Horizon이 포함된 Unified Access Gateway는 NIAP/CSfC를 준수하며 유효성 검사를 수행하려면 NIAP/CSfC 작업에 필요한 Unified Access Gateway 장치의 특정 구성이 필요합니다.
구성 변경 사항은 다음과 같습니다.
- VMware vSphere 7 이상에 Unified Access Gateway의 FIPS 버전을 배포합니다.
- 배포 중에 다음 매개 변수를 구성합니다.
참고: 이러한 매개 변수는 배포 시에만 구성할 수 있습니다. 배포 중에 구성하지 않았을 때 Unified Access Gateway에 기본값이 포함됩니다.
매개 변수 설명 Root Password Management Policies passwordPolicyMinLen 루트 암호의 최소 길이 passwordPolicyMinClass 루트 암호의 최소 복잡성 rootPasswordExpirationDays 루트 암호를 필수로 재설정해야 하는 기간(일) passwordPolicyFailedLockout 루트 사용자 액세스가 일시적으로 잠기기 전에 실패한 로그인 횟수 passwordPolicyUnlockTime 임시 잠금 후 루트 사용자의 잠금이 해제되는 시간(초) rootSessionIdleTimeoutSeconds 루트 사용자의 유휴 세션이 만료되기까지의 시간(초) Admin Password Management Policies adminpasswordPolicyMinLen 관리자 암호의 최소 길이 adminpasswordPolicyFailedLockoutCount 관리자 액세스가 일시적으로 잠기기 전에 실패한 로그인 횟수 adminpasswordPolicyUnlockTime 임시 잠금 후 관리자의 잠금이 해제되는 시간(초)
adminSessionIdleTimeoutMinutes 관리자의 유휴 세션이 만료되기까지의 시간(초) Other Parameters 로그인 배너 텍스트 SSH 또는 웹 콘솔 로그인 중에 표시되는 배너 텍스트
SecureRandom 소스 이 매개 변수는
/dev/random으로 설정해야 합니다이러한 매개 변수 및 해당 값에 대한 자세한 내용은 VMware Docs의 "VMware Unified Access Gateway 가이드 배포 및 구성" 에서 "PoweShell Script를 실행하여 Unified Access Gateway 배포" 를 참조하십시오.
- TLS 인증서에 대한 CSR을 생성하고 Unified Access Gateway 관리자 및 공용 인터페이스에 대해 서명된 인증서를 바인딩합니다. 자세한 내용은 VMware Docs의 "VMware Unified Access Gateway 가이드 배포 및 구성" 에서 "uagcertutil 명령을 사용하여 CSR 및 개인 키 생성" 을 참조하십시오.
참고: 체인의 모든 인증서에 SHA-384 서명이 있어야 합니다. 인증서의 서명 알고리즘과 시스템 설정 아래의 TLS 구성이 일치하지 않으면 TLS 핸드셰이크가 실패하고 서버에 대한 액세스 손실이 발생할 수 있습니다.
- 관리 UI의 [시스템 구성] 섹션에서 다음 매개 변수를 구성합니다. 이러한 매개 변수에 대한 자세한 내용은 VMware Docs의 "VMware Unified Access Gateway 가이드 배포 및 구성" 에서 "Unified Access Gateway 시스템 설정 구성" 을 참조하십시오.
- TLS 서버 암호 그룹을
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384로 구성합니다. - TLS 클라이언트 암호 그룹을 다음으로 구성합니다.
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
- SSL 제공자를
JDK로 구성합니다. - TLS 명명된 그룹을
secp256r1,secp384r1,secp521r1,ffdhe2048,ffdhe3072,ffdhe4096,ffdhe6144,ffdhe8192로 구성합니다. - TLS 서명 체계를
rsa_pkcs1_sha384로 구성합니다. - 관리자 고지 사항 텍스트를 구성합니다.
- 호스트와 시간 동기화 토글을 켭니다.
- 확장된 서버 인증서 검증 토글을 켭니다.
참고: Unified Access Gateway는 CRL에 대한 LDAP URL을 지원하지 않으며 http URL만 지원됩니다.
- TLS 서버 암호 그룹을
- TLS 프로토콜을 사용하여 Syslog 서버 설정을 구성합니다. 이러한 설정에 대한 자세한 내용은 VMware Docs의 "VMware Unified Access Gateway 가이드 배포 및 구성" 에서 "Syslog 서버 설정 구성" 을 참조하십시오.
참고: Syslog 서버 인증서에는 extendedKeyUsage 가 critical extension으로 표시되어야 합니다.
-
- 선택을 클릭하여 Syslog TLS 클라이언트 인증서 및 TLS Syslog 클라이언트 인증서 키를 업로드합니다.
- Syslog 포함 시스템 메시지 토글을 켭니다.
- Syslog 항목 추가를 클릭하여 다음 세부 정보와 함께 새 syslog 항목을 테이블에 추가합니다.
- 범주를
All Events로 설정합니다. - 프로토콜을
TLS로 설정합니다. - Syslog 서버 호스트 및 포트를 추가합니다.
- 범주를
- 선택을 클릭하여 신뢰할 수 있는 CA 인증서를 업로드합니다.
- 추가를 클릭하여 새 항목을 저장하고 저장을 클릭하여 syslog 설정을 저장합니다.
-
- X509 인증서 인증 설정을 구성하고 사용하도록 설정합니다. 이러한 설정에 대한 자세한 내용은 VMware Docs의 "VMware Unified Access Gateway 가이드 배포 및 구성" 에서 "Unified Access Gateway에 인증서 인증 구성" 을 참조하십시오.
- [인증 설정]에서 X.509 인증서 구성을 엽니다.
- X.509 인증서 사용 토글을 켭니다.
- 선택을 클릭하여 클라이언트의 신뢰할 수 있는 루트 및 중간 CA 인증서를 PEM 형식으로 업로드합니다.
- 인증서 해지 사용 토글을 켭니다.
- CRL 기반 인증서 해지 검사를 구성합니다. CRL을 가져오도록 URL을 구성하거나 인증서 체인 자체에서 세부 정보를 읽도록 구성할 수 있습니다.
- X.509 인증서 인증 설정 구성을 저장합니다.
- SAML ID 제공자 설정을 생성하고 SAML 서비스 제공자 설정을 구성합니다.
- SAML 설정을 열고 SAML ID 제공자 설정을 확장합니다.
- 개인 키 및 인증서 체인(RSA+SHA384 알고리즘으로 서명)을 업로드하여 ID 제공자 설정을 생성합니다. 자세한 내용은 VMware Docs의 "VMware Unified Access Gateway 가이드 배포 및 구성" 에서 "Unified Access Gateway SAML 메타데이터 생성" 을 참조하십시오.
- Unified Access Gateway의 외부 호스트 이름을 제공하여 생성된 ID 제공자 설정 XML을 다운로드합니다.
- 연결 서버에서 XML 파일을 업로드하고 SAML 메타데이터 XML을 다운로드합니다. 자세한 내용은 VMware Docs의 "VMware Horizon 제품 설명서" 에서 "True SSO를 사용하도록 SAML 인증 구성" 을 참조하십시오.
- [SAML 설정]을 열고 [SAML 서비스 제공자] 설정을 확장합니다.
- 서비스 제공자 이름을 입력하고 SAML 메타데이터 XML 컨텐츠를 붙여넣습니다. 자세한 내용은 VMware Docs의 "VMware Unified Access Gateway 가이드 배포 및 구성" 에서 "서비스 제공자 SAML 메타데이터를 Unified Access Gateway로 복사" 를 참조하십시오.
- SAML 서비스 제공자 설정을 저장합니다.
