Unified Access Gateway | 2020년 7월 9일 릴리스됨 이 릴리스 정보에 추가된 내용과 업데이트 사항을 확인하십시오.

릴리스 정보에 포함된 내용

이 릴리스 정보에는 다음과 같은 내용이 포함됩니다.

• 이 릴리스의 새로운 내용
• 국제화
• 호환성 참고 사항
• Unified Access Gateway 수명 주기 지원 정책
• 설치 및 업그레이드
• 크기 조정 옵션
• 기술 리소스
• 해결된 문제점
• 알려진 문제점

이 릴리스의 새로운 사항

VMware Unified Access Gateway 3.10은 다음과 같은 새로운 기능과 향상된 기능을 제공합니다.

이러한 기능에 대한 자세한 내용은 설명서 센터를 참조하십시오.

1. 관리 UI를 통해 Workspace ONE Edge 서비스 VMware Tunnel, Content Gateway 및 Secure Email Gateway를 구성하는 경우, 구성 문제로 인해 오류가 감지되고 관리 UI로 오류 메시지가 릴레이됩니다. 오류 메시지가 로그에 캡처됩니다.
    
2. 오버로드를 방지하기 위해 허용되는 최대 CPU 활용률을 구성하는 기능이 추가적으로 지원됩니다. 이전 버전에서는 이 제한을 고정된 90%로 설정했습니다. 이 수준을 초과하면 Unified Access Gateway에서 일시적 오버로드로 인해 요청을 처리할 수 없음을 나타내는 503 오류가 발생하면서 HTTP 요청에 응답합니다. 이 구성을 지원하면 로드 밸런서가 대체 장치에 새 세션을 할당할 수 있습니다. 기본값은 100%이므로 PowerShell 또는 관리 UI를 사용하여 시스템 설정에서 더 낮은 값을 구성할 수 있습니다.
    
3. Horizon Client IP 프로토콜 버전 브리징에 대한 지원이 확장되었습니다. 이전 버전에서는 IPv6 및 IPv4 클라이언트에서 IPv4 Horizon 인프라에 연결하도록 지원했습니다. IPv6 및 IPv4 클라이언트가 IPv6 Horizon 인프라에도 연결할 수 있는 기능이 추가적으로 지원됩니다.
    
4. Web Reverse Proxy Edge 서비스 구성을 통해 로컬 Unified Access Gateway 리소스에 일반적으로 사용되는 요청을 프록시 처리하는 기능이 추가되었습니다. 이 기능은 Unified Access Gateway가 Horizon 이중 홉 DMZ 구성에서 사용될 때 OPSWAT 주문형 에이전트의 다운로드를 지원하기 위해 필요했습니다. 이러한 경우를 지원하려면 Web Reverse Proxy Edge 서비스에 구성된 proxyPattern에 /gateway/resources/(.*)가 포함되어 있어야 합니다. 그래야 이러한 요청이 Horizon Unified Access Gateway 장치에 전달됩니다. 
    
5. 이제 Unified Access Gateway의 FIPS 버전은 Horizon Client에 대한 인증서 기반 인증을 지원합니다. 이것은 스마트 카드/CAC 및 장치 인증서 인증을 위한 것입니다.
    
6. Horizon 인증에 사용되는 타사 ID 제공자에 대해 일반 Unified Access Gateway SAML 2.0 기능이 개선되었습니다.
    
7. Microsoft ADFS 및 Shibboleth가 Horizon 인증을 위한 추가 SAML 2.0 ID 제공자로 검증되었습니다.
    
8. 이제 Horizon OPSWAT 디바이스 규정 준수 검사 연속 평가 간격을 최소 5분으로 설정할 수 있습니다. 이전에는 확인 사이의 최소 간격이 30분이었습니다. 기본적으로 연속 평가 간격은 사용 안 함을 의미하는 0으로 계속 설정되어 있습니다. 이 경우 연속 검사는 수행되지 않지만, 사용자가 Horizon 데스크톱 또는 애플리케이션 세션을 시작할 때마다 계속 검사됩니다. 
    
9. 관리 UI 로그인에 표시되는 로그인 부인 계약 메시지를 구성할 수 있는 기능이 추가적으로 지원됩니다. 관리자는 로그인하기 전에 이 계약 메시지를 수락해야 합니다. 관리 부인 텍스트는 관리 UI 또는 PowerShell .ini 파일에서 구성할 수 있습니다.
    
10. 문제 해결에 도움이 되도록 시스템 정보를 사용하여 수집된 로그가 확장되었습니다. system_logs_archive 디렉터리에는 cpu.info, mem.info, sysctl.log 및 journalctl_archive 로그 파일이 있습니다.
     
11. 이제 연결 서버에 대한 Horizon 요청에 사용된 원본 헤더를 proxyDestinationUrl 설정의 호스트 이름을 사용하도록 선택적으로 다시 쓸 수 있습니다. 대부분의 경우 원본 헤더를 호스트 이름으로 다시 쓰면, 특정 브라우저가 Horizon에 연결할 수 있도록 하기 위해 연결 서버의 locked.properties 파일을 구성해야 할 필요가 없어집니다.
     
12. RADIUS 인증을 위한 추가 연결 동시성이 추가적으로 지원됩니다. 이전 버전에서는 Microsoft Azure Multi-factor Authentication 서버의 특정 온 프레미스 버전 구성에서 사용할 경우, 로그인 비율이 최대인 상황에서 Horizon 사용자에게 RADIUS 자격 증명을 요청하느라 지연이 발생할 수 있습니다. 연결 동시성이 증가하면 이러한 지연이 방지됩니다.
     
13. Horizon 및 Web Reverse Proxy Edge 서비스에 대한 TCP 포트 443의 연결을 위해 TLS 버전 및 기본 암호가 업데이트되었습니다. 값은 구성 가능합니다. 이러한 Edge 서비스에 대한 비 FIPS Unified Access Gateway 버전 기본값은 다음과 같습니다.
    
    TLS 1.3
    TLS_AES_128_GCM_SHA256
    TLS_AES_256_GCM_SHA384
    TLS_CHACHA20_POLY1305_SHA256
    
    TLS 1.2
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    
    이러한 Edge 서비스에 대한 FIPS Unified Access Gateway 버전 기본값은 다음과 같습니다.
    
    TLS 1.2만 해당
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
     
14. TCP 포트 8443의 Horizon Blast 보안 게이트웨이 구성 요소는 더 이상 TLS 1.1을 사용하지 않습니다. TLS 1.2만 지원합니다. 
     
15.  Secure Email Gateway에서 Active Directory 클라이언트 인증서 매핑 인증을 지원합니다. 클라이언트 인증서를 Active Directory의 사용자 개체에 게시하는 고객의 경우, 인증서에 UPN이 없거나 UPN이 Active Directory의 UPN 값과 일치하지 않을 때 이 기능을 사용할 수 있습니다.
     
16. Secure Email Gateway의 경우 Java 버전이 Zulu OpenJDK JRE, 버전 11.0.7로 업데이트되었습니다.
     
17. 프런트엔드 Unified Access Gateway for Horizon, Web Reverse Proxy, VMware Tunnel, Content Gateway 및 Secure Email Gateway Edge 서비스에서 AVI Networks 로드 밸런서 지원이 규정되었습니다.

국제화

Unified Access Gateway 사용자 인터페이스, 온라인 도움말 및 제품 설명서는 일본어, 프랑스어, 독일어, 스페인어, 브라질 포르투갈어, 중국어 간체, 중국어 번체 및 한국어로 제공됩니다. 전체 설명서를 보려면 설명서 센터를 참조하십시오.

호환성 참고 사항

VMware 제품 상호 운용성 매트릭스에 대한 자세한 내용은 http://www.vmware.com/resources/compatibility/sim/interop_matrix.php를 참조하십시오.

수명 주기 지원 정책

Unified Access Gateway 수명 주기 지원 정책에 대한 자세한 내용은 https://kb.vmware.com/s/article/2147313을 참조하십시오.

설치 및 업그레이드

Unified Access Gateway를 다운로드하려면 제품 다운로드 페이지를 참조하십시오.

크기 조정 옵션

Unified Access Gateway 크기 조정 권장 사항에 대해서는 VMware 구성 최대값을 참조하십시오.

기술 리소스

Unified Access Gateway를 학습하고 마스터하려면 https://techzone.vmware.com/mastering-unified-access-gateway로 이동하십시오.

해결된 문제점

• 이전 버전의 Microsoft ADFS에서 Horizon SAML IDP 인증을 사용하는 경우, Unified Access Gateway에 업로드하기 전에 ADFS의 메타데이터를 수동으로 수정하지 않으면 HTTP 오류 500이 수신될 수 있습니다. 버전 3.10에는 Microsoft ADFS에 대한 전체 지원이 추가되므로 이 수정이 더 이상 필요하지 않습니다.

• 이제 Horizon HTML Access 클라이언트를 사용할 경우, 인증 시간 초과 정책이 완전히 지원됩니다.

• Unified Access Gateway 관리 UI의 인증 방법 드롭다운이 Microsoft IE 및 Edge 브라우저에서 완전히 지원됩니다.

• 사용자 인증 부인 텍스트가 Horizon 연결 서버에 추가되었다가 나중에 제거되면 Unified Access Gateway의 캐시된 메시지가 5분 이내에 자동으로 제거된 후 사용자에게 더 이상 표시되지 않습니다.

• 이제 Unified Access Gateway에서 Windows SSO를 사용하도록 설정하면 OPSWAT MetaAccess 주문형 에이전트 다운로드가 작동합니다.

• 부팅한 후에 Unified Access Gateway Console 화면에 루트 로그인 프롬프트가 표시되지 않는 경우가 있었습니다. 이 문제는 해결되었습니다.

• Unified Access Gateway의 haproxy 구성 요소에 대한 TCP 연결에서 TCP FIN_WAIT2 시간 초과 문제가 간헐적으로 발생할 수 있습니다. 이제 완료되면 이러한 연결이 자동으로 제거됩니다.

• 작업 동기화의 SEG(Secure Email Gateway) Edge 서비스 하이퍼링크가 Workspace ONE Web용 AWB/AWBS를 제거하도록 올바르게 변환되었습니다.

• 이메일 서버에서 특정 응답이 수신될 때 Unified Access Gateway에서 SEG 서비스를 구성하지 못하는 문제가 해결되었습니다.

• proxy.email.request.on.kerberos.error 매개 변수를 false로 설정할 때 Kerberos 흐름의 SEG 서비스 오류가 해결되었습니다.

알려진 문제점

• 관리자 암호, 루트 암호 또는 RADIUS 공유 암호를 설정할 때 백슬래시(\) 문자를 사용하는 경우에는 추가 백슬래시 문자를 사용하여 이스케이프되어야 합니다. 따라서 관리자가 Secret\123의 암호를 Secret\\123으로 지정해야 합니다.

  해결 방법:  \ 앞에 추가 백슬래시 \를 접두사로 붙입니다(예: \\u).

• DHCP 할당 IP 주소를 사용하여 Microsoft Azure에 Unified Access Gateway를 배포하고 사용자 지정 고정 경로와 DHCP 할당 경로 사이에 충돌이 발생하면 고정 경로를 적용한 후에 제거할 수 있습니다. 이 문제는 UAG 호스트 이름과 VM 이름에 따라 Azure에서 할당된 호스트 이름이 일치하지 않는 경우에만 발생합니다.

  해결 방법: 호스트 이름 변경이 수행되지 않도록 Unified Access Gateway를 배포할 때 Azure VM 이름 기반 호스트 이름이 uagName(hostname) 집합과 일치하는지 확인합니다. 

• waagent.log의 위치는 /opt/waagent/log/waagent.log에 대한 링크인 /var/log/waagent.log입니다. 그러나 /opt/waagent가 존재하지 않으므로 로그 파일이 생성되지 않습니다.

  해결 방법: 로그 파일이 필요하지 않지만, 혹시라도 필요할 수 있으므로 루트 권한으로 Unified Access Gateway Console에 로그인하고 rm /var/log/waagent.log 명령을 사용하여 제거합니다.

• 처음 부팅할 때 Microsoft 하이퍼바이저가 Unified Access Gateway 및 하이퍼바이저 내에서 올바르게 감지되며, DHCP 설정에 따라 Hyper-V 대신 Azure가 감지됩니다. 하지만 이후 부팅 시 Azure가 Hyper-V로 잘못 감지되고 waagent가 중지됩니다.

  해결 방법: 없음

• 고정 경로가 IP 주소, 넷마스크 및 기본 게이트웨이 등의 다른 NIC 설정으로 변경되면 수정된 고정 경로 항목이 Unified Access Gateway에 추가되지 않습니다.

  해결 방법: 

  1. Unified Access Gateway의 IP 주소, 넷마스크 및 기본 게이트웨이를 구성하고 저장합니다.
  2. 고정 경로를 구성하고 저장합니다.

• 초기 AD 암호 프롬프트가 표시되지 않도록 하기 위해 Horizon SAML 2.0을 Horizon True SSO와 함께 사용할 때, 세션을 수동으로 잠그거나 세션이 비활성으로 인해 잠길 경우, 사용자는 세션 잠금을 해제하기 위해 AD 암호를 입력하거나 클라이언트를 닫고 다시 연결해야 합니다. Horizon True SSO 잠금 해제 메커니즘은 현재 Workspace ONE Access에 따라 달라집니다.

  해결 방법: 없음

• Content Gateway 및 Secure Email Gateway와 같은 UEM Edge 서비스를 구성한 후 터널 프록시 설정을 사용하거나 사용하지 않도록 설정하면 구성된 UEM Edge 서비스에 대해 TLS 포트 공유가 작동하지 않습니다.

  해결 방법:

  1. Unified Access Gateway에서 터널 프록시를 구성한 후 Content Gateway 및 Secure Email Gateway 등의 다른 UEM Edge 서비스를 구성합니다.
  2. 터널 프록시를 사용하지 않도록 설정했다가 나중에 사용하도록 설정한 경우에는 이전에 구성된 UEM Edge 서비스 설정을 Unified Access Gateway 관리 UI에 다시 저장합니다.