관리 구성 페이지에서 클라이언트와 Unified Access Gateway 장치 간의 통신을 암호화하는 데 사용되는 보안 프로토콜 및 암호화 알고리즘을 구성할 수 있습니다.
사전 요구 사항
- Unified Access Gateway 배포 속성을 검토합니다. 다음 설정 정보가 필요합니다.
- Unified Access Gateway 장치에 대한 정적 IP 주소
- DNS 서버의 IP 주소
참고: 최대 2개의 DNS 서버 IP 주소를 지정할 수 있습니다.
Unified Access Gateway는 구성 설정의 일부로 또는 DHCP를 통해 Unified Access Gateway에 제공된 DNS 서버 주소가 없는 경우에만 플랫폼 기본 폴백 공용 DNS 주소를 사용합니다.
- 관리 콘솔의 암호
- Unified Access Gateway 장치가 가리키는 서버 인스턴스 또는 로드 밸런서의 URL
- 이벤트 로그 파일을 저장할 Syslog 서버 URL
프로시저
- 관리 UI [수동 구성] 섹션에서 선택을 클릭합니다.
- [고급 설정] 섹션에서 시스템 구성 톱니 모양 아이콘을 클릭합니다.
- 다음 Unified Access Gateway 장치 구성 값을 편집합니다.
옵션 기본값 및 설명 UAG 이름 고유한 Unified Access Gateway 장치 이름입니다. 참고: 장치 이름은 알파벳(A-Z), 숫자(0-9), 빼기 기호(-)
및 마침표(.)
를 포함하는 최대 24자의 텍스트 문자열로 구성될 수 있습니다. 그러나 장치 이름에는 공백을 포함할 수 없습니다.로케일 오류 메시지를 생성할 때 사용할 로케일을 지정합니다.
- 미국 영어의 경우 en_US. 이것이 기본값입니다.
- 일본어의 경우 ja_JP
- 프랑스어의 경우 fr_FR
- 독일어의 경우 de_DE
- 중국어 간체의 경우 zh_CN
- 중국어 번체의 경우 zh_TW
- 한국어의 경우 ko_KR
- 스페인어의 경우 es
- 포르투갈어(브라질)의 경우 pt_BR
- 영국 영어의 경우 en_GB
TLS 서버 암호 그룹 Unified Access Gateway의 인바운드 TLS 연결을 암호화할 때 사용하는 암호화 알고리즘인 쉼표로 구분된 암호 그룹 목록을 입력하십시오. 이 옵션은 TLS 버전, 명명된 그룹, 서명 체계 등 다양한 보안 프로토콜을 사용하도록 설정할 때 사용하는 다른 몇 가지 옵션과 함께 사용됩니다.
FIPS 모드에서 지원되는 TLS 서버 암호 그룹은 다음과 같습니다.- 기본 지원 암호 그룹:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- 지원되고 수동으로 구성할 수 있는 암호 그룹:
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
비 FIPS 모드에서 지원되는 기본 TLS 서버 암호 그룹은 다음과 같습니다.TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
이 옵션은 PowerShell 배포 중에 ini 파일에 cipherSuites 매개 변수를 추가하여 구성할 수 있습니다. PowerShell 스크립트를 실행하여 배포의 내용을 참조하십시오.
TLS 클라이언트 암호 그룹 Unified Access Gateway의 아웃바운드 TLS 연결을 암호화할 때 사용하는 암호화 알고리즘인 쉼표로 구분된 암호 그룹 목록을 입력하십시오. 이 옵션은 TLS 버전, 명명된 그룹, 서명 체계 등 다양한 보안 프로토콜을 사용하도록 설정할 때 사용하는 다른 몇 가지 옵션과 함께 사용됩니다.
FIPS 모드에서는 다음과 같은 암호 그룹이 지원됩니다.TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
비 FIPS 모드에서는 기본적으로 SSL 라이브러리(Java/Open SSL)에서 지원하는 모든 암호 그룹을 사용할 수 있습니다.
이 옵션은 PowerShell 배포 중에 ini 파일에 outboundCipherSuites 매개 변수를 추가하여 구성할 수 있습니다. PowerShell 스크립트를 실행하여 배포의 내용을 참조하십시오.
최소 SHA 해시 크기 통신 동안, 인증서 지문 규격에 대해 Horizon 프로토콜 및 모든 비 Horizon 연결에 대한 최소 SHA 해시 크기를 선택합니다. SHA-256이 기본값입니다. 지원되는 SHA 해시 크기 값은 SHA-1, SHA-256, SHA-384 및 SHA-512입니다. SHA-1은 권장되지 않습니다.
TLS 1.1 사용 기본적으로 이 토글은 해제되어 있습니다. TLS 1.1 보안 프로토콜을 사용하도록 설정하려면 이 토글을 설정합니다.
TLS 1.2 사용 기본적으로 이 토글은 설정되어 있습니다. TLS 1.2 보안 프로토콜이 사용되도록 설정됩니다.
TLS 1.2 및 TLS 1.3(비 FIPS만 해당) 사용 기본적으로 이 토글은 설정되어 있습니다. TLS 1.2 및 TLS 1.3 보안 프로토콜이 사용되도록 설정됩니다.
SSL 제공자 TLS 연결 처리에 사용되는 SSL 제공자 구현을 선택합니다. TLS Named Groups 및 TLS Signature Schemes를 구성하려면 이 옵션의 값이
JDK
여야 합니다. 기본적으로 이 옵션의 값은OPENSSL
입니다.참고: 이 옵션의 값이JDK
이면 OCSP 기반 인증서 해지 검사를 지원하지 않습니다. 그러나 CRL 기반 인증서 해지 검사는 지원됩니다.이 옵션을 변경하면 Unified Access Gateway 서비스가 다시 시작됩니다. 진행 중인 Unified Access Gateway 세션은 다시 시작하는 동안 유지되지 않습니다.
이 옵션은 PowerShell 배포 중에 ini 파일에 sslProvider 매개 변수를 추가하여 구성할 수 있습니다. PowerShell 스크립트를 실행하여 배포의 내용을 참조하십시오.
TLS 명명된 그룹 관리자는 SSL 핸드셰이크 동안 키 교환에 사용되는 지원되는 명명된 그룹 목록에서 원하는 명명된 그룹(타원 곡선)을 구성할 수 있습니다. 이 옵션은 쉼표로 구분된 값을 허용합니다. 지원되는 명명된 그룹 중 일부는 다음과 같습니다.
secp256r1, secp384r1, secp521r1
이 옵션을 구성하려면 SSL Provider 옵션이
JDK
로 설정되어 있는지 확인합니다. 그렇지 않으면 TLS Named Groups 옵션이 사용하지 않도록 설정됩니다. 이 옵션을 변경하면 Unified Access Gateway 서비스가 다시 시작됩니다. 진행 중인 Unified Access Gateway 세션은 다시 시작하는 동안 유지되지 않습니다.이 옵션은 PowerShell 배포 중에 ini 파일에 tlsNamedGroups 매개 변수를 추가하여 구성할 수 있습니다. PowerShell 스크립트를 실행하여 배포의 내용을 참조하십시오.
TLS 서명 체계 관리자는 SSL 핸드셰이크 중에 키 유효성 검사에 사용되는 지원되는 TLS 서명 알고리즘을 구성할 수 있습니다. 이 옵션은 쉼표로 구분된 값을 허용합니다. 예를 들어 지원하는 서명 체계에는
rsa_pkcs1_sha
,rsa_pkcs1_sha256
,rsa_pkcs1_sha384
,rsa_pss_rsae_sha256
,rsa_pss_rsae_sha384
등이 있습니다.이 옵션을 구성하려면 SSL Provider 옵션이
JDK
로 설정되어 있는지 확인합니다. 그렇지 않으면 TLS Signature Schemes 옵션이 사용하지 않도록 설정됩니다. 이 옵션을 변경하면 Unified Access Gateway 서비스가 다시 시작됩니다. 진행 중인 Unified Access Gateway 세션은 다시 시작하는 동안 유지되지 않습니다.이 옵션은 PowerShell 배포 중에 ini 파일에 tlsSignatureSchemes 매개 변수를 추가하여 구성할 수 있습니다. PowerShell 스크립트를 실행하여 배포의 내용을 참조하십시오.
허용된 호스트 헤더 호스트 헤더 값으로 허용할 IP 주소 및/또는 호스트 이름을 입력합니다. 이 설정은 Horizon, 웹 역방향 프록시 사용 사례 및 Unified Access Gateway의 관리 서비스에 적용됩니다. Host(또는 X-Forwarded-Host) 헤더의 유효성 검사는 이 필드에 구성된 값과 UAG의 네트워크 설정 및 Edge 서비스 설정에 따라 동적으로 계산된 자동 허용 목록에 대해 기본적으로 사용하도록 설정됩니다. 로드 밸런서 또는 역방향 프록시를 통해 Unified Access Gateway에 직접 액세스하는 데 사용되며 자동 허용 목록에 포함되지 않은 호스트 이름은 이 필드에 구성해야 합니다.
Horizon을 사용하는 Unified Access Gateway 배포에서 BSG(Blast 보안 게이트웨이) 및/또는 VMware Tunnel이 사용하도록 설정되고 외부 URL이 구성된 경우 이러한 값이 허용된 호스트 값 목록에 자동으로 포함됩니다. 이러한 값의 명시적 구성은 필요하지 않습니다.
웹 역방향 프록시 구성이 있는 Unified Access Gateway 배포의 경우 외부 URL 및 프록시 호스트 패턴이 자동으로 허용된 호스트 값 목록에 포함됩니다.
Unified Access Gateway가 N+1 VIP(가상 IP)로 배포되면 가상 IP가 자동 허용 목록에 포함됩니다. 또한 UAG의 비루프백 IP 주소 및 내부 호스트 이름도 이 목록에 포함되며 기본적으로 허용됩니다.
CA 인증서 이 옵션은 Syslog 서버가 추가된 경우 사용하도록 설정됩니다. 올바른 Syslog CA(인증 기관) 인증서를 선택합니다. 상태 점검 URL 로드 밸런서에서 연결하여 Unified Access Gateway의 상태를 확인하는 URL을 입력합니다. HTTP 상태 모니터 기본적으로 이 토글은 해제되어 있습니다. 기본 구성은 HTTP 상태 점검 URL 요청을 HTTPS로 리디렉션합니다. 이 토글을 켜면 Unified Access Gateway는 HTTP에서도 상태 점검 요청에 응답합니다. 캐시할 쿠키 Unified Access Gateway에서 캐시하는 쿠키 집합입니다. 기본값은 [없음]입니다. 세션 시간 초과 기본값은 36000000밀리초입니다. 참고: Unified Access Gateway의 Session Timeout 값이 Horizon Connection Server의 Forcibly disconnect users 설정 값과 같아야 합니다.Forcibly disconnect users 설정은 Horizon 콘솔의 일반 글로벌 설정 중 하나입니다. 이 설정에 대한 자세한 내용은 VMware Docs의 "VMware Horizon 관리" 설명서에서 "클라이언트 세션에 대한 설정 구성" 을 참조하십시오.
중지 모드 이 토글을 설정하여 Unified Access Gateway 장치를 일시 중단하여 일관된 상태에서 유지 보수 작업을 수행하도록 합니다. 모니터 간격 기본값은 60입니다. SAML 인증서 롤오버 지원 사용 인증서를 기반으로 엔티티 ID를 사용하여 SAML SP 메타데이터를 생성하려면 이 토글을 설정합니다. 인증서 기반 엔티티 ID는 IDP에서 별도의 SP 구성을 사용하여 원활한 인증서 롤오버를 지원합니다. 이 값을 변경하려면 IDP를 재구성해야 합니다. 암호 수명 관리자 역할의 사용자에 대해 암호가 유효한 기간(일)입니다. 기본값은
90
일입니다. 구성할 수 있는 최대값은999
일입니다.암호가 만료되지 않도록 하려면 이 필드의 값을
0
으로 지정합니다.사용자 암호 수명 모니터링 암호가 모니터링 역할의 사용자에게 유효한 기간(일)입니다. 기본값은
90
일입니다. 구성할 수 있는 최대값은999
일입니다.암호가 만료되지 않도록 하려면 이 필드의 값을
0
으로 지정합니다.요청 시간 초과 Unified Access Gateway가 요청을 수신하기 위해 대기하는 최대 시간을 나타냅니다. 기본값은
3000
입니다.이 시간 초과는 밀리초 단위로 지정해야 합니다.
본문 수신 시간 초과 Unified Access Gateway가 요청 본문을 수신하기 위해 대기하는 최대 시간을 나타냅니다. 기본값은
5000
입니다.이 시간 초과는 밀리초 단위로 지정해야 합니다.
세션당 최대 연결 수 TLS 세션당 허용되는 최대 TCP 연결 수입니다. 기본값은
16
입니다.허용되는 TCP 연결 수에 제한이 없는 경우 이 필드의 값을
0
으로 설정합니다.참고: 필드 값이8
보다 작으면 Horizon Client에서 오류가 발생합니다.클라이언트 연결 유휴 시간 초과 연결이 닫히기까지 클라이언트 연결이 유휴 상태를 유지할 수 있는 시간(초)을 지정합니다. 기본값은 360초(6분)입니다. 0 값은 유휴 시간 초과가 없음을 나타냅니다. 인증 시간 초과 인증이 이루어져야 하는 최대 대기 시간(밀리초)입니다. 기본값은 300000입니다. 0을 지정하면 인증에 시간제한이 없음을 나타냅니다.
클럭 허용 오차 Unified Access Gateway 클럭과 동일한 네트워크의 다른 클럭 사이에 허용되는 시간 차이(초)를 입력합니다. 기본값은 600초입니다. 최대 허용된 시스템 CPU 최대 허용 평균 시스템 CPU 사용량을 1분 단위로 나타냅니다. 구성된 CPU 제한이 초과되면 새 세션이 허용되지 않으며, 클라이언트는 Unified Access Gateway 장치가 일시적으로 오버로드되었음을 나타내는 HTTP 503 오류를 수신합니다. 또한, 제한을 초과하면 로드 밸런서가 새 요청을 다른 Unified Access Gateway 장치로 전송할 수 있도록 Unified Access Gateway 장치를 종료로 표시할 수도 있습니다.
값은 백분율 단위입니다.
기본값은
100%
입니다.CEIP 참여 사용하도록 설정된 경우 “CEIP”(고객 환경 향상 프로그램) 정보를 VMware로 전송합니다. SNMP 사용 SNMP 서비스를 사용하도록 설정하려면 이 토글을 설정합니다. Simple Network Management Protocol은 Unified Access Gateway의 시스템 통계, 메모리, 디스크 공간 사용량 통계 및 Tunnel Edge 서비스 MIB 정보를 수집합니다. 사용 가능한 MIB(Management Information Base) 목록은 다음과 같습니다. - UCD-SNMP-MIB::systemStats
- UCD-SNMP-MIB::memory
- UCD-SNMP-MIB::dskTable
- VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
SNMP 버전 원하는 SNMP 버전을 선택합니다. SNMPv1+v2가 SNMP 프로토콜로 선택된 경우 사용자 지정 SNMP 커뮤니티 이름을 추가할 수 있습니다.
참고: 터널을 구성하기 전에 SNMP를 사용하도록 설정해야 합니다. 터널을 구성한 후 SNMP를 사용하도록 설정한 경우 SNMP 설정을 적용하기 위해 터널 설정을 다시 저장해야 합니다.Powershell을 통해 Unified Access Gateway를 배포했지만 PowerShell 또는 Unified Access Gateway 관리 UI를 통해 SNMPv3 설정을 구성하지 않은 경우에는 기본적으로 SNMPv1+SNMPV2c 버전이 사용됩니다.
다음은 관리 UI에서 SNMPv3 설정을 구성하기 위한 추가 단계입니다.- SNMPv3 USM 사용자 이름을 입력합니다.
- SNMP 엔진 ID를 입력합니다.
이 값은 각 Unified Access Gateway 장치별로 고유합니다.
엔진 ID의 최대 길이는 27자로 제한됩니다.
- SNMPv3 보안 수준을 선택합니다.
- 이전 단계에서 선택한 보안 수준에 따라 다음 작업을 수행합니다.
보안 수준 작업 No Auth, No Priv
(인증 없음, 개인 정보 없음)
저장을 클릭합니다. 추가 작업이 필요하지 않습니다.
Auth, No Priv
(인증, 개인 정보 없음)
- SNMPv3 인증 알고리즘을 선택합니다.
- SNMPv3 인증 암호를 입력합니다.
암호 길이는 8자 이상이어야 합니다.
- 이전 단계에서 입력한 인증 암호를 확인합니다.
- 저장을 클릭합니다.
Auth, Priv
(인증, 개인 정보 보호)
- SNMPv3 인증 알고리즘을 선택합니다.
지원되는 값은
MD5 (Not Recommended)
,SHA (Not Recommended)
,SHA-224
,SHA-256
,SHA-384
및SHA-512
입니다. - SNMPv3 인증 암호를 입력합니다.
암호 길이는 8자 이상이어야 합니다.
- 이전 단계에서 입력한 인증 암호를 확인합니다.
- SNMPv3 개인 정보 알고리즘을 선택합니다.
지원되는 값은
DES
및AES
입니다. - SNMPv3 개인 정보 암호를 선택합니다.
암호 길이는 8자 이상이어야 합니다.
- 이전 단계에서 입력한 개인 정보 암호를 확인합니다.
- 저장을 클릭합니다.
SNMP 커뮤니티 사용할 사용자 지정 SNMP coummity 이름을 입력합니다. 이 필드를 비워 두면 "public"이 사용됩니다. 관리자 고지 사항 텍스트 조직의 사용자 계약 정책에 따라 고지 사항 텍스트를 입력합니다. 관리자가 Unified Access Gateway 관리 UI에 성공적으로 로그인하려면 관리자가 계약 정책을 수락해야 합니다.
고지 사항 텍스트는 PowerShell 배포를 통해 또는 Unified Access Gateway 관리 UI를 사용하여 구성할 수 있습니다. INI 파일의 PowerShell 설정에 대한 자세한 내용은 PowerShell 스크립트를 실행하여 배포을 참조하십시오.
Unified Access Gateway 관리 UI를 사용하여 이 텍스트 상자를 구성하는 동안 관리자는 먼저 관리 UI에 로그인한 다음, 고지 사항 텍스트를 구성해야 합니다. 후속 관리자 로그인 시 로그인 페이지에 액세스하기 전에 관리자가 승인할 텍스트를 표시합니다.
DNS /run/systemd/resolve/resolv.conf 구성 파일에 추가되는 DNS 주소를 입력합니다. 유효한 DNS 검색 주소를 포함해야 합니다. 새 DNS 주소를 추가하려면 '+'를 클릭합니다. DNS 검색 /run/systemd/resolve/resolv.conf 구성 파일에 추가되는 DNS 검색을 입력합니다. 유효한 DNS 검색 주소를 포함해야 합니다. 새 DNS 검색 항목을 추가하려면 '+'를 클릭합니다. 호스트와 시간 동기화 이 토글을 설정하여 Unified Access Gateway 장치의 시간을 ESXi 호스트의 시간에 동기화합니다. 기본적으로 이 토글은 해제되어 있습니다.
이 옵션은 시간을 동기화할 때 VMware Tools를 사용하며 Unified Access Gateway가 ESXi 호스트에 배포된 경우에만 지원됩니다.
시간 동기화에 이 옵션을 선택하면 NTP Servers 및 FallBack NTP Servers 옵션을 사용하지 않도록 설정됩니다.
이 옵션은 PowerShell을 통해 INI 파일에 hostClockSyncEnabled 매개 변수를 추가하여 구성할 수 있습니다. PowerShell 스크립트를 실행하여 배포의 내용을 참조하십시오.
NTP 서버 네트워크 시간 프로토콜 동기화를 위한 NTP 서버. 유효한 IP 주소 및 호스트 이름을 입력할 수 있습니다. systemd-networkd 구성 또는 DHCP를 통해 가져온 인터페이스별 NTP 서버는 이러한 구성보다 우선합니다. 새 NTP 서버를 추가하려면 '+'를 클릭합니다. 시간 동기화에 이 옵션을 선택하면 Time Sync With Host를 사용하지 않도록 설정됩니다.
폴백 NTP 서버 네트워크 시간 프로토콜 동기화를 위한 폴백 NTP 서버. NTP 서버 정보를 찾을 수 없는 경우 이러한 폴백 NTP 서버 호스트 이름 또는 IP 주소가 사용됩니다. 새 폴백 NTP 서버를 추가하려면 '+'를 클릭합니다. 시간 동기화에 이 옵션을 선택하면 Time Sync With Host를 사용하지 않도록 설정됩니다.
확장된 서버 인증서 검증 이 토글을 설정하여 Unified Access Gateway가 백엔드 서버의 아웃바운드 TLS 연결을 위해 수신된 SSL 서버 인증서를 대상으로 확장된 유효성 검사를 수행하게 합니다. 확장된 검사에는 인증서 만료, 호스트 이름 불일치, 인증서 해지 상태 및 확장된 키 사용 값을 대상으로 하는 유효성 검사가 포함됩니다.
기본적으로 이 옵션은 사용하지 않도록 설정됩니다.
이 옵션은 PowerShell을 통해 ini 파일에 extendedServerCertValidationEnabled 매개 변수를 추가하여 구성할 수 있습니다. PowerShell 스크립트를 실행하여 배포의 내용을 참조하십시오.
SSH 공개 키 공개 키를 업로드하여 공개-개인 키 쌍 옵션을 사용할 때 루트 사용자가 Unified Access Gateway 가상 시스템에 액세스할 수 있도록 합니다. 관리자는 여러 개의 고유한 공개 키를 Unified Access Gateway에 업로드할 수 있습니다.
이 필드는 배포 중에 SSH 옵션 SSH 사용 및 키 쌍을 사용하는 SSH 루트 로그인 허용이
true
로 설정된 경우에만 관리 UI에 표시됩니다. 이러한 옵션에 대한 자세한 정보는 OVF 템플릿 마법사를 사용하여 vSphere에 배포를 참조하십시오. - 저장을 클릭합니다.
다음에 수행할 작업
Unified Access Gateway와 함께 배포된 구성 요소에 대한 Edge 서비스 설정을 구성합니다. Edge 설정이 구성된 후에 인증 설정을 구성합니다.