您可以設定用來從管理員組態頁面加密用戶端與 Unified Access Gateway 應用裝置之間通訊的安全性通訊協定和密碼編譯演算法。

必要條件

  • 檢閱 Unified Access Gateway 部署內容。需要下列設定資訊:
    • Unified Access Gateway 應用裝置的靜態 IP 位址
    • DNS 伺服器的 IP 位址
      備註: 最多可以指定兩個 DNS 伺服器 IP 位址。

      僅在未隨著組態設定或透過 DHCP 向 UAG 提供任何 DNS 伺服器位址時,Unified Access Gateway 才會使用平台預設後援公用 DNS 位址。

    • 管理主控台的密碼
    • Unified Access Gateway 應用裝置所指向的伺服器執行個體或負載平衡器的 URL
    • 儲存事件記錄檔的 Syslog 伺服器 URL

程序

  1. 在管理員 UI 的 [手動設定] 區段中,按一下選取
  2. 在 [進階設定] 區段中,按一下系統組態齒輪圖示。
  3. 編輯下列 Unified Access Gateway 應用裝置組態值。
    選項 預設值和說明
    UAG 名稱 唯一的 Unified Access Gateway 應用裝置名稱。
    備註: 應用裝置名稱可包含最多 24 個字元的文字字串,其中包括字母 (A-Z)、數字 (0-9)、減號 (-) 和句號 (.)。但是,應用裝置名稱不可包含空格。
    地區設定

    指定在產生錯誤訊息時使用的語言設定。

    • en_US 表示美式英文。這是預設值。
    • ja_JP 表示日文
    • fr_FR 表示法文
    • de_DE 表示德文
    • zh_CN 表示簡體中文
    • zh_TW 表示繁體中文
    • ko_KR 表示韓文
    • es 表示西班牙文
    • pt_BR 表示葡萄牙文 (巴西)
    • en_GB 表示英式英文
    加密套件 在多數情況下,不需要變更預設的設定。這是可用來加密用戶端與 Unified Access Gateway 應用裝置之間通訊的密碼編譯演算法。加密設定可用於啟用各種安全性通訊協定。
    TLS 1.0 已啟用 預設為 NO

    選取可啟用 TLS 1.0 安全性通訊協定。

    TLS 1.1 已啟用 預設為 NO

    選取可啟用 TLS 1.1 安全性通訊協定。

    TLS 1.2 已啟用 預設為 YES

    TLS 1.2 安全性通訊協定已啟用。

    TLS 1.3 已啟用 預設為 YES

    TLS 1.3 安全性通訊協定已啟用。

    允許的主機標頭 輸入 IP 位址或主機名稱作為主機標頭值。此設定適用於具有 Horizon 和 Web 反向 Proxy 伺服器使用案例的 UAG 部署。

    對於使用 Horizon 的 UAG 部署,您可能需要提供多個主機標頭。這取決於是否使用了 N+1 虛擬 IP (VIP),以及是否啟用 Blast 安全閘道 (BSG) 和 VMware Tunnel,並將其設定為對外部使用連接埠 443。

    Horizon 用戶端會在主機標頭中傳送用於 Blast 連線要求的 IP 位址。如果將 BSG 設定為使用連接埠 443,則允許的主機標頭必須包含在特定 UAG 之 Blast 外部 URL 中所設定 BSG 主機名稱的外部 IP 位址。

    如果未指定主機標頭值,則依預設會接受用戶端傳送的任何主機標頭值。

    Syslog 類型 從下拉式功能表選取 Syslog 類型。選項包括:
    • UDP:會透過 UDP 與網路以純文字傳送 Syslog 訊息。這是預設的選項。
    • TLS:會在兩個 Syslog 伺服器之間新增 TLS 加密,以讓訊息保持安全。
    • TCP:Syslog 訊息會透過 TCP 進行串流。
    備註: 此設定適用於 Unified Access Gateway 3.7 及更新版本。TCP 選項適用於 Unified Access Gateway 2009 及更新版本。
    Syslog URL 當 Syslog 類型設定為 UDP 或 TCP 時,便會啟用此選項。輸入用來記錄 Unified Access Gateway 事件的 Syslog 伺服器 URL。這個值可以是 URL、主機名稱或 IP 位址。如果您未設定 Syslog 伺服器 URL,則不會記錄任何事件。

    最多可提供兩個 URL。以逗號分隔的 URL。範例:syslog://server1.example.com:514, syslog://server2.example.com:514

    依預設,會記錄 Content Gateway 和 Secure Email Gateway Edge 服務事件。若要針對 Unified Access Gateway 上所設定的通道閘道 Edge 服務在 Syslog 伺服器上記錄事件,管理員必須使用資訊在 Workspace ONE UEM Console 上設定 Syslog。Syslog Hostname=localhost and Port=514

    如需有關 Workspace ONE UEM Console 上 Syslog 的詳細資訊,請參閱適用於 Linux 的 VMware Tunnel 說明文件的設定每一應用程式通道主題。

    Syslog 伺服器 當 Syslog 類型設定為 TLS 時,便會啟用此選項。輸入用來記錄 Unified Access Gateway 事件的 Syslog 伺服器 URL。這個值可以是 URL、主機名稱或 IP 位址。如果您未設定 Syslog 伺服器 URL,則不會記錄任何事件。

    最多可提供兩個 URL。以逗號分隔的 URL。範例:syslog://server1.example.com:514, syslog://server2.example.com:514

    依預設,會記錄 Content Gateway 和 Secure Email Gateway Edge 服務事件。若要針對 Unified Access Gateway 上所設定的通道閘道 Edge 服務在 Syslog 伺服器上記錄事件,管理員必須使用資訊在 Workspace ONE UEM Console 上設定 Syslog。Syslog Hostname=localhost and Port=514

    備註: 這適用於 Unified Access Gateway 3.7 及更新版本。
    Syslog 稽核 URL 輸入用來記錄 Unified Access Gateway 稽核事件的 Syslog 伺服器 URL。這個值可以是 URL、主機名稱或 IP 位址。如果您未設定 Syslog 伺服器 URL,則不會記錄任何稽核事件。

    最多可提供兩個 URL。以逗號分隔的 URL。範例:syslog://server1.example.com:514, syslog://server2.example.com:514

    CA 憑證 新增了 Syslog 伺服器時,便會啟用此選項。請選取有效的 Syslog 憑證授權機構的憑證。
    Syslog 用戶端憑證
    備註: 只有在 Unified Access Gateway 管理員 UI 中新增 Syslog 伺服器時,才會啟用此選項。

    選取採用 PEM 格式的有效 Syslog 用戶端憑證。

    Syslog 用戶端憑證金鑰
    備註: 只有在 Unified Access Gateway 管理員 UI 中新增 Syslog 伺服器時,才會啟用此選項。

    選取採用 PEM 格式的有效 Syslog 用戶端憑證金鑰。

    備註: 使用 PowerShell 部署 Unified Access Gateway 時,如果提供了無效或到期的憑證或金鑰,就無法使用管理員 UI 執行個體。
    Syslog 包括系統訊息 切換,以啟用系統服務 (例如 haproxy、cron、ssh、核心、系統),以將系統訊息傳送至 Syslog 伺服器。

    依預設,此切換會設定為

    或者,也可以透過 PowerShell 部署來設定此功能。如需有關 INI 檔案中設定的詳細資訊,請參閱使用 PowerShell 來部署 Unified Access Gateway 應用裝置

    健全狀況檢查 URL 輸入負載平衡器連線到的 URL,並檢查 Unified Access Gateway 的健全狀況。
    要快取的 Cookie Unified Access Gateway 快取的 Cookie 集。預設值為 [無]。
    工作階段逾時 預設值為 36000000 毫秒。
    靜止模式 啟用可暫停 Unified Access Gateway 應用裝置,達成一致的狀態來執行維護工作
    監控間隔 預設值為 60
    密碼使用期限 目前管理員密碼的有效天數。預設值為 90 天。若要密碼永不到期,請指定為零 (0)。
    要求逾時 指出 Unified Access Gateway 等候要接收要求的時間上限。

    預設值為 3000

    必須以毫秒為單位指定此逾時。

    本文接收逾時 指出 Unified Access Gateway 等候要接收要求本文的時間上限。

    預設值為 5000

    必須以毫秒為單位指定此逾時。

    每個工作階段的連線數目上限 每個 TLS 工作階段允許的 TCP 連線數目上限。

    預設值為 16

    若要讓允許的 TCP 連線數目沒有限制,請將此欄位的值設為 0

    備註: 8 或更低的欄位值會導致 Horizon Client 中發生錯誤。
    用戶端連線閒置逾時 指定關閉連線之前,用戶端連線可以維持閒置的時間 (以秒為單位)。預設值為 360 秒 (6 分鐘)。零值表示無閒置逾時。
    驗證逾時

    等待時間上限 (以毫秒為單位),在此之前必須進行驗證。預設值為 300000。如果指定 0,則表示驗證沒有時間限制。

    時鐘誤差容錯 輸入 Unified Access Gateway 時鐘與相同網路上其他時鐘之間允許的時間差異 (以秒為單位)。預設為 600 秒。
    允許的系統 CPU 上限 指出一分鐘內允許的平均系統 CPU 使用率上限。

    超過設定的 CPU 限制時,將不允許新的工作階段,且用戶端會收到 HTTP 503 錯誤,以指出 Unified Access Gateway 應用裝置暫時超載。此外,超出限制還會允許負載平衡器將 Unified Access Gateway 應用裝置標記為關閉,使得系統可將新要求導向至其他 Unified Access Gateway 應用裝置。

    值以百分比表示。

    預設值為 100%

    加入 CEIP 啟用時,會將客戶經驗改進計劃 (「CEIP」) 資訊傳送給 VMware。如需詳細資料,請參閱加入或退出客戶經驗改進計劃
    啟用 SNMP 切換為可啟用 SNMP 服務。簡易網路管理通訊協定會透過 Unified Access Gateway 收集系統統計資料、記憶體和通道 Edge 服務 MIB 資訊。可用的管理資訊庫 (MIB) 清單如下:
    • UCD-SNMP-MIB::systemStats
    • UCD-SNMP-MIB::memory
    • VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
    SNMP 版本 選取所需的 SNMP 版本。
    備註: 如果您已透過 PowerShell 部署 Unified Access Gateway,已啟用 SNMP 但未透過 PowerShell 或 Unified Access Gateway 管理員 UI 設定 SNMPv3 設定,則依預設會使用 SNMPv1 和 SNMPV2c 版本。

    若要在管理員 UI 中設定 SNMPv3 設定,請參閱#GUID-4E74559B-37E4-44C9-AA2D-55FA325FE114

    若要透過 PowerShell 部署設定 SNMPv3 設定,則必須將特定的 SNMPv3 設定新增至 INI 檔案。請參閱使用 PowerShell 來部署 Unified Access Gateway 應用裝置

    管理員免責聲明文字 根據貴組織的使用者合約原則輸入免責聲明文字。

    若要讓管理員成功登入 Unified Access Gateway 管理員 UI,管理員必須接受合約原則。

    您可以透過 PowerShell 部署或使用 Unified Access Gateway 管理員 UI 來設定免責聲明文字。如需有關 INI 檔案中 PowerShell 設定的詳細資訊,請參閱使用 PowerShell 來部署 Unified Access Gateway 應用裝置

    使用 Unified Access Gateway 管理員 UI 來設定此文字方塊時,管理員必須先登入管理員 UI,然後再設定免責聲明文字。在後續的管理員登入時,系統會顯示該文字供管理員在存取登入頁面之前接受。

    DNS 輸入新增至 /run/systemd/resolve/resolv.conf 組態檔的網域名稱系統位址。其中必須包含有效的 DNS 搜尋位址。按一下「+」可新增新的 DNS 位址。
    DNS 搜尋 輸入新增至 /etc/resolv.conf 組態檔的網域名稱系統搜尋。其中必須包含有效的 DNS 搜尋位址。按一下「+」可新增新的 DNS 搜尋項目。
    NTP 伺服器 網路時間通訊協定同步的 NTP 伺服器。您可以輸入有效的 IP 位址和主機名稱。任何從 systemd-networkd.service 組態或透過 DHCP 取得的每一介面 NTP 伺服器,其優先順序都會高於這些組態。按一下「+」可新增新的 NTP 伺服器。
    後援 NTP 伺服器 用於網路時間通訊協定同步化的後援 NTP 伺服器。如果找不到 NTP 伺服器資訊,將會使用這些後援 NTP 伺服器的主機名稱或 IP 位址。按一下「+」可新增新的後援 NTP 伺服器。
    SSH 公開金鑰 在使用公開-私密金鑰配對選項時,上傳公用金鑰以啟用對 Unified Access Gateway 的根使用者存取權。

    管理員可將多個唯一的公用金鑰上傳至 Unified Access Gateway

    僅在部署期間將下列 SSH 選項設定為 true 時,此欄位才會在管理員 UI 中顯示:啟用 SSH允許使用金鑰配對的 SSH 根使用者登入。如需這些選項的相關資訊,請參閱使用 OVF 範本精靈來部署 Unified Access Gateway

  4. 按一下儲存

下一步

針對 Unified Access Gateway 部署時所搭配的元件設定 Edge Service 設定。設定 Edge 設定之後,請設定驗證設定。