384r1, secp521r1
이 옵션을 구성하려면 SSL Provider 옵션이
JDK
로 설정되어 있는지 확인합니다. 그렇지 않으면 TLS Named Groups 옵션이 사용하지 않도록 설정됩니다. 이 옵션을 변경하면 Unified Access Gateway 서비스가 다시 시작됩니다. 진행 중인 Unified Access Gateway 세션은 다시 시작하는 동안 유지되지 않습니다.이 옵션은 PowerShell 배포 중에 ini 파일에 tlsNamedGroups 매개 변수를 추가하여 구성할 수 있습니다. PowerShell을 사용하여 Unified Access Gateway 장치 배포의 내용을 참조하십시오.
TLS 서명 체계 관리자는 SSL 핸드셰이크 중에 키 유효성 검사에 사용되는 지원되는 TLS 서명 알고리즘을 구성할 수 있습니다. 이 옵션은 쉼표로 구분된 값을 허용합니다. 예를 들어 지원하는 서명 체계에는
rsa_pkcs1_sha
,rsa_pkcs1_sha256
,rsa_pkcs1_sha384
,rsa_pss_rsae_sha256
,rsa_pss_rsae_sha384
등이 있습니다.이 옵션을 구성하려면 SSL Provider 옵션이
JDK
로 설정되어 있는지 확인합니다. 그렇지 않으면 TLS Signature Schemes 옵션이 사용하지 않도록 설정됩니다. 이 옵션을 변경하면 Unified Access Gateway 서비스가 다시 시작됩니다. 진행 중인 Unified Access Gateway 세션은 다시 시작하는 동안 유지되지 않습니다.이 옵션은 PowerShell 배포 중에 ini 파일에 tlsSignatureSchemes 매개 변수를 추가하여 구성할 수 있습니다. PowerShell을 사용하여 Unified Access Gateway 장치 배포의 내용을 참조하십시오.
TLS 1.0 사용 기본적으로 이 토글은 해제되어 있습니다. TLS 1.0 보안 프로토콜을 사용하도록 설정하려면 이 토글을 설정합니다.
TLS 1.1 사용 기본적으로 이 토글은 해제되어 있습니다. TLS 1.1 보안 프로토콜을 사용하도록 설정하려면 이 토글을 설정합니다.
TLS 1.2 사용 기본적으로 이 토글은 설정되어 있습니다. TLS 1.2 보안 프로토콜이 사용되도록 설정됩니다.
TLS 1.3 사용 기본적으로 이 토글은 설정되어 있습니다. TLS 1.3 보안 프로토콜이 사용되도록 설정됩니다.
허용된 호스트 헤더 호스트 헤더 값으로 IP 주소 또는 호스트 이름을 입력합니다. 이 설정은 Horizon 및 Web Reverse Proxy를 포함하는 Unified Access Gateway 배포 사용 사례에 적용할 수 있습니다. Horizon을 포함하는 Unified Access Gateway 배포의 경우에는 여러 호스트 헤더를 제공해야 할 수 있습니다. 이러한 특성은 N+1개의 VIP(가상 IP)가 사용되는지와 BSG(Blast 보안 게이트웨이) 및 VMware Tunnel을 사용하도록 설정하고 외부에서 포트 443을 사용하도록 구성했는지에 따라 달라집니다.
이 Horizon 클라이언트는 Blast 연결 요청에 대해 호스트 헤더의 IP 주소를 전송합니다. BSG가 포트 443을 사용하도록 구성된 경우 허용된 호스트 헤더에는 특정 UAG에 대한 Blast 외부 URL에 구성된 BSG 호스트 이름의 외부 IP 주소가 포함되어야 합니다.
호스트 헤더 값을 지정하지 않으면 클라이언트에서 전송하는 모든 호스트 헤더 값이 기본적으로 수락됩니다.
CA 인증서 이 옵션은 Syslog 서버가 추가된 경우 사용하도록 설정됩니다. 올바른 Syslog CA(인증 기관) 인증서를 선택합니다. 상태 점검 URL 로드 밸런서에서 연결하여 Unified Access Gateway의 상태를 확인하는 URL을 입력합니다. HTTP 상태 모니터 기본적으로 이 토글은 해제되어 있습니다. 기본 구성은 HTTP 상태 점검 URL 요청을 HTTPS로 리디렉션합니다. 이 토글을 켜면 Unified Access Gateway는 HTTP에서도 상태 점검 요청에 응답합니다. 캐시할 쿠키 Unified Access Gateway에서 캐시하는 쿠키 집합입니다. 기본값은 [없음]입니다. 세션 시간 초과 기본값은 36000000밀리초입니다. 참고: Unified Access Gateway의 Session Timeout 값이 Horizon Connection Server의 Forcibly disconnect users 설정 값과 같아야 합니다.Forcibly disconnect users 설정은 Horizon 콘솔의 일반 글로벌 설정 중 하나입니다. 이 설정에 대한 자세한 내용은 VMware Docs의 "VMware Horizon 관리" 설명서에서 "클라이언트 세션에 대한 설정 구성" 을 참조하십시오.
중지 모드 이 토글을 설정하여 Unified Access Gateway 장치를 일시 중단하여 일관된 상태에서 유지 보수 작업을 수행하도록 합니다. 모니터 간격 기본값은 60입니다. 암호 수명 관리자 역할의 사용자에 대해 암호가 유효한 기간(일)입니다. 기본값은
90
일입니다. 구성할 수 있는 최대값은999
일입니다.암호가 만료되지 않도록 하려면 이 필드의 값을
0
으로 지정합니다.사용자 암호 수명 모니터링 암호가 모니터링 역할의 사용자에게 유효한 기간(일)입니다. 기본값은
90
일입니다. 구성할 수 있는 최대값은999
일입니다.암호가 만료되지 않도록 하려면 이 필드의 값을
0
으로 지정합니다.요청 시간 초과 Unified Access Gateway가 요청을 수신하기 위해 대기하는 최대 시간을 나타냅니다. 기본값은
3000
입니다.이 시간 초과는 밀리초 단위로 지정해야 합니다.
본문 수신 시간 초과 Unified Access Gateway가 요청 본문을 수신하기 위해 대기하는 최대 시간을 나타냅니다. 기본값은
5000
입니다.이 시간 초과는 밀리초 단위로 지정해야 합니다.
세션당 최대 연결 수 TLS 세션당 허용되는 최대 TCP 연결 수입니다. 기본값은
16
입니다.허용되는 TCP 연결 수에 제한이 없는 경우 이 필드의 값을
0
으로 설정합니다.참고: 필드 값이8
보다 작으면 Horizon Client에서 오류가 발생합니다.클라이언트 연결 유휴 시간 초과 연결이 닫히기까지 클라이언트 연결이 유휴 상태를 유지할 수 있는 시간(초)을 지정합니다. 기본값은 360초(6분)입니다. 0 값은 유휴 시간 초과가 없음을 나타냅니다. 인증 시간 초과 인증이 이루어져야 하는 최대 대기 시간(밀리초)입니다. 기본값은 300000입니다. 0을 지정하면 인증에 시간제한이 없음을 나타냅니다.
클럭 허용 오차 Unified Access Gateway 클럭과 동일한 네트워크의 다른 클럭 사이에 허용되는 시간 차이(초)를 입력합니다. 기본값은 600초입니다. 최대 허용된 시스템 CPU 최대 허용 평균 시스템 CPU 사용량을 1분 단위로 나타냅니다. 구성된 CPU 제한이 초과되면 새 세션이 허용되지 않으며, 클라이언트는 Unified Access Gateway 장치가 일시적으로 오버로드되었음을 나타내는 HTTP 503 오류를 수신합니다. 또한, 제한을 초과하면 로드 밸런서가 새 요청을 다른 Unified Access Gateway 장치로 전송할 수 있도록 Unified Access Gateway 장치를 종료로 표시할 수도 있습니다.
값은 백분율 단위입니다.
기본값은
100%
입니다.CEIP 참여 사용하도록 설정된 경우 “CEIP”(고객 환경 향상 프로그램) 정보를 VMware로 전송합니다. 자세한 내용은 고객 환경 향상 프로그램 가입 또는 탈퇴의 내용을 참조하십시오. SNMP 사용 SNMP 서비스를 사용하도록 설정하려면 이 토글을 설정합니다. Simple Network Management Protocol은 Unified Access Gateway의 시스템 통계, 메모리, 디스크 공간 사용량 통계 및 Tunnel Edge 서비스 MIB 정보를 수집합니다. 사용 가능한 MIB(Management Information Base) 목록은 다음과 같습니다. - UCD-SNMP-MIB::systemStats
- UCD-SNMP-MIB::memory
- UCD-SNMP-MIB::dskTable
- VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
SNMP 버전 원하는 SNMP 버전을 선택합니다. 참고: Powershell을 통해 Unified Access Gateway를 배포했지만 PowerShell 또는 Unified Access Gateway 관리 UI를 통해 SNMPv3 설정을 구성하지 않은 경우에는 기본적으로 SNMPv1 및 SNMPV2c 버전이 사용됩니다.관리 UI에서 SNMPv3 설정을 구성하려면 Unified Access Gateway 관리 UI를 사용하여 SNMPv3 구성을 참조하십시오.
PowerShell 배포를 통해 SNMPv3 설정을 구성하려면 특정 SNMPv3 설정을 INI 파일에 추가해야 합니다. PowerShell을 사용하여 Unified Access Gateway 장치 배포의 내용을 참조하십시오.
관리자 고지 사항 텍스트 조직의 사용자 계약 정책에 따라 고지 사항 텍스트를 입력합니다. 관리자가 Unified Access Gateway 관리 UI에 성공적으로 로그인하려면 관리자가 계약 정책을 수락해야 합니다.
고지 사항 텍스트는 PowerShell 배포를 통해 또는 Unified Access Gateway 관리 UI를 사용하여 구성할 수 있습니다. INI 파일의 PowerShell 설정에 대한 자세한 내용은 PowerShell을 사용하여 Unified Access Gateway 장치 배포을 참조하십시오.
Unified Access Gateway 관리 UI를 사용하여 이 텍스트 상자를 구성하는 동안 관리자는 먼저 관리 UI에 로그인한 다음, 고지 사항 텍스트를 구성해야 합니다. 후속 관리자 로그인 시 로그인 페이지에 액세스하기 전에 관리자가 승인할 텍스트를 표시합니다.
DNS /run/systemd/resolve/resolv.conf 구성 파일에 추가되는 DNS 주소를 입력합니다. 유효한 DNS 검색 주소를 포함해야 합니다. 새 DNS 주소를 추가하려면 '+'를 클릭합니다. DNS 검색 /run/systemd/resolve/resolv.conf 구성 파일에 추가되는 DNS 검색을 입력합니다. 유효한 DNS 검색 주소를 포함해야 합니다. 새 DNS 검색 항목을 추가하려면 '+'를 클릭합니다. 호스트와 시간 동기화 이 토글을 설정하여 Unified Access Gateway 장치의 시간을 ESXi 호스트의 시간에 동기화합니다. 기본적으로 이 토글은 해제되어 있습니다.
이 옵션은 시간을 동기화할 때 VMware Tools를 사용하며 Unified Access Gateway가 ESXi 호스트에 배포된 경우에만 지원됩니다.
시간 동기화에 이 옵션을 선택하면 NTP Servers 및 FallBack NTP Servers 옵션을 사용하지 않도록 설정됩니다.
이 옵션은 PowerShell을 통해 INI 파일에 hostClockSyncEnabled 매개 변수를 추가하여 구성할 수 있습니다. PowerShell을 사용하여 Unified Access Gateway 장치 배포의 내용을 참조하십시오.
NTP 서버 네트워크 시간 프로토콜 동기화를 위한 NTP 서버. 유효한 IP 주소 및 호스트 이름을 입력할 수 있습니다. systemd-networkd 구성 또는 DHCP를 통해 가져온 인터페이스별 NTP 서버는 이러한 구성보다 우선합니다. 새 NTP 서버를 추가하려면 '+'를 클릭합니다. 시간 동기화에 이 옵션을 선택하면 Time Sync With Host를 사용하지 않도록 설정됩니다.
폴백 NTP 서버 네트워크 시간 프로토콜 동기화를 위한 폴백 NTP 서버. NTP 서버 정보를 찾을 수 없는 경우 이러한 폴백 NTP 서버 호스트 이름 또는 IP 주소가 사용됩니다. 새 폴백 NTP 서버를 추가하려면 '+'를 클릭합니다. 시간 동기화에 이 옵션을 선택하면 Time Sync With Host를 사용하지 않도록 설정됩니다.
확장된 서버 인증서 검증 이 토글을 설정하여 Unified Access Gateway가 백엔드 서버의 아웃바운드 TLS 연결을 위해 수신된 SSL 서버 인증서를 대상으로 확장된 유효성 검사를 수행하게 합니다. 확장된 검사에는 인증서 만료, 호스트 이름 불일치, 인증서 해지 상태 및 확장된 키 사용 값을 대상으로 하는 유효성 검사가 포함됩니다.
기본적으로 이 옵션은 사용하지 않도록 설정됩니다.
이 옵션은 PowerShell을 통해 ini 파일에 extendedServerCertValidationEnabled 매개 변수를 추가하여 구성할 수 있습니다. PowerShell을 사용하여 Unified Access Gateway 장치 배포의 내용을 참조하십시오.
SSH 공개 키 공개 키를 업로드하여 공개-개인 키 쌍 옵션을 사용할 때 루트 사용자가 Unified Access Gateway 가상 시스템에 액세스할 수 있도록 합니다. 관리자는 여러 개의 고유한 공개 키를 Unified Access Gateway에 업로드할 수 있습니다.
이 필드는 배포 중에 SSH 옵션 SSH 사용 및 키 쌍을 사용하는 SSH 루트 로그인 허용이
true
로 설정된 경우에만 관리 UI에 표시됩니다. 이러한 옵션에 대한 자세한 정보는 OVF 템플릿 마법사를 사용하여 Unified Access Gateway 배포를 참조하십시오. - 저장을 클릭합니다.
다음에 수행할 작업
Unified Access Gateway와 함께 배포된 구성 요소에 대한 Edge 서비스 설정을 구성합니다. Edge 설정이 구성된 후에 인증 설정을 구성합니다.