本地安裝包-uag-29deploy config guide在被替代之前支持列出每個(gè)產(chǎn)

? VMware,Inc.保留所利。和商標(biāo)信息VMware,Inc.PaloAlto,CA

融科資訊中心C座南8層

市浦東新區(qū)浦東南路999號(hào)新梅聯(lián)合廣場23樓

廣州廣州市天河北路233中信廣場7401部署和配置VMwareUnifiedAccess 準(zhǔn)備部署VMwareUnifiedAccess UnifiedAccessGateway作為安全網(wǎng)關(guān)使用UnifiedAccessGateway代替虛擬網(wǎng)絡(luò)8UnifiedAccessGateway系統(tǒng)和網(wǎng)絡(luò)要求8基于DMZ的UnifiedAccessGateway設(shè)備的規(guī)則9UnifiedAccessGateway負(fù)載平衡拓?fù)?1具有多個(gè)網(wǎng)UnifiedAccessGatewayDMZ設(shè)計(jì)零停機(jī)時(shí)間升級(jí)UnifiedAccessGateway設(shè)備OVF模板向?qū)Р縐nifiedAccessGatewayOVF模板向?qū)Р縐nifiedAccessGatewayUnifiedAccessGatewayUnifiedAccessGateway系統(tǒng)設(shè)置更新SSL服務(wù)器簽名使用 部署UnifiedAccess 部署UnifiedAccessGateway的系統(tǒng)要求 部署UnifiedAccessGateway設(shè)備UnifiedAccessGateway部署用例HorizonView和具有內(nèi)部部署基礎(chǔ)架HorizonCloud進(jìn)行部署Horizon設(shè)置BlastTCPUDPURL配置選項(xiàng)作為反向部署配置反向內(nèi)部部署的舊版Web應(yīng)用程序的單點(diǎn)登錄部署橋接部署方案配置橋接設(shè)置配置用于橋接的Web反向UnifiedAccessGateway服務(wù)提供程序元數(shù)據(jù)文件添加VMwareIdentityManager服務(wù)使用AirWatchTunnel部署42AirWatch的加密鏈路部署42中繼端點(diǎn)部署模型43AirWatch的每應(yīng)用隧道部署為AirWatch配置每應(yīng)用隧道和設(shè)置使用TLS/SSL配置UnifiedAccess 為UnifiedAccessGateway設(shè)備配置TLS/SSL選擇正確的類型將文件轉(zhuǎn)換為單行PEM格式替換UnifiedAccessGateway的默認(rèn)TLS/SSL服務(wù)器更改用于TLS或SSL通信的安全協(xié)議和套件在DMZ中配置驗(yàn)證在UnifiedAccessGateway設(shè)備上配置或智能卡驗(yàn)證在UnifiedAccessGateway上配 驗(yàn)證獲取頒發(fā)機(jī)構(gòu)在UnifiedAccessGateway中配置RSASecurID驗(yàn)證UnifiedAccessGatewayRADIUS配置RADIUS驗(yàn)證在UnifiedAccessGateway中配置RSA自適應(yīng)驗(yàn)證在UnifiedAccessGateway中配置RSA自適應(yīng)驗(yàn)證UnifiedAccessGatewaySAML元數(shù)據(jù)創(chuàng)建由其他服務(wù)提供程序使用的SAML驗(yàn)證器將服務(wù)提供程序SAML元數(shù)據(jù)到UnifiedAccessGatewayUnifiedAccessGateway部署故障排除已部署服務(wù)的運(yùn)行狀況部署錯(cuò)誤故障排除UnifiedAccessGateway設(shè)備收集日志索引部署和配置VMwareUnifiedAccessUnifiedAccessGateway提供了有關(guān)設(shè)計(jì)VMwareHorizon?、VMwareIdentityManagerVMwareAirWatch?部署以使用VMwareUnifiedAccessGateway?對您的組織的應(yīng)用程序進(jìn)行安全外部的信息。,南還提供了部署UnifiedAccessGateway虛擬設(shè)備以及在部署后更改配置設(shè)置的說明目標(biāo)讀數(shù)據(jù)中心操作且經(jīng)驗(yàn)豐富的Linux和Windows系統(tǒng)管理員編寫的。1準(zhǔn)備部署VMwareUnifiedAccessGateway1注意VMwareUnifiedAccessGateway?以前稱VMwareAccessPoint。 UnifiedAccessGateway作為安全網(wǎng)UnifiedAccessGateway是通常安裝在區(qū)(DMZ)中的設(shè)備。UnifiedAccessGateway用于確保僅經(jīng)過嚴(yán)UnifiedAccessGatewayDMZ而設(shè)計(jì)。它實(shí)施了以下強(qiáng)化設(shè)置。n的Linux內(nèi)核和軟件修補(bǔ)程序nInternet和內(nèi)聯(lián)網(wǎng)流量的多網(wǎng)卡支 n使用UnifiedAccessGateway代替虛擬網(wǎng)n控制管理器。UnifiedAccessGateway自動(dòng)應(yīng)用規(guī)則。UnifiedAccessGateway可識(shí)別進(jìn)行內(nèi)部連接所需的用戶和尋址。同樣如此，因?yàn)榇蟛糠衷试S管理員為每個(gè)用戶或用戶組單獨(dú)配置網(wǎng)絡(luò)連接規(guī)則。一開始，使用沒有什么問題，但需要投入大量的管理工作以所需的規(guī)則。 UnifiedAccessGateway，在啟動(dòng)HorizonClient時(shí)，經(jīng)過驗(yàn)證的用戶位于其View環(huán)境中，并且可以控制對其桌面和應(yīng)用程序的。要求在啟動(dòng)HorizonClient之前，必須首先設(shè)置軟件并單n性能。UnifiedAccessGatewayUnifiedAccessGateway中，可(TransportLayerSecurityTLS)的情況下被視為是安全或IPsec（而不是SSL/TLS）的也可以良好地使用View桌面協(xié)議。UnifiedAccessGateway系統(tǒng)和網(wǎng)絡(luò)要VMware行說明以了解有關(guān)兼容性的信息，同時(shí)還請參閱《VMware產(chǎn)品互操作性列表》，其為 ESXiServer注意認(rèn)以更改這些設(shè)置，但VMware建議您不要將CPU、內(nèi)存或磁盤空間更改為小于默認(rèn)OVF設(shè)置的值。 nIP地址（推薦）nDNS服務(wù)器的IP地址nroot用戶的 admin用戶 WindowsHyper-V裝UnifiedAccessGateway設(shè)備。受支持的服務(wù)器為WindowsServer2012R2和WindowsServer2016您可以使用一個(gè)、兩個(gè)或接口，并且UnifiedAccessGateway要求每個(gè)接口具有單獨(dú)的靜態(tài)IP地址。n(ProofOfConceptPOC或測試。在使用一個(gè)網(wǎng)卡時(shí)，外部、內(nèi)部和管理流n在使用n使用接口是最安全的選項(xiàng)。在使用三個(gè)網(wǎng)卡時(shí)，外部、內(nèi)部和管理流量均位于自己的子網(wǎng)中IP池選項(xiàng)卡。或者，如果您使用的vSphereWebClient，則可以創(chuàng)建網(wǎng)絡(luò)協(xié)議配置文件。轉(zhuǎn)到數(shù)據(jù)中心器中使用管理UIUnifiedAccessGateway時(shí)，管理UI服務(wù)不會(huì)啟動(dòng)。輪換UnifiedAccessGateway的日志。您必須使syslog來保留這些日志條目。65UnifiedAccessGateway設(shè)備收集日志”?；贒MZ的UnifiedAccessGateway設(shè)備的規(guī)程中，UnifiedAccessGateway服務(wù)的默認(rèn)設(shè)置是在特定網(wǎng)絡(luò)端口進(jìn)行偵聽。 DMZ。 僅接受DMZ內(nèi)的服務(wù)產(chǎn)生的流量。UnifiedAccessGateway設(shè)備。如果您使用Blast協(xié)議，則必須在中打開端口8443，但是您也可以為Blast配置端口443。端門源目說UnifiedAccessWeb流量、HorizonClientXML-API、Horizon隧道和BlastExtremeUnifiedAccessUDP（可選UnifiedAccessBlastExtreme（可選UnifiedAccessBlastTCPUnifiedAccessPCoIP（可選UnifiedAccessHorizonHorizonClientXML-TCPUnifiedAccess桌面和RDS主BlastTCPUnifiedAccess桌面和RDS主PCoIP（可選UnifiedAccess桌面和RDS主USB重定向的框架UnifiedAccess桌面和RDS主MMR管理UnifiedAccess管理界注意UDP端口均要求允許轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)和回復(fù)數(shù)據(jù)報(bào) 1?1DMZ拓?fù)渲蠻nifiedAccess網(wǎng)

ESXi主

UnifiedAccessGateway負(fù)載平衡拓器。UnifiedAccessGateway設(shè)備可以使用為HTTPS配置的標(biāo)準(zhǔn)第負(fù)載平衡解決方案。器可能會(huì)根據(jù)可用性以及負(fù)載平衡器識(shí)別的每個(gè)服務(wù)器實(shí)例上的當(dāng)前會(huì)話數(shù)進(jìn)行選擇。位于企業(yè)內(nèi)部的服務(wù)器實(shí)例通常具有負(fù)載平衡器以支持內(nèi)部。在使用UnifiedAccessGateway時(shí)，您可以將或者，您也可以將一個(gè)或多個(gè)UnifiedAccessGateway設(shè)備指向單個(gè)服務(wù)器實(shí)例。在這兩種方法中，將在中的一個(gè)或多個(gè)UnifiedAccessGateway設(shè)備前面使用負(fù)載平衡器1?2位于負(fù)載平衡器后面的UnifiedAccessGateway設(shè)服務(wù)RDS主VMwareHorizon 如果該驗(yàn)證嘗試成功，則從HorizonClient中建立一個(gè)或多個(gè)輔助連接。這些輔助連接可能包括： BlastExtreme顯示協(xié)議（TCP443、TCP8443、UDP443UDP PCoIP顯示協(xié)議（TCP443、UDP443）UnifiedAccessGateway可以根據(jù)經(jīng)過驗(yàn)證的用戶會(huì)話輔助協(xié)議。UnifiedAccessGateway的一個(gè)重要安全功能是，只有在流量是經(jīng)過驗(yàn)證的用戶產(chǎn)生的流量時(shí)，UnifiedAccessGateway才會(huì)將流量轉(zhuǎn)發(fā)到這些協(xié)議并DMZ中丟棄。連接將失敗。如果未正確配置負(fù)載平衡器，則通常會(huì)出現(xiàn)錯(cuò)誤地路由輔助協(xié)具有多個(gè)網(wǎng)卡的UnifiedAccessGatewayDMZ設(shè)LAN上打開的端口數(shù)并將不同類型的網(wǎng)絡(luò)流量分開，則可以顯著提高安全性。優(yōu)點(diǎn)主要在于在深度防御DMZ安全設(shè)計(jì)策略中將不同類型的網(wǎng)絡(luò)流量分開并?？梢栽贒MZ中實(shí)施單獨(dú)的物理交換機(jī)DMZ中使用多LAN或作VMwareNSX管理DMZ的一部分以實(shí)現(xiàn)該功能。DMZ最簡UnifiedAccessGateway部署是使用單個(gè)網(wǎng)卡，所有網(wǎng)絡(luò)流量將合并到單個(gè)網(wǎng)絡(luò)上。來自量通過內(nèi)部轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)上的資源。UnifiedAccessGateway將放棄未的流量。1?3UnifiedAccessGateway單網(wǎng)網(wǎng)內(nèi)單個(gè)網(wǎng)內(nèi)單個(gè)組合網(wǎng)Gateway設(shè)備負(fù)載平衡UnifiedAccess1?4UnifiedAccessGateway雙網(wǎng)網(wǎng)內(nèi)前端網(wǎng)內(nèi)前端網(wǎng)Gateway設(shè)負(fù)載平衡過驗(yàn)證的后端UnifiedAccessGateway設(shè)備在雙網(wǎng)卡部署中，UnifiedAccessGateway必須對通過內(nèi)部進(jìn)入內(nèi)部網(wǎng)絡(luò)的流量進(jìn)行。未的流量不會(huì)傳送到該后端網(wǎng)絡(luò)上。管理流量（UnifiedAccessGateway的RESTAPI）僅位于該第二個(gè)網(wǎng)絡(luò)UnifiedAccessGateway。它4層規(guī)則與第7UnifiedAccessGateway安全功能合并在一起。同樣，如果錯(cuò)誤地將面Internet的配置為TCP9443Internet用戶在雙網(wǎng)卡部署中，可以在DMZ中的后端網(wǎng)絡(luò)上放置額外的基礎(chǔ)架構(gòu)系統(tǒng)（如DNS服務(wù)器、RSASecurID置在DMZ中，可以防范從受到的前端系統(tǒng)中的面向Internet的LAN發(fā)出的第2層，并有效地減少Internet的顯示協(xié)議流量與流入和流出后端系統(tǒng)的流量合并在一起。在使用兩個(gè)或網(wǎng)卡時(shí)，流量分布1?5UnifiedAccessGateway三網(wǎng)負(fù)載平衡前負(fù)載平衡前端網(wǎng)Gateway設(shè)備管理網(wǎng)內(nèi)網(wǎng)將驗(yàn)證開的三網(wǎng)卡AccessGateway設(shè)零停機(jī)時(shí)間升通過零停機(jī)時(shí)間升級(jí)，您可以在用戶沒有任何停機(jī)時(shí)間的情況下升級(jí)UnifiedAccessGateway。在升級(jí)到負(fù)載平衡器的請求將被發(fā)送到負(fù)載平衡器背后的下一UnifiedAccessGateway設(shè)備。 URLUnifiedAccessGateway 在負(fù)載平衡器中檢查設(shè)備的運(yùn)行狀況。鍵入RESTAPI命令GET:HTTP/1.1503。該新版本的UnifiedAccessGateway設(shè)備添加到負(fù)載平衡器。部署UnifiedAccessGateway設(shè) 2012和2016Hyper-V角色。nvSphereClientvSphereWebClientUnifiedAccessGatewayOVF模板。將提示您輸入基本設(shè)置，包括網(wǎng)卡部署配置、IP地址和管理界面。在部署OVF后，到UnifiedAccessGateway管理用戶界面以配置UnifiedAccessGateway系統(tǒng)設(shè)置，在多種用Edge服務(wù)，然后在DMZ中配置驗(yàn)證。請參閱第18頁，“使用OVF模板向?qū)Р渴餟nifiedAccessGateway”。n可以使用PowerS 部署UnifiedAccessGateway，并在多種用例中設(shè)置安全Edge服務(wù)。請ZIP文件，為您的環(huán)境配置PowerS 第23頁，“使用PowerS部署UnifiedAccessGateway設(shè)備”。注意AirWatch環(huán)境UnifiedAccessGateway設(shè)備用于每應(yīng)用隧道和部署時(shí)，您可以WindowsHyper-V虛擬機(jī)上安裝UnifiedAccessGateway。n17頁，“使用OVF模板向?qū)Р渴餟nifiedAccessGateway”n20UnifiedAccessGateway”n第22頁，“更新SSL服務(wù)器簽名”使用OVF模板向?qū)Р渴餟nifiedAccess理UI中，配置桌面和應(yīng)用程序資源與驗(yàn)證方法以在DMZ中使用它們。要登錄到管理UI頁面，請轉(zhuǎn)到OVFUnifiedAccess注意vSphereClient，請確認(rèn)為每個(gè)網(wǎng)絡(luò)分配了一IP池。vCenterServer中使用本機(jī) 從VMware（為htt WebClient。選 菜單命vSphere 選擇文件部署OVF模板vSphereWeb 選擇作為虛擬機(jī)的有效父對象的任 對象（如數(shù)據(jù)中心、文件夾、群集資源池或主機(jī)），然后從操作菜單中選擇部署OVF模板選 說 為UnifiedAccessGateway虛擬設(shè)備輸入一個(gè)名稱。該名稱必須是 為虛擬設(shè)備選擇一個(gè)位置 對于IPv4網(wǎng)絡(luò)，您可以使用一個(gè)、兩個(gè)或接口(NIC)。對于IPv6網(wǎng)絡(luò)，可以使用三個(gè)網(wǎng)卡。UnifiedAccessGateway要求每個(gè)網(wǎng)卡具有一個(gè)單獨(dú)的靜態(tài)IP地址。許多DMZ實(shí)施使用不同的網(wǎng)絡(luò)保護(hù)不同的流量類型。根據(jù)UnifiedAccessGateway部署所在的DMZ的網(wǎng)絡(luò)設(shè)計(jì)對其進(jìn)行配置主機(jī)/群 選擇要在其中運(yùn)行虛擬設(shè)備的主機(jī)或群集格式 對于評(píng)估和測試環(huán)境，請選擇精簡備格式。對于生產(chǎn)環(huán)境，選擇雜備格式之一。厚置備置零是一種厚擬磁盤格式，它支持群集能（容錯(cuò)），但所需的創(chuàng)建時(shí)間比其他類的虛擬磁盤長得多。選 說設(shè)置網(wǎng)絡(luò)/網(wǎng)絡(luò)映 如果您使用的是vSphereWebClient，可以在“設(shè)置網(wǎng)絡(luò)”頁面上將每個(gè)卡映射到一個(gè)網(wǎng)絡(luò)，并指定協(xié)議設(shè)置將OVF模板中使用的網(wǎng)絡(luò)映射到您中的網(wǎng)絡(luò)從IP協(xié)議下拉列表中選擇“IPv4”或“IPv6在表格(Internet)中選擇第一行，然后單擊向下箭頭選擇目標(biāo)網(wǎng)絡(luò)。如果您選擇“IPv6”作為IP協(xié)議，則必須選擇具備IPv6功能的網(wǎng)絡(luò)。選擇此行后，您也可以在窗口的下半部分輸入DNS服務(wù)器的IP地址、如果您使用多個(gè)網(wǎng)卡，請選擇下一行(MaaeentNetwr)，選擇目DSP掩碼。如果您僅使用一個(gè)網(wǎng)卡，所有行將映射到同一個(gè)網(wǎng)絡(luò)如果您有第三個(gè)網(wǎng)卡，還應(yīng)選擇第三行并完成設(shè)置如果您僅使用兩個(gè)網(wǎng)卡，則對于第三行(BackendNetwork)，請選擇用ManagementNetwork的相同網(wǎng)絡(luò)對于vSphereWebClient，在完成向?qū)Ш?，將自?dòng)創(chuàng)建一個(gè)網(wǎng)絡(luò)協(xié)議配置文如果您使用本機(jī)vSphereClient，可以在“網(wǎng)絡(luò)映射”頁面上將每個(gè)網(wǎng)卡映射到一個(gè)網(wǎng)絡(luò)，但此頁面沒有用于指定DNS服務(wù)器、網(wǎng)關(guān)和網(wǎng)絡(luò)掩碼地址的自定義網(wǎng)絡(luò)屬性 “屬性”頁面上的文本框特定于Uiedcesaea，其他類的虛擬設(shè)備可能并不需要。向?qū)ы撁嫔系奈谋緦γ總€(gè)設(shè)置進(jìn)行了說明。如果在向?qū)в覀?cè)截?cái)嗔嗽撐谋?，請從右下角拖以調(diào)整窗口大小。nIPMode:STATICV4/STATICV6。如果您輸STATICV4，則必須輸入n以逗號(hào)分隔的格{tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu的轉(zhuǎn)發(fā)規(guī)則列表n1ETH0IPv4地址。如果您為網(wǎng)卡模式輸入了STATICV4，則應(yīng)輸入網(wǎng)卡的IPv4地址。 以逗號(hào)分隔的格式為ipv4-network-address/bits.ipv4-gateway-的網(wǎng)卡1eth0IPv4自定義路由列n網(wǎng)卡1(eth0)IPv6地址。如果您為網(wǎng)卡模式輸入了STATICV6，則應(yīng)輸入網(wǎng)卡的IPv6地址。nDNS服務(wù)器地址。為UnifiedAccessGateway設(shè)備輸入服務(wù)器的以IPv4或IPv6地址。IPv4。IPv6fc00:10:112:54::1n網(wǎng)卡2(eth1)IPv4地址。如果您為網(wǎng)卡模式輸入了STATICV4，則應(yīng)輸入網(wǎng)卡的IPv4地址。n以逗號(hào)分隔的格ipv4-network-address/bits.ipv4-gateway-的網(wǎng)卡2eth1IPv4自定義路由列n網(wǎng)卡2eth1IPv6地址。如果您為網(wǎng)卡模式輸入了STATICV6，則應(yīng)輸入網(wǎng)卡的IPv6地址。n網(wǎng)卡3eth2IPv4地址STATICV4，則應(yīng)輸入網(wǎng)卡的IPv4地址。 以逗號(hào)分隔的格式為ipv4-network-address/bits.ipv4-gateway-的網(wǎng)卡3eth2IPv4自定義路由列n網(wǎng)卡3eth2IPv6地址STATICV6，則應(yīng)輸入網(wǎng)卡的IPv6地址。n選項(xiàng)。輸入該虛擬機(jī)的root用戶的，以及管理控制臺(tái)并啟用RESTAPI的管理員用戶的。n選項(xiàng)。為登錄到管理UI配置UnifiedAccessGateway的管理用戶和可以啟用RESTAPI權(quán)限的管理員用戶輸入。其他設(shè)置均為可選或已輸入默認(rèn)值的設(shè)置上的控制臺(tái)，以查看在系統(tǒng)引導(dǎo)期間顯示的控制臺(tái)消息。/var/log/boot.msg文件中也提供了這些消息的登錄到UnifiedAccessGateway管理員用戶界面(UserInterface,UI)，然后配置允許從Internet中通過URL的格式為https://<mycoUnifiedAccessGa 如果您無法UI登錄屏幕，請檢查虛擬機(jī)OVAIP地址。如果沒有IP地址，請使UIvami命令重新配置網(wǎng)卡。運(yùn)行命c(diǎn)d/opt/vmware/share/vami"，然后運(yùn)行命令"./vami_config_net"。從管理配置頁面中配置UnifiedAccess n用于Horizon、反向、每應(yīng)用隧道以及AirWatch設(shè)置的Edge服務(wù)設(shè)置。n用于RSASecurID、RADIUS、X.509以及RSA自適應(yīng)驗(yàn)證的驗(yàn)證設(shè)置nSAML提供程序和服務(wù)提供程序設(shè)置n橋接設(shè)置配 n UnifiedAccessGatewayUnifiedAccessGateway管理員用戶界URL使用的格式 配置的管理員用戶名和。 選 默認(rèn)值和說區(qū)域設(shè) 指定在生成錯(cuò)誤消息時(shí)使用的區(qū)域設(shè)置nen_US表示英語nja_JP表示日語nfr_FR表示法語nde_DE表示德語 表示簡體中文nzh_TW表示繁體中文nko_KR表示韓語 是在部署設(shè)備時(shí)設(shè)置的。您可以重置 長度必須至少為8個(gè)數(shù)字和一個(gè)特殊字符，包括@$*套大多數(shù)情況下，不需要更改默認(rèn)設(shè)置。這是用于加密客UifiedAccessateway設(shè)備之間的通信的加密算法。設(shè)置用于啟用各種不同的安全協(xié)議。遵順默認(rèn)值為“否”。選擇是以啟用TLS列表順序控制TLS1.0已啟 默認(rèn)值為“否”。選擇是以啟用TLS1.0安全協(xié)議TLS1.1已啟 默認(rèn)值為“是”。將啟用TLS1.1安全協(xié)議TLS1.2已啟 默認(rèn)值為“是”。將啟用TLS1.2安全協(xié)議SyslogURL 輸入用于記錄UnifiedAccessGateway事件的Syslog服務(wù)器URL。該值可以是URL、主機(jī)名或IP地址。如果未設(shè)置syslog服務(wù)器URL，則不會(huì)記錄任何事件。輸入為syslog://s 運(yùn)行狀況檢查 輸入負(fù)載平衡器連接到的URL并檢查UnifiedAccessGateway的運(yùn)行狀況例如 要緩存 UnifiedAccessGateway緩存的一 。默認(rèn)值為“無”IP模 選擇靜態(tài)IP模式STATICV4或STATICV6會(huì)話超 默認(rèn)值 毫秒時(shí)間間默認(rèn)值為60 執(zhí)行升級(jí)時(shí)，只有在將UnifiedAccessGateway與負(fù)載平衡器一起使用的情時(shí)間間默認(rèn)值為60請求超 默認(rèn)設(shè)置為3000正文接收超 默認(rèn)為5000為部署UnifiedAccessGateway時(shí)使用的組件配置Edge服務(wù)設(shè)置。在配置Edge設(shè)置后，請配置驗(yàn)證設(shè)置更新SSL服務(wù)器簽名 在“鏈”行中，單擊選擇并瀏覽到鏈文件3使用PowerS部署UnifiedAccessGateway3可以使用PowerS 部署UnifiedAccessGateway。PowerS 在使用PowerS 確令行語法。這種方法還允許在部署時(shí)應(yīng)用高級(jí)設(shè)置，例如，TLS/SSL服務(wù)器配置。 使用PowerS部署UnifiedAccessGateway的系統(tǒng)要 vCenterServervSphereESX 您必須從http 您必須選擇要使用的vSphere數(shù)據(jù)和網(wǎng)絡(luò)。子網(wǎng)掩碼、網(wǎng)關(guān)，等等。部署UnifiedAccessGateway時(shí)需使用這些值，因此請確保這些值正確無誤。使用PowerS部署UnifiedAccessGateway設(shè) 圖3?1PowerS示該zip文件位于 注意環(huán)境中的多個(gè)部UnifiedAccessGateway都有其唯一.INI文件。您必須.INI文件中相應(yīng)地更改IP地址和名稱參數(shù)，才能部署多個(gè)設(shè)備。 ds=LocalDisk1netInternet=VMNetworknetManagementNetwork=VMNetworknetBackendNetwork=VMNetworkproxyDestinationUrl=#ForIPv4,proxydestinationURL=#ForIPv6,proxyDEstinationUrl=[fc00:10:112:54::220]set-executionpolicy-scopecurrentuserunblock-file-path.\apdeploy.ps1-iniFile注意注意如果提示您為目標(biāo)設(shè)備添 UnifiedAccessGateway部署用 AirWatch部署UnifiedAccessGateway。 第32頁，“作為反向部署 使用HorizonView和具有內(nèi)部部署基礎(chǔ)架構(gòu)的HorizonCloud進(jìn)行您可以使HorizonView和具有內(nèi)部部署基礎(chǔ)HorizonCloudUnifiedAccessGateway。對于部部署的HorizonView或HorizonCloud實(shí)現(xiàn)統(tǒng)一管理。UnifiedAccessGateway為企業(yè)提供了強(qiáng)大的用戶安全保障，并且還能精確控制對他們已獲的桌面和UnifiedAccessGateway虛擬設(shè)備還確?？梢詫⒔?jīng)過驗(yàn)證的用戶產(chǎn)生的流量僅傳送到用戶 您必須驗(yàn)證使HorizonUnifiedAccessGateway的要求 確保顯示協(xié)議能夠自動(dòng)通過UnifiedAccessGateway作為。BlastExternalURL和pcoipExternalURL UnifiedAccessGateway忽略未 n可擴(kuò)展。您可以UnifiedAccessGatewayViewView連接服務(wù)器前的負(fù)載平衡器進(jìn)行連接，從而增強(qiáng)高可用性。它作為HorizonClientView連接服務(wù)器之間的4?1指向負(fù)載平衡UnifiedAccessGateway設(shè)網(wǎng)

ESXi主

4?2HorizonServerUnifiedAccessGateway設(shè)IdentityWorkspaceONE

服

ActiveDirectory用戶名 Kiosk模式。有關(guān)Kiosk模式的詳細(xì)信息，請參見Horizon文檔 RSASecurID雙因素驗(yàn)證，通過了RSAforSecurID正式認(rèn)證 通過一系列第、雙因素安全供應(yīng)商解決方案實(shí)現(xiàn)的RADIUS 智能卡、CAC或PIVX.509用戶 進(jìn)行通信。該通信作為通過View連接服務(wù)器的，該服務(wù)器可以直接ActiveDirectory。在根據(jù)驗(yàn)證策略對用戶會(huì)話進(jìn)行驗(yàn)證后，UnifiedAccessGateway可以將信息請求以及桌面和應(yīng)用程序啟動(dòng)請求View連接服務(wù)器。UnifiedAccessGateway還管理其桌面和應(yīng)用程序協(xié)議處理程序，以允許它們僅轉(zhuǎn)UnifiedAccessGateway本身可以處理智能卡驗(yàn)證。這包括一些選項(xiàng)，UnifiedAccessGateway使用這些選項(xiàng)與狀態(tài)協(xié)議(OnlineStatusProtocol,OCSP)服務(wù)器進(jìn)行通信，以檢查X.509吊銷HorizonVMwareHorizonView組件，UnifiedAccessGateway設(shè)備View安全服務(wù)器以前擔(dān)任選 說 默認(rèn)情況下，設(shè)置為View。UnifiedAccessGateway可與使用ViewXML協(xié)議的服務(wù)器進(jìn)行通信，例如View連接服務(wù)器、HorizonCloud和HorizonCloudwithOn-PremisesInfrastructure。連接服務(wù)器 目標(biāo) 輸入HorizonServer列表如果未提供列表，則必須由受信任的CA頒發(fā)服務(wù)器。輸入十六進(jìn)制數(shù)字。例如，sha1=C389A219DC7A482B851C81EC5E8F6A3C33F295C3選 說選擇要使用 驗(yàn)證方法默認(rèn)設(shè)置是使用用戶名 的直 驗(yàn)證。將在下拉菜單中列出UnifiedAccessGateway中配置 驗(yàn)證方法要配置在第一個(gè)驗(yàn)證嘗試失敗應(yīng)用第二種驗(yàn)證方法證請執(zhí)行以下操作從第一個(gè)下拉菜單中選擇一種驗(yàn)證方法單擊+并選擇“和”或“或”從第三個(gè)下拉菜單中選擇第二種驗(yàn)證方法要要求用戶通過兩種驗(yàn)證方法行驗(yàn)證，請?jiān)谙吕酥袑⒒蚋臑椤昂汀?。運(yùn)行狀況檢查 如果配置了一個(gè)負(fù)載平衡器，請輸入該負(fù)載平衡器連接時(shí)使用的URL并檢UnifiedAccessGateway設(shè)備運(yùn)行狀況SAMLSP 輸入ViewXMLAPI 的SAML服務(wù)提供程序名稱。該名稱必須與配置的服務(wù)提供程序元數(shù)據(jù)的名稱相匹配，或者是特殊值DEMO。PCOIP已啟 將“否”更改為是以指定是否啟用PCoIP安全網(wǎng)關(guān)選 說外部外部UnifiedAccessGateway設(shè)備的外部URL。客戶端使用該URLPCoIP安全網(wǎng)關(guān)建立安全連接。該連接用于傳輸PCoIP流量。默認(rèn)值UnifiedAccessGatewayIP地址和端口4172 將“否”更改為是，以使UnifiedAccessGateway設(shè)備能夠支持智能卡用戶ActiveDirectory域用戶帳戶。 要使用Blast安全網(wǎng)關(guān)，請將“否”更改為是Blast外部 輸入最終用戶從Web瀏覽器中通過Blast安全網(wǎng)關(guān)建立安全連接時(shí)使用。UnifiedAccessGateway設(shè)備FQDNURL。輸入。UDP隧道服務(wù)器已啟 如果HorizonClient使用的網(wǎng)絡(luò)條件較差，請啟用此選項(xiàng) 通過View安全網(wǎng)關(guān)建立隧道連接。隧道用于傳輸RDP、USB和多重定向(MultimediaRedirection,MMR)流量。隧道外部輸入U(xiǎn)nifiedAccessGateway設(shè)備URL。如果未設(shè)置，則使模)表達(dá)式。對于View連接服務(wù)器，使用UnifiedAccessGateway設(shè)備時(shí)，匹配Windows用戶將“否”更改為是以匹配RSASecurID和Windows用戶名。如果設(shè)置“是”，則將securID-auth設(shè)置為true并強(qiáng)制實(shí)施securIDWindows戶名匹配網(wǎng)關(guān)位將“否”更改為是以啟用從中發(fā)出請求的位置。網(wǎng)關(guān)位置是由安全服務(wù)器UnifiedAccessGateway設(shè)置的。該位置可以是外部位置，也可以是內(nèi)部置WindowsSSO將“否”更改為是以啟用RADIUS驗(yàn)證。Windows登錄使用在首次功的RADIUS請求中使用的憑據(jù)主機(jī)條輸入要添加到/etc/hosts文件中的主機(jī)條目的逗號(hào)分隔列表。每個(gè)條目均按序包含一個(gè)IP、主機(jī)名和可選主機(jī)名別名，并且以空格分隔。例如 ,example-alias7BlastTCPUDPURL的網(wǎng)速和數(shù)據(jù)包丟失。在UnifiedAccessGateway中，您可以配置由BEAT協(xié)議使用的端口。過Blast外部URL屬性進(jìn)行設(shè)置。4?1BEAT端口Blast外部由客戶端使用的TCP端由客戶端使用的UDP端說這是默認(rèn)格式，需要允許從Internet連接到使用此格式4?1BEAT（續(xù)Blast外部由客戶端使用的TCP端由客戶端使用的UDP端口說

指定，或者通過經(jīng)由PowerS命令輸入的INI文件指定。作為反向部 UnifiedAccessGateway設(shè)備通常部署在網(wǎng)絡(luò) 區(qū)(DMZ)中。通過使用VMwareIdentityManager，向運(yùn)行。UnifiedAccessGateway還允許WorkspaceONE 以啟動(dòng)Horizon應(yīng)用程序。 4?3VMwareIdentityManagerUnifiedAccessGateway設(shè)IdentityWorkspaceONE

服

作為解決方案，UnifiedAccessGateway可以應(yīng)用程序門戶以允許用戶單點(diǎn)登錄和其資源。您可以在Edge服務(wù)管理器上啟用驗(yàn)證反向。目前，支持RSASecurID和RADIUS驗(yàn)證方法。注意注意在Web反 可以將RADIUS和RSASecurID作為驗(yàn)證方法以支持基于瀏覽器的客戶端。您可以配置反向的多個(gè)實(shí)例。4?4已配置的多注意注意 VMwareIdentityManager服務(wù)必須將完全限定(FullyQualifiedName,FQDN)作為主機(jī)名 選 說將Edge服務(wù)標(biāo)識(shí)符設(shè)置為Web反 目標(biāo)目標(biāo)輸入Web應(yīng)用程序的地址proxyDestinationURL輸入可接受的SSL服務(wù)列表。如果目標(biāo)目標(biāo)輸入Web應(yīng)用程序的地址proxyDestinationURL輸入可接受的SSL服務(wù)列表。如果包通配符*，則允許使用任 是sha1、default或md5?！皒x”是十六進(jìn)制數(shù)字。例如，sha=C389A219DC7A482B851C81EC5E8F6A3C33F295C3如果未配置，則必須由受信任的CA頒發(fā)服務(wù)器模 輸入轉(zhuǎn)發(fā)到目標(biāo)URL的匹配URI路徑。例如，輸入(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))注意在配置多個(gè)反向時(shí)，提供主機(jī)模式的主機(jī)名8。選說驗(yàn)證方默認(rèn)設(shè)置是使用用戶名和的直通驗(yàn)證。將在下拉菜單中列出UnifiedAccessGateway中配置 驗(yàn)證方法運(yùn)行狀況檢查如果配置了一個(gè)負(fù)載平衡器，請輸入該負(fù)載平衡器連接時(shí)使用的URL并檢UnifiedAccessGateway設(shè)備運(yùn)行狀況SAML輸入ViewXMLAPI的SAML服務(wù)提供程序名稱。該名稱必須與配置服務(wù)提供程序元數(shù)據(jù)的名稱相匹配，或者是特殊值DEMO激活輸入VMwareIdentityManager服務(wù)生成并導(dǎo)入到UnifiedAccess系的外部默認(rèn)值為UnifiedAccessGateway主機(jī)URL和端口443。您可以輸入其他URL。輸入時(shí)應(yīng)采用以下格式模輸入轉(zhuǎn)發(fā)到目標(biāo)URL的匹配URI路徑不安全輸入登錄頁面的不安全URL模式。這是靜態(tài)內(nèi)驗(yàn)證輸入驗(yàn)證名稱登錄重如果用戶連接到受保護(hù)的URL，請輸入重定向URL主機(jī)模機(jī)模式在配置Web反向?qū)嵗龝r(shí)是可選的。主機(jī)條輸入要添加到/etc/hosts文件中的主機(jī)條目的逗號(hào)分隔列表。每個(gè)條目均按序包含一個(gè)IP、主機(jī)名和可選主機(jī)名別名，并且以空格分隔。例如,example-alias注注意“不安全模式”、 內(nèi)部部署的舊版Web應(yīng)用程序的單點(diǎn)登錄部程序。VMwareIdentityManager可作為提供程序并將SSO提供給SAML應(yīng)用程序。當(dāng)用戶要求KCD或基于標(biāo)頭驗(yàn)證的舊版應(yīng)用程序時(shí)，IdentityManager將對該用戶進(jìn)行驗(yàn)證。含有用戶信息的SAML圖4?5UnifiedAccessGateway橋接模SSO協(xié)議SSO協(xié)議連接到SAML移動(dòng)和云應(yīng)用程應(yīng)用程發(fā)送到UnifiedAccessGatewaySAML轉(zhuǎn)換格轉(zhuǎn)換應(yīng)用程結(jié)合云中的WorkspaceONE客戶端使用UnifiedAccessGateway橋應(yīng)用程序時(shí)，提供程序?qū)?yīng)用適用的驗(yàn)證和策略圖4?6結(jié)合云中WorkspaceONE的UnifiedAccessGateway橋作為提供程序托管Workspace

Workspace基于瀏覽器的客戶

轉(zhuǎn)換格應(yīng)用程

轉(zhuǎn)換結(jié)合內(nèi)部部署的WorkspaceONE客戶端使用橋當(dāng)橋接模式設(shè)置為通過內(nèi)部部署環(huán)境中的WorkspaceONE對用戶進(jìn)行驗(yàn)證時(shí)，用戶需輸入U(xiǎn)RL以通過UnifiedAccessGateway 內(nèi)部部署的舊版Web應(yīng)用程序。UnifiedAccessGateway將請求重定向到提供程序以進(jìn)行驗(yàn)證。提供程序?qū)Ⅱ?yàn)證和策略應(yīng)用于請求。在用戶得到驗(yàn)證后，提供程序會(huì)創(chuàng)建一個(gè)SAML令牌并將該令牌發(fā)送給用戶。圖4?7內(nèi)部部署的UnifiedAccessGateway橋配置橋接設(shè)數(shù)據(jù)和Keytab文件并配置KCD領(lǐng)域設(shè)置。在為Kerberos驗(yàn)證配置橋接設(shè)置之前，請確保以下內(nèi)容可用。 上載提供程序元數(shù)如果使用VMwareIdentityManager作為提供程序，請從VMwareIdentityManager管理控制臺(tái)（“目錄”>“設(shè)置SAML元數(shù)據(jù)”>“提供程序(IdP)”元數(shù)據(jù)）并保存SAML元數(shù)據(jù)文件。在高級(jí)設(shè)置>橋接設(shè)置部分中，選擇上載提供程序元數(shù)據(jù)齒輪圖標(biāo)提供程序的實(shí)體ID。領(lǐng)域是保存驗(yàn)證數(shù)據(jù)的管理實(shí)體的名稱。為Kerberos驗(yàn)證領(lǐng)域選擇一個(gè)描述性名稱很重要。在UnifiedAccessGateway在內(nèi)部解析KDC以使用提供Kerberos服務(wù)的票證。由Kerberos客戶端用于生成DNS名稱。說說領(lǐng)域的名為領(lǐng)域輸 。以大寫字母輸入領(lǐng)域。領(lǐng)域必須匹配在ActiveDirectory中設(shè)置 密鑰分發(fā)中 輸入領(lǐng)域的KDC服務(wù)器。如果要添加多個(gè)服務(wù)器，則以逗號(hào)分隔列表KDC(以秒為單位)輸入KDC響應(yīng)的時(shí)間。默認(rèn)為3秒KeytabKeytab是一個(gè)包含Kerberos主體和加密密鑰對的文件。Keytab文件為要求單點(diǎn)登錄的應(yīng)用程序而創(chuàng)建。UnifiedAccessGateway必須ActiveDirectory域上具有域用戶服務(wù)帳戶。UnifiedAccessGateway不會(huì)直注意可以要上載到UnifiedAccessGateway的KerberosKeytab文件。Keytab文件是一個(gè)二進(jìn)制文件?？赡?，請使用SCP或其他安全方法在不同計(jì)算機(jī)之間傳輸Keytab。在高級(jí)設(shè)置>橋接設(shè)置部分中，選擇上載Keytab設(shè)置齒輪圖標(biāo)配置用于橋接的Web反該元數(shù)據(jù)文件將被上載到VMwareIdentityManager服務(wù)的Web應(yīng)用程序配置頁面。 1234選 說將Edge服務(wù)標(biāo)識(shí)符設(shè)置為Web反 Web反 實(shí)例的唯一名稱目標(biāo)目標(biāo)Web應(yīng)用程序的內(nèi)部URI。UnifiedAccessGateway目標(biāo)目標(biāo)輸入與 7A482B851C81EC5E8F6A3C33F295C3如果未配置，則必須由受信任的CA頒發(fā)服務(wù)器模 （可選）指定主機(jī)模式。如 模式并非唯一，主機(jī)模式會(huì)告UnifiedAccessGateway何時(shí)使用 設(shè)置轉(zhuǎn)發(fā)流量。此設(shè)置通過客戶Web瀏覽器使用的URL確定。例如，輸入(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))選 說在下拉菜單中，選擇要使用 提供程序輸入Kerberos服務(wù)主體名稱。每個(gè)主體始終采用 稱進(jìn)行完全限定。如 PANY。以大寫字母形式鍵入 稱。如果未向文本框中添加名稱，則服務(wù)主體名稱將派生 目標(biāo)URL的主機(jī)名 為/。用用戶標(biāo)頭名對于基于標(biāo)頭 驗(yàn)證，輸入包含派生自斷言的用戶ID的HTTP標(biāo)頭名稱在“SP元數(shù)據(jù)”部分中，單擊。將UnifiedAccessGateway服務(wù)提供程序元數(shù)據(jù)文件添加到VMwareIdentity在 名 配置的 useridActiveDirectoryID注意UnifiedAccessGateway僅支持單域用戶。如果 使用AirWatchTunnel部信息和應(yīng)用程序設(shè)置、安裝程序文件，以及在AirWatchTunnel服務(wù)器上運(yùn)行安裝程序。Tunnel一起使用，請確保在應(yīng)用程序中嵌入了AirWatchSDK，以便通過該組件獲取加密鏈路功能。圖4?8加密鏈路部最終用戶最終用戶設(shè)2020AirWatchTunnelUnifiedAccess網(wǎng)內(nèi)部資源內(nèi)部務(wù)器解析的內(nèi)DNS記錄。該部署模型將公開可用的服務(wù)器與直接連接到內(nèi)部資源的服務(wù)器分開，從而提供中繼服務(wù)器角色包含AirWatchAPIAWCM組件通信，以及在AirWatchTunnel發(fā)出請求時(shí)對設(shè)備進(jìn)行驗(yàn)證。在此部署模型中，AirWatchTunnel支持用于通過中繼與API和AWCM通信的出站。每應(yīng)用隧道服務(wù)必須直接與APIAWCM通信。當(dāng)設(shè)AirWatchTunnel發(fā)起請求時(shí)，中繼服務(wù)器會(huì)判斷設(shè)備是否此服務(wù)。在進(jìn)行驗(yàn)證后，將使用HTTPS通過一個(gè)端口將請求安全地轉(zhuǎn)發(fā)到AirWatchTunnel注意默認(rèn)端口2010端點(diǎn)服務(wù)器的角色是連接到設(shè)備請求的內(nèi)部DNS或IP。除非在AirWatch控制臺(tái)的“AirWatchTunnel”設(shè)置這些組件可安裝在共享或服務(wù)器上。在Linux服務(wù)器上安裝AirWatchTunnel可確保性能不受同一服務(wù)器上運(yùn)行的其他應(yīng)用程序影響。對于中繼端點(diǎn)部署，和每應(yīng)用隧道組件安裝在同一個(gè)中繼服務(wù)器上。只iOS7+Android5.0+等操作系統(tǒng)提供的每應(yīng)用程序功能。這些操作系統(tǒng)允許移動(dòng)性管理員批準(zhǔn)的特可提供無縫用戶體驗(yàn)，而且安全性比其他自定決方案更高。4?9每應(yīng)用隧道部2020AirWatchTunnelUnifiedAccess網(wǎng)內(nèi)部資源內(nèi)部為AirWatch配置每應(yīng)用隧道和設(shè)選 說 默認(rèn)情況下，設(shè)置為View。UnifiedAccessGateway可以與使用ViewXML協(xié)議的服務(wù)器進(jìn)行通信，例如，View連接服務(wù)器、HorizonAir和HorizonAirHybrid-mode。API服務(wù)器URL 輸入AirWatchAPI服務(wù)器URL。例如，輸入為 API服務(wù)器用戶 輸入用于登錄到API服務(wù)器的用戶名APIAPI輸入用于登錄到API服務(wù)器 組織組代 輸入用戶的組織 輸入AirWatch服務(wù)器主機(jī)名6。選說出站主輸入安裝了出站的主機(jī)名注意這不是隧道出站端輸入出站的端出站用戶輸入用于登錄到出站的用戶名出輸入用于登錄到出站的NTLM驗(yàn)將“否”更改為是以指定出站請求需要使用NTLM驗(yàn)證用于AirWatchTunnel將“否”更改為是以將該作為AirWatchTunnel的出站。如果未用，UnifiedAccessGateway將 理控制臺(tái)中獲取配置主機(jī)條輸入要添加到e/ots文件中的主機(jī)條目的逗號(hào)分列表。每個(gè)條均按序包含一個(gè)P、主機(jī)名和可選主機(jī)名別名，并且以空格分隔。例如，.9.61 ,.9.6.2example-受信選擇要添加到信任中的受信任文件75使用TLS/SSL配5UnifiedAccess注意注意為UnifiedAccessGateway設(shè)備配置TLS/SSL UnifiedAccessGateway設(shè)備配置TLS/SSLTLS/SSL服務(wù)器是由頒發(fā)機(jī)構(gòu)(Authority,CA)簽名的。CA是確保及其創(chuàng)建者的受信機(jī)構(gòu)。如果是由受信任的CA簽發(fā)，則系統(tǒng)不會(huì)向用戶顯示要求驗(yàn)證的消息，且瘦客戶端設(shè)備可在部署UnifiedAccessGateway設(shè)備時(shí)，將生成一個(gè)默認(rèn)TLS/SSL服務(wù)器。對于生產(chǎn)環(huán)境，VMware建議您盡快更換默認(rèn)。默認(rèn)不是由受信任的CA簽名的。只應(yīng)在非生產(chǎn)環(huán)境中使用默認(rèn)。請使用的完全限定(FullyQualifiedName,FQDN)以遵循VMware安全建議，而無論選擇哪種類型。不要使用簡單的服務(wù)器名稱或IP地址，即使內(nèi)部域中的通信也是如此。 性將使用者名稱(URL)添加到中，以便它可以驗(yàn)證多個(gè)服務(wù)器。例如，可以為負(fù)載平衡器后面的UnifiedAccessGateway設(shè)備頒發(fā)三個(gè) 在將簽名請求提交到CA后，您可以提供外部接口負(fù)載平衡器虛擬IP地址(virtualIPaddress,VIP)來作為公用名稱和SAN名稱。請確保UnifiedAccessGateway設(shè)備可以解析提供的服務(wù)器名稱，以使其與的 如果多個(gè)服務(wù)器需要使用，則通配是非常有用的。除了UnifiedAccessGateway設(shè)備以外，如果環(huán)境中的其他應(yīng)用程序需要使用TLS/SSL，您也可以在這些服務(wù)器中使用通配。不過，如果使用與其他服務(wù)共享的通配，則VMwareHorizon產(chǎn)品的安全性還取決于這些其他服務(wù)的安全性。注意您只能在單個(gè)域級(jí)別使用通配。例如，可以將具有使用者名稱 的通配用 客戶端計(jì)算機(jī)必須信任導(dǎo)入到UnifiedAccessGateway設(shè)備的 UnifiedAccessGateway實(shí)例和任何負(fù)載平衡器（通過使用通配 或使用者備用名稱(SubjectAlternativeName,SAN)）。將文件轉(zhuǎn)換為單行PEM格要使用UnifiedAccessGatewayRESTAPI配置設(shè)置，或使用PowerS 鏈和私鑰的PEM格式文件，然后將.pem文件轉(zhuǎn)換為包含嵌入的換行符的單行格式。 n如果打算使用智能卡驗(yàn)證，您必須為放在智能卡中的安裝和配置可信CA頒發(fā)者n如果打算使用智能卡驗(yàn)證，VMware建議您為UnifiedAccessGateway設(shè)備上安裝的SAML服務(wù)器的簽名CA安裝并配置根。對于所有這些類型的，請執(zhí)行相同的步驟以將轉(zhuǎn)換為包含鏈的PEM格式的文件。對于TLS/SSL服務(wù)器和根，還應(yīng)將每個(gè)文件轉(zhuǎn)換為包含私鑰的PEM文件。然后，必須將每個(gè).pem文件轉(zhuǎn)換為可在JSON字符串中傳遞給UnifiedAccessGatewayRESTAPI的單行格式。n確認(rèn)您具有文件。該文件可以采用PKCS#12（.p12或.pfx）格式，也可以采用JavaJKS或JCEKS格n熟悉用于轉(zhuǎn)換的openssl命令行工具。請參閱格式，然后再轉(zhuǎn)換為.pem文件。重要重要事項(xiàng)在該轉(zhuǎn)換過程中，請使用相同的源和目 轉(zhuǎn)換為.pem文件。opensslpkcs12-inmycaservercert.pfx-nokeys-outopensslpkcs12-inmycaservercert.pfx-nodes-nocerts-outmycaservercert.pemopensslrsa-inmycaservercertkey.pem-check-outmycaservercertkeyrsa.pem必需的中間CA和根CA。API的值：awk'NF{sub(/\r/,"");printf"%s\\n",$0;}'cert-圖5?1一行中的文現(xiàn)在，您可以將這些.pem文件與博客帖子“使用PowerS toDeployVMwareAccessPoint)（為 。如果已轉(zhuǎn)換TLS/SSL服務(wù)器，請參閱第50頁，“替換UnifiedAccessGateway的默認(rèn)TLS/SSL服務(wù)器UnifiedAccessGatewayTLS/SSL要在UnifiedAccessGateway設(shè)備上 式并使用管理UI或PowerS 重要重要事項(xiàng)還可以使用該步驟在到期之前定期替換可信CA簽發(fā) n除非已具有有效的TLS/SSL服務(wù)器及其私鑰，否則，請從頒發(fā)機(jī)構(gòu)獲取新的簽名。在生成證書簽名請求(SigningRequest,CSR)以獲取時(shí)，請確保同時(shí)生成一個(gè)私鑰。不要使用低于1024的KeyLength值為服務(wù)器生成。QualifiedName,FQDN)以及組織單位、組織、城市、州和國家/地區(qū)以填寫使用者名稱。n將轉(zhuǎn)換為PEM格式的文件，然后將.pem文件轉(zhuǎn)換為單行格式。請參閱第48頁，“將文件轉(zhuǎn)換為單行PEM格式”。更改用于TLS或SSL通信的安全協(xié)議和套情況下，TLSv1.1TLSv1.2處于啟用狀態(tài)。TLSv1.0SSLv3.0處于禁用狀態(tài)。nUnifiedAccessGatewayRESTAPI。安裝UnifiedAccessGatewayURL中提供了該API的規(guī)范：:9443/rest/swagger.yaml。 {"tls11Enabled":"true","tls12Enabled":"true"}REST客戶端（curlpostman）JSONUnifiedAccessGatewayRESTAPI并配置 是UnifiedAccessGateway設(shè)備的完全限定curl-k-d@--u'admin'-H"Content-Type:application/json"-XPUT :9443/rest/v1/config/system<將使用指定的套件和協(xié)議。在DMZ中配 驗(yàn) 在最初部署UnifiedAccessGateway時(shí)，ActiveDirectory Directory用戶名和，這些憑據(jù)將發(fā)送到后端系統(tǒng)以進(jìn)行 份驗(yàn)證以及RSA自適應(yīng)驗(yàn)證。注意注意ActiveDirectory 在UnifiedAccessGateway設(shè)備上配置或智能卡驗(yàn)?zāi)梢栽赨nifiedAccessGateway中配置x509驗(yàn)證，以允許客戶端在其桌面或移動(dòng)設(shè)備上使用基于的驗(yàn)證基于用戶擁有的資源（私鑰或智能卡）和掌握的信息（私鑰的或智能卡PIN）。智能卡驗(yàn)證通過驗(yàn)證用戶是否具有智能卡以及用戶是否知PIN來提供雙因素驗(yàn)證。最終用戶可以使用智能卡登錄到View桌面操作系統(tǒng)以及啟用智能卡的應(yīng)用程序，例如，使用對電子郵件進(jìn)行簽名以證明發(fā)件人的電子郵件應(yīng)用程序。用SAML斷言將有關(guān)最終用戶的X.509和智能卡PIN的信息傳送到HorizonServer。您可以配置吊銷檢查以防止對已吊銷用戶的用戶進(jìn)行驗(yàn)證。當(dāng)用戶離開組織、丟失智能卡或從一個(gè)部門調(diào)往另一個(gè)部門時(shí)，通常會(huì)吊銷其。支持使用吊銷列表(RevocationList,CRL)和在線狀態(tài)協(xié)議(OnlineStatusProtocol,OCSP)進(jìn)行吊銷檢查。CRL是由頒發(fā)的CA發(fā)布的吊銷列表。OCSP是用于獲取吊銷狀態(tài)的驗(yàn)證協(xié)議。敗，吊銷檢查不會(huì)改用OCSP。務(wù)器，這可能需要ActiveDirectory驗(yàn)證。注意對于VMwareIdentityManager，始終通過UnifiedAccessGateway將 驗(yàn)證信息傳送到VMwareIdentityManager服務(wù)。只有在將UnifiedAccessGateway與Horizon7一起使用時(shí)，才能將智能卡 配置為在UnifiedAccessGateway設(shè)備上執(zhí)行。在UnifiedAccessGateway上配置驗(yàn) 據(jù)到UnifiedAccessGateway設(shè)備。 選 說**根CA 和中間CA文件。您可以選擇多個(gè)編碼為DER或PEM。CRL緩存大 輸 吊銷列表緩存大小。默認(rèn)值為100 使用來使用來 的選中該復(fù)選框以使用頒 的CA發(fā)布 吊銷列表RevocationList,CRL)驗(yàn) 的狀態(tài)（吊銷或未吊銷）啟用OCSP吊選中該復(fù)選框以使 驗(yàn)證協(xié)議獲狀態(tài)的吊銷狀啟用OCSP吊選中該復(fù)選框以使 驗(yàn)證協(xié)議獲狀態(tài)的吊銷狀StatusOCSP失敗時(shí)使用 如果配置CRL和OCSP，您可以選中該框以在OCSP檢查不可用時(shí)改用CRL發(fā)送OCSP 如果您希望在響應(yīng)中發(fā)送OCSP請求的唯一標(biāo)識(shí)符，請選中該復(fù)選框OCSP 如果啟用了OCSP吊銷，請輸入OCSP服務(wù)器地址以進(jìn)行吊銷檢查OCSPOCSP輸入響應(yīng)程序的 路徑(/path/to/file.cer)選 說在進(jìn) 驗(yàn)證前啟用同意表 選中該復(fù)選框以包含在用戶使 錄到其WorkspaceONE戶之前顯示的同意表單頁同意表單內(nèi) 在此處鍵入在同意表單中顯示的文本種配置可確保在UnifiedAccessGateway和客戶端之間進(jìn)行SSL握手以便將傳遞給 獲取所有相應(yīng)的CA（頒發(fā)機(jī)構(gòu)） 簽名的CA的根或中間，則可以從CA簽名的 。請參閱第55頁，“從Windows獲取CA”。 TechNet。 受信任的CA簽名的公用根 從Windows獲取CA 的步驟4中使用。InternetExplorer中，選擇Internet選項(xiàng) 步>在UnifiedAccessGateway中配置RSASecurID驗(yàn)信息添加到UnifiedAccessGateway設(shè)備。 選 操將“否”更改為是以啟用 驗(yàn)證*名 名稱為securid-auth 驗(yàn)證嘗試次數(shù)。這是在使用RSASecurID令牌時(shí)的最大失敗登錄嘗試次數(shù)。默認(rèn)為嘗試5次。注意如果配置了多個(gè) 置的允許的驗(yàn)證嘗試次數(shù)配置為相同的值。如果該值不相同，SecurID驗(yàn)證將失敗。 輸入U(xiǎn)nifiedAccessGateway實(shí)例的IP地址。輸入的值必須與將UnifiedAccessGateway設(shè)備作為驗(yàn)證添加到RSASecurID服務(wù)器時(shí)使用的值一致。*內(nèi)部主機(jī) 在RSASecurID服務(wù)器中輸入為IP地址提示分配的值 單擊“更改”以上載RSASecurID服務(wù)器配置文件。首先，您必須從RSASecurID服務(wù)器中 文件，然后提取默認(rèn)名稱為sdconf.rec的服務(wù)器配置文件。*名稱ID后 輸入使View能夠提供TrueSSO體驗(yàn)的nameIdUnifiedAccessGateway配置您可以配置UnifiedAccessGateway，以便要求用戶使用RADIUS驗(yàn)證。您可以在UnifiedAccess使用在單獨(dú)服務(wù)器上安裝的驗(yàn)證管理器，您必須配置RADIUS服務(wù)器并且IdentityManager服務(wù)可以訪如果用戶登錄并啟用了RADIUS驗(yàn)證，則會(huì)在瀏覽器中顯示一個(gè)特殊登錄框。用戶在登錄框中輸RADIUS驗(yàn)證用戶名和通行碼。如RADIUS服務(wù)器發(fā)出一個(gè)質(zhì)詢，UnifiedAccessGateway將顯示一個(gè)框以提示輸入第二個(gè)通行碼。目前支持的RADIUS質(zhì)詢僅限于提示輸入文本。供配置RADIUS驗(yàn)后將驗(yàn)證類型更改為RADIUS驗(yàn)證。n確認(rèn)要用作驗(yàn)證管理器服務(wù)器的服務(wù)器安裝并配置了RADIUS軟件。設(shè)置RADIUS服務(wù)器，然后從 MSCHAP1和MSCHAP2（質(zhì)詢握 驗(yàn)證協(xié)議版本1和2） 選 操啟用啟用 將“否”更改為是以啟用 驗(yàn)證名稱 名稱為radius-auth驗(yàn)證驗(yàn)證類型 輸入RADIUS服務(wù)器支持 驗(yàn)證協(xié)議。PAP、CHAP、MSCHAP1或MSCHAP2共 輸入RADIUS共 嘗試連RADIUS服器的次數(shù)RADIUS服器主機(jī)名

輸入在使用RADIUS登錄時(shí)的最大失敗登錄嘗試次數(shù)。默認(rèn)為嘗試3次輸入總重試嘗試次數(shù)。如果主服務(wù)器沒有響應(yīng)，該服務(wù)將等待配置的時(shí)間，然后再重試RADUS服務(wù)器超時(shí)（秒）RADUS服務(wù)器沒有響應(yīng)，將在這段時(shí)間過后發(fā)送重試。RADUS服務(wù)器的主機(jī)名或P地址。驗(yàn)證端口 輸入Radius驗(yàn)證端。該端口通常為1812選操領(lǐng)域前（可選）用戶帳戶位置稱為如果指定領(lǐng)域前綴字符串，在將用戶名發(fā)送到RADIUS服務(wù)器時(shí)，將在名稱開頭放置該字符串。例如，如果將用戶名輸入為jdoe并指定領(lǐng)域前綴-A\，則將用戶名-A\jdoe發(fā)送RADIUS服務(wù)器。如果未配置這些字段，則僅發(fā)送輸入的用戶名領(lǐng)域后（可選）如果配置領(lǐng)域后綴，則在用戶名末尾放置該字符串。例如，如果后綴 ，則將戶 發(fā)送到RADIUS服務(wù)器名稱ID后輸入nameId以使View能夠提供TrueSSORADUSADasswrdfirstadtenMSassceEterorADpasswordfirstandthenSMSpasscode。默認(rèn)文本字符串為RADIUSPasscode將“否”更改為是以配置輔助RADIUS服務(wù)器以實(shí)現(xiàn)高可用性。請按照步驟3中所述配置輔助服務(wù)器4在UnifiedAccessGateway中配置RSA自適應(yīng)驗(yàn)可以實(shí)施RSA自適應(yīng)驗(yàn)證，以提供比針對ActiveDirectory的僅用戶名和 支持的RSA自適應(yīng)驗(yàn)證方AccessPoint中支持的RSA自適應(yīng)驗(yàn)證強(qiáng)大驗(yàn)證方法是通過、電子郵件或和質(zhì)詢問題的帶外驗(yàn)證。您可以在該服務(wù)上啟用可提供的RSA自適應(yīng)驗(yàn)證方法。RSA自適應(yīng)驗(yàn)證策略確定使用帶外驗(yàn)證過程要求發(fā)送額外的驗(yàn)證以及用戶名和。當(dāng)用戶在RSA自適應(yīng)驗(yàn)證服務(wù)器中時(shí)，他們將提供電子郵件地址和/或，具體取決于服務(wù)器配置。如果需要額外的驗(yàn)證，RSA自適應(yīng)驗(yàn)證服務(wù)器將通過提供的通道發(fā)送通行碼。用戶輸入該通行碼及其用戶名和。在RSA自適應(yīng)驗(yàn)證服務(wù)器中用戶名和登錄時(shí)，這些用戶將添加到RSA自適應(yīng)驗(yàn)證數(shù)據(jù)庫中。根據(jù)在該服務(wù)中配置RSA自適應(yīng)驗(yàn)證的方式，在用戶登錄時(shí)，可能會(huì)要求他們提供其電子郵件地址、、(SMS)，或者要求注注意RSA自適 驗(yàn)證和RSAAuthenticationManager在UnifiedAccessGateway中配置RSA自適應(yīng)驗(yàn)然后添加ActiveDirectory連接信息和。 注意星號(hào)表示必填字段。其他字段是可選 說RSAAA將“否”更改為是以啟用RSA自適 驗(yàn)證SOAP端點(diǎn)輸入SOAP端SOAP端點(diǎn)輸入SOAP端點(diǎn)地址以將RSA自適 驗(yàn)證適配器與該服務(wù)集成在一起SOAP用戶名 輸入用于對SOAP消息進(jìn)行簽名的用戶名 輸入RSA自適 驗(yàn)證SOAP RSA 輸入自適 驗(yàn)證服務(wù)器的域地址啟用OOB電子郵 選擇“是”以啟用帶 驗(yàn)證， 驗(yàn)證通過電子郵件向最終用戶發(fā)通行碼啟用OOB 啟用 選擇“是”以啟用SecurID。要求用戶輸入其RSA令牌和通行碼啟啟 問問題數(shù)如果要使 和質(zhì)詢問題進(jìn) 驗(yàn)證，請選擇“是”輸入用戶 驗(yàn)證適配器服務(wù)器 時(shí)需要設(shè)置的問題數(shù)質(zhì)詢問題數(shù)質(zhì)詢問題數(shù)允許 驗(yàn)證嘗試次數(shù)使用如果將SSL用 連接，請使用如果將SSL用 連接，請選擇“是”。您可以在”字段中