162
Implantação e configuração do VMware Unified Access Gateway 12 DE MARÇO DE 2019 Unified Access Gateway 3.5

343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

  • Upload
    others

  • View
    52

  • Download
    0

Embed Size (px)

Citation preview

Page 1: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Implantação econfiguração do VMwareUnified Access Gateway12 DE MARÇO DE 2019Unified Access Gateway 3.5

Page 2: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 2

Você pode encontrar a documentação técnica mais atualizada no site da VMware, em:

https://docs.vmware.com/br/

O site da VMware também fornece as atualizações mais recentes de produtos.

Caso tenha comentários sobre esta documentação, envie seu feedback para:

[email protected]

Direitos autorais © 2019 VMware, Inc. Todos os direitos reservados. Informações sobre direitos autorais e marcaregistrada.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware BrasilRua Surubim, 504 4º andar CEP 04571-050Cidade MonçõesSão PauloSÃO PAULO: 04571-050BrasilTel: +55 11 55097200Fax: + 55. 11. 5509-7224www.vmware.com/br

Page 3: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Conteúdo

Implantação e configuração do VMware Unified Access Gateway 6

1 Preparando-se para implantar o VMware Unified Access Gateway 7

Unified Access Gateway como um gateway seguro 7

Usando o Unified Access Gateway ao invés de uma rede virtual privada 8

Requisitos de sistema e de rede do Unified Access Gateway 9

Regras de firewall para appliances do Unified Access Gateway baseados em DMZ 11

Requisitos do sistema para a implantação VMware Tunnel com Unified Access Gateway 18

Requisitos da Porta para o VMware Tunnel Proxy 20

Requisitos de porta para o VMware Per-App Tunnel 25

Requisitos de Conexão de Interface de Rede 31

Topologias do balanceamento de carga do Unified Access Gateway 32

Alta disponibilidade do Unified Access Gateway 35

Defina as configurações de alta disponibilidade 37

Unified Access Gateway configurado com Horizon 38

Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38

Conexões do VMware Tunnel (Per-App VPN) em modo cascata 39

Configuração básica do Content Gateway 40

Content Gateway com configuração de Retransmissão e Endpoint 41

Design da DMZ para o Unified Access Gateway com várias placas de interface de rede 42

Atualização com tempo de inatividade zero 45

Implantando o Unified Access Gateway sem o perfil de protocolo de rede (NPP) 47

Entrar ou sair do Programa de aperfeiçoamento da experiência do cliente 48

2 Implementação do appliance do Unified Access Gateway 49

Usando o assistente modelo do OVF para implantar o Unified Access Gateway 50

Implementar o Unified Access Gateway usando o assistente modelo do OVF 50

Configurando o Unified Access Gateway a partir das páginas de configuração do administrador 57

Configurar as definições de sistema do Unified Access Gateway 57

Alterar as configurações de rede 59

Definir configurações de conta de usuário 61

Atualizar certificados assinados de servidor SSL 64

3 Usando o PowerShell para implantar o Unified Access Gateway 66

Requisitos do sistema para a implantação do Unified Access Gateway com o PowerShell 66

Usando o PowerShell para implementar o appliance do Unified Access Gateway 67

VMware, Inc. 3

Page 4: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

4 Casos de uso de implantação para o Unified Access Gateway 72Implantação com o Horizon e o Horizon Cloud with On-Premises Infrastructure 72

Suporte para o modo duplo IPv4 e IPv6 para a infraestrutura do Horizon 77

Configurações avançadas do serviço de borda 78

Definir configurações do Horizon 80

Opções de configuração de URL externa de TCP e UDP Blast 85

Verificações de conformidade de endpoint do Horizon 86

Implementação como proxy reverso 87

Configurar o proxy reverso com o VMware Identity Manager 89

Implementação para acesso single sign-on para aplicativos da Web locais herdados. 93

Cenários de implantação de ponte de identidade 95

Configurando as definições da ponte de identidade 98

Componentes do VMware AirWatch no Unified Access Gateway 113

VMware Tunnel no Unified Access Gateway 114

Sobre o compartilhamento de portas do TLS 117

Content Gateway no Unified Access Gateway 117

Casos de uso adicionais de implantação 119

5 Configuração do Unified Access Gateway usando certificados TLS/SSL 121

Configurando certificados TLS/SSL para appliances do Unified Access Gateway 121

Selecionando o tipo correto de certificado 121

Converter arquivos de certificado para o formato PEM de uma linha 123

Alterar os protocolos de segurança e os conjuntos de codificação utilizados para a

comunicação TLS ou SSL 125

6 Configuração da autenticação em DMZ 127

Configurando a autenticação de certificado ou de cartão inteligente no appliance do

Unified Access Gateway 127

Configurar a autenticação de certificado no Unified Access Gateway 128

Obter Certificados de Autoridade de Certificação 130

Configurar a autenticação do RSA SecurID no Unified Access Gateway 131

Configuração do RADIUS para o Unified Access Gateway 132

Configurar a autenticação RADIUS 133

Configurar o RSA Adaptive Authentication no Unified Access Gateway 135

Configurar o RSA Adaptive Authentication no Unified Access Gateway 136

Gerar metadados SAML do Unified Access Gateway 137

Criando um autenticador SAML utilizado por outros provedores de serviço 139

Copiar metadados SAML do provedor de serviços para o Unified Access Gateway 139

7 Implantação da resolução de problemas do Unified Access Gateway 141

Monitorando as estatísticas de sessão do serviço de borda 141

API de estatísticas de sessão do monitor 143

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 4

Page 5: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Monitoramento da integridade dos serviços implantados 145

Resolução de erros de implementação 145

Erros de resolução de problemas: ponte de identidade 148

Erros de resolução de problemas: Cert-to-Kerberos 150

Solução de problemas de conformidade do endpoint 151

Resolução de problemas da validação do certificado na IU do administrador 152

Solucionando problemas de conexão e de firewall 153

Resolução de problemas do login raiz 154

Sobre a senha do Grub2 156

Coletando logs do appliance do Unified Access Gateway 156

Exportar configurações do Unified Access Gateway 159

Importar configurações do Unified Access Gateway 159

Erros de resolução de problemas: Content Gateway 160

Solucionando problemas de alta disponibilidade 160

Segurança de resolução de problemas: práticas recomendadas 162

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 5

Page 6: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Implantação e configuração do VMwareUnified Access Gateway

A Implantando e configurando o Unified Access Gateway fornece informações sobre a implantação doprojeto do VMware Horizon®, do VMware Identity Manager™ e do VMware AirWatch® que utiliza oVMware Unified Access Gateway™ para acesso externo seguro aos aplicativos de sua organização.Esses aplicativos podem ser aplicativos do Windows, aplicativos de software como um serviço (SaaS) eáreas de trabalho. Este guia também fornece instruções para implementar os appliances virtuais doUnified Access Gateway e alterar as definições de configuração após a implementação.

Público-alvoEstas informações são concebidas para qualquer pessoa que deseja implementar e utilizar os appliancesdo Unified Access Gateway. As informações foram escritas para administradores de sistema experientesdo Linux e do Windows que estejam familiarizados com a tecnologia de máquina virtual e operações decentro de dados.

VMware, Inc. 6

Page 7: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Preparando-se para implantar oVMware Unified Access Gateway 1O Unified Access Gatewayfunciona como um gateway seguro para usuários que desejam acessar áreasde trabalho e aplicativos remotos fora do firewall corporativo.

Observação O VMware Unified Access Gateway® anteriormente se chamava VMware Access Point.

Este capítulo inclui os seguintes tópicos:n Unified Access Gateway como um gateway seguro

n Usando o Unified Access Gateway ao invés de uma rede virtual privada

n Requisitos de sistema e de rede do Unified Access Gateway

n Regras de firewall para appliances doUnified Access Gatewaybaseados em DMZ

n Requisitos do sistema para a implantação VMware Tunnel com Unified Access Gateway

n Topologias do balanceamento de carga do Unified Access Gateway

n Alta disponibilidade do Unified Access Gateway

n Design da DMZ para o Unified Access Gateway com várias placas de interface de rede

n Atualização com tempo de inatividade zero

n Implantando o Unified Access Gateway sem o perfil de protocolo de rede (NPP)

n Entrar ou sair do Programa de aperfeiçoamento da experiência do cliente

Unified Access Gateway como um gateway seguroO Unified Access Gateway é um appliance de segurança normalmente instalado em uma zonadesmilitarizada (DMZ). O Unified Access Gateway é usado para garantir que o único tráfego entrando nocentro de dados corporativo seja o tráfego em nome de um usuário remoto fortemente autenticado.

O Unified Access Gateway direciona solicitações de autenticação ao servidor apropriado e descartaqualquer solicitação não autorizada. Os usuários podem acessar somente os recursos que têmautorização para acessar.

VMware, Inc. 7

Page 8: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

O Unified Access Gateway também garante que o tráfego de um usuário autenticado possa serdirecionado somente para os recursos da área de trabalho e de aplicativos para os quais o usuárioestiver realmente qualificado. Esse nível de proteção envolve a inspeção específica de protocolos deárea de trabalho e a coordenação de potenciais endereços de rede e políticas de mudança rápida paracontrolar o acesso de maneira precisa.

O Unified Access Gateway atua como um host de proxy para conexões dentro da rede segura daempresa. Esse design fornece uma camada extra de segurança ao proteger áreas de trabalho virtuais,hosts de aplicativos e servidores da Internet voltada para o público.

O Unified Access Gateway é projetado especificamente para a DMZ. As seguintes configurações deproteção são implementadas.

n Linux Kernel e patches de software atualizados

n Suporte múltiplo de NIC para tráfego de Internet e intranet

n SSH desabilitado

n Serviços desabilitados de FTP, Telnet, Rlogin ou Rsh

n Serviços indesejados desabilitados

Usando o Unified Access Gateway ao invés de uma redevirtual privadaO Unified Access Gateway e as soluções de VPN genéricas são semelhantes, pois ambos garantem queo tráfego seja encaminhado para uma rede internal somente em nome de usuários fortementeautenticados.

As vantagens do Unified Access Gateway sobre a VPN genérica incluem o seguinte.

n Access Control Manager. O Unified Access Gateway aplica regras de acesso automaticamente. OUnified Access Gateway reconhece as qualificações dos usuários e o endereçamento exigido para aconexão interna. Uma VPN faz a mesma coisa, porque a maioria das VPNs permite que umadministrador configure as regras de conexão de rede para cada usuário ou grupo de usuáriosindividualmente. Primeiro, isso funciona bem com uma VPN, mas exige um esforço administrativosignificativo para manter as regras exigidas.

n Interface do Usuário. O Unified Access Gateway não altera a interface do usuário simples do HorizonClient. Com o Unified Access Gateway, quando o Horizon Client é iniciado, os usuários autenticadosestão no ambiente do Horizon Connection Server deles e têm acesso controlado aos respectivosaplicativos e áreas de trabalho. Uma VPN exige que você configure o software VPN primeiro e oautentique separadamente antes de iniciar o Horizon Client.

n Desempenho. O Unified Access Gateway é projetado para maximizar a segurança e o desempenho.Com o Unified Access Gateway, os protocolos PCoIP, HTML access e WebSocket ficam segurossem exigir encapsulamento adicional. VPNs são implementadas como VPNs SSL. Essa implantaçãoatende aos requisitos de segurança e, com a Segurança de Camada de Transporte (Transport LayerSecurity, TLS) habilitada, é considerada segura, mas o protocolo subjacente com SSL/TLS ébaseado em TCP. Com protocolos modernos de vídeo remoto que exploram transportes baseados

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 8

Page 9: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

em UDP sem conexão, os benefícios de desempenho podem se deteriorar significativamente quandoforçados sobre um transporte com base em TCP. Isso não se aplica a todas as tecnologias de VPN,tendo em vista que aqueles que também podem funcionar com DTLS ou IPsec em vez de SSL/TLSpodem funcionar bem com protocolos de área de trabalho do Horizon Connection Server.

Requisitos de sistema e de rede doUnified Access GatewayPara implementar o appliance do Unified Access Gateway, certifique-se de que seu sistema atenda aosrequisitos de hardware e software.

Versões de produtos VMware compatíveisVocê deve utilizar versões específicas dos produtos VMware com versões específicas doUnified Access Gateway. Consulte as notas da versão do produto para obter as informações maisrecentes sobre compatibilidade e consulte a Matriz de Interoperabilidade de Produto da VMware em http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Requisitos de hardware do servidor ESXiO appliance do Unified Access Gateway deve ser implantado em uma versão do VMware vSphere queseja a mesma versão compatível com produtos e versões da VMware respectivamente.

Se você planeja utilizar o vSphere Web client, certifique-se de que o plug-in de integração do clienteesteja instalado. Para obter mais informações, consulte a documentação do vSphere. Se você nãoinstalar esse plug-in antes de iniciar o assistente de implementação, o assistente solicitará a instalaçãodo plug-in. Isso exige o fechamento do navegador e a saída do assistente.

Observação Configure o relógio (UTC) no appliance do Unified Access Gateway para que ele estejacom a hora correta. Por exemplo, abra uma janela de console na máquina virtual doUnified Access Gateway e utilize os botões de seta para selecionar o fuso horário correto. Verifiquetambém se o horário do host do ESXi está sincronizado com o servidor NTP e verifique se as VMwareTools, que são executadas na máquina virtual do appliance, sincronizam o horário na máquina virtualcom o horário no host do ESXi.

Requisitos do appliance virtualO pacote OVF para o appliance do Unified Access Gateway seleciona automaticamente a configuraçãoda máquina virtual que o Unified Access Gateway exige. Embora você possa alterar estasconfigurações , a VMware recomenda que não altere o CPU, memória ou espaço em disco para valoresinferiores às configurações padrão do OVF.

n O requisito mínimo da CPU é de 2000 MHz

n Memória mínima de 4GB

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 9

Page 10: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Certifique-se de que o repositório de dados usado para o appliance tenha espaço livre em discosuficiente e atenda aos outros requisitos do sistema.

n O tamanho de download do appliance virtual é de 1.8 GB

n O requisito mínimo de disco com provisionamento dinâmico é de 2.6 GB

n O requisito mínimo de disco com provisionamento estático é de 20 GB

As seguintes informações são necessárias para implantar o appliance virtual.

n Endereço IP estático (recomendado)

n Endereço IP do servidor DNS

n Senha para o usuário raiz

n Senha para o usuário administrador

n URL da instância do servidor ou balanceador de carga para onde o appliance doUnified Access Gateway aponta

Opções de dimensionamento do Unified Access Gatewayn Padrão: essa configuração é recomendada para a implantação do Horizon com suporte a até 2000

conexões do Horizon, alinhadas com a capacidade do Servidor de conexão. Também érecomendada para implantações do Workspace ONE UEM (casos de uso móvel) com suporte a até10.000 conexões simultâneas.

n Grande: essa configuração é recomendada para implantações do Workspace ONE UEM, nas quaiso Unified Access Gateway precisa ter suporte a mais de 10.000 conexões simultâneas. Essetamanho permite que o Content Gateway, o Per App Tunnel e Proxy e o Proxy reverso usem omesmo appliance do Unified Access Gateway.

Observação Opções da VM para implantações Grande e Padrão:

n Padrão - 2 núcleos e 4 GB de RAM

n Grande - 4 núcleos e 16 GB de RAM

Versões de navegador compatíveisOs navegadores compatíveis para a inicialização da IU do administrador são o Chrome, o Firefox e oInternet Explorer. Use a versão mais atual do navegador.

Requisitos de hardware ao usar o Servidor Hyper-V WindowsAo usar o Unified Access Gateway para uma implantação do Per-App Tunnel do VMware AirWatch, épossível instalar o appliance do Unified Access Gateway em um servidor Hyper-V Microsoft.

Os servidores Microsoft compatíveis são o Windows Server 2012 R2 e o Windows Server 2016.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 10

Page 11: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Requisitos de configuração de redeÉ possível utilizar uma, duas ou três interfaces de rede e o Unified Access Gateway necessita de umendereço IP estático separado para cada uma. Muitas implementações do DMZ utilizam redesseparadas para proteger tipos de tráfego diferentes. Configure o Unified Access Gateway de acordo como design da rede do DMZ no qual está implementado.

n Uma interface de rede é apropriada para POCs (prova de conceitos) ou testes. Com um NIC, ostráfegos externo, interno e de gerenciamento ficam todos na mesma sub-rede.

n Com duas interfaces de rede, o tráfego externo está em uma sub-rede e o tráfego interno e degerenciamento estão em outra.

n Utilizar três interfaces de rede é a opção mais segura. Com um terceiro NIC, os tráfegos externo,interno e de gerenciamento têm suas próprias sub-redes.

Requisitos de retenção de registroOs arquivos de registro são configurados por padrão para utilizar certa quantidade de espaço, que émenor do que o tamanho total do disco no agregado. Os logs para o Unified Access Gateway sãoalternados por padrão. Você deve utilizar syslog para preservar estas entradas de registro. Consulte Coletando logs do appliance do Unified Access Gateway.

Regras de firewall para appliances doUnified Access Gateway baseados em DMZAppliances do Unified Access Gatewaybaseados em DMZ exigem certas regras de firewall nos firewallsfront-end e back-end. Durante a instalação, os serviços do Unified Access Gatewaysão configuradospara ouvir em certas portas de rede por padrão.

A implantação de um appliance do Unified Access Gateway baseado em DMZ normalmente inclui doisfirewalls:

n É necessário um firewall front-end externo voltado para a rede para proteger o DMZ e a rede interna.Configure este firewall para permitir que o tráfego de rede externo chegue até o DMZ.

n É necessário um firewall back-end, entre o DMZ e a rede interna, para fornecer uma segundacamada de segurança. Configure este firewall para aceitar tráfego que se origina somente dosserviços dentro do DMZ.

A política de firewall controla estritamente comunicações de entrada de serviço DMZ, o que reduzamplamente o risco de comprometimento da rede interna.

As tabelas a seguir listam os requisitos de porta para os serviços diferentes no Unified Access Gateway.

Observação Para que sejam permitidas, todas as portas UDP exigem diagramas de dados deencaminhamento e diagramas de dados de resposta.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 11

Page 12: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑1. Requisitos de porta para o Horizon Connection Server

PortaProtocolo Fonte Destino Descrição

443 TCP Internet Unified Access Gateway Para o tráfego da Web, XML HorizonClient - API, túnel do Horizon e BlastExtreme

443 UDP Internet Unified Access Gateway O UDP 443 é internamente encaminhadopara o UDP 9443 no serviço do servidordo túnel UDP no Unified Access Gateway.

8443 UDP Internet Unified Access Gateway Blast Extreme (opcional)

8443 TCP Internet Unified Access Gateway Blast Extreme (opcional)

4172 TCP eUDP

Internet Unified Access Gateway PCoIP (opcional)

443 TCP Unified Access Gateway Horizon Connection Server Horizon Client XML-API, Blast extremeHTML access, Horizon Air ConsoleAccess (HACA)

22443 TCP eUDP

Unified Access Gateway Áreas de trabalho e hostsRDS

Blast Extreme

4172 TCP eUDP

Unified Access Gateway Áreas de trabalho e hostsRDS

PCoIP (opcional)

32111 TCP Unified Access Gateway Áreas de trabalho e hostsRDS

Canal de estrutura para redirecionamentoUSB

9427 TCP Unified Access Gateway Áreas de trabalho e hostsRDS

MMR e CDR

Observação Para permitir que dispositivos cliente externos se conectem a um appliance doUnified Access Gateway dentro da DMZ, o firewall front-end deve permitir tráfego em determinadasportas. Por padrão, os dispositivos cliente externos e clientes Web externos (HTML Access) conectam-sea um appliance do Unified Access Gateway dentro da DMZ na porta TCP 443. Se for usado o protocoloBlast, a porta 8443 deve estar aberta no firewall, mas é possível configurar também o Blast para a porta443.

Tabela 1‑2. Requisitos de porta para proxy reverso da Web

PortaProtocolo Fonte Destino Descrição

443 TCP Internet Unified Access Gateway Para o tráfego da Web

Qualquer

TCP Unified Access Gateway Site de intranet Qualquer porta personalizada configuradana qual a Intranet está fazendo escuta.Por exemplo, 80, 443, 8080 e assim pordiante.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 12

Page 13: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑2. Requisitos de porta para proxy reverso da Web (Continuação)

PortaProtocolo Fonte Destino Descrição

88 TCP Unified Access Gateway Servidor KDC/Servidor AD É necessário para a ponte de identidadeacessar o AD se o SAML paraKerberos/Certificado para Kerberosestiver configurado.

88 UDP Unified Access Gateway Servidor KDC/Servidor AD É necessário para a ponte de identidadeacessar o AD se o SAML paraKerberos/Certificado para Kerberosestiver configurado.

Tabela 1‑3. Requisitos de porta para a interface do usuário do administrador

PortaProtocolo Fonte Destino Descrição

9443 TCP IU do administrador Unified Access Gateway Interface de gerenciamento

Tabela 1‑4. Requisitos de porta para a configuração de endpoint básico do Content Gateway

PortaProtocolo Fonte Destino Descrição

443* ouqualquer porta> 1024

HTTPS Dispositivos (a partir daInternet e Wi-Fi)

Endpoint doContent Gateway doUnified Access Gateway

Se for usado 443, Content Gateway iráescutar na porta 10443.

443* ouqualquer porta> 1024

HTTPS Serviços de dispositivo doVMware AirWatch

Endpoint doContent Gateway doUnified Access Gateway

443* ouqualquer porta> 1024

HTTPS Console doWorkspace ONE UEM

Endpoint doContent Gateway doUnified Access Gateway

Se for usado 443, Content Gateway iráescutar na porta 10443.

Qualquer portana qualorepositório estáfazendoaescuta.

HTTP ouHTTPS

Endpoint doContent Gateway doUnified Access Gateway

Repositórios de conteúdobaseado na Web, como(SharePoint/WebDAV/CMISe assim por diante

Qualquer porta personalizada configuradana qual o site da Intranet está fazendo aescuta.

137 –139 e445

CIFS ouPME

Endpoint doContent Gateway doUnified Access Gateway

Repositórios baseados emcompartilhamento de rede(compartilhamentos dearquivos do Windows)

Compartilhamentos de Intranet

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 13

Page 14: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑5. Requisitos de porta para a configuração do endpoint de retransmissão doContent Gateway

PortaProtocolo Fonte Alvo/Destino Descrição

443* ouqualquer porta> 1024

HTTP/HTTPS

Servidor de retransmissãodo Unified Access Gateway(retransmissão doContent Gateway)

Endpoint doContent Gateway doUnified Access Gateway

Se for usado 443, Content Gateway iráescutar na porta 10443.

443* ouqualquer porta> 1024

HTTPS Dispositivos (a partir daInternet e Wi-Fi)

Servidor de retransmissão doUnified Access Gateway(retransmissão doContent Gateway)

Se for usado 443, Content Gateway iráescutar na porta 10443.

443* ouqualquer porta> 1024

TCP Serviços de dispositivo doAirWatch

Servidor de retransmissão doUnified Access Gateway(retransmissão doContent Gateway)

Se for usado 443, Content Gateway iráescutar na porta 10443.

443* ouqualquer porta> 1024

HTTPS Workspace ONE UEMConsole

Qualquer portana qualorepositório estáfazendoaescuta.

HTTP ouHTTPS

Endpoint doContent Gateway doUnified Access Gateway

Repositórios de conteúdobaseado na Web, como(SharePoint/WebDAV/CMISe assim por diante

Qualquer porta personalizada configuradana qual o site da Intranet está fazendo aescuta.

443* ouqualquer porta> 1024

HTTPS Unified Access Gateway(retransmissão doContent Gateway)

Endpoint doContent Gateway doUnified Access Gateway

Se for usado 443, Content Gateway iráescutar na porta 10443.

137 –139 e445

CIFS ouPME

Endpoint doContent Gateway doUnified Access Gateway

Repositórios baseados emcompartilhamento de rede(compartilhamentos dearquivos do Windows)

Compartilhamentos de Intranet

Observação Como o serviço do Content Gateway é executado como um usuário não raiz noUnified Access Gateway, o Content Gateway não pode ser executado nas portas do sistema e, portanto,as portas personalizadas devem ser > 1024.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 14

Page 15: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑6. Requisitos de porta para VMware Tunnel

PortaProtocolo Fonte Alvo/Destino Verificação

Observação(consulte a seçãoObservação naparte inferior dapágina)

2020*

HTTPS

Dispositivos (a partirda Internet e Wi-Fi)

Proxy doVMware Tunnel

Execute o seguinte comandoapós a instalação: netstat -tlpn | grep [Port]

8443*

TCP Dispositivos (a partirda Internet e Wi-Fi)

Per-App Tunnel doVMware Tunnel

Execute o seguinte comandoapós a instalação: netstat -tlpn | grep [Port]

1

Tabela 1‑7. Configuração básica do endpoint do VMware Tunnel

PortaProtocolo Fonte Alvo/Destino Verificação

Observação(consulte a seçãoObservação naparte inferior dapágina)

SaaS:443

:2001*

HTTPS

VMware Tunnel Servidor de AirWatchCloud Messaging

curl -Ivv https://<AWCM

URL>:<port>/awcm/status/pin

g

A resposta esperada é HTTP 200OK.

2

SaaS:443

Nolocal:80 ou443

HTTP ouHTTPS

VMware Tunnel Endpoint da REST APIdoWorkspace ONE UEMn SaaS:https://as

XXX.awmdm. com

ouhttps://asXXX.

airwatchportals

.com

n No local: Maiscomumente seuservidor de consoleou DS

curl -Ivv https://<API

URL>/api/mdm/ping

A resposta esperada é HTTP 401não autorizado.

5

80,443,qualquerTCP

HTTP,HTTPS ouTCP

VMware Tunnel Recursos internos Confirme se o VMware Tunnelpode acessar recursos internospela porta necessária.

4

514 * UDP VMware Tunnel Servidor de syslog

Nolocal:2020

HTTPS

Console doWorkspace ONE UEM

Proxy doVMware Tunnel

Os usuários no local podem testara conexão usando o comandotelnet :telnet <Tunnel ProxyURL> <port>

6

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 15

Page 16: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑8. Configuração em cascata do VMware Tunnel

PortaProtocolo Fonte Alvo/Destino Verificação

Observação(consulte a seçãoObservação naparte inferior dapágina)

SaaS:443

Nolocal:2001*

TLSv1.2

Front-end doVMware Tunnel

Servidor de AirWatchCloud Messaging

Confirme usando wget parahttps://<AWCM

URL>:<port>/awcm/status egarantindo que receberá umaresposta HTTP 200.

2

8443 TLSv1.2

Front-end doVMware Tunnel

Back-end doVMware Tunnel

Telnet do front-end doVMware Tunnel para o servidor deback-end do VMware Tunnel naporta

3

SaaS:443

Nolocal:2001

TLSv1.2

Back-end doVMware Tunnel

Servidor de AirWatchCloud Messaging

Confirme usando wget parahttps://<AWCM

URL>:<port>/awcm/status egarantindo que receberá umaresposta HTTP 200.

2

80 ou443

TCP Back-end doVMware Tunnel

Sitesinternos/aplicativosWeb

4

80,443,qualquerTCP

TCP Back-end doVMware Tunnel

Recursos internos 4

80 ou443

HTTPS

Front-end e back-enddo VMware Tunnel

Endpoint da REST APIdoWorkspace ONE UEMn SaaS:https://as

XXX.awmdm. com

ouhttps://asXXX.

airwatchportals

.com

n No local: Maiscomumente seuservidor de consoleou DS

curl -Ivv https://<API

URL>/api/mdm/ping

A resposta esperada é HTTP 401não autorizado.

5

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 16

Page 17: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑9. Configuração do endpoint de retransmissão do VMware Tunnel

PortaProtocolo Fonte Alvo/Destino Verificação

Observação(consulte a seçãoObservação naparte inferior dapágina)

SaaS:443

Nolocal:2001

HTTPouHTTPS

Retransmissão doVMware Tunnel

Servidor de AirWatchCloud Messaging

curl -Ivv https://<AWCM

URL>:<port>/awcm/status/pin

g

A resposta esperada é HTTP 200OK.

2

80 ou443

HTTPS ouHTTPS

Endpoint eretransmissão doVMware Tunnel

Endpoint da REST APIdoWorkspace ONE UEMn SaaS:https://as

XXX.awmdm. com

ouhttps://asXXX.

airwatchportals

.com

n No local: Maiscomumente seuservidor de consoleou DS

curl -Ivv https://<API

URL>/api/mdm/ping

A resposta esperada é HTTP 401não autorizado.

O endpoint do VMware Tunnelrequer acesso ao endpoint daREST API somente durante aimplantação inicial.

5

2010*

HTTPS

Retransmissão doVMware Tunnel

Endpoint doVMware Tunnel

Telnet da retransmissão doVMware Tunnel para o servidor deendpoint do VMware Tunnel naporta

3

80,443,qualquerTCP

HTTP,HTTPS ouTCP

Endpoint doVMware Tunnel

Recursos internos Confirme se o VMware Tunnelpode acessar recursos internospela porta necessária.

4

514 * UDP VMware Tunnel Servidor de syslog

Nolocal:2020

HTTPS

Workspace ONE UEM Proxy doVMware Tunnel

Os usuários no local podem testara conexão usando o comandotelnet :telnet <Tunnel ProxyURL> <port>

6

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 17

Page 18: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Observação Os seguintes pontos são válidos para os requisitos do VMware Tunnel.

* - Esta porta poderá ser alterada, se necessário, com base nas restrições do seu ambiente.

1 Se a porta 443 for usada, o Per-App Tunnel fará a escuta na porta 8443.

Observação Quando os serviços de VMware Tunnel e Content Gateway estão ativados no mesmoappliance, e o compartilhamento de porta TLS está ativado, os nomes DNS devem ser exclusivospara cada serviço. Quando o TLS não está ativado, apenas um nome DNS pode ser usado paraambos os serviços, pois a porta diferenciará o tráfego de entrada. (Para Content Gateway, se a porta443 for usada, o Content Gateway fará a escuta na porta 10443.)

2 Para o VMware Tunnel consultar o console do Workspace ONE UEM para fins de rastreamento econformidade.

3 Para as topologias de retransmissão do VMware Tunnel encaminhar solicitações de dispositivosomente para o endpoint interno do VMware Tunnel.

4 Para aplicativos utilizando o VMware Tunnel para acessar recursos internos.

5 O VMware Tunnel deve se comunicar com a API para a inicialização. Garanta que hajaconectividade entre a REST API e o servidor do VMware Tunnel. Vá para Grupos e ajustes > Todasas configurações > Sistema > Avançado > URLs do site para definir a URL do servidor da RESTAPI. Esta página não está disponível para clientes SaaS. A URL da REST API para clientes SaaSmais comumente é a URL do servidor do seu console ou serviços de dispositivos.

6 Isso é necessário para uma "Conexão de teste" bem-sucedida com o proxy do VMware Tunnel noconsole do Workspace ONE UEM. O requisito é opcional e pode ser omitido sem a perda defuncionalidade para os dispositivos. Para clientes de SaaS, o console do Workspace ONE UEMtalvez já tenha conectividade de entrada com o proxy do VMware Tunnel na porta 2020 devido aorequisito de Internet de entrada na porta 2020.

Requisitos do sistema para a implantação VMware Tunnelcom Unified Access GatewayPara implantar VMware Tunnel com Unified Access Gateway, certifique-se de que seu sistema atendaaos seguintes requisitos:

Requisitos do HypervisorUnified Access Gateway que implanta o VMware Tunnel requer um hypervisor para implantar o appliancevirtual. Você deve ter uma conta de administrador dedicada com privilégios totais para implantar o OVF.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 18

Page 19: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Hypervisors suportados

n VMware vSphere Web Client

Observação Você deve utilizar versões específicas dos produtos VMware com versões específicasdo Unified Access Gateway. O appliance do Unified Access Gateway deve ser implantado em umaversão do VMware vSphere que seja a mesma versão compatível para produtos e versões daVMware respectivamente.

n Microsoft Hyper-V no Windows Server 2012 R2 ou Windows Server 2016

Requisitos de softwareCertifique-se de que você tenha a edição mais recente do Unified Access Gateway. VMware Tunneloferece suporte à compatibilidade com versões anteriores entre Unified Access Gateway e o console deWorkspace ONE UEM. A compatibilidade com versões anteriores permite que você atualize seu servidorVMware Tunnel logo depois de atualizar o Workspace ONE UEM console. Para garantir a paridade entreWorkspace ONE UEM console e VMware Tunnel, considere planejar um upgrade antecipado.

Requisitos de HardwareO pacote OVF para o Unified Access Gateway seleciona automaticamente a configuração da máquinavirtual que o VMware Tunnel exige. Embora você possa alterar estas configurações,não altere o CPU, amemória ou o espaço em disco para valores inferiores às configurações padrão do OVF.

Para alterar as configurações padrão, desligue a VM no vCenter. Clique com botão direito na VM eselecione Editar configurações.

A configuração padrão usa 4 GB de RAM e 2 CPUs. Você deve alterar a configuração padrão paraatender os requisitos de hardware. Para lidar com todos os requisitos de manutenção e as cargas dodispositivo, considere executar no mínimo dois servidores VMware Tunnel.

Tabela 1‑10. Requisitos de Hardware

Quantidade dedispositivos Até 40000 De 40000 a 80000 De 80000 a 120000 De 120000 a 160000

Quantidade deservidores

2 3 4 5

Núcleos de CPU 4 núcleos de CPU * 4 núcleos de CPUcada

4 núcleos de CPUcada

4 núcleos de CPUcada

RAM (GB) 8 8 8 8

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 19

Page 20: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑10. Requisitos de Hardware (Continuação)

Quantidade dedispositivos Até 40000 De 40000 a 80000 De 80000 a 120000 De 120000 a 160000

Espaço em disco (GB) 10 GB para distribuição (somente Linux)

Instalador de 400 MB

aproximadamente 10 GB para espaço de arquivo de log * *

*É possível implantar apenas um appliance único VMware Tunnel como parte de uma implantação menor. No entanto, considerea implantação de pelo menos dois servidores com balanceamento de carga com quatro núcleos da CPU cada,independentemente do número de dispositivos para fins de tempo de atividade do sistema e de desempenho.

**10 GB para uma implantação típica. Dimensione o tamanho do arquivo de log com base no uso de log.e nas suasnecessidades para armazenar os logs.

Requisitos da Porta para o VMware Tunnel ProxyO VMware Tunnel Proxy pode ser configurado usando qualquer um dos dois modelos de configuração aseguir:

n Endpoint básico (camada única) usando um Endpoint do VMware Tunnel Proxy

n Endpoint de relê (várias camadas) usando uma retransmissão do VMware Tunnel Proxy e o endpointdo VMware Tunnel Proxy

Tabela 1‑11. Requisitos de porta para a configuração do Endpoint básico do VMware TunnelProxy

Fonte Destino Protocolo Porta Verificação Notas

Dispositivos (apartir da Internet eWi-Fi)

Endpoint doVMware TunnelProxy

HTTPS 2020 * Execute oseguinte comandoapós a instalação:netstat -tlpn |

grep [Port]

Os dispositivos seconectam ao DNSpúblicoconfigurado paraVMware Tunnelpela portaespecificada.

VMware TunnelEndpoint do Proxy

Servidor deAirWatch CloudMessaging

HTTPS SaaS:443

No-local: 2001*

curl -Ivv

https://<AWCM

URL>:<port>/awc

m/status/ping

A respostaesperada é HTTP200 OK.

Para o proxyVMware Tunnelconsultar oconsole doWorkspace ONEUEM para fins derastreamento econformidade. Issoprecisa oferecersuporte a ummínimo de TLS1.2.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 20

Page 21: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑11. Requisitos de porta para a configuração do Endpoint básico do VMware TunnelProxy (Continuação)

Fonte Destino Protocolo Porta Verificação Notas

VMware TunnelEndpoint do Proxy

UEM REST APIn SaaS‡:

https://asXXX.awmdm.comouhttps://asXXX.airwatchportals.com

n †Local: Maiscomumenteserviços dedispositivos ouservidor deconsole

HTTP ou HTTPS SaaS:443

No-local: 2001*

curl -Ivv

https://<API

URL>/api/mdm/pi

ng A respostaesperada é HTTP401

unauthorized

O proxyVMware Tunneldeve se comunicarcom a UEM RESTAPI para ainicialização. Noconsole deWorkspace ONEUEM, vá paraConfigurações egrupos > Todasas configurações> Sistema >Avançado > URLsdo Site paradefinir a URL daREST API. Estapágina não estádisponível paraclientes SaaSWorkspace ONEUEM. Paraclientes de SaaSWorkspace ONEUEM, a URL daREST API maiscomumente é aURL do Consoleou a URL deserviços dedispositivos.

VMware TunnelEndpoint do Proxy

Recursos internos HTTP, HTTPS ouTCP

80, 443, qualquerTCP

Confirme se oVMware Tunnelendpoint do proxypode acessar osrecursos internospela portanecessária.

Para aplicativosque usam o proxyVMware Tunnelpara acessarrecursos internos.Pontos deextremidadeexatos ou portassão determinadaspor onde essesrecursos estãolocalizados.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 21

Page 22: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑11. Requisitos de porta para a configuração do Endpoint básico do VMware TunnelProxy (Continuação)

Fonte Destino Protocolo Porta Verificação Notas

VMware TunnelEndpoint do Proxy

Servidor de syslog UDP 514*

Workspace ONEUEM console

VMware TunnelEndpoint do Proxy

HTTPS 2020 * Clientes †No-Localpodem testar aconexão usando ocomando: telnet<Tunnel

ProxyURL><port>

Isso é necessáriopara um “Teste deConexão” bem-sucedido para oEndpoint doVMware TunnelProxy noWorkspace ONEUEM console.

Tabela 1‑12. Requisitos de porta para a configuração do endpoint de retransmissão doVMware Tunnel Proxy

Fonte Destino Protocolo Porta Verificação Notas

Dispositivos (apartir da Internet eWi-Fi)

VMware TunnelRetransmissão deproxy

HTTPS 2020 * Execute oseguinte comandoapós a instalação:netstat -tlpn |

grep [Port]

Os dispositivos seconectam ao DNSpúblicoconfigurado paraVMware Tunnelpela portaespecificada.

VMware TunnelRetransmissão deproxy

Servidor deAirWatch CloudMessaging

HTTP ou HTTPS SaaS:443

No-local: 2001*

curl -Ivv

https://<AWCM

URL>:<port>/awc

m/status/ping

A respostaesperada é HTTP200 OK.

Para o proxyVMware Tunnelconsultar oconsole doWorkspace ONEUEM para fins derastreamento econformidade. Issoprecisa oferecersuporte a ummínimo de TLS1.2.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 22

Page 23: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑12. Requisitos de porta para a configuração do endpoint de retransmissão doVMware Tunnel Proxy (Continuação)

Fonte Destino Protocolo Porta Verificação Notas

VMware TunnelRetransmissão deproxy

UEM REST APIn SaaS‡:

https://asXXX.awmdm.comouhttps://asXXX.airwatchportals.com

n †Local: Maiscomumenteserviços dedispositivos ouservidor deconsole

HTTP ou HTTPS SaaS:443

No-local: 2001*

curl -Ivv

https://<API

URL>/api/mdm/pi

ng A respostaesperada é HTTP401

unauthorized

A retransmissãodo proxyVMware Tunnelrequer acesso àUEM REST APIsomente durante aimplantação inicial.

O proxyVMware Tunneldeve se comunicarcom a UEM RESTAPI para ainicialização. Noconsole deWorkspace ONEUEM, vá paraConfigurações egrupos > Todasas configurações> Sistema >Avançado > URLsdo Site paradefinir a URL daREST API. Estapágina não estádisponível paraclientes SaaSWorkspace ONEUEM. Paraclientes de SaaSWorkspace ONEUEM, a URL daREST API maiscomumente é aURL do Consoleou a URL deserviços dedispositivos.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 23

Page 24: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑12. Requisitos de porta para a configuração do endpoint de retransmissão doVMware Tunnel Proxy (Continuação)

Fonte Destino Protocolo Porta Verificação Notas

VMware TunnelEndpoint do Proxy

UEM REST APIn SaaS‡:

https://asXXX.awmdm.comouhttps://asXXX.airwatchportals.com

n †Local: Maiscomumenteserviços dedispositivos ouservidor deconsole

HTTP ou HTTPS SaaS:443

No-local: 2001*

curl -Ivv

https://<API

URL>/api/mdm/pi

ng A respostaesperada é HTTP401

unauthorized

A retransmissãodo proxyVMware Tunnelrequer acesso àUEM REST APIsomente durante aimplantação inicial.

O proxyVMware Tunneldeve se comunicarcom a UEM RESTAPI para ainicialização. Noconsole deWorkspace ONEUEM, vá paraConfigurações egrupos > Todasas configurações> Sistema >Avançado > URLsdo Site paradefinir a URL daREST API. Estapágina não estádisponível paraclientes SaaSWorkspace ONEUEM. Para osclientes SaaS doWorkspace ONEUEM,a URL daREST API é amais comumente aURL do Consoleou da URL dosserviços dedispositivos.

VMware TunnelRetransmissão deproxy

VMware TunnelEndpoint do Proxy

HTTPS 2010* O telnet daVMware Tunnelretransmissão deProxy para oendpoint doVMware TunnelProxy na porta2010.

Para encaminharas solicitações dedispositivo a partirdo relê para oservidor doendpoint. Issoprecisa oferecersuporte a ummínimo de TLS1.2.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 24

Page 25: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑12. Requisitos de porta para a configuração do endpoint de retransmissão doVMware Tunnel Proxy (Continuação)

Fonte Destino Protocolo Porta Verificação Notas

VMware TunnelEndpoint do Proxy

Recursos internos HTTP, HTTPS ouTCP

80, 443, qualquerTCP

Confirme se oVMware Tunnelendpoint do proxypode acessar osrecursos internospela portanecessária.

Para aplicativosque usam o proxyVMware Tunnelpara acessarrecursos internos.Pontos deextremidadeexatos ou portassão determinadaspor onde essesrecursos estãolocalizados.

VMware TunnelEndpoint do Proxy

Servidor de syslog UDP 514*

Console doWorkspace ONEUEM

VMware TunnelRetransmissão deproxy

HTTPS 2020 * Clientes †No-Localpodem testar aconexão usando ocomando: telnet<Tunnel

ProxyURL><port>

Isso é necessáriopara um “Teste deConexão” bem-sucedido para aretransmissão doVMware TunnelProxy noWorkspace ONEUEM Console.

NOTAS

n *Esta porta poderá ser alterada com base nas restrições do seu ambiente.

n † Local significa o local do console do Workspace ONE UEM.

n ‡ Para clientes SaaS que precisam autorizar a comunicação de saída, consulte o artigo da Base deConhecimento da VMware que lista os intervalos de IP atualizados: https://support.workspaceone.com/articles/115001662168-.

Requisitos de porta para o VMware Per-App TunnelO VMware Per-App Tunnel pode ser configurado com qualquer um dos dois modelos de configuração aseguir:

n Endpoint básico (camada única) usando um endpoint básico do VMware Per-App Tunnel

n Cascata (várias camadas) usando um front-end do VMware Per-App Tunnel e o Back-End doVMware Per-App Tunnel

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 25

Page 26: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑13. Requisitos de porta para a configuração de endpoint básico do VMware Per-AppTunnel

FonteDestino oudestino Protocolo Porta Verificação Notas

Dispositivos (a partir daInternet e Wi-Fi)

EndpointBásico doVMware Per-App Tunnel

TCP, UDP 8443* Execute o seguintecomando após ainstalação:netstat -tlpn |

grep [Port]

Os dispositivos seconectam ao DNSpúblicoconfigurado paraVMware Tunnelpela portaespecificada. Se a443 for usada, ocomponente doPer-App Tunnelfará a escuta naporta 8443.

Endpoint Básico doVMware Per-AppTunnel

Servidor deAirWatchCloudMessaging

HTTPS SaaS:443

No-local: 2001*

Confirme usandowget parahttps://<AWCM

URL>:<port>/awc

m/status ecertifique-se dereceber umaresposta HTTP200.

Para que oVMware Per-AppTunnel consulte oconsole doWorkspace ONEUEM para fins derastreamento econformidade. Issoprecisa oferecersuporte a ummínimo de TLS1.2.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 26

Page 27: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑13. Requisitos de porta para a configuração de endpoint básico do VMware Per-AppTunnel (Continuação)

FonteDestino oudestino Protocolo Porta Verificação Notas

Endpoint Básico doVMware Per-AppTunnel

Sitesinternos/aplicativosWeb/recursos

HTTP, HTTPS ouTCP

80, 443, qualquerTCP necessária

Para aplicativosque usam oVMware Per-AppTunnel paraacessar recursosinternos. Pontosde extremidadeexatos ou portassão determinadaspor onde essesrecursos estãolocalizados.

Endpoint Básico doVMware Per-AppTunnel

UEM RESTAPIn SaaS‡:

https://asXXX.awmdm.comouhttps://asXXX.airwatchportals.com

n †Local:Maiscomumenteserviçosdedispositivos ouservidordeconsole

HTTP ou HTTPS 80 ou 443 curl -Ivv

https://<API

URL>/api/mdm/pi

ng A respostaesperada é HTTP401

unauthorized

O VMware Per-App Tunnel devese comunicar coma UEM REST APIpara inicialização.No console deWorkspace ONEUEM, vá paraConfigurações egrupos > Todasas configurações> Sistema >Avançado >URLs do Sitepara definir a URLda REST API.Esta página nãoestá disponívelpara clientes SaaSWorkspace ONEUEM. Paraclientes de SaaSWorkspace ONEUEM, a URL daREST API maiscomumente é aURL do Consoleou a URL deserviços dedispositivos.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 27

Page 28: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑14. Requisitos de porta para a configuração de cascata do VMware Per-App Tunnel

FonteDestino oudestino Protocolo Porta Verificação Notas

Dispositivos (a partir daInternet e Wi-Fi)

Front-end doVMware Per-App Tunnel

TCP, UDP 8443* Execute oseguinte comandoapós a instalação:netstat -tlpn |

grep [Port]

Os dispositivos seconectam ao DNSpúblicoconfigurado paraVMware Tunnelpela portaespecificada. Se a443 for usada, ocomponente doPer-App Tunnelfará a escuta naporta 8443.

Front-end do VMwarePer-App Tunnel

Servidor deAirWatchCloudMessaging

HTTPS SaaS:443

No-local: 2001*

Confirme usandowget parahttps://<AWCM

URL>:<port>/awc

m/status ecertifique-se dereceber umaresposta HTTP200.

Para que oVMware Per-AppTunnel consulte oconsole doWorkspace ONEUEM para fins derastreamento econformidade. Issoprecisa oferecersuporte a ummínimo de TLS1.2.

Front-end do VMwarePer-App Tunnel

Back-end doVMware Per-App Tunnel

TCP 8443 O Telnet do front-end VMware Per-App Tunnel para oback-end doVMware Per-AppTunnel na porta8443.

Para encaminharsolicitações dedispositivo defront-end para oservidor de back-end. Isso precisaoferecer suporte aum mínimo de TLS1.2.

Back-end do VMwarePer-App Tunnel

Servidor deAirWatchCloudMessaging

HTTPS SaaS:443

No-local: 2001*

Confirme usandowget parahttps://<AWCM

URL>:<port>/awc

m/status ecertifique-se dereceber umaresposta HTTP200.

Para o VMwarePer-App Tunnelconsultar o consoledoWorkspace ONEUEM para fins derastreamento econformidade. Issoprecisa oferecersuporte a ummínimo de TLS1.2.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 28

Page 29: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑14. Requisitos de porta para a configuração de cascata do VMware Per-App Tunnel(Continuação)

FonteDestino oudestino Protocolo Porta Verificação Notas

Back-end do VMwareTunnel

Sitesinternos/aplicativosWeb/recursos

HTTP, HTTPS ouTCP

80, 443, qualquerTCP necessária

Para aplicativosque usam oVMware Per-AppTunnel paraacessar recursosinternos. Pontos deextremidadeexatos ou portassão determinadaspor onde essesrecursos estãolocalizados.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 29

Page 30: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑14. Requisitos de porta para a configuração de cascata do VMware Per-App Tunnel(Continuação)

FonteDestino oudestino Protocolo Porta Verificação Notas

Front-end do VMwarePer-App Tunnel

UEM RESTAPIn SaaS‡:

https://asXXX.awmdm.com ouhttps://asXXX.airwatchportals.com

n †Local:Maiscomumenteserviçosdedispositivos ouservidordeconsole

HTTP ou HTTPS 80 ou 443 curl -Ivv

https://<API

URL>/api/mdm/pi

ng A respostaesperada é HTTP401

unauthorized

O VMware Per-App Tunnel devese comunicar coma UEM REST APIpara inicialização.No console deWorkspace ONEUEM, vá paraConfigurações egrupos > Todasas configurações> Sistema >Avançado > URLsdo Site para definira URL da RESTAPI. Esta páginanão está disponívelpara clientes SaaSWorkspace ONEUEM. Para clientesde SaaSWorkspace ONEUEM, a URL daREST API maiscomumente é aURL do Consoleou a URL deserviços dedispositivos.

Back-end do VMwarePer-App Tunnel

UEM RESTAPIn SaaS‡:

https://asXXX.awmdm.com ouhttps://asXXX.airwatchportals.com

n †Local:Maiscomumenteserviçosdedispositiv

HTTP ou HTTPS 80 ou 443 curl -Ivv

https://<API

URL>/api/mdm/pi

ng A respostaesperada é HTTP401

unauthorized

O VMware Per-App Tunnel devese comunicar coma UEM REST APIpara inicialização.No console deWorkspace ONEUEM, vá paraConfigurações egrupos > Todasas configurações> Sistema >Avançado > URLsdo Site para definira URL da RESTAPI. Esta páginanão está disponívelpara clientes SaaSWorkspace ONEUEM.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 30

Page 31: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 1‑14. Requisitos de porta para a configuração de cascata do VMware Per-App Tunnel(Continuação)

FonteDestino oudestino Protocolo Porta Verificação Notas

os ouservidordeconsole

Workspace ONEUEMClientes deSaaS, a URL daREST API maiscomum é a URLdo Console ou aURL de serviçosdos dispositivos.

NOTAS

n *Esta porta poderá ser alterada com base nas restrições do seu ambiente.

n † Local significa o local do console do Workspace ONE UEM.

n ‡ Para clientes SaaS que precisam autorizar a comunicação de saída, consulte o artigo da Base deConhecimento da VMware que lista os intervalos de IP atualizados: https://support.workspaceone.com/articles/115001662168-.

Para clientes SaaS que precisam autorizar a comunicação de saída, consulte o seguinte artigo da Basede conhecimento que lista os intervalos de IP atualizados que a VMware no momento possui: intervalosde IP da VMware AirWatch para centros de dados de SaaS.

Requisitos de Conexão de Interface de RedeVocê pode utilizar uma, duas ou três interfaces de rede e o VMware Tunnel dispositivo virtual necessitade um endereço IP estático separado para cada uma delas. Muitas implementações do DMZ utilizamredes separadas para proteger tipos de tráfego diferentes.

Configure o dispositivo virtual de acordo com o design da rede do DMZ na qual está implementado.Consulte o administrador de rede para obter informações sobre a rede DMZ.

n Uma interface de rede é apropriada para (prova de conceitos) ou testes. Com uma interface de rede,os tráfegos externo, interno e de gerenciamento ficam todos na mesma sub-rede.

n Com duas interfaces de rede, o tráfego externo está em uma sub-rede e o tráfego interno e degerenciamento estão em outra.

n Com uma terceira interface de rede, os tráfegos externo, interno e de gerenciamento têm suaspróprias sub-redes.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 31

Page 32: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Topologias do balanceamento de carga doUnified Access GatewayUm appliance do Unified Access Gateway na DMZ pode ser configurado para apontar para um servidorou para um balanceador de carga que vá de encontro a um grupo de servidores. Os appliances doUnified Access Gateway funcionam com soluções de balanceamento de carga padrão de terceiros quesão configuradas para HTTPS.

Se o appliance do Unified Access Gateway apontar para um balanceador de carga na frente deservidores, a seleção da instância do servidor será dinâmica. Por exemplo, o balanceador de cargapoderá fazer uma seleção com base na disponibilidade e no conhecimento dele sobre o número desessões atuais em cada instância do servidor. As instâncias do servidor dentro do firewall corporativonormalmente têm um balanceador de carga para suportar o acesso interno. Com oUnified Access Gateway, você pode apontar o appliance do Unified Access Gateway para este mesmobalanceador de carga que está já sendo utilizado com frequência.

Você pode, alternativamente, ter um ou mais appliances doUnified Access Gateway apontando para umainstância individual do servidor. Em ambas as abordagens, utilize um balanceador de carga na frente dedois ou mais appliances do Unified Access Gateway na DMZ.

Figura 1‑1. Vários appliances do Unified Access Gateway atrás de um balanceador de carga

HorizonClients

Appliance do Unified Access

Gateway

DMZ

VMware vSphere

Internet

Hosts RDS e áreas detrabalho do Horizon

Servidores doHorizon

Connection

Balanceador de carga

CS CS

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 32

Page 33: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Protocolos do HorizonQuando um usuário do Horizon Client se conecta a um ambiente do Horizon, são utilizados váriosprotocolos diferentes. A primeira conexão é sempre o protocolo XML-API primário sobre o HTTPS. Apósa autenticação bem-sucedida, são criados um ou mais protocolos secundários.

n Protocolo primário do Horizon

O usuário insere um nome do host no Horizon Client e isso inicia o protocolo Horizon primário. Esseé um protocolo de controle para a autorização de autenticação e o gerenciamento de sessão. Oprotocolo usa mensagens XML estruturadas sobre HTTPS. Esse protocolo também é conhecidocomo protocolo de controle Horizon XML-API. Em um ambiente com carga balanceada como exibidona figura, os vários appliances do Unified Access Gateway atrás de um balanceador de carga, obalanceador de carga direciona essa conexão a um dos appliances do Unified Access Gateway. Nogeral, o balanceador de carga seleciona o appliance com base primeiramente na disponibilidade e,em seguida, escolhe a partir dos tráfegos de rotas de appliances disponíveis com base no menornúmero de sessões atuais. Essa configuração distribui uniformemente o tráfego de diferentesclientes no conjunto disponível de appliances do Unified Access Gateway.

n Protocolos secundários do Horizon

Após o Horizon Client estabelecer a comunicação segura com um dos appliances doUnified Access Gateway, o usuário faz a autenticação. Se essa tentativa de autenticação for bem-sucedida, uma ou mais conexões secundárias serão feitas do Horizon Client. Essas conexõessecundárias podem incluir o seguinte:

n Túnel HTTPS usado para encapsulamento dos protocolos TCP, como o RDP, o MMR/CDR e ocanal de estrutura do cliente. (TCP 443)

n Protocolo de exibição Blast Extreme (TCP 443, TCP 8443, UDP 443 e UDP 8443)

n Protocolo de exibição PCoIP (TCP 4172, UDP 4172)

Esses protocolos Horizon secundários devem ser encaminhados ao mesmo appliance doUnified Access Gateway ao qual o protocolo Horizon primário foi encaminhado. OUnified Access Gateway pode então autorizar os protocolos secundários com base na sessão de usuárioautenticada. Uma capacidade importante de segurança do Unified Access Gateway é que oUnified Access Gateway somente encaminha o tráfego ao centro de dados corporativo se o tráfegoestiver em nome de um usuário autenticado. Se o protocolo secundário for encaminhado erroneamente aum appliance do Unified Access Gateway diferente do appliance do protocolo primário, ele não seráautorizado e será colocado na DMZ. A conexão falha. O encaminhamento incorreto de protocolossecundários será um problema comum se o balanceador de carga não estiver configurado corretamente.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 33

Page 34: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Considerações de balanceamento de carga para o ContentGateway e o Tunnel ProxyLembre-se das seguintes considerações quando usar um balanceador de carga com o Content Gatewaye o Tunnel Proxy:

n Configure os balanceadores de carga para Enviar Cabeçalhos HTTP Originais e evitar problemas deconectividade do dispositivo. O Content Gateway e o Tunnel Proxy usam informações no cabeçalhoHTTP da solicitação para autenticar dispositivos.

n O componente Per-App Tunnel requer autenticação de cada cliente depois que uma conexão éestabelecida. Depois de conectados, uma sessão é criada para o cliente e armazenada na memória.A mesma sessão é usada para cada parte dos dados do cliente para que os dados possam sercriptografados e decodificados usando a mesma chave. Ao projetar uma solução de balanceamentode carga, o balanceador de carga deve ser configurado com a persistência baseada em IP/sessãoativada. Uma solução alternativa seria usar o round robin de DNS no lado do cliente, o que significaque o cliente pode selecionar um servidor diferente para cada conexão.

Monitoramento da integridadeUm balanceador de carga monitora a integridade de cada appliance Unified Access Gateway enviandouma solicitação de HTTPS GET /favicon.ico periodicamente. Por exemplo, https://uag1.myco-dmz.com/favicon.ico. Este monitoramento é configurado no balanceador de carga. Ele executará esteHTTPS GET e esperará uma resposta "HTTP/1.1 200 OK" do Unified Access Gateway para saber se eleestá "íntegro". Se ele receber uma resposta diferente da resposta "HTTP/1.1 200 OK" ou não obtivernenhuma, ele marcará o appliance específico Unified Access Gateway como inativo e não tentará rotearsolicitações de cliente para ele. Ele continuará a sondar para que possa detectar quando estiverdisponível novamente.

Unified Access Gateway pode ser colocado em modo de “desativar” após o qual ele não responderá asolicitação com uma resposta "HTTP/1.1 200 OK" de monitoramento de integridade de balanceador decarga. Em vez disso, ele responderá com "HTTP/1.1 503" para indicar que o serviçoUnified Access Gateway está temporariamente indisponível. Essa configuração é frequentemente usadaantes de manutenção programada, reconfiguração planejada ou atualização planejada de um applianceUnified Access Gateway. Nesse modo, o balanceador de carga não direcionará novas sessões para esteappliance porque ele será marcado como não disponível, mas pode permitir que as sessões existentescontinuem até que o usuário se desconecte ou o tempo máximo de sessão seja atingido.Consequentemente, esta operação não interromperá sessões de usuário existentes. O dispositivo, emseguida, estará disponível para manutenção após um máximo do timer sessão geral, que é normalmentede 10 horas. Esse recurso pode ser usado para realizar uma atualização contínua de um conjunto deappliances Unified Access Gateway em uma estratégia, resultando em zero tempo de inatividade dousuário para o serviço.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 34

Page 35: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Alta disponibilidade do Unified Access GatewayO Unified Access Gateway para serviços e produtos de computação para o usuário final precisa de altadisponibilidade para implantações no local do Workspace ONE e do VMware Horizon. No entanto, o usode balanceadores de carga de terceiros aumenta a complexidade do processo de implantação e soluçãode problemas. Essa solução reduz a necessidade de um balanceador de carga de terceiros noUnified Access Gateway front-end da zona desmilitarizada.

Observação Essa solução não é um balanceador de carga de finalidade genérica.

O Unified Access Gateway continua a oferecer suporte a balanceadores de carga de terceiros na frente,para usuários que preferem esse modo de implantação. Para obter mais informações, consulte Topologias de balanceamento de carga do Unified Access Gateway. Não há suporte para altadisponibilidade Unified Access Gateway para Amazon AWS e implantações do Microsoft Azure.

ImplementaçãoO Unified Access Gateway requer o endereço IP virtual do IPv4 e uma ID de grupo do administrador. OUnified Access Gateway atribui o endereço IP virtual a apenas um dos nós no cluster que estejaconfigurado com o mesmo endereço IP Virtual e ID de Grupo. Se o Unified Access Gateway mantendo oendereço IP virtual falhar, o endereço IP virtual será reatribuído automaticamente a um dos nósdisponíveis no cluster. A HA e a distribuição de carga ocorrem entre os nós no cluster que estáconfigurado com a mesma ID de grupo.

Várias conexões provenientes do mesmo endereço IP de origem são enviadas para o mesmoUnified Access Gateway, que processa a primeira conexão desse cliente para o Horizon e para o proxyreverso da Web. Essa solução é compatível com 10.000 conexões simultâneas no cluster.

Observação A afinidade de sessão é necessária para esses casos.

Para o VMware Tunnel (Per-App VPN) e os serviços do Content Gateway, a HA e a distribuição de cargasão feitas usando menos algoritmos de conexão.

Observação Essas conexões são independentes e a afinidade de sessão não é necessária.

Modo e afinidadeDiferentes serviços do Unified Access Gateway exigem algoritmos diferentes.

n Para o VMware Horizon e o proxy reverso da Web - A afinidade de IP de origem é usada com oalgoritmo round robin para distribuição.

n Para VMware Tunnel (Per-App VPN) e Content Gateway - Não há nenhuma afinidade de sessão emenos algoritmos de conexão são usados para distribuição.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 35

Page 36: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Métodos que são usados para distribuir o tráfego de entrada:

1 Afinidade IP de origem: mantém a afinidade entre a conexão do cliente e o nó doUnified Access Gateway. Todas as conexões com o mesmo endereço IP de origem são enviadaspara o mesmo nó do Unified Access Gateway.

2 Modo de round robin com alta disponibilidade: as solicitações de conexão de entrada sãodistribuídas entre o grupo de nós do Unified Access Gateway em sequência.

3 Menos modo de conexão com alta disponibilidade: uma nova solicitação de conexão é enviada parao nó do Unified Access Gateway com o menor número de conexões atuais dos clientes.

Observação A afinidade de IP de origem só funcionará se o IP da conexão de entrada for exclusivopara cada conexão do cliente. Exemplo: se houver um componente de rede, como um gateway SNATentre os clientes e o Unified Access Gateway, a afinidade do IP de origem não funcionará, pois o tráfegode entrada de vários clientes diferentes para o Unified Access Gateway tem o mesmo endereço IP deorigem.

Observação O endereço IP virtual deve pertencer à mesma sub-rede que a interface do eth0.

Pré-requisitosn O endereço IP virtual usado para HA deve ser exclusivo e disponível. O Unified Access Gateway não

é validado se ele for exclusivo durante a configuração. O endereço IP poderá ser exibido comoatribuído, mas poderá não ser acessível se uma máquina física ou VM estiver associada aoendereço IP.

n A ID do grupo deve ser exclusiva em uma determinada sub-rede. Se a ID do grupo não for exclusiva,um endereço IP virtual inconsistente poderá ser atribuído no grupo. Por exemplo, dois ou mais nósdo Unified Access Gateway podem acabar tentando adquirir o mesmo endereço IP virtual. Ele podefazer com que o endereço IP virtual seja alternado entre vários nós do Unified Access Gateway.

n Para configurar a HA para o Horizon ou o proxy reverso da Web, certifique-se de que o certificado doservidor TLS em todos os nós do Unified Access Gateway sejam os mesmos.

Limitaçõesn O IPv4 é compatível com o endereço IP virtual flutuante. O IPv6 não é compatível.

n Apenas alta disponibilidade do TCP é compatível.

n A alta disponibilidade do UDP não é compatível.

n Com o caso de uso do VMware Horizon, somente o tráfego XML API do Servidor de conexãoHorizon usa alta disponibilidade. A alta disponibilidade não é usada para distribuir a carga para otráfego de protocolo (exibição), como Blast, PCoIP e RDP. Portanto, os endereços IP individuais denós do Unified Access Gateway também deverão estar acessíveis aos clientes do VMware Horizon,além do endereço IP virtual.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 36

Page 37: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Configuração necessária para HA em cadaUnified Access GatewayPara configurar a HA no Unified Access Gateway, consulte Definir as configurações de altadisponibilidade.

Defina as configurações de alta disponibilidadePara usar a Unified Access Gateway alta disponibilidade, você ativa e define as Configurações de AltaDisponibilidade na interface do usuário administrador.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Na seção Configurações Avançadas, clique no ícone de engrenagem de Configurações de AltaDisponibilidade.

3 Na página de Configurações de Alta Disponibilidade, mude de DESATIVADO para ATIVADO paraativar a alta disponibilidade.

4 Configure os parâmetros.

Opção Descrição

Endereço IP Virtual Um endereço IP virtual válido usado pela HA.

Observação O endereço IP virtual usado para HA deve ser exclusivo edisponível. Se um endereço exclusivo não for definido, o endereço IP poderá serexibido como atribuído, mas poderá não ser alcançável se uma VM ou máquinafísica estiver associada ao endereço IP.

ID do Grupo A ID do grupo para a HA. Insira um valor numérico entre 1 e 255.

Observação A ID do grupo deve ser exclusiva em uma determinada sub-rede.Se uma ID de grupo exclusiva não estiver definida, o efeito poderá resultar emum endereço IP virtual inconsistente atribuído no grupo. Por exemplo, se umendereço IP de dois ou mais gateways no Unified Access Gateway puder acabartentando adquirir o mesmo endereço IP virtual.

5 Clique em Salvar.

n Os diferentes estados das Configurações de Alta Disponibilidade indicam o seguinte:

n Não Configurado: indica que as Configurações de Alta Disponibilidade não estãoconfiguradas.

n Processando: indica que as Configurações de Alta Disponibilidade estão sendo processadaspara entrar em vigor.

n Mestre: indica que o nó é eleito como o mestre no cluster e distribui tráfego.

n Backup: indica que o nó está no estado de backup no cluster.

n Falha: indica que o nó pode ter falhas com configuração de proxy de HA.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 37

Page 38: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Unified Access Gateway configurado com HorizonVários Unified Access Gateway são configurados com as mesmas configurações do Horizon e a altadisponibilidade está ativada em cada Unified Access Gateway.

Há um nome de host externo comum usado para o protocolo XML API. Esse nome de host externocomum é mapeado para o IP flutuante definido nas configurações de HA nos nós doUnified Access Gateway. O tráfego de área de trabalho não usa alta disponibilidade e a carga não édistribuída, portanto, essa solução requer N + 1 VIP para Horizon, onde N é o número de nósimplantados do Unified Access Gateway. Em cada Unified Access Gateway, a URL externa do Blast, doPCoIP e do Tunnel devem ser endereços IP externos ou mapeamento de nomes de host para oendereço IP eth0 do Unified Access Gateway correspondente. Os clientes que se conectam por meio deuma rede deficiente e usam a conexão UDP para a API XML chegam no mesmoUnified Access Gateway que recebeu a primeira conexão da UDP XML API.

Figura 1‑2. Unified Access Gateway configurado com o Horizon

Cliente 1

Componente de HA

Blast/PCoIP Gateway

Blast/PCoIP Gateway

Edge Service Manager

Edge Service Manager

Balanceador de Carga Externo

Servidor de Conexão 1

Servidor de Conexão 2

Horizon Desktops

Cliente 2

Protocolo de Área de Trabalho no UAG1 IP(Blast)

Tráfego de API XML

no IP Flutuante Porta 443

Protocolo de Área de Trabalho no UAG2 IP(Blast)

API XML do Cliente 2

API XML do Cliente 1

UAG 2

UAG 1 (Mestre)

Modo e Afinidade: a afinidade é baseada no endereço IP de origem. A primeira conexão do cliente édistribuída usando o mecanismo round robin. No entanto, as conexões subsequentes do mesmo clientesão enviadas para o mesmo Unified Access Gateway que manipulou a primeira conexão.

Conexão do VMware Tunnel (Per-App VPN) com a configuraçãobásicaO VMware Tunnel (Per-App VPN) é configurado com as configurações básicas no console doWorkspace ONE UEM.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 38

Page 39: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

O nome de host do servidor do Tunnel configurado no console do Workspace ONE UEM para asconfigurações do VMware Tunnel (Per-App VPN) resolve para o endereço IP flutuante configurado paraHA no Unified Access Gateway. As conexões neste endereço IP flutuante são distribuídas entre os nósconfigurados no Unified Access Gateway.

Figura 1‑3. Conexão do VMware Tunnel (Per-App VPN) com a configuração básica

Cliente 1

Componente de HA

VMware Tunnel Service

VMware Tunnel Service

Servidor de Back-end

Cliente 2

Acessar servidor back-end usando o nome do host do túnel

Tráfego de Cliente 2 para o Servidor Back-end

UAG 2

UAG 1 (Mestre)

Tráfego de Cliente 1 para servidor

Back-end

Modo e Afinidade: o algoritmo de menos conexões é usado para HA e distribuição de carga. Uma novasolicitação é enviada ao servidor com o menor número de conexões atuais aos clientes. A afinidade desessão não é necessária, pois possui conexões independentes.

Conexões do VMware Tunnel (Per-App VPN) em modo cascataO VMware Tunnel (Per-App VPN) é configurado com as configurações em cascata no console doWorkspace ONE UEM.

Dois nomes de host do servidor do Tunnel são configurados no console do Workspace ONE UEM para ofront-end e para o back-end. Podemos implantar dois conjuntos de nós no Unified Access Gateway parafront-end e back-end, respectivamente.

Os nós front-end no Unified Access Gateway são configurados com um nome de host de servidor doTunnel de front-end. As configurações de HA em nós front-end no Unified Access Gateway são definidascom um endereço IP flutuante externo. O nome de host do servidor do Tunnel de front-end fica resolvidopara o endereço IP flutuante externo. As conexões neste endereço IP flutuante externo são distribuídasentre os nós front-end no Unified Access Gateway.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 39

Page 40: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Os nós back-end no Unified Access Gateway são configurados com o nome de host do servidor doTunnel de back-end. As configurações de HA em nós back-end no Unified Access Gateway são definidascom um endereço IP flutuante interno. O serviço do VMware Tunnel (Per-App VPN) em nós front-end noUnified Access Gateway encaminha o tráfego para o back-end usando o nome de host do servidor doTunnel de back-end. O nome de host do servidor do Tunnel de back-end obtém resolvido para oendereço IP flutuante interno. As conexões neste endereço IP flutuante interno são distribuídas entre osnós back-end no Unified Access Gateway.

Figura 1‑4. Conexões do VMware Tunnel (Per-App VPN) em modo cascata

Cliente 1

Componente de HA

VMware Tunnel Service

VMware Tunnel Service

Servidor de Back-end

Cliente 2

Túnel estabelecido usando o nome de

host do túnel front-end

UAGs do Front-end UAGs do Back-end

Tráfego de Cliente 2

UAG 2

UAG 1 (Mestre)

Tráfego de Cliente 1 Encaminhado para

nome do host do túnel Back-end

Tráfego de Cliente 2 Encaminhado para

nome do host do túnel Back-end

Tráfego de Cliente 1

Componente de HA

VMware Tunnel Service

VMware Tunnel Service

Tráfego de Cliente 2

UAG 1

UAG 2 (Mestre)

Tráfego de Cliente 1

Modo e Afinidade: o algoritmo de menos conexões é usado para HA e distribuição de carga. Uma novasolicitação é enviada ao servidor com o menor número de conexões atuais aos clientes. A afinidade desessão não é necessária, pois possui conexões independentes.

Configuração básica do Content GatewayO Content Gateway está configurado com as configurações básicas no console doWorkspace ONE UEM.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 40

Page 41: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

O nome de host do servidor do Content Gateway configurado no console do Workspace ONE UEM paraas configurações do Content Gateway resolve o endereço IP flutuante configurado para HA noUnified Access Gateway. As conexões neste IP flutuante têm as cargas balanceadas entre os nósconfigurados no Unified Access Gateway.

Figura 1‑5. Configuração básica do Content Gateway

Cliente 1

Componente de HA

Serviço do Content Gateway

Serviço do Content Gateway

Repositório Interno

Cliente 2

Acessar o Repositório usando o nome

do host CG

Tráfego de Cliente 2 para Repositório Interno

UAG 2

UAG 1 (Mestre)

Tráfego de Cliente 1 para Repositório

Interno

Modo e Afinidade: o algoritmo de menos conexões é usado para HA e distribuição de carga. Uma novasolicitação é enviada ao servidor com o menor número de conexões atuais aos clientes. A afinidade desessão não é necessária, pois é independente.

Content Gateway com configuração de Retransmissão e EndpointO Content Gateway é configurado com a configuração de Retransmissão e Endpoint no console doWorkspace ONE UEM.

Dois nomes de host do servidor do Content Gateway estão configurados no console doWorkspace ONE UEM para Retransmissão e Endpoint. Dois conjuntos de nós noUnified Access Gateway são implantados para Retransmissão e Endpoint.

Os nós de Retransmissão no Unified Access Gateway são configurados com o nome de host do servidorde Retransmissão do Content Gateway. As configurações de HA em nós de Retransmissão noUnified Access Gateway são configuradas com um endereço IP flutuante externo. O nome de host doservidor de Retransmissão do Content Gateway fica resolvido para o endereço IP flutuante externo. Asconexões neste IP flutuante têm as cargas balanceadas entre os nós de Retransmissão noUnified Access Gateway.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 41

Page 42: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Os nós de Endpoint no Unified Access Gateway são configurados com o nome de host do servidor deTunnel do Endpoint. As configurações de HA em nós de Endpoint no Unified Access Gateway sãoconfiguradas com um endereço IP flutuante interno. O serviço do Content Gateway no front-end doUnified Access Gateway encaminha o tráfego para o Endpoint usando o nome de host do servidor deEndpoint do Content Gateway. O nome de host do servidor de Endpoint do Content Gateway ficaresolvido para o endereço IP flutuante interno. As conexões neste endereço IP flutuante interno têmcarga balanceada entre os nós de Endpoint no Unified Access Gateway.

Figura 1‑6. Content Gateway com configuração de Retransmissão e Endpoint

Cliente 1

Componente de HA

Serviço do Content Gateway

Serviço do Content Gateway

Repositório Interno

Cliente 2

Acessar o Repositório usando o nome do hostde Retransmissão CG

Retransmissão

Tráfego de Cliente 2

UAG 2

UAG 1 (Mestre)

Tráfego de Cliente 1 Encaminhado para o nome

do host CG do endpoint

Tráfego de Cliente 2 Encaminhado para o nome

do host CG do endpoint

Tráfego de Cliente 1

Componente de HA

Serviço do Content Gateway

Serviço do Content Gateway

Endpoint

Tráfego de Cliente 2

UAG 1

UAG 2 (Mestre)

Tráfego de Cliente 1

Modo e Afinidade: o algoritmo de menos conexões é usado para HA e distribuição de carga. Uma novasolicitação é enviada ao servidor com o menor número de conexões atuais aos clientes. A afinidade desessão não é necessária, pois possui conexões independentes.

Design da DMZ para o Unified Access Gateway com váriasplacas de interface de redeUma das definições de configuração para o Unified Access Gateway é o número de placas de interfacede rede (Network Interface Cards, NICs) virtuais a serem utilizadas. Ao implantar oUnified Access Gateway, você seleciona uma configuração de implantação para sua rede.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 42

Page 43: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

É possível especificar uma, duas ou três configurações de NICS que são especificadas como onenic,twonic ou threenic.

Reduzir o número de portas abertas em cada LAN virtual e separar os tipos diferentes de tráfego de redepode melhorar a segurança de forma significativa. Os benefícios são principalmente em termos deseparação e isolamento dos tipos diferentes de tráfego de rede como parte de uma estratégia de designde segurança da DMZ de defesa em profundidade. Isso pode ser conquistado ao implementarcomutadores físicos separados dentro da DMZ, com várias LANs virtuais dentro da DMZ ou como partede uma DMZ totalmente gerenciada pelo VMware NSX.

Implementação típica da DMZ com NIC únicaA implantação mais simples de um Unified Access Gateway é com uma única NIC, onde todo o tráfegode rede é combinado em uma única rede. O tráfego do firewall voltado para a Internet é direcionado aum dos appliances disponíveis do Unified Access Gateway. O Unified Access Gateway então encaminhao tráfego autorizado através do firewall interno aos recursos na rede interna. O Unified Access Gatewaydescarta o tráfego não autorizado.

Figura 1‑7. Opção NIC única do Unified Access Gateway

Appliances de NIC única do UnifiedAccess Gateway

que combinam tráfego de front-end,

de back-end ede gerenciamento

Rede única combinada

Appliance do Unified Access Gateway

DMZ

RedeInterna

Firewall interno

Firewall voltado para a Internet

Balanceador de carga

Internet

Separando o tráfego de usuário não autenticado do tráfego deback-end e de gerenciamentoUma alternativa para a implementação de NIC única é especificar duas NICs. A primeira ainda é usadapara Internet voltada para o acesso não autenticado, mas o tráfego autenticado de back-end e o tráfegode gerenciamento são separados em uma rede diferente.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 43

Page 44: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Figura 1‑8. Opção com duas NICs do Unified Access Gateway

Appliances do AccessPoint de NIC

duplo que separam o tráfego de front-end

sem autenticaçãodo tráfego de

gerenciamento d dotráfego de back-end

autenticado

Rede de front-end

Appliance do Unified Access Gateway

Rede combinadade gerenciamentoe de back-end

DMZ

RedeInterna

Firewall interno

Firewall voltado para a Internet

Balanceador de carga

Internet

Em uma implantação com duas NICs, o Unified Access Gateway deve autorizar o tráfego que para arede interna pelo firewall interno. O tráfego não autorizado não está nessa rede de back-end. O tráfegode gerenciamento como a API REST para o Unified Access Gateway está somente nesta segunda rede

Se um dispositivo na rede de front-end sem autenticação foi comprometido, como o balanceador decarga, então a reconfiguração do dispositivo para ignorar o Unified Access Gateway não é possível nestaimplantação com duas NICs. Ela combina as regras de firewall da camada 4 com a segurança doUnified Access Gateway da camada 7. De maneira semelhante, se o firewall voltado para a Internet foiconfigurado de maneira errada para permitir a passagem pela porta 9443 TCP, isso ainda não deixaria aAPI REST de gerenciamento do Unified Access Gateway exposta a usuários da Internet. Um princípio dedefesa em profundidade utiliza vários níveis de proteção, como saber que um único erro de configuraçãoou ataque de sistema não cria necessariamente uma vulnerabilidade geral

Em uma implantação com duas NICs, é possível colocar sistemas de infraestrutura adicionais, comoservidores DNS, servidores de Gerenciador de Autenticação do RSA SecurID na rede de back-enddentro da DMZ para que estes servidores não estejam visíveis na rede voltada para a Internet. Colocarsistemas de infraestrutura dentro da DMZ protege contra ataques de camada 2 da LAN voltada para aInternet a partir de um sistema de front-end comprometido e reduz efetivamente a superfície geral deataque.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 44

Page 45: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

A maior parte do tráfego de rede do Unified Access Gateway consiste nos protocolos de exibição paraBlast e PCoIP. Com uma NIC única, o tráfego de protocolo de exibição de e para a Internet é combinadocom tráfego de e para os sistemas de back-end. Quando duas ou mais NICs são utilizadas, o tráfego éespalhado em NICs de front-end e back-end e em redes. Isso reduz o potencial de gargalo de uma NICúnica e resulta em benefícios de desempenho.

O Unified Access Gateway suporta uma separação adicional ao permitir também a separação do tráfegode gerenciamento em uma LAN de gerenciamento específico. O tráfego de gerenciamento HTTPS paraa porta 9443 só é possível a partir da LAN de gerenciamento.

Figura 1‑9. Opção com três NICs do Unified Access Gateway

Appliances do Unified Access Gateway com três

NICs que fornecem umaseparação completa do

tráfego de front-end,

o tráfego de back-end autenticado e o tráfego

de gerenciamento

sem autenticação

Rede de front-end

Appliance do Unified Access Gateway

Rede de back-end

DMZ

RedeInterna

Firewall interno

Firewall voltado para a Internet

Balanceador de carga

Internet

Rede de gerenciamento

Atualização com tempo de inatividade zeroO upgrade sem tempo de inatividade permite o upgrade para o Unified Access Gateway sem que hajatempo de inatividade para os usuários.

Quando o valor do modo quiesce for SIM, o appliance do Unified Access Gateway será mostrado comoindisponível quando o balanceador de carga verificar a integridade do appliance. As solicitações quechegam ao balanceador de carga são enviadas ao próximo appliance do Unified Access Gateway queestá atrás do balanceador de carga.

Pré-requisitos

n Dois ou mais appliances do Unified Access Gateway configurados atrás do balanceador de carga.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 45

Page 46: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

n A definição da URL de Verificação de Integridade configurada com uma URL com a qual obalanceador de carga se conecta para verificar a integridade do appliance doUnified Access Gateway.

n Verifique a integridade do appliance no balanceador de carga. Digite o comando API REST do GEThttps://mycoUnifiedAccessGateway.com:443/favicon.ico.

A resposta é HTTP/1.1 200 OK, se o modo quiesce estiver definido como Não ou HTTP/1.1 503, seo modo quiesce estiver definido como Sim.

Observação n Não use nenhuma outra URL; use apenas esta: GET

https://mycoUnifiedAccessGateway.com:443/favicon.ico. Isso causará uma resposta destatus incorreto e fugas de recursos.

n favicon.ico não é compatível com os serviços do Content Gateway e do VMware Tunnel.

n A atualização com zero tempo de inatividade se aplica apenas ao Horizon e ao Proxy Reversoda Web.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Na seção Configurações avançadas, clique no ícone de engrenagem Configuração do Sistema.

3 Na linha do Modo quiesce, habilite SIM para pausar o appliance do Unified Access Gateway.

Quando o appliance for parado, as sessões existentes que o appliance atendia são mantidas durante10 horas. As sessões serão fechadas após esse período.

4 Clique em Salvar.

As novas solicitações que chegam ao balanceador de carga são enviadas ao próximo appliance doUnified Access Gateway.

Próximo passo

n Para uma implantação do vSphere:

a Faça backup do arquivo JSON exportando o arquivo.

b Exclua o appliance do Unified Access Gateway antigo.

c Implante a nova versão do appliance do Unified Access Gateway.

d Importe o arquivo JSON que você exportou anteriormente.

n Para uma implantação do PowerShell:

a Exclua o appliance do Unified Access Gateway.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 46

Page 47: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

b Reimplante o Unified Access Gateway com o mesmo arquivo INI que foi usado durante aprimeira implantação. Consulte Usando o PowerShell para implementar o appliance do UnifiedAccess Gateway.

Observação Se você vir uma mensagem de erro de certificado de Servidor do Túnel após habilitarnovamente o balanceador de carga, aplique o mesmo certificado de servidor SSL e arquivos PEM dechave privada que foram usados anteriormente no appliance do Unified Access Gateway. Isso énecessário porque o arquivo JSON ou INI não pode conter as chaves privadas associadas a umcertificado de servidor SSL, pois as chaves privadas não podem ser exportadas, por motivos desegurança. Com uma implantação do PowerShell, isso é feito automaticamente e você não precisareaplicar o certificado.

Implantando o Unified Access Gateway sem o perfil deprotocolo de rede (NPP)A versão mais recente do Unified Access Gateway não aceita as configurações de gateway padrão emáscara de rede ou prefixo a partir do perfil de protocolo de rede.

Você deve fornecer essas informações de rede durante a implantação da sua instância doUnified Access Gateway.

No caso de implantação estática, ao configurar a sua instância do Unified Access Gateway, especifique oendereço IPv4 ou IPv6, a máscara de rede ou o prefixo para as respectivas NICs e o gateway padrão deIPv4/IPv6. Se você não fornecer essas informações, o padrão será DHCPV4+DHCPV6 para a alocaçãode endereço IP.

Observe o seguinte ao configurar as propriedades de rede:

n Se você selecionar STATICV4 para o IPMode de uma NIC, deverá especificar a máscara de rede eendereço IPv4 para essa NIC.

n Se você selecionar STATICV6 para o IPMode de uma NIC, deverá especificar a máscara de rede deendereço IPv6 para essa NIC.

n Se você selecionar STATICV4 e STATIC V6 para o IPMode de uma NIC, deverá especificar amáscara de rede e o endereço IPv4 e IPv6 para essa NIC.

n Se você não fornecer as informações de endereço e de máscara de rede, os valores serão alocadospelo servidor DHCP.

n As propriedades de gateway padrão de IPv4 e IPv6 são opcionais e deverão ser especificadas se oUnified Access Gateway precisar se comunicar com um endereço IP que não esteja em umsegmento local de qualquer NIC no Unified Access Gateway.

Consulte Implementar o Unified Access Gateway usando o assistente modelo do OVF para obter maisinformações sobre como configurar as propriedades de rede.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 47

Page 48: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Entrar ou sair do Programa de aperfeiçoamento daexperiência do clienteO Programa de Programa de aperfeiçoamento da experiência do cliente (CEIP) da VMware ofereceinformações que a VMware utiliza para melhorar seus produtos e serviços, para solucionar problemas epara lhe orientar sobre como usar melhor os produtos da VMware.

Este produto participa do Programa de aperfeiçoamento da experiência do cliente (“CEIP”) da VMware.Detalhes com relação aos dados coletados através do CEIP e aos propósitos para os quais sãoutilizados pela VMware são estabelecidos no Trust & Assurance Center em https://www.vmware.com/br/solutions/trustvmware/ceip.html.

Para este produto você poderá entrar ou sair do CEIP a qualquer momento na IU do administrador.

Procedimentos

1 Em Configurações avançadas > Configuração do sistema, selecione Sim ou Não.

Se você selecionar Sim, a caixa de diálogo Programa de aperfeiçoamento da experiência do clienteserá exibida com a caixa de seleção marcada para indicar que você está entrando para o programa.

2 Revise as informações na caixa de diálogo e clique em Fechar.

3 Clique em Salvar na página Configuração do sistema para salvar suas alterações.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 48

Page 49: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Implementação do appliance doUnified Access Gateway 2O Unified Access Gateway é colocado em um pacote como um OVF e é implantado em um vSphere ESXou host do ESXi como um appliance virtual pré-configurado.

Podem ser usados dois métodos primários para instalar o appliance do Unified Access Gateway em umvSphere ESX ou host do ESXi. As funções do Microsoft Server 2012 e do Hyper-V 2016 sãocompatíveis.

n O Cliente do vSphere ou o Cliente da Web do vSphere podem ser utilizados para a implantação domodelo OVF do Unified Access Gateway. Você recebe um aviso para configurações básicas,incluindo a configuração de implementação da NIC, endereço IP e senhas da interface degerenciamento. Após o OVF ser implementado, faça o login na interface de usuário administrador doUnified Access Gateway para ajustar as configurações de sistema do Unified Access Gateway,definir os serviços de borda seguros em vários casos de uso e configurar a autenticação na DMZ.Consulte Implementar o Unified Access Gateway usando o assistente modelo do OVF.

n Os scripts PowerShell podem ser usados para implementar o Unified Access Gateway e definirserviços de borda seguros em vários casos de uso. Você pode baixar o arquivo compactado,configurar o script do PowerShell para o seu ambiente e executar o script para implantar oUnified Access Gateway. Consulte Usando o PowerShell para implementar o appliance do UnifiedAccess Gateway.

Observação Para os casos de uso do Per-App Tunnel e do proxy, você pode implantar oUnified Access Gateway em ambientes do ESXi ou do Microsoft Hyper-V.

Observação Nos dois métodos acima de implantação, se você não fornecer a senha da interface deusuário do administrador no momento da implantação, não poderá adicionar um usuário da interface deusuário do administrador posteriormente para ativar o acesso à interface de usuário do administrador ouà API. Se você desejar fazer isso, deverá reimplantar sua instância do Unified Access Gateway com umasenha válida.

Este capítulo inclui os seguintes tópicos:

n Usando o assistente modelo do OVF para implantar o Unified Access Gateway

n Configurando o Unified Access Gateway a partir das páginas de configuração do administrador

n Atualizar certificados assinados de servidor SSL

VMware, Inc. 49

Page 50: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Usando o assistente modelo do OVF para implantar oUnified Access GatewayPara implantar o Unified Access Gateway, implante o modelo do OVF usando o vSphere Client ou ovSphere Web Client, ligue o appliance e defina as configurações.

Ao implantar o OVF, você configura o número necessário de interfaces de rede (NIC), o endereço IP e assenhas do administrador e de raiz.

Após a implantação do Unified Access Gateway, vá para a interface de usuário de administração (IU)para configurar o ambiente do Unified Access Gateway. Na IU do administrador, configure os recursos daárea de trabalho e do aplicativo e os métodos de autenticação a serem usados na DMZ. Para fazer logonnas páginas IU do administrador, vá para https://<mycoUnifiedGatewayAppliance>.com:9443/admin/index.html.

Implementar o Unified Access Gateway usando o assistentemodelo do OVFVocê pode implantar o appliance do Unified Access Gatewayefetuando logon no vCenter Server eutilizando o assistente Implantar Modelo OVF.

Há duas versões do OVA do Unified Access Gateway disponíveis, OVA padrão e versão FIPS do OVA.

A versão FIPS do OVA é compatível com os seguintes serviços de borda:

n Horizon (apenas autenticação de passagem)

n VMware Per-App Tunnel

Importante A versão FIPS 140-2 é executada com o conjunto de cifras e hashes do certificado FIPS etem serviços restritivos habilitados que são compatíveis com bibliotecas FIPS certificadas. Quando oUnified Access Gateway é implantado no modo FIPS, o appliance não pode ser alterado para o modo deimplantação OVA padrão.

Opções de dimensionamento do Unified Access Gateway

Para simplificar a implantação do appliance do Unified Access Gateway como o gateway de segurançado Workspace ONE, opções de dimensionamento são adicionadas às configurações de implantação noappliance. A configuração de implantação oferece a escolha entre uma máquina virtual Padrão ouGrande.

n Padrão: essa configuração é recomendada para a implantação do Horizon com suporte a até 2000conexões do Horizon, alinhadas com a capacidade do Servidor de conexão. Também érecomendada para implantações do Workspace ONE UEM (casos de uso móvel) com suporte a até10.000 conexões simultâneas.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 50

Page 51: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

n Grande: essa configuração é recomendada para implantações do Workspace ONE UEM, nas quaiso Unified Access Gateway precisa ter suporte a mais de 10.000 conexões simultâneas. Essetamanho permite que o Content Gateway, o Per App Tunnel e Proxy e o Proxy reverso usem omesmo appliance do Unified Access Gateway.

Observação Opções da VM para implantações Grande e Padrão:

n Padrão - 2 núcleos e 4 GB de RAM

n Grande - 4 núcleos e 16 GB de RAM

Pré-requisitos

n Revise as opções de implantação disponíveis no assistente. Consulte Requisitos de sistema e derede do Unified Access Gateway.

n Determine quantas interfaces de rede e endereços IP estáticos devem ser configurados para oappliance do Unified Access Gateway. Consulte Requisitos de configuração de rede.

n Faça o download do arquivo do instalador .ova para o appliance do Unified Access Gateway no siteda VMware em https://my.vmware.com/web/vmware/downloads ou determine a URL a ser utilizada(exemplo: http://exemplo.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova), ondeY.Y é o número da versão e xxxxxxx é o número de compilação.

n Em caso de uma implantação do Hyper-V, e se você estiver fazendo upgrade doUnified Access Gateway com IP estático, exclua o appliance mais antigo antes de implantar ainstância mais recente do Unified Access Gateway.

n Para fazer upgrade do seu appliance antigo para uma nova instância do Unified Access Gatewaysem tempo de inatividade para os usuários, consulte a seção Atualização com tempo de inatividadezero.

Procedimentos

1 Utilize o cliente nativo do vSphere ou o vSphere Web Client para efetuar logon em uma instância dovCenter Server.

Para uma rede IPv4, utilize o Cliente nativo do vSphere ou o vSphere Web Client. Para uma redeIPv6, utilize o vSphere Web Client.

2 Selecione um comando de menu para iniciar o assistente Implantar modelo OVF.

Opção Comando de Menu

vSphere Client Selecione Arquivo > Implementar Modelo OVF.

vSphere Web Client Selecione um objeto de inventário que seja um objeto parente válido de umamáquina virtual, como um centro de dados, pasta, cluster, pool de recursos ouhost e, no menu Ações, selecione Implementar Modelo OVF.

3 Na página Selecionar origem, navegue até a localização do arquivo .ova que baixou ou insira uma

URL e clique em Avançar.

Revise os detalhes do produto, a versão e os requisitos de tamanho.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 51

Page 52: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

4 Siga as indicações e leve em consideração as seguintes orientações à medida que conclui oassistente. Ambas as implantações ESXi e Hyper-V têm duas opções de atribuir a atribuição de IPpara Unified Access Gateway. Se você estiver fazendo upgrade, para o Hyper-V, exclua a caixaantiga com o mesmo endereço IP antes de implantar a caixa com o novo endereço. Para ESXi, vocêpode desativar a caixa antiga e implantar uma nova caixa com o mesmo endereço IP usando aatribuição estática.

Opção Descrição

Nome e localização Insira um nome para o appliance virtual do Unified Access Gateway. O nomedeve ser exclusivo na pasta do inventário. Os nomes diferenciam letrasmaiúsculas de minúsculas.

Selecionar uma localização para o appliance virtual.

Configuração da implantação Para uma rede IPv4 ou IPV6, você pode utilizar uma, duas ou três interfaces derede (NICs). Muitas implementações do DMZ utilizam redes separadas paraproteger tipos de tráfego diferentes. Configure o Unified Access Gateway deacordo com o design da rede do DMZ no qual está implementado. Juntamentecom o número de NICs, também é possível escolher as opções de implantaçãoPadrão ou Grande para Unified Access Gateway.

Observação Opções da VM para implantações Grande e Padrão:n Padrão - 2 núcleos e 4 GB de RAMn Grande - 4 núcleos e 16 GB de RAM

Host/Cluster Selecione o host ou o cluster no qual executar o appliance virtual.

Formato do disco Para ambientes de avaliação e teste, selecione o formato de ProvisionamentoDinâmico. Para ambientes de produção, selecione um dos formatos deProvisionamento Estático. O Thick Provision Eager Zeroed é um tipo de formatode disco virtual estático que suporta recursos de cluster como tolerância a falhas,mas demora muito mais para ser criado do que outros tipos de discos virtuais.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 52

Page 53: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Descrição

Configurar Redes/Mapeamento deRede

Se você estiver utilizando o vSphere Web Client, a página Configurar Redespermitirá o mapeamento de cada NIC a uma rede e especifica configurações deprotocolo.

Mapeie as redes usadas no modelo OVF para as redes no seu inventário.

a Selecione a primeira linha na tabela Internet e, em seguida, clique na setapara baixo para selecionar a rede de destino. Se você selecionar IPv6 comoo protocolo IP, será preciso selecionar a rede que possui recursos IPv6.

Após selecionar a linha, você pode também inserir os endereços IP para oservidor DNS, o gateway e a máscara de rede na porção inferior da janela.

b Se estiver utilizando mais de um NIC, selecione a fileira seguinte Rede deGerenciamento, selecione a rede de destino e, em seguida, poderá inseriros endereços IP para o servidor DNS, gateway e máscara de rede paraaquela rede.

Se estiver utilizando somente um NIC, todas as linhas serão mapeadas paraa mesma rede.

c Se possuir um terceiro NIC, selecione também a terceira linha e conclua asconfigurações.

Se estiver utilizando somente dois NICs, para esta terceira linha Rede Back-end, selecione a mesma rede que utilizou para Rede de Gerenciamento.

Observação Ignore o menu suspenso Protocolo IP se ele for exibido e nãofaça nenhuma seleção aqui. A seleção real de protocolo IP (IPv4/IPv6/ambos)depende de qual modo IP for especificado para o modo IP de NIC 1 (eth0), NIC 2(eth1) e NIC 3 (eth2), ao personalizar as propriedades de rede.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 53

Page 54: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Descrição

Personalizar propriedades de rede As caixas de texto na página Propriedades são específicas aoUnified Access Gateway e podem não ser necessárias para outros tipos deappliance virtuais. O texto na página do assistente explica cada configuração. Seo texto estiver truncado no lado direito do assistente, redimensione a janelaarrastando-a partir do canto inferior direito. Para cada uma das NICs, paraSTATICV4, você deve inserir o endereço IPv4 para a NIC. Para STATICV6, seránecessário inserir o endereço IPv6 para a NIC. Se você deixar as caixas de textoem branco, a alocação de endereço IP será padronizada comoDHCPV4+DHCPV6.

Importante A versão mais recente do Unified Access Gateway não aceita asconfigurações de gateway padrão e os valores de máscara de rede ou de prefixoa partir do Perfil de protocolo de rede (NPP). Para configurar oUnified Access Gateway com a alocação de IP estático, você deve configurar amáscara de rede/prefixo nas propriedades da rede. Esses valores não sãopreenchidos do NPP.

n Modo IP para NIC1 (eth0):STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .

n Modo IP para NIC2(eth1):STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .

n Modo IP para NIC3 (eth2):STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .

n Lista separada por vírgula das regras de encaminhamento com oformato {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu. Por exemplo, para IPv4,tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443.

n Endereço IPv4 para a NIC 1 (eth0). Insira o endereço IPv4 para o NIC sedigitou STATICV4 para o modo NIC.n Lista separada por vírgula das rotas personalizadas IPv4 para NIC 1

(eth0) com o formato ipv4-network-address/bits ipv4-gateway-address. Por exemplo, 20.2.0.0/16 10.2.0.1,20.9.0.0/1610.2.0.2,10.2.0.1/32

Observação Se ipv4-gateway-address não for especificado, a rotarespectiva adicionada terá um gateway de 0.0.0.0

n Endereço IPv6 para o NIC 1 (eth0). Insira o endereço IPv6 para o NIC sedigitou STATICV6 para o modo NIC.

n Máscara de rede IPv4 da NIC 1 (eth0). Insira a máscara de rede IPv4 paraa NIC.

n Prefixo IPv6 da NIC 1 (eth0). Insira o prefixo IPv6 para a NIC.n Endereços de servidor DNS. Insira os endereços IPv4 ou IPv6 separados

por espaço dos servidores do nome de domínio para o appliance doUnified Access Gateway . O exemplo de entrada IPv4 é 192.0.2.1192.0.2.2. O exemplo de entrada IPv6 é fc00:10:112:54::1

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 54

Page 55: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Descrição

n Gateway padrão de IPv4. Insira um gateway padrão de IPv4 se oUnified Access Gateway precisar se comunicar com um endereço IP que nãoesteja em um segmento local de qualquer NIC no Unified Access Gateway.

n Gateway padrão do IPv6. Insira um gateway padrão de IPv6 se oUnified Access Gateway precisar se comunicar com um endereço IP que nãoesteja em um segmento local de qualquer NIC no Unified Access Gateway.

n Endereço IPv4 para o NIC 2 (eth1). Insira o endereço IPv4 para o NIC sedigitou STATICV4 para o modo NIC.

n Lista separada por vírgula das rotas personalizadas IPv4 para NIC 2(eth1) com o formato ipv4-network-address/bits ipv4-gateway-address.Por exemplo, 20.2.0.0/16 10.2.0.1,20.9.0.0/1610.2.0.2,10.2.0.1/32

Observação Se ipv4-gateway-address não for especificado, a rotarespectiva adicionada terá um gateway de 0.0.0.0

n Endereço IPv6 para o NIC 2 (eth1). Insira o endereço IPv6 para o NIC sedigitou STATICV6 para o modo NIC.

n Máscara de rede IPv4 da NIC 2 (eth1). Insira a máscara de rede IPv4 paraessa NIC.

n Prefixo IPv6 da NIC 2 (eth1). Insira o prefixo IPv6 para essa NIC.n Endereço IPv4 para o NIC 3 (eth2). Insira o endereço IPv4 para o NIC se

digitou STATICV4 para o modo NIC.n Lista separada por vírgula das rotas personalizadas IPv4 para NIC 3

(eth2) com o formato ipv4-network-address/bits ipv4-gateway-address.Por exemplo, 20.2.0.0/16 10.2.0.1,20.9.0.0/1610.2.0.2,10.2.0.1/32

Observação Se ipv4-gateway-address não for especificado, a rotarespectiva adicionada terá um gateway de 0.0.0.0

n Endereço IPv6 para o NIC 3 (eth2). Insira o endereço IPv6 para o NIC sedigitou STATICV6 para o modo NIC.

n Máscara de rede IPv4 da NIC 3 (eth2). Insira a máscara de rede IPv4 paraessa NIC.

n Prefixo IPv6 da NIC 3 (eth2). Insira o prefixo IPv6 para essa NIC.n Senha de usuário raiz da VM. Insira a senha para o usuário raiz fazer login

no console da VM.n Senha de UI do administrador. Insira a senha para o usuário administrador

configurar o Unified Access Gateway na interface de usuário doadministrador e também acessar as APIs REST.

As outras configurações são opcionais ou já têm uma configuração padrãoinserida.

Participar do CEIP Selecione Ingressar no programa de aperfeiçoamento da experiência docliente da VMware para participar do CEIP ou desmarque a opção para sair doCEIP.

5 Na página Pronto para Concluir, selecione Ligar após implantação e clique em Concluir.

Uma tarefa de Implementar Modelo OVF aparece na área de status do vCenter Server para que vocêpossa monitorar a implantação. Você pode também abrir um console na máquina virtual paravisualizar as mensagens do console que são exibidas durante a inicialização do sistema. Um registrodestas mensagens também está disponível no arquivo /var/log/boot.msg.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 55

Page 56: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

6 Quando a implantação for concluída, certifique-se de que os usuários finais possam se conectar aoappliance abrindo um navegador e inserindo a seguinte URL:

https://FQDN-of-UAG-appliance

Nessa URL, FQDN-of-UAG-appliance é o nome de domínio totalmente qualificado do appliance doUnified Access Gateway que pode ser resolvido por DNS.

Se a implantação for bem-sucedida, você verá a página da Web fornecida pelo servidor para o qual oUnified Access Gateway estiver apontado. Se a implantação não foi bem sucedida, você pode excluira máquina virtual do appliance e implementá-lo novamente. O erro mais comum é não inserir asimpressões digitais do certificado corretamente.

O appliance do Unified Access Gatewayé implementado e iniciado automaticamente.

Próximo passo

n Faça o logon na interface do usuário administrador (IU) do Unified Access Gateway e configure osrecursos da área de trabalho e do aplicativo para permitir acesso remoto da Internet por meio doUnified Access Gateway e os métodos de autenticação a serem usados na DMZ. A URL do consolede administração está no formato https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html.

Importante Você deve concluir a configuração pós-implantação do Unified Access Gateway usandoa interface de usuário do administrador. Se você não fornecer a senha da interface de usuário doadministrador no momento da implantação, não poderá adicionar um usuário da interface de usuáriodo administrador posteriormente para ativar o acesso à interface de usuário do administrador ou àAPI. Se você desejar adicionar um usuário da interface de usuário do administrador, deveráreimplantar sua instância do Unified Access Gateway com uma senha válida da interface de usuáriodo administrador.

Observação Se não for possível acessar o logon da UI do Administrador na tela, verifique paraobservar se a máquina virtual tem o endereço IP exibido durante a instalação do OVA. Se oendereço IP não estiver configurado, use o comando VAMI mencionado na UI para reconfigurar asNICs. Execute o comando como "cd /opt/vmware/share/vami" depois o comando"./vami_config_net".

n Se você tiver implantado usando o vSphere ou o PowerShell, execute uma verificação de integridadee garanta que a instância recém-implantada retorne uma resposta OK 200.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 56

Page 57: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Configurando o Unified Access Gateway a partir daspáginas de configuração do administradorApós implantar o OVF e o appliance do Unified Access Gateway estiver ativado, faça logon na interfacedo usuário do administrador do Unified Access Gateway para definir as seguintes configurações.

Observação Quando você inicia o Console de Administração do Unified Access Gateway pela primeiravez, você é solicitado a alterar a senha que definiu quando implantou o appliance.

As páginas Configurações Gerais e Configurações Avançadas incluem o seguinte:

n Configuração do sistema e certificado de servidor TLS do Unified Access Gateway

n Configurações do serviço de borda para o Horizon, o Proxy Reverso, o VMware Tunnel e o Gatewayde Conteúdo (também chamado de CG)

n Configurações de autenticação para o RSA SecurID, RADIUS, Certificado X.509 e RSA AdaptiveAuthentication

n Configurações para provedor de identidade SAML e provedor de serviços

n Configurações de rede

n Configurações do provedor de verificação de conformidade de endpoint

n Configuração da ponte de identidade

n Configurações da conta

As opções a seguir podem ser acessadas a partir das páginas Configurações de suporte.

n Faça download dos arquivos de log do Unified Access Gateway.

n Exporte as configurações do Unified Access Gateway para recuperar as definições de configuração.

n Defina as configurações do nível de log.

n Importe as configurações do Unified Access Gateway para criar e atualizar uma configuração inteirado Unified Access Gateway

Configurar as definições de sistema do Unified Access GatewayÉ possível configurar os protocolos de segurança e os algoritmos criptográficos usados para criptografaras comunicações entre os clientes e o appliance do Unified Access Gateway a partir das páginas deconfiguração do administrador.

Pré-requisitos

n Revisar as propriedades de implantação do Unified Access Gateway. São necessárias as seguintesinformações de configurações.

n Endereço IP estático para o appliance do Unified Access Gateway

n Endereço IP do servidor DNS

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 57

Page 58: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

n Senha para o console de administração

n URL da instância do servidor ou balanceador de carga para o qual o appliance doUnified Access Gateway aponta

n URL do servidor Syslog para salvar os arquivos de log de evento

Procedimentos

1 Na seção Configurar Manualmente a IU do administrador, clique em Selecionar.

2 Na seção Configurações Avançadas, clique no ícone de engrenagem Configuração do Sistema.

3 Edite os seguintes valores de configuração do appliance do Unified Access Gateway.

Opção Valor padrão e descrição

Nome UAG Nome exclusivo do appliance UAG.

Localidade Especifica o local a ser utilizado ao gerar mensagens de erro.n en_US para inglês americano. Este é o padrão.n ja_JP para japonêsn fr_FR para francêsn de_DE para alemãon zh_CN para chinês simplificadon zh_TW para chinês tradicionaln ko_KR para coreanon es para espanholn pt_BR para português (Brasil)n en_BR para o inglês britânico

Conjuntos de criptografia Na maioria dos casos, as configurações padrão não precisam ser alteradas.Esses são os algoritmos criptográficos usados para criptografar as comunicaçõesentre os clientes e o appliance do Unified Access Gateway. As configurações decriptografia são usadas para ativar vários protocolos de segurança.

Obedecer ordem de criptografia O padrão é NÃO. Selecione SIM para ativar o controle de ordem da lista decriptografia TLS.

TLS 1.0 ativado O padrão é NÃO. Selecione SIM para ativar o protocolo de segurança TLS 1.0.

TLS 1.1 ativado O padrão é SIM. O protocolo de segurança TLS 1.1 está ativado.

TLS 1.2 ativado O padrão é SIM. O protocolo de segurança TLS 1.2 está ativado.

URL do Syslog Insira a URL do servidor Syslog utilizado para registrar eventos doUnified Access Gateway. Este valor pode ser uma URL ou um nome do host ouendereço IP. Se você não definir a URL do servidor syslog, nenhum evento seráregistrado.

O número máximo de duas URLs pode ser estipulado. As URLs são separadaspor vírgula. Exemplo: syslog://server1.example.com:514,syslog://server2.example.com:514

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 58

Page 59: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Valor padrão e descrição

URL de Auditoria do Syslog Insira a URL do servidor Syslog utilizado para registrar eventos de auditoria doUnified Access Gateway. Este valor pode ser uma URL ou um nome do host ouendereço IP. Se você não definir a URL do servidor syslog, nenhum evento deauditoria será registrado.

O número máximo de duas URLs pode ser estipulado. As URLs são separadaspor vírgula. Exemplo: syslog://server1.example.com:514,syslog://server2.example.com:514

URL de verificação de integridade Insira um URL pelo qual o balanceador de carga se conecta e verifica aintegridade do Unified Access Gateway

Cookies a serem armazenados emcache

O conjunto de cookies que o Unified Access Gateway armazena em cache. Opadrão é nenhum.

Modo do IP Selecione modo do IP estático, STATICV4 OU STATICV6.

Tempo limite da sessão O valor padrão é 36000000 milissegundos.

Modo quiesce Ative SIM para pausar o appliance do Unified Access Gateway a fim de alcançarum estado consistente para realizar tarefas de manutenção

Intervalo do monitor O valor padrão é 60.

Idade da senha Número de dias em que a senha de administrador atual estará válida. O padrão é90 dias. Especifique 0 (zero) se a senha nunca deve expirar.

Tempo limite da solicitação Especifique o tempo limite em segundos para a solicitação. O padrão é 3000.

Tempo limite do recebimento do corpo Especifique o tempo limite em segundos para o recebimento do corpo. O padrãoé 5000.

Tempo limite de ociosidade deconexão do cliente

Especifique o tempo (em segundos) durante o qual uma conexão do cliente podeficar ociosa antes da conexão ser fechada. O valor padrão é 360 segundos (6minutos). Um valor igual a Zero indica que não há nenhum tempo limite deociosidade.

Tempo limite da autenticação Especifique o tempo limite em segundos para a autenticação. O padrão é300000.

Participar do CEIP Se ativado, envia as informações do Programa de aperfeiçoamento daexperiência do cliente ("CEIP") à VMware. Consulte Entrar ou sair do Programade aperfeiçoamento da experiência do cliente para obter mais detalhes.

4 Clique em Salvar.

Próximo passo

Defina as configurações do serviço de borda para os componentes com os quais oUnified Access Gateway é implantado. Após definir as configurações de borda, defina as configuraçõesde autenticação.

Alterar as configurações de redeVocê pode modificar as configurações de rede, como o endereço IP, a máscara de sub-rede, o gatewaypadrão e o modo de alocação de IP para as redes configuradas na interface do usuário administrador.

Observe as seguintes limitações quando você modificar as configurações de rede:

n IPv4 é o único modo IP com suporte, não há suporte para o IPv6.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 59

Page 60: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

n Quando o endereço IP é alterado dinamicamente através de um IP de rede de gerenciamento, oredirecionamento do navegador não é compatível com o novo endereço IP.

n Quando o endereço IP, a máscara de sub-rede ou o gateway padrão é alterado de uma interface derede voltada para a Internet, todas as sessões atuais são perdidas.

Pré-requisitos

n Certifique-se de que você tenha privilégios de administrador.

n Se você estiver alterando o IP para um endereço IP estático, máscara de sub-rede ou gatewaypadrão, terá que saber o endereço, a máscara de sub-rede e o gateway padrão com antecedência.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Em Configurações avançadas, clique no ícone de engrenagem ao lado de Configurações derede.

É exibida uma lista de redes configuradas e suas configurações.

3 Na janela Configurações de Rede, clique no ícone de engrenagem ao lado da rede cujasconfigurações você deseja alterar e insira as seguintes informações:

A configuração do IPv4

Etiqueta Descrição

Modo de Alocação do IPv4 Selecione se o IP deve ser alocado estática ou dinamicamente.

Endereço IPv4 Endereço IP da rede. Você não precisará especificar o endereço IP se selecionar a alocaçãode IP dinâmico.

Máscara de rede do IPv4 Máscara de rede do IPv4 da rede. Você não precisará especificar a máscara de rede do IPv4se selecionar a alocação de IP dinâmico.

Gateway Padrão IPv4 Endereço de gateway padrão IPv4 do Unified Access Gateway. Você não precisaráespecificar o endereço IP do gateway padrão se selecionar a alocação de IP dinâmico.

Rotas Estáticas do IPv4 Rotas personalizadas do IPv4 para a rede. Não pode ser modificado.

As configurações de IPv6 não podem ser modificadas.

Etiqueta Descrição

Modo de Alocação do IPv6 Especifica se o IP é alocado de forma estática, dinâmica ou automática.

Endereço IPv6 Endereço IP da rede.

Prefixo do IPv6 O prefixo do IPv6 da rede.

Gateway Padrão IPv6 Endereço de gateway padrão de IPv6 do Unified Access Gateway.

4 Clique em Salvar.

Se as configurações forem alteradas com êxito, será exibida uma mensagem de sucesso. Seráexibida uma mensagem de erro se as configurações de rede não puderem ser atualizadas.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 60

Page 61: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Definir configurações de conta de usuárioComo administrador de superusuário com acesso completo ao sistema do Unified Access Gateway, épossível que você possa adicionar e excluir usuários, alterar senhas e modificar funções para osusuários a partir das páginas de configuração do administrador.

As configurações de conta, incluindo os detalhes do administrador com poucos privilégios, não podemser exportadas ou importadas para as configurações do appliance. Para configurar uma nova conta compoucos privilégios em uma nova instância de Unified Access Gateway, configure manualmente por meioda IU do administrador.

Adicionar um administrador com poucos privilégiosAgora você pode configurar e adicionar um administrador de baixo nível de privilégios que pode executarum número limitado de tarefas, como operações de somente leitura, monitoramento do sistema e assimpor diante.

Observação Atualmente, você pode adicionar apenas um administrador com poucos privilégios comoinstância de Unified Access Gateway.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Em Configurações avançadas, selecione o ícone de engrenagem de Configurações da conta.

3 Na janela Configurações da Conta, clique em Adicionar.

A função é definida automaticamente como ROLE_MONITORING.

4 Na janela Configurações da Conta, insira as seguintes informações:

a Um nome de usuário exclusivo para o usuário.

b (Opcional) Marque a caixa Habilitado se você quiser ativar o usuário logo depois de adicionar ousuário.

c Insira uma senha para o usuário. As senhas devem ter pelo menos 8 caracteres decomprimento, conter pelo menos uma letra maiúscula e uma letra minúscula, um dígito e umcaractere especial, que inclui ! @ # $ % * ( ).

d Confirme a senha.

5 Clique em Salvar.

O administrador que você adicionou aparece em Configurações da conta.

Próximo passo

O administrador com poucos privilégios pode efetuar login no sistema para alterar a senha ou executartarefas de monitoramento.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 61

Page 62: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Modificar as configurações de conta de usuárioComo administrador de superusuário, você pode alterar a senha de um usuário e ativar ou desativar umusuário.

Você também pode alterar sua senha, mas não é possível desativar sua própria conta.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Na seção Configurações Avançadas, clique em Configurações de Conta.

É exibida uma lista de usuários.

3 Clique no ícone de engrenagem ao lado do usuário cuja conta você deseja modificar.

4 Edite os seguintes valores.

a Marque ou desmarque a caixa Habilitar dependendo se você deseja ativar ou desativar ousuário.

b Para redefinir a senha do usuário, insira uma nova senha e confirme a senha. Se você estáconectado como administrador, deve inserir também a senha antiga.

As senhas devem ter pelo menos 8 caracteres de comprimento, conter pelo menos uma letramaiúscula e uma letra minúscula, um dígito e um caractere especial, que inclui ! @ # $ % * ( ).

5 Clique em Salvar.

Redefinir a senha do administrador usando-se o console doUnified Access GatewaySe a senha do usuário administrador definida durante a implantação for esquecida, o usuário poderáfazer logon no console do Unified Access Gateway usando as credenciais de usuário raiz e redefinir asenha da interface do usuário do administrador.

Pré-requisitos

Você deve ter a senha para fazer logon na máquina virtual como o usuário raiz ou um usuário comprivilégios de raiz. O usuário deverá ser parte do grupo raiz .

Procedimentos

1 Efetue logon no sistema operacional do console do Unified Access Gateway como o usuário raiz.

2 Insira os seguintes comandos para redefinir a senha do administrador.

adminpwd

New password for user "admin": ********

Retype new password: ********

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 62

Page 63: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Neste exemplo, a senha tem pelo menos 8 caracteres, contém pelo menos uma letra maiúscula euma letra minúscula, um dígito e um caractere especial, que inclui ! @ # $ % * ( ).

A seguinte mensagem é exibida.

adminpwd: password for "admin" updated successfully

3 Insira os seguintes comandos para redefinir a senha de um administrador com menos privilégios.

adminpwd [-u <username>]

New password for user "jdoe": ********

Retype new password: ********

Neste exemplo, a senha tem pelo menos 8 caracteres, contém pelo menos uma letra maiúscula euma letra minúscula, um dígito e um caractere especial, que inclui ! @ # $ % * ( ).

A seguinte mensagem é exibida.

adminpwd: password for "jdoe" updated successfully

A senha do usuário administrador foi redefinida.

Próximo passo

O usuário já pode fazer logon na interface do Unified Access Gateway usando a senha de administradorrecém-definida. O usuário será solicitado a alterar a senha ao efetuar logon pela primeira vez após aredefinição de senha usando o comando CLI adminpwd.

Observação O usuário deve fazer logon na primeira tentativa após a alteração da senha.

Excluir um usuárioComo usuário superadministrador, você pode excluir um usuário não raiz.

Você não pode excluir um administrador raiz.

Procedimentos

1 Na seção Configurar manualmente da IU do administrador, clique em Selecionar.

2 Em Configurações avançadas, selecione o ícone de engrenagem de Configurações da conta.

É exibida uma lista de usuários.

3 Clique no botão "x" ao lado do usuário que deseja excluir.

Cuidado O usuário foi excluído imediatamente. Esta ação não pode ser desfeita.

A conta de usuário será excluída, e será exibida uma mensagem.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 63

Page 64: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Atualizar certificados assinados de servidor SSLVocê pode substituir os certificados assinados quando eles expiram ou substituir os certificados padrãopelos certificados assinados pela autoridade de certificação.

Para ambientes de produção, a VMware recomenda enfaticamente a substituição do certificado padrão omais rápido possível. O certificado padrão do servidor TLS/SSL que é gerado ao implementar umappliance do Unified Access Gatewaynão é assinado por uma Autoridade de Certificação Confiável.

Observe as seguintes considerações ao carregar um certificado:

n Você pode substituir o certificado padrão por um certificado assinado pela autoridade de certificaçãoPEM para o administrador e o usuário.

n Quando você carrega um certificado assinado pela autoridade de certificação na interface deadministração, o conector SSL na interface de administração é atualizado e reiniciado para garantirque o certificado carregado entre em vigor. Se o conector não conseguir reiniciar com o certificadocarregado assinado pela autoridade de certificação, um certificado autoassinado será gerado eaplicado na interface de administração, e o usuário será notificado de que a tentativa anterior paracarregar um certificado foi bem-sucedida.

Pré-requisitos

n Novo certificado assinado e chave privada salvos em um computador que possa ser acessado.

n Converta o certificado em arquivos de formato PEM e converta os arquivos .pem no formato de umalinha. Consulte Converter arquivos de certificado para o formato PEM de uma linha.

Procedimentos

1 No console de administração, clique em Selecionar.

2 Na seção Configurações Avançadas, clique no ícone de engrenagem Configurações do Certificadodo Servidor SSL.

3 Selecione Interface de administração ou Interface de Internet para aplicar o certificado a uma dasinterfaces. Você também pode selecionar as duas para aplicar o certificado a ambas as interfaces.

4 Selecione um tipo de certificado de PEM ou de PFX.

5 Se o tipo de certificado for PEM:

a Na linha Chave Privada, clique em Selecionar e navegue até o arquivo da chave privada.

b Clique em Abrir para carregar o arquivo.

c Na linha Cadeia de certificados, clique em Selecionar e navegue até o arquivo da cadeia decertificados.

d Clique em Abrir para carregar o arquivo.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 64

Page 65: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

6 Se o tipo de certificado for PFX:

a Na linha Atualizar PFX, clique em Selecionar e navegue até o arquivo pfx.

b Clique em Abrir para carregar o arquivo.

c Insira a senha do certificado PFX.

d Insira um nome alternativo para o certificado PFX.

Você pode usar o nome alternativo para distinguir quando houver vários certificados presentes.

7 Clique em Salvar.

É exibida uma mensagem de confirmação quando o certificado é atualizado com êxito.

Próximo passo

n Se você atualizou o certificado com um certificado assinado pela CA e a CA que assinou ocertificado não é conhecida, configure os clientes para confiar em certificados raiz e intermediários.

n Se você carregou um certificado assinado pela CA para a Interface de administração, feche onavegador e reabra a IU do administrador em uma nova janela.

n Se um certificado assinado pela CA estiver em vigor na interface de administração, e você carregarum certificado autoassinado, a IU do administrador poderá não se comportar conforme o esperado.Limpe o cache do navegador e abra a IU do administrador em uma nova janela.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 65

Page 66: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Usando o PowerShell paraimplantar oUnified Access Gateway 3Um script do PowerShell pode ser usado para implantar o Unified Access Gateway. O script doPowerShell é entregue como um script de amostra que pode ser adaptado às necessidades específicasdo ambiente.

Quando for usado o script do PowerShell para implantar o Unified Access Gateway, o script chamará ocomando da OVF Tool e validará as configurações para construir automaticamente a sintaxe de linha decomando correta. Esse método também permite configurações avançadas, como a configuração docertificado do servidor TLS/SSL a ser aplicado no momento da implementação.

Este capítulo inclui os seguintes tópicos:n Requisitos do sistema para a implantação do Unified Access Gateway com o PowerShell

n Usando o PowerShell para implementar o appliance do Unified Access Gateway

Requisitos do sistema para a implantação doUnified Access Gateway com o PowerShellPara implantar o Unified Access Gateway usando script do PowerShell, você deve usar versõesespecíficas dos produtos VMware.

n VMware vSphere Host ESXi com um vCenter Server.

n O script do PowerShell é executado em máquinas com Windows 8.1 ou versões posteriores ou noWindows Server 2008 R2 ou versões posteriores.

A máquina também pode ser um vCenter Server executado no Windows ou em uma máquinaseparada do Windows.

n A máquina com Windows que executar o script deve ter um comando de VMware OVF Toolinstalado.

Você deve instalar o OVF Tool 4.0.1 ou versão posterior do https://www.vmware.com/support/developer/ovf/.

Você deve selecionar o repositório de dados e a rede do vSphere a serem usados.

VMware, Inc. 66

Page 67: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Usando o PowerShell para implementar o appliance doUnified Access GatewayOs scripts do PowerShell preparam seu ambiente com todas as definições de configuração. Ao executaro script do PowerShell para implementar o Unified Access Gateway, a solução está pronta paraprodução na primeira inicialização do sistema.

Importante Com uma implantação do PowerShell, você pode fornecer todas as configurações noarquivo INI e a instância do Unified Access Gateway fica pronta para produção assim que é inicializada.Se você não quiser alterar qualquer configuração pós-implantação, não precisará fornecer a senha dainterface de usuário do administrador.

No entanto, interface de usuário do administrador e a API não estarão disponíveis se a senha dainterface de usuário do administrador não for fornecida durante a implantação.

Observação n Se você não fornecer a senha da interface de usuário do administrador no momento da implantação,

não poderá adicionar um usuário posteriormente para ativar o acesso à interface de usuário doadministrador ou à API. Se você desejar adicionar um usuário da interface de usuário doadministrador, deverá reimplantar sua instância do Unified Access Gateway com uma senha válida.

n O Unified Access Gateway 3.5 e versões posteriores inclui uma propriedade INI sshEnabledopcional. Definir sshEnabled=true na seção [General] do arquivo INI PowerShellautomaticamente permite ssh o acesso ao appliance implantado. A VMware geralmente nãorecomenda ativar ssh em Unified Access Gateway exceto em certas situações específicas e onde oacesso pode ser restrito. Esse recurso é principalmente destinado às implantações Amazon EC2 daAWS em que um acesso de console alternativo não está disponível.

Se sshEnabled=true não está especificado ou está definido como false, então ssh não estáhabilitado.

Habilitar o acesso de ssh no Unified Access Gateway para vSphere, Hyper-V ou para implantaçõesdo Microsoft Azure não é geralmente necessário, pois se pode usar o acesso ao console nessasplataformas. Se o acesso ao console de raiz é necessário para a implantação do Amazon AWS EC2,então defina sshEnabled=true. Em casos nos quais ssh está ativado, o acesso 22 da porta TCPdeve ser restrito em firewalls ou em grupos de segurança para endereços IP de origem dosadministradores individuais. O EC2 oferece suporte a essa restrição no grupo de segurança EC2associado com as interfaces de rede Unified Access Gateway.

Pré-requisitos

n Para uma implantação do Hyper-V, e se você estiver fazendo upgrade do Unified Access Gatewaycom IP estático, exclua o appliance mais antigo antes de implantar a instância mais recente doUnified Access Gateway.

n Verifique se os requisitos do sistema são apropriados e se estão disponíveis para uso.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 67

Page 68: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Este é um script de amostra para implementar o Unified Access Gateway no seu ambiente.

Figura 3‑1. Script de amostra do PowerShell

Procedimentos

1 Faça o download do OVA do Unified Access Gateway no My VMware para sua máquina Windows.

2 Faça o download dos arquivos uagdeploy-XXX.zip em uma pasta na máquina Windows.

Os arquivos ZIP estão disponíveis em https://communities.vmware.com/docs/DOC-30835.

3 Abra um script do PowerShell e modifique o diretório do local do seu script.

4 Crie um arquivo de configuração INI para o appliance virtual do Unified Access Gateway.

Por exemplo: implante uma nova AP1 do appliance do Unified Access Gateway. O arquivo deconfiguração é nomeado ap1.ini. Esse arquivo contém todas as definições de configuração paraAP1. É possível usar os exemplos de arquivos INI no arquivo apdeploy.ZIP para criar o arquivoINI e modificar as configurações adequadamente.

Observação n Você pode ter arquivos INI exclusivos para várias implantações do Unified Access Gateway no

seu ambiente. Você deve alterar os Endereços IP e os parâmetros de nome no arquivo INIadequadamente para implantar vários appliances.

n O valor de favicon.ico para a configuração de healthCheckUrl não é compatível comContent Gateway e VMware Tunnel.

Exemplo do arquivo INI a ser modificado.

[General]

netManagementNetwork=

netInternet=

netBackendNetwork=

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 68

Page 69: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

name=

dns=10.112.64.1

ip0=10.108.120.119

diskMode=

source=

defaultGateway=10.108.120.125

target=

ds=

authenticationTimeout=300000

fipsEnabled=false

uagName=trustedcert

locale=en_US

ipModeforNIC3=DHCPV4_DHCPV6

tls12Enabled=true

ipMode=DHCPV4_DHCPV6

requestTimeoutMsec=10000

ipModeforNIC2=DHCPV4_DHCPV6

tls11Enabled=true

clientConnectionIdleTimeout=180

tls10Enabled=false

adminCertRolledBack=false

honorCipherOrder=false

cookiesToBeCached=none

healthCheckUrl=/favicon.ico

quiesceMode=false

isCiphersSetByUser=false

tlsPortSharingEnabled=true

ceipEnabled=true

bodyReceiveTimeoutMsec=15000

monitorInterval=60

cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_

AES_128_CBC_SHA

adminPasswordExpirationDays=90

httpConnectionTimeout=120

isTLS11SetByUser=false

sessionTimeout=36000000

ssl30Enabled=false

[WebReverseProxy1]

proxyDestinationUrl=https://10.108.120.21

trustedCert1=

instanceId=view

healthCheckUrl=/favicon.ico

userNameHeader=AccessPoint-User-ID

proxyPattern=/(.*)

landingPagePath=/

hostEntry1=10.108.120.21 HZNView.uagqe.auto.com

[Horizon]

proxyDestinationUrl=https://enterViewConnectionServerUrl

trustedCert1=

gatewayLocation=external

disableHtmlAccess=false

healthCheckUrl=/favicon.ico

proxyDestinationIPSupport=IPV4

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 69

Page 70: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

smartCardHintPrompt=false

queryBrokerInterval=300

proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))

matchWindowsUserName=false

windowsSSOEnabled=false

[SSLCert]

pemPrivKey=

pemCerts=

pfxCerts=

pfxCertAlias=

[SSLCertAdmin]

pemPrivKey=

pemCerts=

pfxCerts=

pfxCertAlias=

5 Para assegurar que a execução do script seja bem-sucedida, digite o comando set-executionpolicy do PowerShell.

set-executionpolicy -scope currentuser unrestricted

Você deve executar esse comando uma vez e somente se ele estiver restrito no momento.

a (Opcional) Se houver um aviso para o script, execute o seguinte comando para desbloquear oaviso: unblock-file -path .\uagdeploy.ps1

6 Execute o comando para iniciar a implementação. Se você não especificar o arquivo .INI, o scriptserá padronizado para ap.ini.

.\uagdeploy.ps1 -iniFile uag1.ini

7 Insira as credenciais quando receber o aviso e conclua o script.

Observação Se você receber um aviso para adicionar a impressão digital da máquina de destino,digite sim.

O appliance do Unified Access Gateway está implementado e disponível para produção.

Para obter mais informações sobre scripts do PowerShell, consulte https://communities.vmware.com/docs/DOC-30835.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 70

Page 71: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Próximo passo

Se você quiser fazer upgrade do Unified Access Gateway preservando as configurações existentes, editeo arquivo .ini para alterar a referência de origem para a nova versão e execute novamente oarquivo .ini: uagdeploy.ps1 uag1.ini. Esse processo pode levar até três minutos.

[General]

name=UAG1

source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

Se você quiser fazer upgrade sem interrupção do serviço, consulte Atualização com tempo de inatividadezero.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 71

Page 72: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Casos de uso de implantaçãopara o Unified Access Gateway 4Os cenários de implantação descritos neste capítulo podem auxiliar a identificar e organizar aimplantação do Unified Access Gateway em seu ambiente.

Você pode implementar o Unified Access Gateway com o Horizon, oHorizon Cloud with On-Premises Infrastructure, o VMware Identity Manager e o VMware AirWatch.

Este capítulo inclui os seguintes tópicos:

n Implantação com o Horizon e o Horizon Cloud with On-Premises Infrastructure

n Verificações de conformidade de endpoint do Horizon

n Implementação como proxy reverso

n Implementação para acesso single sign-on para aplicativos da Web locais herdados.

n Componentes do VMware AirWatch no Unified Access Gateway

n Casos de uso adicionais de implantação

Implantação com o Horizon e oHorizon Cloud with On-Premises InfrastructureVocê pode implantar o Unified Access Gateway com a infraestrutura em nuvem doHorizon Cloud with On-Premises Infrastructure e do Horizon Air.

Cenário de implantaçãoO Unified Access Gateway fornece acesso remoto seguro a áreas de trabalho e aplicativos virtuais nolocal em um centro de dados do cliente. Isso funciona com uma implantação no local do Horizon ouHorizon Air para o gerenciamento unificado.

O Unified Access Gateway fornece à empresa uma garantia de preservação da identidade do usuário econtrola de forma precisa o acesso às áreas de trabalho e aplicativos autorizados.

Os appliances virtuais do Unified Access Gateway são implementados, geralmente, em uma zonadesmilitarizada (DMZ) da rede. A implantação na DMZ assegura que todo o tráfego entrando no centrode dados para os recursos da área de trabalho e do aplicativo é tráfego em nome de um usuáriofortemente autenticado. Os appliances virtuais do Unified Access Gateway também garantem que o

VMware, Inc. 72

Page 73: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

tráfego de um usuário autenticado possa ser direcionado somente para os recursos da área de trabalhoe de aplicativos para os quais o usuário estiver autorizado. Esse nível de proteção envolve a inspeçãoespecífica de protocolos de área de trabalho e a coordenação de potenciais endereços de rede epolíticas de mudança rápida para controlar o acesso de maneira precisa.

A figura a seguir mostra um exemplo de uma configuração que inclui firewalls front-end e back-end.

Figura 4‑1. Unified Access Gateway na topologia de DMZ

HorizonServer

MicrosoftActive

Directory

Hosts ESXi executandomáquinas virtuais da

Área de Trabalho Virtual

RedeExterna

Servidor deGerenciamento

do vCenter

Balanceador de carga

Balanceador de carga

Dispositivodo Cliente

DMZ

Appliance do Unified Access

Gateway

Você deve verificar os requisitos para a implantação contínua do Unified Access Gateway com o Horizon.

n Se o appliance do Unified Access Gateway apontar para um balanceador de carga na parte frontaldos servidores Horizon, a seleção da instância do servidor será dinâmica.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 73

Page 74: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

n Por padrão, a porta 8443 deve estar disponível para Blast TCP/UDP. No entanto, a porta 443também pode ser configurada para Blast TCP/UDP.

Observação Se você configurar o Unified Access Gateway para usar ambos os modos IPv4 e IPv6,o Blast TCP/UDP deverá ser definido como a porta 443. Você pode habilitar oUnified Access Gateway a atuar como uma ponte para os clientes Horizon IPv6 se conectarem a umambiente de agente ou Servidor de conexão de back-end IPv4. Consulte Suporte para o modo duploIPv4 e IPv6 para a infraestrutura do Horizon.

n O gateway seguro Blast e o gateway seguro PCoIP deverão ser ativados quando oUnified Access Gateway estiver implantado com o Horizon. Isso garante que os protocolos deexibição possam servir como proxies automaticamente por meio do Unified Access Gateway. Asconfigurações da BlastExternalURL e da pcoipExternalURL especificam endereços de conexãousados pelos clientes do Horizon para encaminhar essas conexões de protocolo de exibição pormeio dos gateways apropriados no Unified Access Gateway. Isso oferece uma segurançamelhorada, tendo em vista que esses gateways garantem que o tráfego do protocolo de exibiçãoseja controlado em nome de um usuário autenticado. O tráfego do protocolo de exibição nãoautorizado é desconsiderado pelo Unified Access Gateway.

n Desative os gateways seguros (gateway seguro Blast e gateway seguro PCoIP) nas instâncias doservidor de conexão do Horizon e ative esses gateways nos appliances do Unified Access Gateway.

Recomendamos que os usuários implantando o Horizon 7 usem o appliance do Unified Access Gatewayem vez de servidor de segurança do Horizon.

Observação O Horizon Connection Server não funciona com um proxy reverso da web ativado quandohá uma sobreposição no padrão de proxy. Portanto, se o Horizon e uma instância de proxy reverso daWeb estiverem configurados e ativados com os padrões de proxy na mesma instância do Unified AccessGateway, remova o padrão de proxy '/' das configurações do Horizon e mantenha o padrão no proxyreverso da Web para evitar a sobreposição. Manter o padrão de proxy '/' na instância do proxy reverso daWeb garante que, quando um usuário clicar na URL do Unified Access Gateway, a página correta doproxy reverso da Web seja exibida. Se apenas o Horizon estiver configurado, a alteração acima não seránecessária.

As diferenças entre o servidor seguro do Horizon e o appliance do Unified Access Gateway são asseguintes:

n Implantação segura. O Unified Access Gateway é implementado como uma máquina virtual pré-configurada, protegida e bloqueada, baseada em Linux.

n Escalável. Você pode conectar o Unified Access Gateway a um servidor de conexão do Horizonindividual, ou você pode conectá-lo por meio de um balanceador de carga na frente de váriosservidores de conexão do Horizon, oferecendo alta disponibilidade aprimorada. Ele age como umacamada entre o Cliente do Horizone os Servidores de Conexão do Horizon de back-end. Como aimplantação é rápida, ele pode rapidamente ser ampliado ou reduzido para atender as demandas deempresas em constante mudança.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 74

Page 75: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Figura 4‑2. Appliance do Unified Access Gateway apontando para um balanceador de carga

HorizonServer

MicrosoftActive

Directory

Hosts ESXi executandomáquinas virtuais da

Área de Trabalho Virtual

RedeExterna

Servidor deGerenciamento

do vCenter

Balanceador de carga

Balanceador de carga

Dispositivodo Cliente

DMZ

Appliance do Unified Access

Gateway

De modo alternativo, é possível ter um ou mais appliances do Unified Access Gateway apontando para ainstância de um servidor individual. Em ambas as abordagens, utilize um balanceador de carga na frentede dois ou mais appliances do Unified Access Gateway na DMZ.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 75

Page 76: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Figura 4‑3. Appliance do Unified Access Gateway apontando para uma instância do servidorHorizon

Workspace ONE/Identity Manager

MicrosoftActive

Directory

Internet

Servidor deGerenciamento

do vCenter

Balanceador de carga

Balanceador de carga

Cliente WorkspaceONE

DMZ

Appliance do Unified Access

Gateway

Firewall

FirewallZonacorporativa

Cliente Workspace ONE

ServiçosDNS/NTP

AutenticaçãoA autenticação do usuário é semelhante à do servidor de segurança do Horizon. Os métodoscompatíveis de autenticação do usuário no Unified Access Gateway incluem o seguinte:

n O nome de usuário e a senha do Active Directory.

n Modo Kiosk. Para obter mais detalhes sobre o modo Kiosk, consulte a documentação do Horizon.

n Autenticação de dois fatores do RSA SecurID, formalmente certificada pela RSA para SecurID.

n RADIUS por meio de diversas soluções de dois fatores de fornecedores de segurança terceirizados.

n Cartão inteligente, CAC ou certificados de usuário PIV X.509

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 76

Page 77: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

n SAML.

Esses métodos de autenticação são compatíveis com o Horizon Connection Server. Não é obrigatórioque o Unified Access Gateway tenha comunicação direta com o Active Directory. Essa comunicaçãoserve como um proxy por meio do Horizon Connection Server, que pode acessar diretamente o ActiveDirectory. Após a sessão do usuário ser autenticada de acordo com a política de autenticação, oUnified Access Gateway pode encaminhar as solicitações para informações de qualificação, e a área detrabalho e o aplicativo iniciam solicitações para o Horizon Connection Server. O Unified Access Gatewaytambém gerencia a área de trabalho e os manipuladores de protocolo de aplicação para permitir queencaminhem somente tráfego de protocolo autorizado.

O Unified Access Gateway identifica sozinho a autenticação de cartões inteligentes. Isso inclui opçõespara que o Unified Access Gateway se comunique com os servidores do protocolo de status docertificado online (OCSP) e para verificar a revogação do certificado X.509, e assim por diante.

Suporte para o modo duplo IPv4 e IPv6 para a infraestrutura doHorizonVocê pode usar o Unified Access Gateway para atuar como uma ponte para os clientes Horizon IPv6 seconectarem a um ambiente de agente ou Servidor de Conexão de back-end IPv4.

Você pode implantar o Unified Access Gateway no modo Duas NICs com a NIC de front-end no modoIPv4/IPv6 misto e no back-end do Horizon ou NIC de gerenciamento no modo IPv4. O ambiente de back-end do Horizon pode consistir em Servidores de Conexão, desktops do agente ou outras infraestruturasdo lado do servidor.

Observação Quando você configura o Unified Access Gateway no modo IPv4/IPv6, garanta que a URLexterna de Blast para TCP/UDP seja definida como 443. Consulte Implantação com o Horizon e oHorizon Cloud with On-Premises Infrastructure e Definir configurações do Horizon.

Observação O recurso de ponte Horizon IPv6 para IPv4 não é compatível com PCoIP ou Blast UDP.

Os seguintes modos IP de servidor e Horizon Client são compatíveis.

Tabela 4‑1. Configurações do Horizon compatíveis (modos IP)

Modo Horizon Client Modo Horizon Server Compatível

IPv4 IPv4 Sim

IPv6 IPv4 Sim

IPv6 IPv6 Sim

IPv4 IPv6 Não

Ao instalar um cliente Horizon, se você selecionar Seleção Automática ou Dual, a conexão ocorre emIPv4 ou IPv6, dependendo da rede atual.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 77

Page 78: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Configurações avançadas do serviço de bordaO Unified Access Gateway usa variáveis diferentes para diferenciar entre os serviços de borda, proxiesda web configurados e as URLs de destino do proxy.

Padrão de proxy e padrão desprotegidoO Unified Access Gateway usa o padrão de proxy para encaminhar as solicitações HTTP de entradapara o serviço de borda correto como Horizon ou para uma das instâncias de proxy reverso da Webconfigurado como VMware Identity Manager. Portanto, ele é usado como um filtro para decidir se umproxy reverso é necessário para processar o tráfego de entrada.

Se um proxy reverso for selecionado, o proxy usará um padrão não seguro especificado para decidir sepermitirá que o tráfego de entrada vá para o back-end sem ser autenticado ou não.

O usuário deverá especificar um padrão de proxy, especificando que um padrão não seguro é opcional.O padrão não seguro é usado por proxies da web reversos, como VMware Identity Manager, que têmseu próprio mecanismo de login e desejam que determinadas URLs, como caminhos de página de login,javascripts e recursos de imagem, sejam transmitidos ao back-end sem autenticação.

Observação Um padrão não seguro é um subconjunto do padrão de proxy e, portanto, algunscaminhos podem ser repetidos entre eles para um proxy reverso.

Cada serviço de borda pode ter um padrão diferente. Por exemplo, o Proxy Pattern para Horizon podeser configurado como (/|/view-client(.*)|/portal(.*)|/appblast(.*)) e o padrão paraVMware Identity Manager pode ser configurado como (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

Observação O Horizon Connection Server não funciona com um proxy reverso da web ativado quandohá uma sobreposição no padrão de proxy. Portanto, se o Horizon e uma instância de proxy reverso daWeb, como VMware Identity Manager, estiverem configurados e habilitados com os padrões de proxy namesma instância do Unified Access Gateway, remova o padrão de proxy '/' das configurações do Horizone mantenha o padrão no VMware Identity Manager para evitar a sobreposição.

Manter o padrão de proxy '/' na instância do proxy reverso da Web (VMware Identity Manager) garanteque, quando um usuário clica na URL do Unified Access Gateway, a página do VMware Identity Managerseja exibida.

Se apenas o Horizon estiver configurado, a alteração acima não será necessária.

Padrão de host de proxySe houver várias instâncias de proxy reverso na web configuradas, e não houver uma sobreposição nospadrões de proxy, o Unified Access Gateway usará o Proxy Host Pattern para diferenciá-las.Configure Proxy Host Pattern como o FQDN do proxy reverso.

Por exemplo, um padrão de host para Sharepoint pode ser configurado como sharepoint.myco.com e umpadrão para JIRA pode ser configurado como jira.myco.com.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 78

Page 79: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Entradas de hostConfigure esta caixa de texto somente se o Unified Access Gateway não conseguir acessar o servidor ouaplicativo de back-end. Quando você adiciona o endereço IP e o nome do host do aplicativo de back-endàs entradas de host, essas informações são adicionadas ao arquivo /etc/hosts doUnified Access Gateway. Este campo é comum em todas as configurações do serviço de borda.

URL de destino do proxyEsta é a URL do aplicativo do servidor de back-end das configurações de serviço de borda para o qual oUnified Access Gateway é o proxy. Por exemplo:

n Para Horizon Connection Server, a URL do servidor de conexão é a URL de destino do proxy.

n Para um proxy reverso da web, a URL configurada do aplicativo de proxy reverso da web é a URL dedestino do proxy.

Configuração de proxy reverso únicoQuando o Unified Access Gateway recebe uma única solicitação de entrada com um URI, o padrão deproxy é usado para decidir se encaminha a solicitação ou a libera.

Várias configurações de proxy reverso1 Quando Unified Access Gateway é configurado como proxy reverso, e a solicitação recebida chega

com um caminho de URI, o Unified Access Gateway usa o padrão de proxy para coincidir com ainstância correta de proxy reverso da web. Se houver uma correspondência, será usado o padrãocorrespondente. Se houver várias correspondências, o processo de filtragem e de correspondênciaserá repetido na etapa 2. Se não houver nenhuma correspondência, a solicitação será descartada eum HTTP 404 será enviado de volta para o cliente.

2 O padrão de host do proxy é usado para filtrar a lista que já foi filtrada na etapa 1. O cabeçalho doHOST é usado para filtrar a solicitação e encontrar a instância de proxy reverso. Se houver umacorrespondência, será usado o padrão correspondente. Se houver várias correspondências, oprocesso de filtragem e de correspondência será repetido na etapa 3.

3 Observe o seguinte:

n É usada a primeira correspondência na lista filtrada na etapa 2. Essa correspondência pode nãoser sempre a instância correta do proxy reverso da Web. Portanto, certifique-se de que acombinação de padrão de proxy e o padrão de host de proxy para uma instância de proxyreverso da web seja exclusiva se houver a configuração de múltiplos proxies reversos em umUnified Access Gateway.

n O nome do host de todos os proxies reversos configurados deve resolver para o mesmoendereço IP, como o endereço externo da instância do Unified Access Gateway.

Consulte Configurar o proxy reverso com o VMware Identity Manager para obter mais informações einstruções sobre como configurar um proxy reverso.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 79

Page 80: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Exemplo: dois proxies reversos configurados com padrões de proxyconflitante, padrões de host distintosSuponha que o padrão de proxy para o primeiro proxy reverso seja /(.*) com o padrão de host comohost1.domain.com e o padrão para o segundo proxy reverso seja (/app2(.*)|/app3(.*)|/) com opadrão de host como host2.domain.com.

n Se uma solicitação for feita com o caminho definido comohttps://host1.domain.com/app1/index.html, em seguida, a solicitação será encaminhada parao primeiro proxy reverso.

n Se uma solicitação for feita com o caminho definido comohttps://host2.domain.com/app2/index.html, em seguida, a solicitação será encaminhada parao segundo proxy reverso.

Exemplo: dois proxies reversos com os padrões de proxy mutuamenteexclusivosSuponha que o padrão de proxy para o primeiro proxy reverso seja /app1(.*) e para o segundo proxyreverso seja (/app2(.*)|/app3(.*)|/).

n Se uma solicitação for feita com o caminho definido como https://<uag domainname>/app1/index.html, em seguida, a solicitação será encaminhada para o primeiro proxyreverso.

n Se uma solicitação for feita com o caminho definido como https://<uag domainname>/app3/index.html ou https://<uag domain name>/, em seguida, a solicitação seráencaminhada para o segundo proxy reverso.

Definir configurações do HorizonVocê pode implantar o Unified Access Gateway com a infraestrutura em nuvem doHorizon Cloud with On-Premises Infrastructure e do Horizon Air. Para a implantação do Horizon, oappliance do Unified Access Gateway substitui o servidor seguro do Horizon.

Pré-requisitos

Se você deseja configurar e ativar o Horizon e uma instância de proxy reverso da Web, comoVMware Identity Manager, na mesma instância do Unified Access Gateway, consulte Configuraçõesavançadas do serviço de borda.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Nas Configurações Gerais > Configurações do Serviço de Borda, clique em Mostrar.

3 Clique no ícone de engrenagem Configurações do Horizon.

4 Na página Configurações do Horizon, altere o NÃO para SIM para ativar o Horizon.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 80

Page 81: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

5 Defina os seguintes recursos de configurações do serviço de borda para o Horizon:

Opção Descrição

Identificador Definido por padrão para o Horizon. O Unified Access Gateway pode secomunicar com os servidores que usam o protocolo XML do Horizon, como oservidor de conexão do Horizon, o Horizon Air e oHorizon Cloud with On-Premises Infrastructure.

URL do Servidor de Conexão Insira o endereço do servidor Horizon ou do balanceador de carga. Insira-o comohttps://00.00.00.00.

Miniatura da URL do Servidor deConexão

Insira a lista de impressões digitais do servidor do Horizon

Se você não fornecer uma lista das impressões digitais, garanta que oscertificados do servidor sejam emitidos por uma CA confiável. Insira os dígitos daimpressão digital hexadecimal. Por exemplo, sha1= C3 89 A2 19 DC 7A 48 2B 851C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

Ativar PCOIP Altere NÃO para SIM para especificar se o gateway seguro PCoIP estáhabilitado.

Desativar Certificado do PCOIPHerdado

Altere NÃO para SIM para especificar o uso do certificado de servidor SSLcarregado em vez do certificado herdado. Os clientes PCoIP herdados nãofuncionarão se esse parâmetro for definido como SIM.

URL Externa de PCOIP A URL usada pelos clientes do Horizon para estabelecer a sessão PCoIP doHorizon a esse appliance do Unified Access Gateway. Ela deve conter umendereço IPv4 e não um nome de host. Por exemplo, 10.1.2.3:4172. O padrãoé o endereço IP do Unified Access Gateway e a porta 4172.

Ativar Blast Para usar o Gateway seguro Blast, altere o NÃO para SIM.

Modo do IP do Servidor de Conexão Selecione IPv4, IPv6 ou IPv4+IPv6 no menu suspenso. O padrão é IPv4.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 81

Page 82: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

6 Para configurar a regra do método de autenticação e outras configurações avançadas, clique emMais.

Opção Descrição

Métodos de Autenticação Selecione os métodos de autenticação a serem utilizados.

O padrão é utilizar a autenticação de passagem do nome de usuário e senha. Osmétodos de autenticação configurados no Unified Access Gateway estão listadosnos menus suspensos. Atualmente, os métodos de autenticação do RSASecureID e RADIUS são compatíveis.

Para configurar uma autenticação que inclui aplicar um segundo método deautenticação caso a primeira tentativa de autenticação não seja bem-sucedida.

a Selecione um método de autenticação no primeiro menu suspenso.

b Clique no + e selecione E ou OU.

c Selecione o segundo método de autenticação no terceiro menu suspenso.

Para exigir que os usuários façam a autenticação através de dois métodos deautenticação, altere OU para E no menu suspenso.

Observação n Com a implantação do PowerShell, para a autenticação RSA SecurID,

configure essa opção para usar securid-auth AND sp-auth para exibir atela de código de acesso.

n Com a implantação do vSphere, para a autenticação RSA SecurID, configureessa opção para usar securid-auth para exibir a tela de código de acesso.

n Adicione as seguintes linhas à seção do Horizon do arquivo INI.

authMethods=securid-auth && sp-authmatchWindowsUserName=true

Adicione uma nova seção no final do seu arquivo INI.

[SecurIDAuth]serverConfigFile=C:\temp\sdconf.recexternalHostName=192.168.0.90internalHostName=192.168.0.90

Os endereços IP devem ser configurados com o endereço IP doUnified Access Gateway. O arquivo sdconf.rec é obtido a partir de umGerenciador de Autenticações RSA que deve estar totalmente configurado.Verifique se você está usando o Access Point 2.5 ou posterior (ou oUnified Access Gateway 3.0 ou posterior) e se o servidor do Gerenciador deAutenticação RSA é acessível na rede do Unified Access Gateway. Executenovamente o comando uagdeploy do Powershell para reimplantar oUnified Access Gateway configurado para RSA SecurID.

Caminho de URI para Verificação deIntegridade

O caminho de URI para o servidor de conexão com o qual oUnified Access Gateway se conecta, para monitoramento do status deintegridade.

URL Externa de Blast A URL usada pelos clientes do Horizon para estabelecer a sessão Blast ou BEATdo Horizon a esse appliance do Unified Access Gateway. Por exemplo,https://uag1.myco.com ou https://uag1.myco.com:443.

Se o número da porta TCP não for especificado, a porta TCP padrão será 8443.Se o número da porta UDP não for especificado, a porta UDP padrão será 8443.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 82

Page 83: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Descrição

Ativar Servidor do UDP As conexões são estabelecidas por meio do servidor Tunnel UDP, se houver umalargura de banda baixa.

Certificado de Proxy do Blast Certificado de proxy para o Blast. Clique em Selecionar para carregar umcertificado no formato PEM e adicionar ao armazenamento de confiança doBLAST. Clique em Alterar para substituir o certificado existente.

Se o usuário carregar manualmente o mesmo certificado para oUnified Access Gateway para o balanceador de carga e precisar usar umcertificado diferente para o Unified Access Gateway e o Blast Gateway, oestabelecimento de uma sessão de área de trabalho do Blast falharia, pois aimpressão digital entre o cliente e o Unified Access Gateway não corresponde. Aentrada de impressão digital personalizada para o Unified Access Gateway ouBlast Gateway resolve isso ao retransmitir a impressão digital para estabelecer asessão do cliente.

Ativar Tunnel Se o túnel seguro do Horizon for utilizado, altere NÃO para SIM. O client utiliza aURL externa para conexões de túnel através do Gateway seguro do Horizon. Otúnel é utilizado para tráfego RDP, USB e de redirecionamento de multimídia(multimedia redirection, MMR).

URL Externa do Tunnel A URL usada pelos clientes do Horizon para estabelecer a sessão do HorizonTunnel com esse appliance do Unified Access Gateway. Por exemplo,https://uag1.myco.com ou https://uag1.myco.com:443.

Se o número da porta TCP não for especificado, a porta TCP padrão será 443.

Certificado de Proxy do Tunnel Certificado de proxy do Horizon Tunnel. Clique em Selecionar para carregar umcertificado no formato PEM e adicionar ao armazenamento de confiança doTunnel. Clique em Alterar para substituir o certificado existente.

Se o usuário carregasse manualmente o mesmo certificado para oUnified Access Gateway para o balanceador de carga e precisar usar umcertificado diferente para o Unified Access Gateway e o Horizon Tunnel, oestabelecimento de uma sessão do Tunnel falharia, pois a impressão digital entreo cliente e o Unified Access Gateway não seria correspondente. A entrada deimpressão digital personalizada para o Unified Access Gateway ou o HorizonTunnel resolve isso ao retransmitir a impressão digital para estabelecer a sessãodo cliente.

Provedor de Verificação deConformidade de Endpoint

Selecione o provedor de verificação de conformidade de endpoint. O padrão éOPSWAT.

Padrão de Proxy Insira a expressão regular que corresponde aos URIs que estão relacionados àURL do servidor Horizon (proxyDestinationUrl). Ela tem um valor padrão de(/|/view-client(.*)|/portal(.*)|/appblast(.*)).

SAML SP Insira o nome do provedor de serviços SAML para o agente XMLAPI do Horizon.Esse nome deve corresponder ao nome de um metadado de um provedor deserviços configurado ou ser o valor especial DEMO.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 83

Page 84: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Descrição

Corresponder Nome de Usuário doWindows

Mude NÃO para SIM para corresponder ao RSA SecurID e ao nome de usuáriodo Windows. Quando definido como SIM, o securID-auth é definido comoverdadeiro e a correspondência de securID e de nome de usuário do Windows éaplicada.

Observação No Horizon 7, se você habilitar Ocultar informações do servidorna interface do usuário do cliente e Ocultar lista de domínio nasconfigurações da interface de usuário do cliente e selecionar a autenticaçãode dois fatores (RSA SecureID ou RADIUS) para a instância do servidor deconexão, não aplique a correspondência de nome de usuário do Windows.Aplicar a correspondência de nome de usuário do Windows impede que osusuários insiram as informações de domínio na caixa de texto nome de usuário eo login sempre falhará. Para obter mais informações, consulte os tópicos sobre aautenticação de dois fatores no documento de administração do Horizon 7.

Localização do Gateway O local de onde a solicitação de conexão se origina. O servidor de segurança e oUnified Access Gateway definem a localização do gateway. O local pode serexterno ou interno.

Certificados Confiáveis Adicione um certificado confiável para este serviço de borda. Clique em '+' paraselecionar um certificado no formato PEM e adicionar ao armazenamento deconfiança. Clique em "-" para remover um certificado do armazenamento deconfiança. Por padrão, o nome do alias é o nome do arquivo do certificado PEM.Edite a caixa de texto do alias para fornecer um nome diferente.

Cabeçalhos de Segurança de Resposta Clique em '+' para adicionar um cabeçalho. Insira o nome do cabeçalho desegurança. Insira o valor. Clique em '-' para remover um cabeçalho. Edite umcabeçalho de segurança existente para atualizar o nome e o valor do cabeçalho.

Importante Os nomes e valores do cabeçalho só são salvos após você clicarem Salvar. Alguns cabeçalhos de segurança padrão estão presentes por padrão.Os cabeçalhos configurados serão adicionados à resposta doUnified Access Gateway ao cliente somente se os cabeçalhos correspondentesestiverem ausentes na resposta do servidor de back-end configurado.

Observação Modifique os cabeçalhos de resposta de segurança com cuidado.Modificar esses parâmetros pode afetar o funcionamento seguro doUnified Access Gateway.

Entradas de host Insira os detalhes a serem adicionados no arquivo /etc/hosts. Cada entradadeve incluir um IP, um nome de host e um pseudônimo de nome de host opcionalnesta ordem, separados por um espaço. Por exemplo,10.192.168.1 example1.com, 10.192.168.2 example2.com example-

alias. Clique no sinal de " +" para adicionar várias entradas de host.

Importante As entradas de host são salvas somente depois que você clicar emSalvar.

Desativar HTML Access Se definido como SIM, desativa o acesso via Web ao Horizon. Consulte Verificações de conformidade de endpoint do Horizon para obter mais detalhes.

7 Clique em Salvar.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 84

Page 85: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Monitorando o Unified Access Gateway no Horizon ConsoleA integração do Unified Access Gateway com o console de Admin do Horizon oferece visibilidade sobreo status, estatísticas e informações de sessão na IU do administrador do Horizon. Você pode monitorar aintegridade do sistema do Unified Access Gateway.

A nova guia Gateway no console de Admin do Horizon fornece uma funcionalidade para registrar ecancelar o registro do Unified Access Gateway.

Figura 4‑4. Painel

A tela Painel exibe os detalhes do Unified Access Gateway registrado para a versão 3.4 ou posterior, oscomponentes do vSphere, os domínios, as áreas de trabalho e o uso do datastore.

Opções de configuração de URL externa de TCP e UDP BlastO gateway seguro Blast inclui a rede Blast Extreme Adaptive Transport (BEAT), que ajustadinamicamente as condições da rede, como variações de velocidade e perda de pacotes. NoUnified Access Gateway, é possível configurar as portas usadas pelo protocolo BEAT.

O Blast usa as portas padrão TCP 8443 e UDP 8443. A UDP 443 também pode ser usada para acessara área de trabalho através do servidor de túnel UDP. A configuração da porta é ajustada adequadamenteatravés da URL externa do Blast.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 85

Page 86: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 4‑2. Opções de porta do BEAT

URL externa de BlastPorta TCP usada pelocliente

Porta UDP usada pelocliente Descrição

https://ap1.myco.com 8443 8443 Este formato é o padrão e exige quea TCP 8443 e opcionalmente a UDP8443 sejam abertas no firewall parapermitir conexões à internet para oUnified Access Gateway

https://ap1.myco.com:443 443 8443 Usar este formato quando fornecessário abrir a TCP 443 ou UDP8443.

https://ap1.myco.com:xxxx xxxx 8443

https://ap1.myco.com:xxxx/?UDPPort=yyyy

xxxx yyyy

Para configurar portas diferentes do padrão, deve ser adicionada uma regra interna de encaminhamentode IP para o respectivo protocolo quando for implantado. As regras de encaminhamento devem serespecificadas na implantação do modelo do OVF ou por meio dos arquivos INI que são inseridos pormeio de comandos PowerShell.

Verificações de conformidade de endpoint do HorizonO recurso do Verificações de conformidade de endpoint no Unified Access Gateway fornece umacamada extra de segurança para acessar áreas de trabalho do Horizon, além de outros serviços deautenticação de usuário que estão disponíveis no Unified Access Gateway.

Você pode usar o recurso do Verificações de conformidade de endpoint para garantir a conformidadecom várias políticas, como uma política antivírus ou uma política de criptografia nos endpoints, porexemplo.

A política de conformidade de endpoint é definida em um serviço em execução na nuvem ou no local.

Se o Verificações de conformidade de endpoint estiver habilitado, o Unified Access Gateway permitiráapenas que as áreas de trabalho VDI compatíveis sejam inicializadas e bloqueará a inicialização detodos os endpoints fora de conformidade.

Pré-requisitos

1 Inscreva-se numa conta OPSWAT e registre seus aplicativos no site do OPSWAT. Consulte https://go.opswat.com/communityRegistration.

2 Anote a chave de cliente e a chave secreta do cliente. Você precisa das chaves para configurar oOPSWAT no Unified Access Gateway.

3 Efetue logon no site do OPSWAT e configure as políticas de conformidade para seus endpoints.Consulte a documentação relevante do OPSWAT.

4 Na página inicial do OPSWAT, clique em Conectar o Gerenciamento de Endpoint Metadefender,baixe e instale o software do agente no dispositivo cliente.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 86

Page 87: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Procedimentos

1 Efetue logon na IU do administrador e vá para Configurações avançadas > Configurações doprovedor de verificação de conformidade de endpoint.

2 Clique em Adicionar para adicionar os detalhes da Chave do cliente e da chave do Segredo docliente .

Os campos Provedor de verificação de conformidade de endpoint e Nome do host já estãopreenchidos. Não altere esses valores.

3 Na IU do administrador, navegue até as configurações do Horizon, localize o campo Provedor deverificação de conformidade de endpoint e selecione OPSWAT no menu suspenso.

4 Clique em Salvar.

5 Conecte-se à área de trabalho remota usando o cliente de provedor de verificação de conformidadede endpoint.

As áreas de trabalho do Horizon View configuradas são listadas e quando você inicia uma área detrabalho, o dispositivo cliente é validado quanto à conformidade.

Implementação como proxy reversoO Unified Access Gateway pode ser usado como um proxy reverso da Web e pode agir como um proxyreverso comum ou como um proxy reverso de autenticação na DMZ.

Cenário de implantaçãoO Unified Access Gateway fornece acesso remoto para a implantação local doVMware Identity Manager. Os appliances do Unified Access Gateway são implantados, geralmente, emuma zona desmilitarizada (DMZ) da rede. Com o VMware Identity Manager, o appliance doUnified Access Gateway opera como um proxy reverso da Web entre um navegador do usuário e oserviço do VMware Identity Manager no centro de dados. O Unified Access Gateway também ativa oacesso remoto ao catálogo do Workspace ONE para iniciar aplicativos do Horizon.

Observação Uma única instância do Unified Access Gateway pode lidar com até 15000 conexõessimultâneas de TCP. Se a carga esperada é mais de 15000, várias instâncias doUnified Access Gateway devem ser configuradas atrás do balanceador de carga.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 87

Page 88: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Consulte Configurações avançadas do serviço de borda para obter informações sobre as configuraçõesusadas durante a configuração do proxy reverso.

Figura 4‑5. Appliance Unified Access Gateway indicando o VMware Identity Manager

Workspace ONE/Identity Manager

MicrosoftActive

Directory

Internet

Servidor degerenciamento

do vCenter

Balanceador de carga

Balanceador de carga

Cliente WorkspaceONE

DMZ

Appliance doUnified Access

Gateway

Firewall

FirewallZonacorporativa

Cliente Workspace ONE

ServiçosDNS/NTP

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 88

Page 89: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Entendendo o proxy reversoO Unified Access Gateway fornece acesso ao portal de aplicativos para usuários remotos para singlesign-on e acesso aos recursos. O portal de aplicativos é um aplicativo de back-end, como Sharepoint,JIRA ou VIDM, para o qual o Unified Access Gateway atua como proxy reverso.

Observação O Horizon Connection Server não funciona com um proxy reverso da web ativado quandohá uma sobreposição no padrão de proxy. Portanto, se o Horizon e uma instância de proxy reverso daWeb estiverem configurados e ativados com os padrões de proxy na mesma instância do Unified AccessGateway, remova o padrão de proxy '/' das configurações do Horizon e mantenha o padrão no proxyreverso da Web para evitar a sobreposição. Manter o padrão de proxy '/' na instância do proxy reverso daWeb garante que, quando um usuário clicar na URL do Unified Access Gateway, a página correta doproxy reverso da Web seja exibida. Se apenas o Horizon estiver configurado, a alteração acima não seránecessária.

Observe os seguintes pontos quando ativar e configurar o proxy reverso:

n Você deve ativar a autenticação de proxy reverso em um Gerenciador de Serviço de Borda.Atualmente, são compatíveis os métodos de autenticação RSA SecurID e RADIUS.

n Você deve gerar metadados do provedor de identidade (metadados IDP) antes de habilitar aautenticação no proxy reverso da Web.

n O Unified Access Gateway fornece acesso remoto ao VMware Identity Manager e aos aplicativos daWeb com ou sem autenticação do cliente baseado no navegador e, em seguida, inicia a área detrabalho do Horizon.

n É possível configurar várias instâncias de proxy reverso e cada instância configurada pode serexcluída.

Figura 4‑6. Vários Proxies Reversos Configurados

Configurar o proxy reverso com o VMware Identity ManagerÉ possível configurar o serviço de proxy reverso da Web para utilizar o Unified Access Gateway com oVMware Identity Manager.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 89

Page 90: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Pré-requisitos

Observe os seguintes requisitos para a implantação com o VMware Identity Manager:

n DNS dividido. Externamente, o nome do host deve ser resolvido para o endereço IP doUnified Access Gateway. Internamente, no Unified Access Gateway, o mesmo nome de host deveser resolvido para o servidor Web real por meio de mapeamento de DNS interno ou de uma entradade nome de host no Unified Access Gateway.

Observação Se você estiver implantando apenas com o proxy reverso da Web, não seránecessário configurar a ponte de identidade.

n O serviço do VMware Identity Manager deve ter um nome de domínio totalmente qualificado (FQDN)como nome do host.

n O Unified Access Gateway deve usar DNS interno. Isso significa que a URL de destino do proxydeve usar um FQDN.

n A combinação de padrão de proxy e o padrão de host de proxy para uma instância de proxy reversoda Web deverá ser exclusiva se houver vários configuração de proxies reversos em uma instância deUnified Access Gateway.

n Os nomes de host de todos os proxies reversos configurados devem ser resolvidos para o mesmoendereço IP, que é o endereço IP da instância do Unified Access Gateway.

n Consulte Configurações avançadas do serviço de borda para obter informações sobre asconfigurações do serviço de borda avançadas.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Nas Configurações Gerais > Configurações do Serviço de Borda, clique em Mostrar.

3 Clique no ícone de engrenagem Configurações de Proxy Reverso.

4 Na página de configuração do Proxy Reverso, clique em Adicionar.

5 Na seção Configurações de Proxy Reverso, altere o NÃO para SIM para ativar o proxy reverso.

6 Configurar as configurações do serviço de borda.

Opção Descrição

Identificador O identificador do serviço de borda é configurado como proxy reverso da Web.

Identificação de instância O nome exclusivo para identificar e diferenciar uma instância de proxy reverso daWeb de todas as demais instâncias de proxy reverso da Web.

URL de destino do proxy Insira o endereço do aplicativo da Web, que geralmente é a URL de back-end.Por exemplo, para o VMware Identity Manager, adicione o endereço IP, o nomedo host do VMware Identity Manager e o DNS externo na máquina cliente. Na IUde Administrador, adicione o endereço IP, o nome do host doVMware Identity Manager e o DNS interno.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 90

Page 91: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Descrição

Impressões digitais da URL de destinodo proxy

Insira uma lista das impressões digitais do certificado do servidor SSL aceitáveispara a URL de proxyDestination. Se você especificar *, qualquer certificadoserá aceito. Uma impressão digital tem o formato [alg=]xx:xx, onde alg pode ser opadrão, sha1 ou md5. Os xx são dígitos hexadecimais. O separador ‘:’ tambémpode ser um espaço ou estar ausente. O caso em uma impressão digital éignorado. Por exemplo:

sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:

50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

Se você não configurar as impressões digitais, os certificados do servidordeverão ser emitidos por uma Autoridade de Certificação (Certificate Authority,CA) confiável.

Padrão de proxy Insira os caminhos de URI correspondentes que encaminham para a URL dedestino. Por exemplo, insira como(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

Observação Ao configurar vários proxies reversos, forneça o nome do host nopadrão de host do proxy.

7 Para definir outras configurações avançadas, clique em Mais.

Opção Descrição

Métodos de autenticação O padrão é utilizar a autenticação de passagem do nome de usuário e senha. Osmétodos de autenticação configurados no Unified Access Gateway estão listadosnos menus suspensos. Os métodos de Autenticação de Certificado doDispositivo, RSA SecurID e RADIUS são compatíveis.

Caminho de URI para verificação deintegridade

O Unified Access Gateway se conecta a este caminho de URI para verificar aintegridade de seu aplicativo Web.

SAML SP Necessário quando você configura o Unified Access Gateway como um proxyreverso autenticado para VMware Identity Manager. Insira o nome do provedorde serviços SAML para o agente do View XML API. Esse nome devecorresponder ao nome de um provedor de serviços configurado com oUnified Access Gatewayou ser o valor especial DEMO. Se houver váriosprovedores de serviços configurados com oUnified Access Gateway, seus nomesdeverão ser únicos.

URL externa O valor padrão é a URL do host do Unified Access Gateway e a porta 443. Épossível inserir uma outra URL externa. Digite como https://<host:port>.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 91

Page 92: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Descrição

Padrão desprotegido Insira o padrão de redirecionamento do VMware Identity Manager conhecido. Porexemplo: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horiz

on/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/h

orizon/js-

lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/S

AAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/h

c/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response

|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAA

S/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POS

T/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/a

uth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.

0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/S

AAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resou

rces(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/aut

h/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/log

in(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/use

r/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth

2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoke

n(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifac

t/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAA

S/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/la

unchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)

|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/a

uth/wsfed/active/logon(.*))

Cookie de autenticação Insira o nome do cookie de autenticação. Por exemplo: HZN

URL de redirecionamento de logon Se o usuário fizer logout do portal, digite o URL de redirecionamento para efetuarlogin novamente. Por exemplo: /SAAS/auth/login?dest=%s

Padrão de host de proxy Nome de host externo usado para verificar o host que entra para verificar secombina com o padrão para aquela instância em particular. O padrão do host éopcional ao configurar instâncias de proxy reverso da Web.

Certificados confiáveis Adicione um certificado confiável para este serviço de borda. Clique em '+' paraselecionar um certificado no formato PEM e adicionar ao armazenamento deconfiança. Clique em '-' para remover um certificado do armazenamento deconfiança. Por padrão, o nome do alias é o nome do arquivo do certificado PEM.Edite a caixa de texto do alias para fornecer um nome diferente.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 92

Page 93: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Descrição

Cabeçalhos de Segurança de Resposta Clique em '+' para adicionar um cabeçalho. Insira o nome do cabeçalho desegurança. Insira o valor. Clique em '-' para remover um cabeçalho. Edite umcabeçalho de segurança existente para atualizar o nome e o valor do cabeçalho.

Importante Os nomes e valores do cabeçalho só são salvos após você clicarem Salvar. Alguns cabeçalhos de segurança padrão estão presentes por padrão.Os cabeçalhos configurados serão adicionados à resposta doUnified Access Gateway ao cliente somente se os cabeçalhos correspondentesestiverem ausentes na resposta do servidor de back-end configurado.

Observação Modifique os cabeçalhos de resposta de segurança com cuidado.Modificar esses parâmetros pode afetar o funcionamento seguro doUnified Access Gateway.

Entradas de host Insira os detalhes a serem adicionados no arquivo /etc/hosts. Cada entradadeve incluir um IP, um nome de host e um pseudônimo de nome de host opcionalnesta ordem, separados por um espaço. Por exemplo,10.192.168.1 example1.com, 10.192.168.2 example2.com example-

alias. Clique no sinal de " +" para adicionar várias entradas de host.

Importante As entradas de host são salvas somente depois que você clicar emSalvar.

Observação As opções de UnSecure Pattern, Auth Cookie e Login Redirect URL sãoaplicáveis apenas com VMware Identity Manager. Os valores fornecidos aqui também são aplicáveisao Access Point 2.8 e ao Unified Access Gateway 2.9.

Observação As propriedades do Cookie de autenticação e do Padrão desprotegido não são válidaspara proxy reverso de autenticação. Você deve usar a propriedade Auth Methods para definir ométodo de autenticação.

8 Clique em Salvar.

Próximo passo

Para habilitar a ponte de identidade, consulte Configurando as definições da ponte de identidade.

Implementação para acesso single sign-on paraaplicativos da Web locais herdados.O recurso de ponte de identidade do Unified Access Gateway pode ser configurado para fornecer singlesign-on (SSO) para aplicativos da internet herdados que usam a delegação restrita do Kerberos (KCD)ou a autenticação baseada no cabeçalho.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 93

Page 94: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

O Unified Access Gateway em modo de ponte de identidade atua como o provedor de serviços quepassa a autenticação do usuário para os aplicativos herdados configurados. O VMware Identity Manageratua como um provedor de identidade e fornece SSO nos aplicativos SAML. O Identity Managerautentica o usuário quando os aplicativos herdados de acesso dos usuários exigem a autenticação KCDou baseada em cabeçalho. A declaração SAML com as informações do usuário é enviada aoUnified Access Gateway. O Unified Access Gateway usa essa autenticação para permitir que os usuáriosacessem o aplicativo.

Observação O Horizon Connection Server não funciona com um proxy reverso da web ativado quandohá uma sobreposição no padrão de proxy. Portanto, se o Horizon e uma instância de proxy reverso daWeb estiverem configurados e ativados com os padrões de proxy na mesma instância do Unified AccessGateway, remova o padrão de proxy '/' das configurações do Horizon e mantenha o padrão no proxyreverso da Web para evitar a sobreposição. Manter o padrão de proxy '/' na instância do proxy reverso daWeb garante que, quando um usuário clicar na URL do Unified Access Gateway, a página correta doproxy reverso da Web seja exibida. Se apenas o Horizon estiver configurado, a alteração acima não seránecessária.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 94

Page 95: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Figura 4‑7. Modo de ponte de identidade do Unified Access Gateway

Declaração SAML para o Unified Access Gateway

Workspace ONESSO para SAML,

aplicativos móveis e na nuvem

UAG

Balanceador de carga/firewall

Balanceador de carga/firewall

É transformado emformato do

Kerberos

É transformado emformato baseado em cabeçalho

AplicativoKCD

AplicativoSAML

Aplicativosbaseados

emcabeçalho

DMZ

Cenários de implantação de ponte de identidadeO modo de ponte de identidade do Unified Access Gateway pode ser configurado para trabalhar com oVMware Workspace® ONE® em nuvem ou em um ambiente local.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 95

Page 96: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Usando a ponte de identidade do Unified Access Gateway com clientes doWorkspace ONE na nuvemO modo de ponte de identidade pode ser configurado para trabalhar com o Workspace ONE na nuvempara autenticar usuários. Quando um usuário solicita acesso para um aplicativo da Web herdado, oprovedor de identidade aplica as políticas aplicáveis de autenticação e autorização.

Se o usuário for validado, o provedor de identidade cria um token SAML e o envia ao usuário. O usuáriopassa o token SAML ao Unified Access Gateway na DMZ. O Unified Access Gateway valida o tokenSAML e recupera o nome da entidade do usuário do token.

Se a solicitação for para a autenticação no Kerberos, a delegação restrita do Kerberos será usada paranegociar com o servidor do Active Directory. O Unified Access Gateway representa o usuário pararecuperar o token do Kerberos para autenticar com o aplicativo.

Se a solicitação for para autenticação baseada em cabeçalho, o nome de cabeçalho do usuário éenviado ao servidor de internet para solicitar a autenticação com o aplicativo.

O aplicativo envia a resposta de volta ao Unified Access Gateway A resposta é devolvida ao usuário.

Figura 4‑8. Ponte de identidade do Unified Access Gateway com os clientes do WorkspaceONE na nuvem

É transformado emformato do

Kerberos

É transformado emformato baseado em cabeçalho

Workspace ONE/Clientes baseados no navegador

Direitos de autenticação e de aplicação

Workspace ONE Hospedado como provedor

de identidade

Balanceadorde carga/Firewall

Balanceadorde carga/Firewall

AplicativoKCD

Aplicativosbaseados

emcabeçalho

UAG

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 96

Page 97: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Usando a ponte de identidade com os clientes do Workspace ONE localQuando o modo de ponte de identidade é configurado para os usuários de autenticação com oWorkspace ONE em um ambiente local, os usuários inserem a URL para acessar o aplicativo de internetherdado local por meio do proxy do Unified Access Gateway. O Unified Access Gateway redireciona asolicitação ao provedor de identidade para autenticação. O provedor de identidade aplica as políticas deautenticação e autorização à solicitação. Se o usuário for validado, o provedor de identidade criará umtoken SAML e o enviará ao usuário.

O usuário passa o token SAML ao Unified Access Gateway. O Unified Access Gateway valida o tokenSAML e recupera o nome da entidade do usuário do token.

Se a solicitação for para a autenticação no Kerberos, a delegação restrita do Kerberos será usada paranegociar com o servidor do Active Directory. O Unified Access Gateway representa o usuário pararecuperar o token do Kerberos para autenticar com o aplicativo.

Se a solicitação for para autenticação baseada em cabeçalho, o nome de cabeçalho do usuário éenviado ao servidor de internet para solicitar a autenticação com o aplicativo.

O aplicativo envia a resposta de volta ao Unified Access Gateway A resposta é devolvida ao usuário.

Figura 4‑9. Ponte de identidade do Unified Access Gateway local.

Internet

Workspace ONE/Clientes baseados no navegador

Balanceadorde carga/Firewall

Balanceadorde carga/Firewall

Aplicativo KCD

IDM IDM

DMZ

Zonaverde

UAG

Aplicativosbaseados

emcabeçalho

Usando a ponte de identidade com o certificado para KerberosVocê pode configurar a ponte de identidade para fornecer single sign-on (SSO) aos aplicativos nãoSAML legados no local utilizando a validação do certificado. Consulte Configurar um Proxy Reverso daWeb para a ponte de identidade (Certificado para Kerberos).

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 97

Page 98: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Configurando as definições da ponte de identidadeQuando o Kerberos é configurado no aplicativo de back-end, para configurar a ponte de identidade noUnified Access Gateway, carregue os metadados do provedor de identidade e o arquivo keytab econfigure as definições de território do KCD.

Observação Esta versão de ponte de identidade oferece suporte a vários domínios com umaconfiguração de domínio único. Isso significa que o usuário e a conta SPN podem estar em domíniosdiferentes.

Quando a ponte de identidade está habilitada com a autenticação baseada em cabeçalho, asconfigurações de keytab e as configurações de território do KCD não são necessárias.

Antes de configurar as definições da ponte de identidade para a autenticação do Kerberos, certifique-sede que o seguinte esteja disponível.

n Um provedor de identidade é configurado e os metadados SAML do provedor de identidade sãosalvos. O arquivo de metadados SAML é carregado para o Unified Access Gateway (apenascenários de SAML).

n Para a autenticação do Kerberos, um servidor com o Kerberos habilitado com os nomes dosterritórios para os centros de distribuição de chaves para o uso identificado.

n Para a autenticação do Kerberos, carregar o arquivo keytab para o Unified Access Gateway. Oarquivo keytab inclui as credenciais para a conta do serviço de Active Directory que é configuradapara obter o ticket do Kerberos em nome de qualquer usuário no domínio para um determinadoserviço de back-end.

n Certifique-se de que as seguintes portas estejam abertas:

n Porta 443 para solicitações HTTP de entrada

n Porta TCP/UDP 88 para a comunicação do Kerberos com o Active Directory

n O Unified Access Gateway usa TCP para se comunicar com aplicativos de back-end. A portaapropriada na qual o back-end está escutando, por exemplo, porta TCP 8080.

Observação n Não há suporte para a configuração da ponte de identidade de tanto o SAML quanto o Certificado

para Kerberos para duas diferentes instâncias de proxy reverso na mesma instância doUnified Access Gateway.

n Não há suporte para instâncias de Proxy Reverso da Web com a autoridade de certificação e sem aautenticação baseada em certificado que não tem a ponte de identidade ativada no mesmoappliance.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 98

Page 99: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Autenticação baseada em cabeçalho usando-se SAMLAs respostas SAML de IDP para SP (no caso de ponte de identidade, Unified Access Gateway) contêmasserções SAML, que têm os atributos SAML. Os atributos SAML podem ser configurados no IDP paraapontar para vários parâmetros, como nome de usuário, e-mail e assim por diante.

Na autenticação baseada em cabeçalho usando-se SAML, o valor do atributo SAML pode ser enviadocomo um cabeçalho HTTP ao destino do proxy de back-end. O nome de atributo SAML definido noUnified Access Gateway é o mesmo que aquele no IDP. Por exemplo, se um provedor de identidade tivero atributo definido como Name: userName Value: idmadmin, o nome do atributo SAML noUnified Access Gateway deverá ser definido como "userName".

Atributo SAML que não coincidir com o atributo definido no IDP será ignorado. OUnified Access Gateway é compatível tanto com vários atributos SAML quanto com atributos SAML devários valores. Os exemplos de trechos da asserção SAML esperados de um provedor de identidade sãomencionados nos itens a seguir para cada caso. Por exemplo,

1. Resposta SAML esperada do IDP para vários atributos SAML

<saml:AttributeStatement>

<saml:Attribute Name="userName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">

<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:type="xsd:string">idmadmin</saml:AttributeValue>

</saml:Attribute>

<saml:Attribute Name="userEmail" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">

<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">63ecfabf-a577-46c3-b4fa-

caf7ae49a6a3</saml:AttributeValue>

</saml:Attribute>

</saml:AttributeStatement>

No exemplo anterior, uma asserção contém dois atributos, "userName" e "userEmail". Se aautenticação baseada em cabeçalho for configurada apenas para "userName", com o nome docabeçalho sendo "HTTP_USER_NAME", o cabeçalho será enviado como: "HTTP_USER_NAME: idmadmin"Desde que "userEmail" não esteja configurado no Unified Access Gateway para a autenticaçãobaseada em cabeçalho, ele não será enviado como um cabeçalho.

2. Resposta SAML esperada do IDP para o atributo SAML de vários valores

<saml:AttributeStatement>

<saml:Attribute Name="group" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">

<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All

Employees</saml:AttributeValue>

<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All

Contractors</saml:AttributeValue>

<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All

Executives</saml:AttributeValue>

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 99

Page 100: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All</saml:AttributeValue>

</saml:Attribute>

</saml:AttributeStatement>

No exemplo anterior, um atributo "group" contém quatro valores, nomeadamente "All Employees","All Contractors", "All Executives" e "All". Se a autenticação baseada em cabeçalho, forconfigurada apenas para "group", com o nome do cabeçalho sendo "HTTP_GROUP", o cabeçalho seráenviado como "HTTP_GROUP: All Employees, All Contractors, All Executives, All" comuma lista separada por vírgula de todos os valores do atributo como o valor do cabeçalho.

Definir configurações do territórioConfigure o nome do território do domínio, os centros de distribuição de chaves para o território e otempo limite KDC.

O território é o nome de uma entidade administrativa que mantém os dados de autenticação. Éimportante selecionar um nome descritivo para o território de autenticação Kerberos. Configure oterritório, saiba também o nome do domínio e o serviço KDC correspondente noUnified Access Gateway. Quando a solicitação UPN vai para um território específico, oUnified Access Gateway resolve internamente o KDC para usar o ticket de serviço do Kerberos.

A convenção é fazer com que o nome do território seja o mesmo que o seu nome de domínio, inseridoem letras maiúsculas. Por exemplo, um nome de território é EXAMPLE.NET. O nome do território éusado por um cliente Kerberos para gerar nomes DNS.

No Unified Access Gateway 3.0, você pode excluir territórios definidos anteriormente.

Importante No caso de uma configuração entre domínios, adicione os detalhes de todos os territórios,incluindo o principal, o secundário ou os subdomínios e as informações associadas do KDC. Certifique-se de que a relação de confiança seja habilitada entre territórios.

Pré-requisitos

Um servidor com o Kerberos habilitado com os nomes dos territórios para os centros de distribuição dechaves para o uso identificado.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Na seção Configurações avançadas > Configurações de ponte de identidade, selecione o íconede engrenagem Configurações do território.

3 Clique em Adicionar.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 100

Page 101: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

4 Preencha o formulário.

Etiqueta Descrição

Nome do território Insira o território com o nome do domínio. Insira o território em letras maiúsculas. Oterritório deve ser correspondente ao nome do domínio configurado no Active Directory.

Centros de distribuição dechaves

Inserir os servidores KDC para o território. Separe com vírgula a lista se for adicionadomais de um servidor.

Tempo limite do KDC (emsegundos)

Insira o tempo de espera para a resposta do KDC. O padrão é de 3 segundos.

5 Clique em Salvar.

Próximo passo

Configure as definições de keytab.

Carregar configurações KeytabUm keytab é um arquivo que contém pares de chaves principais e criptografadas do Kerberos. Umarquivo keytab é criado para aplicações que exigem single sign-on. A ponte de identidade doUnified Access Gateway usa um arquivo keytab para que seja autenticado em sistemas remotos usandoo Kerberos sem inserir uma senha.

Quando um usuário é autenticado no Unified Access Gateway a partir de um provedor de identidade, oUnified Access Gateway solicita um tíquete do Kerberos do controlador de domínio do Kerberos paraautenticar o usuário.

O Unified Access Gateway usa um arquivo keytab para representar o usuário a autenticar o domínio doActive Directory. O Unified Access Gateway deve ter uma conta de serviço do usuário do domínio nodomínio do Active Directory. O Unified Access Gateway não fica ligado diretamente ao domínio.

Observação Se o administrador regenerar o arquivo keytab para uma conta de serviços, o arquivokeytab deverá ser carregado novamente no Unified Access Gateway.

Você também pode gerar o arquivo keytab usando a linha de comando. Por exemplo:

ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out

C:\Temp\kerberos.keytab /mapuser uagkerberos /crypto All

Consulte a documentação da Microsoft para obter informações detalhadas sobre o comando ktpass.

Pré-requisitos

Você deve ter acesso ao arquivo keytab do Kerberos para carregar para o Unified Access Gateway. Oarquivo keytab é um arquivo binário. Se possível, use SCP ou outro método seguro para transferir okeytab entre os computadores.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 101

Page 102: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

2 Na seção Configurações avançadas > Configurações de ponte de identidade, selecione o íconede engrenagem Carregar configurações keytab.

3 (Opcional) Insira o nome da entidade do Kerberos na caixa de texto Nome da entidade.

Cada identidade sempre é totalmente qualificada com o nome do território. O território sempre deveestar em letras maiúsculas.

Verifique se o nome da entidade inserido aqui é o primeiro nome da entidade encontrado no arquivokeytab. Se o mesmo nome da entidade não estiver no arquivo keytab que foi carregado, ocarregamento do keytab falhará.

4 Na caixa de texto Selecionar arquivo keytab, clique em Selecionar e navegue até o arquivo keytabsalvo. Clique em Abrir.

Se o nome da entidade não foi inserido, é usado o primeiro nome da entidade encontrado no keytab.É possível fundir diversos keytabs em um arquivo.

5 Clique em Salvar.

Próximo passo

Configure um proxy reverso da Web para a ponte de identidade do Unified Access Gateway

Configurando um Proxy Reverso da Web para a ponte de identidade (SAMLpara Kerberos)Para configurar um Proxy Reverso da Web para a ponte de identidade (SAML para Kerberos), você deveter salvo o arquivo de metadados do provedor de identidade no Unified Access Gateway.

Você pode, em seguida, ativar a ponte de identidade no console de administração para configurar onome do host externo para o serviço.

Carregar metadados do provedor de identidade

Para configurar o recurso de ponte de identidade, é necessário carregar o arquivo XML de metadados docertificado SAML do provedor de identidade para o Unified Access Gateway

Pré-requisitos

O arquivo XML de metadados SAML deve ser salvo em um computador ao qual você tenha acesso.

Se você estiver usando o VMware Identity Manager como provedor de identidade, baixe e salve oarquivo de metadados SAML do console de administrador do VMware Identity Manager, Catálogo >Metadados SAML de configurações > Link de metadados do provedor de identidade (IdP).

Procedimentos

1 No console de administração, clique em Selecionar sob Configurar manualmente.

2 Na seção Configurações avançadas > Configurações de ponte de identidade, selecionar o íconede engrenagem de Carregar metadados do provedor de identidade.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 102

Page 103: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

3 Insira a ID da entidade para o provedor de identidade na caixa de texto ID da entidade .

Se não for inserido um valor na caixa de texto ID da entidade, o nome no provedor de identidade noarquivo de metadados será analisado e usado como a ID da entidade do provedor de identidade.

4 Na seção Metadados IDP , clique em Selecionar e navegue até o arquivo de metadados salvo.Clique em Abrir.

5 Clique em Salvar.

Próximo passo

Para a autenticação KDC, configure as configurações de território e as configurações keytab.

Para autenticação baseada em cabeçalho, quando você configurar o recurso de ponte de identidade,preencha a opção Nome de cabeçalho do usuário com o nome do cabeçalho HTTP que inclui a ID dousuário.

Configurar um Proxy Reverso da Web para a ponte de identidade (SAML para Kerberos)

Ative a ponte de identidade, configure o nome do host externo para o serviço e baixe o arquivo demetadados do provedor de serviços do Unified Access Gateway.

Esse arquivo de metadados é carregado na página configuração de aplicativo da web no serviço doVMware Identity Manager.

Pré-requisitos

Você deve ter definido as seguintes Configurações de Ponte de Identidade no console de administraçãodo Unified Access Gateway. Você pode encontrar essas configurações na seção Configuraçõesavançadas.

n Metadados do provedor de identidade carregados para o Unified Access Gateway.

n O nome principal do Kerberos configurado e o arquivo keytab carregado para oUnified Access Gateway.

n O nome do território e as informações do centro de distribuição de chaves.

Certifique-se de que a porta TCP/UDP 88 esteja aberta, pois o Unified Access Gateway a usa para acomunicação do Kerberos com o Active Directory.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Na linha Configurações gerais > Configuração de serviço de borda, clique em Mostrar.

3 Clique no ícone de engrenagem Configurações de Proxy Reverso.

4 Na página Configurações de Proxy Reverso, clique em Adicionar para criar uma configuração deproxy.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 103

Page 104: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

5 Defina Ativar configurações de proxy reverso como SIM e defina as configurações do serviço deborda a seguir.

Opção Descrição

Identificador O identificador do serviço de borda é configurado como o proxy reverso da Web.

Identificação de instância Nome exclusivo da instância do proxy reverso da Web.

URL de destino do proxy Especifique o URI interno do aplicativo da Web. É obrigatório que oUnified Access Gateway leia e acesse esta URL.

Impressões digitais da URL de destinodo proxy

Insira a URI para combinar com esta configuração de proxy. Uma impressãodigital tem o formato [alg=]xx:xx, onde alg pode ser sha1, o padrão ou md5. Os‘xx’ são dígitos hexadecimais. Por exemplo, sha=C3 89 A2 19 DC 7A 48 2B 851C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

Se você não configurar as impressões digitais, os certificados do servidordeverão ser emitidos por uma Autoridade de Certificação (Certificate Authority,CA) confiável.

Padrão de proxy Insira os caminhos de URI correspondentes que encaminham para a URL dedestino. Por exemplo, insira como(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

Observação: ao configurar vários proxies reversos, forneça o nome do host nopadrão de host do proxy

6 Para definir outras configurações avançadas, clique em Mais.

Opção Descrição

Métodos de autenticação O padrão é utilizar a autenticação de passagem do nome de usuário e senha. Osmétodos de autenticação configurados no Unified Access Gateway estão listadosnos menus suspensos. Os métodos de Autenticação de Certificado doDispositivo, RSA SecurID e RADIUS são compatíveis.

Caminho de URI para verificação deintegridade

O Unified Access Gateway se conecta a este caminho de URI para verificar aintegridade de seu aplicativo Web.

SAML SP Necessário quando você configura o Unified Access Gateway como um proxyreverso autenticado para VMware Identity Manager. Insira o nome do provedorde serviços SAML para o agente do View XML API. Esse nome devecorresponder ao nome de um provedor de serviços configurado com oUnified Access Gatewayou ser o valor especial DEMO. Se houver váriosprovedores de serviços configurados com oUnified Access Gateway, seus nomesdeverão ser únicos.

URL externa O valor padrão é a URL do host do Unified Access Gateway e a porta 443. Épossível inserir uma outra URL externa. Digite como https://<host:port>.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 104

Page 105: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Descrição

Padrão desprotegido Insira o padrão de redirecionamento do VMware Identity Manager conhecido. Porexemplo: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horiz

on/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/h

orizon/js-

lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/S

AAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/h

c/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response

|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAA

S/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POS

T/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/a

uth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.

0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/S

AAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resou

rces(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/aut

h/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/log

in(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/use

r/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth

2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoke

n(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifac

t/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAA

S/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/la

unchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)

|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/a

uth/wsfed/active/logon(.*))

Cookie de autenticação Insira o nome do cookie de autenticação. Por exemplo: HZN

URL de redirecionamento de logon Se o usuário fizer logout do portal, digite o URL de redirecionamento para efetuarlogin novamente. Por exemplo: /SAAS/auth/login?dest=%s

Padrão de host de proxy Nome de host externo usado para verificar o host que entra para verificar secombina com o padrão para aquela instância em particular. O padrão do host éopcional ao configurar instâncias de proxy reverso da Web.

Certificados confiáveis Adicione um certificado confiável para este serviço de borda. Clique em '+' paraselecionar um certificado no formato PEM e adicionar ao armazenamento deconfiança. Clique em '-' para remover um certificado do armazenamento deconfiança. Por padrão, o nome do alias é o nome do arquivo do certificado PEM.Edite a caixa de texto do alias para fornecer um nome diferente.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 105

Page 106: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Descrição

Cabeçalhos de Segurança de Resposta Clique em '+' para adicionar um cabeçalho. Insira o nome do cabeçalho desegurança. Insira o valor. Clique em '-' para remover um cabeçalho. Edite umcabeçalho de segurança existente para atualizar o nome e o valor do cabeçalho.

Importante Os nomes e valores do cabeçalho só são salvos após você clicarem Salvar. Alguns cabeçalhos de segurança padrão estão presentes por padrão.Os cabeçalhos configurados serão adicionados à resposta doUnified Access Gateway ao cliente somente se os cabeçalhos correspondentesestiverem ausentes na resposta do servidor de back-end configurado.

Observação Modifique os cabeçalhos de resposta de segurança com cuidado.Modificar esses parâmetros pode afetar o funcionamento seguro doUnified Access Gateway.

Entradas de host Insira os detalhes a serem adicionados no arquivo /etc/hosts. Cada entradadeve incluir um IP, um nome de host e um pseudônimo de nome de host opcionalnesta ordem, separados por um espaço. Por exemplo,10.192.168.1 example1.com, 10.192.168.2 example2.com example-

alias. Clique no sinal de " +" para adicionar várias entradas de host.

Importante As entradas de host são salvas somente depois que você clicar emSalvar.

7 Na seção Ativar ponte de identidade, altere de NÃO para SIM.

8 Configurar as seguintes configurações do serviço de borda.

Opção Descrição

Tipos de autenticação Selecione SAML.

Atributos SAML Lista de atributos SAML que é transmitida como cabeçalhos de solicitação. Estaopção estará disponível apenas se a opção Ativar Ponte de Identidade estiverdefinida como Sim e a opção Tipos de Autenticação estiver definida comoSAML. Clique em '+' para um atributo SAML como parte do cabeçalho.

Provedor de identidade No menu suspenso, selecione o provedor de identidade.

Keytab No menu suspenso, selecione o keytab configurado para este proxy reverso.

Nome da identidade do serviço dedestino

Insira o nome principal do serviço Kerberos. Cada identidade sempre étotalmente qualificada com o nome do território. Por exemplo,myco_hostname@MYCOMPANY. Digite o nome do território em letras maiúsculas.Se não for adicionado um nome na caixa de texto, o nome principal do serviçoserá derivado do nome do host da URL de destino do proxy.

Página de aterrissagem de serviço Insira a página para a qual os usuários são redirecionados no provedor deidentidade após a validação da declaração. A configuração padrão é /.

Nome de cabeçalho do usuário Para a autenticação baseada em cabeçalho, insira o nome do cabeçalho HTTPque inclui a ID do usuário derivada da declaração.

9 Na seção Baixar metadados SP, clicar em Download.

Salve o arquivo de metadados do provedor de serviços.

10 Clique em Salvar.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 106

Page 107: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Próximo passo

Adicione o arquivo de metadados do provedor de serviços do Unified Access Gateway à páginaConfiguração de aplicativo da Web no serviço do VMware Identity Manager.

Adicionar o arquivo de metadados ao serviço do VMware Identity Manager

O arquivo de metadados do provedor de serviços do Unified Access Gateway que foi baixado deve sercarregado na página Configuração de aplicativo de internet no serviço do VMware Identity Manager.

O certificado SSL usado deve ser o mesmo certificado usado em servidores do Unified Access Gatewaycom carga balanceada.

Pré-requisitos

Você deve ter salvo o arquivo de metadados do provedor de serviços de Unified Access Gateway nocomputador.

Procedimentos

1 Faça logon no console de administração do VMware Identity Manager.

2 Na guia Catálogo, clique em Adicionar Aplicativo e selecione Criar um novo.

3 Na página Detalhes do aplicativo, insira um nome de usuário final amigável na caixa de texto Nome.

4 Selecione o perfil de autenticação SAML 2.0 POST .

Também é possível adicionar uma descrição desse aplicativo e um ícone para ser exibido aosusuários finais no portal Workspace ONE.

5 Clique em Avançar e na página Configuração de aplicativo, role até a seção Configurar Via.

6 Selecione o botão de opção XML de metadados e cole o texto dos metadados do provedor deserviços do Unified Access Gateway na caixa de texto de XML de metadados.

7 (Opcional) Na seção Mapeamento de atributos, mapeie os seguintes nomes de atributos para osvalores de perfil de usuário. O valor do campo FORMATO é Básico. Os nomes de atributos devemser inseridos em letras minúsculas.

Nome Valor configurado

upn userPrincipalName

userid ID de usuário do Active Directory

8 Clique em Salvar.

Próximo passo

Autorize usuários e grupos a usar este aplicativo.

Observação O Unified Access Gateway é compatível apenas com usuários de domínio único. Se oprovedor de identidade estiver configurado com vários domínios, o aplicativo poderá ser qualificadoapenas para usuários em um único domínio.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 107

Page 108: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Configurando um Proxy Reverso da Web para a ponte de identidade(Certificado para Kerberos)Configure o console do Workspace ONE UEM para obter e utilizar certificados de autoridade decertificação antes de configurar o recurso de ponte de identidade do Unified Access Gateway parafornecer single sign-on (SSO) aos aplicativos não SAML legados no local utilizando a validação docertificado.

Ativar o console do Workspace ONE UEM para obter e utilizar certificados da autoridade decertificação

Você pode adicionar um modelo de usuário no servidor da autoridade de certificação e definir asconfigurações no console do Workspace ONE UEM para ativar a AirWatch para obter e utilizar oscertificados da autoridade de certificação.

1 Adicionar um modelo de usuário

Adicione um modelo de usuário no servidor da autoridade de certificação como uma primeira etapapara ativar a AirWatch para obter certificados.

2 Adicionar uma autoridade de certificação no console

Adicione uma autoridade de certificação (CA) no console do Workspace ONE UEM.

3 Adicionar um modelo de solicitação da autoridade de certificação

Adicione um modelo de solicitação da autoridade de certificação depois de adicionar umaAutoridade de Certificação no console do Workspace ONE UEM.

4 Atualizar políticas de segurança para utilizar o certificado da autoridade de certificação obtido

Atualize as políticas de segurança no console do Workspace ONE UEM para usar o certificadoobtido pela autoridade de certificação.

Adicionar um modelo de usuário

Adicione um modelo de usuário no servidor da autoridade de certificação como uma primeira etapa paraativar a AirWatch para obter certificados.

Procedimentos

1 Faça logon no servidor onde a autoridade de certificação está configurada.

2 Clique em Iniciar e digite mmc.exe.

3 Na janela do MMC, vá para Arquivo > Adicionar/Remover Snap-in.

4 Na janela Adicionar ou remover snap-ins, selecione Modelos de certificado e clique emAdicionar.

5 Clique em OK.

6 Na janela Modelos de certificado, role para baixo e selecione Usuário > Duplicar modelo,

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 108

Page 109: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

7 Na janela Propriedades do novo modelo, selecione a guia Geral e forneça um nome para o Nomede exibição do modelo .

O Nome do modelo é preenchido automaticamente com esse nome, sem o espaço.

8 Selecione a guia Nome da entidade e Fornecer na solicitação.

9 Clique em Aplicar e, em seguida, clique em OK.

10 Na janela do MMC, vá para Arquivo > Adicionar/Remover Snap-in.

11 Na janela Adicionar ou remover snap-ins, selecione Autoridade de certificação e clique emAdicionar.

12 Na janela MMC, selecione Autoridade de certificação > Modelo de certificado.

13 Clique com o botão direito em Autoridade de certificação e selecione Novo > Modelo decertificado a ser emitido.

14 Selecione o modelo criado na etapa 6.

Próximo passo

Certifique-se de que o modelo que você adicionou seja exibido na lista.

Faça logon no console do Workspace ONE UEM e adicione uma autoridade de certificação.

Adicionar uma autoridade de certificação no console

Adicione uma autoridade de certificação (CA) no console do Workspace ONE UEM.

Pré-requisitos

n Você deve ter adicionado um modelo de usuário no servidor da autoridade de certificação.

n Você deve ter o nome do emissor da autoridade de certificação. Faça logon no servidor do ActiveDirectory (AD) e execute o comando certutil no prompt de comando para obter o nome doemissor da autoridade de certificação.

n Especifique que o Nome de usuário da autoridade de certificação deve ser do tipo de conta deserviço.

Procedimentos

1 Faça logon no console do Workspace ONE UEM e selecione o Grupo Organizacional apropriado.

2 Vá para Todas as Configurações e clique em Integração Empresarial > Autoridades deCertificação no menu suspenso.

3 Clique na guia Autoridades de certificação e clique em Adicionar.

4 Insira as seguintes informações para a autoridade de certificação:

Opção Descrição

Nome Um nome válido para a autoridade de certificação

Tipo de autoridade Microsoft ADCS

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 109

Page 110: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Descrição

Protocolo ADCS

Nome do host do servidor Nome do host do servidor do AD

Nome da autoridade Nome do emissor da autoridade de certificação

Autenticação Conta de serviço

Nome de usuário Nome de usuário com uma conta de serviço no formato domínio\nome deusuário.

Senha Senha do nome de usuário

Opções adicionais Nenhum

5 Clique em Salvar.

Adicionar um modelo de solicitação da autoridade de certificação

Adicione um modelo de solicitação da autoridade de certificação depois de adicionar uma Autoridade deCertificação no console do Workspace ONE UEM.

Pré-requisitos

1 Você deve ter adicionado um modelo de usuário no servidor da autoridade de certificação.

2 Você deve ter adicionado uma autoridade de certificação no console do Workspace ONE UEM.

Procedimentos

1 Faça logon no console do Workspace ONE UEM, vá para Todas as Configurações e clique emIntegração Empresarial > Autoridades de Certificação na lista suspensa.

2 Clique na guia Modelos de solicitação e clique em Adicionar.

3 Insira as seguintes informações para o modelo:

Opção Descrição

Nome Um nome válido para o modelo de certificado

Descrição (opcional) Descrição do modelo

Autoridade de certificação A autoridade de certificação adicionada anteriormente

Emitindo o modelo Nome do modelo de usuário criado no servidor da autoridade de certificação

Nome da entidade Para adicionar o Nome da entidade, mantenha o cursor sobre o campo de valor(após o valor padrão 'CN ='), clique no botão '+' e selecione o endereço de e-mailapropriado

Comprimento da chave privada 2048

Tipo de chave privada Selecione Assinatura

Tipo de SAN Clique em Adicionar e escolha o Nome principal do usuário

Renovação automática do certificado(opcional)

Ativar a revogação do certificado(opcional)

Publicar Chave privada (opcional)

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 110

Page 111: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

4 Clique em Salvar.

Atualizar políticas de segurança para utilizar o certificado da autoridade de certificaçãoobtido

Atualize as políticas de segurança no console do Workspace ONE UEM para usar o certificado obtidopela autoridade de certificação.

Pré-requisitos

Procedimentos

1 Faça logon no console do Workspace ONE UEM, vá para Todas as configurações e clique emAplicativos > Segurança e políticas > Políticas de segurança no menu suspenso.

2 Selecione Substituir para as Configurações atuais.

3 Ative a Autenticação integrada.

a Selecione Usar certificado.

b Defina a Origem da credencial como Autoridade de certificação definida.

c Especifique a Autoridade de certificação e o Modelo de certificado definido anteriormente.

4 Defina os Sites permitidos como *.

5 Clique em Salvar.

Configurar um Proxy Reverso da Web para a ponte de identidade (Certificado paraKerberos)

Configure o recurso de ponte do Unified Access Gateway para fornecer single sign-on (SSO) aosaplicativos não SAML legados no local utilizando a validação do certificado.

Pré-requisitos

Antes de iniciar o processo de configuração, certifique-se de os arquivos e certificados a seguir estejamdisponíveis:

n Arquivo keytab de um aplicativo de back-end, como o Sharepoint ou o JIRA

n Certificados de autoridade de certificação raiz ou a cadeia de certificados inteira com certificadointermediário para o usuário

n Você deve ter adicionado e carregado um certificado no console do Workspace ONE UEM. Consulte Ativar o console do Workspace ONE UEM para obter e utilizar certificados da autoridade decertificação.

Consulte a documentação relevante do produto para gerar os certificados raiz e de usuário e o arquivokeytab para aplicativos não SAML.

Certifique-se de que a porta TCP/UDP 88 esteja aberta, pois o Unified Access Gateway a usa para acomunicação do Kerberos com o Active Directory.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 111

Page 112: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Procedimentos

1 Em Configurações de autenticação > Certificado X509, vá para:

a No Certificados de autoridade de certificação raiz e intermediária, clique em Selecionar ecarregue a cadeia de certificado inteira.

b Em Ativar revogação de certificado, defina a alternativa como Sim.

c Marque a caixa de seleção para Ativar revogação de OCSP.

d Insira a URL de respondente do OCSP na caixa de texto URL do OCSP.

O Unified Access Gateway envia a solicitação OCSP para a URL especificado e recebe umaresposta que contém informações indicando se o certificado foi revogado ou não.

e Marque a caixa de seleção Usar URL do OCSP do certificado somente se houver um caso deuso para enviar a solicitação OCSP à URL do OCSP no certificado de cliente. Se isso não estiverativado, será automaticamente configurado com o valor na caixa de texto da URL do OCSP.

2 Em Configurações avançadas > Configurações de ponte de identidade > Configurações de

OSCP, clique em Adicionar.

a Clique em Selecionar e carregue o certificado de assinatura OCSP.

3 Selecione o ícone de engrenagem Configurações de território e defina as configurações deterritório conforme descrito em Definir configurações do território.

4 Em Configurações gerais > Configurações do serviço de borda, selecione o ícone deengrenagem Configurações de Proxy Reverso.

5 Defina Ativar configurações de ponte de identidade como SIM, defina as configurações de pontede identidade seguintes e clique em Salvar.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 112

Page 113: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Descrição

Tipos de autenticação Selecione CERTIFICADO no menu suspenso.

Keytab No menu suspenso, selecione o keytab configurado para este proxy reverso.

Nome da identidade do serviço dedestino

Insira o nome principal do serviço Kerberos. Cada identidade sempre étotalmente qualificada com o nome do território. Por exemplo,myco_hostname@MYCOMPANY. Digite o nome do território em letras maiúsculas.Se não for adicionado um nome na caixa de texto, o nome principal do serviçoserá derivado do nome do host da URL de destino do proxy.

Nome de cabeçalho do usuário Para a autenticação baseada em cabeçalho, insira o nome do cabeçalho HTTPque inclui a ID do usuário derivada da declaração ou use a padrão, AccessPoint-User-ID.

Próximo passo

Quando você usa o VMware Browser para acessar o site de destino, o site de destino atua como o proxyreverso. O Unified Access Gateway valida o certificado apresentado. Se o certificado for válido, onavegador exibirá a página de interface de usuário do aplicativo de back-end.

Para mensagens de erro e informações de resolução de problemas específicas, consulte Erros deresolução de problemas: ponte de identidade.

Componentes do VMware AirWatch noUnified Access GatewayVocê pode implantar o VMware Tunnel usando o appliance do Unified Access Gateway. OUnified Access Gateway é compatível com a implantação em ambientes ou ESXi ou Microsoft Hyper-V.O VMware Tunnel oferece um método seguro e eficaz para os aplicativos individuais acessarem recursoscorporativos. O Content Gateway (CG) é um componente da solução de gerenciamento de conteúdo doVMware AirWatch que permite acesso ao conteúdo do repositório em dispositivos móveis on-premise(local) com segurança.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 113

Page 114: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Requisitos de DNS para VMware Tunnel e Content GatewayQuando os serviços de VMware Tunnel e Content Gateway estão ativados no mesmo appliance, e ocompartilhamento de porta TLS está ativado, os nomes DNS devem ser exclusivos para cada serviço.Quando o TLS não está ativado, apenas um nome DNS pode ser usado para ambos os serviços, pois aporta diferenciará o tráfego de entrada.

VMware Tunnel no Unified Access GatewayA implantação do VMware Tunnel usando o appliance do Unified Access Gateway fornece um métodoseguro e eficaz para aplicativos individuais para acessar recursos corporativos. OUnified Access Gateway 3.0 é compatível com a implantação em ambientes ESXi ou Microsoft Hyper-V.

O VMware Tunnel é composto por dois componentes independentes: o Tunnel Proxy e o Per-AppTunnel. Você implanta o VMware Tunnel usando qualquer um dos dois modelos de arquitetura de rede:de uma ou várias camadas.

Os dois modelos de implantação, o Tunnel Proxy e Per-App Tunnel, podem ser usados para uma rede devárias camadas no appliance UAG. A implantação consiste em um servidor de front-end doUnified Access Gateway implantado no DMZ e em um servidor de back-end implantado na rede interna.

O componente do Tunnel Proxy garante o tráfego de rede entre um dispositivo de usuário final e um sitepor meio do VMware Browser ou qualquer aplicativo habilitado para SDK implantado a partir doAirWatch. O aplicativo móvel cria uma conexão HTTPS com o servidor do proxy de túnel e protege osdados confidenciais. Os dispositivos são autenticados para o Tunnel Proxy com um certificado emitidopelo SDK conforme configurado no Console de administração do AirWatch. Normalmente, essecomponente deve ser usado quando há dispositivos não gerenciados que precisam de acesso seguro arecursos internos.

Para dispositivos totalmente registrados, o componente Per-App Tunnel permite que os dispositivos seconectem a recursos internos sem precisar do SDK do AirWatch. Esse componente aproveita osrecursos nativos da VPN por aplicativo dos sistemas operacionais iOS, Android, Windows 10 e MacOS.Para obter mais informações sobre essas plataformas e recursos do componente do VMware Tunnel,consulte o Guia do VMware Tunnel em https://resources.air-watch.com/view/yr8n5s2b9d6qqbcfjbrw/en

A implantação do VMware Tunnel para o seu ambiente AirWatch envolve a configuração do hardwareinicial, a configuração das informações de nome do host e de porta do VMware Tunnel no Console deadministração do AirWatch, o download e a implantação do modelo OVF do Unified Access Gateway e aconfiguração manual do VMware Tunnel. Consulte Defina as configurações do VMware Tunnel para oVMware AirWatch para obter mais detalhes.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 114

Page 115: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Figura 4‑10. Desenvolvimento multicamadas do VMware Tunnel: Proxy e Per-App Tunnel

Recursos internos: -SharePoint-Wikis-Intranet

VMwareAirwatch

VMware TunnelServidor de back-end

VMware TunnelServidor de front-end

DMZ

RedeInterna

Dispositivos dousuário final

80,443

443

443

2010, 8443

2020, 8443

O AirWatch v9.1 e posterior é compatível com o modo Cascata como o modelo de implantação de váriascamadas para o VMware Tunnel. O modo Cascata requer uma porta de entrada dedicada para cadacomponente do Tunnel, que vai da Internet ao servidor front-end do Tunnel. Os servidores front-end eback-end devem poder se comunicar com a API do AirWatch e com os servidores AWCM. O modoCascata do VMware Tunnel é compatível com a arquitetura de várias camadas do componente do Per-App Tunnel.

Para obter mais detalhes, incluindo aqueles na implantação do endpoint de relê para uso com ocomponente Proxy do túnel, consulte a documentação do VMware Tunnel em https://resources.air-watch.com/view/yr8n5s2b9d6qqbcfjbrw/en

Defina as configurações do VMware Tunnel para o VMware AirWatchA implantação do proxy de túnel garante o tráfego de rede entre um dispositivo de usuário final e um sitepor meio do aplicativo móvel do VMware Browser.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Vá para Configurações gerais > Configurações do serviço de borda e clique em Mostrar.

3 Clique no ícone configurações do VMware Tunnel Settings.

4 Altere o NÃO para SIM para ativar o proxy de túnel.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 115

Page 116: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

5 Defina os seguintes recursos de configurações do serviço de borda.

Opção Descrição

URL do servidor da API Insira a URL do servidor da API do VMware AirWatch. Por exemplo, insira comohttps://exemplo.com:<port>.

Nome de usuário do servidor da API Insira a nome de usuário para fazer login no servidor da API.

Senha do servidor da API Insira a senha para fazer login no servidor da API.

ID do grupo de organização Insira a organização do usuário.

Nome do host do servidor do túnel Insira o nome de host externo do VMware Tunnel configurado no console doWorkspace ONE UEM.

6 Para definir outras configurações avançadas, clique em Mais.

Opção Descrição

Host do proxy de saída Insira o nome do host onde o proxy de saída está instalado.

Observação Este não é o Proxy de Túnel.

Porta do proxy de saída Insira o número da porta do proxy de saída.

Nome de usuário do proxy de saída Insira a nome de usuário para fazer login no proxy de saída.

Senha do proxy de saída Insira a senha para fazer login no proxy de saída.

Autenticação NTLM Altere o NÃO para SIM para especificar que a solicitação de proxy de saída exigea autenticação NTLM.

Utilizar para o proxy do VMware Tunnel Altere de NÃO para SIM para usar esse proxy como um proxy de saída para oVMware Tunnel. Se não estiver ativado, o Unified Access Gateway utilizará esseproxy para a chamada da API inicial a fim de obter a configuração do console doWorkspace ONE UEM.

Entradas de host Insira os detalhes a serem adicionados no arquivo /etc/hosts. Cada entradadeve incluir um IP, um nome de host e um pseudônimo de nome de host opcionalnesta ordem, separados por um espaço. Por exemplo,10.192.168.1 example1.com, 10.192.168.2 example2.com example-

alias. Clique no sinal de "+" para adicionar várias entradas de host.

Importante As entradas de host são salvas somente depois que você clicar emSalvar.

Certificados confiáveis Selecione os arquivos de certificados confiáveis no formato PEM a seremadicionados ao armazenamento de confiança. Por padrão, o nome do alias é onome do arquivo do certificado PEM. Edite a caixa de texto do alias para fornecerum nome diferente.

7 Clique em Salvar.

Implantação do VMware Tunnel para o VMware AirWatch usando oPowerShellVocê pode usar o PowerShell para implantar o VMware Tunnel para o VMware AirWatch.

Para obter informações sobre a implantação do VMware Tunnel com o PowerShell, assista este vídeo:

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 116

Page 117: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Implantação do PowerShell do VMware AirWatch Tunnel(http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell)

Sobre o compartilhamento de portas do TLSO compartilhamento de porta TLS é habilitado por padrão no Unified Access Gateway sempre que váriosserviços de borda são configurados para usar a porta TCP 443. Os serviços de borda compatíveis sãoVMware Tunnel (VPN por aplicativo), Content Gateway e proxy reverso da Web.

Observação Se você quiser que a porta TCP 443 seja compartilhada, garanta que cada serviço deborda configurado tenha um nome de host externo exclusivo apontando para o Unified Access Gateway.

Content Gateway no Unified Access GatewayO Content Gateway (CG) é um componente da solução de gerenciamento de conteúdo doVMware AirWatch que permite acesso ao conteúdo do repositório em dispositivos móveis on-premise(local) com segurança.

Pré-requisitos

Você deve configurar o nó do Content Gateway usando o console do Workspace ONE UEM antes depoder configurar o Content Gateway no Unified Access Gateway. Depois de ter configurado o nó, anote oGUID de Configuração do Content Gateway, que é gerado automaticamente. Veja mais detalhes naseção Configurar um nó do Content Gateway na documentação do VMware Workspace ONE UEM.

Observação O acrônimo CG também é usado para se referir ao Content Gateway.

Você também pode consultar a seguinte documentação para ter uma visão geral de arquitetura esegurança do Content Gateway:

1 Modelo de implantação básico (somente endpoint) para o Content Gateway

2 Modelo de implantação de retransmissão para o Content Gateway

Procedimentos

1 Navegue até Configurações gerais > Configurações do serviço de borda > Configurações doContent Gateway e clique no ícone de engrenagem.

2 Selecione SIM para habilitar as configurações do Content Gateway.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 117

Page 118: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

3 Defina as configurações seguintes e clique em Salvar.

Opção Descrição

Identificador Indica que este serviço está ativado.

URL do servidor da API A URL do servidor de API do VMware AirWatch[http[s]://]nomedohost[:porta]

A URL de destino deve conter o protocolo, o nome do host ou oendereço IP e o número da porta. Por exemplo: https://load-balancer.example.com:8443

O Unified Access Gateway obtém a configuração do Content Gatewaydo servidor da API.

Nome de usuário do servidor da API Nome de usuário para efetuar logon no servidor de API.

Observação É necessário que a conta de administrador tenha, nomínimo, as permissões associadas à função do Content Gateway

Senha do servidor da API Senha para efetuar logon no servidor de API.

Nome do host do Content Gateway Nome do host usado para definir as configurações de borda.

GUID de configuração do Content Gateway ID de configuração do Content Gateway da VMware AirWatch. Este IDé gerado automaticamente quando o Content Gateway é configuradono console do Workspace ONE UEM. A GUID de configuração éexibida na página Content Gateway no console do UEM emConfigurações > Conteúdo > Content Gateway.

Host do proxy de saída O host onde o proxy de saída está instalado. OUnified Access Gateway faz uma conexão ao servidor de API pormeio de um proxy de saída, se configurado.

Porta do proxy de saída Porta do proxy de saída.

Nome de usuário do proxy de saída Nome de usuário para efetuar logon no proxy de saída.

Senha do proxy de saída Senha para efetuar logon no proxy de saída.

Autenticação NTLM Especifique se o proxy de saída requer autenticação NTLM.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 118

Page 119: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Descrição

Certificados confiáveis Adicione um certificado confiável para este serviço de borda. Cliqueem '+' para selecionar um certificado no formato PEM e adicionar aoarmazenamento de confiança. Clique em '-' para remover umcertificado do armazenamento de confiança. Por padrão, o nome doalias é o nome do arquivo do certificado PEM. Edite a caixa de textodo alias para fornecer um nome diferente.

Entradas de host Insira os detalhes a serem adicionados no arquivo /etc/hosts. Cadaentrada deve incluir um IP, um nome de host e um pseudônimo denome de host opcional nesta ordem, separados por um espaço. Porexemplo,10.192.168.1 example1.com, 10.192.168.2 example2.com

example-alias. Clique em "+" para adicionar várias entradas dehost.

Importante As entradas de host são salvas somente depois quevocê clicar em Salvar.

Observação O tráfego HTTP não é permitido para o Content Gateway na porta 80 doUnified Access Gateway porque a porta TCP 80 é usada pelo Service Manager de borda.

Casos de uso adicionais de implantaçãoVocê pode implantar o Unified Access Gateway com vários serviços de borda no mesmo appliance,como com o Horizon e o Proxy Reverso da Web e o Unified Access Gateway com o VMware Tunnel, oContent Gatewaye o Proxy Reverso da Web.

Considerações para a implantação do Unified Access Gatewaycom vários serviçosObserve as seguintes considerações importantes antes de implantar os serviços de borda juntos.

n Entenda e atenda aos requisitos de rede - consulte Regras de firewall para appliances doUnifiedAccess Gatewaybaseados em DMZ.

n Siga as diretrizes de dimensionamento - consulte a seção das opções de dimensionamento no tópico Implementar o Unified Access Gateway usando o assistente modelo do OVF.

n O Horizon Connection Server não funciona com um proxy reverso da web ativado quando há umasobreposição no padrão de proxy. Portanto, se o Horizon e uma instância de proxy reverso da Webestiverem configurados e ativados com os padrões de proxy na mesma instância doUnified Access Gateway, remova o padrão de proxy '/' das configurações do Horizon e mantenha opadrão no proxy reverso da Web para evitar a sobreposição. Manter o padrão de proxy '/' nainstância do proxy reverso da Web garante que, quando um usuário clicar na URL doUnified Access Gateway, a página correta do proxy reverso da Web seja exibida. Se apenas oHorizon estiver configurado, a alteração acima não será necessária.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 119

Page 120: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

n Ao implantar o Unified Access Gateway com os serviços combinados do VMware Tunnel, doContent Gatewaye do Proxy Reverso da Web, se você usar a mesma porta 443 para todos osserviços, cada serviço deverá ter um nome de host externo exclusivo. Consulte Sobre ocompartilhamento de portas do TLS.

n Os serviços de borda diferentes podem ser configurados independentemente usando a interface dousuário administrador, e você poderá importar as configurações anteriores se quiser. Durante aimplantação com o PowerShell, o arquivo INI deixa a implantação pronta para produção.

n Se o Horizon Blast e o VMware Tunnel estiverem ativados no mesmo appliance doUnified Access Gateway, o VMware Tunnel deverá ser configurado para usar um número de portadiferente de 443 ou 8443. Se você quiser usar a porta 443 ou 8443 para o VMware Tunnel, deveráimplantar o serviço Horizon Blast em um appliance do Unified Access Gateway separado.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 120

Page 121: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Configuração doUnified Access Gateway usandocertificados TLS/SSL 5Você deve configurar os Certificados TLS/SSL para os appliances do Unified Access Gateway.

Observação A configuração dos certificados TLS/SSL para o appliance do Unified Access Gatewayaplica-se somente ao Horizon, ao Horizon Air e ao Proxy Reverso da Web.

Configurando certificados TLS/SSL para appliances doUnified Access GatewayO TLS/SSL é necessário para conexões de clientes aos appliances do Unified Access Gateway.Appliances do Unified Access Gatewaye servidores intermediários voltados para o cliente que terminamconexões TLS/SSL necessitam de certificados de servidor TLS/SSL.

Certificados de servidor TLS/SSL são assinados por uma Autoridade de Certificação (CA). Uma CA éuma entidade confiável que garante a identidade do certificado e de seu criador. Quando um certificado éassinado por uma CA confiável, os usuários passam a não receber mensagens pedindo a verificação docertificado e os dispositivos cliente leves podem se conectar sem necessitar de configurações adicionais.

Um certificado de servidor TLS/SSL padrão é gerado ao implantar um appliance doUnified Access Gateway. Para ambientes de produção, a VMware recomenda a substituição docertificado padrão o mais rápido possível. O certificado padrão não é assinado por uma CA confiável.Utilize o certificado padrão somente em um ambiente que não é de produção.

Selecionando o tipo correto de certificadoVocê pode utilizar vários tipos de certificados TLS/SSL com o Unified Access Gateway. É crucialselecionar o tipo de certificado correto para a sua implementação. Tipos diferentes de certificado variamem termos de custo, dependendo do número de servidores nos quais podem ser utilizados.

Siga as recomendações de segurança da VMware utilizando nomes de domínio totalmente qualificados(FQDNs) para os certificados, independentemente do tipo selecionado. Não utilize um nome de servidorou endereço IP simples, mesmo para comunicações dentro de seu domínio interno.

Certificado de nome de servidor únicoVocê pode gerar um certificado com um nome da entidade para um servidor específico. Por exemplo:dept.exemplo.com.

VMware, Inc. 121

Page 122: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Este tipo de certificado será útil se, por exemplo, apenas um appliance doUnified Access Gatewayprecisar de um certificado.

Ao enviar uma solicitação de assinatura de certificado, forneça o nome de servidor que estará associadoao certificado. Certifique-se de que o appliance do Unified Access Gateway possa resolver o nome deservidor fornecido para que ele corresponda ao nome associado com o certificado.

Nomes Alternativos da EntidadeUm Nome Alternativo da Entidade (Subject Alternative Name, SAN) é um atributo que pode seradicionado a um certificado quando ele está sendo emitido. Você utiliza este atributo para adicionarnomes de entidade (URLs) a um certificado para que ele possa validar mais de um servidor

Por exemplo, três certificados podem ser emitidos para os appliances do Unified Access Gatewayqueestejam atrás de um balanceador de carga: ap1.exemplo.com, ap2.exemplo.com e ap3.exemplo.com.Ao adicionar um Nome alternativo da entidade que representa o nome de host do balanceador de carga,como horizon.exemplo.com neste exemplo, o certificado é válido, pois será correspondente ao nomede host especificado pelo cliente.

Ao enviar uma solicitação de assinatura de certificado para um Certificado de CA (autoridade decertificação), forneça o endereço IP virtual (VIP) do balanceador de carga da interface externa como onome em comum e o nome SAN. Certifique-se de que o appliance do Unified Access Gateway possaresolver o nome de servidor fornecido para que ele corresponda ao nome associado com o certificado.

O certificado é usado na porta 443.

Certificado CuringaUm certificado curinga é gerado para que possa ser utilizado para vários serviços. Por exemplo:*.exemplo.com.

Um curinga será útil se muitos servidores precisarem de um certificado. Se outros aplicativos noambiente além dos appliances do Unified Access Gatewayprecisarem de certificados TLS/SSL, vocêtambém poderá utilizar um certificado curinga para estes servidores. No entanto, se você utilizar umcertificado curinga que esteja compartilhado com outros serviços, a segurança doprodutoVMware Horizontambém dependerá da segurança destes outros serviços.

Observação Você pode utilizar um certificado curinga somente em um nível único de domínio. Porexemplo, um certificado curinga com o nome de entidade *.exemplo.com pode ser utilizado para osubdomínio dept.exemplo.com mas não para dept.it.exemplo.com.

Os certificados importados para o appliance do Unified Access Gatewaydevem ser confiáveis para asmáquinas clientes e também devem ser aplicáveis a todas as instâncias do Unified Access Gatewaye dequalquer balanceador de carga, utilizando curingas ou utilizando certificados de Nome Alternativo deEntidade (SAN).

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 122

Page 123: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Converter arquivos de certificado para o formato PEM de umalinhaPara utilizar a API REST do Unified Access Gatewaypara configurar definições de certificado ou parautilizar os scripts do PowerShell, você deve converter o certificado em arquivos de formato PEM para acadeia de certificados e a chave privada, e deve converter os arquivos .pem em um formato de uma linhaque inclua caracteres newline integrados.

Ao configurar o Unified Access Gateway, há três tipos possíveis de tipos de certificados que talvez sejapreciso converter.

n Você deve sempre instalar e configurar um certificado de servidor TLS/SSL para o appliance doUnified Access Gateway.

n Se planeja utilizar a autenticação com cartão inteligente, você deve instalar e configurar o certificadodo emissor de CA confiável para o certificado que será colocado no cartão inteligente.

n Se planeja utilizar a autenticação com cartão inteligente, a VMware recomenda a instalação econfiguração de um certificado raiz para o certificado de autoridade de certificação de assinatura docertificado de servidor SAML que está instalado no appliance do Unified Access Gateway.

Para todos estes tipos de certificados, realize o mesmo procedimento para converter o certificado para oarquivo de formato PEM que contém a cadeia de certificados. Para os certificados de servidor TSL/SSL ecertificados raiz, também é possível converter cada arquivo para o arquivo PEM que contém a chaveprivada. Você deve converter cada arquivo .pem para um formato de uma linha que possa ser passadoem uma cadeia de caracteres de JSON à API REST do Unified Access Gateway.

Pré-requisitos

n Verifique se possui o arquivo do certificado. O arquivo pode estar no formato PKCS#12 (.p12ou .pfx) ou no formato Java JKS ou JCEKS.

n Familiarize-se com a ferramenta de linha de comando do openssl que você usará para converter ocertificado. Consulte https://www.openssl.org/docs/apps/openssl.html.

n Se o certificado estiver no formato Java JKS ou JCEKS, familiarize-se com a ferramenta de linha decomando keytool do Java para converter o certificado primeiramente para o formato .p12 ou .pksantes de convertê-lo para arquivos .pem.

Procedimentos

1 Se seu certificado estiver no formato Java JKS ou JCEKS, utilize o keytool para converter ocertificado para o formato .p12 ou .pks.

Importante Utilize a mesma senha de origem e destino durante essa conversão.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 123

Page 124: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

2 Se seu certificado estiver no formato PKCS#12 (.p12 ou .pfx) ou após o certificado ser convertidopara o formato PKCS#12, utilize o openssl para converter o certificado para arquivos .pem.

Por exemplo, se o nome do certificado é mycaservercert.pfx, utilize os seguintes comandos paraconverter o certificado:

openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem

openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem

openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem

3 Edite mycaservercert.pem e remova quaisquer entradas de certificado desnecessárias. Ele deveconter o certificado de servidor SSL seguido por quaisquer certificados de autoridade de certificaçãointermediários necessários e o certificado de autoridade de certificação raiz.

4 Utilize o seguinte comando UNIX para converter cada arquivo .pem para um valor que possa serpassado em uma cadeia de caracteres de JSON à API REST do Unified Access Gateway:

awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' cert-name.pem

Neste exemplo, cert-name.pem é o nome do arquivo do certificado. O certificado parecesemelhante a este exemplo.

Figura 5‑1. Arquivo do certificado em uma única linha

O novo formato coloca todas as informações do certificado em uma única linha com caracteresintegrados de nova linha. Se você possui um certificado intermediário, esse certificado deve tambémestar no formato de uma linha e adicionar-se ao primeiro certificado para que ambos os certificadosestejam na mesma linha.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 124

Page 125: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Você pode agora configurar certificados para o Unified Access Gateway utilizando estes arquivos .pemcom os scripts do PowerShell anexados à publicação do blog "Utilizando o PowerShell para Implementaro VMware Unified Access Gateway", disponível em https://communities.vmware.com/docs/DOC-30835.De forma alternativa, você pode criar e utilizar uma solicitação JSON para configurar o certificado.

Próximo passo

Você pode atualizar o certificado autoassinado padrão com um certificado assinado pela CA. Consulte Atualizar certificados assinados de servidor SSL. Para certificados de cartão inteligente, consulte Configurando a autenticação de certificado ou de cartão inteligente no appliance do Unified AccessGateway.

Alterar os protocolos de segurança e os conjuntos de codificaçãoutilizados para a comunicação TLS ou SSLEmbora na maioria dos casos, as configurações padrão não precisem ser alteradas, você podeconfigurar protocolos de segurança e algoritmos de criptografia que são utilizados para codificar ascomunicações entre clientes e o appliance doUnified Access Gateway.

A configuração padrão inclui conjuntos de criptografia que utilizam a Criptografia AES de 128 ou 256 bits,exceto para algoritmos DH anônimos e os classifica por força. Por padrão, o TLS v.1.1 e o TLS v1.2estão ativados. O TLS v1.0 e o SSL v3.0 estão desabilitados.

Pré-requisitos

n Familiarize-se com a API REST doUnified Access Gateway. A especificação para esta API estádisponível na seguinte URL na máquina virtual onde o Unified Access Gateway está instalado:https://access-point-appliance.exemplo.com:9443/rest/swagger.yaml.

n Familiarize-se com as propriedades específicas para configurar os protocolos e conjuntos decriptografia: cipherSuites, ssl30Enabled, tls10Enabled, tls11Enabled e tls12Enabled.

Procedimentos

1 Crie uma solicitação JSON para especificar os protocolos e conjuntos de criptografia a seremutilizados.

O exemplo a seguir possui as configurações padrão.

{

"cipherSuites":

"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA",

"ssl30Enabled": "false",

"tls10Enabled": "false",

"tls11Enabled": "true",

"tls12Enabled": "true"

}

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 125

Page 126: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

2 Utilize um cliente REST, como o curl ou o postman, para utilizar a solicitação JSON invocar a APIREST do Unified Access Gateway e configurar os protocolos e conjuntos de criptografia.

No exemplo, access-point-appliance.exemplo.com é o nome de domínio totalmente qualificado doappliance do Unified Access Gateway .

curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-

appliance.exemplo.com:9443/rest/v1/config/system < ~/ciphers.json

ciphers.json é a solicitação JSON criada nada etapa anterior.

São utilizados os conjuntos e protocolos de criptografia que você especificou.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 126

Page 127: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Configuração da autenticaçãoem DMZ 6Ao implantar o Unified Access Gateway inicialmente, a autenticação da senha do Active Directory estádefinida como o padrão. Os usuários inserem o nome de usuário e a senha do Active Directory e essascredenciais são enviadas por um sistema de back-end para autenticação.

É possível configurar o serviço do Unified Access Gateway para realizar a autenticação deCertificado/Cartão Inteligente, autenticação do RSA SecurID, autenticação RADIUS e RSA AdaptiveAuthentication.

Observação Somente um dos métodos de autenticação de usuário de dois fatores pode serespecificado para um Serviço de Borda. Isso pode ser autenticação de Certificado/Cartão Inteligente,autenticação RADIUS ou RSA Adaptive Authentication.

Observação A autenticação da senha com o Active Directory é o único método de autenticação quepode ser usado com uma implementação do AirWatch.

Este capítulo inclui os seguintes tópicos:n Configurando a autenticação de certificado ou de cartão inteligente no appliance do Unified Access

Gateway

n Configurar a autenticação do RSA SecurID no Unified Access Gateway

n Configuração do RADIUS para o Unified Access Gateway

n Configurar o RSA Adaptive Authentication no Unified Access Gateway

n Gerar metadados SAML do Unified Access Gateway

Configurando a autenticação de certificado ou de cartãointeligente no appliance do Unified Access GatewayÉ possível configurar a autenticação de certificado x509 no Unified Access Gateway para permitir que osclientes façam a autenticação com certificados em sua área de trabalho ou dispositivos móveis ou usemum adaptador de cartão inteligente para autenticação.

VMware, Inc. 127

Page 128: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

A autenticação com base no certificado é baseada no que o usuário tem (a chave privada ou o cartãointeligente) e no que a pessoa sabe (a senha para a chave privada ou o PIN do cartão inteligente). Aautenticação de cartão inteligente fornece a autenticação de dois fatores verificando o que a pessoapossui (o cartão inteligente) e o que a pessoa sabe (o PIN). Os usuários finais podem utilizar os cartõesinteligentes para efetuar logon em um sistema operacional de área de trabalho remota do Horizon e paraacessar aplicativos ativados por cartão inteligente, como um aplicativo de e-mail que utiliza o certificadopara assinar e-mails e provar a identidade do remetente.

Com este recurso, a autenticação de certificado de cartão inteligente é realizada em oposição ao serviçodo Unified Access Gateway. O Unified Access Gateway usa a asserção SAML para comunicarinformações sobre o certificado X.509 de usuário final e o PIN do cartão inteligente ao servidor Horizon.

É possível configurar a verificação de revogação de certificado para evitar que os usuários comcertificados de usuário revogados façam a autenticação. Os certificados são frequentemente revogadosquando um usuário deixa uma organização, perde um cartão inteligente ou muda de um departamentopara outro. Há suporte para a verificação de revogação de certificados com as listas de certificadosrevogados (certificate revocation lists, CRLs) e com o Protocolo de status de certificado on-line (OnlineCertificate Status Protocol, OCSP). Uma CRL é uma lista de certificados revogados publicados pela CAque emitiu os certificados. O OCSP é um protocolo de validação de certificado utilizado para obter ostatus de revogação de um certificado.

É possível definir ambos CRL e OCSP na configuração do adaptador de autenticação de certificado. Aoconfigurar os dois tipos de verificação de revogação de certificado e a caixa de seleção Usar CRL emcaso de falha do OCSP for habilitada, o OCSP será verificado primeiro e, se o OCSP falhar, averificação de revogação fará fallback para a CRL.

Observação A revogação de verificação não utilizará o OCSP se a CRL falhar.

Observação Para o VMware Identity Manager, a autenticação sempre passará peloUnified Access Gateway para o serviço do VMware Identity Manager. Será possível configurar aautenticação do cartão inteligente para que seja realizada no appliance do Unified Access Gatewaysomente se o Unified Access Gateway estiver sendo utilizado com o Horizon 7.

Configurar a autenticação de certificado noUnified Access GatewayVocê habilita e configura a autenticação de certificado a partir do console de administração doUnified Access Gateway.

Pré-requisitos

n Obtenha o certificado raiz e os certificados intermediários da Autoridade de Certificação (CertificateAuthority, CA) que assinou os certificados apresentados por seus usuários. Consulte ObterCertificados de Autoridade de Certificação

n Verifique se os metadados SAML do Unified Access Gateway estão adicionados no provedor deserviços e se os metadados SAML do provedor de serviço são copiados para o appliance doUnified Access Gateway.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 128

Page 129: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

n (Opcional) Lista de Identificadores de Objeto (Object Identifier, OID) das políticas de certificadoválidas para a autenticação de certificado.

n Para a verificação de revogação, a localização do arquivo da CRL e a URL do servidor OCSP.

n (Opcional) Localização do arquivo de certificado de assinatura de resposta OCSP.

n Conteúdo do formulário de consentimento se aparecer um formulário de consentimento antes daautenticação.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Na seção Configurações Gerais > Configurações de Autenticação, clique em Mostrar.

3 Clique na engrenagem na linha do Certificado X.509.

4 Configure o formulário do Certificado X.509.

Um asterisco indica uma caixa de texto obrigatória. Todas as outras caixas de texto são opcionais.

Opção Descrição

Ativar Certificado X.509 Altere o NÃO para SIM para ativar a autenticação do certificado.

*Certificados de CA raiz e intermediária Clique em Selecionar para selecionar os arquivos de certificado a seremcarregados. É possível selecionar vários certificados de CA intermediária e deCA raiz codificados como DER ou PEM.

Ativar revogação de certificado Altere o NÃO para SIM para ativar a verificação de revogação de certificado. Averificação de revogação impede a autenticação dos usuários que têmcertificados de usuário revogados.

Usar CRL dos certificados Marque a caixa de seleção para usar a lista de revogação de certificados(certificate revocation list, CRL) publicada pela CA que emitiu os certificados paravalidar o status de um certificado revogado ou não revogado.

Local da CRL Digite o caminho do arquivo do servidor ou o caminho do arquivo local a partir doqual recupera-se a CRL

Ativar a revogação do OCSP Marque a caixa de seleção para usar o protocolo de validação de certificado doProtocolo de status de certificado on-line (Online Certificate Status Protocol,OCSP) a fim de obter o status de revogação de um certificado.

Usar a CRL em caso de falha do OCSP Se você configurar a CRL e o OCSP, poderá marcar esta caixa para fazerfallback ao uso da CRL se a verificação do OCSP não estiver disponível.

Enviar nonce do OCSP Marque esta caixa de seleção se deseja que o identificador único da solicitaçãodo OCSP seja enviado na resposta.

URL do OCSP Se você ativou a revogação do OCSP, digite o endereço do servidor do OCSPpara a verificação de revogação.

Use URL de OCSP do certificado Marque essa caixa para usar a URL do OCSP.

Ativar formulário de consentimentoantes da autenticação

Marque esta caixa de seleção para incluir uma página do formulário deconsentimento que aparecerá antes de os usuários fazerem login no WorkspacePortal ONE usando a autenticação de certificado.

5 Clique em Salvar.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 129

Page 130: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Próximo passo

Quando a autenticação do Certificado X.509 é definida e o appliance do Unified Access Gateway éconfigurado atrás de um balanceador de carga, certifique-se de que o Unified Access Gateway estejaconfigurado com uma passagem do SSL no balanceador de carga e não esteja configurado paraencerrar o SSL no balanceador de carga. Essa configuração assegura que o handshake do SSL estejaentre o Unified Access Gateway e o cliente para passar o certificado ao Unified Access Gateway.

Obter Certificados de Autoridade de CertificaçãoVocê deve obter todos os certificados de CA (autoridade de certificação) para todos os certificados deusuários confiáveis nos cartões inteligentes apresentados por seus usuários e administradores. Essescertificados incluem certificados raiz e podem incluir certificados intermediários, se o certificado de cartãointeligente do usuário foi emitido por uma autoridade de certificado intermediária.

Se você não possui o certificado raiz ou intermediário da CA que assinou os certificados nos cartõesinteligente apresentados por seus usuários e administradores, é possível exportar os certificados de umcertificado de usuário assinado pela CA ou de um cartão inteligente que contenha um certificadoassinado pela CA. Consulte Obter o certificado de CA do Windows.

Procedimentos

u Obtenha os certificados CA de uma das seguintes origens.

n Um servidor Microsoft IIS que esteja executando Serviços de Certificado da Microsoft. Consulte osite da Microsoft TechNet para obter informações sobre como instalar o Microsoft IIS, emitircertificados e distribuí-los em sua organização.

n O certificado raiz público de uma CA confiável. Esta é a origem mais comum de um certificadoraiz em ambientes que já possuem uma infraestrutura de cartão inteligente e uma abordagempadronizada para a distribuição e autenticação de cartões inteligentes.

Próximo passo

Adicione o certificado raiz, certificado intermediário ou ambos a um arquivo confiável do servidor.

Obter o certificado de CA do WindowsSe você possui um certificado de usuário assinado por uma autoridade de certificação ou um cartãointeligente que contém um certificado assinado por uma autoridade de certificação e o Windows confiano certificado raiz, é possível exportar o certificado raiz do Windows. Se o emissor do certificado deusuário é uma autoridade de certificação intermediária, é possível exportar este certificado.

Procedimentos

1 Se um certificado de usuário está em um cartão inteligente, insira o cartão inteligente em um leitorpara adicionar o certificado de usuário ao seu armazenamento pessoal.

Se o certificado de usuário não aparecer em seu armazenamento pessoal, utilize o software deleitura para exportá-lo para um arquivo. Este arquivo é usado na Etapa 4 deste procedimento.

2 No Internet Explorer, selecione Ferramentas > Opções de Internet.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 130

Page 131: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

3 Na guia Conteúdo, clique em Certificados.

4 Na guia Pessoal, selecione o certificado que deseja utilizar e clique em Visualizar.

Se o certificado de usuário não aparecer na lista, clique em Importar para importá-lo manualmentede um arquivo. Após o certificado ser importado, você pode selecioná-lo na lista.

5 Na guia Caminho de Certificação, selecione o certificado no topo da árvore e clique em VisualizarCertificado.

Se o certificado de usuário estiver assinado como parte de uma hierarquia de confiança, o certificadoassinado poderá ser assinado por outro certificado de nível superior. Selecione o certificado deparente (aquele que assinou o certificado de usuário) como seu certificado raiz. Em alguns casos, oemissor pode ser uma autoridade de certificação intermediária.

6 Na guia Detalhes, clique em Copiar para Arquivo.

O Assistente de Exportação de Certificado aparece.

7 Clique em Avançar > Avançar e digite um nome e localização para o arquivo que deseja exportar.

8 Clique em Avançar para salvar o arquivo como um certificado raiz em um local especificado.

Próximo passo

Adicione o certificado CA a um arquivo confiável do servidor.

Configurar a autenticação do RSA SecurID noUnified Access GatewayApós a configuração do appliance do Unified Access Gateway como o agente de autenticação noservidor RSA SecurID, é necessário adicionar as informações de configuração do RSA SecurID noappliance do Unified Access Gateway.

Pré-requisitos

n Verifique se o Gerenciador da Autenticação RSA (o servidor RSA SecurID) está instalado eadequadamente configurado.

n Faça o download do arquivo compactado sdconf.rec a partir do servidor RSA SecurID e extraia oarquivo de configuração do servidor.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Na seção Configurações Gerais > Configurações de Autenticação, clique em Mostrar.

3 Clique na engrenagem na linha do RSA SecurID.

4 Configure a página do RSA SecurID.

As informações usadas e os arquivos gerados no servidor do RSA SecurID são necessários aoconfigurar a página do SecurID.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 131

Page 132: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Ação

Ativar RSASecurID

Altere o NÃO para SIM para ativar a autenticação do SecurID.

*Nome O nome é securid-auth.

*Número deiterações

Insira o número de tentativas de autenticação permitidas. Este é o número máximo de tentativas de logincom falha ao usar o token do RSA SecurID. O padrão é de 5 tentativas.

Observação Quando mais de um diretório é configurado e você implementa a autenticação do RSASecurID com diretórios adicionais, configure o Número de tentativas de autenticação permitidas com omesmo valor para cada configuração do RSA SecurID. Se o valor não for o mesmo, haverá falha naautenticação do SecurID.

*Nome doHOSTexterno

Digite o endereço IP da instância do Unified Access Gateway. O valor inserido deve corresponder ao valorusado quando você adicionou o appliance do Unified Access Gateway como um agente de autenticaçãoao servidor do RSA SecurID.

*Nome doHOST interno

Digite o valor atribuído ao prompt do Endereço IP no servidor do RSA SecurID.

*Configuraçãodo servidor

Clique em Alterar para carregar o arquivo de configuração do servidor do RSA SecurID. Primeiro, vocêdeve baixar o arquivo compactado do servidor do RSA SecurID e extrair o arquivo de configuração doservidor, que, por padrão, é denominado sdconf.rec.

*Sufixo da IDdo nome

Insira o nameId como @somedomain.com. É usado para enviar conteúdo adicional, como o nome dedomínio para o servidor RADIUS ou o servidor do RSA SecurID. Por exemplo, se um usuário fizer logincomo user1, [email protected] será enviado ao servidor.

Configuração do RADIUS para o Unified Access GatewayVocê pode configurar o Unified Access Gateway para que os usuários sejam obrigados a usar aautenticação forte de dois fatores RADIUS. Você configura as informações do servidor RADIUS noappliance do Unified Access Gateway.

O suporte do RADIUS oferece uma ampla gama de opções de autenticação de dois fatores de terceiros.Para usar a autenticação RADIUS no Unified Access Gateway, você deve ter um servidor RADIUSconfigurado acessível na rede do Unified Access Gateway.

Quando os usuários fazem login e a autenticação RADIUS é ativada, os usuários inserem seu nome deusuário e código de acesso de autenticação RADIUS na caixa de diálogo de login. Se o servidor RADIUSemitir um RADIUS Access-Challenge, o Unified Access Gateway exibirá uma segunda caixa de diálogoao usuário solicitando a entrada de texto da resposta ao desafio, como um código comunicado aousuário por meio de um texto SMS ou outro mecanismo fora de banda. O suporte para entrada do códigode acesso RADIUS e para a entrada de resposta ao desafio é limitado apenas à entrada baseada emtexto. A entrada do texto de resposta ao desafio correto conclui a autenticação.

Se o servidor RADIUS solicitar que o usuário digite sua senha do Active Directory como código deacesso RADIUS, o administrador do Horizon poderá ativar o recurso de single sign-on do HorizonWindows no Unified Access Gateway para que, quando a autenticação RADIUS for concluída, o usuárionão receba uma solicitação subsequente para redigitar a mesma senha de domínio do Active Directory.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 132

Page 133: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Configurar a autenticação RADIUSNo appliance do Unified Access Gateway, deve-se ativar a autenticação RADIUS, inserir as definiçõesde configuração do servidor RADIUS e alterar o tipo de autenticação para a autenticação RADIUS.

Pré-requisitos

n Verifique se o servidor a ser utilizado como o servidor do gerenciador da autenticação possui osoftware RADIUS instalado e configurado. Defina o servidor RADIUS e, em seguida, configure assolicitações do RADIUS a partir do Unified Access Gateway. Consulte as guias de configuração dofornecedor do RADIUS para obter mais informações sobre como configurar o servidor RADIUS.

São necessárias as seguintes informações do servidor RADIUS.

n Endereço IP ou nome DNS do servidor RADIUS.

n Números das portas de autenticação. A porta de autenticação é normalmente 1812.

n Tipo de autenticação. Os tipos de autenticação incluem PAP, Password Authentication Protocol(Protocolo de autenticação de senha), CHAP, Challenge Handshake Authentication Protocol(Protocolo de autenticação por desafios de identidade), MSCHAP1, MSCHAP2, Microsoft ChallengeHandshake Authentication Protocol versões 1 e 2 (Protocolo de autenticação por desafios deidentidade).

n Segredo compartilhado do RADIUS utilizado para criptografia e descriptografia nas mensagens doprotocolo do RADIUS.

n Tempo limite específico e valores de novas tentativas necessários para a autenticação RADIUS

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Nas Configurações Gerais > Configurações de Autenticação, clique em Mostrar.

3 Clique na engrenagem na linha do RADIUS.

Opção Ação

AtivarRADIUS

Altere o NÃO para SIM para ativar a autenticação RADIUS.

Nome* O nome é radius-auth

Tipo deautenticação*

Insira o protocolo de autenticação suportado pelo servidor RADIUS. PAP, CHAP, MSCHAP1 OUMSCHAP2.

Segredocompartilhado*

Insira o segredo compartilhado do RADIUS.

Número detentativas deAutenticaçãopermitidas *

Digite o número máximo de tentativas de login falhas ao usar o RADIUS para fazer o login. O padrão é detrês tentativas.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 133

Page 134: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Ação

Número detentativaspara oservidorRADIUS*

Insira o número total de novas tentativas. Se o servidor primário não responder, o serviço aguardará otempo configurado antes de tentar novamente.

Tempo limitedo servidoremsegundos*

Insira o tempo limite do servidor RADIUS em segundos. Depois disso, uma nova tentativa será enviada seo servidor RADIUS não responder.

Nome do hostdo servidorRadius *

Insira o nome do host ou o endereço IP do servidor RADIUS.

Porta deautenticação*

Insira o número da porta de autenticação do Radius. A porta é normalmente 1812.

Prefixo deterritório

(Opcional) A localização da conta do usuário é chamada território.

Se você especificar uma cadeia de prefixo de território, a cadeia de caracteres será colocada no começodo nome de usuário quando o nome for enviado ao servidor RADIUS. Por exemplo, se o nome de usuáriofor inserido como jdoe e o prefixo de território DOMAIN-A\ for especificado, o nome de usuário DOMAIN-A\jdoe será enviado ao servidor RADIUS. Se você não configurar esses campos, somente o nome deusuário inserido será enviado.

Sufixo deterritório

(Opcional) Se você configurar um sufixo de território, a cadeia de caracteres será colocada no final donome de usuário. Por exemplo, se o sufixo for @myco.com, o nome de usuário [email protected] seráenviado ao servidor RADIUS.

Sufixo da IDdo nome

Insira o NameId como @somedomain.com. É usado para enviar conteúdo adicional, como o nome dedomínio para o servidor RADIUS ou o servidor do RSA SecurID. Por exemplo, se um usuário fizer logincomo user1, [email protected] será enviado ao servidor.

Dica desenha dapágina delogon

Insira a cadeia de caracteres de texto a ser exibida na mensagem na página de logon do usuário paradirecioná-los a inserir a senha Radius correta. Por exemplo, se este campo estivesse configurado com asenha AD primeiro e, em seguida, a senha SMS, a mensagem da página de logon seria Insira suasenha AD primeiro e, em seguida, a senha SMS. A cadeia de caracteres de texto padrão é SenhaRADIUS.

Habilitarvalidaçãobásica doMS-CHAPv2.

Mude NÃO para SIM para ativar a validação básica MS-CHAPv2. Se essa opção estiver definida comoSim, a validação adicional de resposta do servidor RADIUS será ignorada. Por padrão, a validaçãocompleta será executada.

Ativarservidorsecundário

Altere o NÃO para SIM para configurar um servidor RADIUS secundário para alta disponibilidade.Configure as informações de servidor secundário conforme descrito na etapa 3.

4 Clique em Salvar.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 134

Page 135: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Configurar o RSA Adaptive Authentication noUnified Access GatewayO RSA Adaptive Authentication pode ser implementado para fornecer uma autenticação multifator maisforte do que apenas a autenticação de nome de usuário e senha em relação ao Active Directory. OAdaptive Authentication monitora e autentica as tentativas de login do usuário com base em níveis epolíticas de risco.

Quando a Adaptive Authentication está habilitada, os indicadores de risco especificados nas políticas derisco estabelecidas no aplicativo de Gerenciamento da Política da RSA e na configuração doUnified Access Gateway da autenticação adaptativa são usados para determinar se um usuário éautenticado com o nome de usuário e a senha ou se são necessárias informações adicionais paraautenticar o usuário.

Métodos de autenticação do RSA Adaptive AuthenticationsuportadosOs métodos de autenticação forte do RSA Adaptive Authentication suportados noUnified Access Gateway são a autenticação de banda externa via telefone, e-mail ou mensagem de textoSMS e perguntas de desafio. Você habilita no serviço os métodos do RSA Adaptive Authentication quepodem ser fornecidos. As políticas do RSA Adaptive Authentication determinam o método deautenticação secundário a ser usado.

A autenticação de banda externa é um processo que exige o envio de verificação adicional em conjuntocom o nome de usuário e senha. Quando os usuários se inscrevem no servidor do RSA AdaptiveAuthentication, fornecem um endereço de e-mail, um número de telefone ou ambos, dependendo daconfiguração do servidor. Se for necessária alguma verificação adicional, o servidor de autenticaçãoadaptativa da RSA enviará um código de acesso de uso único por meio do canal fornecido. Os usuáriosdigitam esse código de acesso junto com o nome de usuário e a senha.

As perguntas de desafio exigem que o usuário responda a uma série de perguntas quando se inscreveno servidor do RSA Adaptive Authentication. É possível configurar quantas perguntas de inscrição serãofeitas e quantas perguntas de desafio serão apresentadas na página de login.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 135

Page 136: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Inscrevendo usuários no servidor do RSA Adaptive AuthenticationOs usuários devem ser provisionados no banco de dados do RSA Adaptive Authentication para utilizar aautenticação adaptativa para autenticação. Os usuários serão adicionados ao banco de dados do RSAAdaptive Authentication quando fizerem o login pela primeira vez com seu nome de usuário e senha.Dependendo de como você configurou o RSA Adaptive Authentication no serviço, quando os usuáriosfazem o login, podem ser solicitados a fornecer o endereço de e-mail, o número de telefone e o númerodo serviço de envio de mensagens (SMS) deles ou podem ser solicitados a configurar respostas para asperguntas de desafio.

Observação O RSA Adaptive Authentication não permite caracteres internacionais nos nomes deusuário. Se você pretende permitir caracteres de vários bytes nos nomes de usuário, entre em contatocom o suporte da RSA para configurar o RSA Adaptive Authentication e o RSA Authentication Manager.

Configurar o RSA Adaptive Authentication noUnified Access GatewayPara configurar o RSA Adaptive Authentication no serviço, habilite o RSA Adaptive Authentication,selecione os métodos de autenticação adaptativa a serem aplicados e adicione as informações deconexão do Active Directory e o certificado.

Pré-requisitos

n RSA Adaptive Authentication configurado corretamente com os métodos de autenticação a seremusados para autenticação secundária.

n Detalhes sobre o endereço de endpoint do SOAP e o nome de usuário do SOAP.

n Informações de configuração do Active Directory e certificado SSL disponível do Active Directory.

Procedimentos

1 Na seção Configurar Manualmente a IU do administrador, clique em Selecionar.

2 Na seção Configurações Gerais > Configurações de Autenticação, clique em Mostrar.

3 Clique na engrenagem na linha do RSA Adaptive Authentication.

4 Selecione as configurações apropriadas para o seu ambiente.

Observação Um asterisco indica um campo obrigatório. Os outros campos são opcionais.

Opção Descrição

Habilitar o RSA AA Adapter Altere o NÃO para SIM para ativar o RSA Adaptive Authentication.

Nome* O nome é rsaaa-auth.

Endpoint do SOAP* Insira o endereço do endpoint do SOAP para integração entre o adaptador doRSA Adaptive Authentication e o serviço.

Nome do usuário do SOAP* Insira o nome de usuário e a senha utilizados para assinar mensagens do SOAP.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 136

Page 137: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Opção Descrição

Senha do SOAP* Insira a senha da SOAP API do RSA Adaptive Authentication.

Domínio RSA Insira o endereço de domínio do servidor Adaptive Authentication.

Habilitar e-mail para OOB Selecione SIM para habilitar a autenticação de banda externa que envia umasenha única ao usuário final por uma mensagem de e-mail.

Habilitar SMS para OOB Selecione SIM para habilitar a autenticação de banda externa que envia umasenha única ao usuário final por uma mensagem de texto SMS.

Ativar o SecurID Selecione SIM para ativar o SecurID. Os usuários são solicitados a inserir seutoken e senha RSA.

Habilitar pergunta secreta Selecione SIM se você estiver usando as perguntas de inscrição e de desafiopara autenticação.

Número de perguntas de inscrição* Insira o número de perguntas que o usuário precisará configurar ao se inscreverno servidor Authentication Adapter.

Número de perguntas de desafio* Insira o número de perguntas de desafio que os usuários devem respondercorretamente ao fazer login.

Número de tentativas de autenticaçãopermitidas*

Insira o número de vezes para exibir as perguntas de desafio a um usuário quetenta fazer login antes que a autenticação falhe.

Tipo de diretório* O único diretório suportado é o Active Directory.

Usar SSL Selecione SIM se utilizar o SSL para sua conexão de diretório. Você adiciona ocertificado SSL do Active Directory no campo Certificado de Diretório.

Host do servidor* Insira o nome do host do Active Directory.

Porta do servidor Insira o número da porta do Active Directory.

Usar localização do serviço DNS Marque SIM se a localização do serviço DNS for usada para conexão dediretório.

DN Base Insira o DN do qual se deseja iniciar as pesquisas de conta. Por exemplo,OU=myUnit,DC=myCorp,DC=com.

Vincular DN* Insira a conta que pode procurar usuários. Por exemplo,CN=binduser,OU=myUnit,DC=myCorp,DC=com

Senha de associação Insira a senha para a conta de DN de associação.

Atributo de pesquisa Insira o atributo de conta que contém o nome de usuário.

Certificado do diretório Para estabelecer conexões SSL seguras, adicione o certificado do servidor dediretório à caixa de texto. No caso de vários servidores, adicione o certificado raizda autoridade de certificação.

Usar STARTTLS Altere o NÃO para SIM para usar STARTTLS.

5 Clique em Salvar.

Gerar metadados SAML do Unified Access GatewayVocê deve gerar os metadados SAML no appliance do Unified Access Gateway e trocar metadados como servidor para estabelecer a confiança mútua necessária para a autenticação de cartão inteligente.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 137

Page 138: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

A Security Assertion Markup Language (SAML) é um padrão baseado em XML que é utilizado paradescrever e trocar informações de autenticação e autorização entre domínios de segurança diferentes.SAML passa informações sobre usuários entre fornecedores de identidade e fornecedores de serviço emdocumento chamados de asserções SAML. Neste cenário, o Unified Access Gateway é o fornecedor deidentidade e o servidor no provedor de serviços.

Pré-requisitos

n Configure o relógio (UTC) no appliance doUnified Access Gatewaypara que ele esteja com a horacorreta. Por exemplo, abra uma janela de console na máquina virtual do Unified Access Gateway eutilize os botões de seta para selecionar o fuso horário correto. Verifique também se o horário dohost ESXi está sincronizado com um servidor NTP. Verifique se as VMware Tools, executadas namáquina virtual do appliance, sincronizam o horário na máquina virtual com o horário no host ESXi.

Importante Se o relógio do appliance do Unified Access Gateway não corresponder ao relógio dohost do servidor, a autenticação de cartão inteligente poderá não funcionar.

n Obtenha um certificado de autenticação SAML que possa utilizar para assinar os metadados doUnified Access Gateway.

Observação A VMware recomenda a criação e utilização de um certificado de autenticação SAMLespecífico quando há mais de um appliance doUnified Access Gatewayem sua configuração. Nestecaso, todos os appliances devem estar configurados com o mesmo certificado de autenticação paraque o servidor possa aceitar as asserções de qualquer um dos appliances doUnified Access Gateway. Com um certificado de autenticação SAML específico, os metadados SAMLde todos os appliances são os mesmos.

n Se você ainda não o fez, converta o certificado de autenticação SAML para arquivos de formato PEMe converta os arquivos .pem para o formato de uma linha. Consulte Converter arquivos de certificadopara o formato PEM de uma linha.

Procedimentos

1 Na seção Configurar Manualmente a IU do administrador, clique em Selecionar.

2 Na seção Configurações Avançadas, clique no ícone de engrenagem Configurações do Provedorde Identidade SAML.

3 Selecione a caixa de seleção Fornecer Certificado.

4 Para adicionar um arquivo de Chave privada, clique em Selecionar e navegue até o arquivo dachave privada para o certificado.

5 Para adicionar o arquivo de Cadeia de certificados, clique em Selecionar e navegue até o arquivo dacadeia de certificados.

6 Clique em Salvar.

7 Na caixa de texto Nome do Host, insira o nome do host e faça o download das configurações doprovedor de identidade.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 138

Page 139: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Criando um autenticador SAML utilizado por outros provedoresde serviçoApós gerar os metadados SAML no appliance do Unified Access Gateway, você pode copiar estes dadospara o provedor de serviços de back-end. Copiar estes dados no provedor de serviços é parte doprocesso de criação de um autenticador SAML para que o Unified Access Gatewaypossa ser utilizadocomo um fornecedor de identidade.

Para um servidor Horizon Air, consulte a documentação do produto para obter instruções específicas.

Copiar metadados SAML do provedor de serviços para oUnified Access GatewayApós criar e ativar o autenticador SAML para que o Unified Access Gatewaypossa ser utilizado como umfornecedor de identidade, você pode gerar metadados SAML nesse sistema de back-end e utilizar osmetadados para criar um provedor de serviços no appliance do Unified Access Gateway. Esta troca dedados estabelece confiança entre o fornecedor de identidade (Unified Access Gateway) e o provedor deserviços de back-end, como o Horizon Connection Server.

Pré-requisitos

Verifique se você criou um autenticador SAML para o Unified Access Gateway no servidor do provedorde serviços de back-end.

Procedimentos

1 Recupere os metadados SAML do provedor de serviços, que estão geralmente na forma de umarquivo XML.

Para obter instruções, consulte a documentação para o provedor de serviços.

Provedores de serviços diferentes têm procedimentos diferentes. Por exemplo, você deve abrir umnavegador e digitar uma URL, como: https://connection-server.example.com/SAML/metadata/sp.xml

Você pode então utilizar um comando Salvar como para salvar a página da Web em um arquivoXML. O conteúdo deste arquivo começa com o seguinte texto:

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ...

2 Na seção Configurar Manualmente a IU do administrador do Unified Access Gateway, clique emSelecionar.

3 Na seção Configurações Avançadas, clique no ícone de engrenagem Configurações do Provedordo Servidor SAML.

4 Na caixa de texto Nome do Provedor de Serviços, insira o nome do provedor de serviços.

5 Na caixa de texto XML de Metadados, cole o arquivo de metadados criado na etapa 1.

6 Clique em Salvar.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 139

Page 140: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

O Unified Access Gatewaye o provedor de serviços podem agora trocar informações de autenticação eautorização.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 140

Page 141: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Implantação da resolução deproblemas doUnified Access Gateway 7Você pode usar vários procedimentos para diagnosticar e corrigir problemas encontrados durante aimplantação do Unified Access Gateway em seu ambiente.

Você pode usar os procedimentos de resolução de problemas para investigar as causas de taisproblemas e tentar corrigi-los sozinho, ou você pode obter assistência do Suporte Técnico da VMware.

Este capítulo inclui os seguintes tópicos:

n Monitorando as estatísticas de sessão do serviço de borda

n Monitoramento da integridade dos serviços implantados

n Resolução de erros de implementação

n Erros de resolução de problemas: ponte de identidade

n Erros de resolução de problemas: Cert-to-Kerberos

n Solução de problemas de conformidade do endpoint

n Resolução de problemas da validação do certificado na IU do administrador

n Solucionando problemas de conexão e de firewall

n Resolução de problemas do login raiz

n Coletando logs do appliance do Unified Access Gateway

n Exportar configurações do Unified Access Gateway

n Importar configurações do Unified Access Gateway

n Erros de resolução de problemas: Content Gateway

n Solucionando problemas de alta disponibilidade

n Segurança de resolução de problemas: práticas recomendadas

Monitorando as estatísticas de sessão do serviço debordaO Unified Access Gateway fornece informações sobre as sessões ativas de cada serviço de borda. Épossível observar rapidamente que os serviços implantados estão configurados e operando com sucessoa partir da IU do administrador para cada Serviço de Borda.

VMware, Inc. 141

Page 142: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Procedimentos

1 Vá para Configurações de Suporte > Estatísticas de Sessão do Serviço de Borda.

2 Na seção Configurações de Suporte, clique no ícone de engrenagem de Estatísticas de Sessãodo Serviço de Borda.

Figura 7‑1. Estatísticas de sessão do serviço de borda

n Serviço de Borda lista o serviço de borda específico para o qual as estatísticas de sessão sãoexibidas.

n Total de Sessões indica a soma de sessões ativas e inativas.

n Sessões Ativas (Sessões Conectadas) indicam o número de sessões autenticadas contínuas.

n Sessões Inativas indicam o número de sessões não autenticadas.

n Tentativas de Login Malsucedidas indicam o número de tentativas de login com falha.

n Marca D'água Alta da Sessão indica o número máximo de sessões simultâneas em umdeterminado point-in-time.

n Sessões PCoIP indicam o número de sessões estabelecidas com PCoIP.

n Sessões do BLAST indicam o número de sessões estabelecidas com o Blast.

n Sessões do Tunnel indicam o número de sessões estabelecidas com o Horizon Tunnel.

Tabela 7‑1. Exemplo de estatísticas de sessão do serviço de borda

Serviçode Borda

Total deSessões

SessõesAtivas(Conectadas)

SessõesInativas

Tentativasde LoginMalsucedidas

MarcaD'águaAlta daSessão

SessõesPCoIP

Sessõesdo BLAST

Sessõesdo Tunnel

Horizon 11 0 11 8 11 0 0 0

Proxyreverso(jira)

10 0 10 10 10 - - -

Proxyreverso(sp_blr)

11 0 11 11 11 - - -

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 142

Page 143: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 7‑1. Exemplo de estatísticas de sessão do serviço de borda (Continuação)

Serviçode Borda

Total deSessões

SessõesAtivas(Conectadas)

SessõesInativas

Tentativasde LoginMalsucedidas

MarcaD'águaAlta daSessão

SessõesPCoIP

Sessõesdo BLAST

Sessõesdo Tunnel

Proxyreverso(sp_https_saml)

4 0 4 0 5 - - -

Proxyreverso(sp_multi_domain)

8 0 8 8 8 - - -

VMwareTunnel

1 1 0 0 1 - - -

Total 45 1 44 37 - - -

API de estatísticas de sessão do monitorOs parâmetros listados aqui descrevem as estatísticas de sessão capturadas no último intervalo demonitoramento.

Chamada de URL: https://<UAGIP>:9443/rest/v1/monitor/stats

Tabela 7‑2. Horizon View

Atributo Descrição

totalSessions Indica a soma de sessões ativas e inativas.

IU do administrador: Total de sessões.

highWaterMarkOfSessions Indica o número máximo de sessões simultâneas em um determinado ponto no tempo.

IU do administrador: Marca d'água alta da sessão.

authenticatedSessions Indica o número de sessões autenticadas contínuas (registrados em sessões).

IU do administrador: Sessões (Conectadas) ativas.

unauthenticatedSessions Indica o número de sessões não autenticadas.

IU do administrador: Sessões inativas.

failedLoginAttempts Indica o número de tentativas de login malsucedidas.

IU do administrador: Tentativas de login malsucedidas

userCount Indica o número de usuários exclusivos autenticados no momento.

BLAST

sessions Indica o número de sessões ativas do BLAST.

maxSessions Indica o número de sessões BLAST autorizadas.

PCoIP

sessions Indica o número de sessões ativas do PCoIP criadas durante o início de uma área de trabalhoou um aplicativo.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 143

Page 144: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 7‑2. Horizon View (Continuação)

Atributo Descrição

maxSessions Indica o número máximo de sessões simultâneas PCoIP, em um determinado ponto no tempo.

VMware Tunnel

sessions Indica o número de sessões ativas VMware Tunnel criadas na autenticação por meio do ViewClient.

maxSessions Indica o número máximo de sessões simultâneas VMware Tunnel em um determinado pontono tempo.

Tabela 7‑3. Proxy Reverso da Web

Atributo Descrição

totalSessions Indica a soma de sessões ativas e inativas.

IU do administrador: Total de sessões.

highWaterMarkOfSessions Indica o número máximo de sessões simultâneas em um determinado ponto no tempo.

IU do administrador: Marca d'água alta da sessão.

authenticatedSessions Indica o número de sessões autenticadas contínuas (registrados em sessões).

IU do administrador: Sessões (Conectadas) ativas.

unauthenticatedSessions Indica o número de sessões não autenticadas.

IU do administrador: Sessões inativas.

failedLoginAttempts Indica o número de tentativas de login malsucedidas.

IU do administrador: Tentativas de login malsucedidas.

userCount Indica o número de usuários exclusivos autenticados no momento.

backendStatus

status Indica se o aplicativo de back-end está acessível. (Em execução, não acessível)

reason Indica e explica o status com o motivo. (Acessíveis, detalhes do erro)

kcdStatus

status Indica se o servidor kcd está acessível. (Em execução, não acessível)

reason Indica e explica o status com o motivo. (Acessíveis, detalhes do erro)

Tabela 7‑4. VMware Tunnel

Atributo Descrição

identifier Indica que o VMware Tunnel serviço está ativado.

status Status do VMware Tunnel serviço (serviço vpnd.

reason Indica e explica o status com o motivo para o VMware Tunnel serviço. Os rótulos para cima oupara baixo indicam o status do serviço. Por exemplo, ele está acessível quando o serviço estápronto e em execução, o servidor VMware Tunnel não fica acessível quando o serviço estádesativado.

totalSessions Indica o número de sessões ativas VMware Tunnel criadas na autenticação por meio do clienteVMware Tunnel.

connections Indica o número de conexões de saída ativas do servidor VMware Tunnel.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 144

Page 145: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 7‑4. VMware Tunnel (Continuação)

Atributo Descrição

upTime Indica o tempo (em execução) ativo do serviço VMware Tunnel.

apiConnectivity Servidor VMware Tunnel para a conectividade de API. Por exemplo, verdadeiro ou falso.

awcmConnectivity Servidor VMware Tunnel para a conectividade do AWCM. Por exemplo, verdadeiro ou falso.

cascadeMode Fornece informações de cascata. Por exemplo, desativado para o modo básico e front-end ouback-end para uma configuração em cascata.

Monitoramento da integridade dos serviços implantadosÉ possível observar rapidamente que os serviços implantados estão configurados e operando comsucesso a partir da IU do administrador para as configurações de borda.

Figura 7‑2. Verificação de integridade

É exibido um círculo antes do serviço. O código de cores é o seguinte:

n Círculo em branco – A definição não está configurada.

n Círculo vermelho – O serviço está desativado.

n Círculo âmbar – O serviço funciona parcialmente.

n Círculo verde – O serviço funciona sem nenhum problema.

Resolução de erros de implementaçãoTalvez você enfrente dificuldades ao implantar o Unified Access Gateway em seu ambiente. Você podeusar vários procedimentos para diagnosticar e corrigir problemas da sua implantação.

Aviso de segurança ao executar scripts baixados da InternetVerifique se o script do PowerShell é o script que você deseja executar e, em seguida, no console doPowerShell, execute o seguinte comando:

unblock-file .\uagdeploy.ps1

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 145

Page 146: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

comando ovftool não encontrado

Verifique se você instalou o software OVF Tool no Windows e se ele está instalado no local esperadopelo script.

Rede inválida na netmask1 da propriedadeA mensagem pode indicar netmask0, netmask1 ou netmask2. Verifique se o valor foi definido noarquivo .INI para cada uma das três redes netInternet, netManagementNetwork e netBackendNetwork.

Mensagem de aviso sobre o identificador do sistema operacionalnão compatívelA mensagem de aviso exibe se o identificador do sistema operacional especificado SUSE LinuxEnterprise Server 12.0 64-bit (id:85) não é compatível com o host selecionado. Ele é mapeado com oseguinte identificador de SO: Outro Linux (64-bit).

Ignore esta mensagem de aviso. Ele é mapeado automaticamente para um sistema operacionalcompatível.

O localizador não se refere a um erro de objeto

O erro notifica se o valor de destino que é usado pelo vSphere OVF Tool não está correto para o seuambiente do vCenter Server. Use a tabela listada em https://communities.vmware.com/docs/DOC-30835para ver exemplos de formato de destino usado para consultar um host ou cluster do vCenter. O objetode nível superior é especificado a seguir:

target=vi://[email protected]:[email protected]/

O objeto agora lista os nomes possíveis a serem usados no próximo nível.

target=vi://[email protected]:[email protected]/Datacenter1/

target=vi://[email protected]:[email protected]/Datacenter1/host

target=vi://[email protected]:[email protected]/Datacenter1/host/Cluster1/

or

target=vi://[email protected]:[email protected]/Datacenter1/host/esxhost1

Os nomes da pasta, nomes do host e nomes do cluster usados no destino diferenciam letras maiúsculase minúsculas.

Mensagem de erro: Não é possível recuperar o certificado docliente da sessão: sessionId

n Verifique se o certificado de usuário está instalado corretamente no navegador.

n Verifique se as versões de protocolo TLS padrão 1.1 e 1.2 estão habilitadas no navegador e noUnified Access Gateway.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 146

Page 147: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Não é possível implantar o ova do Unified Access Gateway usandoo VMware vSphere Web Client iniciado no navegador ChromeÉ necessário instalar o plug-in de integração do cliente no navegador que você usa para implantar umarquivo ova no vSphere Web Client. Após instalar o plug-in no navegador Chrome, é exibida umamensagem de erro indicando que o navegador não está instalado e não permitirá que você insira a URLdo arquivo ova na localização de origem. Esse é um problema com o navegador Chrome e não estárelacionado ao ova do Unified Access Gateway. É recomendável que você use um navegador diferentepara implantar o ova do Unified Access Gateway.

Não é possível implantar o ova do Unified Access Gateway usandoo Web Client HTML4/5 do VMware vSphereVocê pode encontrar erros, como o valor inválido especificado para a propriedade. Esseproblema não está relacionado ao ova do Unified Access Gateway. Recomendamos que você use ocliente FLEX do vSphere em vez disso para implantar o ova.

Não é possível implantar o ova do Unified Access Gateway usandoo Web Client HTML5 do VMware vSphere 6.7Você pode ver que há campos faltando na página Propriedades de implantação no Web Client HTML5do VMware vSphere 6.7. Esse problema não está relacionado ao ova do Unified Access Gateway.Recomendamos que você use o cliente FLEX do vSphere em vez disso para implantar o ova.

Não é possível iniciar o XenApp no Chrome doVMware Identity ManagerDepois de implantar o Unified Access Gateway como um proxy reverso da Web doVMware Identity Manager, talvez não consiga iniciar o XenApp do navegador Chrome.

Siga os passos abaixo para resolver esse problema.

1 Utilize a seguinte REST API para desativar o sinalizador de recursoorgUseNonNPAPIForCitrixLaunch do serviço do VMware Identity Manager.

PUT https://fqdn/SAAS/jersey/manager/api/tenants/settings?tenantId=tenantname

{ "items":[ {"name":"orgUseNonNPAPIForCitrixLaunch","value": "false"} ] }

with the following two headers:

Content-Type application/vnd.vmware.horizon.manager.tenants.tenant.config.list+json

Authorization HZN value_of_HZN_cookie_for_admin_user

2 Aguarde até 24 horas para que a alteração faça efeito ou reinicie o serviço doVMware Identity Manager.

n Para reiniciar o serviço no Linux, faça login no appliance virtual e execute o seguinte comando:service horizon-workspace restart.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 147

Page 148: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

n Para reiniciar o serviço no Windows, execute o seguinte script:install_dir\usr\local\horizon\scripts\horizonService.bat restart .

Erros de resolução de problemas: ponte de identidadeVocê pode enfrentar dificuldades ao configurar o Certificado para Kerberos ou o SAML para Kerberos noseu ambiente. Você pode usar vários procedimentos para diagnosticar e corrigir esses problemas.

Monitorando a integridade do servidor KDC e do servidor deaplicativos de back-end.É possível observar rapidamente que os serviços implantados estão configurados e operando comsucesso a partir da IU do administrador para as configurações de borda.

Figura 7‑3. Verificação de integridade - configurações de proxy reverso

É exibido um círculo antes do serviço. O código de cores é o seguinte:

n Círculo vermelho: se o status for vermelho, isso poderá significar uma das opções a seguir.

n Problemas de conectividade entre o Active Directory e o Unified Access Gateway

n Problemas de bloqueio de portas entre o Active Directory e o Unified Access Gateway.

Observação Certifique-se de que a porta 88 TCP e UDP esteja aberta na máquina do ActiveDirectory.

n As credenciais de nome e senha da entidade de segurança podem estar incorretas no arquivokeytab carregado.

n Círculo verde: se o status for verde, isso significará que o Unified Access Gateway é capaz de fazerlogon no Active Directory com as credenciais fornecidas no arquivo keytab.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 148

Page 149: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Erro ao criar contexto do Kerberos: distorção muito grande dorelógioEsta mensagem de erro:

ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-

a8d9-5e288ac800fe]: Error creating kerberos context.

Identity bridging may not work

javax.security.auth.login.LoginException: Clock skew too great"

é exibida quando o horário do Unified Access Gateway e o horário do servidor AD estãosignificativamente fora de sincronia. Redefina o horário no servidor AD para coincidir com a hora UTCexata do Unified Access Gateway.

Erro ao criar contexto do Kerberos: nome ou serviço nãoconhecidoEsta mensagem de erro:

wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context.

Identity bridging may not work

javax.security.auth.login.LoginException: Name or service not known

é exibida quando o Unified Access Gateway não pode acessar o território configurado ou não podeconectar-se ao KDC com os detalhes do usuário no arquivo keytab. Confirme o seguinte:

n o arquivo keytab foi gerado com a senha de conta de usuário SPN correta e foi carregado noUnified Access Gateway

n o endereço IP do aplicativo de back-end e o nome do host foram adicionados corretamente nasentradas de host.

Erro no recebimento do token Kerberos para o usuário:[email protected], erro: erro de delegação de Kerberos: nome dométodo: gss_acquire_cred_impersonate_name: falha de GSS nãoespecificado. Códigos menores podem fornecer mais informações"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server

not found in Kerberos database"

Se esta mensagem for exibida, verifique se:

n A relação de confiança entre os domínios está funcionando.

n O nome SPN de destino está configurado corretamente.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 149

Page 150: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Erros de resolução de problemas: Cert-to-KerberosVocê pode enfrentar dificuldades ao configurar o certificado para Kerberos no seu ambiente. Você podeusar vários procedimentos para diagnosticar e corrigir esses problemas.

Mensagem de erro: Erro interno. Entre em contato com seuadministradorVerifique o /opt/vmware/gateway/logs/authbroker.log da mensagem

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN

failed with "Could not send OCSP request to responder: Connection refused

(Connection refused) , will attempt CRL validation"

Isso indica que a URL do OCSP configurada no "Certificado X.509" não está acessível ou está incorreta.

Erro quando o certificado do OCSP é inválido"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not

verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt

CRL validation."

é exibido quando for carregado um certificado do OCSP inválido ou se o certificado do OCSP forrevogado.

Erro quando a verificação de resposta do OCSP falhar"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response:

CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26]

WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could

not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will

attempt CRL validation."

é exibido às vezes quando a verificação de resposta do OCSP falha.

Mensagem de erro: não é possível recuperar o certificado docliente da sessão: <sessionId>Se esta mensagem for exibida:

n Verifique as configurações do certificado X.509 e determine se está configurado ou não

n Se o certificado X.509 estiver configurado: verificar o certificado de cliente instalado no navegador dolado do cliente para ver se foi emitido pela mesma CA carregada no campo "Certificados deautoridade de certificação raiz e intermediária" nas configurações do certificado X.509.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 150

Page 151: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Solução de problemas de conformidade do endpointVocê pode enfrentar dificuldades ao implementar o Provedor de verificação de conformidade de endpointno seu ambiente. Você pode usar vários procedimentos para diagnosticar e corrigir problemas da suaimplantação.

Observação O Esmanager.log registra informações sobre o endereço MAC do dispositivo que éusado para a verificação de conformidade. Isso será útil para identificar o endereço MAC usado paraverificação de conformidade de endpoint se o dispositivo tiver mais de um NIC ou alternar entrediferentes redes.

O Unified Access Gateway exibe "credenciais do clienteincorretas"O Unified Access Gateway faz a chamada de API de OPSWAT para validar a chave do cliente e osegredo do cliente fornecidos. Se as credenciais não estão corretas, as configurações não são salvas,resultando num

erro por credenciais do cliente inválidas

.

Verifique se a chave de cliente e o segredo do cliente corretos estão nos campos Nome de Usuário eSenha.

Para gerar as credenciais do cliente, registre seu aplicativo aqui https://gears.opswat.com/o/app/register.

O Unified Access Gateway exibe "DNS não pode resolver o hosthttps://gears.opswat.com ”Use o comando ping para descobrir o endereço IP do gears.opswat.com da sua região.

Em seguida, use o endereço IP do comando ping para criar uma entrada de /etc/hosts parahttps://gears.opswat.com. Navegue até as configurações do Horizon da IU do administrador eforneça o valor nas Entradas de host para o serviço de borda do View.

O Unified Access Gateway exibe "A solicitação atingiu o tempolimite durante a conexão com o host https://gears.opswat.com ”Isso poderá acontecer se a entrada de host do gears.opswat.com estiver configurada incorretamenteno UAG ou o https://gears.opswat.com não aceitar a solicitação de conexão.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 151

Page 152: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Resolução de problemas da validação do certificado naIU do administradorSe você encontrar erros ao validar o formato PEM de um certificado, procure a mensagem de erro paraobter mais informações.

Esta é uma lista de cenários possíveis em que erros são gerados.

Erro Problema

Formato PEM inválido. Pode ser por causa do formatoincorreto de BEGIN. Consulte o log para obter mais detalhes.

O certificado da chave privada BEGIN é inválido.

Formato PEM inválido. Mensagem de exceção: ---END RSAPRIVATE KEY não encontrado. Consulte o log para obter maisdetalhes.

O certificado de chave privada END é inválido.

Formato PEM inválido. Mensagem de exceção: problema aocriar a chave privada RSA:java.lang.IllegalArgumentException: falha ao construir asequência de byte []: fluxo corrompido - comprimento fora doslimites encontrado. Consulte o log para obter mais detalhes.

A chave privada no certificado está corrompida.

Falha ao analisar certificados de cadeia de caracteres PEM.Consulte o log para obter mais detalhes.

O certificado da chave pública BEGIN é inválido.

Foram encontrados dados PEM malformados. Consulte o logpara obter mais detalhes.

O certificado de chave pública END é inválido.

Foram encontrados dados PEM malformados. Consulte o logpara obter mais detalhes.

A chave pública no certificado está corrompida.

Não há nenhum certificado de destino/término para criar oencadeamento.

Não há nenhum certificado de destino/término.

Não é possível criar o caminho da cadeia de certificados;todos os certificados de destino são inválidos. Podem estarfaltando certificados intermediários ou raiz.

Não há nenhuma cadeia de certificados a ser criada.

Erro ambíguo: mais de uma cadeia de certificados encontrada,não há certeza de qual deve ser retornada

Há mais de uma cadeia de certificados.

Não é possível criar caminho da cadeia de certificados,CertificateExpiredException: certificado expirou em20171206054737GMT+00:00. Consulte o log para obter maisdetalhes.

O certificado expirou.

Mensagem de erro "Detectados dados inesperados no fluxo"ao carregar o certificado no formato PEM.

Falta linha vazia ou atributos adicionais entre o certificadofolha e o intermediário no certificado da cadeia. Adicionar umalinha vazia entre o certificado folha e o intermediário resolveriao problema.

Figura 7‑4. Exemplo

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 152

Page 153: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Solucionando problemas de conexão e de firewallVocê pode monitorar, testar e solucionar problemas de rede, como problemas de firewall e de conexão,da sua instância do Unified Access Gateway com várias ferramentas e comandos como tcpdump e curl.

Instalar e executar tcpdumptcpdump é uma ferramenta de linha de comando que você pode usar para analisar pacotes TCP parafins de teste e solução de problemas.

Se você não tiver instalado tcpdump em sua instância do Unified Access Gateway, execute o seguintecomando na linha de comando para instalar tcpdump:

/etc/vmware/gss-support/install.sh

Os exemplos a seguir mostram o uso de tcpdump:

n Execute os seguintes comandos para monitorar o tráfego em portas específicas.

Observação Se você especificar a porta 8443, certifique-se de que o UDP 8443 não serábloqueado por um firewall externo.

a tcpdump -i eth0 -n -v udp port 8443

b tcpdump -i eth0 -n -v tcp port 8443

c tcpdump -i any -n -v port 22443

n Execute os seguintes comandos para rastrear os pacotes que vem e vão para o servidor RADIUSpara o Unified Access Gateway:

nslookup <radius-server-hostname>

tracepath <radius-server-hostname>

tcpdump -i any -n -v port 1812

n Execute os seguintes comandos para rastrear os pacotes que vem e vão para o servidor RSASecurID para o Unified Access Gateway:

nslookup <rsa-auth-server-hostname>

tracepath <rsa-auth-server-hostname>

Usando o comando curlVocê também pode usar o comando curl para obter informações sobre as conexões de rede.

n Execute o seguinte comando para testar a conexão com um servidor de conexão de back-end ou umservidor Web:

curl -v -k https://<hostname-or-ip-address>:443/

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 153

Page 154: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Você pode exibir os problemas de conexão do servidor back-end no arquivo esmanager.log:

07/14 07:29:03,882[nioEventLoopGroup-7-1]ERROR

view.ViewEdgeService[onFailure: 165][]: Failed to resolve hostname

address in proxyDestinationUrl:xref:mbxxx-cs.xyz.in

n Não é possível testar as conexões com as áreas de trabalho virtuais back-end, como PCoIP 4172 eBlast 22443, usando tcpdump, pois as áreas de trabalho não ouvirão nesses números de porta atéque uma sessão esteja pronta. Consulte os logs para examinar falhas de conexão possíveis nessasportas.

n Execute o seguinte comando para conexão TCP do Canal de Estrutura do Horizon:

curl -v telnet://<virtualdesktop-ip-address>:32111

n Execute o seguinte comando para conexão TCP do Horizon MMR/CDR:

curl -v telnet://<virtualdesktop-ip-address>:9427

n Execute o seguinte comando para testar a conectividade de porta do Unified Access Gatewaypara com o desktop virtual. Garanta que a sessão para o desktop virtual esteja ativa antes deexecutar esse comando.

curl -v telnet://<virtualdesktop-ip-address>:22443

Comandos do PowerShellExecute os seguintes comandos da linha de comando do PowerShell para monitorar a conectividade deportas específicas:

1 Test-NetConnection <uag-hostname-or-ip-address> -port 443

2 Test-NetConnection <uag-hostname-or-ip-address> -port 8443

3 Test-NetConnection <uag-hostname-or-ip-address> -port 4172

Resolução de problemas do login raizSe você fizer login como raiz no console do Unified Access Gateway com o nome de usuário e a senhacorretos e obter um erro “Login incorreto”, verifique se há problemas de mapeamento de teclado eredefina a senha raiz.

Existem várias razões pelas quais ocorre um erro de login:

n o teclado utilizado não mapeia corretamente determinados caracteres de senha segundo a definiçãodo teclado do Unified Access Gateway

n a senha expirou. A senha raiz expira 365 dias após a implantação do arquivo OVA.

n quando o appliance foi implantado, a senha não foi definida corretamente. Este é um problemaconhecido nas versões anteriores do Unified Access Gateway.

n a senha foi esquecida.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 154

Page 155: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Para testar se o teclado está mapeando caracteres corretamente, tente inserir a senha em respostaao“Login:” prompt de nome de usuário. Isso permite que você veja cada caractere da senha e possaidentificar onde os caracteres estão sendo mal interpretados.

Para todas as outras causas, redefina a senha raiz do appliance.

Observação Para redefinir a senha raiz, é obrigatório:

n ter acesso de login ao vCenter

n saber a senha de login do vCenter

n ter permissão para acessar o console do appliance

Se você configurou uma senha de menu do carregador de inicialização do Grub 2 para o appliance, seránecessário inserir isso como parte deste procedimento.

Procedimentos

1 Reinicie o appliance do vCenter e conecte-se imediatamente ao console.

2 Assim que a tela inicial do Photon OS for exibida, pressione e para acessar o menu de edição doGNU GRUB

3 No menu de edição do GRUB GNU, vá até o final da linha que começa com linux, adicione umespaço e digite /$photon_linux root=$rootpartition rw init=/bin/bash. Depois deadicionar esses valores, o menu de edição do GNU GRUB deve ter esta exata aparência:

Observação Em um appliance do FIPS, fips=1 devem ser mantido no final da linha conforme

exibido.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 155

Page 156: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

4 Pressione a tecla F10 e no prompt de comando bash, insira passwd para alterar a senha.

passwd

New password:

Retype new password:

passwd: password updated successfully

5 Reinicie o appliance reboot -f

n Após a inicialização do appliance, faça o login como raiz com a senha recém-definida.

Sobre a senha do Grub2Você pode usar a senha do Grub2 para seu login raiz.

A partir do Unified Access Gateway 3.1, a senha de edição do Grub2 será definida por padrão.

O nome de usuário é raiz e a senha é a mesma que a senha raiz configurada durante a implantação doUnified Access Gateway. Essa senha nunca será redefinida, a menos que você a redefina explicitamenteao efetuar login na máquina.

Observação Alterar manualmente a senha raiz fazendo login na máquina usando qualquer comandonão redefinirá a senha do Grub2. Elas são mutuamente exclusivas. A mesma senha será definida paraambos (com a versão UAG 3.1 e posterior) somente durante a implantação.

Coletando logs do appliance do Unified Access GatewayBaixe o arquivo UAG-log-archive.zip da seção Configurações de suporte da IU do administrador. Oarquivo ZIP contém todos os logs do appliance do Unified Access Gateway.

Configurar o nível de logÉ possível gerenciar as configurações de nível de log na IU do administrador. Vá para a páginaConfigurações de suporte e selecione Configurações de nível de log. Os níveis de log que podemser gerados são INFORMAÇÕES, AVISO, ERRO e DEPURAÇÃO. O nível de log é configurado porpadrão como INFORMAÇÕES.

Segue seguir uma descrição do tipo de informações que os níveis de log coletam.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 156

Page 157: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 7‑5. Níveis de log

Nível Tipo de informações coletadas

INFORMAÇÕES O nível INFORMAÇÕES indica as mensagens informativas que destacam o andamento doserviço.

ERRO O nível ERRO indica eventos de erro que ainda podem permitir que o serviço continuesendo executado.

AVISO O nível AVISO indica situações potencialmente perigosas, mas normalmente recuperáveisou que podem ser ignoradas.

DEPURAÇÃO Designa eventos que geralmente serão úteis para depurar problemas, visualizar oumanipular o estado interno do appliance e testar o cenário de implantação em seuambiente.

Coletar logsBaixe os arquivos ZIP de log da seção de configurações de suporte da IU do administrador.

Estes arquivos de registro são coletados do diretório /opt/vmware/gateway/logs no appliance.

As tabelas a seguir contêm descrições dos vários arquivos inclusos no arquivo ZIP.

Tabela 7‑6. Arquivos que contêm informações de sistema para auxiliar na resolução deproblemas

Nome do Arquivo Descrição Comando Linux (se aplicável)

rpm-version.log Versão do appliance do Unified Access Gateway.

ipv4-forwardrules Regras de encaminhamento IPv4 configuradas no appliance.

df.log Contém informações sobre o uso do espaço em disco noappliance.

df -a -h --total

netstat.log Contém informações sobre portas abertas e conexões TCPexistentes.

netstat -anop

netstat-s.log Estatísticas de rede (bytes enviados/recebidos, etc.) a partir domomento da criação do appliance.

netstat -s

netstat-r.log Rotas estáticas criadas no appliance. netstat -r

uag_config.json,

uag_config. ini,

uagstats.json

Configuração completa do appliance doUnified Access Gateway, mostrando todas as configuraçõescomo um arquivo json e um ini.

ps.log Inclui processos em execução no momento do download delogs.

ps -elf --width 300

ifconfig.log Configuração da interface de rede do appliance. ifconfig -a

free.log Disponibilidade de RAM no momento do download de logs. free

top.log Lista ordenada de processos por uso de memória no momentodo download de logs.

top -b -o %MEM -n 1

iptables.log Tabelas IP para IPv4. iptables-save

ip6tables.log Tabelas IP para IPv6. ip6tables-save

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 157

Page 158: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 7‑6. Arquivos que contêm informações de sistema para auxiliar na resolução deproblemas (Continuação)

Nome do Arquivo Descrição Comando Linux (se aplicável)

w.log Informações sobre o tempo de atividade do sistema, os usuáriosque estão atualmente na máquina e seus processos.

w

systemctl.log Lista de serviços que estão em execução no appliance nomomento

systemctl

resolv.conf Para conectar clientes locais diretamente a todos os servidoresDNS conhecidos

hastats.csv Contém estatísticas por nó e as informações de estatísticastotais para cada tipo de back-end (Edge Service Manager,VMware Tunnel, Content Gateway)

Tabela 7‑7. Arquivos de Registro para o Unified Access Gateway

Nome do Arquivo Descrição Comando Linux (se aplicável)

supervisord.log Log de supervisor (gerenciador do Edge Service Manager,administrador e um AuthBroker).

esmanager-x.log,

esmanager-std-

out.log

Log(s) do Edge Service Manager, mostrando os processos deback-end executados no appliance.

audit.log Log de auditoria de todas as operações de usuárioadministrador.

authbroker.log Contém mensagens de log do processo AuthBroker, que lidacom a autenticação Radius e RSA SecurID.

admin.log, admin-

std-out.log

Logs da Interface Gráfica do Usuário (GUI) do administrador.Contém mensagens de registros do processo que fornece a APIREST do Unified Access Gateway na porta 9443.

bsg.log Contém mensagens de registro do Gateway Seguro Blast.

SecurityGateway_xxx.

log

Contém mensagens de registro do Gateway Seguro PCoIP.

utserver.log Contém mensagens de log do servidor do túnel UDP.

activeSessions.csv Lista de sessões ativas do Horizon ou do WRP.

haproxy.conf Contém parâmetros de configuração de proxy de HA para ocompartilhamento de porta TLS.

vami.log Contém mensagens de log da execução de comandos vamipara configurar as interfaces de rede durante a implantação.

content-gateway.log,

content-gateway-

wrapper.log,

0.content-gateway-

YYYY-mm.dd.log.zip

Contém mensagens de log do Content Gateway.

admin-zookeeper.log Contém mensagens de registros relacionadas à camada dedados que é utilizada para armazenar a configuração doUnified Access Gateway .

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 158

Page 159: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Tabela 7‑7. Arquivos de Registro para o Unified Access Gateway (Continuação)

Nome do Arquivo Descrição Comando Linux (se aplicável)

tunnel.log Contém mensagens de registros do processo de túnel que éutilizado como parte do processamento da XML API. Énecessário ter o Tunnel ativado nas configurações do Horizonpara ver esse log.

tunnel-snap.tar.gz Tarball contendo os logs de proxy e de servidor doVMware Tunnel.

aw-appliance-

agent.log

Logs de agente de appliance (para iniciar os serviços doAirWatch).

config.yml Contém detalhes de nível de log e configuração do ContentGateway.

smb.conf Contém a configuração do cliente PME.

smb-connector.conf Contém detalhes de nível log e protocolo PME.

Os arquivos de registro que terminam em “-std-out.log”-std-out.log” contêm informações escritas parao stdout de vários processos e são normalmente arquivos vazios.

Exportar configurações do Unified Access GatewayExporte as definições de configuração do Unified Access Gateway nos formatos JSON e INI a partir daIU do administrador.

É possível exportar as definições de configuração do Unified Access Gateway e salvá-las no formatoJSON ou INI. Você pode usar o arquivo INI exportado para implementar o Unified Access Gatewayusando scripts do Powershell.

Procedimentos

1 Navegue até Configurações de suporte > Exportar Configurações do Unified Access Gateway.

2 Clique em JSON ou INI para exportar as configurações do Unified Access Gateway no formato quedesejar. Para salvar as configurações em ambos os formatos, clique no botão Arquivo de log.

Os arquivos são salvos por padrão na pasta Downloads.

Importar configurações do Unified Access GatewayA IU de administrador do Unified Access Gateway fornece uma opção para exportar definições deconfiguração no formato JSON. Após exportar as definições de configuração no formato JSON, vocêpode usar o arquivo JSON exportado para configurar uma versão recém-implantada do appliance doUnified Access Gateway.

Procedimentos

1 Vá para Configurações de Suporte > Exportar Configurações do Unified Access Gateway.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 159

Page 160: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

2 Clique em JSON para exportar as configurações do Unified Access Gateway no formato JSON.

O arquivo é salvo por padrão na pasta Downloads

3 Exclua o appliance antigo do Unified Access Gateway ou colocá-lo no modo Quiesce para excluí-lomais tarde.

4 Implante a nova versão do appliance do Unified Access Gateway

5 Importe o arquivo JSON que você exportou anteriormente.

Erros de resolução de problemas: Content GatewayVocê pode enfrentar dificuldades ao configurar o Content Gateway no seu ambiente. Você pode usar oprocedimento para diagnosticar e corrigir o problema.

Problema com a sincronização, o download e o upload parausuários que usam compartilhamentos hospedados em servidoresNetApp.Para alterar manualmente o arquivo de configuração, siga as etapas:

1 Faça login no vSphere Client

2 Abra o console do Unified Access Gateway no qual o Content Gateway está configurado.

3 Vá para /opt/airwatch/content-gateway/conf

4 Edite o arquivo config.yml

5 Modifique o valor de sinalizador do parâmetro aw.fileshare.jcifs.active para true. O valorpadrão é false.

6 Reinicie o serviço de Content Gateway com o comando

$ service content-gateway restart

Solucionando problemas de alta disponibilidadeVocê pode enfrentar dificuldades ao configurar a Alta Disponibilidade no seu ambiente. Você pode usarvários procedimentos para diagnosticar e corrigir esses problemas.

1 Faça login no console do Unified Access Gateway.

2 Execute o comando ip addr para verificar se o endereço IP virtual configurado está atribuído àinterface eth0.

3 Certifique-se de que o endereço IP virtual esteja atribuído na mesma sub-rede que a interface eth0.Certifique-se de que seja acessível a partir da máquina cliente. Se houver problemas deconectividade, pode ser que o endereço IP virtual não seja exclusivo e já esteja atribuído a umamáquina física ou virtual.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 160

Page 161: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

4 No arquivo haproxy.conf no pacote de log, a configuração relacionada ao cluster atual estádisponível. Por exemplo,

server uag1 127.0.0.1:XXXX .....

server uag2 <IP of machine 2>:XXXX ....

server uag3 <IP of machine 3>:XXXX ....

A configuração de back-end se baseia nas configurações definidas no Unified Access Gateway

n lb_esmanageris para casos de uso de proxy reverso da Web e do Horizon.

n lb_cg_server é para casos de uso do Content Gateway.

n lb_tunnel_server é para casos de uso do Tunnel.

5 No arquivo haproxy.conf no pacote de log, você pode encontrar os detalhes sobre a origem daconexão do cliente, a conexão correspondente enviada e o servidor do Unified Access Gateway quelida com as conexões. Por exemplo,

2018-11-27T07:21:09+00:00 ipv6-localhost haproxy[15909]:

incoming:::ffff:<IP of Client:xxxx> backend:lb_esmanager

connecting-server:uag2/<IP of uag2> connecting-through:<IP of master

node:xxxx> wait-time:1 connect-time:0 total-incoming:1 total-outgoing:1

total-to-server:1

6 Para exibir as estatísticas, consulte Coletar Logs no Appliance do Unified Access Gateway .

Tabela 7‑8. Exemplo de um arquivo CSV

Nome dacoluna Descrição

scur Indica o número atual de conexões simultâneas manipuladas por este servidor.

smax Marca d'água alta de conexões simultâneas manipuladas por este servidor durante o tempo de atividadeatual.

stot Indica o número total de conexões manipuladas por este servidor durante o tempo de atividade atual.

bin Indica o número total de bytes enviados para esse servidor.

bout Indica o número total de bytes recebidos deste servidor.

status Indica o status do servidor. Por exemplo, se é operante ou inoperante. Isso se baseia na últimaverificação de integridade executada neste servidor.

7 Vários problemas de eleição nó mestre podem ser vistos nos seguintes casos,

n ID de grupo diferente ou endereço IP virtual configurado nos nós que visam formar o cluster.

n Endereço IP virtual e eth0 em uma sub-rede diferente.

n Múltiplos NICS no Unified Access Gateway configurados na mesma sub-rede.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 161

Page 162: 343o do VMware Unified Access Gateway - Unified Access ... · Conexão do VMware Tunnel (Per-App VPN) com a configuração básica 38 Conexões do VMware Tunnel (Per-App VPN) em modo

Segurança de resolução de problemas: práticasrecomendadasQuando o serviço detecta que um dispositivo de balanceamento de carga nos seus servidores da web,essas informações adicionais sobre a rede são uma vulnerabilidade. Você pode usar váriosprocedimentos para diagnosticar e corrigir esses problemas.

Técnicas diferentes são usadas para detectar a presença de um dispositivo de balanceamento de carga,incluindo a análise do cabeçalho HTTP e análise de valores de IP-útil (TTL), os valores de IPidentificação (ID) e números de sequência inicial TCP (ISN). A quantidade exata de servidores Web atrásde um balanceador de carga é difícil determinar, portanto, o número relatado talvez não seja preciso.

Além disso, o Netscape Enterprise Server versão 3.6 é conhecido por exibir um campo "Date:" erradono cabeçalho HTTP quando o servidor receber várias solicitações. Isso dificulta que o serviço determinese há um dispositivo de balanceamento de carga presente, analisando os cabeçalhos HTTP.

Além disso, o resultado fornecido pela análise dos valores de ID de IP e TCP ISN pode variar devido acondições de rede diferentes quando a verificação foi realizada. Explorando essa vulnerabilidade, uminvasor pode usar essas informações em conjunto com outras informações para formular ataquessofisticados contra a sua rede.

Observação Se os servidores Web atrás do balanceador de carga não forem idênticos, os resultadosda verificação das vulnerabilidades HTTP podem variar de uma verificação para outra.

n O Unified Access Gateway é um appliance de segurança normalmente instalado em uma zonadesmilitarizada (DMZ). As etapas a seguir o ajudam a proteger Unified Access Gateway deverificadores de vulnerabilidade de detectarem esse problema.

n Para evitar a detecção da presença de um dispositivo de balanceamento de carga com base naanálise do cabeçalho HTTP, você deve usar o protocolo de tempo de rede (NTP) para sincronizaros relógios em todos os seus hosts (pelo menos no DMZ).

n Para evitar a detecção analisando os valores de IP TTL, os valores de ID de IP e valores de TCPISN, você pode usar os hosts com uma implementação de TCP/IP que gera números aleatóriospara esses valores. No entanto, a maioria dos sistemas operacionais disponíveis atualmente nãovêm com essa implementação de TCP/IP.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 162