17. SEPT. 2019 Unified Access Gateway 3 - docs.vmware.com · n Unified Access Gateway 3.5 und höher enthält eine optionale sshEnabled-INI-Eigenschaft. Durch Festlegen von sshEnabled=true

Bereitstellen und Konfigurieren vonVMware Unified Access Gateway

17. SEPT. 2019Unified Access Gateway 3.7

Die aktuellste technische Dokumentation finden Sie auf der VMware-Website unter:

https://docs.vmware.com/de/

Falls Sie Anmerkungen zu dieser Dokumentation haben, senden Sie diese an:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Global, Inc.Zweigniederlassung DeutschlandWilly-Brandt-Platz 281829 MünchenGermanyTel.: +49 (0) 89 3706 17 000Fax: +49 (0) 89 3706 17 333www.vmware.com/de

Copyright © 2019 VMware, Inc. Alle Rechte vorbehalten. Urheberrechts- und Markenhinweise.

Bereitstellen und Konfigurieren von VMware Unified Access Gateway

VMware, Inc. 2

https://docs.vmware.com/de/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Inhalt

Bereitstellen und Konfigurieren von VMware Unified Access Gateway 6

1 Vorbereiten der Bereitstellung von VMwareUnified Access Gateway 7Unified Access Gateway als sicheres Gateway 7

Verwenden von Unified Access Gateway anstelle eines Virtual Private Network 8

System- und Netzwerkanforderungen von Unified Access Gateway 9

Firewall-Regeln für Umkreisnetzwerk-basierte Unified Access Gateway-Appliances 11

Systemanforderungen für die Bereitstellung von VMware Tunnel mit Unified Access Gateway 19

Portanforderungen für VMware Tunnel-Proxy 20

Portanforderungen für VMware per-App-Tunnel 25

Anforderungen für Netzwerkschnittstellenverbindungen 31

Unified Access Gateway-Topologien für den Lastausgleich 32

Unified Access Gateway-Hochverfügbarkeit 34

Konfigurieren von Hochverfügbarkeitseinstellungen 37

Mit Horizon konfigurierte Unified Access Gateway-Instanz 38

VMware Tunnel-Verbindung (App-basiertes VPN) mit Basiskonfiguration 39

VMware Tunnel-Verbindungen (App-basiertes VPN) im mehrstufigen Modus 39

Content Gateway-Basiskonfiguration 41

Content Gateway mit Relay- und Endpoint-Konfiguration 41

DMZ-Design für Unified Access Gateway mit mehreren Netzwerkschnittstellenkarten 43

Upgrade ohne Ausfallzeit 46

Bereitstellen von Unified Access Gateway ohne Netzwerkprotokollprofil (NPP) 47

Programm zur Verbesserung der Benutzerfreundlichkeit beitreten oder verlassen 48

2 Bereitstellen der Unified Access Gateway-Appliance 49Bereitstellen von Unified Access Gateway mit dem OVF-Vorlagenassistenten 50

Bereitstellen von Unified Access Gateway mit dem OVF-Vorlagenassistenten 50

Konfigurieren von Unified Access Gateway auf den Verwaltungsseiten für die Konfiguration 57

Konfigurieren der Unified Access Gateway-Systemeinstellungen 57

Ändern der Netzwerkeinstellungen 61

Konfigurieren von Benutzerkontoeinstellungen 62

Konfigurieren der JSON Web Token-Einstellungen 65

Aktualisieren von signierten SSL-Serverzertifikaten 66

3 Bereitstellen von Unified Access Gateway mit PowerShell 69Systemanforderungen zur Bereitstellung von Unified Access Gateway mit PowerShell 69

Verwenden von PowerShell zur Bereitstellung der Unified Access Gateway-Appliance 71

VMware, Inc. 3

4 Anwendungsbeispiele für die Unified Access Gateway-Bereitstellung 77Bereitstellung mit Horizon und Horizon Cloud with On-Premises Infrastructure 77

Unterstützung von Dual IPv4- und IPv6-Modus für Horizon-Infrastruktur 82

Erweiterte Einstellungen für Edge-Dienst 83

Konfigurieren der Horizon-Einstellungen 85

Externe URL-Konfigurationsoptionen für Blast TCP und UDP 92

Überprüfung der Endpunktübereinstimmung für Horizon 93

Bereitstellung als Reverse-Proxy 94

Konfigurieren von Reverse-Proxy mit VMware Identity Manager 96

Konfigurieren von Reverse-Proxy mit der VMware Workspace ONE UEM-API 99

Bereitstellung für Single Sign-on-Zugriff auf standortbasierte ältere Webanwendungen 102

Identity Bridging-Bereitstellungsszenarien 103

Konfigurieren der Identity Bridging-Einstellungen 106

Workspace ONE UEM Komponenten auf Unified Access Gateway 122

Bereitstellen von VMware Tunnel in Unified Access Gateway 122

Informationen zum TLS-Port für gemeinsame Nutzung 135

Content Gateway ein Unified Access Gateway 135

Secure Email Gateway auf Unified Access Gateway 141

Weitere Anwendungsfälle für die Bereitstellung 144

5 Konfigurieren von Unified Access Gateway mit TLS-/SSL-Zertifikaten 146Konfigurieren von TLS-/SSL-Zertifikaten für Unified Access Gateway-Appliances 146

Auswählen des korrekten Zertifikattyps 146

Konvertieren von Zertifikatdateien in das einzeilige PEM-Format 148

Ändern der Sicherheitsprotokolle und Verschlüsselungssammlungen für die TLS- oder SSL-Kommunikation 150

6 Konfigurieren der Authentifizierung in DMZ 152Konfigurieren der Zertifikat- oder Smartcard-Authentifizierung in der Unified Access Gateway-Appliance

152

Konfigurieren der Zertifikatauthentifizierung auf Unified Access Gateway 153

Anfordern der Zertifizierungsstellenzertifikate 155

Konfigurieren der RSA SecurID-Authentifizierung in Unified Access Gateway 156

Konfigurieren von RADIUS für Unified Access Gateway 157

Konfigurieren der RADIUS-Authentifizierung 158

Konfigurieren der adaptiven RSA-Authentifizierung in Unified Access Gateway 160

Konfigurieren der adaptiven RSA-Authentifizierung in Unified Access Gateway 161

Generieren von Unified Access Gateway-SAML-Metadaten 163

Erstellen eines SAML-Authentifikators für die Verwendung von anderen Dienstanbietern 164

Kopieren von SAML-Metadaten für einen Dienstanbieter in Unified Access Gateway 164


VMware, Inc. 4

7 Fehlerbehebung bei der Unified Access Gateway-Bereitstellung 166Überwachung der Sitzungsstatistik des Edge-Diensts 166

Überwachen von API-Sitzungsstatistiken 168

Überwachen der Integrität von bereitgestellten Diensten 170

Fehlerbehebung bei Bereitstellungsfehlern 170

Fehlerbehebung: Identity Bridging 173

Fehlerbehebung: Cert-zu-Kerberos 175

Fehlerbehebung bei der Endpunktübereinstimmung 176

Fehlerbehebung bei der Validierung des Zertifikats in der Admin-UI 177

Fehlerbehebung bei Firewall- und Verbindungsproblemen 178

Fehlerbehebung bei der Root-Anmeldung 180

Über das Grub2-Kennwort 182

Erfassen von Protokollen auf der Unified Access Gateway-Appliance 182

Unified Access Gateway-Einstellungen exportieren 185

Importieren von Unified Access Gateway-Einstellungen 185

Fehlerbehebung: Content Gateway 186

Fehlerbehebung bei Hochverfügbarkeit 186

Fehlerbehebung bei Sicherheitsrisiken: Empfohlene Vorgehensweisen 188


VMware, Inc. 5

Bereitstellen und Konfigurieren vonVMware Unified Access Gateway

Bereitstellen und Konfigurieren von Unified Access Gateway enthält Informationen zum Planen vonVMware Horizon®, VMware Identity Manager™ und zur Workspace ONE UEM-Bereitstellung, dieVMware Unified Access Gateway™ für den sicheren externen Zugriff auf die Anwendungen IhrerOrganisation verwendet. Bei diesen Anwendungen kann es sich um Windows-Anwendungen, Software-as-a-Service(SaaS)-Anwendungen und Desktops handeln. Dieses Handbuch enthält auch Anleitungenfür die Bereitstellung virtueller Unified Access Gateway-Appliances und für die Änderung derKonfigurationseinstellungen nach der Bereitstellung.

ZielgruppeDiese Informationen richten sich an Benutzer, die Unified Access Gatewaybereitstellen und verwendenmöchten. Die Informationen wurden für erfahrene Linux- und Windows-Systemadministratoren verfasst,die mit der Technologie virtueller Maschinen sowie mit Datencenter-Vorgängen vertraut sind.

VMware, Inc. 6

Vorbereiten der Bereitstellungvon VMwareUnified AccessGateway 1Unified Access Gateway-Funktionen sind ein sicheres Gateway für Benutzer, die auf Remote-Desktopsund -anwendungen von außerhalb der Unternehmens-Firewall zugreifen möchten.

Hinweis VMware Unified Access Gateway® hieß früher VMware Access Point.

Dieses Kapitel enthält die folgenden Themen:

n Unified Access Gateway als sicheres Gateway

n Verwenden von Unified Access Gateway anstelle eines Virtual Private Network

n System- und Netzwerkanforderungen von Unified Access Gateway

n Firewall-Regeln für Umkreisnetzwerk-basierte Unified Access Gateway-Appliances

n Systemanforderungen für die Bereitstellung von VMware Tunnel mit Unified Access Gateway

n Unified Access Gateway-Topologien für den Lastausgleich

n Unified Access Gateway-Hochverfügbarkeit

n DMZ-Design für Unified Access Gateway mit mehreren Netzwerkschnittstellenkarten

n Upgrade ohne Ausfallzeit

n Bereitstellen von Unified Access Gateway ohne Netzwerkprotokollprofil (NPP)

n Programm zur Verbesserung der Benutzerfreundlichkeit beitreten oder verlassen

Unified Access Gateway als sicheres GatewayUnified Access Gateway ist eine Appliance, die normalerweise in einer demilitarisierten Netzwerkzone(DMZ) installiert wird. Unified Access Gateway wird verwendet, um sicherzustellen, dass nurDatenverkehr in das Datencenter des Unternehmens gelangt, der zu einem sicher authentifiziertenRemotebenutzer gehört.

Unified Access Gateway leitet Authentifizierungsanfragen an den jeweiligen Server weiter und blockiertjede nicht authentifizierte Anfrage. Benutzer können nur auf Ressourcen zugreifen, für deren Zugriff sieberechtigt sind.

VMware, Inc. 7

Außerdem sorgt Unified Access Gateway dafür, dass der Datenverkehr für einen authentifiziertenBenutzer nur an Desktop- und Anwendungsressourcen geleitet werden kann. Hierbei verfügt derBenutzer über entsprechende Berechtigungen. Dieser Grad an Sicherheit erfordert eine genaueUntersuchung der Desktopprotokolle und Koordination von sich potenziell schnell veränderndenRichtlinien und Netzwerkadressen, damit der Zugriff genauestens kontrolliert werden kann.

Unified Access Gateway dient als Proxy-Host für Verbindungen innerhalb des vertrauenswürdigenNetzwerks eines Unternehmens. Dieses Konzept bietet eine zusätzliche Schutzschicht durchAbschirmung der virtuellen Desktops, Anwendungshosts und Server gegenüber dem öffentlichen Internet.

Unified Access Gateway ist speziell auf die DMZ ausgelegt. Die folgenden Schutzeinstellungen sindimplementiert.

n Aktuelle Linux-Kernel- und Software-Patches

n Unterstützung mehrerer Netzwerkkarten (NICs) für Datenverkehr aus Internet und Intranet

n SSH deaktiviert

n FTP, Telnet, Rlogin oder Rsh-Dienste deaktiviert

n Nicht benötigte Dienste deaktiviert

Verwenden von Unified Access Gateway anstelle einesVirtual Private NetworkUnified Access Gateway und generische VPN-Lösungen ähneln sich, da beide sicherstellen, dassDatenverkehr nur für sicher authentifizierte Benutzer in ein internes Netzwerk weitergeleitet wird.

Unified Access Gateway bietet im Vergleich zu einem generischen VPN die folgenden Vorteile.

n Access Control Manager Unified Access Gateway wendet Zugriffsregeln automatisch an. UnifiedAccess Gateway erkennt die Berechtigungen der Benutzer und die zur internen Verbindungerforderliche Adressierung. Ein VPN erreicht dasselbe, da bei den meisten VPNs ein AdministratorNetzwerkverbindungsregeln für jeden Benutzer oder jede Benutzergruppe einzeln konfigurieren kann.Dies funktioniert zwar zunächst recht gut mit einem VPN, die Verwaltung der erforderlichen Regelnbringt aber erheblichen administrativen Arbeitsaufwand mit sich.

n Benutzeroberfläche Unified Access Gateway nimmt keine Änderungen an der unkompliziertenBenutzeroberfläche von Horizon Client vor. Mit Unified Access Gateway befinden sich authentifizierteBenutzer beim Start des Horizon Clients in ihrer Horizon Connection Server-Umgebung und habenkontrollierten Zugriff auf ihre Desktops und Anwendungen. Bei einem VPN müssen Sie zunächst dieVPN-Software einrichten und dann separat die Authentifizierung durchführen, bevor der HorizonClient gestartet wird.

n Leistung Unified Access Gateway ist für maximale Sicherheit und Leistung konzipiert. Mit UnifiedAccess Gateway sind PCoIP-, HTML Access- und WebSocket-Protokolle ohne zusätzlicheKapselung gesichert. VPNs werden als SSL-VPNs implementiert. Diese Implementierung entsprichtden Sicherheitsanforderungen und gilt bei aktiviertem TLS (Transport Layer Security) als sicher, aberdas zugrunde liegende Protokoll bei SSL/TLS ist lediglich TCP-basiert. Da moderne Video-Remoting-


VMware, Inc. 8

Protokolle verbindungslose UDP-basierte Transporte nutzen, können die Leistungsvorteile beiDurchsetzen eines TCP-basierten Transports erheblich gemindert werden. Dies gilt nicht für alleVPN-Technologien, da diejenigen, die mit DTLS oder IPsec anstelle von SSL/TLS betrieben werdenkönnen, gut mit Horizon Connection Server-Desktop-Protokollen funktionieren können.

System- und Netzwerkanforderungen von Unified AccessGatewayDamit Sie die Unified Access Gateway-Appliance bereitstellen können, müssen Sie sicherstellen, dass IhrSystem die Hardware- und Softwareanforderungen erfüllt.

Unterstützte VMware-ProduktversionenSie müssen bestimmte Versionen der VMware-Produkte mit bestimmten Versionen von Unified AccessGateway verwenden. Neueste Informationen zur Kompatibilität finden Sie in den Versionshinweisen zumProdukt und in der Interoperabilitätstabelle für VMware-Produkte unter http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Hardwareanforderungen für den ESXi-ServerDie Unified Access Gateway-Appliance muss unter einer VMware vSphere-Version bereitgestellt werden,die mit der Version identisch ist, die für die VMware-Produkte bzw. -Versionen unterstützt wird.

Wenn Sie vSphere Web client verwenden, müssen Sie sicherstellen, dass das Client-Integrations-Plug-Ininstalliert ist. Weitere Informationen finden Sie in der Dokumentation vSphere. Wenn Sie dieses Plug-innicht vor dem Start des Bereitstellungsassistenten installieren, fordert Sie der Assistent zur Installationauf. Hierzu müssen Sie den Browser schließen und den Assistenten beenden.

Hinweis Konfigurieren Sie die Uhr (UTC) der Unified Access Gateway-Appliance, damit diese über diekorrekte Uhrzeit verfügt. Öffnen Sie z. B. ein Konsolenfenster auf der virtuellen Unified Access Gateway-Maschine, und wählen Sie mit den Pfeilschaltflächen die erforderliche Zeitzone aus. Stellen Sie zudemsicher, dass die Uhrzeit des ESXi-Hosts mit dem NTP-Server synchronisiert ist und dass die VMwareTools, die auf der virtuellen Appliance-Maschine ausgeführt werden, die Uhrzeit auf der virtuellenMaschine mit der Uhrzeit auf dem ESXi-Host synchronisieren.

Anforderungen für die virtuelle ApplianceDas OVF-Paket für die Unified Access Gateway-Appliance wählt automatisch die für Unified AccessGateway erforderliche Konfiguration der virtuellen Maschine aus. Auch wenn Sie diese Einstellungenändern können, empfiehlt VMware, den CPU-Arbeitsspeicher oder den Festplattenspeicherplatz nicht aufniedrigere Werte als die OVF-Standardeinstellungen einzustellen.

n CPU-Mindestanforderung: 2000 MHz

n Arbeitsspeicher: mindestens 4 GB


VMware, Inc. 9

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

Stellen Sie sicher, dass der Datenspeicher, der für die Appliance verwendet werden soll, überausreichend freien Festplattenspeicherplatz verfügt und die anderen Systemanforderungen erfüllt.

n Downloadgröße der virtuellen Appliance: 2,6 GB

n Minimal erforderlicher Festplattenspeicher bei schlanker Speicherzuweisung: 3,5 GB

n Minimal erforderlicher Festplattenspeicher bei starker Speicherzuweisung: 20 GB

Für die Bereitstellung der virtuellen Appliance sind folgende Informationen erforderlich:

n Statische IP-Adresse (empfohlen)

n IP-Adresse des DNS-Servers

n Kennwort für den Root-Benutzer

n Kennwort für den Administratorbenutzer

n URL der Serverinstanz des Lastausgleichsdiensts, auf die die Unified Access Gateway-Applianceverweist

Unified Access Gateway-Größenoptionenn Standard: Diese Konfiguration wird für eine Horizon-Bereitstellung für bis zu 2000 Horizon-

Verbindungen entsprechend der Verbindungsserver-Kapazität empfohlen. Sie wird auch fürWorkspace ONE UEM-Bereitstellungen (mobile Anwendungsfälle) für bis zu 10.000 gleichzeitigeVerbindungen empfohlen.

n Groß: Diese Konfiguration wird für Workspace ONE UEM-Bereitstellungen empfohlen, bei denenUnified Access Gateway über 50.000 gleichzeitige Verbindungen unterstützen muss. Bei dieserGröße können Content Gateway, app-spezifischer Tunnel und Proxy und Reverse-Proxy dieselbeUnified Access Gateway-Appliance verwenden.

n Extragroß: Diese Konfiguration wird für Workspace ONE UEM-Bereitstellungen empfohlen. Beidieser Größe können Content Gateway, app-spezifischer Tunnel und Proxy und Reverse-Proxydieselbe Unified Access Gateway-Appliance verwenden.

n Hinweis VM-Optionen für die Bereitstellungen Standard, Groß und Extragroß:

n Standard – 2-Kern und 4 GB RAM

n Groß – 4-Kern und 16 GB RAM

n Extragroß – 8-Kern und 32 GB RAM

Unterstützte BrowserversionenUnterstützte Browser für das Starten der Administratorbenutzeroberfläche sind Chrome, Firefox undInternet Explorer. Verwenden Sie die aktuelle Browserversion.


VMware, Inc. 10

Hardwareanforderungen bei Verwendung von Windows Hyper-VServerBei Verwendung von Unified Access Gateway in einer Workspace ONE UEM-Bereitstellung für App-spezifische Tunnel können Sie die Unified Access Gateway-Appliance auf einem Microsoft Hyper-V-Server installieren.

Die Microsoft-Server Windows Server 2012 R2 und Windows Server 2016 werden unterstützt.

Anforderungen an die NetzwerkkonfigurationSie haben die Möglichkeit, eine, zwei oder drei Netzwerkschnittstellen zu verwenden. Unified AccessGateway verlangt dabei für jede eine eigene statische IP-Adresse. Viele DMZ-Implementierungenverwenden getrennte Netzwerke zur Sicherung der verschiedenen Datenverkehrstypen. KonfigurierenSie Unified Access Gateway entsprechend dem Netzwerkdesign der DMZ, in der die Bereitstellungerfolgt.

n Eine Netzwerkschnittstelle ist für POCs (Proof of Concept, Machbarkeitsstudie) oder für Testvorgängeausreichend. Bei einer NIC findet der gesamte externe, interne und Verwaltungsverkehr aufdemselben Subnetz statt.

n Bei zwei Netzwerkschnittstellen befindet sich der externe Verkehr auf einem Subnetz und der internebzw. der Verwaltungsverkehr auf einem anderen.

n Die Verwendung von drei Netzwerkschnittstellen ist die sicherste Variante. Bei einem dritten NICverfügen der externe, der interne und der Verwaltungsverkehr über jeweils ein eigenes Subnetz.

Anforderungen für die ProtokollspeicherungFür die Protokolldateien ist standardmäßig ein bestimmter Teil des Speicherplatzes im Aggregatvorgesehen. Die Protokolle für Unified Access Gateway werden standardmäßig archiviert. Um dieseProtokolleinträge beizubehalten, speichern Sie diese mit Syslog. Siehe Erfassen von Protokollen auf derUnified Access Gateway-Appliance.

Firewall-Regeln für Umkreisnetzwerk-basierte UnifiedAccess Gateway-AppliancesFür Umkreisnetzwerk-basierte Unified Access Gateway-Appliances müssen für die Front-End- und Back-End-Firewall bestimmte Firewall-Regeln aktiviert sein. Während der Installation werden Unified AccessGateway-Dienste standardmäßig für die Überwachung an bestimmten Netzwerkports eingerichtet.

Die Bereitstellung einer Umkreisnetzwerk-basierten Unified Access Gateway-Appliance beinhaltet in derRegel zwei Firewalls:

n Eine externe, dem Netzwerk vorgelagerte Front-End-Firewall ist erforderlich, um sowohl dasUmkreisnetzwerk als auch das interne Netzwerk zu schützen. Diese Firewall wird so konfiguriert,dass externer Netzwerkdatenverkehr das Umkreisnetzwerk erreichen kann.


VMware, Inc. 11

n Eine Back-End-Firewall zwischen dem Umkreisnetzwerk und dem internen Netzwerk dient zumBereitstellen einer zweiten Sicherheitsebene. Diese Firewall wird so konfiguriert, dass nurDatenverkehr zugelassen wird, der von Diensten innerhalb des Umkreisnetzwerks stammt.

Mithilfe von Firewall-Richtlinien wird die von Diensten im Umkreisnetzwerk (in der demilitarisiertenNetzwerkzone/DMZ) eingehende Kommunikation streng kontrolliert, wodurch das Risiko einerGefährdung des internen Netzwerks stark vermindert wird.

Die folgenden Tabellen enthält die Portanforderungen für die verschiedenen Dienste innerhalb vonUnified Access Gateway.

Hinweis Für alle UDP-Ports müssen Weiterleitungs- und Antwort-Datagramme erlaubt sein.

Tabelle 1-1. Portanforderungen für Horizon-Verbindungsserver

PortProtokoll Quelle Ziel Beschreibung

443 TCP Internet Unified Access Gateway Datenverkehr aus dem Internet, HorizonClient XML-API, Horizon Tunnel und BlastExtreme

443 UDP Internet Unified Access Gateway UDP 443 wird intern an UDP 9443 aufUDP-Tunnelserver-Dienst auf UnifiedAccess Gatewayweitergeleitet.

8443 UDP Internet Unified Access Gateway Blast Extreme (optional)

8443 TCP Internet Unified Access Gateway Blast Extreme (optional)

4172 TCP undUDP

Internet Unified Access Gateway PCoIP (optional)

443 TCP Unified Access Gateway Horizon-Verbindungsserver Horizon Client XML-API, Blast ExtremeHTML Access, Horizon Air-Konsolenzugriff(HACA)

22443 TCP undUDP

Unified Access Gateway Desktops und RDS-Hosts Blast Extreme

4172 TCP undUDP

Unified Access Gateway Desktops und RDS-Hosts PCoIP (optional)

32111 TCP Unified Access Gateway Desktops und RDS-Hosts Framework-Kanal für USB-Umleitung

9427 TCP Unified Access Gateway Desktops und RDS-Hosts MMR und CDR

Hinweis Damit sich externe Client-Geräte in der DMZ mit einer Unified Access Gateway-Applianceverbinden können, muss die Front-End-Firewall Datenverkehr an bestimmten Ports zulassen.Standardmäßig werden die externen Clientgeräte und externen Webclients (HTML Access) mit einerUnified Access Gateway-Appliance in der DMZ an TCP-Port 443 verbunden. Wenn Sie das Blast-Protokoll verwenden, muss Port 8443 in der Firewall geöffnet sein, Sie können Blast jedoch auch fürPort 443 konfigurieren.


VMware, Inc. 12

Tabelle 1-2. Portanforderungen für Web-Reverse-Proxy


443 TCP Internet Unified Access Gateway Für Web-Datenverkehr

Beliebig TCP Unified Access Gateway Intranet-Site Alle konfigurierten benutzerdefiniertenPorts, auf denen das Intranet überwachtwird. Beispiel: 80, 443, 8080 usw.

88 TCP Unified Access Gateway KDC-Server/AD-Server Erforderlich für Identity Bridging zum Zugriffauf AD, wenn SAML-to-Kerberos/Certificate-to-Kerberos konfiguriert ist.

88 UDP Unified Access Gateway KDC-Server/AD-Server Erforderlich für Identity Bridging zum Zugriffauf AD, wenn SAML-to-Kerberos/Certificate-to-Kerberos konfiguriert ist.

Tabelle 1-3. Portanforderungen für Admin-Benutzeroberfläche


9443 TCP Admin-Benutzeroberfläche Unified Access Gateway Schnittstelle zur Verwaltung

Tabelle 1-4. Portanforderungen für einfache Content Gateway-Endpoint-Konfiguration


443*oderjederbeliebigePort >1024

HTTPS Geräte (aus Internet undWLAN-Verbindung)

Unified Access GatewayContent Gateway-Endpoint

Wenn 443 verwendet wird, wird Port 10443von Content Gateway überwacht.


HTTPS Workspace ONE UEM-Gerätedienste



HTTPS Workspace ONE UEMConsole




VMware, Inc. 13

Tabelle 1-4. Portanforderungen für einfache Content Gateway-Endpoint-Konfiguration(Fortsetzung)


JederPort, dervomRepositoryüberwacht wird.

HTTPoderHTTPS


Webbasierte Inhalts-Repositorys wie z. B.SharePoint/WebDAV/CMISusw.

Alle konfigurierten benutzerdefiniertenPorts, auf denen die Intranet-Siteüberwacht wird.

137–139und 445

CIFSoderSMB


Netzwerkfreigabe-basierteRepositorys (Windows-Dateifreigaben)

Intranet-Freigaben

Tabelle 1-5. Portanforderungen für Content Gateway-Relay-Endpoint-Konfiguration



HTTP/HTTPS

Unified Access Gateway-Relay-Server (ContentGateway-Relay)




HTTPS Geräte (aus Internet undWLAN-Verbindung)




TCP Workspace ONE UEM-Gerätedienste




HTTPS Workspace ONE UEMConsole

JederPort, dervomRepositoryüberwacht wird.

HTTPoderHTTPS


Webbasierte Inhalts-Repositorys wie z. B.SharePoint/WebDAV/CMISusw.

Alle konfigurierten benutzerdefiniertenPorts, auf denen die Intranet-Siteüberwacht wird.


VMware, Inc. 14

Tabelle 1-5. Portanforderungen für Content Gateway-Relay-Endpoint-Konfiguration(Fortsetzung)



HTTPS Unified Access Gateway(Content Gateway-Relay)



137–139und 445

CIFSoderSMB


Netzwerkfreigabe-basierteRepositorys (Windows-Dateifreigaben)

Intranet-Freigaben

Hinweis Da der Content Gateway-Dienst als Nicht-Root-Benutzer in Unified Access Gatewayausgeführt wird, kann Content Gateway nicht auf Systemports ausgeführt werden. Daher solltenbenutzerdefinierte Ports > 1024 sein.

Tabelle 1-6. Portanforderungen für VMware Tunnel

PortProtokoll Quelle Ziel Verifizierung

Hinweis (sieheAbschnitt „Hinweis“am Ende der Seite)

2020* HTTPS

Geräte (aus Internetund WLAN-Verbindung)

VMware Tunnel-Proxy Führen Sie den folgenden Befehlnach der Installation aus: netstat-tlpn | grep [Port]

8443 * TCP,UDP


App-spezifischerVMware Tunnel-Tunnel

Führen Sie den folgenden Befehlnach der Installation aus: netstat-tlpn | grep [Port]

1


VMware, Inc. 15

Tabelle 1-7. Einfache VMware Tunnel-Endpoint-Konfiguration



SaaS:443

: 2001*

HTTPS

VMware Tunnel Workspace ONE UEMCloud MessagingServer

curl -Ivv https://<AWCM

URL>:<port>/awcm/status/

ping

Als Antwort wird HTTP 200 OKerwartet.

2

SaaS:443

Lokal:80 oder443

HTTPoderHTTPS

VMware Tunnel Workspace ONE UEM-REST-API-Endpoint

n SaaS: https://asXXX.awmdm.

com oder https://asXXX.

airwatchportals

.com

n Lokal: In der RegelIhr DS- oderKonsolenserver

curl -Ivv https://<API

URL>/api/mdm/ping

Als Antwort wird HTTP 401unauthorized erwartet.

5

80,443,alleTCP-Ports

HTTP,HTTPS oderTCP

VMware Tunnel Interne Ressourcen Stellen Sie sicher, dass derVMware Tunnel auf interneRessourcen über denerforderlichen Port zugreifenkann.

4

514* UDP VMware Tunnel Syslog-Server

Lokal:2020

HTTPS

Workspace ONE UEMConsole

VMware Tunnel-Proxy Lokale Benutzer können dieVerbindung mit dem telnet-Befehl testen: telnet <TunnelProxy URL> <port>

6

Tabelle 1-8. VMware Tunnel-Konfiguration für mehrstufigen Modus



SaaS:443

Lokal:2001*

TLSv1.2

VMware Tunnel-Front-End

Workspace ONE UEMCloud MessagingServer

Senden Sie wget an https://<AWCM URL>:<port>/awcm/

status und stellen Sie sicher,dass Sie eine HTTP 200-Antworterhalten.

2

8443 TLSv1.2


VMware Tunnel-Back-End

Telnet vom VMware Tunnel-Front-End zum VMware Tunnel-Back-End-Server auf Port

3

SaaS:443

Lokal:2001

TLSv1.2



Senden Sie wget an https://<AWCM URL>:<port>/awcm/

status und stellen Sie sicher,dass Sie eine HTTP 200-Antworterhalten.

2


VMware, Inc. 16

Tabelle 1-8. VMware Tunnel-Konfiguration für mehrstufigen Modus (Fortsetzung)



80 oder443

TCP VMware Tunnel-Back-End

Interne Websites/Webanwendungen

4


TCP VMware Tunnel-Back-End

Interne Ressourcen 4

80 oder443

HTTPS

VMware Tunnel-Front-End und -Back-End

Workspace ONE UEM-REST-API-Endpoint



airwatchportals

.com



URL>/api/mdm/ping


5

Tabelle 1-9. VMware Tunnel-Front-End- und -Back-End-Konfiguration



SaaS:443

Lokal:2001

HTTPoderHTTPS



curl -Ivv https://<AWCM

URL>:<port>/awcm/status/

ping

Als Antwort wird HTTP 200 OKerwartet.

2

80 oder443

HTTPS oderHTTPS

VMware Tunnel-Back-End und -Front-End

Workspace ONE UEM-REST-API-Endpoint



airwatchportals

.com



URL>/api/mdm/ping


Der VMware Tunnel-Endpointerfordert den Zugriff auf denREST-API-Endpoint nur bei derersten Bereitstellung.

5

2010* HTTPS



Telnet vom VMware Tunnel-Front-End zum VMware Tunnel-Back-End-Server auf Port

3


VMware, Inc. 17

Tabelle 1-9. VMware Tunnel-Front-End- und -Back-End-Konfiguration (Fortsetzung)




HTTP,HTTPS oderTCP


Interne Ressourcen Stellen Sie sicher, dass derVMware Tunnel auf interneRessourcen über denerforderlichen Port zugreifenkann.

4

514* UDP VMware Tunnel Syslog-Server

Lokal:2020

HTTPS

Workspace ONE UEM VMware Tunnel-Proxy Lokale Benutzer können dieVerbindung mit dem telnet-Befehl testen: telnet <TunnelProxy URL> <port>

6

Hinweis Die folgenden Punkte gelten für die VMware Tunnel-Anforderungen.

* – Dieser Port kann je nach den Einschränkungen Ihrer Umgebung bei Bedarf geändert werden.

1 Wenn Port 443 verwendet wird, überwacht der App-spezifische Tunnel Port 8443.

Hinweis Wenn VMware Tunnel- und Content Gateway-Dienste auf derselben Appliance aktiviertsind und die TLS-Portfreigabe aktiviert ist, müssen die DNS-Namen für jeden Dienst eindeutig sein.Wenn TLS nicht aktiviert ist, kann nur ein DNS-Name für beide Dienste verwendet werden, da derPort den eingehenden Datenverkehr einteilt. (Bei Content Gateway gilt: Wenn Port 443 verwendetwird, überwacht Content Gateway den Port 10443.)

2 Damit der VMware Tunnel die Workspace ONE UEM Console zu Konformitäts- undNachverfolgungszwecken abfragen kann.

3 Damit VMware Tunnel-Front-End-Topologien Geräteanforderungen nur an den internen VMwareTunnel-Back-End weiterleiten.

4 Damit Anwendungen, die VMware Tunnel verwenden, auf interne Ressourcen zugreifen können.

5 Der VMware Tunnel muss mit der API zur Initialisierung kommunizieren. Stellen Sie sicher, dassKonnektivität zwischen der REST-API und dem VMware Tunnel-Server vorhanden ist. Navigieren Siezu Gruppen und Einstellungen > Alle Einstellungen > System > Erweitert > Website-URLs, umdie REST-API-Server-URL festzulegen. Diese Seite ist für SaaS-Kunden nicht verfügbar. Die REST-API-URL für SaaS-Kunden ist in der Regel Ihre Konsolen- oder Gerätedienst-Server-URL.

6 Dies ist erforderlich für eine erfolgreiche Testverbindung zum VMware Tunnel-Proxy von derWorkspace ONE UEM Console. Die Anforderung ist optional und kann ohne Verlust vonGerätefunktionalität ausgelassen werden. Bei SaaS-Kunden hat die Workspace ONE UEM Consolemöglicherweise bereits eine eingehende Verbindung zum VMware Tunnel-Proxy auf Port 2020aufgrund der Anforderung zum eingehenden Internet an Port 2020.


VMware, Inc. 18

Systemanforderungen für die Bereitstellung von VMwareTunnel mit Unified Access GatewayFür die Bereitstellung von VMware Tunnel mit Unified Access Gateway müssen Sie sicherstellen, dass IhrSystem die folgenden Anforderungen erfüllt:

Hypervisor-AnforderungenUnified Access Gateway, das den VMware Tunnel bereitstellt, benötigt einen Hypervisor, auf dem dievirtuelle Appliance ausgeführt wird. Sie müssen über ein dediziertes Administratorkonto mit vollständigenBerechtigungen zum Bereitstellen des OVF verfügen.

Unterstützte Hypervisoren

n VMware vSphere Web Client

Hinweis Sie müssen bestimmte Versionen von VMware-Produkten für bestimmte Versionen vonUnified Access Gateway verwenden. Die Unified Access Gateway-Appliance muss unter einerVMware vSphere-Version bereitgestellt werden, die mit der Version identisch ist, die für die VMware-Produkte bzw. -Versionen unterstützt wird.

n Microsoft Hyper-V unter Windows Server 2012 R2 oder Windows Server 2016

SoftwareanforderungenStellen Sie sicher, dass Sie über die neueste Version von Unified Access Gateway verfügen. VMwareTunnel unterstützt Abwärtskompatibilität zwischen Unified Access Gateway und der Workspace ONEUEM Console. Die Abwärtskompatibilität ermöglicht Ihnen, Ihren VMware Tunnel-Server kurz nach demUpgrade Ihrer Workspace ONE UEM Console zu aktualisieren. Um Parität zwischen Workspace ONEUEM Console und VMware Tunnel zu gewährleisten, sollten Sie frühzeitig ein Upgrade planen.

HardwareanforderungenDas OVF-Paket für Unified Access Gateway wählt automatisch die für VMware Tunnel erforderlicheKonfiguration der virtuellen Maschine aus. Auch wenn Sie diese Einstellungen ändern können, stellen SieCPU, Arbeitsspeicher oder Festplattenspeicherplatz nicht auf niedrigere Werte als die OVF-Standardeinstellungen ein.

Um die Standardeinstellungen zu ändern, schalten Sie die VM in vCenter aus. Klicken Sie mit der rechtenMaustaste auf die VM und wählen Sie Einstellungen bearbeiten aus.

Die Standardkonfiguration verwendet 4 GB RAM und 2 CPUs. Sie müssen die Standardkonfigurationändern, sodass sie Ihren Hardwareanforderungen entspricht. Um alle Gerätelasten undWartungsanforderungen zu bewältigen, sollten Sie den Betrieb von mindestens zwei VMware Tunnel-Servern in Betracht ziehen.


VMware, Inc. 19

Tabelle 1-10. Hardwareanforderungen

Anzahl der Geräte Bis zu 40000 40000–80000 80000-120000 120000-160000

Anzahl der Server 2 3 4 5

CPU-Kerne 4 CPU-Kerne* Jeweils 4 CPU-Kerne Jeweils 4 CPU-Kerne Jeweils 4 CPU-Kerne

RAM (GB) 8 8 8 8

Festplattenspeicher(GB)

10 GB für die Distribution (nur Linux)

400 MB für das Installationsprogramm

~ 10 GB Speicherplatz für die Protokolldatei**

* Im Rahmen einer kleineren Bereitstellung ist auch eine einzige VMware Tunnel-Appliance möglich. Erwägen Sie jedoch,mindestens zwei Server mit Lastausgleich und jeweils vier CPU-Kerne unabhängig von der Anzahl der Geräte für Betriebszeit undLeistungszwecke bereitzustellen.

** 10 GB für eine typische Bereitstellung. Passen Sie die Größe der Protokolldatei entsprechend Ihrer Protokollnutzung und denAnforderungen in Bezug auf die Speicherung der Protokolle an.

Portanforderungen für VMware Tunnel-ProxyVMware Tunnel-Proxy kann anhand eines der beiden folgenden Konfigurationsmodelle konfiguriertwerden:

n Einfach (eine Ebene) mit einem VMware Tunnel-Proxy-Endpoint

n Relay-Endpoint (mehrere Ebenen) mit einem VMware Tunnel-Proxy-Relay und einem VMwareTunnel-Proxy-Endpoint

Tabelle 1-11. Portanforderungen für eine Konfiguration mit einem einfachen VMware TunnelProxy-Endpoint

Quelle Ziel Protokoll Port Verifizierung Hinweise


VMware Tunnel-Proxy-Endpoint

HTTPS 2020* Führen Sie denfolgenden Befehlnach derInstallation aus:netstat -tlpn |

grep [Port]

Geräte stellen überden angegebenenPort eineVerbindung mit demfür VMware Tunnelkonfiguriertenöffentlichen DNSher.


Workspace ONEUEM CloudMessaging Server

HTTPS SaaS: 443

Lokal: 2001*

curl -Ivv

https://<AWCM

URL>:<port>/

awcm/status/

ping

Die erwarteteAntwort lautetHTTP 200 OK.

Damit der VMwareTunnel-Proxy dieWorkspace ONEUEM Console zuKonformitäts- undNachverfolgungszwecken abfragenkann. MindestensTLS 1.2 mussunterstützt werden.


VMware, Inc. 20

Tabelle 1-11. Portanforderungen für eine Konfiguration mit einem einfachen VMware TunnelProxy-Endpoint (Fortsetzung)



UEM-REST-API

n SaaS‡: https://asXXX.awmdm.com oderhttps://asXXX.airwatchportals.com

n Lokal†:MeistensGerätediensteoderKonsolenserver

HTTP oder HTTPS SaaS: 443

Lokal: 2001*

curl -Ivv

https://<API

URL>/api/mdm/

ping Die erwarteteAntwort ist HTTP401

unauthorized

Der VMwareTunnel-Proxy mussmit der UEM-REST-API zurInitialisierungkommunizieren.Wechseln Sie in derWorkspace ONEUEM Console zuGruppen undEinstellungen >Alle Einstellungen> System >Erweitert >Website-URLs, umdie REST-API-URLfestzulegen. DieseSeite ist fürWorkspace ONEUEM-SaaS-Kundennicht verfügbar. FürWorkspace ONEUEM-SaaS-Kundenentspricht dieREST-API-URL amhäufigsten derConsole-URL oderder Gerätedienst-URL.


InterneRessourcen

HTTP, HTTPSoder TCP

80, 443, alle TCP-Ports

Stellen Sie sicher,dass der VMwareTunnel-Proxy-Endpoint aufinterneRessourcen überden erforderlichenPort zugreifenkann.

DamitAnwendungen, dieVMware Tunnel-Proxy verwenden,auf interneRessourcenzugreifen können.Die genauenEndpoints oderPorts werden durchden Standort dieserRessourcenbestimmt.


VMware, Inc. 21

Tabelle 1-11. Portanforderungen für eine Konfiguration mit einem einfachen VMware TunnelProxy-Endpoint (Fortsetzung)



Syslog-Server UDP 514*

Workspace ONEUEM Console


HTTPS 2020* Lokale† Kundenkönnen dieVerbindung mitdem Telnet-Befehltesten: telnet<Tunnel

ProxyURL><port>

Dies ist für eineerfolgreiche„Testverbindung“zum VMwareTunnel-Proxy-Endpoint von derWorkspace ONEUEM Console auserforderlich.

Tabelle 1-12. Portanforderungen für eine Konfiguration mit einem VMware Tunnel-Proxy-Relay-Endpoint



VMware Tunnel-Proxy-Relay

HTTPS 2020* Führen Sie denfolgenden Befehlnach derInstallation aus:netstat -tlpn |

grep [Port]

Geräte stellen überden angegebenenPort eineVerbindung mit demfür VMware Tunnelkonfiguriertenöffentlichen DNSher.


Workspace ONEUEM CloudMessaging Server


Lokal: 2001*

curl -Ivv

https://<AWCM

URL>:<port>/

awcm/status/

ping

Die erwarteteAntwort lautetHTTP 200 OK.

Damit der VMwareTunnel-Proxy dieWorkspace ONEUEM Console zuKonformitäts- undNachverfolgungszwecken abfragenkann. MindestensTLS 1.2 mussunterstützt werden.


VMware, Inc. 22

Tabelle 1-12. Portanforderungen für eine Konfiguration mit einem VMware Tunnel-Proxy-Relay-Endpoint (Fortsetzung)



UEM-REST-API




Lokal: 2001*

curl -Ivv

https://<API

URL>/api/mdm/


unauthorized

Der VMwareTunnel-Proxy-Relay erfordert nurbei der erstenBereitstellungZugriff auf dieUEM-REST-API.



VMware, Inc. 23




UEM-REST-API




Lokal: 2001*

curl -Ivv

https://<API

URL>/api/mdm/


unauthorized

Der VMwareTunnel-Proxy-Relay erfordert nurbei der erstenBereitstellungZugriff auf dieUEM-REST-API.




HTTPS 2010* Telnet vomVMware Tunnel-Proxy-Relay zumVMware Tunnel-Proxy-Endpointauf Port 2010.

Zum WeiterleitenvonGeräteanforderungen vom Relay an denEndpoint-Server.Mindestens TLS 1.2muss unterstütztwerden.


InterneRessourcen

HTTP, HTTPSoder TCP

80, 443, alle TCP-Ports

Stellen Sie sicher,dass der VMwareTunnel-Proxy-Endpoint aufinterneRessourcen überden erforderlichenPort zugreifenkann.

DamitAnwendungen, dieVMware Tunnel-Proxy verwenden,auf interneRessourcenzugreifen können.Die genauenEndpoints oderPorts werden durchden Standort dieserRessourcenbestimmt.


VMware, Inc. 24




Syslog-Server UDP 514*

Workspace ONEUEM Console


HTTPS 2020* Lokale† Kundenkönnen dieVerbindung mitdem Telnet-Befehltesten: telnet<Tunnel

ProxyURL><port>

Dies ist für eineerfolgreiche„Testverbindung“zum VMwareTunnel-Proxy-Relayvon der WorkspaceONE UEM Consoleaus erforderlich.

HINWEISE

n * Dieser Port kann je nach den Einschränkungen Ihrer Umgebung geändert werden.

n † Lokal entspricht dem Standort der Workspace ONE UEM Console.

n ‡ Für SaaS-Kunden, die die ausgehende Kommunikation auf die Whitelist setzen müssen, werdendie aktuellen IP-Bereiche im folgenden Artikel der VMware Knowledge Base aufgeführt: https://support.workspaceone.com/articles/115001662168-.

Portanforderungen für VMware per-App-TunnelVMware per-App-Tunnel kann anhand eines der beiden folgenden Konfigurationsmodelle konfiguriertwerden:

n Einfach (eine Ebene) mit einem VMware per-App-Tunnel-Endpoint

n Mehrstufig (mehrere Ebenen) mit einem VMware per-App-Tunnel-Front-End und einem VMware per-App-Tunnel-Back-End


VMware, Inc. 25

https://support.workspaceone.com/articles/115001662168-


Tabelle 1-13. Portanforderungen für eine Konfiguration mit einem einfachen VMware per-App-Tunnel-Endpoint


Geräte (aus Internet undWLAN-Verbindung)

EinfacherVMware per-App-Tunnel-Endpoint

TCP, UDP 8443* Führen Sie denfolgenden Befehlnach derInstallation aus:netstat -tlpn |

grep [Port]

Geräte stellen überden angegebenenPort eineVerbindung mit demfür VMware Tunnelkonfiguriertenöffentlichen DNSher. Wenn 443verwendet wird,überwacht die Per-App-Tunnel-KomponentePort 8443.

Einfacher VMware per-App-Tunnel-Endpoint

WorkspaceONE UEMCloudMessagingServer

HTTPS SaaS: 443

Lokal: 2001*

Zum Verifizierensenden Sie wgetan https://<AWCMURL>:<port>/

awcm/status undstellen Sie sicher,dass Sie dieAntwort HTTP 200erhalten.

Damit der VMwareper-App-Tunnel dieWorkspace ONEUEM Console zuKonformitäts- undNachverfolgungszwecken abfragenkann. MindestensTLS 1.2 mussunterstützt werden.


VMware, Inc. 26

Tabelle 1-13. Portanforderungen für eine Konfiguration mit einem einfachen VMware per-App-Tunnel-Endpoint (Fortsetzung)



InterneWebsites/Webanwendungen/Ressourcen

HTTP, HTTPSoder TCP

80, 443, alleerforderlichenTCP-Ports

Für Anwendungen,die mithilfe vonVMware per-App-Tunnel auf interneRessourcenzugreifen. Diegenauen Endpointsoder Ports werdendurch den Standortdieser Ressourcenbestimmt.


UEM-REST-API

n SaaS‡:https://asXXX.awmdm.com oderhttps://asXXX.airwatchportals.com

n Lokal†:MeistensGerätedienste oderKonsolenserver

HTTP oder HTTPS 80 oder 443 curl -Ivv

https://<API

URL>/api/mdm/


unauthorized

Der VMware per-App-Tunnel mussmit der UEM-REST-API zurInitialisierungkommunizieren.Wechseln Sie in derWorkspace ONEUEM Console zuGruppen undEinstellungen >Alle Einstellungen> System >Erweitert >Website-URLs, umdie REST-API-URLfestzulegen. DieseSeite ist fürWorkspace ONEUEM-SaaS-Kundennicht verfügbar. FürWorkspace ONEUEM-SaaS-Kundenentspricht dieREST-API-URL amhäufigsten derConsole-URL oderder Gerätedienst-URL.


VMware, Inc. 27

Tabelle 1-14. Portanforderungen für eine mehrstufige VMware per-App-Tunnel-Konfiguration


Geräte (aus Internet undWLAN-Verbindung)

VMware per-App-Tunnel-Front-End

TCP, UDP 8443* Führen Sie denfolgenden Befehlnach derInstallation aus:netstat -tlpn |

grep [Port]

Geräte stellen überden angegebenenPort eineVerbindung mit demfür VMware Tunnelkonfiguriertenöffentlichen DNSher. Wenn 443verwendet wird,überwacht die Per-App-Tunnel-KomponentePort 8443.



HTTPS SaaS: 443

Lokal: 2001*

Zum Verifizierensenden Sie wgetan https://<AWCM

URL>:<port>/


Damit der VMwareper-App-Tunnel dieWorkspace ONEUEM Console zuKonformitäts- undNachverfolgungszwecken abfragenkann. MindestensTLS 1.2 mussunterstützt werden.


VMware per-App-Tunnel-Back-End

TCP 8443 Telnet vomVMware per-App-Tunnel-Front-Endzum VMware per-App-Tunnel-Back-End auf Port 8443.

Zum WeiterleitenvonGeräteanforderungen vom Front-End- anden Back-End-Server. MindestensTLS 1.2 mussunterstützt werden.



HTTPS SaaS: 443

Lokal: 2001*

Zum Verifizierensenden Sie wgetan https://<AWCM

URL>:<port>/


Damit VMware per-App-Tunnel dieWorkspace ONEUEM Console zuKonformitäts- undNachverfolgungszwecken abfragenkann. MindestensTLS 1.2 mussunterstützt werden.


VMware, Inc. 28

Tabelle 1-14. Portanforderungen für eine mehrstufige VMware per-App-Tunnel-Konfiguration(Fortsetzung)



InterneWebsites/Webanwendungen/Ressourcen

HTTP, HTTPSoder TCP

80, 443, alleerforderlichenTCP-Ports

Für Anwendungen,die mithilfe vonVMware per-App-Tunnel auf interneRessourcenzugreifen. Diegenauen Endpointsoder Ports werdendurch den Standortdieser Ressourcenbestimmt.


VMware, Inc. 29




UEM-REST-API



HTTP oderHTTPS

80 oder 443 curl -Ivv

https://<API

URL>/api/mdm/

ping Dieerwartete Antwortist HTTP 401unauthorized

Der VMware per-App-Tunnel mussmit der UEM-REST-API zurInitialisierungkommunizieren.Wechseln Sie in derWorkspace ONEUEM Console zuGruppen undEinstellungen >Alle Einstellungen> System >Erweitert >Website-URLs, umdie REST-API-URLfestzulegen. DieseSeite ist fürWorkspace ONEUEM-SaaS-Kundennicht verfügbar. FürWorkspace ONEUEM-SaaS-Kundenentspricht die REST-API-URL amhäufigsten derConsole-URL oderder Gerätedienst-URL.


UEM-REST-API



HTTP oderHTTPS

80 oder 443 curl -Ivv

https://<API

URL>/api/mdm/

ping Dieerwartete Antwortist HTTP 401unauthorized

Der VMware per-App-Tunnel mussmit der UEM-REST-API zurInitialisierungkommunizieren.Wechseln Sie in derWorkspace ONEUEM Console zuGruppen undEinstellungen >Alle Einstellungen> System >Erweitert >Website-URLs, umdie REST-API-URLfestzulegen. DieseSeite ist fürWorkspace ONEUEM-SaaS-Kundennicht verfügbar. Für


VMware, Inc. 30



Workspace ONEUEM-SaaS-Kundenentspricht die REST-API-URL amhäufigsten derConsole-URL oderder Gerätedienst-URL.

HINWEISE

n * Dieser Port kann je nach den Einschränkungen Ihrer Umgebung geändert werden.

n † Lokal entspricht dem Standort der Workspace ONE UEM Console.

n ‡ Für SaaS-Kunden, die die ausgehende Kommunikation auf die Whitelist setzen müssen, werdendie aktuellen IP-Bereiche im folgenden Artikel der VMware Knowledge Base aufgeführt: https://support.workspaceone.com/articles/115001662168-.

Für SaaS-Kunden, die die ausgehende Kommunikation auf die Whitelist setzen müssen, werden dieaktuellen IP-Bereiche von VMware im Artikel VMware Workspace ONE IP ranges for SaaS data centersder Knowledge Base aufgeführt.

Anforderungen für NetzwerkschnittstellenverbindungenSie können eine, zwei oder drei Netzwerkschnittstellen verwenden. Jede muss eine separate IP-Adressebesitzen. Viele sichere DMZ-Implementierungen verwenden getrennte Netzwerke, um die verschiedenenDatenverkehrstypen zu isolieren.

Konfigurieren Sie die virtuelle Appliance entsprechend dem Netzwerkdesign der DMZ, in der dieBereitstellung erfolgt. Wenden Sie sich an Ihren Netzwerkadministrator, um Informationen in Bezug aufIhre Netzwerk-DMZ zu erhalten.

n Bei einer Netzwerkschnittstelle findet der gesamte externe, interne und Verwaltungsverkehr aufdemselben Subnetz statt.

n Bei zwei Netzwerkschnittstellen befindet sich der externe Verkehr auf einem Subnetz und der internebzw. der Verwaltungsverkehr auf einem anderen.

n Bei drei Netzwerkschnittstellen verfügen der externe, der interne und der Managementdatenverkehrjeweils über ein eigenes Subnetz.

Hinweis Bei mehreren Bereitstellungen mit mehreren Netzwerkschnittstellen muss sich jedeNetzwerkschnittstelle in einem separaten Subnetz befinden.


VMware, Inc. 31




Unified Access Gateway-Topologien für den LastausgleichEine Unified Access Gateway-Appliance in der DMZ kann so konfiguriert werden, dass sie entweder aufeinen Server oder auf einen Lastausgleichsdienst verweist, der einer Gruppe von Servern vorgelagert ist.Unified Access Gateway-Appliances können mit Standardlösungen von Drittanbietern für denLastausgleichsdienst verwendet werden, die für HTTPS konfiguriert sind.

Wenn die Unified Access Gateway-Appliance auf einen Lastausgleichsdienst verweist, der Servernvorgelagert ist, erfolgt die Auswahl der Serverinstanz dynamisch. So kann beispielsweise derLastausgleichsdienst auf Basis der Verfügbarkeit und der Anzahl der ihm bekannten aktuellen Sitzungenauf jeder Serverinstanz eine Auswahl treffen. In der Regel verfügen die Serverinstanzen innerhalb derUnternehmens-Firewall über einen Lastausgleichsdienst zur Unterstützung des internen Zugriffs. MitUnified Access Gateway haben Sie die Möglichkeit, mit der Unified Access Gateway-Appliance aufdenselben Lastausgleichsdienst zu verweisen, der des öfteren bereits verwendet wird.

Stattdessen können auch eine oder mehrere Unified Access Gateway-Appliances auf eine einzelneServerinstanz verweisen. Bei beiden Vorgehensweisen verwenden Sie einen den zwei oder mehr UnifiedAccess Gateway-Appliances in der DMZ vorgelagerten Lastausgleichsdienst.

Abbildung 1-1. Mehrere Unified Access Gateway-Appliances hinter einemLastausgleichsdienst

HorizonClients

Unified AccessGateway-Appliance

DMZ

VMware vSphere

Internet

Horizon-Desktopsund RDS(Remote Desktop

Session)-Hosts

Horizon-Verbindungs-

Server

Lastausgleichs-dienst

CS CS


VMware, Inc. 32

Horizon-ProtokolleWenn ein Horizon Client-Benutzer eine Verbindung mit einer Horizon-Umgebung herstellt, werdenverschiedene Protokolle eingesetzt. Die erste Verbindung ist immer das primäre XML-API-Protokoll überHTTPS. Nach der erfolgreichen Authentifizierung werden dann sekundäre Protokolle verwendet.

n Primäres Horizon-Protokoll

Der Benutzer gibt auf dem Horizon Client einen Hostnamen ein. Dies startet das primäre Horizon-Protokoll. Dies ist ein Steuerungsprotokoll zur Authentifizierungsautorisierung undSitzungsverwaltung. Das Protokoll verwendet strukturierte XML-Nachrichten über HTTPS. DiesesProtokoll wird teilweise als Horizon XML-API-Steuerungsprotokoll bezeichnet. In einer Umgebung mitLastausgleich, wie sie in der Abbildung „Mehrere Unified Access Gateway-Appliances hinter einemLastausgleichsdienst“ dargestellt ist, leitet der Lastausgleichsdienst diese Verbindung an eine derUnified Access Gateway-Appliances weiter. Der Lastausgleichsdienst wählt die Appliance in derRegel zuerst anhand der Verfügbarkeit aus und leitet den Datenverkehr dann an die verfügbareAppliance mit der geringsten Anzahl aktueller Sitzungen weiter. Diese Konfiguration verteilt denDatenverkehr von verschiedenen Clients gleichmäßig auf die verfügbaren Unified Access Gateway-Appliances.

n Sekundäre Horizon-Protokolle

Nachdem der Horizon Client eine sichere Kommunikation mit einer der Unified Access Gateway-Appliances hergestellt hat, wird der Benutzer authentifiziert. Wenn dieser Authentifizierungsversucherfolgreich verläuft, wird mindestens eine sekundäre Verbindung vom Horizon Client hergestellt. Zudiesen sekundären Verbindungen können folgende Verbindungen gehören:

n HTTPS-Tunnel, die zum Kapseln von TCP-Protokollen wie RDP, MMR/CDR und demClientframework-Kanal verwendet werden. (TCP 443)

n Blast Extreme-Anzeigeprotokoll (TCP 443, TCP 8443, UDP 443 und UDP 8443)

n PCoIP-Anzeigeprotokoll (TCP 4172, UDP 4172).

Diese sekundären Horizon-Protokolle müssen zu derselben Unified Access Gateway-Applianceweitergeleitet werden, zu der das primäre Horizon-Protokoll weitergeleitet wurde. Unified AccessGateway kann die sekundären Protokolle dann auf der Grundlage der authentifizierten Benutzersitzungautorisieren. Eine wichtige Sicherheitsfunktion von Unified Access Gateway besteht darin, dass UnifiedAccess Gateway nur dann Datenverkehr in das Datencenter des Unternehmens weiterleitet, wenn derDatenverkehr zu einem authentifizierten Benutzer gehört. Wenn das sekundäre Protokollfälschlicherweise an eine andere Unified Access Gateway-Appliance weitergeleitet wird als das primäreProtokoll, werden Benutzer nicht autorisiert und in der DMZ verworfen. Die Verbindung schlägt fehl. Einfalsches Routing der sekundären Protokolle ist ein häufiges Problem, wenn der Lastausgleichsdienstnicht richtig konfiguriert ist.


VMware, Inc. 33

Überlegungen zum Lastausgleich für Content Gateway undTunnel-ProxyBeachten Sie die folgenden Punkte, wenn Sie einen Lastausgleichsdienst mit Content Gateway undTunnel-Proxy verwenden:

n Konfigurieren Sie die Lastausgleichsdienste mit „Original-HTTP-Kopfzeilen senden“, um Problemehinsichtlich der Gerätekonnektivität zu vermeiden. Content Gateway und Tunnel-Proxy verwendenInformationen aus der HTTP-Kopfzeile der Anforderung, um Geräte zu authentifizieren.

n Die Tunnel-über-App-Komponente erfordert eine Authentifizierung jedes Clients nach der Herstellungeiner Verbindung. Wenn die Verbindung hergestellt ist, wird eine Sitzung für den Client erstellt und imArbeitsspeicher gespeichert. Dieselbe Sitzung wird dann für jede Art von Clientdaten verwendet,damit die Daten mit dem gleichen Schlüssel verschlüsselt und entschlüsselt werden können. BeimEntwerfen einer Lastausgleichslösung muss der Lastausgleichsdienst mit aktivierter IP-/sitzungsbasierter Persistenz konfiguriert werden. Alternativ können Sie clientseitig DNS-Round-Robinverwenden, wodurch der Client für jede Verbindung einen anderen Server auswählen kann.

Überwachen der IntegritätEin Lastausgleichsdienst überwacht die Integrität jeder Unified Access Gateway-Appliance, indem er inregelmäßigen Abständen eine HTTPS GET /favicon.ico-Anforderung sendet. Beispiel: https://uag1.myco-dmz.com/favicon.ico. Diese Überwachung ist im Lastausgleichsdienst konfiguriert. Er führtden Befehl HTTPS GET aus und erwartet die Antwort "HTTP/1.1 200 OK" vom Unified Access Gateway, umzu erkennen, dass die Appliance einwandfrei funktioniert. Wenn er eine andere Antwort als "HTTP/1.1200 OK" oder gar keine Antwort erhält, kennzeichnet er diese Unified Access Gateway-Appliance alsausgefallen und leitet keine Client-Anforderungen an sie weiter. Er sendet weiterhin Abrufe, sodass ererkennt, wenn die Appliance wieder verfügbar ist.

Unified Access Gateway kann in den Stilllegungsmodus versetzt werden und reagiert dann nicht mehr mitder Antwort "HTTP/1.1 200 OK" auf die Anforderungen zur Integritätsüberwachung desLastausgleichsdiensts. Stattdessen gibt der Unified Access Gateway-Dienst "HTTP/1.1 503" aus undzeigt dadurch, dass er vorübergehend nicht verfügbar ist. Diese Einstellung wird häufig vor geplantenWartungsarbeiten, einer geplanten Neukonfiguration oder einem geplanten Upgrade einer Unified AccessGateway-Appliance verwendet. In diesem Modus leitet der Lastausgleichsdienst keine neuen Sitzungenan diese Appliance weiter, da sie als nicht verfügbar markiert ist, kann aber bestehende Sitzungenfortsetzen, bis der Benutzer die Verbindung trennt oder die maximale Sitzungszeit erreicht ist. Daherwerden bestehende Benutzersitzungen durch diesen Vorgang nicht unterbrochen. Die Appliance stehtdann nach der maximalen Sitzungszeit, normalerweise 10 Stunden, zur Wartung zur Verfügung. DieseFunktion kann verwendet werden, um ein rollierendes Upgrade für eine Reihe von Unified AccessGateway-Appliances in einer Strategie durchzuführen, in der keine Ausfallzeiten für die Wartungvorgesehen sind.

Unified Access Gateway-HochverfügbarkeitUnified Access Gateway für End-User Computing-Produkte und -Dienste erfordert Hochverfügbarkeit fürlokale Workspace ONE- und VMware Horizon-Bereitstellungen. Bei der Verwendung von Drittanbieter-


VMware, Inc. 34

Lastausgleichsdiensten wird die Bereitstellung und Fehlerbehebung jedoch noch komplexer. DieseLösung verringert die Notwendigkeit eines Drittanbieter-Lastausgleichsdiensts in Unified Access Gatewayam DMZ-Front-End.

Hinweis Diese Lösung ist kein allgemeiner Lastausgleichsdienst.

Unified Access Gateway unterstützt weiterhin Drittanbieter-Lastausgleichsdienste am Front-End fürBenutzer, die diesen Bereitstellungsmodus bevorzugen. Weitere Informationen finden Sie unter UnifiedAccess Gateway-Lastausgleichstopologien. Unified Access Gateway-Hochverfügbarkeit wird für AmazonAWS- und Microsoft Azure-Bereitstellungen nicht unterstützt.

ImplementierungUnified Access Gateway erfordert die virtuelle IPv4-IP-Adresse und eine Gruppen-ID vom Administrator.Unified Access Gateway weist die virtuelle IP-Adresse nur einem der Knoten im Cluster zu, der mitderselben virtuellen IP-Adresse und Gruppen-ID konfiguriert ist. Wenn bei der Unified Access Gateway-Instanz, die die virtuelle IP-Adresse aufweist, ein Fehler auftritt, wird die virtuelle IP-Adresse automatischerneut einem der im Cluster verfügbaren Knoten zugewiesen. Die Hochverfügbarkeit und die Verteilungder Last wird für die Knoten im Cluster vorgenommen, die mit derselben Gruppen-ID konfiguriert sind.

Mehrere Verbindungen, die von derselben Quell-IP-Adresse stammen, werden an dieselbe UnifiedAccess Gateway-Instanz gesendet, die die erste Verbindung von diesem Client Horizon und Web-Reverse-Proxy verarbeitet. Diese Lösung unterstützt 10.000 gleichzeitige Verbindungen im Cluster.

Hinweis Die Sitzungsaffinität ist für diese Fälle erforderlich.

Für VMware Tunnel (App-basiertes VPN) und Content Gateway-Dienste erfolgt die Hochverfügbarkeitund die Lastverteilung über den Algorithmus mit den wenigsten Verbindungen.

Hinweis Diese Verbindungen sind statusfrei, und es ist keine Sitzungsaffinität erforderlich.

Modus und AffinitätFür unterschiedliche Unified Access Gateway-Dienste sind unterschiedliche Algorithmen erforderlich.

n Für VMware Horizon und Web-Reverse-Proxy: Für die Verteilung wird die Quell-IP-Affinität mit demRound-Robin-Algorithmus verwendet.

n Für VMware Tunnel (App-basiertes VPN) und Content Gateway: Es gibt keine Sitzungsaffinität undfür die Verteilung wird der Algorithmus mit den wenigsten Verbindungen verwendet.

Für die Verteilung des eingehenden Datenverkehrs verwendete Methoden:

1 Quell-IP-Affinität: Behält die Affinität zwischen der Client-Verbindung und dem Unified AccessGateway-Knoten bei. Alle Verbindungen mit derselben Quell-IP-Adresse werden an denselbenUnified Access Gateway-Knoten gesendet.

2 Round-Robin-Modus mit Hochverfügbarkeit: Anforderungen für eingehende Verbindungen werdennacheinander auf die Gruppe der Unified Access Gateway-Knoten verteilt.


VMware, Inc. 35

3 Modus mit den wenigsten Verbindungen mit Hochverfügbarkeit: Eine neue Verbindungsanforderungwird an den Unified Access Gateway-Knoten mit der geringsten Anzahl an aktuellen Verbindungenvon Clients gesendet.

Hinweis Die Quell-IP-Affinität funktioniert nur, wenn die IP-Adresse der eingehenden Verbindung fürjede Client-Verbindung eindeutig ist. Beispiel: Wenn eine Netzwerkkomponente wie ein SNAT-Gatewayzwischen den Clients und Unified Access Gateway vorhanden ist, dann funktioniert die Quell-IP-Affinitätnicht, da der bei Unified Access Gateway eingehende Datenverkehr von mehreren verschiedenen Clientsdieselbe Quell-IP-Adresse hat.

Hinweis Die virtuelle IP-Adresse muss zum selben Subnetz wie die eth0-Schnittstelle gehören.

Voraussetzungenn Die für die Hochverfügbarkeit verwendete virtuelle IP-Adresse muss eindeutig und verfügbar sein.

Unified Access Gateway überprüft während der Konfiguration nicht, ob sie eindeutig ist. Die IP-Adresse wird möglicherweise als zugewiesen angezeigt, ist aber nicht erreichbar, sofern der IP-Adresse eine VM oder physischen Maschine zugewiesen ist.

n Die Gruppen-ID muss in einem bestimmten Subnetz eindeutig sein. Wenn die Gruppen-ID nichteindeutig ist, wird in der Gruppe möglicherweise eine inkonsistente virtuelle IP-Adresse zugewiesen.Beispielsweise versuchen zwei oder mehr Unified Access Gateway-Knoten, dieselbe virtuelle IP-Adresse abzurufen. Das kann dazu führen, dass die virtuelle IP-Adresse zwischen mehreren UnifiedAccess Gateway-Knoten wechselt.

n Um die Hochverfügbarkeit für Horizon oder Web-Reverse-Proxy einzurichten, stellen Sie sicher, dassdas TLS-Serverzertifikat in allen Knoten von Unified Access Gateway identisch ist.

Einschränkungenn IPv4 wird für die flexible virtuelle IP-Adresse unterstützt. IPv6 wird nicht unterstützt.

n Nur TCP-Hochverfügbarkeit wird unterstützt.

n UDP-Hochverfügbarkeit wird nicht unterstützt.

n Beim VMware Horizon-Anwendungsfall wird die Hochverfügbarkeit nur für den XML-API-Datenverkehr zum Horizon-Verbindungsserver verwendet. Die Hochverfügbarkeit wird nichtverwendet, um die Last für den Protokolldatenverkehr (Anzeige) wie Blast, PCoIP oder RDP zuverteilen. Aus diesem Grund müssen VMware Horizon-Clients zusätzlich zur virtuellen IP-Adresseauch auf die einzelnen IP-Adressen der Unified Access Gateway-Knoten zugreifen können.

Erforderliche Konfiguration für Hochverfügbarkeit auf jedemUnified Access GatewayInformationen zum Konfigurieren der Hochverfügbarkeit für Unified Access Gateway finden Sie unterKonfigurieren von Hochverfügbarkeitseinstellungen.


VMware, Inc. 36

Konfigurieren von HochverfügbarkeitseinstellungenUm die Unified Access Gateway-Hochverfügbarkeit zu verwenden, müssen Sie dieHochverfügbarkeitseinstellungen auf der Admin-Benutzeroberfläche konfigurieren.

Verfahren

1 Klicken Sie auf der Admin-Benutzeroberfläche im Bereich Manuell konfigurieren auf Auswählen.

2 Klicken Sie im Bereich Erweiterte Einstellungen auf das Zahnradsymbol für dieHochverfügbarkeitseinstellungen.

3 Ändern Sie auf der Seite Hochverfügbarkeitseinstellungen die Option DEAKTIVIERT inAKTIVIERT, um die Hochverfügbarkeit zu aktivieren.

4 Konfigurieren Sie die Parameter.

Option Beschreibung

Virtuelle IP-Adresse Eine gültige virtuelle IP-Adresse, die für die Hochverfügbarkeit verwendet wird.

Hinweis Die für die Hochverfügbarkeit verwendete virtuelle IP-Adresse musseindeutig und verfügbar sein. Wenn keine eindeutige Adresse festgelegt ist, dannwird die IP-Adresse möglicherweise als zugewiesen angezeigt, ist aber nichterreichbar, sofern der IP-Adresse eine VM oder physische Maschine zugewiesenist.

Gruppen-ID Die Gruppen-ID für die Hochverfügbarkeit. Geben Sie einen numerischen Wertzwischen 1 und 255 ein.

Hinweis Die Gruppen-ID muss in einem bestimmten Subnetz eindeutig sein.Wenn keine eindeutige Gruppen-ID festgelegt ist, kann es sein, dass in der Gruppeeine inkonsistente virtuelle IP-Adresse zugewiesen wird. Beispielsweise kann eineIP-Adresse von zwei oder mehr Gateways für Unified Access Gateway versuchen,dieselbe virtuelle IP-Adresse abzurufen.

5 Klicken Sie auf Speichern.

n Die unterschiedlichen Status der Hochverfügbarkeitseinstellungen geben Folgendes an:

n Nicht konfiguriert: Gibt an, dass die Hochverfügbarkeitseinstellungen nicht konfiguriertwurden.

n Verarbeitung: Gibt an, dass die Hochverfügbarkeitseinstellungen verarbeitet werden, damitsie wirksam werden.

n Master: Gibt an, dass der Knoten als Master im Cluster gewählt ist den Datenverkehr verteilt.

n Sicherung: Gibt an, dass sich der Knoten im Cluster im Status „Sicherung“ befindet.

n Fehler: Gibt an, dass der Knoten möglicherweise Fehler bei der Hochverfügbarkeits-Proxy-Konfiguration aufweist.


VMware, Inc. 37

Mit Horizon konfigurierte Unified Access Gateway-InstanzMehrere Unified Access Gateway-Instanzen sind mit denselben Horizon-Einstellungen konfiguriert unddie Hochverfügbarkeit ist in allen Unified Access Gateway-Instanzen aktiviert.

Für das XML-API-Protokoll wird ein allgemeiner externer Hostname verwendet. Dieser gemeinsameexterne Hostname wird der flexiblen IP zugeordnet, die in den Hochverfügbarkeitseinstellungen in denKnoten von Unified Access Gateway konfiguriert ist. Der Desktop-Datenverkehrs verwendet keinenHochverfügbarkeit und die Last wird nicht verteilt. Daher erfordert diese Lösung N + 1 VIP-Adresse fürHorizon, wobei N die Anzahl der bereitgestellten Unified Access Gateway-Knoten darstellt. In jederUnified Access Gateway-Instanz müssen die Blast-, PCoIP- und die externe Tunnel-URL externe IP-Adressen oder Hostnamen sein, die der entsprechenden eth0-IP-Adresse von Unified Access Gatewayzugeordnet sind. Clients, die Verbindungen über ein schlechtes Netzwerk herstellen und die UDP-Verbindung verwenden, damit die XML-API die gleiche Unified Access Gateway-Instanz erreicht, der dieerste UDP-XML-API-Verbindung übergeben wurde.

Abbildung 1-2. Mit Horizon konfigurierte Unified Access Gateway-Instanz

Client 1

Hochverfügbarkeitskomponente

Blast-/PCoIP-Gateway

Blast-/PCoIP-Gateway

Edge-Dienst-Manager

Edge-Dienst-Manager

Externer Lastausgleichsdienst

Verbindungsserver 1

Verbindungsserver 2

Horizon-Desktops

Client 2

Desktopprotokoll auf UAG1 IP (Blast)

XML-API-Datenverkehr

auf flexiblem IP-Port 443

Desktopprotokoll auf UAG2 IP (Blast)

Client 2 – XML-API

Client 1 – XML-API

UAG 2

UAG 1 (Master)

Modus und Affinität: Die Affinität basiert auf der Quell-IP-Adresse. Die erste Verbindung vom Client wirdmithilfe des Round-Robin-Verfahrens verteilt. Nachfolgende Verbindungen vom selben Client werdenjedoch an dieselbe Unified Access Gateway-Instanz gesendet, die die erste Verbindung verarbeitet hat.


VMware, Inc. 38

VMware Tunnel-Verbindung (App-basiertes VPN) mitBasiskonfigurationVMware Tunnel (App-basiertes VPN) wird mit grundlegenden Einstellungen in der Workspace ONE UEM-Konsole konfiguriert.

Der Tunnel-Serverhostname, der in der Workspace ONE UEM-Konsole für VMware Tunnel-Einstellungen(App-basiertes VPN) konfiguriert wird, wird in die flexible IP-Adresse aufgelöst, die für dieHochverfügbarkeit in Unified Access Gateway konfiguriert wird. Die Verbindungen für diese flexible IP-Adresse werden auf die konfigurierten Knoten in Unified Access Gateway verteilt.

Abbildung 1-3. VMware Tunnel-Verbindung (App-basiertes VPN) mit Basiskonfiguration

Client 1


VMware Tunnel-Dienst


Back-End-Server

Client 2

Zugriff auf Back-End-Server

mit Tunnel-Hostname

Client 2 – Datenverkehr für Back-End-Server

UAG 2

UAG 1 (Master)

Client 1 – Datenverkehr für Back-End-

Server

Modus und Affinität: Für die Hochverfügbarkeit und die Lastverteilung wird der Algorithmus mit denwenigsten Verbindungen verwendet. Es wird eine neue Anforderung an den Server mit der geringstenAnzahl aktueller Verbindungen mit Clients gesendet. Die Sitzungsaffinität ist nicht erforderlich, da siestatusfreie Verbindungen sind.

VMware Tunnel-Verbindungen (App-basiertes VPN) immehrstufigen ModusVMware Tunnel (App-basiertes VPN) wird mit mehrstufigen Einstellungen in der Workspace ONE UEM-Konsole konfiguriert.

Zwei Tunnel-Serverhostnamen werden in der Workspace ONE UEM-Konsole für das Front-End und dasBack-End konfiguriert. Es können jeweils zwei Knotensätze in Unified Access Gateway für das Front-Endbzw. das Back-End bereitgestellt werden.


VMware, Inc. 39

Die Front-End-Knoten in Unified Access Gateway werden mit einem Front-End-Tunnel-Serverhostnamenkonfiguriert. Die Hochverfügbarkeitseinstellungen für Front-End-Knoten in Unified Access Gatewaywerden mit einer externen flexiblen IP-Adresse konfiguriert. Der Front-End-Tunnel-Serverhostname wirdin die externe flexible IP-Adresse aufgelöst. Die Verbindungen für diese externe flexible IP-Adressewerden auf die Front-End-Knoten in Unified Access Gateway verteilt.

Die Back-End-Knoten in Unified Access Gateway werden mit dem Back-End-Tunnel-Serverhostnamenkonfiguriert. Die Hochverfügbarkeitseinstellungen für Back-End-Knoten in Unified Access Gatewaywerden mit einer internen flexiblen IP-Adresse konfiguriert. Der VMware Tunnel-Dienst (App-basiertesVPN) für Front-End-Knoten in Unified Access Gateway leitet den Datenverkehr mithilfe des Back-End-Tunnel-Serverhostnamens an das Back-End weiter. Der Back-End-Tunnel-Serverhostname wird in dieinterne flexible IP-Adresse aufgelöst. Die Verbindungen für diese interne flexible IP-Adresse werden aufdie Back-End-Knoten in Unified Access Gateway verteilt.

Abbildung 1-4. VMware Tunnel-Verbindungen (App-basiertes VPN) im mehrstufigen Modus

Client 1




Back-End-Server

Client 2

Tunnel eingerichtet mit Front-End-

Tunnel-Hostname

Front-End-UAG Back-End-UAG

Client 2 – Datenverkehr

UAG 2

UAG 1 (Master)

Client 1 – Datenverkehr weitergeleitet an Back-End-Tunnel-

Hostname

Client 2 – Datenverkehr weitergeleitet an Back-End-Tunnel-

Hostname





UAG 1

UAG 2 (Master)





VMware, Inc. 40

Content Gateway-BasiskonfigurationContent Gateway ist mit grundlegenden Einstellungen in der Workspace ONE UEM-Konsole konfiguriert.

Der Hostname des Content Gateway-Servers, der in der Workspace ONE UEM-Konsole für ContentGateway-Einstellungen konfiguriert ist, wird in die flexible IP-Adresse für die Hochverfügbarkeit in UnifiedAccess Gateway aufgelöst. Die Last der Verbindungen für diese flexible IP wird zwischen den in UnifiedAccess Gateway konfigurierten Knoten ausgeglichen.

Abbildung 1-5. Content Gateway-Basiskonfiguration

Client 1

Hochverfügbarkeits komponente

Content Gateway-

Dienst

Content Gateway-Dienst

Internes Repository

Client 2

Zugriff auf Repository

mit CG-Hostname

Client 2 – Datenverkehr für internes Repository

UAG 2

UAG 1 (Master)

Client 1 – Datenverkehr für internes Repository

Modus und Affinität: Für die Hochverfügbarkeit und die Lastverteilung wird der Algorithmus mit denwenigsten Verbindungen verwendet. Es wird eine neue Anforderung an den Server mit der geringstenAnzahl aktueller Verbindungen mit Clients gesendet. Die Sitzungsaffinität ist nicht erforderlich, da siestatusfrei sind.

Content Gateway mit Relay- und Endpoint-KonfigurationContent Gateway ist mit der Relay- und Endpoint-Konfiguration in der Workspace ONE UEM-Konsolekonfiguriert.

In der Workspace ONE UEM-Konsole werden zwei Hostnamen für den Content Gateway-Server fürRelay und Endpoint konfiguriert. Für Relay und Endpoint werden zwei Knotensätze in Unified AccessGateway bereitgestellt.

Die Relay-Knoten in Unified Access Gateway werden mit dem Content Gateway-Serverhostnamen„Relay“ konfiguriert. Die Hochverfügbarkeitseinstellungen für Relay-Knoten in Unified Access Gatewaywerden mit einer externen flexiblen IP-Adresse konfiguriert. Der Content Gateway-Serverhostname„Relay“ wird in die externe flexible IP-Adresse aufgelöst. Die Last der Verbindungen für diese externeflexible IP wird zwischen den Relay-Knoten in Unified Access Gateway ausgeglichen.


VMware, Inc. 41

Die Endpoint-Knoten in Unified Access Gateway werden mit dem Serverhostnamen „Endpoint Tunnel“konfiguriert. Die Hochverfügbarkeitseinstellungen für Endpoint-Knoten in Unified Access Gateway werdenmit einer internen flexiblen IP-Adresse konfiguriert. Der Content Gateway-Dienst im Unified AccessGateway am Front-End leitet den Datenverkehr zum Endpoint Content Gateway-Serverhostnamen„Endpoint“ weiter. Der Content Gateway-Serverhostname „Endpoint“ wird in die interne flexible IP-Adresse aufgelöst. Die Last der Verbindungen für diese interne flexible IP-Adresse wird zwischen denEndpoint-Knoten in Unified Access Gateway ausgeglichen.

Abbildung 1-6. Content Gateway mit Relay- und Endpoint-Konfiguration

Client 1


Content Gateway-

Dienst

Internes Repository

Client 2

Zugriff auf Repository mit CG-Relay-

Hostname

Relay


UAG 2

UAG 1 (Master)

Client 1 – Datenverkehr weitergeleitet an CG-Endpoint-Hostname

Client 2 – Datenverkehr weitergeleitet an CG-Endpoint-Hostname



Content Gateway-

Dienst

Endpoint


UAG 1

UAG 2 (Master)


Content Gateway-

Dienst

Content Gateway-

Dienst



VMware, Inc. 42

DMZ-Design für Unified Access Gateway mit mehrerenNetzwerkschnittstellenkartenEine der Konfigurationseinstellungen für Unified Access Gateway betrifft die Anzahl der zu verwendendenvirtuellen NICs (Network Interface Cards). Wenn Sie Unified Access Gateway bereitstellen, wählen Sieeine Bereitstellungskonfiguration für Ihr Netzwerk aus.

Sie können eine, zwei oder drei NICs festlegen, die mit „onenic“, „twonic“ oder „threenic“ angegebenwerden.

Eine Verringerung der Anzahl der offenen Ports in den einzelnen virtuellen LANs und eine Trennung derverschiedenen Typen von Netzwerkdatenverkehr kann eine signifikante Verbesserung der Sicherheitbewirken. Die Vorteile ergeben sich hauptsächlich durch das Trennen und Isolieren der verschiedenenTypen von Netzwerkdatenverkehr im Zuge einer Defense-in-Depth-Sicherheitsstrategie für die DMZ. Dieskann entweder durch die Implementierung von separaten physischen Switches in der DMZ, durchmehrere virtuelle LANs in der DMZ oder durch eine vollständig durch VMware NSX verwaltete DMZerreicht werden.

Typische DMZ-Bereitstellung mit einer NICDie einfachste Bereitstellung von Unified Access Gateway erfolgt mit nur einer NIC, bei der der gesamteNetzwerkdatenverkehr in einem einzigen Netzwerk kombiniert ist. Datenverkehr von der Internet-seitigenFirewall wird an eine der verfügbaren Unified Access Gateway-Appliances geleitet. Unified AccessGateway leitet den autorisierten Datenverkehr dann durch die innere Firewall an Ressourcen im internenNetzwerk. Unified Access Gateway blockiert nicht autorisierten Datenverkehr.

Abbildung 1-7. Unified Access Gateway mit einer NIC

Unified AccessGateway-Appliances

mit einer NIC kombinierenFront-End-, Back-End- und

VerwaltungsdatenverkehrEinzelnes kombiniertes Netzwerk

Unified Access Gateway-Appliance

DMZ

InternesNetzwerk

Innere Firewall

Internetseitige Firewall

Lastausgleichsdienst

Internet


VMware, Inc. 43

Trennung von nicht authentifiziertem Benutzerdatenverkehr vonBack-End- und VerwaltungsdatenverkehrEine Alternative zur Bereitstellung mit einer NIC ist eine Bereitstellung mit zwei NICs. Die erste NIC wirdweiterhin für Internet-seitige nicht authentifizierte Zugriffe verwendet, der authentifizierte Back-End-Datenverkehr und der Verwaltungsdatenverkehr befinden sich jedoch separat in einem anderenNetzwerk.

Abbildung 1-8. Unified Access Gateway mit zwei NICs

Unified AccessGateway-Appliances

mit zwei NICs trennennicht authentifizierten

Front-End-Datenverkehrvon Verwaltungs-

Datenverkehr undauthentifiziertem

Back-End-Verkehr

Front-End-Netzwerk


Back-End- undVerwaltungs-netzwerk kombiniert

DMZ

InternesNetzwerk

Innere Firewall



Internet

In einer Bereitstellung mit zwei NICs muss Unified Access Gateway den Datenverkehr, der durch dieinnere Firewall in das interne Netzwerk gelangt, autorisieren. Nicht autorisierter Datenverkehr gelangtnicht in dieses Back-End-Netzwerk. Verwaltungsdatenverkehr wie die REST-API für Unified AccessGateway befindet sich ausschließlich in diesem zweiten Netzwerk.

Wenn ein Gerät, z. B. der Lastausgleichsdienst, im nicht authentifizierten Front-End-Netzwerkkompromittiert wurde, dann ist es in einer Bereitstellung mit zwei NICs nicht möglich, das Gerät soumzukonfigurieren, dass Unified Access Gateway umgangen wird. Firewall-Regeln der Schicht 4 sind mitder Unified Access Gateway-Sicherheit der Schicht 7 kombiniert. Ähnlich verhält es sich, wenn dieInternet-seitige Firewall dahingehend falsch konfiguriert wurde, dass TCP-Port 9443 geöffnet ist. In


VMware, Inc. 44

diesem Fall wird die REST-API für die Verwaltung von Unified Access Gateway nicht für Internetbenutzerverfügbar. Bei einem Defense-in-Depth-Prinzip kommen mehrere Sicherheitsstufen zum Einsatz, wodurchein einzelner Konfigurationsfehler oder Systemangriff nicht zwingend zu einer allgemeinen Gefährdungführt.

In einer Bereitstellung mit zwei NICs können Sie zusätzliche Infrastruktursysteme wie DNS-Server oderRSA SecurID-Authentifizierungsmanager-Server so konfigurieren, dass sie sich im Back-End-Netzwerkinnerhalb der DMZ befinden und diese Server im Internet-seitigen Netzwerk nicht sichtbar sind. Wennsich Infrastruktursysteme in der DMZ befinden, schützt dies vor Angriffen der Schicht 2, die aus demInternet-seitigen LAN von einem kompromittierten Front-End-System stammen, und sorgt für eineeffektive Verringerung der Gesamtangriffsfläche.

Der größte Teil des Unified Access Gateway-Netzwerkdatenverkehrs betrifft die Anzeigeprotokolle fürBlast und PCoIP. Mit einer einzigen NIC wird der Anzeigeprotokolldatenverkehr in das und aus demInternet mit dem Datenverkehr in die und aus den Back-End-Systemen kombiniert. Wenn zwei oder mehrNICs verwendet werden, wird der Datenverkehr auf die Front-End- und Back-End-NICs und -Netzwerkeverteilt. Dies beseitigt den potenziellen Engpass einer einzigen NIC und bietet Leistungsvorteile.

Unified Access Gateway unterstützt eine weitere Trennung, indem auch der Verwaltungsdatenverkehr inein spezifisches Verwaltungs-LAN verlagert werden kann. HTTPS-Verwaltungsdatenverkehr an Port 9443kann dann nur aus dem Verwaltungs-LAN stammen.

Abbildung 1-9. Unified Access Gateway mit drei NICs

Unified Access Gateway-Appliances mit drei NICs

bieten komplette Trennungvon nicht authentifiziertem

Front-End-Datenverkehr,authentifiziertem Back-End-

Datenverkehr und Verwaltungsdatenverkehr

Front-End-Netzwerk


Back-End-Netzwerk

DMZ

InternesNetzwerk

Innere Firewall



Internet

Verwaltungsnetzwerk


VMware, Inc. 45

Upgrade ohne AusfallzeitDurch ein Upgrade ohne Ausfallzeit können Sie ein Upgrade für Unified Access Gateway durchführen,ohne dass die Verfügbarkeit für Benutzer unterbrochen wird.

Wenn der Wert für den Stilllegungsmodus „JA“ lautet, wird bei der Integritätsprüfung durch den LoadBalancer die Unified Access Gateway-Appliance als nicht verfügbar angezeigt. Anforderungen, die denLastausgleichsdienst erreichen, werden an die nächste Unified Access Gateway-Appliance hinter demLastausgleich gesendet.

Voraussetzungen

n Mindestens zwei Unified Access Gateway-Appliances, die hinter dem Lastausgleichsdienstkonfiguriert sind.

n Eine für die Einstellung „URL für Integritätsprüfung“ konfigurierte URL, mit der derLastausgleichsdienst eine Verbindung herstellt, um die Integrität der Unified Access Gateway-Appliance zu prüfen.

n Prüfen Sie die Integrität der Appliance im Lastausgleichsdienst. Geben Sie den REST-API-Befehl GEThttps://UAG-IP-Address:443/favicon.ico ein.

Die Antwort lautet HTTP/1.1 200 OK, wenn für den Stilllegungsmodus „Nein“ eingestellt ist. Sie lautetHTTP/1.1 503, wenn für den Stilllegungsmodus „Ja“ eingestellt ist.

Hinweis n Verwenden Sie keine andere URL als GET https://UAG-IP-Address:443/favicon.ico. Dies

führt zu einer falschen Statusantwort und Ressourcenlecks.

n Wenn die Einstellung für Hochverfügbarkeit aktiviert ist, gilt der Stilllegungsmodus (keinAusfall) nur für den Web-Reverse-Proxy und Horizon.

n Wenn Load Balancer von Drittanbietern eingesetzt werden, gilt der Stilllegungsmodus (keinAusfall), wenn die Durchführung der Integritätsprüfung mit GET /favicon.ico konfiguriert ist.

Verfahren

1 Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.

2 Klicken Sie im Bereich „Erweiterte Einstellungen“ auf das Zahnradsymbol für dieSystemkonfiguration.

3 Aktivieren Sie in der Zeile Stilllegungsmodus den Wert Ja, um die Unified Access Gateway-Appliance anzuhalten.

Wenn die Appliance angehalten wird, werden bestehende Sitzungen, für die die Appliance verwendetwird, 10 Stunden lang aufrechterhalten, bevor sie geschlossen werden.


Neue Anforderungen an den Lastausgleichsdienst werden an die nächste Unified Access Gateway-Appliance gesendet.


VMware, Inc. 46

Nächste Schritte

n Für eine vSphere-Bereitstellung:

a Sichern Sie die JSON-Datei, indem Sie die Datei exportieren.

b Löschen Sie die alte Unified Access Gateway -Appliance.

c Stellen Sie die neue Version der Unified Access Gateway-Appliance bereit.

d Importieren Sie die JSON-Datei, die Sie zuvor exportiert haben.

n Für eine PowerShell-Bereitstellung:

a Löschen Sie die Unified Access Gateway-Appliance.

b Stellen Sie Unified Access Gateway mit der gleichen INI-Datei erneut bereit, die während derersten Bereitstellung verwendet wurde. Siehe Verwenden von PowerShell zur Bereitstellung derUnified Access Gateway-Appliance.

Hinweis Wenn nach der erneuten Aktivierung des Lastausgleichs eine Tunnel-Server-Zertifikatsfehlermeldung angezeigt wird, wenden Sie dasselbe SSL-Serverzertifikat und dieselbenPrivatschlüssel-PEM-Dateien an, die zuvor in der Unified Access Gateway-Appliance verwendet wurden.Dies ist erforderlich, da die JSON- oder INI-Datei keine privaten Schlüssel enthalten darf, die einem SSL-Serverzertifikat zugeordnet sind, da private Schlüssel aus Sicherheitsgründen nicht exportiert werdenkönnen. Bei einer PowerShell-Bereitstellung erfolgt dies automatisch, und Sie müssen das Zertifikat nichterneut anwenden.

Bereitstellen von Unified Access Gateway ohneNetzwerkprotokollprofil (NPP)Die neueste Version von Unified Access Gateway akzeptiert keine Netzmasken- oder Präfix- undStandard-Gateway-Einstellungen vom Netzwerkprotokollprofil.

Sie müssen diese Netzwerkinformationen bei der Bereitstellung Ihrer Unified Access Gateway-Instanzangeben.

Geben Sie im Falle einer statischen Bereitstellung bei der Konfiguration Ihrer Unified Access Gateway-Instanz die IPv4- oder IPv6-Adresse, die Netzmaske oder das Präfix für die jeweiligen Netzwerkkartenund das IPv4-/IPv6-Standard-Gateway an. Wenn Sie diese Informationen nicht angeben, wirdstandardmäßig DHCPV4+DHCPV6 für die Zuweisung der IP-Adresse eingestellt.

Beachten Sie Folgendes, wenn Sie die Netzwerkeigenschaften konfigurieren:

n Wenn Sie STATICV4 für den IPMode einer Netzwerkkarte auswählen, müssen Sie die IPv4-Adresseund Netzmaske für diese Netzwerkkarte angeben.

n Wenn Sie STATICV6 für den IPMode einer Netzwerkkarte auswählen, müssen Sie die IPv6-Adresseund Netzmaske für diese Netzwerkkarte angeben.

n Wenn Sie sowohl STATICV4 als auch STATICV6 für den IPMode einer Netzwerkkarte auswählen,müssen Sie die IPv4- und IPv6-Adressen und die Netzmaske für diese Netzwerkkarte angeben.


VMware, Inc. 47

n Wenn Sie die Adress- und Netzmaskeninformationen nicht angeben, werden die Werte vom DHCP-Server zugewiesen.

n IPv4- und IPv6-Standard-Gateway-Eigenschaften sind optional und müssen nur angegeben werden,wenn Unified Access Gateway mit einer IP-Adresse kommunizieren muss, die sich nicht auf einemlokalen Segment einer Netzwerkkarte in Unified Access Gateway befindet.

Unter Bereitstellen von Unified Access Gateway mit dem OVF-Vorlagenassistenten finden Sie weitereInformationen zum Konfigurieren der Netzwerkeigenschaften.

Programm zur Verbesserung der Benutzerfreundlichkeitbeitreten oder verlassenDas VMware-Programm zur Verbesserung der Benutzerfreundlichkeit (CEIP) stellt Informationen bereit,mit deren Hilfe VMware seine Produkte und Services verbessert, Probleme löst und Sie bei der optimalenBereitstellung und Verwendung von VMware-Produkten berät.

Dieses Produkt nimmt am VMware Programm zur Verbesserung der Benutzerfreundlichkeit („CEIP“) teil.Details zu den von CEIP erfassten Daten und zu deren Nutzung durch VMware sind im Trust &Assurance Center unter https://www.vmware.com/de/solutions/trustvmware/ceip.html zu finden.

Sie können CEIP jederzeit von der Admin-Benutzeroberfläche aus beitreten oder es verlassen.

Verfahren

1 Wählen Sie unter Erweiterte Einstellungen > Systemkonfiguration die Option „Ja“ oder „Nein“.

Wenn Sie „Ja“ auswählen, wird das Dialogfeld „Programm zur Verbesserung derBenutzerfreundlichkeit“ mit aktiviertem Kontrollkästchen angezeigt, um anzugeben, dass Sie an demProgramm teilnehmen.

2 Überprüfen Sie die Informationen im Dialogfeld, und klicken Sie auf Schließen.

3 Klicken Sie zum Speichern Ihrer Änderungen auf der Seite „Systemkonfiguration“ auf Speichern.


VMware, Inc. 48

https://www.vmware.com/de/solutions/trustvmware/ceip.html

Bereitstellen der Unified AccessGateway-Appliance 2Unified Access Gateway wird als OVF-Paket geliefert und auf einem vSphere ESX- oder ESXi-Host alsvorkonfigurierte virtuelle Appliance bereitgestellt.

Zur Installation der Unified Access Gateway-Appliance auf einem vSphere ESX, ESXi oder Host könnenprimär zwei Methoden verwendet werden. Microsoft Server 2012 und 2016 Hyper-V-Rollen werdenunterstützt.

n Die Unified Access Gateway-OVF-Vorlage kann mit dem vSphere Client oder dem vSphere WebClient bereitgestellt werden. Sie werden aufgefordert, die grundlegenden Einstellungenvorzunehmen, wie die Konfiguration der NIC-Bereitstellung, die IP-Adresse und die Kennwörter derVerwaltungsoberfläche. Melden Sie sich nach der OVF-Bereitstellung bei der Unified AccessGateway-Verwaltungsoberfläche an, um die Unified Access Gateway-Systemeinstellungen zukonfigurieren, die sicheren Edgedienste für mehrere Anwendungsfälle einzurichten und dieAuthentifizierung in der DMZ zu konfigurieren. Siehe Bereitstellen von Unified Access Gateway mitdem OVF-Vorlagenassistenten.

n PowerShell-Skripte können eingesetzt werden, um Unified Access Gateway bereitzustellen und diesicheren Edgedienste für mehrere Anwendungsfälle einzurichten. Laden Sie die ZIP-Datei herunter,konfigurieren Sie das PowerShell-Skript für Ihre Umgebung und führen Sie das Skript aus, um UnifiedAccess Gateway bereitzustellen. Siehe Verwenden von PowerShell zur Bereitstellung der UnifiedAccess Gateway-Appliance.

Hinweis Für Anwendungsfälle mit der Tunnel-über-App-Komponente und Proxy-Servern können SieUnified Access Gateway entweder auf ESXi oder auf Microsoft Hyper-V-Umgebungen bereitstellen.

Hinweis Wenn Sie bei den beiden oben stehenden Bereitstellungsmethoden nicht das Kennwort für dieVerwaltungsoberfläche eingeben, können Sie später keinen Benutzer für die Verwaltungsoberflächehinzufügen, um den Zugriff auf die Verwaltungsoberfläche oder die API zu ermöglichen. Wenn Sie diestun möchten, müssen Sie Ihre Unified Access Gateway-Instanz mit einem gültigen Kennwort erneutbereitstellen.


n Bereitstellen von Unified Access Gateway mit dem OVF-Vorlagenassistenten

n Konfigurieren von Unified Access Gateway auf den Verwaltungsseiten für die Konfiguration

n Aktualisieren von signierten SSL-Serverzertifikaten

VMware, Inc. 49

Bereitstellen von Unified Access Gateway mit dem OVF-VorlagenassistentenUm Unified Access Gateway bereitzustellen, müssen Sie die OVF-Vorlage mit dem vSphere Client oderdem vSphere Web Client bereitstellen, die Appliance einschalten und die Einstellungen konfigurieren.

Wenn Sie die OVF-Vorlage bereitstellen, konfigurieren Sie, wie viele Netzwerkschnittstellen (NetworkInterfaces/NIC) erforderlich sind, und legen die IP-Adresse sowie die Kennwörter für den Administratorund den Root-Benutzer fest.

Nach der Bereitstellung von Unified Access Gateway wechseln Sie zur Benutzeroberfläche für dieVerwaltung, um die Unified Access Gateway-Umgebung einzurichten. Konfigurieren Sie auf derVerwaltungsoberfläche Desktop- und Anwendungsressourcen sowie die in der DMZ zu verwendendenAuthentifizierungsmethoden. Rufen Sie https://<mycoUnifiedGatewayAppliance>.com:9443/admin/index.html zur Anmeldung auf den Seiten der Verwaltungsoberfläche auf.

Bereitstellen von Unified Access Gateway mit dem OVF-VorlagenassistentenSie können die Unified Access Gateway-Appliance bereitstellen, indem Sie sich in vCenter Serveranmelden und den Assistenten zum Bereitstellen von OVF-Vorlagen verwenden.

Zwei Versionen der Unified Access Gateway-OVA-Datei sind verfügbar: eine standardmäßige OVA undeine FIPS-Version der OVA.

Die FIPS-Version der OVA unterstützt die folgenden Edge-Dienste:

n Horizon (nur bei Passthrough-Authentifizierung)

n VMware per-App-Tunnel

Wichtig Die FIPS 140-2-Version wird mit einem Satz durch FIPS zertifizierter Verschlüsselungen undHashes ausgeführt, wobei einschränkende Dienste aktiviert sind, die durch FIPS zertifizierte Bibliothekenunterstützen. Wenn Unified Access Gateway im FIPS-Modus bereitgestellt wird, kann die Appliance nichtin den standardmäßigen OVA-Bereitstellungsmodus wechseln. Die Horizon-Edge-Authentifizierung ist inder FIPS-Version nicht verfügbar.

Unified Access Gateway-Größenoptionen

Um die Bereitstellung der Unified Access Gateway-Appliance als Workspace ONE-Sicherheits-Gatewayzu vereinfachen, werden Größenoptionen zu den Bereitstellungskonfigurationen in der Appliancehinzugefügt. Die Bereitstellungskonfiguration bietet die Wahl zwischen einer standardmäßigen oder einergroßen virtuellen Maschine.

n Standard: Diese Konfiguration wird für eine Horizon-Bereitstellung für bis zu 2000 Horizon-Verbindungen entsprechend der Verbindungsserver-Kapazität empfohlen. Sie wird auch fürWorkspace ONE UEM-Bereitstellungen (mobile Anwendungsfälle) für bis zu 10.000 gleichzeitigeVerbindungen empfohlen.


VMware, Inc. 50

n Groß: Diese Konfiguration wird für Workspace ONE UEM-Bereitstellungen empfohlen, bei denenUnified Access Gateway über 50.000 gleichzeitige Verbindungen unterstützen muss. Bei dieserGröße können Content Gateway, app-spezifischer Tunnel und Proxy und Reverse-Proxy dieselbeUnified Access Gateway-Appliance verwenden.

n Extragroß: Diese Konfiguration wird für Workspace ONE UEM-Bereitstellungen empfohlen. Beidieser Größe können Content Gateway, app-spezifischer Tunnel und Proxy und Reverse-Proxydieselbe Unified Access Gateway-Appliance verwenden.

n Hinweis VM-Optionen für die Bereitstellungen Standard, Groß und Extragroß:



n Extragroß – 8-Kern und 32 GB RAM

Voraussetzungen

n Überprüfen Sie die Bereitstellungsoptionen, die im Assistenten verfügbar sind. Siehe System- undNetzwerkanforderungen von Unified Access Gateway.

n Legen Sie fest, wie viele Netzwerkschnittstellen und statische IP-Adressen für die Unified AccessGateway-Appliance konfiguriert werden sollen. Siehe Anforderungen an die Netzwerkkonfiguration.

n Laden Sie die OVA-Installationsdatei für die Unified Access Gateway-Appliance von dieser VMware-Website unter https://my.vmware.com/web/vmware/downloads herunter oder geben Sie die URL an,die Sie verwenden möchten (Beispiel: http://example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova), wobei Y.Y die Versionsnummer ist und xxxxxxx die Build-Nummer.

n Löschen Sie bei einer Hyper-V-Bereitstellung und bei einem Upgrade von Unified Access Gatewaymit statischer IP die vorherige Appliance, bevor Sie die neuere Unified Access Gateway-Instanzbereitstellen.

n Informationen zum Upgrade Ihrer vorherigen Appliance auf eine neue Unified Access Gateway-Instanz ohne Ausfall für Benutzer finden Sie im Abschnitt Upgrade ohne Ausfallzeit.

Verfahren

1 Melden Sie sich mit dem nativen vSphere Client oder vSphere Web Client bei einer vCenter Server-Instanz an.

Für ein IPv4-Netzwerk verwenden Sie den nativen vSphere Client oder den vSphere Web Client. Fürein IPv6-Netzwerk verwenden Sie den vSphere Web Client.


VMware, Inc. 51

https://my.vmware.com/web/vmware/downloads

2 Wählen Sie einen Menübefehl für den Start des Assistenten zum Bereitstellen von OVF-Vorlagenaus.

Option Menübefehl

vSphere Client Wählen Sie Datei > OVF-Vorlage bereitstellen.

vSphere Web Client Wählen Sie ein Bestandslistenobjekt aus, das ein gültiges übergeordnetes Objekteiner virtuellen Maschine ist, z. B. ein Datencenter, einen Ordner, Cluster,Ressourcenpool oder Host, und wählen Sie aus dem Menü Aktionen die OptionOVF-Vorlage bereitstellen aus.

3 Gehen Sie auf der Seite „Quelle auswählen“ zur OVA-Datei, die Sie heruntergeladen haben, oder

geben Sie eine URL ein und klicken Sie auf Weiter.

Überprüfen Sie die Produktdetails, Version und Größenanforderungen.

4 Folgen Sie den Aufforderungen und beachten Sie die folgenden Anleitungen für den Abschluss desAssistenten. Sowohl ESXi- als auch Hyper-V-Bereitstellungen verfügen über zwei Optionen zur IP-Zuweisung für Unified Access Gateway. Wenn Sie ein Upgrade durchführen, löschen Sieanschließend für Hyper-V das vorherige Feld mit derselben IP-Adresse, bevor Sie das Feld mit derneuen Adresse bereitstellen. Für ESXi können Sie das vorherige Feld deaktivieren und ein neuesFeld mit derselben IP-Adresse durch statische Zuweisung bereitstellen.

Option Beschreibung

Name und Speicherort Geben Sie den Namen der virtuellen Unified Access Gateway-Appliance ein. DerName muss innerhalb des Bestandsordners eindeutig sein. Bei Namen wird dieGroß- und Kleinschreibung beachtet.

Wählen Sie einen Speicherort für die virtuelle Appliance aus.

Bereitstellungskonfiguration Für ein IPv4- oder IPV6-Netzwerk können Sie eine, zwei oder dreiNetzwerkschnittstellen (NICs) verwenden. Viele DMZ-Implementierungenverwenden getrennte Netzwerke zur Sicherung der verschiedenenDatenverkehrstypen. Konfigurieren Sie Unified Access Gateway entsprechend demNetzwerkdesign der DMZ, in der die Bereitstellung erfolgt. Zusammen mit derAnzahl der Netzwerkkarten können Sie für Unified Access Gateway auch dieBereitstellungsoption Standard oder Groß auswählen.

Hinweis VM-Optionen für die Bereitstellungen Standard und Groß:



Host/Cluster Wählen Sie den Host oder Cluster aus, auf dem die virtuelle Appliance ausgeführtwerden soll.

Festplattenformat Für Evaluierungs- und Testumgebungen wählen Sie das Format für eine schlankeSpeicherzuweisung („Thin Provisioning“). Für Produktionsumgebungen wählen Sieeines der Formate für eine starke Speicherzuweisung („Thick Provisioning“). „ThickProvision Eager Zeroed“ ist ein Typ eines Thick-Formats virtueller Festplatten, dasClustering-Funktionen wie die Fehlertoleranz unterstützt, aber sehr viel mehr Zeitbenötigt, um andere Typen virtueller Festplatten zu erstellen.


VMware, Inc. 52

Option Beschreibung

Einrichten von Netzwerken/Netzwerkzuordnung

Wenn Sie einen vSphere Web Client verwenden, können Sie auf der Seite„Netzwerke einrichten“ jede Netzwerkschnittstelle (NIC) einem Netzwerk zuordnenund die Protokolleinstellungen festlegen.

Ordnen Sie die Netzwerke in der OVF-Vorlage den Netzwerken in IhrerBestandsliste zu.

a Wählen Sie die erste Zeile in der Tabelle Internet aus und klicken Sie dann aufden Abwärtspfeil, um das Zielnetzwerk auszuwählen. Wenn Sie als IP-Protokoll IPv6 ausgewählt haben, müssen Sie das Netzwerk mit IPv6-Funktionauswählen.

Nach der Auswahl der Zeile können Sie auch die IP-Adressen für den DNS-Server, das Gateway und die Netzmaske im unteren Fensterabschnitteingeben.

b Wenn Sie mehr als eine NIC verwenden, wählen Sie die nächste ZeileManagementNetwork und anschließend das Zielnetzwerk aus. Dann könnenSie die IP-Adressen für den DNS-Server, das Gateway und die Netzmaske fürdieses Netzwerk eingeben.

Wenn Sie nur eine NIC verwenden, werden alle Zeilen demselben Netzwerkzugeordnet.

c Wenn Sie über eine dritte NIC verfügen, müssen Sie auch die dritte Zeileauswählen und die Einstellungen vornehmen.

Wenn Sie nur zwei NICs verwenden, wählen Sie für die dritte ZeileBackendNetwork dasselbe Netzwerk aus, das Sie bereits fürManagementNetwork verwendet haben.

Hinweis Ignorieren Sie das Dropdown-Menü IP-Protokoll, wenn es angezeigtwird, und treffen Sie hier keine Auswahl. Die tatsächliche Auswahl des IP-Protokolls (IPv4/IPv6/beide) hängt davon ab, welcher IP-Modus bei der Anpassungder Netzwerkeigenschaften für „IPModus“ der NIC 1 (eth0), NIC 2 (eth1) und NIC 3(eth2) angegeben ist.


VMware, Inc. 53

Option Beschreibung

Anpassen vonNetzwerkeigenschaften

Die Textfelder auf der Eigenschaftenseite sind speziell für Unified Access Gatewayvorgesehen und für andere Typen von virtuellen Appliances möglicherweise nichterforderlich. Der Text auf der Seite des Assistenten erläutert jede Einstellung. Wirdder Text auf der rechten Seite des Assistenten abgeschnitten, vergrößern Sie dasFenster durch Ziehen an der Ecke rechts unten. Bei STATICV4 müssen Sie fürjede Netzwerkkarte die IPv4-Adresse für die Netzwerkkarte eingeben. BeiSTATICV6 müssen Sie für die Netzwerkkarte die IPv6-Adresse angeben. Wenn Siedie Textfelder leer lassen, wird standardmäßig die IP-AdresszuweisungDHCPV4+DHCPV6 verwendet.

Wichtig Die neueste Version von Unified Access Gateway akzeptiert keineNetzmasken- oder Präfixwerte und Standard-Gateway-Einstellungen vomNetzwerkprotokollprofil (NPP). Um Unified Access Gateway mit statischer IP-Zuweisung zu konfigurieren, müssen Sie die Netzmaske/das Präfix in denNetzwerkeigenschaften konfigurieren. Diese Werte werden nicht vom NPPaufgefüllt.

Hinweis Bei den Werten wird die Groß-/Kleinschreibung beachtet.

n IPModus für NIC1 (eth0): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .

n IPModus für NIC2(eth1): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .

n IPModus für NIC3 (eth2): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .

n Kommagetrennte Liste mit weitergegebenen Regeln im Formular {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nuBeispielsweise für IPv4, tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443.

n NIC 1 (eth0) IPv4-Adresse. Geben Sie die IPv4-Adresse für die NIC ein, wennSie für den NIC-Modus STATICV4 festgelegt haben.

n Kommagetrennte Liste mit benutzerdefinierten IPv4-Routen für NIC 1(eth0) im Formular ipv4-network-address/bits ipv4-gateway-addressBeispielsweise 20.2.0.0/16 10.2.0.1,20.9.0.0/1610.2.0.2,10.2.0.1/32

Hinweis Wenn die ipv4-Gateway-Adresse nicht angegeben wird, ist dasGateway der entsprechenden Route, die hinzugefügt wird, 0.0.0.0.


n NIC 1 (eth0) IPv4-Netzmaske. Geben Sie die IPv4-Netzmaske für dieNetzwerkkarte ein.

n NIC 1 (eth0) IPv6-Präfix. Geben Sie das IPv6-Präfix für die Netzwerkkarte ein.

n DNS-Server-Adressen. Geben Sie IPv4- oder IPv6-Adressen derDomänennamensserver für die Unified Access Gateway-Appliance ein.Trennen Sie diese jeweils durch Leerzeichen. Beispiel für einen IPv4-Eintrag:192.0.2.1 192.0.2.2. Beispiel für einen IPv6-Eintrag: fc00:10:112:54::1


VMware, Inc. 54

Option Beschreibung

n IPv4-Standard-Gateway. Geben Sie ein IPv4-Standard-Gateway ein, wennUnified Access Gateway mit einer IP-Adresse kommunizieren muss, die sichnicht auf einem lokalen Segment einer Netzwerkkarte in Unified AccessGateway befindet.

n IPv6-Standard-Gateway. Geben Sie ein IPv6-Standard-Gateway ein, wennUnified Access Gateway mit einer IP-Adresse kommunizieren muss, die sichnicht auf einem lokalen Segment einer Netzwerkkarte in Unified AccessGateway befindet.


n Kommagetrennte Liste mit benutzerdefinierten IPv4-Routen für NIC 2(eth1) im Formular ipv4-network-address/bits ipv4-gateway-address.Beispielsweise 20.2.0.0/16 10.2.0.1,20.9.0.0/1610.2.0.2,10.2.0.1/32



n NIC 2 (eth1) IPv4-Netzmaske. Geben Sie die IPv4-Netzmaske für dieseNetzwerkkarte ein.

n NIC 2 (eth1) IPv6-Präfix. Geben Sie das IPv6-Präfix für diese Netzwerkkarteein.


n Kommagetrennte Liste mit benutzerdefinierten IPv4-Routen für NIC 3(eth2) im Formular ipv4-network-address/bits ipv4-gateway-address.Beispielsweise 20.2.0.0/16 10.2.0.1,20.9.0.0/1610.2.0.2,10.2.0.1/32



n NIC 3 (eth2) IPv4-Netzmaske. Geben Sie die IPv4-Netzmaske für dieseNetzwerkkarte ein.

n NIC 3 (eth2) IPv6-Präfix. Geben Sie das IPv6-Präfix für diese Netzwerkkarteein.

n Kennwort für VM-Root-Benutzer. Geben Sie das Kennwort für den Root-Benutzer zur Anmeldung bei der UAG-Konsole ein.

n Kennwort für Verwaltungsoberfläche. Geben Sie das Kennwort für denAdmin-Benutzer ein, um Unified Access Gateway über dieVerwaltungsoberfläche zu konfigurieren und auch auf die REST-APIszuzugreifen.

Die anderen Einstellungen sind entweder optional oder bereits mit einerStandardeinstellung vorausgefüllt.

Am CEIP teilnehmen Wählen Sie Programm zur Verbesserung der Benutzerfreundlichkeit beitretenaus, um am CEIP teilzunehmen. Deaktivieren Sie die Option, um das CEIP zuverlassen.


VMware, Inc. 55

5 Auf der Seite „Bereit zum Abschließen“ wählen Sie Nach Bereitstellung einschalten aus undklicken Sie auf Fertig stellen.

Im Statusbereich von vCenter Server wird eine Aufgabe für den Assistenten zum Bereitstellen vonOVF-Vorlagen zur Überwachung der Bereitstellung angezeigt. Sie haben auch die Möglichkeit, aufder virtuellen Maschine eine Konsole zur Darstellung der Konsolenmeldungen zu öffnen, die währenddes Systemstarts eingeblendet werden. Ein Protokoll dieser Meldungen ist auch in derDatei /var/log/boot.msg verfügbar.

6 Wenn die Bereitstellung abgeschlossen ist, müssen Sie sich vergewissern, dass Endbenutzer mit derAppliance durch Öffnen eines Browsers und Eingabe der folgenden URL eine Verbindung herstellenkönnen.

https://FQDN-of-UAG-appliance

In dieser URL ist FQDN-of-UAG-appliance der durch das DNS auflösbare, vollqualifizierteDomänenname (FQDN) der Unified Access Gateway-Appliance.

Wenn die Bereitstellung erfolgreich war, erscheint die bereitgestellte Webseite des Servers, auf denUnified Access Gateway verweist. War die Bereitstellung nicht erfolgreich, können Sie die virtuelleAppliance-Maschine löschen und die Appliance erneut bereitstellen. Der häufigste Fehler ist diefalsche Eingabe von Zertifikatfingerabdrücken.

Die Unified Access Gateway-Appliance ist bereitgestellt und startet automatisch.

Nächste Schritte

n Melden Sie sich bei der Verwaltungsoberfläche von Unified Access Gateway an und konfigurieren Siedie Desktop- und Anwendungsressourcen, um den Remote-Zugriff aus dem Internet über UnifiedAccess Gateway und die in der DMZ verwendeten Authentifizierungsmethoden zuzulassen. Die URLder Verwaltungskonsole hat das Format https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html.

Wichtig Sie müssen die Unified Access Gateway-Konfiguration nach der Bereitstellung mithilfe derVerwaltungsoberfläche abschließen. Wenn Sie das Kennwort für die Verwaltungsoberfläche nichtangeben, können Sie später keinen Benutzer für die Verwaltungsoberfläche hinzufügen, um denZugriff auf die Verwaltungsoberfläche oder die API zu ermöglichen. Sie müssen Ihre Unified AccessGateway-Instanz erneut mit einem gültigen Kennwort für die Verwaltungsoberfläche bereitstellen,wenn Sie einen Benutzer für die Verwaltungsoberfläche hinzufügen möchten.

Hinweis Wenn Sie nicht auf das Anmeldefenster der Verwaltungsoberfläche zugreifen können,überprüfen Sie, ob die virtuelle Maschine die IP-Adresse aufweist, die während der Installation derOVA angezeigt wurde. Wenn die IP-Adresse nicht konfiguriert wurde, verwenden Sie den auf derBenutzeroberfläche angegebenen VAMI-Befehl, um die NICs neu zu konfigurieren. Führen Sie denBefehl "cd /opt/vmware/share/vami" und dann den Befehl "./vami_config_net" aus.


VMware, Inc. 56

Konfigurieren von Unified Access Gateway auf denVerwaltungsseiten für die KonfigurationMelden Sie sich nach der Bereitstellung des OVF-Pakets und dem Einschalten der Unified AccessGateway-Appliance bei der Unified Access Gateway-Verwaltungsoberfläche an, um die Einstellungen zukonfigurieren.

Hinweis Wenn Sie die Admin-Konsole vonUnified Access Gatewayzum ersten Mal starten, werden Sieaufgefordert, das Kennwort, das Sie bei der Bereitstellung der Appliance festgelegt haben, zu ändern.

Die Seiten „Allgemeine Einstellungen“ und „Erweiterte Einstellungen“ enthalten Folgendes.

n Unified Access Gateway-Systemkonfiguration und TLS-Serverzertifikat

n Edge-Service-Einstellungen für HorizonReverse Proxy und VMware Tunnel sowie Content Gateway(auch CG genannt)

n Authentifizierungseinstellungen für RSA SecurID, RADIUS, X.509-Zertifikat und adaptive RSA-Authentifizierung

n Einstellungen für SAML-Identitätsanbieter und Dienstanbieter

n Netzwerkeinstellungen

n Anbietereinstellungen zur Überprüfung der Endpunktübereinstimmung

n Identity Bridging-Einstellungskonfiguration

n Kontoeinstellungen

Auf den Seiten für Support-Einstellungen haben Sie folgende Möglichkeiten.

n Herunterladen der Unified Access Gateway-Protokolldateien.

n Exportieren der Unified Access Gateway-Einstellungen zum Abrufen der Konfigurationseinstellungen.

n Festlegen der Einstellungen für die Protokollebene.

n Importieren der Unified Access Gateway-Einstellungen zum Erstellen und Aktualisieren der gesamtenUnified Access Gateway-Konfiguration.

Konfigurieren der Unified Access Gateway-SystemeinstellungenAuf den Verwaltungsseiten können Sie konfigurieren, welche Sicherheitsprotokolle undkryptographischen Algorithmen zur Verschlüsselung der Kommunikation zwischen Clients und der UnifiedAccess Gateway-Appliance verwendet werden.

Voraussetzungen

n Überprüfen Sie die Unified Access Gateway-Bereitstellungseigenschaften. Die folgendenInformationen sind erforderlich:

n Statische IP-Adresse für die Unified Access Gateway-Appliance

n IP-Adresse des DNS-Servers


VMware, Inc. 57

n Kennwort für die Verwaltungskonsole

n URL der Serverinstanz des Load Balancers, auf den die Unified Access Gateway-Applianceverweist

n Syslog-Server-URL für das Speichern der Ereignisprotokolldateien

Verfahren


2 Klicken Sie im Bereich „Erweiterte Einstellungen“ auf das Zahnradsymbol für dieSystemkonfiguration.

3 Bearbeiten Sie die folgenden Konfigurationswerte für die Unified Access Gateway-Appliance.

Option Standardwert und Beschreibung

UAG-Name Der eindeutige UAG-Appliance-Name

Gebietsschema Legt das Gebietsschema für die Ausgabe von Fehlermeldungen fest.

n en_US für amerikanisches Englisch Hierbei handelt es sich um dieStandardeinstellung.

n ja_JP für Japanisch

n fr_FR für Französisch

n de_DE für Deutsch

n zh_CN für Vereinfachtes Chinesisch

n zh_TW für Traditionelles Chinesisch

n ko_KR für Koreanisch

n es für Spanisch

n pt_BR für brasilianisches Portugiesisch

n en_BR für britisches Englisch

Verschlüsselungssammlungen In den meisten Fällen ist es nicht erforderlich, die Standardeinstellungen zuändern. Dies sind die kryptografischen Algorithmen, mit denen die Kommunikationzwischen Clients und der Unified Access Gateway-Appliance verschlüsselt wird.Mit den Verschlüsselungseinstellungen werden verschiedene Sicherheitsprotokolleaktiviert.

Cipher-Reihenfolge beachten Die Standardeinstellung ist NEIN. Wählen Sie JA aus, um die Beachtung derReihenfolge der TLS-Cipher-Liste zu aktivieren.

TLS 1.0 aktiviert Die Standardeinstellung ist NEIN. Wählen Sie JA aus, um das SicherheitsprotokollTLS 1.0 zu aktivieren.

TLS 1.1 aktiviert Die Standardeinstellung ist JA. Das Sicherheitsprotokoll TLS 1.1 ist aktiviert.

TLS 1.2 aktiviert Die Standardeinstellung ist JA. Das Sicherheitsprotokoll TLS 1.2 ist aktiviert.

Syslog-Typ Wählen Sie in der Dropdown-Liste den Syslog-Typ aus. Folgende Optionen stehenzur Verfügung:

n UDP: Syslog-Nachrichten werden über das Netzwerk in Klartext über UDPgesendet. Dies ist die Standardoption.

n TLS: TLS-Verschlüsselung wird zwischen zwei Syslog-Servern hinzugefügt,damit die Nachrichten gesichert bleiben.

Hinweis Dies gilt für Unified Access Gateway 3.7 und höher.


VMware, Inc. 58


Syslog-URL Wenn der Syslog-Typ auf UDP festgelegt ist, ist diese Option aktiviert. Geben Siedie Syslog-Server-URL ein, die für die Protokollierung von Unified AccessGateway-Ereignissen verwendet wird. Bei diesem Wert kann es sich um eine URL,um einen Hostnamen oder um eine IP-Adresse handeln. Wenn Sie keine Syslog-Server-URL angeben, werden keine Ereignisse protokolliert.

Sie können maximal zwei URLs angeben. URLs werden durch Komma getrennt.Beispiel: syslog://server1.example.com:514, syslog://server2.example.com:514

Standardmäßig werden Ereignisse des Content Gateway- und Secure EmailGateway-Edge-Dienstes protokolliert. Zum Protokollieren von Ereignissen auf demSyslog-Server für den Tunnel Gateway-Edge-Dienst, der auf Unified AccessGateway konfiguriert ist, muss ein Administrator das Syslog auf der WorkspaceONE UEM Console mit den Informationen konfigurieren.SyslogHostname=localhost and Port=514

Weitere Informationen zu Syslog auf der Workspace ONE UEM Console finden Sieunter VMware Tunnel konfigurieren.

Syslog-Server Wenn der Syslog-Typ auf TLS festgelegt ist, ist diese Option aktiviert. Geben Siedie Syslog-Server-URL ein, die für die Protokollierung von Unified AccessGateway-Ereignissen verwendet wird. Bei diesem Wert kann es sich um eine URL,um einen Hostnamen oder um eine IP-Adresse handeln. Wenn Sie keine Syslog-Server-URL angeben, werden keine Ereignisse protokolliert.


Standardmäßig werden Ereignisse des Content Gateway- und Secure EmailGateway-Edge-Dienstes protokolliert. Zum Protokollieren von Ereignissen auf demSyslog-Server für den Tunnel Gateway-Edge-Dienst, der auf Unified AccessGateway konfiguriert ist, muss ein Administrator das Syslog auf der WorkspaceONE UEM Console mit den Informationen konfigurieren.SyslogHostname=localhost and Port=514

Hinweis Dies gilt für Unified Access Gateway 3.7 und höher.

Syslog-Überwachungs-URL Geben Sie die Syslog-Server-URL ein, die für die Protokollierung von UnifiedAccess Gateway-Überwachungsereignissen verwendet wird. Bei diesem Wertkann es sich um eine URL, um einen Hostnamen oder um eine IP-Adressehandeln. Wenn Sie keine Syslog-Server-URL festlegen, werden keineÜberwachungsereignisse protokolliert.


CA-Zertifikat Diese Option wird aktiviert, wenn ein Syslog-Server hinzugefügt wird. Wählen Sieein gültiges Zertifikat der Syslog-Zertifizierungsstelle aus.

Syslog-Clientzertifikat Wählen Sie ein gültiges Syslog-Clientzertifikat im PEM-Format aus.

Schlüssel des Syslog-Clientzertifikats Wählen Sie einen gültigen Syslog-Clientzertifikatsschlüssel im PEM-Format aus.

Hinweis Wenn Unified Access Gateway mithilfe von PowerShell bereitgestelltwird und ein Zertifikat oder Schlüssel angegeben wird, das bzw. der ungültig oderabgelaufen ist, ist die Admin-UI-Instanz nicht verfügbar.


VMware, Inc. 59

https://docs.vmware.com/de/VMware-Workspace-ONE-UEM/1907/Tunnel_Linux/GUID-A41D8AAC-BA17-40DD-975A-A17126ECBAC3.html


URL für Integritätsprüfung Geben Sie eine URL ein, mit der der Load Balancer eine Verbindung herstellt undden Zustand von Unified Access Gateway überprüft.

Cookies für Zwischenspeicherung Der Satz Cookies, den Unified Access Gateway zwischenspeichert. DerStandardwert ist „keine“.

IP-Modus Wählen Sie den statischen IP-Modus aus, entweder STATICV4 oder STATICV6.

Zeitüberschreitung der Sitzung Der Standardwert ist 36000000 Millisekunden.

Stilllegungsmodus Aktivieren Sie JA, um die Unified Access Gateway-Appliance anzuhalten, damit einkonsistenter Zustand für Wartungsaufgaben erreicht wird

Überwachungsintervall Der Standardwert ist 60.

Lebensdauer des Kennworts Die Anzahl der Tage, die das aktuelle Administratorkennwort gültig ist. DieStandardeinstellung ist 90 Tage. Geben Sie 0 (null) ein, wenn das Kennwort nieabläuft.

Zeitüberschreitung für Anforderung Geben Sie die Zeitüberschreitung für die Anforderung in Sekunden ein. DieStandardeinstellung ist 3000.

Body-Receive-Zeitüberschreitung Geben Sie die Body-Receive-Zeitüberschreitung in Sekunden ein. DieStandardeinstellung ist 5000.

Leerlaufzeitüberschreitung für Client-Verbindung

Geben Sie den Zeitraum (in Sekunden) ein, über den eine Clientverbindung imLeerlauf verbleiben kann, bevor die Verbindung getrennt wird. Der Standardwertbeträgt 360 Sekunden (6 Minuten). Der Wert 0 bedeutet, dass keineZeitüberschreitung für den Leerlauf vorhanden ist.

Zeitüberschreitung für dieAuthentifizierung

Die maximale Wartezeit in Millisekunden, bis zu der die Authentifizierung erfolgenmuss. Die Standardeinstellung ist 300000. Wenn 0 angegeben ist, gibt es keineZeitbeschränkung für die Authentifizierung.

Toleranz für Zeitabweichung Geben Sie den zwischen einer Unified Access Gateway-Uhr und den anderenUhren im selben Netzwerk zulässigen Zeitunterschied in Sekunden ein. DieStandardeinstellung ist 600 Sekunden.

Am CEIP teilnehmen Bei Aktivierung werden Informationen des Programms zur Verbesserung derBenutzerfreundlichkeit (CEIP) an VMware gesendet. Weitere Informationen dazufinden Sie unter Programm zur Verbesserung der Benutzerfreundlichkeit beitretenoder verlassen.

SNMP aktivieren Wechseln Sie zu JA, um den SNMP-Dienst zu aktivieren. Simple NetworkManagement Protocol erfasst Systemstatistiken, Arbeitsspeicherdaten und MIB-Informationen des Tunnel-Servers durch Unified Access Gateway. Die Liste derverfügbaren Management Information Base (MIB),

n UCD-SNMP-MIB::systemStats

n UCD-SNMP-MIB::memory

n VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB

DNS Geben Sie DNS-Adressen ein, die zur Konfigurationsdatei /etc/resolv/confhinzugefügt werden. Diese muss eine gültige DNS-Suchadresse enthalten. KlickenSie auf „+“, um eine neue DNS-Adresse hinzuzufügen.

DNS-Suche Geben Sie eine DNS-Suche ein, die zur Konfigurationsdatei /etc/resolv/confhinzugefügt wird. Diese muss eine gültige DNS-Suchadresse enthalten. KlickenSie auf „+“, um einen neuen DNS-Sucheintrag hinzuzufügen.


VMware, Inc. 60


NTP-Server NTP-Server für die Synchronisierung des Netzwerkzeitprotokolls. Sie könnengültige IP-Adressen und Hostnamen eingeben. Alle schnittstellenbezogenen NTP-Server, die von der systemd-networkd.service-Konfiguration oder über DHCPabgerufen werden, haben Vorrang vor diesen Konfigurationen. Klicken Sie auf „+“,um einen neuen NTP-Server hinzuzufügen.

Fallback-NTP-Server Fallback-NTP-Server für die Synchronisierung des Netzwerkzeitprotokolls. Wennkeine NTP-Serverinformationen gefunden werden, werden diese Fallback-NTP-Server-Hostnamen oder -IP-Adressen verwendet. Klicken Sie auf „+“, um einenneuen Fallback-NTP-Server hinzuzufügen.


Nächste Schritte

Konfigurieren Sie die Edge-Diensteinstellungen für die Komponenten, mit denen Unified Access Gatewaybereitgestellt wird. Konfigurieren Sie nach den Edgeeinstellungen die Authentifizierungseinstellungen.

Ändern der NetzwerkeinstellungenSie können die Netzwerkeinstellungen, wie z. B. die IP-Adresse, die Subnetzmaske, das Standard-Gateway und den IP-Zuteilungsmodus, für die konfigurierten Netzwerke über die Admin-Benutzeroberfläche ändern.

Beachten Sie die folgenden Einschränkungen, wenn Sie die Netzwerkeinstellungen ändern:

n IPv4 ist der einzige unterstützte IP-Modus, IPv6 wird nicht unterstützt.

n Wenn die IP-Adresse dynamisch in einer Verwaltungsnetzwerk-IP-Adresse geändert wird, wird dieBrowserumleitung für die neue IP-Adresse nicht unterstützt.

n Wenn die IP-Adresse, die Subnetzmaske oder das Standard-Gateway für eine mit dem Internetverbundene Netzwerkschnittstelle geändert wird, gehen alle aktuellen Sitzungen verloren.

Voraussetzungen

n Stellen Sie sicher, dass Sie als Administrator mit der Rolle „ROLE_ADMIN“ angemeldet sind.

n Wenn Sie die IP-Adresse in eine statische IP-Adresse, eine Subnetzmaske oder ein Standard-Gateway ändern, müssen Sie die Adresse, die Subnetzmaske und das Standard-Gateway zuvorkennen.

Verfahren


2 Klicken Sie unter Erweiterte Einstellungen auf das Zahnradsymbol neben Netzwerkeinstellungen.

Eine Liste der konfigurierten Netzwerke mit den zugehörigen Einstellungen wird angezeigt.

3 Klicken Sie im Fenster „Netzwerkeinstellungen“ auf das Zahnradsymbol neben dem Netzwerk,dessen Einstellungen Sie ändern möchten, und geben Sie die folgenden Informationen ein:

Die IPv4-Konfiguration


VMware, Inc. 61

Bezeichnung Beschreibung

IPv4-Zuteilungsmodus Wählen Sie, ob die IP-Adresse statisch oder dynamisch zugeteilt werden soll. Dieser Parametermuss für die statische IP-Zuteilung angegeben werden.

IPv4-Adresse IP-Adresse des Netzwerks. Sie müssen die IP-Adresse nicht angeben, wenn Sie die dynamischeIP-Zuteilung auswählen. Dieser Parameter muss für die statische IP-Zuteilung angegeben werden.

IPv4-Netzmaske IPv4-Netzmaske des Netzwerks. Sie müssen die IPv4-Netzmaske nicht angeben, wenn Sie diedynamische IP-Zuteilung auswählen.

IPv4-Standard-Gateway IPv4-Standard-Gateway-Adresse von Unified Access Gateway. Sie müssen die Standard-Gateway-IP-Adresse nicht angeben, wenn Sie die dynamische IP-Zuteilung auswählen.

Statische IPv4-Routen Benutzerdefinierte IPv4-Routen für das Netzwerk. Klicken Sie auf „+“, um eine neue statische Routehinzuzufügen.

Kommagetrennte Liste von benutzerdefinierten IPv4-Routen für die Netzwerkkarte (NIC) im Formatipv4-network-address/bits ipv4-gateway-address. Beispiel: 20.2.0.0/16 10.2.0.1,20.9.0.0/1610.2.0.2,10.2.0.1/32.

Hinweis Wenn die IPv4-Gateway-Adresse nicht angegeben wird, ist das Gateway derentsprechenden Route, die hinzugefügt wird, 0.0.0.0.

Die IPv6-Konfigurationen können nicht geändert werden.


IPv6-Zuteilungsmodus Gibt an, ob die IP-Adresse statisch, dynamisch oder automatisch zugeteilt wird.

IPv6-Adresse IP-Adresse des Netzwerks.

IPv6-Präfix Das IPv6-Präfix des Netzwerks.

IPv6-Standard-Gateway IPv6-Standard-Gateway-Adresse von Unified Access Gateway.


Wenn die Einstellungen erfolgreich geändert wurden, wird eine Erfolgsmeldung angezeigt. EineFehlermeldung wird angezeigt, wenn die Netzwerkeinstellungen nicht aktualisiert werden können.

Konfigurieren von BenutzerkontoeinstellungenAls Superuser-Administrator, der vollständigen Zugriff auf das System Unified Access Gateway hat,können Sie Benutzer hinzufügen und löschen, Kennwörter ändern und Rollen für die Benutzer auf denAdmin-Konfigurationsseiten ändern.

Die Kontoeinstellungen, einschließlich der Daten des Administrators mit niedrigen Berechtigungen,können nicht aus den Appliance-Einstellungen exportiert oder in diese importiert werden. DieKonfiguration eines neuen Kontos mit niedrigen Berechtigungen für eine neue Instanz von Unified AccessGateway erfolgt manuell über die Adminstrationsoberfläche.


VMware, Inc. 62

Hinzufügen eines Administrators mit niedrigen BerechtigungenSie können jetzt einen Administrator mit niedrigen Berechtigungen konfigurieren und hinzufügen, der einebegrenzte Anzahl von Aufgaben ausführen kann, wie z.B. Nur-Lesen-Vorgänge, Systemüberwachungund so weiter.

Hinweis Derzeit können Sie nur einen Administrator mit niedrigen Berechtigungen zu einer Instanz vonUnified Access Gateway hinzufügen.

Verfahren


2 Wählen Sie unter „Erweiterte Einstellungen“ das Zahnradsymbol für die Kontoeinstellungen.

3 Klicken Sie im Fenster „Kontoeinstellungen“ auf Add.

Die Rolle wird automatisch auf ROLE_MONITORING gesetzt.

4 Geben Sie im Fenster Kontoeinstellungen die folgenden Informationen ein:

a Einen eindeutigen Benutzername für den Benutzer.

b (Optional) Aktivieren Sie das Kontrollkästchen Aktivieren, wenn Sie den Benutzer sofort nachdem Hinzufügen des Benutzers aktivieren möchten.

c Geben Sie ein Kennwort für den Benutzer ein. Kennwörter müssen mindestens acht Zeichen langsein und mindestens einen Groß- sowie einen Kleinbuchstaben enthalten, eine Ziffer und einSonderzeichen enthalten. Zulässige Sonderzeichen sind ! @ # $ % * ( ).

d Bestätigen Sie das Kennwort.


Der von Ihnen hinzugefügte Administrator ist unter „Kontoeinstellungen“ aufgeführt.

Nächste Schritte

Der Administrator mit niedrigen Berechtigungen kann sich im System anmelden, um das Kennwort zuändern oder Überwachungsaufgaben durchzuführen.

Ändern von BenutzerkontoeinstellungenAls Superuser-Administrator können Sie das Kennwort für einen Benutzer ändern und einen Benutzeraktivieren oder deaktivieren.

Sie können auch Ihr eigenes Kennwort ändern, aber Ihr eigenes Konto nicht deaktivieren.

Verfahren


2 Klicken Sie im Abschnitt „Erweiterte Einstellungen“ auf „Kontoeinstellungen“.

Eine Liste der Benutzer wird angezeigt.

3 Klicken Sie auf das Zahnradsymbol neben dem Benutzer, dessen Konto Sie ändern möchten.


VMware, Inc. 63

4 Bearbeiten Sie die folgenden Werte.

a Aktivieren oder deaktivieren Sie das Kontrollkästchen Aktivieren, je nachdem, ob Sie denBenutzer aktivieren oder deaktivieren möchten.

b Um das Benutzerkennwort zurückzusetzen, geben Sie ein neues Kennwort ein und bestätigenSie das Kennwort. Wenn Sie als Administrator angemeldet sind, müssen Sie auch Ihr altesKennwort eingeben.

Kennwörter müssen mindestens acht Zeichen lang sein und mindestens einen Groß- sowie einenKleinbuchstaben enthalten, eine Ziffer und ein Sonderzeichen enthalten. ZulässigeSonderzeichen sind ! @ # $ % * ( ).


Zurücksetzen des Admin-Kennworts mit der Unified Access Gateway-KonsoleWenn Sie das Admin-Benutzerkennwort vergessen haben, können Sie sich mit den Root-Benutzer-Anmeldedaten bei der Unified Access Gateway-Konsole anmelden und das Kennwort für die Admin-Benutzeroberfläche zurücksetzen.

Voraussetzungen

Sie müssen das Kennwort für die Anmeldung bei der virtuellen Maschine als Root-Benutzer oder alsBenutzer mit Root-Berechtigungen kennen. Der Benutzer muss Teil der root-Gruppe sein.

Weitere Informationen zum Root-Kennwort finden Sie unter Fehlerbehebung bei der Root-Anmeldung.

Verfahren

1 Melden Sie sich beim Betriebssystem der Unified Access Gateway-Konsole als Root-Benutzer an.

2 Geben Sie die folgenden Befehle zum Zurücksetzen des Administratorkennworts ein.

adminpwd

New password for user "admin": ********

Retype new password: ********

In diesem Beispiel ist das Kennwort mindestens acht Zeichen lang mit mindestens einem Groß-sowie einem Kleinbuchstaben, einer Ziffer und einem Sonderzeichen, inklusive ! @ # $ % * ( ).

Eine Meldung wie die folgende wird angezeigt.

adminpwd: password for "admin" updated successfully

3 Geben Sie die folgenden Befehle zum Zurücksetzen des Kennworts eines Administrators mit wenigerBerechtigungen ein.

adminpwd [-u <username>]

New password for user "jdoe": ********

Retype new password: ********


VMware, Inc. 64

Das Admin-Kennwort muss mindestens acht Zeichen lang sein und mindestens einen Groß- sowieeinen Kleinbuchstaben, eine Ziffer und ein Sonderzeichen enthalten. Zulässige Sonderzeichen sind !@ # $ % * ( ).

Eine Meldung wie die folgende wird angezeigt.

adminpwd: password for "jdoe" updated successfully

Das Admin-Benutzerkennwort wurde erfolgreich zurückgesetzt.

Nächste Schritte

Der Benutzer kann sich jetzt mit dem gerade festgelegten Administratorkennwort bei der Unified AccessGateway-Oberfläche anmelden. Der Benutzer muss das Kennwort ändern, wenn er sich nach demZurücksetzen des Kennworts mit dem adminpwd-CLI-Befehl zum ersten Mal anmeldet.

Hinweis Der Benutzer muss sich beim ersten Versuch nach dem Ändern des Kennworts anmelden.

Löschen eines BenutzersAls Superuser-Administrator können Sie einen Nicht-Root-Benutzer löschen.

Sie können einen Root-Administrator nicht löschen.

Verfahren


2 Wählen Sie unter „Erweiterte Einstellungen“ das Zahnradsymbol für die Kontoeinstellungen.

Eine Liste der Benutzer wird angezeigt.

3 Klicken Sie auf die Schaltfläche „x“ neben dem Benutzer, den Sie löschen möchten.

Vorsicht Der Benutzer wird sofort gelöscht. Diese Aktion kann nicht rückgängig gemacht werden.

Das Benutzerkonto wird gelöscht und eine Meldung wird angezeigt.

Konfigurieren der JSON Web Token-EinstellungenSie können nun öffentliche Schlüssel für die Validierung von JSON Web Token hinzufügen.

Verfahren


2 Wählen Sie unter „Erweiterte Einstellungen“ das Zahnradsymbol für die JWT-Einstellungen aus.

3 Klicken Sie im Fenster „JWT-Einstellungen“ auf Hinzufügen.


VMware, Inc. 65

4 Geben Sie im Fenster Kontoeinstellungen die folgenden Informationen ein:

Option Standard und Beschreibung

Name Einen Namen zur Identifizierung dieser Einstellung für die Validierung.

Aussteller Die JWT-Austellerwerte, wie sie im Issuer-Anspruch im eingehenden Tokenangegeben sind, müssen validiert werden.

URL des dynamischen öffentlichenSchlüssels

Geben Sie die URL für das dynamische Abrufen des öffentlichen Schlüssels ein.

URL-Fingerabdrücke für denöffentlichen Schlüssel

Geben Sie die Liste der URL-Fingerabdrücke für den öffentlichen Schlüssel ein.Wenn Sie keine Fingerabdruckliste zur Verfügung stellen, müssen Siesicherstellen, dass die Serverzertifikate durch eine vertrauenswürdigeZertifizierungsstelle ausgestellt wurden. Geben Sie die Fingerabdrücke alsHexadezimalzahlen ein. Beispiel: sha1 = C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC5E 8F 6A 3C 33 F2 95 C3.

Vertrauenswürdige Zertifikate Klicken Sie auf „+“, wählen Sie ein Zertifikat im PEM-Format und fügen Sie es zumTrust Store hinzu. Klicken Sie auf „-“, um ein Zertifikat aus dem Trust Store zuentfernen. Standardmäßig ist der Aliasname der Dateinamen des PEM-Zertifikats.Bearbeiten Sie das Textfeld „Alias“, um einen anderen Namen anzugeben.

Aktualisierungsintervall für denöffentlichen Schlüssel

Das Zeitintervall in Sekunden, in dem der öffentliche Schlüssel regelmäßig von derURL abgerufen wird.

Statische öffentliche Schlüssel Klicken Sie auf „+“, um einen öffentlichen Schlüssel Ihres Zertifikats auszuwählenund hinzuzufügen, der für die Validierung von JWT-Artefakten verwendet wird. DieDatei muss im PEM-Format vorliegen.


Die Details der Parameter werden unter „JWT-Einstellungen“ aufgelistet.

Aktualisieren von signierten SSL-ServerzertifikatenSie können Ihre signierten Zertifikate ersetzen, wenn sie ablaufen, oder die Standardzertifikate durch CA-signierte Zertifikate ersetzen.

Standardmäßig verwendet Unified Access Gateway ein selbstsigniertes TLS-/SSL-Serverzertifikat. FürProduktionsumgebungen empfiehlt VMware dringend, das standardmäßige selbstsignierte Zertifikatdurch ein von einer vertrauenswürdigen Zertifizierungsstelle signiertes Zertifikat für Ihre Umgebung zuersetzen.

Beachten Sie die folgenden Punkte, wenn Sie ein Zertifikat hochladen:

n Sie können das Standardzertifikat durch ein PEM-Zertifikat sowohl für den Administrator als auch fürden Benutzer ersetzen.


VMware, Inc. 66

n Wenn Sie ein CA-signiertes Zertifikat auf der Administratoroberfläche hochladen, wird der SSL-Connector über die Administratoroberfläche aktualisiert und neu gestartet, um sicherzustellen, dassdas hochgeladene Zertifikat übernommen wird. Wenn der Connector mit dem hochgeladenen CA-Zertifikat nicht neu startet, dann wird ein selbstsigniertes Zertifikat generiert und auf derAdministratoroberfläche angewendet. Der Benutzer wird benachrichtigt, dass der vorherige Versuch,ein Zertifikat hochzuladen, nicht erfolgreich war.

Hinweis Bei der PowerShell-Bereitstellung von Unified Access Gateway kann das SSL-Serverzertifikat angegeben werden. Es ist nicht erforderlich, es manuell zu ersetzen.

Voraussetzungen

n Das neue signierte Zertifikat und der private Schlüssel sind auf einem Computer gespeichert, auf denSie Zugriff haben.

n Konvertieren Sie das Zertifikat in PEM-Dateien und diese .pem-Dateien dann in ein einzeiligesFormat. Siehe Konvertieren von Zertifikatdateien in das einzeilige PEM-Format.

Verfahren

1 Klicken Sie in der Verwaltungskonsole auf Auswählen.

2 Klicken Sie im Bereich „Erweiterte Einstellungen“ auf das Zahnradsymbol für die Einstellungen desSSL-Serverzertifikats.

3 Wählen Sie Admin-Benutzeroberfläche oder Internet-Schnittstelle, um das Zertifikat auf einer derSchnittstellen anzuwenden. Sie können auch beide auswählen, um das Zertifikat auf beideSchnittstellen anzuwenden.

4 Wählen Sie als Zertifikattyp PEM oder PFX aus.

5 Für den Zertifikattyp PEM gehen Sie folgendermaßen vor:

a Klicken Sie in der Zeile des privaten Schlüssels auf Auswählen und suchen Sie nach der Dateimit dem privaten Schlüssel.

b Klicken Sie auf Öffnen, um die Datei hochzuladen.

c Klicken Sie in der Zeile der Zertifikatkette auf Auswählen und suchen Sie nach der Datei derZertifikatkette.

d Klicken Sie auf Öffnen, um die Datei hochzuladen.

6 Für den Zertifikattyp PFX gehen Sie folgendermaßen vor:

a Klicken Sie in der Zeile „PFX hochladen“ auf Auswählen und suchen Sie nach der pfx-Datei.

b Klicken Sie auf Öffnen, um die Datei hochzuladen.

c Geben Sie das Kennwort des PFX-Zertifikats ein.

d Geben Sie einen Alias für das PFX-Zertifikat ein.

Sie können den Alias verwenden, um zu unterscheiden, wenn mehrere Zertifikate vorhandensind.


VMware, Inc. 67


Eine Bestätigungsmeldung wird angezeigt, wenn das Zertifikat erfolgreich aktualisiert wurde.


VMware, Inc. 68

Bereitstellen von Unified AccessGateway mit PowerShell 3Unified Access Gateway kann über ein PowerShell-Skript bereitgestellt werden. Das PowerShell-Skriptwird als Musterskript geliefert, das Sie für Ihre Umgebung anpassen können.

Wenn Sie das PowerShell-Skript verwenden, um Unified Access Gateway bereitzustellen, ruft das Skriptdas OVF-Tool auf und validiert die Einstellungen, um automatisch die korrekte Befehlszeilensyntax zuerzeugen. Diese Methode ermöglicht auch erweiterte Einstellungen wie die Konfiguration des TLS/SSL-Serverzertifikats, das während der Bereitstellung angewendet werden soll.


n Systemanforderungen zur Bereitstellung von Unified Access Gateway mit PowerShell

n Verwenden von PowerShell zur Bereitstellung der Unified Access Gateway-Appliance

Systemanforderungen zur Bereitstellung von UnifiedAccess Gateway mit PowerShellUm Unified Access Gateway mit dem PowerShell-Skript bereitzustellen, müssen Sie bestimmteVersionen von VMware-Produkten verwenden.

n Das PowerShell-Skript kann auf Computern mit Windows 8.1 oder höher bzw. WindowsServer 2008 R2 oder höher ausgeführt werden.

n VMware vSphere ESXi-Host mit einem vCenter Server.

n VMware OVF Tool muss auf dem Windows-Computer installiert sein, auf dem das Skript ausgeführtwird.

Installieren Sie OVF Tool 4.0.1 oder höher von https://www.vmware.com/support/developer/ovf/.

n Microsoft Hyper-V

Hinweis Weitere Informationen finden Sie in der VMware Workspace ONE UEM-Dokumentation.

n Microsoft Azure

Hinweis Weitere Informationen finden Sie unter PowerShell-Bereitstellung von Unified AccessGateway auf Microsoft Azure.

VMware, Inc. 69

https://www.vmware.com/support/developer/ovf/

https://docs.vmware.com/de/VMware-Workspace-ONE-UEM/index.html

https://docs.vmware.com/de/Unified-Access-Gateway/3.6/vmware-uag-powershell-azure-deployment.doc/GUID-ADC9E115-C448-4305-9377-6E911C4E663C.html

https://docs.vmware.com/de/Unified-Access-Gateway/3.6/vmware-uag-powershell-azure-deployment.doc/GUID-ADC9E115-C448-4305-9377-6E911C4E663C.html

n Amazon AWS EC2

Hinweis Weitere Informationen finden Sie unter PowerShell-Bereitstellung von Unified AccessGateway auf Amazon Web Services.

Sie müssen den vSphere-Datenspeicher und das zu verwendende Netzwerk auswählen.


VMware, Inc. 70

https://docs.vmware.com/de/Unified-Access-Gateway/3.6/vmware-uag-powershell-aws-deployment.doc/GUID-BFC64731-B5DB-4B41-B8C1-7C01CD59C899.html


Verwenden von PowerShell zur Bereitstellung der UnifiedAccess Gateway-ApplianceAnhand von PowerShell-Skripten können Sie die Umgebung mit allen Konfigurationseinstellungeneinrichten. Wenn Sie das PowerShell-Skript zum Bereitstellen von Unified Access Gateway ausführen,kann die Lösung schon beim ersten Systemstart in der Produktion eingesetzt werden.

Wichtig Mit einer PowerShell-Bereitstellung können Sie alle Einstellungen in der INI-Datei angeben, unddie Unified Access Gateway-Instanz ist bereit für die Produktion, sobald sie hochgefahren ist. Wenn Siekeine Einstellungen nach der Bereitstellung ändern möchten, müssen Sie das Kennwort für dieVerwaltungsoberfläche nicht angeben.

Das Kennwort für die Verwaltungsoberfläche und die API sind allerdings nicht verfügbar, wenn dasKennwort während der Bereitstellung nicht angegeben wird.

Hinweis n Wenn Sie das Kennwort für die Verwaltungsoberfläche bei der Bereitstellung nicht angeben, können

Sie später keinen Benutzer hinzufügen, um den Zugriff auf die Verwaltungsoberfläche oder die API zuermöglichen. Sie müssen Ihre Unified Access Gateway-Instanz erneut mit einem gültigen Kennwortbereitstellen, wenn Sie einen Benutzer für die Verwaltungsoberfläche hinzufügen möchten.

n Unified Access Gateway 3.5 und höher enthält eine optionale sshEnabled-INI-Eigenschaft. DurchFestlegen von sshEnabled=true im Abschnitt [General] der PowerShell-INI-Datei wird der ssh-Zugriffauf die bereitgestellte Appliance automatisch aktiviert. VMware empfiehlt in der Regel nicht, ssh aufUnified Access Gateway zu aktivieren, außer in bestimmten Situationen und wenn Zugriffeingeschränkt werden kann. Diese Funktion ist hauptsächlich für Amazon AWS EC2-Implementierungen vorgesehen, bei denen kein alternativer Konsolenzugriff möglich ist.

Hinweis Weitere Informationen zu Amazon AWS EC2 finden Sie unter PowerShell-Bereitstellungvon Unified Access Gateway auf Amazon Web Services.

Wenn sshEnabled=true nicht angegeben oder auf false festgelegt ist, dann ist ssh nicht aktiviert.

Aktivieren des ssh-Zugriffs auf Unified Access Gateway für vSphere-, Hyper-V- oder Microsoft Azure-Bereitstellungen ist in der Regel nicht erforderlich, da bei diesen Plattformen ein Zugriff über dieKonsole möglich ist. Wenn Root-Konsolenzugriff für die Amazon AWS EC2-Bereitstellung erforderlichist, legen Sie sshEnabled=true fest. In Fällen, in denen ssh aktiviert ist, muss der Zugriff auf TCP-Port 22 bei Firewalls oder Sicherheitsgruppen auf die Quell-IP-Adressen einzelner Administratoreneingeschränkt werden. EC2 unterstützt diese Einschränkung in der EC2-Sicherheitsgruppe, die denUnified Access Gateway-Netzwerkschnittstellen zugeordnet ist.

Voraussetzungen

n Löschen Sie bei einer Hyper-V-Bereitstellung und bei einem Upgrade von Unified Access Gatewaymit statischer IP die vorherige Appliance, bevor Sie die neuere Unified Access Gateway-Instanzbereitstellen.


VMware, Inc. 71



n Stellen Sie sicher, dass die Systemanforderungen erfüllt sind.

Dies ist ein Beispielskript zum Bereitstellen von Unified Access Gateway in Ihrer Umgebung.

Abbildung 3-1. PowerShell-Beispielskript

Verfahren

1 Laden Sie die Unified Access Gateway-OVA-Datei von My VMware auf Ihren Windows-Computerherunter.

2 Laden Sie die uagdeploy-XXX.zip-Dateien in einen Ordner auf dem Windows-Computer herunter.

Sie finden die ZIP-Dateien unter https://communities.vmware.com/docs/DOC-30835.

3 Öffnen Sie ein PowerShell-Skript und ändern Sie das Verzeichnis in den Speicherort des Skripts.

4 Erstellen Sie eine INI-Konfigurationsdatei für die virtuelle Unified Access Gateway-Appliance.

Beispiel: Stellen Sie eine neue Unified Access Gateway-Appliance AP1 bereit. DieKonfigurationsdatei hat den Namen ap1.ini. Diese Datei enthält alle Konfigurationseinstellungen fürAP1. Sie können mit den INI-Beispieldateien in der Datei apdeploy.ZIP die INI-Datei erstellen unddie Einstellungen entsprechend ändern.

Hinweis n Sie können eindeutige INI-Dateien für mehrere Unified Access Gateway-Bereitstellungen in Ihrer

Umgebung verwenden. Um mehrere Appliances bereitzustellen, müssen Sie die IP-Adressen unddie Namensparameter in der INI-Datei entsprechend ändern.


VMware, Inc. 72

https://communities.vmware.com/docs/DOC-30835

Beispiel für die anzupassende INI-Datei.

[General]

netManagementNetwork=

netInternet=

netBackendNetwork=

name=

dns = 192.0.2.1 192.0.2.2

dnsSearch = example1.com example2.com

ip0=10.108.120.119

diskMode=

source=

defaultGateway=10.108.120.125

target=

ds=

deploymentOption=onenic

authenticationTimeout=300000

fipsEnabled=false

uagName=UAG1

locale=en_US

ipModeforNIC3=DHCPV4_DHCPV6

tls12Enabled=true

ipMode=DHCPV4_DHCPV6

requestTimeoutMsec=10000

ipModeforNIC2=DHCPV4_DHCPV6

tls11Enabled=true

clientConnectionIdleTimeout=180

tls10Enabled=false

adminCertRolledBack=false

honorCipherOrder=false

cookiesToBeCached=none

healthCheckUrl=/favicon.ico

quiesceMode=false

syslogUrl=10.108.120.108:514

isCiphersSetByUser=false

tlsPortSharingEnabled=true

ceipEnabled=true

bodyReceiveTimeoutMsec=15000

monitorInterval=60

cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH

_AES_128_CBC_SHA

adminPasswordExpirationDays=90

httpConnectionTimeout=120

isTLS11SetByUser=false

sessionTimeout=36000000

ssl30Enabled=false

snmpEnabled= TRUE | FALSE

ntpServers=ipOrHostname1 ipOrHostname2

fallBackNtpServers=ipOrHostname1 ipOrHostname2

[WebReverseProxy1]

proxyDestinationUrl=https://10.108.120.21

trustedCert1=

instanceId=view


VMware, Inc. 73


userNameHeader=AccessPoint-User-ID

proxyPattern=/(.*)

landingPagePath=/

hostEntry1=10.108.120.21 HZNView.uagqe.auto.com

[Horizon]

proxyDestinationUrl=https://enterViewConnectionServerUrl

trustedCert1=

gatewayLocation=external

disableHtmlAccess=false


proxyDestinationIPSupport=IPV4

smartCardHintPrompt=false

queryBrokerInterval=300

proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))

matchWindowsUserName=false

windowsSSOEnabled=false

[Airwatch]

tunnelGatewayEnabled=true

apiServerUsername=domain\apiusername

apiServerPassword=*****

proxyDestinationUrl=https://null

ntlmAuthentication=false


organizationGroupCode=

apiServerUrl=https://null

airwatchOutboundProxy=false

outboundProxyHost=1.2.3.4

outboundProxyPort=3128

outboundProxyUsername=proxyuser

outboundProxyPassword=****

reinitializeGatewayProcess=false

airwatchServerHostname=tunnel.acme.com

trustedCert1=c:\temp\CA-Cert-A.pem

hostEntry1=1.3.5.7 backend.acme.com

[AirwatchSecureEmailGateway]

memConfigurationId=abc123




outboundProxyHost=1.2.3.4

outboundProxyPort=3128


outboundProxyPassword=****


airwatchServerHostname=serverNameForSNI

apiServerPassword=****


pfxCerts=C:\Users\admin\My Certs\mycacerts.pfx

hostEntry1=1.3.5.7 exchange.acme.com

[AirWatchContentGateway]


VMware, Inc. 74

cgConfigId=abc123



apiServerPassword=*****

outboundProxyHost=

outboundProxyPort=


outboundProxyPassword=*****

airwatchOutboundProxy=false

hostEntry1=192.168.1.1 cgbackend.acme.com


ntlmAuthentication=false


airwatchServerHostname=cg.acme.com

[SSLCert]

pemPrivKey=

pemCerts=

pfxCerts=

pfxCertAlias=

[SSLCertAdmin]

pemPrivKey=

pemCerts=

pfxCerts=

pfxCertAlias=

[JWTSettings1]

publicKey1=

publicKey2=

publicKey3=

name=JWT_1

[JWTSettings2]

publicKey1=

publicKey2=

name=JWT_2

5 Geben Sie den PowerShell-Befehl set-executionpolicy ein, um eine uneingeschränkte Ausführungdes Skripts sicherzustellen.

set-executionpolicy -scope currentuser unrestricted

Sie müssen dies nur einmal durchführen, um die Einschränkung zu entfernen.

a (Optional) Wenn eine Warnung für das Skript angezeigt wird, führen Sie folgenden Befehl aus,um die Warnung aufzuheben: unblock-file -path .\uagdeploy.ps1

6 Führen Sie den Befehl aus, um die Bereitstellung zu starten. Wenn Sie die INI-Datei nicht angeben,verwendet das Skript standardmäßig ap.ini.

.\uagdeploy.ps1 -iniFile uag1.ini


VMware, Inc. 75

7 Geben Sie die Anmeldedaten ein, wenn Sie dazu aufgefordert werden, und schließen Sie das Skriptab.

Hinweis Wenn Sie aufgefordert werden, den Fingerabdruck für den Zielcomputer hinzuzufügen,geben Sie Ja ein.

Die Unified Access Gateway-Appliance ist bereitgestellt und kann in der Produktion eingesetztwerden.

Weitere Informationen zu PowerShell-Skripten finden Sie unter https://communities.vmware.com/docs/DOC-30835.

Nächste Schritte

Wenn Sie Unified Access Gateway unter Beibehaltung der vorhandenen Einstellungen ein Upgradedurchführen möchten, bearbeiten Sie die INI-Datei, um die Quellreferenz zur neuen Version zu ändern,und führen Sie die .INI-Datei uagdeploy.ps1 uag1.ini erneut aus. Dieser Vorgang kann bis zu3 Minuten in Anspruch nehmen.

[General]

name=UAG1

source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

Informationen zum Upgrade ohne Unterbrechung des Dienstes finden Sie unter Upgrade ohneAusfallzeit.


VMware, Inc. 76



Anwendungsbeispiele für dieUnified Access Gateway-Bereitstellung 4Mithilfe der in diesem Kapitel beschriebenen Bereitstellungsszenarien können Sie die Unified AccessGateway-Bereitstellung für Ihre Umgebung identifizieren und organisieren.

Sie können Unified Access Gateway mit Horizon, Horizon Cloud with On-Premises Infrastructure,VMware Identity Manager und Workspace ONE UEM bereitstellen.


n Bereitstellung mit Horizon und Horizon Cloud with On-Premises Infrastructure

n Überprüfung der Endpunktübereinstimmung für Horizon

n Bereitstellung als Reverse-Proxy

n Bereitstellung für Single Sign-on-Zugriff auf standortbasierte ältere Webanwendungen

n Workspace ONE UEM Komponenten auf Unified Access Gateway

n Weitere Anwendungsfälle für die Bereitstellung

Bereitstellung mit Horizon und Horizon Cloud with On-Premises InfrastructureSie können Unified Access Gateway mit Horizon Cloud with On-Premises Infrastructure und der Cloud-Infrastruktur Horizon Air bereitstellen.

BereitstellungsszenarioUnified Access Gateway liefert sicheren Remotezugriff auf lokale virtuelle Desktops und Anwendungen ineinem Kunden-Datencenter. Dies wird mit einer lokalen Bereitstellung von Horizon oder Horizon Air füreinheitliches Management betrieben.

Dank Unified Access Gateway kann das Unternehmen die Identität des Benutzers sicherstellen und denZugriff auf seine zulässigen Desktops und Anwendungen steuern.

VMware, Inc. 77

Virtuelle Unified Access Gateway-Appliances werden üblicherweise in einer demilitarisiertenNetzwerkzone (DMZ) bereitgestellt. Durch die Bereitstellung in einer DMZ wird sichergestellt, dass dergesamte Datenverkehr, der für Desktop- und Anwendungsressourcen in das Datencenter gelangt,Datenverkehr ist, der zu einem sicher authentifizierten Benutzer gehört. Außerdem sorgen virtuelleUnified Access Gateway-Appliances dafür, dass der Datenverkehr für einen authentifizierten Benutzer nuran Desktop- und Anwendungsressourcen geleitet werden kann, für die der Benutzer berechtigt ist. DieserGrad an Sicherheit erfordert eine genaue Untersuchung der Desktopprotokolle und Koordination von sichpotenziell schnell verändernden Richtlinien und Netzwerkadressen, damit der Zugriff genauestenskontrolliert werden kann.

Die folgende Abbildung zeigt eine Beispielkonfiguration mit Front-End- und Back-End-Firewall.

Abbildung 4-1. Unified Access Gateway in einer DMZ-Topologie

HorizonServer

MicrosoftActive

Directory

ESXi-Hosts-AusführungVirtual Desktop

virtuelle Maschinen

ExternesNetzwerk

vCenterManagement

Server



Client-Gerät

DMZ


Sie müssen die Anforderungen einer nahtlosen Unified Access Gateway-Bereitstellung mit Horizonerfüllen.

n Die Unified Access Gateway-Appliance verweist auf einen Load Balancer, der Horizon-Servernvorgelagert ist, und die Auswahl der Serverinstanz erfolgt dynamisch.


VMware, Inc. 78

n Standardmäßig muss Port 8443 für Blast TCP/UDP verfügbar sein. Es ist jedoch auch möglich,Port 443 für Blast TCP/UDP zu konfigurieren.

Hinweis Wenn Sie Unified Access Gateway zur Verwendung sowohl des IPv4- als auch des IPv6-Modus konfigurieren, muss das Blast-TCP/-UDP bei Port 443 festgelegt werden. Sie können UnifiedAccess Gateway als eine Bridge für IPv6-Horizon Clients aktivieren, die eine Verbindung mit einemIPv4-Back-End-Verbindungsserver oder einer entsprechenden Agent-Umgebung herstellen. SieheUnterstützung von Dual IPv4- und IPv6-Modus für Horizon-Infrastruktur.

n Das Blast Secure Gateway und das PCoIP Secure Gateway müssen aktiviert sein, wenn UnifiedAccess Gateway mit Horizon bereitgestellt wird. Dies gewährleistet, dass die Anzeigeprotokolle überUnified Access Gatewayautomatisch als Proxys dienen können. Die Einstellungen BlastExternalURLund PcoipExternalURL geben Verbindungsadressen an, die von den Horizon Clients verwendetwerden, um diese Anzeigeprotokollverbindungen über die entsprechenden Gateways von UnifiedAccess Gateway weiterzuleiten. Dadurch wird die Sicherheit verbessert, da diese Gatewayssicherstellen, dass der Anzeigeprotokoll-Datenverkehr im Namen eines authentifizierten Benutzersgesteuert wird. Unautorisierter Anzeigeprotokoll-Datenverkehr wird von Unified Access Gatewayignoriert.

n Deaktivieren Sie die sicheren Gateways (Blast Secure Gateway und PCoIP Secure Gateway) aufHorizon-Verbindungsserver-Instanzen und aktivieren Sie diese Gateways auf den Unified AccessGateway-Appliances.

Es wird empfohlen, dass Benutzer, die Horizon 7 bereitstellen, die Unified Access Gateway-Appliancestatt des Horizon-Sicherheitsservers verwenden.

Hinweis Horizon Connection Server funktioniert nicht mit einem aktivierten Web-Reverse-Proxy, wennes eine Überschneidung im Proxy-Muster gibt. Aus diesem Grund müssen Sie das Proxy-Muster „/“ ausden Horizon-Einstellungen entfernen und das Muster im Web-Reverse-Proxy beibehalten, um eineÜberschneidung zu verhindern, wenn sowohl Horizon als auch eine Web-Reverse-Proxy-Instanz mitProxy-Mustern auf der gleichen Unified Access Gateway-Instanz konfiguriert und aktiviert sind. DieBeibehaltung des Proxy-Musters „/“ in der Web-Reverse-Proxy-Instanz stellt sicher, dass die richtigeWeb-Reverse-Proxy-Seite angezeigt wird, wenn ein Benutzer auf die URL von Unified Access Gatewayklickt. Wenn nur Horizon-Einstellungen konfiguriert sind, ist die oben angegebene Änderung nichterforderlich.

Ein Horizon-Sicherheitsserver und eine Unified Access Gateway-Appliance unterscheiden sich wie folgt:

n Sichere Bereitstellung. Unified Access Gateway ist als geschützte, gesperrte, vorkonfigurierte Linux-basierte virtuelle Maschine implementiert.

n Skalierbar. Sie können Unified Access Gateway mit einem individuellen Horizon-Verbindungsserververbinden oder Sie können die Verbindung über einen Lastausgleichsdienst herstellen, der mehrerenHorizon-Verbindungsservern vorgelagert ist. Auf diese Weise wird verbesserte Hochverfügbarkeitermöglicht. Die Software fungiert als Ebene zwischen Horizon-Clients Horizon-Back-End-Verbindungsservern. Da die Bereitstellung schnell verläuft, kann sie schnell vergrößert oderverkleinert werden, um die wechselnden Anforderungen dynamischer Unternehmen zu erfüllen.


VMware, Inc. 79

Abbildung 4-2. Verweisen der Unified Access Gateway-Appliance auf einenLastausgleichsdienst

HorizonServer

MicrosoftActive

Directory

ESXi-Hosts-AusführungVirtual Desktop

virtuelle Maschinen

ExternesNetzwerk

vCenterManagement

Server



Client-Gerät

DMZ


Alternativ dazu können auch eine oder mehrere Unified Access Gateway-Appliances auf eine einzelneServerinstanz verweisen. Bei beiden Vorgehensweisen verwenden Sie einen den zwei oder mehr UnifiedAccess Gateway-Appliances in der DMZ vorgelagerten Lastausgleichsdienst.


VMware, Inc. 80

Abbildung 4-3. Verweisen der Unified Access Gateway-Appliance auf eine Horizon Server-Instanz

Workspace ONE/Identity Manager

MicrosoftActive

Directory

Internet

vCenterManagement

Server



WorkspaceONE-Client

DMZ


Firewall

FirewallUnternehmens-zone

Workspace ONE-Client

DNS-/NTP-Dienste

AuthentifizierungDie Benutzerauthentifizierung erfolgt ähnlich wie beim Horizon-Sicherheitsserver. Die folgendenBenutzer-Authentifizierungsmethoden werden in Unified Access Gateway unterstützt:

n Active Directory-Benutzername und -Kennwort.

n Kiosk-Modus. Detaillierte Informationen zum Kiosk-Modus finden Sie in der Horizon-Dokumentation.

n Zwei-Faktor-Authentifizierung mit RSA SecurID, offiziell zertifiziert durch RSA für SecurID.

n RADIUS über verschiedene Zwei-Faktor-Sicherheitslösungen von Drittanbietern.

n Smartcard, CAC oder PIV X.509-Benutzerzertifikate.


VMware, Inc. 81

n SAML.

Diese Authentifizierungsmethoden werden bei Horizon Connection Server unterstützt. Unified AccessGateway erfordert keine direkte Kommunikation mit Active Directory. Diese Kommunikation dient alsProxy über den Horizon Connection Server, der direkt auf Active Directory zugreifen kann. Nach derAuthentifizierung der Benutzersitzung entsprechend der Authentifizierungsrichtlinie kann Unified AccessGateway Anforderungen für Berechtigungsinformationen sowie Anforderungen zum Desktop- undAnwendungsstart an Horizon Connection Server weiterleiten. Unified Access Gateway verwaltet darüberhinaus die zugehörigen Desktop- und Anwendungsprotokoll-Handler, damit diese nur autorisiertenProtokolldatenverkehr weiterleiten.

Unified Access Gateway führt die Smartcard-Authentifizierung eigenständig durch. Dazu gehörenOptionen für die Kommunikation zwischen Unified Access Gateway und Online Certificate StatusProtocol(OCSP)-Servern zur Suche nach entzogenen X.509-Zertifikaten usw.

Unterstützung von Dual IPv4- und IPv6-Modus für Horizon-InfrastrukturSie können Unified Access Gateway als eine Bridge für IPv6-Horizon Clients verwenden, die eineVerbindung mit einem IPv4-Back-End-Verbindungsserver oder einer entsprechenden Agent-Umgebungherstellen.

Sie können Unified Access Gateway im twonic-Modus mit der Front-End-Netzwerkkarte im gemischtenIPv4/IPv6-Modus und das Horizon-Back-End oder die Management-Netzwerkkarte im IPv4-Modusbereitstellen. Die Horizon-Back-End-Umgebung besteht möglicherweise aus Verbindungsservern, Agent-Desktops oder anderer serverseitiger Infrastruktur.

Hinweis Wenn Sie Unified Access Gateway im IPv4/IPv6-Modus konfigurieren, stellen Sie sicher, dassdie Blast External-URL für TCP/UDP auf 443 festgelegt ist. Siehe Bereitstellung mit Horizon und HorizonCloud with On-Premises Infrastructure und Konfigurieren der Horizon-Einstellungen.

Hinweis Horizon-Funktion für IPv6- und IPv4-Bridging wird nicht für PCoIP oder Blast UDP unterstützt.

Die folgenden Horizon Client- und Server-IP-Modi werden unterstützt.

Tabelle 4-1. Unterstützte Horizon-Einstellungen (IP-Modi)

Horizon Client-Modus Horizon Server-Modus Unterstützt

IPv4 IPv4 Ja

IPv6 IPv4 Ja

IPv6 IPv6 Ja

IPv4 IPv6 Nein

Bei der Installation eines Horizon-Clients wird, je nach aktuellem Netzwerk, eine Verbindung über IPv4oder IPv6 hergestellt, wenn Sie Automatische Auswahl oder Dual auswählen.


VMware, Inc. 82

Erweiterte Einstellungen für Edge-DienstUnified Access Gateway verwendet verschiedene Variablen, um zwischen Edge-Diensten, konfiguriertenWeb-Proxys und Proxy-Ziel-URLs zu unterscheiden.

Proxy-Muster und UnSecure-MusterUnified Access Gateway verwendet Proxy-Muster, um eingehende HTTP-Anforderungen an den richtigenEdge-Dienst wie Horizon oder eine der konfigurierten Web-Reverse-Proxy-Instanzen wie VMware IdentityManager weiterzuleiten. Es wird daher als Filter verwendet, um zu bestimmen, ob ein Reverse-Proxy fürdie Verarbeitung des eingehenden Datenverkehrs erforderlich ist.

Wenn ein Reverse-Proxy ausgewählt wurde, verwendet der Proxy ein angegebenes UnSecure-Muster,um zu bestimmen, ob der eingehende Datenverkehr zum Back-End ohne Authentifizierung zulässig ist.

Der Benutzer muss ein Proxy-Muster angeben. Die Festlegung eines UnSecure-Musters ist optional. DasUnSecure-Muster wird von Web-Reverse-Proxys wie z. B. VMware Identity Manager verwendet, die übereigene Anmeldeverfahren verfügen und für die erforderlich ist, dass bestimmte URLs wie z. B.Anmeldeseitenpfade, Javascripts oder Image-Ressourcen an das Back-End ohne Authentifizierungübergeben werden.

Hinweis Ein UnSecure-Muster ist eine Teilmenge des Proxy-Musters. Es ist daher möglich, dass einigePfade in beiden Mustern für einen Reverse-Proxy identisch sind.

Hinweis Das Muster kann auch verwendet werden, um bestimmte URLs auszuschließen. Umbeispielsweise alle URLs zuzulassen, aber „/admin“ zu blockieren, können Sie den folgenden Ausdruckverwenden. ^/(?!admin(.*))(.*)

Jeder Edge-Dienst kann ein anderes Muster haben. Beispielsweise kann das Proxy Pattern für Horizonals (/|/view-client(.*)|/portal(.*)|/appblast(.*)) und das Muster für VMware Identity Manager als(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) konfiguriert werden.

Hinweis Horizon Connection Server funktioniert nicht mit einem aktivierten Web-Reverse-Proxy, wennes eine Überschneidung im Proxy-Muster gibt. Aus diesem Grund müssen Sie das Proxy-Muster „/“ ausden Horizon-Einstellungen entfernen und das Muster in VMware Identity Manager beibehalten, um eineÜberschneidung zu verhindern, wenn sowohl Horizon als auch eine Web-Reverse-Proxy-Instanz wie z. B.VMware Identity Manager mit Proxy-Mustern der gleichen Unified Access Gateway-Instanz konfiguriertund aktiviert sind.

Die Beibehaltung des Proxy-Musters „/“ in der Web-Reverse-Proxy-Instanz (VMware Identity Manager)stellt sicher, dass die Seite VMware Identity Manager angezeigt wird, wenn ein Benutzer auf die URL vonUnified Access Gateway klickt.

Wenn nur Horizon-Einstellungen konfiguriert sind, ist die oben angegebene Änderung nicht erforderlich.


VMware, Inc. 83

Proxy-Host-MusterWenn mehrere Web-Reverse-Proxy-Instanzen konfiguriert sind und es eine Überschneidung in Proxy-Mustern gibt, verwendet Unified Access Gateway den Parameter Proxy Host Pattern, um zwischenihnen zu unterscheiden. Konfigurieren Sie den Proxy Host Pattern als FQDN des Reverse-Proxys.

Beispielsweise kann ein Host-Muster für Sharepoint als sharepoint.myco.com und ein Muster für JIRA alsjira.myco.com konfiguriert werden.

HosteinträgeKonfigurieren Sie dieses Textfeld nur, wenn Unified Access Gateway nicht in der Lage ist, den Back-End-Server oder die Anwendung zu erreichen. Wenn Sie die IP-Adresse und den Hostnamen der Back-End-Anwendung zu den Host-Einträgen hinzufügen, werden diese Informationen der Datei /etc/hosts vonUnified Access Gateway hinzugefügt. Dieses Feld ist für alle Edge-Dienst-Einstellungen gleich.

Proxy-Ziel-URLDies ist die URL der Back-End-Server-Anwendung der Edge-Dienst-Einstellungen, für die Unified AccessGateway der Proxy ist. Beispiel:

n Bei Horizon Connection Server ist die URL des Verbindungsservers die Proxy-Ziel-URL.

n Bei einem Web-Reverse-Proxy ist die Anwendungs-URL des konfigurierten Web-Reverse-Proxys dieProxy-Ziel-URL.

Konfiguration für einen einzelnen Reverse-ProxyWenn Unified Access Gateway eine einzelne eingehende Anforderung mit einer URI erhält, wird dasProxy-Muster verwendet, um zu entscheiden, ob die Anfrage weitergeleitet oder gelöscht werden soll.

Konfiguration für mehrere Reverse-Proxys1 Wenn Unified Access Gateway als Reverse-Proxy konfiguriert ist und eine eingehende Anforderung

mit einem URI-Pfad eintrifft, verwendet Unified Access Gateway das Proxy-Muster, um die korrekteWeb-Reverse-Proxy-Instanz zu finden. Wenn es eine Übereinstimmung gibt, wird dasübereinstimmende Muster verwendet. Wenn es mehrere Übereinstimmungen gibt, wird der Filter- undAbgleichvorgang in Schritt 2 wiederholt. Wenn es keine Übereinstimmung gibt, wird die Anforderunggelöscht und eine HTTP 404-Nachricht wird an den Client zurückgesendet.

2 Das Proxy-Host-Muster wird verwendet, um die Liste zu filtern, die bereits in Schritt 1 gefiltert wurde.Der HOST-Header wird verwendet, um die Anforderung zu filtern und die Reverse-Proxy-Instanz zufinden. Wenn es eine Übereinstimmung gibt, wird das übereinstimmende Muster verwendet. Wenn esmehrere Übereinstimmungen gibt, wird der Filter- und Abgleichvorgang in Schritt 3 wiederholt.

3 Beachten Sie Folgendes:

n Die erste Übereinstimmung aus der gefilterten Liste in Schritt 2 wird verwendet. DieseÜbereinstimmung ist möglicherweise nicht immer die richtigen Web-Reverse-Proxy-Instanz.Stellen Sie daher sicher, dass die Kombination aus Proxy-Muster und Proxy-Host-Muster für eineWeb-Reverse-Proxy-Instanz eindeutig ist, wenn mehrere Reverse-Proxys in einem UnifiedAccess Gateway eingerichtet sind.


VMware, Inc. 84

n Der Hostname aller konfigurierten Reverse-Proxys sollte auf dieselbe IP-Adresse aufgelöstwerden wie die externe Adresse der Unified Access Gateway-Instanz.

Weitere Informationen und Anleitungen zur Konfiguration eines Reverse-Proxys finden Sie unterKonfigurieren von Reverse-Proxy mit VMware Identity Manager.

Beispiel: Zwei Reverse-Proxys mit sich überschneidenden Proxy-Mustern undunterschiedlichen Host-MusternAngenommen, der erste Reverse-Proxy verwendet das Proxy-Muster /(.*) sowie das Host-Musterhost1.domain.com und der zweite Reverse-Proxy verwendet das Proxy-Muster (/app2(.*)|/app3(.*)|/)sowie das Host-Muster host2.domain.com.

n Eine Anforderung mit dem Pfad https://host1.domain.com/app1/index.html wird an den erstenReverse-Proxy weitergeleitet.

n Eine Anforderung mit dem Pfad https://host2.domain.com/app2/index.html wird an den zweitenReverse-Proxy weitergeleitet.

Beispiel: Zwei Reverse-Proxys mit sich gegenseitig ausschließenden Proxy-MusternAngenommen, der erste Reverse-Proxy verwendet das Proxy-Muster /app1(.*) und der zweite Reverse-Proxy das Muster (/app2(.*)|/app3(.*)|/).

n Eine Anforderung mit dem Pfad https://<uag domain name>/app1/index.html wird an den erstenReverse-Proxy weitergeleitet.

n Wenn eine Anforderung mit dem Pfad https://<uag domain name>/app3/index.html oder https://<uag domain name>/ gesendet wird, dann wird diese Anforderung an den zweiten Reverse-Proxyweitergeleitet.

Konfigurieren der Horizon-EinstellungenSie können Unified Access Gateway mit Horizon Cloud with On-Premises Infrastructure und der Cloud-Infrastruktur Horizon Air bereitstellen. Für die Bereitstellung von Horizon ersetzt die Appliance UnifiedAccess Gateway den Horizon-Sicherheitsserver.

Voraussetzungen

Wenn sowohl Horizon als auch eine Web-Reverse-Proxy-Instanz wie VMware Identity Manager auf dergleichen Unified Access Gateway-Instanz konfiguriert und aktiviert werden sollen, finden Sieentsprechende Informationen unter Erweiterte Einstellungen für Edge-Dienst.

Verfahren

1 Klicken Sie auf der Admin-UI im Bereich Manuell konfigurieren auf Auswählen.

2 Klicken Sie unter Allgemeine Einstellungen > Edge-Dienst-Einstellungen auf Anzeigen.

3 Klicken Sie auf das Zahnradsymbol für die Horizon-Einstellungen.

4 Ändern Sie auf der Seite der Horizon-Einstellungen NEIN in JA, um Horizon zu aktivieren.


VMware, Inc. 85

5 Konfigurieren Sie die folgenden Edge-Diensteinstellungen für Horizon:

Option Beschreibung

Bezeichner Standardmäßig ist hier Horizon eingestellt. Unified Access Gateway kann mitServern kommunizieren, die das XML-Protokoll von Horizon verwenden – etwadem Horizon-Verbindungsserver, Horizon Air und Horizon Cloud with On-PremisesInfrastructure.

Verbindungsserver-URL Geben Sie die Adresse des Horizon Servers oder des Load Balancers ein. GebenSie diesen in folgender Form ein: https://00.00.00.00.

Fingerabdruck derVerbindungsserver-URL

Geben Sie die Liste der Horizon Server-Fingerabdrücke ein.

Wenn Sie keine Fingerabdruckliste zur Verfügung stellen, müssen Siesicherstellen, dass die Serverzertifikate durch eine vertrauenswürdigeZertifizierungsstelle ausgestellt wurden. Geben Sie die Fingerabdrücke alsHexadezimalzahlen ein. Beispiel: sha1 = C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC5E 8F 6A 3C 33 F2 95 C3.

PCOIP aktivieren Ändern Sie NEIN zu JA, um festzulegen, dass PCoIP Secure Gateway aktiviert ist.

PCOIP-Legacy-Zertifikat deaktivieren Ändern Sie NEIN zu JA, um anzugeben, dass das hochgeladene SSL-Serverzertifikat statt des Legacy-Zertifikats verwendet werden soll. Legacy-PCoIP-Clients funktionieren nicht, wenn dieser Parameter auf JA festgelegt ist.

Externe PCOIP-URL Die von Horizon Clients verwendete URL für die Herstellung der Horizon-PCoIP-Sitzung auf dieser Unified Access Gateway-Appliance. Sie muss eine IPv4-Adresse und keinen Hostnamen enthalten. Beispielsweise 10.1.2.3:4172.Standardmäßig sind die Unified Access Gateway-IP-Adresse und Port 4172angegeben.

Blast aktivieren Ändern Sie NEIN in JA, um das Blast Secure Gateway zu verwenden.

IP-Modus für Verbindungsserver Wählen Sie IPv4, IPv6 oder IPv4+IPv6 aus dem Dropdown-Menü aus. DieStandardeinstellung ist IPv4.


VMware, Inc. 86

6 Klicken Sie auf Mehr, um die Authentifizierungsmethodenregel und andere erweiterte Einstellungenzu konfigurieren.

Option Beschreibung

Authentifizierungsmethoden Wählen Sie die zu verwendenden Authentifizierungsmethoden aus.

Standardmäßig wird die Passthrough-Authentifizierung des Benutzernamens unddes Kennworts verwendet. In den Dropdown-Menüs sind die von Ihnen in UnifiedAccess Gateway konfigurierten Authentifizierungsmethoden aufgeführt. Aktuellwerden die Authentifizierungsmethoden RSA SecurID und RADIUS unterstützt.

Sie können eine Authentifizierung konfigurieren, bei der eine zweiteAuthentifizierungsmethode verwendet wird, sofern der ersteAuthentifizierungsversuch fehlschlägt:

a Wählen Sie im ersten Dropdown-Menü eine Authentifizierungsmethode aus.

b Klicken Sie auf + und wählen Sie UND oder ODER aus.

c Wählen Sie im dritten Dropdown-Menü die zweite Authentifizierungsmethodeaus.

Damit Benutzer sich über beide Authentifizierungsmethoden authentifizierenmüssen, ändern Sie im Dropdown-Menü ODER in UND.

Hinweis n Konfigurieren Sie bei der PowerShell-Bereitstellung für die RSA SecurID-

Authentifizierung diese Option, um den Bildschirm „Passcode“ mitsecurid-auth AND sp-auth anzuzeigen.

n Konfigurieren Sie bei der vSphere-Bereitstellung für die RSA SecurID-Authentifizierung diese Option, um den Bildschirm „Passcode“ mitsecurid-auth anzuzeigen.

n Fügen Sie die folgenden Zeilen dem Horizon-Abschnitt der INI-Datei hinzu.

authMethods=securid-auth && sp-authmatchWindowsUserName=true

Fügen Sie am Ende Ihrer INI-Datei einen neuen Abschnitt hinzu.

[SecurIDAuth]serverConfigFile=C:\temp\sdconf.recexternalHostName=192.168.0.90internalHostName=192.168.0.90

Für beide IP-Adressen sollte die IP-Adresse von Unified Access Gatewayeingestellt werden. Die sdconf.rec-Datei wird von RSA AuthenticationManager abgerufen, der vollständig konfiguriert sein muss. Stellen Sie sicher,dass Sie Access Point 2.5 oder höher (oder Unified Access Gateway 3.0 oderhöher) verwenden und dass Unified Access Gateway im Netzwerk auf denRSA Authentication Manager-Server zugreifen kann. Führen Sie den Befehl„uagdeploy Powershell“ erneut aus, um das für RSA SecurID konfigurierteUnified Access Gateway erneut bereitzustellen.

Windows-SSO aktivieren Diese Option kann aktiviert werden, wenn die Authentifizierungsmethoden aufRADIUS festgelegt sind und wenn der RADIUS-Passcode mit dem Kennwort derWindows-Domäne identisch ist. Ändern Sie NEIN zu JA, um den RADIUS-Benutzernamen und den Passcode für die Anmeldedaten der Windows-Domänezu verwenden, um zu vermeiden, dass der Benutzer erneut aufgefordert werdenmuss.


VMware, Inc. 87

Option Beschreibung

Wenn Horizon in einer Umgebung mit mehreren Domänen eingerichtet ist und derangegebene Benutzername keinen Domänennamen enthält, wird derDomänenname nicht an CS gesendet.

Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebeneBenutzername keinen Domänennamen enthält, wird der Wert für die Konfigurationdes Suffix für die Namens-ID an den Benutzernamen angehängt. Wennbeispielsweise ein Benutzer „jdoe“ als Benutzernamen angegeben hat und„NameIDSuffix“ auf @north.int festgelegt ist, lautet der [email protected].

Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebeneBenutzername im UPN-Format vorliegt, wird das Suffix für die Namens-ID ignoriert.Wenn beispielsweise ein Benutzer [email protected], und für „NameIDSuffix“@south.int angegeben hat, lautet der Benutzername [email protected].

Wenn der angegebene Benutzername im Format <DomainName\username>vorliegt, z. B. NORTH\jdoe, sendet Unified Access Gateway den Benutzernamenund den Domänennamen separat an CS.

RADIUS-Klassenattribute Dies wird aktiviert, wenn für die Authentifizierungsmethoden RADIUS festgelegtwird. Klicken Sie auf „+“, um einen Wert für das Klassenattribut hinzuzufügen.Geben Sie den Namen des Klassenattributs ein, das für dieBenutzerauthentifizierung verwendet werden soll. Klicken Sie auf „-“, um einKlassenattribut zu entfernen.

Hinweis Wenn dieses Feld leer bleibt, wird keine zusätzliche Autorisierungdurchgeführt.

Text des Haftungsausschlusses Der Text der Haftungsausschluss-Meldung von Horizon, der dem Benutzerangezeigt wird und von ihm akzeptiert werden muss, wennAuthentifizierungsmethode konfiguriert ist.

Aufforderung für Smart Card-Hinweis Ändern Sie NEIN in JA, um den Kennworthinweis für die Zertifikatauthentifizierungzu aktivieren.

URI-Pfad für Integritätsprüfung Der für die Integritätsstatusüberwachung benötigte URI-Pfad für denVerbindungsserver, mit dem Unified Access Gateway sich verbindet.

Externe Blast-URL Die von Horizon Clients verwendete URL für die Herstellung der Horizon-Blast-oder BEAT-Sitzung auf dieser Unified Access Gateway-Appliance. Z. B. https://uag1.myco.com oder https://uag1.myco.com:443.

Wenn die TCP-Portnummer nicht angegeben wird, ist der Standard-TCP-Port8443. Wenn die UDP-Portnummer nicht angegeben wird, ist der Standard-UDP-Port auch 8443.

UDP-Server aktivieren Verbindungen werden über den UDP-Tunnel-Server eingerichtet, wenn einegeringe Bandbreite vorhanden ist.


VMware, Inc. 88

Option Beschreibung

Blast-Proxy-Zertifikat Proxy-Zertifikat für Blast. Klicken Sie auf Auswählen, um ein Zertifikat im PEM-Format hochzuladen und dem BLAST Trust Store hinzuzufügen. Klicken Sie aufÄndern, um das vorhandene Zertifikat zu ersetzen.

Wenn der Benutzer manuell dasselbe Zertifikat für Unified Access Gateway in denLastausgleichsdienst hochlädt und ein anderes Zertifikat für Unified AccessGateway und Blast Gateway verwenden muss, tritt beim Erstellen einer Blast-Desktop-Sitzung ein Fehler auf, da der Fingerabdruck zwischen dem Client undUnified Access Gateway nicht übereinstimmt. Die Eingabe einesbenutzerdefinierten Fingerabdrucks für Unified Access Gateway oder BlastGateway löst dieses Problem, indem der Fingerabdruck weitergegeben wird, umdie Client-Sitzung herzustellen.

Tunnel aktivieren Wenn der sichere Horizon-Tunnel verwendet wird, ändern Sie NEIN in JA. DerClient verwendet die externe URL für Tunnelverbindungen über das HorizonSecure Gateway. Der Tunnel wird für den Verkehr von RDP, USB und MMR(Multimedia-Umleitung) benutzt.

Externe Tunnel-URL Die von Horizon Clients verwendete URL für die Herstellung der Horizon Tunnel-Sitzung auf dieser Unified Access Gateway-Appliance. Z. B. https://uag1.myco.com oder https://uag1.myco.com:443.

Wenn die TCP-Portnummer nicht angegeben wird, ist der Standard-TCP-Port 443.

Tunnel-Proxy-Zertifikat Das Proxy-Zertifikat für Horizon Tunnel. Klicken Sie auf Auswählen, um einZertifikat im PEM-Format hochzuladen und dem Tunnel Trust Store hinzuzufügen.Klicken Sie auf Ändern, um das vorhandene Zertifikat zu ersetzen.

Wenn der Benutzer manuell dasselbe Zertifikat für Unified Access Gateway in denLastausgleichsdienst hochlädt und ein anderes Zertifikat für Unified AccessGateway und Horizon Tunnel verwenden muss, tritt beim Erstellen einer Tunnel-Sitzung ein Fehler auf, da der Fingerabdruck zwischen dem Client und UnifiedAccess Gateway nicht übereinstimmt. Die Eingabe eines benutzerdefiniertenFingerabdrucks für Unified Access Gateway oder Horizon Tunnel löst diesesProblem, da der Fingerabdruck weitergegeben wird, um die Client-Sitzungherzustellen.

Anbieter zur Überprüfung derEndpunktübereinstimmung

Wählen Sie den Anbieter zur Überprüfung der Endpunktübereinstimmung. DerStandard lautet OPSWAT.

Proxy-Muster Geben Sie den regulären Ausdruck ein, mit dem die URIs, die mit der HorizonServer-URL verbunden sind (proxyDestinationUrl), abgeglichen werden. DerStandardwert ist (/|/view-client(.*)|/portal(.*)|/appblast(.*)).

Hinweis Das Muster kann auch verwendet werden, um bestimmte URLsauszuschließen. Um beispielsweise alle URLs zuzulassen, aber „/admin“ zublockieren, können Sie den folgenden Ausdruck verwenden.^/(?!admin(.*))(.*)

SAML SP Geben Sie den Namen des SAML-Dienstanbieters für den Horizon XMLAPI-Brokerein. Dieser Name muss entweder mit dem Namen in den Metadaten eineskonfigurierten Dienstanbieters übereinstimmen oder der spezielle Wert DEMOsein.


VMware, Inc. 89

Option Beschreibung

Übereinstimmung mit Windows-Benutzername

Ändern Sie NEIN in JA, damit RSA SecurID und der Windows-Benutzernameübereinstimmen. Wenn JA festgelegt ist, wird securID-auth auf „wahr“ gesetzt, unddie Übereinstimmung von securID mit dem Windows-Benutzernamen wirderzwungen.

Wenn Horizon in einer Umgebung mit mehreren Domänen eingerichtet ist und derangegebene Benutzername keinen Domänennamen enthält, wird derDomänenname nicht an CS gesendet.

Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebeneBenutzername keinen Domänennamen enthält, wird der Wert für die Konfigurationdes Suffix für die Namens-ID an den Benutzernamen angehängt. Wennbeispielsweise ein Benutzer „jdoe“ als Benutzernamen angegeben hat und„NameIDSuffix“ auf @north.int festgelegt ist, lautet der [email protected].

Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebeneBenutzername im UPN-Format vorliegt, wird das Suffix für die Namens-ID ignoriert.Wenn beispielsweise ein Benutzer [email protected], und für „NameIDSuffix“@south.int angegeben hat, lautet der Benutzername [email protected].

Wenn der angegebene Benutzername im Format <DomainName\username>vorliegt, z. B. NORTH\jdoe, sendet Unified Access Gateway den Benutzernamenund den Domänennamen separat an CS.

Hinweis Wenn Sie in Horizon 7 die Einstellungen Serverinformationen in derKunden-Benutzeroberfläche ausblenden und Domänenliste in der Kunden-Benutzeroberfläche ausblenden aktivieren und die zweistufige Authentifizierung(RSA SecureID oder RADIUS) für die Verbindungsserverinstanz auswählen, dürfenSie nicht die Windows-Benutzernamenübereinstimmung erzwingen. Wenn Sie dieWindows-Benutzernamenübereinstimmung erzwingen, werden Benutzer darangehindert, Domäneninformationen im Textfeld „Benutzername“ einzugeben, unddie Anmeldung schlägt immer fehl. Weitere Informationen finden Sie in denThemen zur zweistufigen Authentifizierung im Dokument „Horizon 7-Verwaltung“.

Gateway-Standort Der Standort, von dem die Verbindungsanforderung stammt. Der Sicherheitsserverund Unified Access Gateway legen den Gateway-Standort fest. Es kann sich umeinen externen oder um einen internen Standort handeln.

Vertrauenswürdige Zertifikate Fügen Sie diesem Edge-Dienst ein vertrauenswürdiges Zertifikat hinzu. Klicken Sieauf „+“, wählen Sie ein Zertifikat im PEM-Format und fügen Sie es zum Trust Storehinzu. Klicken Sie auf „-“, um ein Zertifikat aus dem Trust Store zu entfernen.Standardmäßig ist der Aliasname der Dateinamen des PEM-Zertifikats. BearbeitenSie das Textfeld „Alias“, um einen anderen Namen anzugeben.


VMware, Inc. 90

Option Beschreibung

Sicherheitsheader der Antwort Klicken Sie auf „+“, um eine Kopfzeile hinzuzufügen. Geben Sie den Namen derSicherheitskopfzeile ein. Geben Sie den Wert ein. Klicken Sie auf „-“, um eineKopfzeile zu entfernen. Bearbeiten Sie eine vorhandene Sicherheitskopfzeile, umden Namen und den Wert der Kopfzeile zu aktualisieren.

Wichtig Die Kopfzeilennamen und -werte werden erst gespeichert, nachdem Sieauf Speichern geklickt haben. Einige Sicherheitskopfzeilen sind standardmäßigvorhanden. Die konfigurierten Kopfzeilen werden der Unified Access Gateway-Antwort an den Client nur dann hinzugefügt, wenn die entsprechenden Kopfzeilenin der Antwort vom konfigurierten Backend-Server nicht vorhanden sind.

Hinweis Gehen Sie vorsichtig beim Ändern von Sicherheitsantwortkopfzeilen vor.Eine Änderung dieser Parameter kann die sichere Funktion von Unified AccessGateway beeinträchtigen.

Hosteinträge Geben Sie die Details ein, die der Datei /etc/hosts hinzugefügt werden sollen.Jeder Eintrag sollte eine IP, einen Hostnamen und einen optionalenHostnamensalias (in dieser Reihenfolge) enthalten, die durch ein Leerzeichenvoneinander getrennt sind. Beispiel:10.192.168.1 example1.com, 10.192.168.2 example2.com example-

alias. Klicken Sie auf das Pluszeichen, um mehrere Hosteinträge hinzuzufügen.

Wichtig Die Hosteinträge werden erst gespeichert, nachdem Sie auf Speicherngeklickt haben.

HTML Access deaktivieren Mit der Einstellung JA wird der Webzugriff auf Horizon deaktiviert. WeitereInformationen dazu finden Sie unter Überprüfung der Endpunktübereinstimmungfür Horizon.


Überwachung von Unified Access Gateway in Horizon ConsoleDie Unified Access Gateway-Integration in die Horizon Admin-Konsole bietet einen Einblick in den Status,Statistiken und Sitzungsinformationen in der Horizon-Admin-Benutzeroberfläche. Sie können denSystemzustand von Unified Access Gateway überwachen.

Die neue Registerkarte Gateway in der Horizon Admin-Konsole bietet ein Funktionalität zum Registrierenund Aufheben der Registrierung von Unified Access Gateway.


VMware, Inc. 91

Abbildung 4-4. Dashboard

Auf dem Bildschirm „Dashboard“ werden die Details für die registrierte Unified Access Gateway-Instanzfür Version 3.4 oder höher, vSphere-Komponenten, Domänen, Desktops und die Nutzung desDatenspeichers angezeigt.

Externe URL-Konfigurationsoptionen für Blast TCP und UDPBlast Secure Gateway beinhaltet das BEAT-Netzwerkprotokoll (Blast Extreme Adaptive Transport), dassich dynamisch an die jeweiligen Netzwerkbedingungen wie unterschiedliche Geschwindigkeiten undPaketverluste anpasst. In Unified Access Gateway können Sie die vom BEAT-Protokoll verwendetenPorts konfigurieren.

Blast verwendet die Standard-Ports TCP 8443 und UDP 8443. UDP 443 kann auch für den Zugriff aufeinen Desktop über den UDP-Tunnel-Server verwendet werden. Die Port-Konfiguration wird über dieEigenschaft „Externe Blast-URL“ eingestellt.


VMware, Inc. 92

Tabelle 4-2. Optionen für den BEAT-Port

Externe Blast-URLVom Client verwendeterTCP-Port

Vom Client verwendeterUDP-Port Beschreibung

https://ap1.myco.com 8443 8443 Dies ist das Standardformular, für dasTCP 8443 und optional UDP 8443 inder Firewall geöffnet werden müssen,um Verbindungen mit Unified AccessGateway über das Internet zuzulassen.

https://ap1.myco.com:443 443 8443 Verwenden Sie dieses Formular, wennTCP 443 oder UDP 8443 geöffnetwerden muss.

https://ap1.myco.com:xxxx xxxx 8443

https://ap1.myco.com:xxxx/?UDPPort=yyyy

xxxx yyyy

Um andere Ports als die Standardports zu konfigurieren, muss bei der Bereitstellung eine interne IP-Weiterleitungsregel für das entsprechende Protokoll hinzugefügt werden. Die Weiterleitungsregelnkönnen in der OVF-Vorlage der Bereitstellung oder über die in den PowerShell-Befehlen eingegebenenINI-Dateien festgelegt werden.

Überprüfung der Endpunktübereinstimmung für HorizonDie Funktion Überprüfung der Endpunktübereinstimmung von Unified Access Gateway bietet einzusätzliches Sicherheitslevel für den Zugriff auf Horizon-Desktops und ergänzt die anderenBenutzerauthentifizierungsdienste von Unified Access Gateway.

Sie können die Funktion Überprüfung der Endpunktübereinstimmung verwenden, um die Konformität mitverschiedenen Richtlinien wie beispielsweise einer Antiviren-Richtlinie oder einerVerschlüsselungsrichtlinie auf Endpunkten zu gewährleisten.

Die Konformitätsrichtlinie für Endpunkte wird mit einem Dienst definiert, der in der Cloud oder lokalausgeführt wird.

Wenn Überprüfung der Endpunktübereinstimmung aktiviert ist, gestattet Unified Access Gatewayausschließlich den Start konformer VDI-Desktops und blockiert den Start aller nicht kompatiblenEndpunkte.

Voraussetzungen

1 Melden Sie sich für ein OPSWAT-Konto an und registrieren Sie Ihre Anwendungen auf der OPSWAT-Website. Siehe https://go.opswat.com/communityRegistration.

2 Notieren Sie den Clientschlüssel und den geheimen Clientschlüssel. Sie benötigen die Schlüssel zurKonfiguration von OPSWAT in Unified Access Gateway.

3 Melden Sie sich auf der OPSWAT-Website an und konfigurieren Sie die Konformitätsrichtlinien fürIhre Endpunkte. Lesen Sie hierzu die entsprechende OPSWAT-Dokumentation.


VMware, Inc. 93

https://go.opswat.com/communityRegistration

4 Klicken Sie auf der OPSWAT-Startseite auf Metadefender Endpoint Management verbinden, ladenSie die Agentensoftware auf das Clientgerät herunter und installieren Sie sie.

Verfahren

1 Melden Sie sich bei der Admin-UI an und navigieren Sie zu Erweiterte Einstellungen >Anbietereinstellungen zur Überprüfung der Endpunktübereinstimmung.

2 Klicken Sie auf Hinzufügen, um den Clientschlüssel und den geheimen Clientschlüsselanzugeben.

Die Felder Anbieter der Überprüfung der Endpunktübereinstimmung und Hostname sind bereitsausgefüllt. Ändern Sie diese Werte nicht.

3 Navigieren Sie von der Admin-UI zu den Horizon-Einstellungen. Suchen Sie nach dem Feld Anbieterder Überprüfung der Endpunktübereinstimmung und wählen Sie im Dropdown-Menü OPSWATaus.


5 Stellen Sie über den Client des Anbieters der Überprüfung der Endpunktübereinstimmung eineVerbindung zum Remote-Desktop her.

Die konfigurierten Desktops von Horizon View werden aufgeführt, und wenn Sie einen Desktop starten,wird die Konformität des Clientgeräts validiert.

Bereitstellung als Reverse-ProxyUnified Access Gateway kann als Web-Reverse-Proxy genutzt und entweder als normaler Reverse-Proxyoder als authentifizierender Reverse-Proxy in der DMZ eingesetzt werden.

BereitstellungsszenarioUnified Access Gateway bietet sicheren Remotezugriff auf eine lokale Bereitstellung von VMware IdentityManager. Unified Access Gateway-Appliances werden üblicherweise in einer demilitarisiertenNetzwerkzone (DMZ) bereitgestellt. Mit VMware Identity Manager arbeitet die Unified Access Gateway-Appliance als Web-Reverse-Proxy zwischen dem Browser eines Benutzers und dem VMware IdentityManager-Dienst im Datencenter. Unified Access Gateway ermöglicht außerdem den Remotezugriff aufden Workspace ONE-Katalog, um Horizon-Anwendungen zu starten.

Hinweis Eine einzige Instanz von Unified Access Gateway kann bis zu 15.000 gleichzeitige TCP-Verbindungen verarbeiten. Wenn die erwartete Last mehr als 15.000 beträgt, müssen hinter demLastausgleich mehrere Instanzen von Unified Access Gateway konfiguriert werden.

Unter Erweiterte Einstellungen für Edge-Dienst finden Sie Informationen zu den Einstellungen, die bei derKonfiguration des Reverse-Proxys verwendet werden.


VMware, Inc. 94

Abbildung 4-5. Auf VMware Identity Manager verweisende Unified Access Gateway-Appliance

Workspace ONE/Identity Manager

MicrosoftActive

Directory

Internet

vCenterManagement

Server



WorkspaceONE-Client

DMZ


Firewall

FirewallUnternehmens-zone

Workspace ONE-Client

DNS-/NTP-Dienste

Wissenswertes zum Reverse-ProxyUnified Access Gateway bietet Zugriff auf das App-Portal, in dem Remote-Benutzer über eine einmaligeAnmeldung auf ihre Ressourcen zugreifen können. Das App-Portal ist eine Backend-Anwendung wieSharePoint, JIRA oder VIDM, für die Unified Access Gateway als Reverse-Proxy fungiert.


Beachten Sie die folgenden Punkte, wenn Sie einen Reverse-Proxy aktivieren und konfigurieren:

n Sie müssen die Authentifizierung des Reverse-Proxys an einem Edge-Dienst-Manager aktivieren.Derzeit werden die Authentifizierungsmethoden RSA SecurID und RADIUS unterstützt.


VMware, Inc. 95

n Sie müssen Identitätsanbieter-Metadaten (IDP-Metadaten) generieren, bevor Sie dieAuthentifizierung auf dem Web-Reverse-Proxy aktivieren.

n Unified Access Gateway bietet Remotezugriff auf VMware Identity Manager und Webanwendungenmit oder ohne Authentifizierung über einen browserbasierten Client und startet anschließend denHorizon-Desktop.

n Sie können mehrere Instanzen des Reverse-Proxy konfigurieren. Jede konfigurierte Instanz lässt sichauch wieder löschen.

n Bei einfachen Proxy-Mustern wird die Groß-/Kleinschreibung beachtet. Seitenlinks und Proxy-Mustermüssen übereinstimmen.

Abbildung 4-6. Mehrere konfigurierte Reverse-Proxys

Konfigurieren von Reverse-Proxy mit VMware Identity ManagerSie können den Web-Reverse-Proxy-Dienst zur Verwendung von Unified Access Gateway mit VMwareIdentity Manager konfigurieren.

Voraussetzungen

Beachten Sie die folgenden Voraussetzungen für die Bereitstellung mit VMware Identity Manager:

n Aufgeteiltes DNS. Extern sollte der Name des Hosts laut der IP-Adresse des Unified Access Gatewayaufgelöst werden. Intern auf Unified Access Gateway sollte derselbe Hostname laut des tatsächlichenWebservers entweder über interne DNS-Zuordnung oder über einen Hostnamenseintrag auf UnifiedAccess Gateway aufgelöst werden.

Hinweis Wenn Sie nur mit Web-Reverse-Proxy bereitstellen, muss Identity Bridging nichtkonfiguriert werden.

n Der VMware Identity Manager-Dienst muss einen vollqualifizierten Domänennamen (FQDN) alsHostnamen aufweisen.

n Unified Access Gateway muss das interne DNS verwenden. Die Proxy-Ziel-URL muss also FQDNverwenden.

n Die Kombination aus Proxy-Muster und Proxy-Host-Muster für eine Web-Reverse-Proxy-Instanzmuss eindeutig sein, wenn mehrere Reverse-Proxys in einer Unified Access Gateway-Instanzeingerichtet sind.


VMware, Inc. 96

n Die Hostnamen aller konfigurierten Reverse-Proxys sollten auf die gleiche IP-Adresse aufgelöstwerden, die die IP-Adresse der Unified Access Gateway-Instanz ist.

n Weitere Informationen zu den erweiterten Edge-Dienst-Einstellungen finden Sie unter ErweiterteEinstellungen für Edge-Dienst.

Verfahren



3 Klicken Sie auf das Zahnradsymbol für die Reverse-Proxy-Einstellungen.

4 Klicken Sie auf der Seite „Reverse-Proxy-Einstellungen“ auf Hinzufügen.

5 Ändern Sie im Abschnitt „Reverse-Proxy-Einstellungen aktivieren“ NEIN zu JA, um den Reverse-Proxy zu aktivieren.

6 Konfigurieren Sie die folgenden Edgediensteinstellungen.

Option Beschreibung

Bezeichner Für den Bezeichner des Edgedienstes wird der Web-Reverse-Proxy festgelegt.

Instanzen-ID Der eindeutige Name, um eine Instanz des Web-Reverse-Proxy zu identifizierenund von allen anderen Instanzen des Web-Reverse-Proxy zu unterscheiden.

Proxy-Ziel-URL Geben Sie die Adresse der Webanwendung ein, bei der es sich in der Regel umdie Back-End-URL handelt. Fügen Sie z. B. für VMware Identity Manager die IP-Adresse, den VMware Identity Manager-Hostnamen und die externe DNS auf demClient Computer hinzu. Fügen Sie in der Verwaltungsoberfläche die IP-Adresse,den VMware Identity Manager-Hostnamen und das interne DNS hinzu.

Fingerabdrücke für Proxy-Ziel-URL Geben Sie eine Liste annehmbarer Fingerabdrücke von SSL-Server-Zertifikaten fürdie proxyDestination-URL ein. Wenn Sie * angeben, wird jedes Zertifikatakzeptiert. Ein Fingerabdruck hat das Format [alg=]xx:xx, wobei alg derStandardwert sha1 oder md5 sein kann. xx steht für Hexadezimalzahlen. Das ':'Trennzeichen kann auch ein Leerzeichen sein oder fehlen. Der Fall in einemFingerabdruck wird ignoriert. Beispiel:

sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23

:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

Wenn Sie die Fingerabdrücke nicht konfigurieren, müssen die Serverzertifikatedurch eine vertrauenswürdige Zertifizierungsstelle ausgestellt worden sein.

Proxy-Muster Geben Sie die entsprechenden URI-Pfade ein, die an die Ziel-URL weitergegebenwerden. Beispiel: (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

Hinweis Wenn Sie mehrere Reverse-Proxys konfigurieren, geben Sie denHostnamen im Proxy-Host-Muster an.


VMware, Inc. 97

7 Klicken Sie auf Mehr, um erweiterte Einstellungen zu konfigurieren.

Option Beschreibung

Authentifizierungsmethoden Standardmäßig wird die Passthrough-Authentifizierung des Benutzernamens unddes Kennworts verwendet. In den Dropdown-Menüs sind die von Ihnen in UnifiedAccess Gateway konfigurierten Authentifizierungsmethoden aufgeführt. RSASecurID-, RADIUS- und Authentifizierungsmethoden für Gerätezertifikate werdenunterstützt.

URI-Pfad für Integritätsprüfung Unified Access Gateway verbindet sich mit diesem URI-Pfad, um denSystemzustand Ihrer Webanwendung zu überprüfen.

SAML SP Erforderlich, wenn Sie Unified Access Gateway als authentifizierten Reverse-Proxyfür VMware Identity Manager konfigurieren. Geben Sie den Namen des SAML-Dienstanbieters für den View XML API-Broker ein. Dieser Name muss entwedermit dem Namen eines mit Unified Access Gateway konfigurierten Dienstanbietersübereinstimmen oder der spezielle Wert DEMO sein. Wenn mehrere Dienstanbietermit Unified Access Gateway konfiguriert wurden, müssen ihre Namen eindeutigsein.

Externe URL Standardmäßig ist die Unified Access Gateway-Host-URL, Port 443, angegeben.Sie können eine weitere externe URL eingeben. Geben Sie diese in folgenderForm ein: https://<host:port>.

UnSecure-Muster Geben Sie das bekannte VMware Identity Manager-Umleitungsmuster ein.Beispiel: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/

js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/

manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/

images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/

response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/

SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/

sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/

cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/

devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/

oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/

authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/

response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/

launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/

federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/

failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/

idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/

authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/

SAAS/auth/launchInput(.*)|/SAAS/

launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/

download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/

SAAS/auth/wsfed/active/logon(.*))

Authentifizierungs-Cookie Geben Sie den Namen des Authentifizierungs-Cookies ein. Beispiel: HZN

URL für Anmeldungsumleitung Wenn der Benutzer sich beim Portal abmeldet, geben Sie die Umleitungs-URL fürdie erneute Anmeldung ein. Beispiel: /SAAS/auth/login?dest=%s

Proxy-Host-Muster Externer Hostname, mit dem geprüft wird, ob der eingehende Host dem Muster fürdiese bestimmte Instanz entspricht. Beim Konfigurieren der Instanzen des Web-Reverse-Proxys ist das Host-Muster optional.


VMware, Inc. 98

Option Beschreibung








Hinweis Die Optionen UnSecure Pattern, Auth Cookie und Login Redirect URL sind nur beiVMware Identity Manager anwendbar. Die hier bereitgestellten Werte gelten auch für Access Point2.8 und Unified Access Gateway 2.9.

Hinweis Das Authentifizierungs-Cookie und die Eigenschaften für UnSecure-Muster gelten nicht fürden Authentifizierungs-Reverse-Proxy. Sie müssen die Authentifizierungsmethode mit derEigenschaft Auth Methods definieren.


Nächste Schritte

Informationen zum Aktivieren von Identity Bridging finden Sie unter Konfigurieren der Identity Bridging-Einstellungen.

Konfigurieren von Reverse-Proxy mit der VMware Workspace ONEUEM-APIBei Verwendung von lokalen Installationen von Workspace ONE UEM wird der API-Server in der Regelhinter einer Firewall ohne eingehenden Internetzugriff installiert. Um die Automatisierungsfunktionen von


VMware, Inc. 99

Workspace ONE Intelligence sicher zu verwenden, können Sie einen Webreverse-Proxy-Edge-Dienstinnerhalb von Unified Access Gateway konfigurieren, um den Zugriff nur auf den API-Dienst zuermöglichen, damit Aktionen für Geräte, Benutzer und andere Ressourcen durchgeführt werden können.

Voraussetzungen

n Der UEM-API-Dienst muss einen vollqualifizierten Domänennamen (FQDN) als Hostnamenaufweisen.

n Unified Access Gateway muss interne DNS verwenden. Die Proxy-Ziel-URL muss also FQDNverwenden.

n Die Kombination aus Proxy-Muster und Proxy-Host-Muster für eine Web-Reverse-Proxy-Instanzmuss eindeutig sein, wenn mehrere Reverse-Proxys in einer Unified Access Gateway-Instanzeingerichtet sind.

n Die Hostnamen aller konfigurierten Reverse-Proxys sollten auf die gleiche IP-Adresse aufgelöstwerden, die die IP-Adresse der Unified Access Gateway-Instanz ist.

n Weitere Informationen zu den erweiterten Einstellungen für den Edge-Dienst finden Sie unterErweiterte Einstellungen für Edge-Dienst.

Verfahren




4 Klicken Sie auf der Seite „Reverse-Proxy-Einstellungen“ auf Hinzufügen.

5 Ändern Sie im Abschnitt „Reverse-Proxy-Einstellungen aktivieren“ NEIN zu JA, um den Reverse-Proxy zu aktivieren.


Option Beschreibung

Bezeichner Für den Bezeichner des Edgedienstes wird der Web-Reverse-Proxy festgelegt.

Instanzen-ID Der eindeutige Name, um eine Instanz des Web-Reverse-Proxy zu identifizierenund von allen anderen Instanzen des Web-Reverse-Proxy zu unterscheiden.

Proxy-Ziel-URL Geben Sie die Adresse der Webanwendung ein, bei der es sich in der Regel umdie Back-End-URL handelt. Beim Workspace ONE UEM-API-Server kann es sichbeispielsweise um eine andere URL/IP-Adresse als bei Ihrer Konsolenanmeldunghandeln. Sie können dies auf den UEM-Einstellungsseiten unter Einstellungen >System > Erweitert > API > REST API > REST API-URL überprüfen.


VMware, Inc. 100

Option Beschreibung

Fingerabdrücke für Proxy-Ziel-URL Geben Sie eine Liste annehmbarer Fingerabdrücke von SSL-Server-Zertifikaten fürdie proxyDestination-URL ein. Wenn Sie * angeben, wird jedes Zertifikatakzeptiert. Ein Fingerabdruck hat das Format [alg=]xx:xx, wobei alg derStandardwert sha1 oder md5 sein kann. xx steht für Hexadezimalzahlen. Das ':'Trennzeichen kann auch ein Leerzeichen sein oder fehlen. Der Fall in einemFingerabdruck wird ignoriert. Beispiel:

sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23

:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db


Proxy-Muster Geben Sie die entsprechenden URI-Pfade ein, die an die Ziel-URL weitergegebenwerden. Verwenden Sie für die Workspace ONE UEM-API: (/API(.*)|/api(.*)|/Api(.*)|).

Hinweis Wenn Sie mehrere Reverse-Proxys konfigurieren, geben Sie denHostnamen im Proxy-Host-Muster an.


Option Beschreibung



Hinweis Geben Sie bei Verwendung von Unified Access Gateway hinter einemLastausgleichsdienst die URL des Lastausgleichsdiensts in dieses Feld ein.







VMware, Inc. 101


Nächste Schritte

Um den Workspace UEM-API-Konnektor für die Verwendung mit Workspace ONE Intelligence zukonfigurieren, beachten Sie die Informationen unter API-Kommunikation für Automatisierungkonfigurieren und verwenden Sie die für Ihr Unified Access Gateway konfigurierte externe URL anstelleder URL des internen UEM REST API-Servers.

Bereitstellung für Single Sign-on-Zugriff aufstandortbasierte ältere WebanwendungenDie Identity Bridging-Funktion von Unified Access Gateway kann so konfiguriert werden, dass SingleSign-on (SSO) bei älteren Webanwendungen ermöglicht wird, die Kerberos Constrained Delegation(KCD) oder die kopfzeilenbasierte Authentifizierung nutzen.

Im Identity Bridging-Modus verhält sich Unified Access Gateway als Dienstanbieter, der dieBenutzerauthentifizierung an die konfigurierten älteren Anwendungen übergibt. VMware Identity Manageragiert als Identitätsanbieter und ermöglicht SSO für SAML-Anwendungen. Beim Zugriff auf ältereAnwendungen, die KCD oder die kopfzeilenbasierte Authentifizierung nutzen, authentifiziert IdentityManager den Benutzer. Eine SAML-Assertion mit den Informationen des Benutzers wird an UnifiedAccess Gateway gesendet. Unified Access Gateway nutzt diese Authentifizierung, um Benutzern denZugriff auf die Anwendung zu erlauben.



VMware, Inc. 102

https://docs.vmware.com/de/VMware-Workspace-ONE/services/Intelligence/GUID-AWT-WS1INT-AUTO-ENABLEAPI.html

https://docs.vmware.com/de/VMware-Workspace-ONE/services/Intelligence/GUID-AWT-WS1INT-AUTO-ENABLEAPI.html

Abbildung 4-7. Identity Bridging-Modus von Unified Access Gateway

SAML Assertion an Unified Access Gateway

Workspace ONE

SSO an SAML, Mobil- und Cloud-Apps

UAG

Lastausgleichs-dienst/Firewall


Umwandlung inKerberos-

Format

Umwandlung inkopfzeilenbasiertesFormat

KCD-App

SAML-App

Kopfzeilen-basierte

Apps

DMZ

Identity Bridging-BereitstellungsszenarienDer Identity Bridging-Modus von Unified Access Gateway kann zur Verwendung von VMwareWorkspace® ONE® in der Cloud oder in einer standortbasierten Umgebung konfiguriert werden.


VMware, Inc. 103

Verwenden von Unified Access Gateway Identity Bridging mit WorkspaceONE Clients in der CloudDer Identity Bridging-Modus kann für Workspace ONE in der Cloud eingerichtet werden, um Benutzer zuauthentifizieren. Wenn ein Benutzer Zugriff auf eine ältere Webanwendung anfordert, wendet derIdentitätsanbieter die betreffenden Authentifizierungs- und Autorisierungsrichtlinien an.

Wird der Benutzer validiert, so erstellt der Identitätsanbieter ein SAML-Token und sendet es demBenutzer zu. Der Benutzer übergibt das SAML-Token an Unified Access Gateway in der DMZ. UnifiedAccess Gateway validiert das SAML-Token und ruft den Benutzerprinzipalnamen aus dem Token ab.

Bei einer Anforderung mit Kerberos-Authentifizierung übernimmt Kerberos Constrained Delegation dieAushandlung mit dem Active Directory-Server. Unified Access Gateway nimmt die Identität des Benutzersan, um das Kerberos-Token für die Authentifizierung bei der Anwendung abzurufen.

Bei einer Anforderung mit kopfzeilenbasierter Authentifizierung wird der Name der Benutzer-Kopfzeile anden Webserver gesendet, um die Authentifizierung bei der Anwendung einzuleiten.

Die Anwendung sendet die Antwort zurück an Unified Access Gateway. Die Antwort wird an denBenutzer gesendet.

Abbildung 4-8. Unified Access Gateway Identity Bridging mit Workspace ONE in der Cloud

Umwandlung inKerberos-

Format

Umwandlung inkopfzeilenbasiertesFormat

Workspace ONE/Browserbasierte Clients

Authentifizierung undAnwendungsberechtigungen

Workspace ONEals Identitätsanbieter gehostet



KCD-App

Kopfzeilen-basierte

Apps

UAG


VMware, Inc. 104

Verwenden von Identity Bridging mit standortbasierten Workspace ONE-ClientsWenn der Identity Bridging-Modus zur Authentifizierung von Benutzern mit Workspace ONE in einerstandortbasierten Umgebung eingerichtet ist, geben Benutzer die URL ein, um über den Unified AccessGateway-Proxy auf die standortbasierte, ältere Webanwendung zuzugreifen. Unified Access Gatewayleitet die Anforderung an den Identitätsanbieter zur Authentifizierung um. Der Identitätsanbieter wendetAuthentifizierungs- und Autorisierungsrichtlinien auf die Anforderung an. Wird der Benutzer validiert, soerstellt der Identitätsanbieter ein SAML-Token und sendet das Token dem Benutzer zu.

Der Benutzer übergibt das SAML-Token an Unified Access Gateway. Unified Access Gateway validiertdas SAML-Token und ruft den Benutzerprinzipalnamen aus dem Token ab.

Bei einer Anforderung mit Kerberos-Authentifizierung übernimmt Kerberos Constrained Delegation dieAushandlung mit dem Active Directory-Server. Unified Access Gateway nimmt die Identität des Benutzersan, um das Kerberos-Token für die Authentifizierung bei der Anwendung abzurufen.

Bei einer Anforderung mit kopfzeilenbasierter Authentifizierung wird der Name der Benutzer-Kopfzeile anden Webserver gesendet, um die Authentifizierung bei der Anwendung einzuleiten.

Die Anwendung sendet die Antwort zurück an Unified Access Gateway. Die Antwort wird an denBenutzer gesendet.

Abbildung 4-9. Standortbasiertes Unified Access Gateway Identity Bridging

Internet

Workspace ONE/Browserbasierte Clients



KCD-App IDM IDM

DMZ

Grüne Zone

UAG

Kopfzeilen-basierte

Apps

Verwenden von Identity Bridging mit Certificate-to-KerberosSie können Identity Bridging konfigurieren, um Single Sign-On (SSO) für veraltete, Nicht-SAML-Anwendungen vor Ort bereitzustellen, die eine Zertifikatvalidierung verwenden. Siehe Konfigurieren einesWeb-Reverse-Proxy für Identity Bridging (Cert-to-Kerberos).


VMware, Inc. 105

Konfigurieren der Identity Bridging-EinstellungenWenn Kerberos in der Back-End-Anwendung konfiguriert ist, müssen Sie zum Einrichten von IdentityBridging in Unified Access Gateway die Identitätsanbieter-Metadaten und die Keytab-Datei hochladenund die KCD-Bereichseinstellungen konfigurieren.

Hinweis Diese Version von Identity Bridging unterstützt die Einrichtung einzelner und mehrererDomänen. Das bedeutet, dass sich der Benutzer und das SPN-Konto in verschiedenen Domänenbefinden können.

Wenn Identity Bridging in Verbindung mit einer kopfzeilenbasierten Authentifizierung aktiviert ist, werdenkeine Keytab-Einstellungen und KCD-Bereichseinstellungen benötigt.

Stellen Sie vor dem Konfigurieren der Identity Bridging-Einstellungen für die Kerberos-Authentifizierungsicher, dass folgende Voraussetzungen erfüllt sind.

n Ein Identitätsanbieter wurde konfiguriert und die SAML-Metadaten des Identitätsanbieters wurdengespeichert. Die SAML-Metadaten-Datei wird in Unified Access Gateway hochgeladen (nur in SAML-Szenarien).

n Für die Kerberos-Authentifizierung muss ein Server vorhanden sein, auf dem Kerberos aktiviert istund die Bereichsnamen für die zu verwendenden Key Distribution Centers angegeben sind.

n Laden Sie für die Kerberos-Authentifizierung die Kerberos-Keytab-Datei in Unified Access Gatewayhoch. Die Keytab-Datei enthält die Anmeldedaten für das Active Directory-Dienstkonto, daseingerichtet wurde, um das Kerberos-Ticket eines beliebigen Benutzers in der Domäne für einengegebenen Back-End-Dienst zu erhalten.

n Stellen Sie sicher, dass die folgenden Ports geöffnet sind:

n Port 443 für eingehende HTTP-Anfragen

n TCP-/UDP-Port 88 für die Kerberos-Kommunikation mit Active Directory

n Unified Access Gateway verwendet TCP zur Kommunikation mit Back-End-Anwendungen. Derentsprechende Port, den das Back-End überwacht, z. B. TCP-Port 8080.

Hinweis n Das Konfigurieren von Identity Bridging für SAML-to-Kerberos und Cert-to-Kerberos für zwei

unterschiedliche Reverse-Proxy-Instanzen auf derselben Unified Access Gateway -Instanz wird nichtunterstützt.

n Web-Reverse-Proxy-Instanzen mit Zertifizierungsstelle und ohne zertifikatsbasierte Authentifizierung,für die kein Identity Bridging auf derselben Appliance aktiviert ist, werden nicht unterstützt.

Kopfzeilenbasierte Authentifizierung mit SAMLSAML-Antworten vom IDP zum SP (im Falle von Identity Bridging, Unified Access Gateway) enthaltenSAML-Assertions, die SAML-Attribute aufweisen. Die SAML-Attribute können im Identitätsanbieterkonfiguriert werden, um auf verschiedene Parameter zu verweisen, wie z. B. Benutzername, E-Mail usw.


VMware, Inc. 106

Bei der kopfzeilenbasierten Authentifizierung mit SAML kann der Wert eines SAML-Attributs als HTTP-Kopfzeile an das Back-End-Proxy-Ziel gesendet werden. Der in Unified Access Gateway definierteSAML-Attributname ist mit dem Namen im Identitätsanbieter identisch. Wenn beispielsweise einIdentitätsanbieter das Attribut als Name: userNameValue: idmadmin definiert hat, muss der SAML-Attributname in Unified Access Gateway als "userName" definiert sein.

SAML-Attribute, die nicht mit den im Identitätsanbieter definierten Attributen übereinstimmen, werdenignoriert. Unified Access Gateway unterstützt sowohl mehrere SAML-Attribute als auch SAML-Attributemit mehreren Werten. In den folgenden Beispielen werden Auszüge aus der erwarteten SAML-Assertionvon einem Identitätsprovider genannt. Beispiel:

1. Erwartete SAML-Antwort von Identitätsanbieter für mehrere SAML-Attribute

<saml:AttributeStatement>

<saml:Attribute Name="userName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">

<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://

www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">idmadmin</saml:AttributeValue>

</saml:Attribute>

<saml:Attribute Name="userEmail" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">63ecfabf-a577-46c3-b4fa-caf7ae49a6a3</

saml:AttributeValue>

</saml:Attribute>

</saml:AttributeStatement>

Im obigen Beispiel enthält eine Assertion zwei Attribute: "userName" und "userEmail". Wenn diekopfzeilenbasierte Authentifizierung nur für "userName" konfiguriert ist und der Kopfzeilenname"HTTP_USER_NAME" lautet, wird die Kopfzeile als "HTTP_USER_NAME: idmadmin" gesendet. Da "userEmail"nicht in Unified Access Gateway für die kopfzeilenbasierte Authentifizierung konfiguriert ist, wird der Wertnicht als Kopfzeile gesendet.

2. Erwartete SAML-Antwort von Identitätsanbieter für SAML-Attribut mit mehreren Werten

<saml:AttributeStatement>

<saml:Attribute Name="group" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Employees</saml:AttributeValue>


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Contractors</saml:AttributeValue>


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Executives</saml:AttributeValue>


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All</saml:AttributeValue>

</saml:Attribute>

</saml:AttributeStatement>

Im obigen Beispiel enthält das Attribut "group" vier Werte: "All Employees", "All Contractors", "AllExecutives" und "All". Wenn die kopfzeilenbasierte Authentifizierung nur für "HTTP_GROUP" konfiguriertist und der Kopfzeilenname "group" lautet, wird die Kopfzeile als "HTTP_GROUP: All Employees, AllContractors, All Executives, All" gesendet, mit einer durch Komma getrennten Liste allerAttributwerte als Kopfzeilenwert.


VMware, Inc. 107

Konfigurieren der BereichseinstellungenKonfigurieren Sie den Domänenbereichsnamen, die Key Distribution Centers für den Bereich und dieKDC-Zeitüberschreitung.

Der Bereich ist der Name einer administrativen Einheit, die Authentifizierungsdaten verwaltet. Für denBereich der Kerberos-Authentifizierung sollte unbedingt ein beschreibender Name gewählt werden.Konfigurieren Sie den Bereich, der auch Domänenname genannt wird, sowie den entsprechenden KDC-Dienst in Unified Access Gateway. Wenn eine UPN-Anforderung einen bestimmten Bereich erreicht, löstUnified Access Gateway das KDC intern auf, um das Kerberos-Ticket zu verwenden.

Der Bereichsname sollte grundsätzlich derselbe sein wie der Name Ihrer Domäne (in Großbuchstabeneingegeben). Ein Bereichsname lautet beispielsweise EXAMPLE.NET. Der Bereichsname wird von einemKerberos-Client zum Generieren der DNS-Namen verwendet.

Ab Unified Access Gateway Version 3.0 können Sie zuvor definierte Bereiche löschen.

Wichtig Im Falle einer domänenübergreifenden Einrichtung fügen Sie Details zu allen Bereichen hinzu,einschließlich der Primär- und Sekundär- oder Unterdomänen und der zugehörigen KDC-Informationen.Stellen Sie sicher, dass die Vertrauenseinstellung zwischen Bereichen aktiviert ist.

Voraussetzungen

Ein Server, auf dem Kerberos aktiviert ist und die Bereichsnamen für die zu verwendenden KeyDistribution Centers angegeben sind.

Verfahren


2 Wählen Sie im Abschnitt Erweiterte Einstellungen > Einstellungen für Identity Bridging dasZahnradsymbol Bereichseinstellungen.

3 Klicken Sie auf Hinzufügen.

4 Füllen Sie das Formular aus.


Bereichsname Geben Sie den Domänennamen für den Bereich ein. Geben Sie den Bereich inGroßbuchstaben ein. Der Bereich muss dem in Active Directory eingerichtetenDomänennamen entsprechen.

Key Distribution Centers Geben Sie die KDC-Server für den Bereich ein. Trennen Sie mehrere Server durch einKomma.

KDC-Zeitüberschreitung (inSekunden)

Geben Sie die Zeit ein, die auf eine KDC-Antwort gewartet werden soll. DieStandardeinstellung ist 3 Sekunden.


Nächste Schritte

Konfigurieren Sie die Keytab-Einstellungen.


VMware, Inc. 108

Keytab-Einstellungen hochladenEine Keytab-Datei ist eine Datei, die Paare aus Kerberos-Prinzipalen und verschlüsselten Schlüsselnenthält. Eine Keytab-Datei wird für Anwendungen erstellt, die eine Anmeldung per Single Sign-onerfordern. Unified Access Gateway Identity Bridging nutzt eine Keytab-Datei zur Authentifizierung beiRemote-Systemen, die Kerberos verwenden, ohne dass ein Kennwort eingegeben werden muss.

Wenn ein Benutzer über den Identitätsanbieter bei Unified Access Gateway authentifiziert wird, fordertUnified Access Gateway ein Kerberos-Ticket beim Kerberos Domain Controller an, um den Benutzer zuauthentifizieren.

Zur Authentifizierung bei der internen Active Directory-Domäne nimmt Unified Access Gateway mithilfeder Keytab-Datei die Identität des Benutzers an. Unified Access Gateway benötigt ein Dienstkonto einesDomänenbenutzers in der Active Directory-Domäne. Unified Access Gateway ist nicht direkt mit derDomäne verknüpft.

Hinweis Wenn der Administrator die Keytab-Datei für ein Dienstkonto neu generiert, muss die Keytab-Datei in Unified Access Gateway nochmals hochgeladen werden.

Sie können die Keytab-Datei auch mithilfe der Befehlszeile generieren. Beispiel:

ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp

\kerberos.keytab /mapuser uagkerberos /crypto All

Weitere Informationen zum ktpass-Befehl finden Sie in der Microsoft-Dokumentation.

Voraussetzungen

Sie benötigen Zugriff auf die Kerberos-Keytab-Datei zum Hochladen auf Unified Access Gateway. Beieiner Keytab-Datei handelt es sich um eine binäre Datei. Wenn möglich, verwenden Sie SCP oder eineandere sichere Methode, um die Keytab-Datei zwischen Computern zu übertragen.

Verfahren

1 Klicken Sie im Abschnitt „Konfigurationsvorlagen für die Verwaltungs-Appliance“ auf Hinzufügen.

2 Klicken Sie im Abschnitt „Einstellungen für Identity Bridging“ auf Konfigurieren.

3 Klicken Sie auf der Seite „Kerberos-KeyTab-Einstellungen“ auf Neue KeyTab hinzufügen.

4 Geben Sie einen eindeutigen Namen als Bezeichner ein.

5 (Optional) Geben Sie den Kerberos-Prinzipalnamen im Textfeld Name des Prinzipals ein.

Jeder Prinzipal ist stets durch den Namen des Bereichs vollständig qualifiziert. Der Bereich muss inGroßbuchstaben eingegeben werden.

Stellen Sie sicher, dass der hier eingegebene Prinzipalname der erste in der Keytab-Datei gefundenePrinzipalname ist. Wenn sich dieser Prinzipalname nicht in der Keytab-Datei befindet, diehochgeladen wird, schlägt das Hochladen der Keytab-Datei fehl.


VMware, Inc. 109

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass

6 Klicken Sie im Textfeld Keytab-Datei auswählen auf Auswählen und suchen Sie die Keytab-Datei,die Sie gespeichert haben. Klicken Sie auf Öffnen.

Wenn Sie den Namen des Prinzipals nicht eingegeben haben, wird der erste in der Keytab-Dateigefundene Prinzipal verwendet. Sie können mehrere Keytab-Dateien in einer Datei zusammenführen.


Konfigurieren eines Web-Reverse-Proxy für Identity Bridging (SAML toKerberos)Um einen Web-Reverse-Proxy für Identity Bridging (SAML to Kerberos) zu konfigurieren, müssen Sie dieIdentitätsanbieter-Metadatendatei in Unified Access Gateway gespeichert haben.

Sie können Identity Bridging dann auf der Verwaltungskonsole aktivieren und den externen Hostnamenfür den Dienst konfigurieren.

Metadaten des Identitätsanbieters hochladen

Um die Identity Bridging-Funktion zu konfigurieren, müssen Sie die Metadaten-XML-Datei für das SAML-Zertifikat des Identitätsanbieters in Unified Access Gateway hochladen.

Voraussetzungen

Die XML-Datei mit den SAML-Metadaten muss auf einem Computer gespeichert sein, auf den Sie Zugriffhaben.

Wenn Sie VMware Identity Manager als Identitätsanbieter verwenden, laden Sie die SAML-Metadatendatei aus der Verwaltungskonsole von VMware Identity Manager herunter und speichern Siesie: Katalog > Einstellungen SAML-Metadaten > Metadaten des Identitätsanbieters (IdP).

Verfahren

1 Klicken Sie in der Verwaltungskonsole unter Manuell konfigurieren auf Auswählen.

2 Wählen Sie im Abschnitt Erweiterte Einstellungen > Einstellungen für Identity Bridging dasZahnradsymbol Metadaten des Identitätsanbieters hochladen.

3 Geben Sie die Element-ID für den Identitätsanbieter im Textfeld Element-ID ein.

Wenn Sie im Textfeld „Element-ID“ keinen Wert eingeben, wird der Name des Identitätsanbieters inder Metadatendatei gesucht und als Element-ID für den Identitätsanbieter verwendet.

4 Klicken Sie im Abschnitt IDP-Metadaten auf Auswählen und suchen Sie die Metadatendatei, die Siegespeichert haben. Klicken Sie auf Öffnen.


Nächste Schritte

Konfigurieren Sie zur KDC-Authentifizierung die Einstellungen für den Bereich und die Keytab-Datei.

Füllen Sie zur kopfzeilenbasierten Authentifizierung beim Konfigurieren der Identity Bridging-Funktion dieOption „Name der Benutzer-Kopfzeile“ mit dem Namen der HTTP-Kopfzeile aus, die die Benutzer-IDenthält.


VMware, Inc. 110

Konfigurieren eines Web-Reverse-Proxy für Identity Bridging (SAML to Kerberos)

Aktivieren Sie Identity Bridging, konfigurieren Sie den externen Hostnamen für den Dienst und laden Siedie Unified Access Gateway-Dienstanbieter-Metadatendatei herunter.

Diese Metadatendatei wird auf die Konfigurationsseite der Webanwendung im VMware Identity Manager-Dienst hochgeladen.

Voraussetzungen

Sie müssen die folgenden Identity Bridging-Einstellungen auf der Unified Access Gateway-Verwaltungskonsole konfiguriert haben. Sie können diese Einstellungen im Bereich ErweiterteEinstellungen finden.

n Die Identitätsanbieter-Metadaten müssen auf Unified Access Gateway hochgeladen sein.

n Der Kerberos-Prinzipalname muss konfiguriert und die Keytab-Datei muss auf Unified AccessGateway hochgeladen sein.

n Der Bereichsname und die Key Distribution Center-Informationen.

Stellen Sie sicher, dass TCP/UDP-Port 88 geöffnet ist, da Unified Access Gateway diesen Port für dieKerberos-Kommunikation mit Active Directory verwendet.

Verfahren

1 Klicken Sie auf der Admin-UI im Bereich Manuell konfigurieren auf Auswählen.

2 Klicken Sie unter Allgemeine Einstellungen > Einstellungen für Edge-Dienst auf Anzeigen.


4 Klicken Sie auf der Seite Reverse-Proxy-Einstellungen auf Hinzufügen, um eine Proxy-Einstellungzu erstellen.

5 Legen Sie die Option Reverse-Proxy-Einstellungen aktivieren auf 'JA' fest, und konfigurieren Siedie folgenden Edge-Diensteinstellungen.

Option Beschreibung

Bezeichner Für den Bezeichner des Edge-Diensts wird der Web-Reverse-Proxy festgelegt.

Instanzen-ID Eindeutiger Name für die Instanz des Web-Reverse-Proxys.

Proxy-Ziel-URL Geben Sie die interne URI für die Webanwendung an. Unified Access Gatewaymuss diese URL auflösen und auf sie zugreifen können.


VMware, Inc. 111

Option Beschreibung

Fingerabdrücke für Proxy-Ziel-URL Geben Sie den entsprechenden URI für diese Proxy-Einstellung an. EinFingerabdruck hat das Format [alg=]xx:xx, wobei „alg“ der Standardwert „sha1“oder „md5“ sein kann. „xx“ steht für Hexadezimalzahlen. Beispiel: sha=C3 89 A219 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.


Proxy-Muster Geben Sie die entsprechenden URI-Pfade ein, die an die Ziel-URL weitergegebenwerden. Beispiel: (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

Hinweis: Wenn Sie mehrere Reverse-Proxys konfigurieren, geben Sie denHostnamen im Proxy-Host-Muster an.


Option Beschreibung


URI-Pfad für Integritätsprüfung Unified Access Gateway verbindet sich mit diesem URI-Pfad, um denSystemzustand Ihrer Webanwendung zu überprüfen.

SAML SP Erforderlich, wenn Sie Unified Access Gateway als authentifizierten Reverse-Proxyfür VMware Identity Manager konfigurieren. Geben Sie den Namen des SAML-Dienstanbieters für den View XML API-Broker ein. Dieser Name muss entwedermit dem Namen eines mit Unified Access Gateway konfigurierten Dienstanbietersübereinstimmen oder der spezielle Wert DEMO sein. Wenn mehrere Dienstanbietermit Unified Access Gateway konfiguriert wurden, müssen ihre Namen eindeutigsein.



VMware, Inc. 112

Option Beschreibung

UnSecure-Muster Geben Sie das bekannte VMware Identity Manager-Umleitungsmuster ein.Beispiel: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/

js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/

manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/

images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/

response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/

SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/

sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/

cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/

devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/

oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/

authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/

response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/

launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/

federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/

failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/

idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/

authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/

SAAS/auth/launchInput(.*)|/SAAS/

launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/

download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/

SAAS/auth/wsfed/active/logon(.*))

Authentifizierungs-Cookie Geben Sie den Namen des Authentifizierungs-Cookies ein. Beispiel: HZN

URL für Anmeldungsumleitung Wenn der Benutzer sich beim Portal abmeldet, geben Sie die Umleitungs-URL fürdie erneute Anmeldung ein. Beispiel: /SAAS/auth/login?dest=%s




VMware, Inc. 113

Option Beschreibung







7 Ändern Sie im Bereich „Identity Bridging aktivieren“ den Wert NEIN zu JA.

8 Konfigurieren Sie die folgenden Identity Bridging-Einstellungen.

Option Beschreibung

Authentifizierungstypen Wählen Sie die SAML aus.

SAML-Attribute Liste der SAML-Attribute, die als Anforderungskopfzeile übergeben wird. DieseOption wird nur angezeigt, wenn Identity Bridging aktivieren auf Ja festgelegt istund Authentifizierungstypen auf SAML. Klicken Sie auf „+“, um ein SAML-Attribut als Teil der Kopfzeile hinzuzufügen.

Identitätsanbieter Wählen Sie aus dem Dropdown-Menü den Identitätsanbieter aus.

Keytab Wählen Sie im Dropdown-Menü die für diesen Reverse-Proxy konfigurierte Keytab-Datei.

Name des Prinzipals des Zieldiensts Geben Sie den Prinzipalnamen des Kerberos-Diensts ein. Jeder Prinzipal ist stetsdurch den Namen des Bereichs vollständig qualifiziert. Beispiel:myco_hostname@MYCOMPANY. Geben Sie den Bereichsnamen in Großbuchstabenein. Wenn Sie keinen Namen in das Textfeld eingeben, wird der Name desPrinzipals aus dem Hostnamen der Proxy-Ziel-URL abgeleitet.

Landingpage des Dienstes Geben Sie die Seite ein, auf die Benutzer nach Validierung der Assertion imIdentitätsanbieter geleitet werden. Die Standardeinstellung lautet /.

Name der Benutzer-Kopfzeile Zur kopfzeilenbasierten Authentifizierung geben Sie den Namen der HTTP-Kopfzeile ein, die die aus der Assertion abgeleitete Benutzer-ID enthält.


VMware, Inc. 114

9 Klicken Sie im Abschnitt „SP-Metadaten herunterladen“ auf Herunterladen.

Speichern Sie die Dienstanbieter-Metadatendatei.


Nächste Schritte

Fügen Sie die Unified Access Gateway-Dienstanbieter-Metadatendatei auf der Konfigurationsseite derWebanwendung im VMware Identity Manager-Dienst hinzu.

Hinzufügen der Metadatendatei zum VMware Identity Manager-Dienst

Die von Ihnen heruntergeladene Unified Access Gateway-Dienstanbieter-Metadatendatei muss auf dieKonfigurationsseite der Webanwendung im VMware Identity Manager-Dienst hochgeladen werden.

Für mehrere Unified Access Gateway-Server mit Lastausgleich muss das gleiche SSL-Zertifikatverwendet werden.

Voraussetzungen

Sie müssen die Unified Access Gateway-Dienstanbieter-Metadatendatei auf dem Computer gespeicherthaben.

Verfahren

1 Melden Sie sich bei der Verwaltungskonsole von VMware Identity Manager an.

2 Klicken Sie auf der Registerkarte „Katalog“ auf Anwendung hinzufügen und wählen Sie Neuerstellen.

3 Geben Sie auf der Seite „Anwendungsdetails“ einen benutzerfreundlichen Namen im Textfeld „Name“ein.

4 Wählen Sie das Authentifizierungsprofil SAML 2.0 POST aus.

Sie können auch eine Beschreibung dieser Anwendung und ein Symbol, das Endbenutzern imWorkspace ONE-Portal angezeigt werden soll, hinzufügen.

5 Klicken Sie auf Weiter und führen Sie auf der Seite „Anwendungskonfiguration“ einen Bildlauf zumAbschnitt Konfigurieren über durch.

6 Wählen Sie das Optionsfeld „Metadaten-XML“ aus und fügen Sie den Metadatentext des UnifiedAccess Gateway-Dienstanbieters in das Textfeld „Metadaten-XML“ ein.

7 (Optional) Ordnen Sie im Abschnitt „Attributzuordnung“ die folgenden Attributnamen den Werten desBenutzerprofils zu. Der Wert im FORMAT-Feld lautet „Einfach“. Die Attributnamen müssen inKleinbuchstaben eingegeben werden.

Name Konfigurierter Wert

upn userPrincipalName

userid Active Directory-Benutzer-ID



VMware, Inc. 115

Nächste Schritte

Erteilen Sie Benutzern und Gruppen Berechtigungen für diese Anwendung.

Hinweis Unified Access Gateway unterstützt nur Benutzer einer Domäne. Wenn mehrere Domänen fürden Dienstanbieter eingerichtet sind, kann nur Benutzern in einer einzigen Domäne der Zugriff auf dieAnwendung erteilt werden.

Konfigurieren eines Web-Reverse-Proxy für Identity Bridging (Cert-to-Kerberos)Konfigurieren Sie die Workspace ONE UEM Console für das Abrufen und Verwenden vonZertifizierungsstellenzertifikaten, bevor Sie die Bridging-Funktion von Unified Access Gatewaykonfigurieren, um Single Sign-On (SSO) für veraltete, lokale Nicht-SAML-Anwendungen vor Ortbereitzustellen, die eine Zertifikatvalidierung verwenden.

Aktivieren der Workspace ONE UEM-Konsole für das Abrufen und Verwenden vonZertifizierungsstellenzertifikaten

Sie können auf dem Zertifizierungsstellenserver eine Benutzervorlage hinzufügen und die Einstellungenin der Workspace ONE UEM Console konfigurieren, um Workspace ONE UEM für das Abrufen undVerwenden von Zertifizierungsstellenzertifikaten zu aktivieren.

Verfahren

1 Hinzufügen einer Benutzervorlage

Fügen Sie auf dem Zertifizierungsstellenserver eine Benutzervorlage hinzu, um mit der Aktivierungvon Workspace ONE UEM im Hinblick auf das Abrufen von Zertifikaten zu beginnen.

2 Hinzufügen einer Zertifizierungsstelle in der Konsole

Hinzufügen einer Zertifizierungsstelle in der Workspace ONE UEM-Konsole

3 Hinzufügen einer Zertifizierungsstellen-Anforderungsvorlage

Fügen Sie eine Zertifizierungsstellen-Anforderungsvorlage hinzu, nachdem Sie eineZertifizierungsstelle in der Workspace ONE UEM-Konsole hinzugefügt haben.

4 Aktualisieren von Sicherheitsrichtlinien zur Verwendung des abgerufenenZertifizierungsstellenzertifikats

Aktualisieren Sie die Sicherheitsrichtlinien in der Workspace ONE UEM-Konsole, um dasabgerufene Zertifizierungsstellenzertifikat zu verwenden.

Hinzufügen einer BenutzervorlageFügen Sie auf dem Zertifizierungsstellenserver eine Benutzervorlage hinzu, um mit der Aktivierung vonWorkspace ONE UEM im Hinblick auf das Abrufen von Zertifikaten zu beginnen.

Verfahren

1 Melden Sie sich bei dem Server an, auf dem die Zertifizierungsstelle konfiguriert wird.

2 Klicken Sie auf Start und geben Sie mmc.exe ein.


VMware, Inc. 116

3 Gehen Sie im Fenster MMC auf Datei > Snap-In hinzufügen/entfernen.

4 Wählen Sie im Fenster Snap-Ins hinzufügen bzw. entfernen Zertifikatvorlagen aus und klickenSie auf Hinzufügen.

5 Klicken Sie auf OK.

6 Scrollen Sie im Fenster Zertifikatvorlagen nach unten und wählen Sie Benutzer > DoppelteVorlage aus.

7 Wählen Sie im Fenster Eigenschaften der neuen Vorlage die Registerkarte Allgemein aus undgeben Sie für Vorlagenanzeigenname einen Namen an.

Für Vorlagenname wird automatisch dieser Name eingetragen (ohne Leerzeichen).

8 Wählen Sie die Registerkarte Antragstellername und dann Informationen werden in derAnforderung angegeben aus.

9 Klicken Sie auf Übernehmen und anschließend auf OK.

10 Gehen Sie im Fenster MMC auf Datei > Snap-In hinzufügen/entfernen.

11 Wählen Sie im Fenster Snap-Ins hinzufügen bzw. entfernen Zertifizierungsstelle aus und klickenSie auf Hinzufügen.

12 Wählen Sie im Fenster MMC Zertifizierungsstelle > Zertifikatvorlage aus.

13 Klicken Sie mit der rechten Maustaste auf Zertifizierungsstelle und wählen Sie Neu >Auszustellende Zertifikatvorlage aus.

14 Wählen Sie die Vorlage aus, die Sie in Schritt 6 erstellt haben.

Nächste Schritte

Überprüfen Sie, ob die hinzugefügte Vorlage in der Liste angezeigt wird.

Melden Sie sich bei der Workspace ONE UEM Console an und fügen Sie eine Zertifizierungsstelle hinzu.

Hinzufügen einer Zertifizierungsstelle in der KonsoleHinzufügen einer Zertifizierungsstelle in der Workspace ONE UEM-Konsole

Voraussetzungen

n Sie müssen auf dem Zertifizierungsstellenserver eine Benutzervorlage hinzugefügt haben.

n Sie müssen den Ausstellernamen der Zertifizierungsstelle vorliegen haben. Melden Sie sich beimActive Directory(AD)-Server an und führen Sie über die Eingabeaufforderung den Befehl certutilaus, um den Ausstellernamen der Zertifizierungsstelle abzurufen.

n Geben Sie unter Benutzername einen Namen für die CA vom Typ Dienstkonto an.

Verfahren

1 Melden Sie sich bei der Workspace ONE UEM-Konsole an und wählen Sie die richtigeOrganisationsgruppe aus.


VMware, Inc. 117

2 Rufen Sie Alle Einstellungen auf und klicken Sie im Dropdown-Menü auf Enterprise Integration >Zertifizierungsstellen.

3 Klicken Sie auf die Registerkarte Zertifizierungsstellen und dann auf Hinzufügen.

4 Geben Sie die folgenden Daten für die Zertifizierungsstelle ein:

Option Beschreibung

Name Ein gültiger Name für die Zertifizierungsstelle

Zertifizierungsstellentyp Microsoft MDE

Protokoll MDE

Serverhostname Hostname des AD-Servers

Name der Zertifizierungsstelle Ausstellername der Zertifizierungsstelle

Authentifizierung Dienstkonto

Benutzername Benutzername mit einem Dienstkonto in der Form Domäne\Benutzername.

Kennwort Kennwort für den Benutzernamen

Zusätzliche Optionen Keine


Hinzufügen einer Zertifizierungsstellen-AnforderungsvorlageFügen Sie eine Zertifizierungsstellen-Anforderungsvorlage hinzu, nachdem Sie eine Zertifizierungsstellein der Workspace ONE UEM-Konsole hinzugefügt haben.

Voraussetzungen

1 Sie müssen auf dem Zertifizierungsstellenserver eine Benutzervorlage hinzugefügt haben.

2 Sie müssen in der Workspace ONE UEM-Konsole eine Zertifizierungsstelle hinzugefügt haben.

Verfahren

1 Melden Sie sich bei der Workspace ONE UEM-Konsole an, rufen Sie Alle Einstellungen auf undklicken Sie in der Dropdown-Liste auf Enterprise Integration > Zertifizierungsstellen.

2 Klicken Sie auf die Registerkarte Vorlagen anfordern und dann auf Hinzufügen.

3 Geben Sie die folgenden Daten für die Vorlage ein:

Option Beschreibung

Name Ein gültiger Name für die Zertifikatvorlage

Beschreibung (optional) Beschreibung der Vorlage

Zertifizierungsstelle Die zuvor hinzugefügte Zertifizierungsstelle

Ausstellende Vorlage Name der auf dem Zertifizierungsstellenserver erstellten Benutzervorlage

Name des Subjekts Gehen Sie wie folgt vor, um den Betreff hinzuzufügen: Lassen Sie den Cursor imWertfeld stehen (nach dem Standardwert 'CN='), klicken Sie auf die +-Schaltflächeund wählen Sie die richtige E-Mail-Adresse aus.


VMware, Inc. 118

Option Beschreibung

Länge des privaten Schlüssels 2048

Typ des privaten Schlüssels Wählen Sie Signierung aus

SAN-Typ Klicken Sie auf Hinzufügen und wählen Sie Benutzerprinzipalname aus

Automatische Zertifikatserneuerung(optional)

Zertifikatssperrung aktivieren(optional)

Privaten Schlüssel veröffentlichen(optional)


Aktualisieren von Sicherheitsrichtlinien zur Verwendung des abgerufenenZertifizierungsstellenzertifikatsAktualisieren Sie die Sicherheitsrichtlinien in der Workspace ONE UEM-Konsole, um das abgerufeneZertifizierungsstellenzertifikat zu verwenden.

Voraussetzungen

Verfahren

1 Melden Sie sich bei der Workspace ONE UEM-Konsole an, navigieren Sie zu Alle Einstellungenund klicken Sie auf Anwendungen > Sicherheit und Richtlinien > Sicherheitsrichtlinien imDropdown-Menü.

2 Wählen Sie für „Aktuelle Einstellungen“ Überschreiben aus.

3 Aktivieren Sie Integrierte Authentifizierung.

a Wählen Sie Zertifikat verwendenaus.

b Legen Sie für AnmeldedatenquelleFestgelegte Zertifizierungsstelle fest.

c Geben Sie die zuvor festgelegte Zertifizierungsstelle und Zertifikatsvorlage an.

4 Legen Sie für Zulässige Sites * fest.


Konfigurieren eines Web-Reverse-Proxy für Identity Bridging (Cert-to-Kerberos)

Konfigurieren Sie die Bridging-Funktion von Unified Access Gateway, um Single Sign-On (SSO) fürveraltete, lokale Nicht-SAML-Anwendungen bereitzustellen, die eine Zertifikatvalidierung verwenden.

Voraussetzungen

Stellen Sie vor der Konfiguration sicher, dass Ihnen die folgenden Dateien und Zertifikate zur Verfügungstehen:

n Keytab-Datei einer Back-End-Anwendung, z. B. Sharepoint oder JIRA


VMware, Inc. 119

n Root-CA-Zertifikat oder die gesamte Zertifikatskette mit Zwischenzertifikat für den Benutzer

n Sie müssen in der Workspace ONE UEM Console ein Zertifikat hinzugefügt und hochgeladen haben.Siehe Aktivieren der Workspace ONE UEM-Konsole für das Abrufen und Verwenden vonZertifizierungsstellenzertifikaten.

Sehen Sie sich die relevante Produktdokumentation an, um die Root- und Benutzerzertifikate und dieKeytab-Datei für Nicht-SAML-Anwendungen zu generieren.

Stellen Sie sicher, dass TCP/UDP-Port 88 geöffnet ist, da Unified Access Gateway diesen Port für dieKerberos-Kommunikation mit Active Directory verwendet.

Verfahren

1 Klicken Sie auf Authentifizierungseinstellungen > X509-Zertifikat und rufen Sie Folgendes auf:

a Klicken Sie bei Root- und Zwischen-CA-Zertifikat auf Auswählen und laden Sie die gesamteZertifikatskette hoch.

b Stellen Sie für Entziehen von Zertifikaten aktivieren die Umschaltfläche auf Ja.

c Aktivieren Sie das Kontrollkästchen für OCSP-Rückruf aktivieren.

d Geben Sie die OCSP-Antwort-URL im Textfeld OCSP-URL ein.

Unified Access Gateway sendet die OCSP-Anforderung an die angegebene URL und erhält eineAntwort, ob das Zertifikat widerrufen wurde oder nicht.

e Aktivieren Sie das Kontrollkästchen OCSP-URL des Zertifikats verwenden nur dann, wenn einAnwendungsfall vorliegt, für den die OCSP-Anforderung an die OCSP-URL im Clientzertifikatgesendet werden soll. Wenn diese Option nicht aktiviert ist, wird standardmäßig der Wert imTextfeld „OCSP-URL“ verwendet.


VMware, Inc. 120

2 Klicken Sie unter Erweiterte Einstellungen > Einstellungen für Identity Bridging > OSCP-Einstellungen auf Hinzufügen.

a Klicken Sie auf Auswählen und laden Sie das OCSP-Signaturzertifikat hoch.

3 Wählen Sie das Zahnrad-Symbol Bereichseinstellungen aus und konfigurieren Sie dieEinstellungen für den Bereich wie unter Konfigurieren der Bereichseinstellungenbeschrieben.

4 Wählen Sie unter Allgemeine Einstellungen > Edge-Dienst-Einstellungen das ZahnradsymbolReverse-Proxy-Einstellungen aus.

5 Stellen Sie Identity Bridging-Einstellungen aktivieren auf JA ein, konfigurieren Sie die folgendenIdentity Bridging-Einstellungen und klicken Sie dann auf Speichern.

Option Beschreibung

Authentifizierungstypen Wählen Sie ZERTIFIKAT aus dem Dropdown-Menü aus.

Keytab Wählen Sie im Dropdown-Menü die für diesen Reverse-Proxy konfigurierte Keytab-Datei.

Name des Prinzipals des Zieldiensts Geben Sie den Prinzipalnamen des Kerberos-Diensts ein. Jeder Prinzipal ist stetsdurch den Namen des Bereichs vollständig qualifiziert. Beispiel:myco_hostname@MYCOMPANY. Geben Sie den Bereichsnamen in Großbuchstabenein. Wenn Sie keinen Namen in das Textfeld eingeben, wird der Name desPrinzipals aus dem Hostnamen der Proxy-Ziel-URL abgeleitet.

Name der Benutzer-Kopfzeile Zur kopfzeilenbasierten Authentifizierung geben Sie den Namen der HTTP-Kopfzeile ein, die die aus der Assertion abgeleitete Benutzer-ID enthält, oderverwenden Sie die standardmäßige AccessPoint-Benutzer-ID.

Nächste Schritte

Wenn Sie das Workspace ONE Web verwenden, um auf die Zielwebsite zuzugreifen, fungiert dieZielwebsite als Reverse-Proxy. Unified Access Gateway validiert das vorgelegte Zertifikat. Wenn dasZertifikat gültig ist, zeigt der Browser die Benutzeroberfläche für die Back-End-Anwendung an.

Informationen zu spezifischen Fehlermeldungen und zur Fehlerbehebung finden Sie unterFehlerbehebung: Identity Bridging.


VMware, Inc. 121

Workspace ONE UEM Komponenten auf Unified AccessGatewaySie können VMware Tunnel mit der Unified Access Gateway-Appliance bereitstellen. Unified AccessGateway unterstützt die Bereitstellung in ESXi- oder Microsoft Hyper-V-Umgebungen. VMware Tunnelbietet eine sichere und effektive Methode für den Zugriff einzelner Anwendungen aufUnternehmensressourcen. Content Gateway (CG) ist eine Komponente der Workspace ONE UEM-Inhaltsverwaltungslösung, die auf Mobilgeräten den sicheren Zugriff auf lokale Repository-Inhalteermöglicht.

DNS-Anforderungen für VMware Tunnel und Content GatewayWenn VMware Tunnel- und Content Gateway-Dienste auf derselben Appliance aktiviert sind und die TLS-Portfreigabe aktiviert ist, müssen die DNS-Namen für jeden Dienst eindeutig sein. Wenn TLS nichtaktiviert ist, kann nur ein DNS-Name für beide Dienste verwendet werden, da der Port den eingehendenDatenverkehr einteilt.

Bereitstellen von VMware Tunnel in Unified Access GatewayDas Bereitstellen von VMware Tunnel über die Unified Access Gateway-Appliance bietet eine sichere undeffiziente Methode für den Zugriff einzelner Anwendungen auf Unternehmensressourcen. Unified AccessGateway unterstützt die Bereitstellung in ESXi- oder Microsoft Hyper-V-Umgebungen.

VMware Tunnel setzt sich aus zwei unabhängigen Komponenten zusammen: Tunnel-Proxy und Tunnelüber App. Sie können VMware Tunnel mit Modellen einfacher Netzwerkarchitekturen oder mit Modellenvon Netzwerkarchitekturen mit mehreren Ebenen bereitstellen.

Sowohl das Tunnel-Proxy- als auch das Tunnel-über-App-Bereitstellungsmodell kann für ein Netzwerk mitmehreren Ebenen auf der Unified Access Gateway-Appliance verwendet werden. Die Bereitstellung setztsich aus einem Front-End-Unified Access Gateway-Server, der in der DMZ bereitgestellt wird, und einemBack-End-Server im internen Netzwerk zusammen.

Bei der Tunnel-Proxy-Komponente wird der Netzwerkdatenverkehr zwischen einem Endbenutzergerätund einer Website über das Workspace ONE Web oder eine beliebige Workspace ONE SDK-fähigeAnwendung bei einer Bereitstellung über Workspace ONE UEM gesichert. Die Mobilanwendung bauteine sichere HTTPS-Verbindung zum Tunnel Proxy-Server auf und schützt die sensiblen Daten. Gerätewerden gegenüber dem Tunnel-Proxy durch ein Zertifikat authentifiziert, das über das SDK entsprechendder Konfiguration in der Workspace ONE UEMConsole ausgegeben wird. Diese Komponente sollte in derRegel bei nicht verwalteten Geräten verwendet werden, die einen sicheren Zugriff auf interne Ressourcenbenötigen.

Bei vollständig registrierten Geräten ermöglicht die Komponente für App-spezifische Tunnel eineGeräteverbindung zu internen Ressourcen, ohne dass das Workspace ONE SDK benötigt wird. DieseKomponente nutzt die nativen VPN-über-App-Funktionen der Betriebssysteme iOS, Android, Windows 10und macOS.

Weitere Informationen zu diesen Plattformen und VMware Tunnel-Komponentenfunktionen finden Sie inder aktuellen Tunnel-Dokumentation auf der Workspace ONE UEM-Dokumentationsseite.


VMware, Inc. 122


Zur Bereitstellung von VMware Tunnel für Ihre Workspace ONE UEM-Umgebung sind folgende Schritteerforderlich:

1 Konfigurieren Sie den VMware Tunnel-Hostnamen und die Portinformationen in der Workspace ONEUEM Console. Siehe Firewall-Regeln für Umkreisnetzwerk-basierte Unified Access Gateway-Appliances.

2 Laden Sie die Unified Access Gateway-OVF-Vorlage herunter und stellen Sie diese bereit.

3 Konfigurieren Sie den VMware Tunnel manuell.

Abbildung 4-10. Bereitstellung von VMware Tunnel mit mehreren Ebenen: Proxy und Tunnelüber App

Interne Ressourcen: -SharePoint-Wikis-Intranet

VMwareAirwatch

VMware TunnelBack-End-Server

VMware TunnelFront-End-Server

DMZ

InternesNetzwerk

Endbenutzergeräte

80,443

443

443

2010, 8443

2020, 8443

AirWatch v9.1 und höher unterstützt den mehrstufigen Modus als Bereitstellungsmodell mit mehrerenEbenen für VMware Tunnel. Der mehrstufige Modus erfordert einen dedizierten eingehenden Port fürjede Tunnel-Komponente aus dem Internet zum Front-End-Tunnel-Server. Sowohl der Front-End- alsauch der Back-End-Server muss mit der Workspace ONE UEM-API und den AWCM-Servernkommunizieren können. Der mehrstufige Modus von VMware Tunnel unterstützt die Architektur mitmehreren Ebenen für die Tunnel-über-App-Komponente.

Informationen zum Lastausgleich für Content Gateway und Tunnel-Proxy finden Sie unter Unified AccessGateway-Topologien für den Lastausgleich.

Navigieren Sie zur Seite VMware Workspace ONE UEM-Dokumentation. Dort finden Sie einevollständige Liste der Workspace ONE UEM-Handbücher und -Versionshinweise.


VMware, Inc. 123


VMware Tunnel-Proxy konfigurierenKonfigurieren Sie den VMware Tunnel-Proxy mit dem Konfigurationsassistenten. Die im Assistentenkonfigurierten Optionen sind im Installationsprogrammpaket enthalten, das Sie in der Workspace ONEUEM-Konsole herunterladen und auf Ihre Tunnel-Server verschieben können.

Konfigurieren Sie den VMware Tunnel-Proxy in der UEM Console unter Gruppen und Einstellungen >Alle Einstellungen > System > Enterprise Integration > VMware Tunnel > Proxy. Der Assistent führtSie Schritt für Schritt durch die Installationsprogrammkonfiguration. Die im Assistenten konfiguriertenOptionen sind im Installationsprogrammpaket enthalten, das Sie in der Workspace ONE UEM-Konsoleherunterladen und auf Ihre Tunnel-Server verschieben können. Wenn Sie die Details in diesemAssistenten ändern, muss der VMware Tunnel in der Regel mit der neuen Konfiguration noch einmalinstalliert werden.

Um den VMware Tunnel-Proxy zu konfigurieren, benötigen Sie die Details des Servers, auf dem Sie dieInstallation durchführen möchten. Legen Sie vor der Konfiguration das Bereitstellungsmodell, einen odermehrere Hostnamen und Ports sowie die VMware Tunnel-Funktionen fest, die implementiert werdensollen, wie die Integration von Zugriffsprotokollen, die SSL-Auslagerung, die Integration derUnternehmenszertifizierungsstelle usw.

Hinweis Basierend auf Ihrer Auswahl zeigt der Assistent dynamisch die entsprechenden Optionen an,weshalb auf den Konfigurationsbildschirmen gegebenenfalls andere Textfelder und Optionen angezeigtwerden.

Verfahren

1 Wechseln Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > EnterpriseIntegration > VMware Tunnel > Proxy.

n Wenn Sie VMware Tunnel zum ersten Mal konfigurieren, wählen Sie Konfigurieren aus undfolgen Sie den Anweisungen des Konfigurationsassistenten.

n Wenn Sie VMware Tunnel nicht zum ersten Mal konfigurieren, wählen Sie Überschreiben unddann den Umschalter Aktiviert VMware Tunnel aus. Wählen Sie anschließend Konfigurierenaus.

2 Wählen Sie auf dem Bildschirm Bereitstellungstyp Aktivieren Proxy (Windows und Linux)(Umschalter) aus und wählen Sie dann im Dropdown-Menü Proxy-Konfigurationstyp dieKomponenten aus, die Sie konfigurieren möchten.

3 Wählen Sie in den angezeigten Dropdown-Menüs aus, ob Sie eine Bereitstellung vom Typ Relay-Endpoint oder Proxy-Konfiguration konfigurieren. Über das Informationssymbol können Sie einBeispiel für den ausgewählten Typ anzeigen.

4 Klicken Sie auf Weiter.


VMware, Inc. 124

5 Konfigurieren Sie auf dem Bildschirm Details die folgenden Einstellungen. Welche Optionen auf demBildschirm Details angezeigt werden, hängt davon ab, welchen Konfigurationstyp Sie im Dropdown-Menü Proxy-Konfigurationstyp ausgewählt haben.

u Basis-Proxy-Konfigurationstyp – Geben Sie folgende Informationen ein:

Einstellung Beschreibung

Hostname Geben Sie den FQDN des öffentlichen Hostnamens für den Tunnel-Server ein, z.B. tunnel.acmemdm.com. Dieser Hostname muss öffentlich verfügbar sein, daGeräte über das Internet eine Verbindung mit diesem DNS herstellen.

Relay-Port Der Proxy-Dienst wird auf diesem Port installiert. Geräte stellen eine Verbindungmit <relayhostname>:<port> her, um die VMware Tunnel-Proxy-Funktion zunutzen. Der Standardwert ist 2020.

Relay-Hostname (Nur Relay-Endpoint). Geben Sie den FQDN des öffentlichen Hostnamens für denTunnel-Relay-Server ein, z. B. tunnel.acmemdm.com. Dieser Hostname mussöffentlich verfügbar sein, da Geräte über das Internet eine Verbindung mit diesemDNS herstellen.

SSL-Auslagerung aktivieren Aktivieren Sie dieses Kontrollkästchen, wenn Sie die SSL-Auslagerung nutzenmöchten, um die Last des Verschlüsselns und Entschlüsselns von Datenverkehrauf dem VMware Tunnel-Server zu verringern.

Kerberos-Proxy verwenden Aktivieren Sie die Kerberos-Proxy-Unterstützung, um den Zugriff auf die Kerberos-Authentifizierung für Ihre Back-End-Webdienste zuzulassen. Diese Funktionunterstützt aktuell keine eingeschränkte Kerberos-Delegierung (KCD). WeitereInformationen finden Sie unter Konfigurieren der Kerberos-Proxy-Einstellungen.

Der Endpoint-Server muss sich in derselben Domäne wie KDC befinden, damit derKerberos-Proxy erfolgreich mit KDC kommunizieren kann.

u Wenn Sie Relay-Endpoint als Proxy-Konfigurationstyp auswählen, geben Sie folgende

Informationen ein:


Relay-Hostname (Nur Relay-Endpoint). Geben Sie den FQDN des öffentlichen Hostnamens für denTunnel-Relay-Server ein, z. B. tunnel.acmemdm.com. Dieser Hostname mussöffentlich verfügbar sein, da Geräte über das Internet eine Verbindung mit diesemDNS herstellen.

Endpoint-Hostname Das interne DNS des Tunnel-Endpoint-Servers. Dieser Wert ist der Hostname, mitdem der Relay-Server am Relay-Endpoint-Port eine Verbindung herstellt. WennSie den VMware Tunnel auf einem Server mit SSL-Auslagerung installierenmöchten, geben Sie statt dem Hostnamen den Namen dieses Servers ein.

Geben Sie den Hostnamen ohne Protokoll (http://, https:// usw.) ein.

Relay-Port Der Proxy-Dienst wird auf diesem Port installiert. Geräte stellen eine Verbindungmit <relayhostname>:<port> her, um die VMware Tunnel-Proxy-Funktion zunutzen. Der Standardwert ist 2020.


VMware, Inc. 125


Endpoint-Port (Nur Relay-Endpoint). Dieser Wert gibt der Port an, der für die Kommunikationzwischen dem VMware Tunnel-Relay und dem VMware Tunnel-Endpointverwendet wird. Der Standardwert ist 2010.

Wenn Sie eine Kombination aus Proxy- und Per-App-Tunnel nutzen, wird derRelay-Endpoint als Teil des Front-End-Servers für den mehrstufigen Modusinstalliert. Für die Ports sollten unterschiedliche Werte angegeben werden.

SSL-Auslagerung aktivieren Aktivieren Sie dieses Kontrollkästchen, wenn Sie die SSL-Auslagerung nutzenmöchten, um die Last des Verschlüsselns und Entschlüsselns von Datenverkehrauf dem VMware Tunnel-Server zu verringern.

Kerberos-Proxy verwenden Aktivieren Sie die Kerberos-Proxy-Unterstützung, um den Zugriff auf die Kerberos-Authentifizierung für Ihre Back-End-Webdienste zuzulassen. Diese Funktionunterstützt aktuell keine eingeschränkte Kerberos-Delegierung (KCD). WeitereInformationen finden Sie unter Konfigurieren der Kerberos-Proxy-Einstellungen.

Der Endpoint-Server muss sich in derselben Domäne wie KDC befinden, damit derKerberos-Proxy erfolgreich mit KDC kommunizieren kann.

Geben Sie im Feld Bereich den Bereich des KDC-Servers ein.


7 Auf dem Bildschirm SSL können Sie das öffentliche SSL-Zertifikat konfigurieren, das die Client-Server-Kommunikation von der aktivierten Anwendung auf einem Gerät mit dem VMware Tunnelabsichert. Dieses Setup verwendet für die sichere Server-Client-Kommunikation standardmäßig einAirWatch-Zertifikat.

a Wählen Sie die Option Öffentliches SSL-Zertifikat verwenden aus, wenn Sie für dieVerschlüsselung zwischen Workspace ONE Web- oder SDK-fähige Anwendungen und demVMware Tunnel-Server ein SSL-Zertifikat eines Drittanbieters verwenden möchten.

b Wählen Sie Hochladen aus, um eine PFX- oder P12-Zertifikatsdatei hochzuladen und geben Siedas Kennwort ein. Diese Datei muss sowohl ihr öffentliches als auch Ihr privates Schlüsselpaarenthalten. CER- und CRT-Dateien werden nicht unterstützt.



VMware, Inc. 126

9 Konfigurieren Sie auf dem Bildschirm Authentifizierung die folgenden Einstellungen, um dieZertifikate auszuwählen, die von Geräten zur Authentifizierung bei VMware Tunnel verwendetwerden.

Standardmäßig verwenden alle Komponenten von AirWatch ausgestellte Zertifikate. Um für dieClient-Server-Authentifizierung Zertifikate einer Unternehmenszertifizierungsstelle zu verwenden,wählen Sie die Option Unternehmenszertifizierungsstelle aus.

a Wählen Sie Standard aus, um von AirWatch ausgestellte Zertifikate zu verwenden. Dasstandardmäßig von AirWatch ausgestellte Clientzertifikat wird nicht automatisch verlängert. Umdiese Zertifikate zu verlängern, müssen Sie das VPN-Profil erneut auf Geräten veröffentlichen,auf denen sich ein ablaufendes oder abgelaufenes Clientzertifikat befindet. Den Zertifikatsstatusfür ein Gerät können Sie anzeigen, indem Sie zu Geräte > Gerätedetails > Mehr > Zertifikatenavigieren.

b Wählen Sie für die Authentifizierung zwischen Workspace ONE Web, Per-App-Tunnel-fähigenAnwendungen oder SDK-fähigen Anwendungen anstelle der von AirWatch ausgestelltenZertifikate Unternehmenszertifizierungsstelle aus. VMware Tunnel erfordert, dass vor derKonfiguration von VMware Tunnel in Ihrer Workspace ONE UEM-Umgebung eineZertifizierungsstelle und eine Zertifikatvorlage eingerichtet sind.

c Wählen Sie die Zertifizierungsstelle und die Zertifikatvorlage aus, die zum Anfordern einesZertifikats von der Zertifizierungsstelle verwendet werden.

d Wählen Sie Hochladen aus, um die vollständige Kette des öffentlichen Schlüssels IhrerZertifizierungsstelle in den Konfigurationsassistenten hochzuladen.

Die Zertifizierungsstellenvorlage muss als Antragstellernamen CN=UDID enthalten. AlsZertifizierungsstellen unterstützt werden ADCS, RSA und SCEP.

Zertifikate werden basierend auf den Einstellungen Ihrer Zertifizierungsstellenvorlageautomatisch verlängert.

10 Klicken Sie auf Hinzufügen, um ein Zwischenzertifikat hinzuzufügen.


12 Auf dem Bildschirm Sonstiges können Sie Zugriffsprotokolle für die Proxy- oder Per-App-Tunnel-Komponenten aktivieren. Aktivieren Sie den Umschalter Zugriffsprotokolle, um die Funktion zukonfigurieren.

Wenn Sie diese Funktion verwenden möchten, müssen Sie sie im Rahmen dieser Konfigurationkonfigurieren, da sie später nicht ohne Neukonfiguration des Tunnels und erneutes Ausführen desInstallationsprogramms aktiviert werden kann. Weitere Informationen zu diesen Einstellungen findenSie unter #unique_77 und Konfigurieren der erweiterten Einstellungen für VMware Tunnel.

a Geben Sie im Feld Syslog-Hostname die URL Ihres Syslog-Hosts ein. Diese Einstellung wirdangezeigt, nachdem Sie die Zugriffsprotokolle aktiviert haben.

b Geben Sie im Feld UDP-Port den Port ein, über den Sie mit dem Syslog-Host kommunizierenmöchten.


VMware, Inc. 127

13 Wählen Sie Weiter aus und prüfen Sie die Übersicht Ihrer Konfiguration, um sicherzustellen, dassalle Hostnamen, Ports und Einstellungen korrekt angegeben sind. Klicken Sie dann auf Speichern.

Das Installationsprogramm kann nun auf dem Bildschirm für die VMware Tunnel-Konfigurationheruntergeladen werden.

14 Wählen Sie auf dem Bildschirm Konfiguration die Registerkarte Allgemein aus. Auf derRegisterkarte Allgemein können Sie Folgendes durchführen:

a Sie können die Verbindung testen, um die Konnektivität zu überprüfen.

b Sie können XML-Konfiguration herunterladen auswählen, um die Konfiguration dervorhandenen VMware Tunnel-Instanz als XML-Datei abzurufen.

c Sie können den Hyperlink Unified Access Gateway herunterladen anklicken. die Nicht-FIPS-OVA-Datei herunterladen. Die heruntergeladene Datei enthält auch das PowerShell-Skript unddie INI-Vorlagendatei für die PowerShell-Bereitstellungsmethode. Die VHDX- oder FIPS-OVA-Datei müssen Sie von My Workspace ONE herunterladen.

d Für veraltete Installationsprogrammverfahren können Sie das Windows-Installationsprogrammherunterladen.

Über diese Schaltfläche wird eine einzelne BIN-Datei heruntergeladen, die für die Bereitstellungdes VMware Tunnel-Servers verwendet wird. Die für die Installation erforderliche XML-Konfigurationsdatei kann nach der Bestätigung des Zertifikatkennworts in der Workspace ONEUEM-Konsole heruntergeladen werden.


Bereitstellungsmodell mit einer EbeneWenn Sie das Bereitstellungsmodell mit einer Ebene nutzen, verwenden Sie den Basis-Endpoint-Modus.Beim Basis-Endpoint-Bereitstellungsmodell von VMware Tunnel wird eine einzelne Instanz des Produktsauf einem Server mit einem öffentlich verfügbaren DNS installiert.

Die Basis-Bereitstellung von VMware Tunnel wird in der Regel im internen Netzwerk hinter einem LoadBalancer in der DMZ installiert, die den Datenverkehr an den konfigurierten Ports an den VMware Tunnelweiterleitet, der sich dann direkt mit ihren internen Webanwendungen verbindet. AlleBereitstellungskonfigurationen unterstützen Load Balancing und Reverse-Proxy.

Der Basis-Endpoint-Tunnel-Server kommuniziert mit der API und AWCM, um eine Whitelist der Clients zuerhalten, die auf VMware Tunnel zugreifen dürfen. Sowohl Proxy- als auch Per-App-Tunnel-Komponentenunterstützen in diesem Bereitstellungsmodell die Verwendung eines ausgehenden Proxys für dieKommunikation mit der API und AWCM. Wenn ein Gerät eine Verbindung mit VMware Tunnel herstellt,wird es anhand eindeutiger X.509-Zertifikate authentifiziert, die von Workspace One UEM ausgegebenwerden. Sobald ein Gerät authentifiziert wurde, leitet VMware Tunnel (Basis-Endpoint) die Anforderungan das interne Netzwerk weiter.


VMware, Inc. 128

Wenn der Basis-Endpoint in der DMZ installiert ist, müssen die entsprechenden Netzwerkänderungenvorgenommen werden, damit der VMware Tunnel über die erforderlichen Ports auf verschiedene interneRessourcen zugreifen kann. Wenn diese Komponente hinter einem Load Balancer in der DMZ installiertwird, minimiert sich die Anzahl der für die Implementierung von VMware Tunnel notwendigenNetzwerkänderungen. Außerdem wird eine zusätzliche Sicherheitsebene geschaffen, da der öffentlicheDNS nicht direkt auf den Server verweist, der den VMware Tunnel hostet.

Endbenutzergeräte

443

80, 443 80, 443

8443/2020

VMware AirWatch

Internes Netzwerk

DMZ

Endbenutzergeräte

VMware Tunnel-Server

SaaS-Modell mit einer Ebene Lokales Modell mit einer Ebene

Interne Ressourcen: - Share Point - Wikis - Intranet

VMware Tunnel-ServerAPI/AWCM

443/2001

8443/2020


Internes Netzwerk

DMZ

Bereitstellung im mehrstufigen ModusDie Architektur des mehrstufigen Bereitstellungsmodells umfasst zwei VMware Tunnel-Instanzen mitseparaten Rollen. Im mehrstufigen Modus befindet sich der Front-End-Server in der DMZ undkommuniziert mit dem Back-End-Server in Ihrem internen Netzwerk.

Das mehrstufige Bereitstellungsmodell wird nur von der Per-App-Tunnel-Komponente unterstützt. WennSie ausschließlich die Proxy-Komponente nutzen, müssen Sie das Relay-Endpoint-Modell verwenden.Weitere Informationen finden Sie im Beitrag zum Relay-Endpoint Deployment.

Für den mehrstufigen Modus greifen Geräte über einen konfigurierten Hostnamen über konfiguriertePorts auf den Front-End-Server zu. Der Standardport für den Zugriff auf den Front-End-Server ist Port8443. Der Back-End-Server für den mehrstufigen Modus wird im internen Netzwerk installiert, in dem IhreIntranet-Sites und -Webanwendungen gehostet werden. Dieses Bereitstellungsmodell trennt denöffentlich verfügbaren Front-End-Server vom Back-End-Server, der direkt mit den internen Ressourcenverbunden ist, und bietet so eine zusätzliche Sicherheitsebene.


VMware, Inc. 129

Der Front-End-Server erleichtert die Authentifizierung von Geräten, indem eine Verbindung mit AWCMhergestellt wird, wenn Anforderungen an den VMware Tunnel gestellt werden. Wenn ein Gerät eineAnforderung an VMware Tunnel sendet, ermittelt der Front-End-Server, ob das Gerät für den Zugriff aufden Dienst autorisiert ist. Nach der Authentifizierung wird die Anforderung sicher über TLS und eineneinzigen Port an den Back-End-Server weitergeleitet.

Der Back-End-Server stellt eine Verbindung mit dem internen DNS oder der vom Gerät angeforderten IP-Adresse her.

Der mehrstufige Modus kommuniziert über eine TLS-Verbindung (oder optional über eine DTLS-Verbindung). Sie können beliebig viele Front-End- und Back-End-Server hosten. Jeder Front-End-Serveragiert unabhängig, wenn er nach einem aktiven Back-End-Server sucht, um Geräte mit dem internenNetzwerk zu verbinden. Sie können mehrere DNS-Einträge in einer DNS-Lookup-Tabelle angeben, umdas Load Balancing zu ermöglichen.

Sowohl der Front-End- als auch der Back-End-Server kommunizieren mit dem Workspace One UEM-API-Server und AWCM. Der API-Server stellt die VMware Tunnel-Konfiguration bereit und AWCM liefertGeräteauthentifizierung, Whitelisting und Datenverkehrsregeln. Der Front-End- und der Back-End-Serverkommunizieren mit der API bzw. AWCM über direkte TLS-Verbindungen, sofern keine ausgehendenProxy-Aufrufe aktiviert sind. Verwenden Sie diese Verbindung, wenn der Front-End-Server die API/AWCM-Server nicht erreichen kann. Wenn diese Option aktiviert ist, stellen Front-End-Server über denBack-End-Server eine Verbindung mit den API/AWCM-Servern her. Dieser Datenverkehr wird ebenso wieder Back-End-Datenverkehr mithilfe von serverseitigen Datenverkehrsregeln weitergeleitet. WeitereInformationen finden Sie im Beitrag zu Netzwerkdatenverkehrsregeln für Per-App-Tunnel

Das folgende Diagramm veranschaulicht die Bereitstellung mit mehreren Ebenen für die Per-App-Tunnel-Komponente im mehrstufigen Modus:


VMware, Inc. 130

Endbenutzergeräte

443

80, 443 80, 443

8443

8443

VMware AirWatch

Internes Netzwerk

DMZ

Endbenutzergeräte

VMware Tunnel Front-End-Server

SaaS-Modell mit mehreren Ebenen Lokales Modell mit mehreren Ebenen

VMware Tunnel Back-End-Server


VMware Tunnel Front-End-ServerAPI/AWCM

443/2001

8443

8443

443/2001VMware Tunnel Back-End-Server


Internes Netzwerk

DMZ

Relay-Endpoint DeploymentIf you are using a multi-tier deployment model and the Proxy component of the VMware tunnel, use therelay-endpoint deployment mode. The relay-endpoint deployment mode architecture includes twoinstances of the VMware Tunnel with separate roles. The VMware Tunnel relay server resides in the DMZand can be accessed from public DNS over the configured ports.

If you are only using the Per-App Tunnel component, consider using a cascade mode deployment. Formore information, see Bereitstellung im mehrstufigen Modus.

The ports for accessing the public DNS are by default port 8443 for Per-App Tunnel and port 2020 forproxy. The VMware Tunnel endpoint server is installed in the internal network hosting intranet sites andWeb applications. This server must have an internal DNS record that is resolved by the relay server. Thisdeployment model separates the publicly available server from the server that connects directly to internalresources, providing an added layer of security.


VMware, Inc. 131

The relay server role includes communicating with the API and AWCM components and authenticatingdevices when requests are made to VMware Tunnel. In this deployment model, communication to APIand AWCM from the relay server can be routed to the Outbound Proxy via endpoint server. The Per-AppTunnel service must communicate with API and AWCM directly. When a device makes a request to theVMware Tunnel, the relay server determines if the device is authorized to access the service. Onceauthenticated, the request is forwarded securely using HTTPS over a single port (the default port is 2010)to the VMware Tunnel endpoint server.

The role of the endpoint server is to connect to the internal DNS or IP requested by the device. Theendpoint server does not communicate with the API or AWCM unless Enable API and AWCM outboundcalls via proxy is set to Enabled in the VMware Tunnel settings in the Workspace ONE UEM console.The relay server performs health checks at a regular interval to ensure that the endpoint is active andavailable.

These components can be installed on shared or dedicated servers. Install VMware Tunnel on dedicatedLinux servers to ensure that performance is not impacted by other applications running on the sameserver. For a relay-endpoint deployment, the proxy and Per-App Tunnel components are installed on thesame relay server.

Abbildung 4-11. On-premises configuration for Relay-Endpoint deployments

DMZ Internes Netzwerk

Gerätedienste/ AWCM

AirWatch Tunnel Relay

Browser-Datenverkehr (Proxy) wird über die definierten Ports gesendet. Weitere Informationen finden Sie im Abschnitt zum HTTPS-Tunneling im

Tunnel-Administratorhandbuch.

Nur Tunnel für Linux: Per-App Tunnel-Datenverkehr wird über TCP (8443) gesendet.

HTTPS- oder verschlüsselter HTTP-Datenverkehr

Proxy-Datenverkehr (Standardport: 2020)

AirWatch MDM-Datenverkehr HTTPS (433)

Zertifikatdatenverkehr HTTPS (433)

Geräteregistrierung

Browser- (Proxy)-Datenverkehr wird über einen Port transportiert,

den Sie in der AirWatch Admin-Konsole festlegen.

Zertifikat erstellt und an das Gerät übermittelt

DS-Server übergibt das Zertifikat an den AW-Tunnel

über AWCM

Anfängliches AW-Tunnel-Update für alle Zertifikate

Interne Ressourcen: Websites – SharePoint – Wikis – Intranet

Konsole/API-Server

AirWatch Tunnel Endpoint


VMware, Inc. 132

Abbildung 4-12. SaaS configuration for Relay-Endpoint deployments

DMZ Internes Netzwerk

AirWatch Tunnel Relay

AirWatch Cloud

Browser-Datenverkehr (Proxy) wird über die definierten Ports gesendet. Weitere Informationen finden Sie im Abschnitt zum HTTPS-Tunneling im

Tunnel-Administratorhandbuch.

Nur Tunnel für Linux: Per-App Tunnel-Datenverkehr wird über TCP (8443) gesendet.

Proxy-Datenverkehr (Standardport: 2020)

AirWatch MDM-Datenverkehr HTTPS (433)

Zertifikatdatenverkehr HTTPS (433)

Geräteregistrierung

AW-Tunnel ruft Zertifikate für die Authentifizierung

Endbenutzergeräte

Browser- (Proxy)-Datenverkehr wird über einen Port transportiert,

den Sie in der AirWatch Admin-Konsole festlegen.

Zertifikat erstellt und an das

Gerät übermittelt

Interne Ressourcen: Websites – SharePoint – Wikis – Intranet

AirWatch Tunnel Endpoint

Konfigurieren der VMware Tunnel-Einstellungen für Workspace ONE UEMDurch die Tunnel-Proxy-Bereitstellung wird der Netzwerkdatenverkehr zwischen einem Endbenutzergerätund einer Website über die Workspace ONE Web-Mobilanwendung gesichert.

Verfahren


2 Navigieren Sie zu Allgemeine Einstellungen > Edge Service Settings und klicken Sie aufAnzeigen.

3 Klicken Sie auf das Zahnradsymbol VMware Tunnel-Einstellungen.

4 Ändern Sie NEIN in JA, um den Tunnel-Proxy zu aktivieren.


Option Beschreibung

URL für API-Server Geben Sie die URL des Workspace ONE UEM-API-Servers ein. Zum Beispiel alshttps://example.com:<port> eingeben.

Benutzername für API-Server Geben Sie den Benutzernamen für die Anmeldung beim API-Server ein.


VMware, Inc. 133

Option Beschreibung

Kennwort für API-Server Geben Sie das Kennwort für die Anmeldung beim API-Server ein.

Organisations-Gruppen-ID Geben Sie die Organisation des Benutzers ein.

Hostname des Tunnel-Servers Geben Sie den in der Workspace ONE UEM Console konfigurierten externenVMware Tunnel-Hostnamen ein.


Option Beschreibung

Host für ausgehenden Proxy Geben Sie den Namen des Hosts ein, auf dem der ausgehende Proxy installiert ist.

Hinweis Dies ist nicht der Tunnel-Proxy.

Port für ausgehenden Proxy Geben Sie die Portnummer des ausgehenden Proxy ein.

Benutzername für ausgehendenProxy

Geben Sie den Benutzernamen für die Anmeldung beim ausgehenden Proxy ein.

Kennwort für ausgehenden Proxy Geben Sie das Kennwort für die Anmeldung beim ausgehenden Proxy ein.

NTLM-Authentifizierung Ändern Sie NEIN in JA, um festzulegen, dass für Anforderungen für denausgehenden Proxy eine NTLM-Authentifizierung erforderlich ist.

Für VMware Tunnel-Proxy verwenden Ändern Sie NEIN in JA, um diesen Proxy als ausgehenden Proxy für VMwareTunnel zu verwenden. Wenn diese Einstellung nicht aktiviert ist, verwendet UnifiedAccess Gateway diesen Proxy für den anfänglichen API-Aufruf, um dieKonfiguration aus der Workspace ONE UEM Console abzurufen.


alias. Klicken Sie auf „+“, um mehrere Hosteinträge hinzuzufügen.


Vertrauenswürdige Zertifikate Wählen Sie die vertrauenswürdigen Zertifikatdateien im PEM-Format aus, die demTrust Store hinzugefügt werden sollen. Standardmäßig ist der Aliasname derDateinamen des PEM-Zertifikats. Bearbeiten Sie das Textfeld „Alias“, um einenanderen Namen einzugeben.


Bereitstellung von VMware Tunnel für Workspace ONE UEM mithilfe vonPowerShellSie können PowerShell verwenden, um den VMware Tunnel für Workspace ONE UEMbereitzustellen.

In diesem Video erhalten Sie Informationen zur Bereitstellung von VMware Tunnel mit PowerShell:VMware Tunnel-PowerShell-Bereitstellung(http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell)


VMware, Inc. 134

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell

Informationen zum TLS-Port für gemeinsame NutzungDie gemeinsame Nutzung von TLS-Ports ist für Unified Access Gateway standardmäßig aktiviert, wennmehrere Edge-Dienste so konfiguriert sind, dass der TCP-Port 443 verwendet wird. Unterstützte Edge-Dienste sind VMware Tunnel (VPN-über-App), Content Gateway und Web-Reverse-Proxy.

Hinweis Wenn TCP-Port 443 gemeinsam genutzt werden soll, stellen Sie sicher, dass jederkonfigurierte Edge-Dienst über einen eindeutigen externen Hostnamen verfügt, der auf Unified AccessGateway verweist.

Content Gateway ein Unified Access GatewayContent Gateway (CG) ist eine Komponente der Workspace ONE UEM-Inhaltsverwaltungslösung, die aufMobilgeräten den sicheren Zugriff auf lokale Repository-Inhalte ermöglicht.

Voraussetzungen

Sie müssen den Content Gateway-Knoten über die Workspace ONE UEM-Konsole konfigurieren, bevorSie Content Gateway auf Unified Access Gateway konfigurieren können. Notieren Sie nach demKonfigurieren des Knotens die Content Gateway-Konfigurations-GUID, die automatisch generiert wird.

Hinweis Das Akronym CG wird auch verwendet, um auf Content Gateway zu verweisen.

Verfahren

1 Navigieren Sie zu Allgemeine Einstellungen > Edge-Dienst-Einstellungen > Content Gateway-Einstellungen und klicken Sie auf das Zahnrad-Symbol.

2 Wählen Sie JA, um die Content Gateway-Einstellungen zu aktivieren.

3 Konfigurieren Sie folgende Einstellungen

Option Beschreibung

Bezeichner Gibt an, dass dieser Dienst aktiviert ist.

URL für API-Server Die URL des Workspace ONE UEM-API-Servers:[http[s]://]Hostname[:Port]

Die Ziel-URL muss das Protokoll, den Hostnamen oder die IP-Adresse und diePortnummer enthalten. Beispiel: https://load-balancer.example.com:8443

Unified Access Gateway bezieht die Content Gateway-Konfiguration vom API-Server.

Benutzername für API-Server Benutzername zur Anmeldung beim API-Server.

Hinweis Das Administratorkonto muss mindestens über die der Rolle „ContentGateway“ zugeordneten Berechtigungen verfügen.

Kennwort für API-Server Kennwort zur Anmeldung beim API-Server.

CG-Hostname Der Host-Name wird verwendet, um Edge-Einstellungen zu konfigurieren.


VMware, Inc. 135

Option Beschreibung

CG-Konfigurations-GUID Workspace ONE UEM Content Gateway-Konfigurations-ID. Diese ID wirdautomatisch generiert, wenn der Content Gateway auf der Workspace ONE UEM-Konsole konfiguriert wird. Die Konfigurations-GUID wird auf der Seite „ContentGateway“ der UEM Console unter Einstellungen > Inhalt > Content Gatewayangezeigt.

Host für ausgehenden Proxy Der Host, auf dem der ausgehende Proxy installiert ist. Unified Access Gatewaystellt über einen ausgehenden Proxy, falls konfiguriert, eine Verbindung zum API-Server her.

Port für ausgehenden Proxy Port des ausgehenden Proxys.


Benutzername zur Anmeldung beim ausgehenden Proxy.

Kennwort für ausgehenden Proxy Kennwort zur Anmeldung beim ausgehenden Proxy.

NTLM-Authentifizierung Gibt an, ob für den ausgehenden Proxy eine NTLM-Authentifizierung erforderlichist.

Vertrauenswürdige Zertifikate Fügen Sie diesem Edge-Dienst ein vertrauenswürdiges Zertifikat hinzu. Klicken Sieauf „+“, wählen Sie ein Zertifikat im PEM-Format und fügen Sie es zum Trust Storehinzu. Klicken Sie auf „-“, um ein Zertifikat aus dem Trust Store zu entfernen.Standardmäßig ist der Aliasname der Dateinamen des PEM-Zertifikats. BearbeitenSie das Textfeld „Alias“, um einen anderen Namen einzugeben.


alias. Klicken Sie auf „+“, um mehrere Hosteinträge hinzuzufügen.


Hinweis HTTP-Datenverkehr ist für Content Gateway über Port 80 auf Unified Access Gatewaynicht zulässig, da der TCP-Port 80 vom Edge-Service-Manager verwendet wird.


Content Gateway-KonfigurationKonfigurieren Sie Content Gateway-Einstellungen in der Workspace ONE UEM Console, um einenKnoten einzurichten und die Einstellungen vorzukonfigurieren, die in die Konfigurationsdatei integriertwerden. So müssen die Einstellungen nicht nach der Installation manuell auf dem Server konfiguriertwerden.

Zur Konfiguration gehört die Auswahl der Plattform, des Konfigurationsmodells, der zugehörigen Portsund gegebenenfalls das Hochladen eines SSL-Zertifikats.


VMware, Inc. 136

Ab Workspace One UEM Console Version 9.6 ist Unified Access Gateway (UAG) der empfohleneInstallationstyp für die Konfiguration eines Content Gateway-Knotens. Sie können diese Option nutzen,um ein neues Content Gateway auf Unified Access Gateway zu konfigurieren oder um Ihr vorhandenesContent Gateway auf Unified Access Gateway zu migrieren.

Weitere Informationen zum Konfigurieren von Content Gateway auf Unified Access Gateway finden Sie inder UAG-Dokumentation im Abschnitt zu Workspace ONE UEM-Komponenten auf Unified AccessGateway. Informationen zur Migration finden Sie in der Dokumentation zum Migrieren von ContentGateway zu Unified Access Gateway.

Verfahren

1 Navigieren Sie in der Organisationsgruppe Ihrer Wahl zu Gruppen und Einstellungen > AlleEinstellungen > System > Enterprise Integration > Content Gateway.

2 Stellen Sie Content Gateway aktivieren auf Aktiviert ein.

Sie müssen möglicherweise Überschreiben auswählen, um die Content Gateway-Einstellungen zuentsperren.



VMware, Inc. 137

4 Füllen Sie die angezeigten Felder aus, um eine Content Gateway-Instanz zu konfigurieren.

a Konfigurieren Sie den Installationstyp.


Installationstyp Wählen Sie das Betriebssystem für den Content Gateway-Server aus.

b Konfigurieren Sie die Einstellungen für die Content-Konfiguration.


Konfigurationstyp n Basis – Endpoint-Konfiguration ohne Relay-Komponente.

n Relay – Endpoint-Konfiguration mit einer Relay-Komponente.

Name Geben Sie einen eindeutigen Namen für diese Content Gateway-Instanz ein,über den diese ausgewählt wird, wenn sie an ein Inhalts-Repository, eineRepository-Vorlage oder einen RFS-Knoten angeschlossen wird.

Content Gateway-Relay-Adresse Wenn Sie eine Relay-Konfiguration implementieren, geben Sie die URL ein, diefür den Zugriff auf das Content Gateway-Relay aus dem Internet verwendetwird.

Content Gateway-Relay-Port Wenn Sie eine Relay-Konfiguration implementieren, geben Sie den Relay-Server-Port ein.

Content Gateway-Endpoint-Adresse Geben Sie den Hostnamen des Content Gateway-Endpoints ein. Das mit demkonfigurierten Port verbundene öffentliche SSL-Zertifikat muss für dieseEingabe gültig sein.

Content Gateway-Endpoint-Port Geben Sie den Endpoint-Server-Port ein.

c Konfigurieren Sie die Einstellungen für das Content-SSL-Zertifikat.


Öffentliches SSL-Zertifikat (fürLinux erforderlich)

Laden Sie bei Bedarf eine PKCS12-Zertifikatsdatei (.pfx) mit einer vollständigenKette hoch, damit das Content Gateway-Installationsprogramm eine Bindungmit dem Port herstellen kann. Die vollständige Kette enthält ein Kennwort, einServerzertifikat, Zwischenzertifikate, ein Stammzertifikat und einen privatenSchlüssel.

Hinweis Um sicherzustellen, dass Ihre PFX-Datei die gesamte Zertifikatsketteenthält, können Sie mit Befehlszeilentools wie Certutil oder OpenSSL Befehlewie certutil -dump myCertificate.pfx oder openssl pkcs12 -inmyCertificate.pfx -nokeys ausführen. Mit diesen Befehlen werden dievollständigen Zertifikatinformationen angezeigt.

Die Anforderungen variieren je nach Plattform und SSL-Konfiguration.

SSL-Fehler ignorieren (nichtempfohlen)

Wenn Sie ein selbstsigniertes Zertifikat verwenden, sollten Sie diese Funktiongegebenenfalls aktivieren. Wenn diese Option aktiviert ist, ignoriert ContentGateway Vertrauensprobleme bei Zertifikaten und nicht übereinstimmendeZertifikatnamen.


VMware, Inc. 138

ICAP-Proxy-Konfigurationen werden ab Workspace ONE UEM Console Version 9.7 nicht mehrunterstützt. Vorhandene Konfigurationen können jedoch bearbeitet werden. Informationen zumKonfigurieren von ICAP-Proxys finden Sie unter https://support.workspaceone.com/articles/115001675368.



Nächste Schritte

Während der Konfiguration legen Sie die Plattform und das Konfigurationsmodell für Content Gatewayfest. Nachdem Sie die Einstellungen in der UEM Console konfiguriert haben, laden Sie dasInstallationsprogramm herunter, konfigurieren Sie zusätzliche Knoten oder verwalten Sie konfigurierteKnoten.

Basisbereitstellungsmodell für Content Gateway (nur Endpoint)Das Basisbereitstellungsmodell für den Endpoint von VMware Content Gateway ist eine einzelne Instanzdes Produkts, die auf einem Server mit einem öffentlich verfügbaren DNS installiert ist.

Im Basisbereitstellungsmodell wird VMware Content Gateway in der Regel im internen Netzwerk hintereinem Load Balancer in der DMZ installiert, die den Datenverkehr an den konfigurierten Ports an dasVMware-Content Gateway weiterleitet. Das VMware Content Gateway verbindet sich dann direkt mitihren internen Inhalts-Repositorys. Alle Bereitstellungskonfigurationen unterstützen Load Balancing undReverse-Proxy.

Der Basis-Endpoint-Content Gateway-Server kommuniziert mit den Gerätediensten. Gerätediensteverbinden das Endbenutzergerät mit dem richtigen Content Gateway.

Wenn der Basis-Endpoint in der DMZ installiert wird, müssen entsprechende Netzwerkänderungendurchgeführt werden, damit das VMware Content Gateway über die entsprechenden Ports aufverschiedene interne Ressourcen zugreifen kann. Wenn diese Komponente hinter einem Load Balancerin der DMZ installiert wird, minimiert sich die Anzahl der für die Implementierung von VMware ContentGateway erforderlichen Netzwerkänderungen. Dies bietet eine weitere Sicherheitsebene, da deröffentliche DNS nicht direkt auf den Server verweist, der das VMware Content Gateway hostet.


VMware, Inc. 139

https://support.air-watch.com/articles/115001675368

https://support.air-watch.com/articles/115001675368

Relay-Endpoint-Bereitstellungsmodell für Content GatewayDie Architektur des Relay-Endpoint-Bereitstellungsmodells umfasst zwei Instanzen von VMware ContentGateway mit separaten Rollen.

Der VMware Content Gateway-Relay-Server befindet sich in der demilitarisierten Netzwerkzone (DMZ).Vom öffentlichen DNS kann über die konfigurierten Ports darauf zugegriffen werden.

Standardmäßig erfolgt der Zugriff auf Content Gateway über Port 443. Der VMware Content Gateway-Endpoint-Server wird im internen Netzwerk installiert, in dem interne Ressourcen gehostet werden.Dieser Server benötigt einen internen DNS-Eintrag, den der Relay-Server auflösen kann. DiesesBereitstellungsmodell trennt den öffentlich verfügbaren Server von dem Server, der direkt mit deninternen Ressourcen verbunden ist, und bietet so eine zusätzliche Schutzebene.

Die Rolle des Endpoint-Servers besteht darin, eine Verbindung zum internen Repository oder zu demvom Gerät angeforderten Inhalt herzustellen. Der Relay-Server führt regelmäßig Integritätsprüfungendurch, um sicherzustellen, dass der Endpoint aktiv und verfügbar ist.

Diese Komponenten können auf gemeinsam genutzten oder dedizierten Servern installiert werden. Umsicherzustellen, dass andere Anwendungen, die auf demselben Server ausgeführt werden, die Leistungnicht beeinträchtigen, sollten Sie VMware Content Gateway auf dedizierten Servern installieren.


VMware, Inc. 140

Secure Email Gateway auf Unified Access GatewaySecure Email Gateway ist eine Komponente von Workspace ONE UEM, die Ihre E-Mail-Infrastrukturschützt und die Funktion für das mobile E-Mail-Management (MEM) aktiviert.

Voraussetzungen

Sie müssen den Secure Email Gateway-Knoten über die Workspace ONE UEM Console konfigurieren,damit Sie Secure Email Gateway auf Unified Access Gateway konfigurieren können. Notieren Sie nachdem Konfigurieren des Knotens die Secure Email Gateway-Konfigurations-GUID, die automatischgeneriert wird. Weitere Informationen finden Sie in der Dokumentation zu Secure Email Gateway.

Hinweis Das Akronym SEG wird auch verwendet, um auf Secure Email Gateway zu verweisen.

Hinweis n Secure Email Gateway wird von allen Versionen von Unified Endpoint Management (UEM)

unterstützt.

n Secure Email Gateway ist so konfiguriert, dass es den Syslog-Konfigurationen folgt, die als Teil derUnified Access Gateway-Systemeinstellungen konfiguriert sind. Standardmäßig werden nur dieInhalte von app.log in Secure Email Gateway als Syslog-Ereignisse ausgelöst. Weitere Informationenfinden Sie unter Unified Access Gateway-Systemeinstellungen.

Verfahren

1 Navigieren Sie zu Allgemeine Einstellungen > Edge-Dienst-Einstellungen > Secure EmailGateway-Einstellungen und klicken Sie auf das Zahnrad-Symbol.

2 Wählen Sie JA aus, um Secure Email Gateway-Einstellungen zu aktivieren.


VMware, Inc. 141

https://docs.vmware.com/de/VMware-Workspace-ONE-UEM/1905/WS1-Secure-Email-Gateway/GUID-AWT-INTRO-SEG.html

https://docs.vmware.com/de/Unified-Access-Gateway/3.7/com.vmware.uag-37-deploy-config.doc/GUID-F71E6283-E24B-49F5-8AC6-D28915CD41AD.html

3 Konfigurieren Sie die folgenden Einstellungen.


URL für API-Server Die URL des Workspace ONE UEM-API-Servers:[http[s]://]Hostname[:Port]

Die Ziel-URL muss das Protokoll, den Hostnamen oder die IP-Adresse und diePortnummer enthalten. Beispiel: https://load-balancer.example.com:8443

Unified Access Gateway ruft die Secure Email Gateway-Konfiguration vom API-Server ab.

Benutzername für API-Server Benutzername zur Anmeldung beim API-Server.

Hinweis Das Administratorkonto muss mindestens über die der Rolle „SecureEmail Gateway“ zugeordneten Berechtigungen verfügen.

Kennwort für API-Server Kennwort zur Anmeldung beim API-Server.

Hostname des Secure Email Gateway-Servers

Der Host-Name wird verwendet, um Edge-Einstellungen zu konfigurieren.

MEM-Konfigurations-GUID Workspace ONE UEM-Konfigurations-ID für das mobile E-Mail-Management.Diese ID wird automatisch generiert, wenn das mobile E-Mail-Management auf derWorkspace ONE UEM Console konfiguriert wird. Die Konfigurations-GUID wird aufder Konfigurationsseite für das mobile E-Mail-Management der UEM Consoleangezeigt.

SSL-Zertifikat hinzufügen Aktivieren Sie die Option zum lokalen Hochladen des SSL-Zertifikats, wenn diesein den „E-Mail-Einstellungen“ in der UEM-Konsole aktiviert ist.

SSL-Zertifikat Klicken Sie auf „Auswählen“, um eine .PFX- oder .P12-Zertifikatsdateihochzuladen.

Hinweis Sie können das SSL-Zertifikat auch in der Workspace ONE UEMConsole hochladen.

Kennwort Geben Sie das Kennwort des SSL-Zertifikats ein.

Host für ausgehenden Proxy Der Host, auf dem der ausgehende Proxy installiert ist. Unified Access Gatewaystellt über einen ausgehenden Proxy, falls konfiguriert, eine Verbindung zum API-Server her.

Port für ausgehenden Proxy Port des ausgehenden Proxys.


Benutzername zur Anmeldung beim ausgehenden Proxy.

Kennwort für ausgehenden Proxy Kennwort zur Anmeldung beim ausgehenden Proxy.


VMware, Inc. 142


Vertrauenswürdige Zertifikate Fügen Sie diesem Edge-Dienst ein vertrauenswürdiges Zertifikat hinzu. Klicken Sieauf „+“, wählen Sie ein Zertifikat im PEM-Format und fügen Sie es zum Trust Storehinzu. Klicken Sie auf „-“, um ein Zertifikat aus dem Trust Store zu entfernen.Standardmäßig ist der Aliasname der Dateinamen des PEM-Zertifikats. BearbeitenSie das Textfeld „Alias“, um einen anderen Namen einzugeben.

Hosteinträge Geben Sie die Details ein, die zur Datei /etc/hosts hinzugefügt werden sollen.Jeder Eintrag sollte eine IP, einen Hostnamen und einen optionalenHostnamensalias (in dieser Reihenfolge) enthalten, die durch ein Leerzeichenvoneinander getrennt sind. Beispiel: 10.192.168.1 example1.com, 10.192.168.2example2.com example-alias. Klicken Sie auf „+“, um mehrere Hosteinträgehinzuzufügen.

Hinweis Die Hosteinträge werden erst gespeichert, nachdem Sie auf Speicherngeklickt haben.


Ändern der Protokollierungsebenen für Secure Email Gateway auf UnifiedAccess GatewaySie können die Protokollebenen für Secure Email Gateway in Unified Access Gateway ändern.

Voraussetzungen

Aktivieren Sie SSH auf der virtuellen Linux-Maschine, sofern es noch nicht aktiviert ist.

Verfahren

1 Stellen Sie mit Secure Shell eine Verbindung zur Unified Access Gateway Secure Mail Gateway-Maschine her.

2 Bearbeiten Sie die Protokollkonfigurationsdatei für SEG mit dem Befehl.

vi /opt/vmware/docker/seg/container/config/logback.xml

3 Suchen Sie nach einer entsprechenden Protokollierung, für die Sie die Protokollierungsebene ändernmöchten. Beispiel: logger name="com.airwatch" groupKey="app.logger" level="error"

4 Ändern Sie den Wert von Attribut level von error auf alle Ebenen, wie z. B. warn,Info, Debug.

5 Speichern Sie die Datei.

Die Änderung der Protokollierungsebene spiegelt sich in den Protokollen wider.

Aktivieren von EWS-Proxy auf SEGSEG bietet Autorisierung und Konformität für den Datenverkehr von Exchange Web Services (EWS), dervom VMware Email Notification Service (ENS) verwendet wird.

Im folgenden Verfahren werden die Schritte zum Aktivieren von EWS-Proxy auf Secure Email Gatewaybeschrieben.


VMware, Inc. 143

Verfahren

1 Stellen Sie mit Secure Shell eine Verbindung zur Unified Access Gateway Secure Mail Gateway-Maschine her.

2 Bearbeiten Sie die Eigenschaftsdatei mit dem folgenden Befehl.

vi /opt/vmware/docker/seg/container/config/override/application-override.properties

3 Fügen Sie den Eintrag in der Datei application-override.properties hinzu.

enable.boxer.ens.ews.proxy=true

4 Speichern Sie die Datei.

5 Speichern Sie die SEG-Konfiguration erneut auf der Admin-Benutzeroberfläche von Unified AccessGateway.

Weitere Anwendungsfälle für die BereitstellungSie können Unified Access Gateway mit mehreren Edge-Diensten auf derselben-Appliance bereitstellen,z. B. mit Horizon und Web-Reverse-Proxy sowie Unified Access Gateway mit VMware Tunnel, ContentGateway und Web-Reverse-Proxy.

Überlegungen zur Bereitstellung von Unified Access Gateway mitmehreren DienstenBeachten Sie die folgenden wichtigen Aspekte, bevor Sie die Edge-Dienste zusammen bereitstellen.

n Verstehen und Erfüllen der Netzwerkanforderungen – Firewall-Regeln für Umkreisnetzwerk-basierteUnified Access Gateway-Appliances.

n Befolgen der Größenrichtlinien – Abschnitt bezüglich Dimensionierungsoptionen im ThemaBereitstellen von Unified Access Gateway mit dem OVF-Vorlagenassistenten.

n Horizon Connection Server funktioniert nicht mit einem aktivierten Web-Reverse-Proxy, wenn es eineÜberschneidung im Proxy-Muster gibt. Aus diesem Grund müssen Sie das Proxy-Muster „/“ aus denHorizon-Einstellungen entfernen und das Muster im Web-Reverse-Proxy beibehalten, um eineÜberschneidung zu verhindern, wenn sowohl Horizon als auch eine Web-Reverse-Proxy-Instanz mitProxy-Mustern auf der gleichen Unified Access Gateway-Instanz konfiguriert und aktiviert sind. DieBeibehaltung des Proxy-Musters „/“ in der Web-Reverse-Proxy-Instanz stellt sicher, dass die richtigeWeb-Reverse-Proxy-Seite angezeigt wird, wenn ein Benutzer auf die URL von Unified AccessGateway klickt. Wenn nur Horizon-Einstellungen konfiguriert sind, ist die oben angegebene Änderungnicht erforderlich.

n Wenn Sie bei der Bereitstellung von Unified Access Gateway mit den kombinierten Diensten vonVMware Tunnel, Content Gateway und Web-Reverse-Proxy denselben Port 443 für alle Diensteverwenden, sollte jeder Dienst einen eindeutigen externen Hostnamen aufweisen. SieheInformationen zum TLS-Port für gemeinsame Nutzung.


VMware, Inc. 144

n Die verschiedenen Edge-Dienste können mithilfe der Admin-Benutzeroberfläche unabhängigvoneinander konfiguriert werden, und Sie können auf Wunsch alle vorherigen Einstellungenimportieren. Wenn Sie mit PowerShell bereitstellen, wird die Bereitstellung durch die INI-Datei dieproduktionsreif gemacht.

n Falls Horizon Blast und VMware Tunnel auf derselben Unified Access Gateway-Appliance aktiviertsind, muss VMware Tunnel konfiguriert werden, um eine andere Portnummer als 443 oder 8443 zuverwenden. Wenn Sie Port 443 oder 8443 für VMware Tunnel verwenden möchten, müssen Sie denHorizon Blast-Dienst auf einer separaten Unified Access Gateway-Appliance bereitstellen.


VMware, Inc. 145

Konfigurieren von UnifiedAccess Gateway mit TLS-/SSL-Zertifikaten 5Sie müssen die TLS/SSL-Zertifikate für Unified Access Gateway-Appliances konfigurieren.

Hinweis Die Konfiguration der TLS-/SSL-Zertifikate für die Appliance Unified Access Gateway gilt nurfür Horizon, Horizon Air und den Web-Reverse-Proxy.


n Konfigurieren von TLS-/SSL-Zertifikaten für Unified Access Gateway-Appliances

Konfigurieren von TLS-/SSL-Zertifikaten für UnifiedAccess Gateway-AppliancesTLS/SSL ist für Clientverbindungen mit Unified Access Gateway-Appliances erforderlich.Clientverbundene Unified Access Gateway-Appliances und Zwischenserver, die TLS/SSL-Verbindungenbeenden, benötigen TLS/SSL-Serverzertifikate.

TLS/SSL-Zertifikate werden durch eine Zertifizierungsstelle (CA, Certificate Authority) signiert. EineZertifizierungsstelle ist eine vertrauenswürdige Instanz, welche die Identität des Zertifikats und seinesErstellers bestätigt. Wenn ein Zertifikat durch eine vertrauenswürdige Zertifizierungsstelle signiert wurde,werden die Benutzer nicht länger über Meldungen aufgefordert, das Zertifikat zu überprüfen, und ThinClient-Geräte können ohne zusätzliche Konfiguration eine Verbindung herstellen.

Beim Bereitstellen einer Unified Access Gateway-Appliance wird ein standardmäßiges TLS-/SSL-Serverzertifikat erstellt. Für Produktionsumgebungen empfiehlt VMware, das Standardzertifikat so schnellwie möglich zu ersetzen. Das Standardzertifikat ist nicht von einer vertrauenswürdigenZertifizierungsstelle signiert. Verwenden Sie das Standardzertifikat nur in einer Nicht-Produktionsumgebung.

Auswählen des korrekten ZertifikattypsSie können für Unified Access Gateway verschiedene Typen von TLS/SSL-Zertifikaten verwenden. DieAuswahl des korrekten Zertifikattyps ist entscheidend für Ihre Bereitstellung. Die Kosten derverschiedenen Zertifikattypen sind unterschiedlich, je nach der Anzahl der Server, auf denen dieseverwendet werden können.

VMware, Inc. 146

Folgen Sie den VMware-Sicherheitsempfehlungen und verwenden Sie vollqualifizierte Domänennamen(FQDN) für Ihre Zertifikate, unabhängig vom ausgewählten Typ. Verwenden Sie selbst für dieKommunikation innerhalb Ihrer internen Domäne keinen einfachen Servernamen bzw. keine einfache IP-Adresse.

Namenszertifikat für einen einzelnen ServerSie können ein Zertifikat mit einem Antragstellernamen für einen bestimmten Server generieren. Beispiel:dept.example.com.

Dieser Zertifikattyp ist beispielsweise hilfreich, wenn nur eine Unified Access Gateway-Appliance einZertifikat benötigt.

Wenn Sie eine Zertifikatsignieranforderung an eine Zertifizierungsstelle übermitteln, geben Sie denServernamen an, der mit dem Zertifikat verknüpft werden soll. Stellen Sie sicher, dass die Unified AccessGateway-Appliance den bereitgestellten Servernamen auflösen kann und dieser mit dem Namenidentisch ist, der dem Zertifikat zugeordnet wurde.

Alternative AntragstellernamenEin alternativer Antragstellername (Subject Alternative Name, SAN) ist ein Attribut, das einem Zertifikatbei der Ausstellung hinzugefügt werden kann. Mit diesem Attribut können Sie einem ZertifikatAntragstellernamen (URLs) hinzufügen, damit es mehr als einen Server validieren kann.

Beispielsweise lassen sich für die Unified Access Gateway-Appliances hinter einem Lastausgleichsdienstdrei Zertifikate ausstellen: ap1.example.com, ap2.example.com und ap3.example.com. DurchHinzufügen eines alternativen Antragstellernamens, der für den Hostnamen des Lastausgleichsdienstessteht (wie horizon.example.com in diesem Beispiel) ist das Zertifikat gültig, da es dem durch den Clientangegebenen Hostnamen entspricht.

Wenn Sie eine Zertifikatsignieranforderung an eine Zertifizierungsstelle übermitteln, geben Sie dievirtuelle IP-Adresse (VIP) des Lastausgleichsdiensts der externen Schnittstelle als Common Name undden SAN-Namen an. Stellen Sie sicher, dass die Unified Access Gateway-Appliance den bereitgestelltenServernamen auflösen kann und dieser mit dem Namen identisch ist, der dem Zertifikat zugeordnetwurde.

Das Zertifikat wird auf Port 443 verwendet.

PlatzhalterzertifikatEin Platzhalterzertifikat wird für Verwendung für mehrere Dienste generiert. Beispiel: *.example.com.


VMware, Inc. 147

Ein Platzhalterzertifikat ist sinnvoll, wenn für viele Server ein Zertifikat nötig ist. Wenn andereAnwendungen in Ihrer Umgebung zusätzlich zu den Unified Access Gateway-Appliances TLS/SSL-Zertifikate benötigen, können Sie ein Platzhalterzertifikat auch für diese Server verwenden. Wenn Sieallerdings ein Platzhalterzertifikat benutzen, das mit anderen Diensten gemeinsam verwendet wird, richtetsich die Sicherheit des VMware Horizon-Produkts auch nach der Sicherheit der anderen Dienste.

Hinweis Ein Platzhalterzertifikat lässt sich nur auf einer Ebene einer Domäne verwenden.Beispielsweise kann ein Platzhalterzertifikat mit dem Antragstellernamen *.example.com für dieUnterdomäne dept.example.com, aber nicht für dept.it.example.com eingesetzt werden.

In die Unified Access Gateway-Appliance importierte Zertifikate müssen von den Clientcomputern alsvertrauenswürdig eingestuft werden und für alle Instanzen von Unified Access Gateway sowie für jedenLastausgleichsdienst verwendet werden können, entweder durch Verwendung von Platzhaltern oder vonSAN-Zertifikaten (Alternativer Antragstellername).

Konvertieren von Zertifikatdateien in das einzeilige PEM-FormatUm Zertifikateinstellungen mit der Unified Access Gateway-REST-API zu konfigurieren oder umPowerShell-Skripts zu verwenden, müssen Sie das Zertifikat für die Zertifikatkette sowie für den privatenSchlüssel in Dateien im PEM-Format und dann die .pem-Dateien in ein einzeiliges Format miteingebetteten Zeilenendemarken konvertieren.

Für das Konfigurieren von Unified Access Gateway stehen drei mögliche Arten von Zertifikaten zurVerfügung, die eventuell konvertiert werden müssen.

n Sie müssen immer ein TLS/SSL-Serverzertifikat für die Unified Access Gateway-Applianceinstallieren und konfigurieren.

n Wenn Sie die Smartcard-Authentifizierung benutzen möchten, müssen Sie das von einerZertifizierungsstelle herausgegebene vertrauenswürdige Zertifikat für das Zertifikat installieren undkonfigurieren, das für die Smartcard verwendet werden soll.

n Für die Verwendung der Smartcard-Authentifizierung empfiehlt VMware die Installation undKonfiguration eines Stammzertifikats der Signatur-Zertifizierungsstelle für das SAML-Serverzertifikat,das in der Unified Access Gateway-Appliance installiert ist.

Für alle Arten von Zertifikaten ist das Verfahren zur Konvertierung des Zertifikats in eine PEM-Datei mitder Zertifikatkette identisch. Für TLS/SSL-Server- und Stammzertifikate konvertieren Sie jede Datei auchin eine PEM-Datei mit dem privaten Schlüssel. Sie müssen dann auch jede .pem-Datei in ein einzeiligesFormat konvertieren, das in einer JSON-Zeichenfolge in die Unified Access Gateway-REST-APIübernommen werden kann.

Voraussetzungen

n Stellen Sie sicher, das die Zertifikatdatei vorhanden ist. Die Datei kann im PKCS#12-Format (.p12oder .pfx) oder im Java-JKS- bzw. JCEKS-Format vorliegen.

n Machen Sie sich mit dem openssl-Befehlszeilentool für die Konvertierung des Zertifikats vertraut.Siehe https://www.openssl.org/docs/apps/openssl.html.


VMware, Inc. 148

https://www.openssl.org/docs/apps/openssl.html

n Liegt das Zertifikat im Java-JKS- oder im JCEKS-Format vor, informieren Sie sich über das Java-keytool-Befehlszeilentool, um zuerst das Zertifikat in das .p12- oder in das .pks-Format und dannin .pem-Dateien zu konvertieren.

Verfahren

1 Liegt Ihr Zertifikat im Java-JKS- oder JCEKS-Format vor, konvertieren Sie das Zertifikat mit keytoolin das .p12- oder .pks-Format.

Wichtig Verwenden Sie für diese Umwandlung dasselbe Quell- und Zielkennwort.

2 Liegt Ihr Zertifikat im PKCS#12-Format (.p12 oder .pfx) vor oder wurde das Zertifikat in dasPKCS#12-Format konvertiert, verwenden Sie openssl, um das Zertifikat in .pem-Dateienkonvertieren.

Wenn der Name des Zertifikats beispielsweise mycaservercert.pfx lautet, konvertieren Sie dasZertifikat mit den folgenden Befehlen:

openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem

openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem

openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem

3 Bearbeiten Sie mycaservercert.pem und entfernen Sie nicht erforderliche Zertifikateinträge. Essollte das eine SSL-Server-Zertifikat enthalten, gefolgt von den erforderlichen Zwischen-CA-Zertifikaten und dem Stamm-CA-Zertifikat.

4 Mit dem folgenden UNIX-Befehl können Sie jede .pem-Datei in einen Wert konvertieren, der in einerJSON-Zeichenfolge in die Unified Access Gateway-REST-API übernommen werden kann:

awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' cert-name.pem

In diesem Beispiel ist cert-name.pem der Name der Zertifikatdatei. Das Zertifikat sieht ähnlich wie indiesem Beispiel aus.


VMware, Inc. 149

Abbildung 5-1. Zertifikatdatei im einzeiligen Format

Das neue Format platziert alle Zertifikatinformationen in einzelne Zeilen mit eingebettetenZeilenendemarken. Wenn Sie über ein Zwischenzertifikat verfügen, muss dieses Zertifikat auch imeinzeiligen Format vorliegen und dem ersten Zertifikat hinzugefügt werden, sodass sich beideZertifikate in derselben Zeile befinden.

Sie können nun die Zertifikate für Unified Access Gateway konfigurieren, indem Sie diese .pem-Dateienmit den PowerShell-Skripten verwenden, die an den unter https://communities.vmware.com/docs/DOC-30835 verfügbaren Blog-Beitrag „Using PowerShell to Deploy VMware Unified Access Gateway“(Verwenden von PowerShell zur Bereitstellung von VMware Unified Access Gateway) angehängt sind.Alternativ können Sie eine JSON-Anfrage erstellen und mit dieser das Zertifikat konfigurieren.

Nächste Schritte

Sie können das selbstsignierte Standardzertifikat durch ein CA-signiertes Zertifikat aktualisieren. SieheAktualisieren von signierten SSL-Serverzertifikaten. Erläuterungen zu Smartcard-Zertifikaten erhalten Sieunter Konfigurieren der Zertifikat- oder Smartcard-Authentifizierung in der Unified Access Gateway-Appliance.

Ändern der Sicherheitsprotokolle undVerschlüsselungssammlungen für die TLS- oder SSL-KommunikationAuch wenn die Standardeinstellungen in den meisten Fällen nicht geändert werden müssen, können Siedie Sicherheitsprotokolle und Verschlüsselungssammlungen, die für die Verschlüsselung derKommunikation zwischen Clients und der Unified Access Gateway-Appliance verwendet werden,konfigurieren.


VMware, Inc. 150



Die Standardeinstellung enthält Verschlüsselungssammlungen, die entweder die 128-Bit- oder 256-Bit-AES-Verschlüsselung verwenden (mit Ausnahme von anonymen DH-Algorithmen) und nach derVerschlüsselungsstärke sortiert sind. TLS v1.1 und TLS v1.2 sind standardmäßig aktiviert. TLS v1.0 undSSL v3.0 sind deaktiviert.

Voraussetzungen

n Machen Sie sich mit der Unified Access Gateway-REST-API vertraut. Die Spezifikation für diese APIist über die folgende URL auf der virtuellen Maschine verfügbar, auf der Unified Access Gatewayinstalliert ist: https://access-point-appliance.example.com:9443/rest/swagger.yaml.

n Informieren Sie sich über die speziellen Eigenschaften für die Konfiguration derVerschlüsselungssammlungen und Protokolle: cipherSuites, ssl30Enabled, tls10Enabled,tls11Enabled und tls12Enabled.

Verfahren

1 Erstellen Sie eine JSON-Anfrage für die Angabe der zu verwendenden Protokolle undVerschlüsselungssammlungen.

Für das folgende Beispiel gelten die Standardeinstellungen.

{

"cipherSuites":

"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA",

"ssl30Enabled": "false",

"tls10Enabled": "false",

"tls11Enabled": "true",

"tls12Enabled": "true"

}

2 Verwenden Sie für die JSON-Anfrage einen REST-Client wie curl oder postman, um die UnifiedAccess Gateway-REST-API aufzurufen und die Protokolle sowie Verschlüsselungssammlungen zukonfigurieren.

Im Beispiel stellt access-point-appliance.example.com den vollqualifizierten Domänennamen (FQDN)der Unified Access Gateway-Appliance dar.

curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-

appliance.example.com:9443/rest/v1/config/system < ~/ciphers.json

ciphers.json ist die JSON-Anforderung, die Sie im vorhergehenden Schritt erstellt haben.

Es werden die von Ihnen angegebenen Verschlüsselungssammlungen und Protokolle verwendet.


VMware, Inc. 151

Konfigurieren derAuthentifizierung in DMZ 6Bei der ersten Bereitstellung von Unified Access Gateway wird die Active Directory-Kennwortauthentifizierung als Standard eingerichtet. Benutzer geben ihren Benutzernamen und ihrKennwort für Active Directory ein. Diese Anmeldedaten werden zur Authentifizierung an ein Back-End-System weitergeleitet.

Sie können den Unified Access Gateway-Dienst so konfigurieren, dass eine Zertifikat-/Smartcard-Authentifizierung, eine RSA SecurID-Authentifizierung, eine RADIUS-Authentifizierung und eine adaptiveRSA-Authentifizierung durchgeführt wird.

Hinweis Nur eine der Zwei-Faktor-Authentifizierungsmethoden kann für einen Edge-Dienst angegebenwerden. Dies kann die Zertifikat-/Smartcard-Authentifizierung, die RADIUS-Authentifizierung oder dieadaptive RSA-Authentifizierung sein.

Hinweis Für eine Bereitstellung kann mit Active Directory nur die Kennwortauthentifizierung alsAuthentifizierungsmethode genutzt werden.


n Konfigurieren der Zertifikat- oder Smartcard-Authentifizierung in der Unified Access Gateway-Appliance

n Konfigurieren der RSA SecurID-Authentifizierung in Unified Access Gateway

n Konfigurieren von RADIUS für Unified Access Gateway

n Konfigurieren der adaptiven RSA-Authentifizierung in Unified Access Gateway

n Generieren von Unified Access Gateway-SAML-Metadaten

Konfigurieren der Zertifikat- oder Smartcard-Authentifizierung in der Unified Access Gateway-ApplianceSie können die x509-Zertifikatauthentifizierung in Unified Access Gateway so konfigurieren, dass Clientssich mithilfe von Zertifikaten auf Desktops oder mobilen Geräten authentifizieren oder einen Smartcard-Adapter für die Authentifizierung verwenden können.

VMware, Inc. 152

Die zertifikatbasierte Authentifizierung beruht auf etwas, was der Benutzer besitzt (dem privatenSchlüssel oder der Smartcard) und auf etwas, was die Person weiß (dem Kennwort für den privatenSchlüssel oder der PIN der Smartcard). Die Smartcard-Authentifizierung bietet eine zweistufigeAuthentifizierung, indem einerseits überprüft wird, ob die Person im Besitz der Smartcard ist, undandererseits, ob die Person die erforderliche PIN kennt. Endbenutzer haben die Möglichkeit, Smartcardsfür die Anmeldung bei einem Horizon-Remote-Desktop-Betriebssystem und für den Zugriff auf Smartcard-fähige Anwendungen zu verwenden, z. B. E-Mail-Anwendungen, die das Zertifikat für das Signieren vonE-Mails zur Bestätigung der Absenderidentität einsetzen.

Mit dieser Funktion wird die Smartcard-Zertifikatauthentifizierung im Unified Access Gateway-Dienstausgeführt. Unified Access Gateway verwendet eine SAML-Zusicherung, um Informationen zum X.509-Zertifikat und der Smartcard-PIN des Endbenutzers an den Horizon-Server zu übermitteln.

Sie können die Zertifikatsperrüberprüfung konfigurieren, um zu verhindern, dass sich Benutzerauthentifizieren, deren Benutzerzertifikate gesperrt sind. Wenn Benutzer eine Organisation verlassen,eine Smartcard verlieren oder die Abteilung wechseln, werden Zertifikate häufig gesperrt. Es wird sowohleine Zertifikatsperrüberprüfung mit Zertifikatsperrlisten (CRL, Certificate Revocation Lists) als auch mitdem Online Certificate Status Protocol (OCSP) unterstützt. Eine Zertifikatsperrliste ist eine Liste mitgesperrten Zertifikaten, die von der Zertifizierungsstelle veröffentlicht wird, die das Zertifikat ausgestellthat. Bei OCSP handelt es sich um ein Zertifikatüberprüfungsprotokoll zur Ermittlung des Sperrstatuseines Zertifikats.

Sie können CRL und OCSP in der Zertifikat-Authentifizierungsadapter-Konfiguration festlegen. Wenn Siebeide Arten der Zertifikatsperrüberprüfung konfiguriert haben und das Kontrollkästchen „CRL im Falleeines OCSP-Fehlers verwenden“ aktiviert ist, wird OCSP zuerst überprüft und bei einem Scheitern dieSperrüberprüfung an CRL weitergegeben.

Hinweis Beachten Sie, dass umgekehrt bei einem Scheitern der CRL-Überprüfung dieSperrüberprüfung nicht an OCSP zurückgegeben wird.

Hinweis Für VMware Identity Manager wird die Authentifizierung immer durch Unified Access Gatewayzum VMware Identity Manager-Dienst weitergeleitet. Die Smartcard-Authentifizierung für die UnifiedAccess Gateway-Appliance kann nur konfiguriert werden, wenn Unified Access Gateway mit Horizon 7verwendet wird.

Konfigurieren der Zertifikatauthentifizierung auf Unified AccessGatewaySie aktivieren und konfigurieren die Zertifikatauthentifizierung über die Unified Access Gateway-Verwaltungskonsole.

Voraussetzungen

n Rufen Sie das Stammzertifikat und Zwischen-Zertifikate von der Zertifizierungsstelle (CA) ab, die dieZertifikate der Benutzer signiert hat. Siehe Anfordern der Zertifizierungsstellenzertifikate.


VMware, Inc. 153

n Prüfen Sie, ob die SAML-Metadaten von Unified Access Gateway zum Dienstanbieter hinzugefügtund die SAML-Metadaten des Dienstanbieters in die Unified Access Gateway-Appliance kopiertwurden.

n (Optional) OID-Liste (Objektkennungsliste) der gültigen Zertifikatsrichtlinien für dieZertifikatsauthentifizierung.

n Für Sperrprüfungen: den CRL-Speicherort und die URL des OCSP-Servers.

n (Optional) Speicherort des OCSP-Antwortsignaturzertifikats.

n Inhalt des Zustimmungsformulars, wenn vor der Authentifizierung ein Zustimmungsformularangezeigt wird.

Verfahren


2 Klicken Sie unter „Allgemeine Einstellungen“ in der Zeile mit den Authentifizierungseinstellungen aufAnzeigen.

3 Klicken Sie in der Zeile des X.509-Zertifikats auf das Zahnradsymbol.

4 Konfigurieren Sie das X.509-Zertifikat.

Ein Asterisk (*) gibt an, welche Felder erforderlich sind. Alle anderen Textfelder sind optional.

Option Beschreibung

X.509-Zertifikat aktivieren Ändern Sie NEIN in JA, um die Zertifikatauthentifizierung zu aktivieren.

*Stamm- und Zwischenzertifikate fürCA

Klicken Sie auf Auswählen, um die hochzuladenden Zertifikatdateienauszuwählen. Sie können mehrere Root- und Zwischen-CA-Zertifikate auswählen,die im DER- oder PEM-Format codiert sind.

Zurückrufen von Zertifikatenaktivieren

Ändern Sie NEIN in JA, um die Zertifikatssperrüberprüfung zu aktivieren. Durch dieAktivierung der Sperre wird verhindert, dass sich Benutzer authentifizieren können,die über gesperrte Zertifikate verfügen.

CRL aus Zertifikaten verwenden Aktivieren Sie dieses Kontrollkästchen, um die von der Zertifizierungsstelleveröffentlichte Zertifikatsperrliste (Certificate Revocation Lists, CRL) zu verwenden,um den Status eines Zertifikats (gesperrt oder nicht gesperrt) zu validieren.

CRL-Speicherort Serverdateipfad oder den lokalen Dateipfad eingeben, von dem die CRL geladenwerden kann

OCSP-Sperrung aktivieren Aktivieren Sie das Kontrollkästchen, um das Zertifikatvalidierungsprotokoll „OnlineCertificate Status Protocol (OCSP)“ zu verwenden, um den Sperrstatus desZertifikats zu erfahren.

CRL bei OCSP-Fehler verwenden Wenn Sie sowohl CRL als auch OCSP konfigurieren, können Sie diesesKontrollkästchen aktivieren, um wieder CRL zu verwenden, wenn die OCSP-Prüfung nicht verfügbar ist.

OCSP-Nonce senden Aktivieren Sie dieses Kontrollkästchen, wenn Sie den eindeutigen Bezeichner derOCSP-Anfrage in der Antwort übermitteln möchten.

OCSP-URL Wenn Sie OCSP-Widerruf aktiviert haben, geben Sie die OCSP-Serveradresse fürdie Widerrufsprüfung ein.


VMware, Inc. 154

Option Beschreibung

OCSP-URL des Zertifikats verwenden Aktivieren Sie dieses Kontrollkästchen für die Verwendung der OCSP-URL.

Zustimmungsformular vorAuthentifizierung aktivieren

Aktivieren Sie dieses Kontrollkästchen, um eine Seite mit einemZustimmungsformular anzuzeigen, bevor sich die Benutzer mit derZertifikatauthentifizierung bei ihrem Workspace ONE-Portal anmelden.


Nächste Schritte

Wenn die X.509Zertifikatauthentifizierung konfiguriert ist und die Unified Access Gateway-Appliancehinter einem Lastausgleichsdienst eingerichtet ist, müssen Sie sicherstellen, dass derLastausgleichsdienst mit SSL-Durchleitung am Lastausgleichsdienst konfiguriert ist, d. h. SSL darf nichtbeendet werden. Diese Konfiguration stellt sicher, dass das SSL-Handshake zwischen Unified AccessGateway und Client stattfindet, damit das Zertifikat an Unified Access Gateway übergeben wird.

Anfordern der ZertifizierungsstellenzertifikateSie müssen alle anwendbaren Zertifizierungsstellenzertifikate (CA-Zertifikate) für alle vertrauenswürdigenBenutzerzertifikate auf den Smartcards anfordern, die von Ihren Benutzern und Administratorenverwendet werden. Diese Zertifikate beinhalten Stammzertifikate und gegebenenfalls Zwischenzertifikate,wenn das Smartcard-Zertifikat des Benutzers von einer Zwischenzertifizierungsstelle ausgestellt wurde.

Wenn Sie nicht über das Stamm- oder Zwischenzertifikat der Zertifizierungsstelle verfügen, welche dieZertifikate auf den von Ihren Benutzern und Administratoren verwendeten Smartcards signiert hat,können Sie die Zertifikate auch aus einem von einer Zertifizierungsstelle signierten Benutzerzertifikatoder aus einer Smartcard mit Zertifikat exportieren. Siehe Anfordern des CA-Zertifikats von Windows.

Verfahren

u Fordern Sie die CA-Zertifikate aus einer der nachfolgend aufgeführten Quellen an.

n Microsoft IIS-Server, auf dem die Microsoft-Zertifikatdienste ausgeführt werden. Informationenzum Installieren von Microsoft IIS, Ausstellen von Zertifikaten und Verteilen von Zertifikaten inIhrer Organisation finden Sie auf der Microsoft TechNet-Website.

n Öffentliches Stammzertifikat einer vertrauenswürdigen Zertifizierungsstelle. Dies ist die gängigsteQuelle eines Stammzertifikats in Umgebungen, die bereits über eine Smartcard-Infrastruktur undeinen standardisierten Ansatz für die Smartcard-Verteilung und -Authentifizierung verfügen.

Nächste Schritte

Fügen Sie das Stammzertifikat oder das Zwischenzertifikat oder beide zu einer Server-Vertrauensspeicherdatei hinzu.

Anfordern des CA-Zertifikats von WindowsWenn Sie über ein von einer Zertifizierungsstelle signiertes Benutzerzertifikat oder eine Smartcard mitZertifikat verfügen und Windows dem Stammzertifikat vertraut, können Sie das Stammzertifikat aus


VMware, Inc. 155

Windows exportieren. Handelt es sich beim Aussteller des Benutzerzertifikats um eineZwischenzertifizierungsstelle, können Sie dieses Zertifikat exportieren.

Verfahren

1 Wenn das Benutzerzertifikat auf einer Smartcard vorhanden ist, führen Sie die Smartcard in denLeser ein, um das Benutzerzertifikat zu Ihrem persönlichen Speicher hinzuzufügen.

Wenn das Benutzerzertifikat nicht im persönlichen Speicher angezeigt wird, exportieren Sie dasBenutzerzertifikat über die Lesersoftware in eine Datei. Diese Datei wird in Schritt 4 dieserVorgehensweise verwendet.

2 Wählen Sie in Internet Explorer Tools > Internetoptionen aus.

3 Klicken Sie auf der Registerkarte Inhalte auf Zertifikate.

4 Wählen Sie auf der Registerkarte Eigene Zertifikate das gewünschte Zertifikat aus und klicken Sieauf Anzeigen.

Wenn das Benutzerzertifikat nicht in der Liste enthalten ist, klicken Sie auf Importieren, um dasZertifikat manuell aus einer Datei zu importieren. Nach dem Import können Sie das Zertifikat aus derListe auswählen.

5 Wählen Sie auf der Registerkarte Zertifizierungspfad das oberste Zertifikat in der Struktur undklicken Sie auf Zertifikat anzeigen.

Ein Benutzerzertifikat kann als Bestandteil einer Vertrauenshierarchie signiert werden – dasSignaturzertifikat selbst kann durch ein anderes Zertifikat höherer Ebene signiert sein. Wählen Siedas übergeordnete Zertifikat (das Zertifikat, das zum Signieren des Benutzerzertifikats verwendetwurde) als Stammzertifikat aus. In einigen Fällen kann es sich beim Aussteller um eineZwischenzertifizierungsstelle handeln.

6 Klicken Sie auf der Registerkarte Details auf In Datei kopieren.

Der Zertifikatexport-Assistent wird geöffnet.

7 Klicken Sie auf Weiter > Weiter und geben Sie einen Namen sowie einen Speicherort für dieExportdatei an.

8 Klicken Sie auf Weiter, um die Datei am angegebenen Speicherort als Stammzertifikat zu speichern.

Nächste Schritte

Fügen Sie das CA-Zertifikat einer Server-Vertrauensspeicherdatei hinzu.

Konfigurieren der RSA SecurID-Authentifizierung inUnified Access GatewayNachdem die Unified Access Gateway-Appliance als Authentifizierungs-Agent auf dem RSA SecurID-Server konfiguriert wurde, müssen Sie der Unified Access Gateway-Appliance RSA SecurID-Konfigurationsinformationen hinzufügen.


VMware, Inc. 156

Voraussetzungen

n Vergewissern Sie sich, dass der RSA Authentication Manager (der RSA SecurID-Server) installiertund richtig konfiguriert ist.

n Laden Sie die komprimierte Datei sdconf.rec vom RSA SecurID-Server herunter und extrahierenSie die Serverkonfigurationsdatei.

Verfahren



3 Klicken Sie in der RSA SecurID-Zeile auf das Zahnradsymbol.

4 Konfigurieren Sie die RSA SecurID-Seite.

Beim Konfigurieren der Seite SecurID werden die auf dem RSA SecurID-Server verwendetenInformationen und generierten Dateien benötigt.

Option Aktion

RSA SecurIDaktivieren

Ändern Sie NEIN in JA, um die SecurID-Authentifizierung zu aktivieren.

*Name Der Name lautet securid-auth.

*Anzahl anWiederholungen

Geben Sie die Anzahl der zulässigen Anmeldeversuche ein. Dies ist die maximal zulässige Anzahlfehlgeschlagener Anmeldungen mit dem RSA SecurID-Token. Die Standardeinstellung lautet 5 Versuche.

Hinweis Wenn mehr als ein Verzeichnis konfiguriert und die RSA SecurID-Authentifizierung für zusätzlicheVerzeichnisse implementiert ist, konfigurieren Sie die Anzahl der zulässigen Authentifizierungsversuche fürjede RSA SecurID-Konfiguration mit demselben Wert. Wenn die Werte nicht identisch sind, scheitert dieSecurID-Authentifizierung.

*ExternerHOST-Name

Geben Sie die IP-Adresse der Unified Access Gateway-Instanz ein. Der eingegebene Wert muss mit dem Wertübereinstimmen, den Sie beim Hinzufügen der Unified Access Gateway-Appliance als Authentifizierungs-Agentzum RSA SecurID-Server verwendet haben.

*Interner HOST-Name

Geben Sie den für IP-Adresse auf dem RSA SecurID-Server festgelegten Wert ein.

*Serverkonfiguration

Klicken Sie auf Ändern, um die RSA SecurID-Serverkonfigurationsdatei hochzuladen. Zuerst müssen Sie diekomprimierte Datei vom RSA SecurID-Server herunterladen und die Serverkonfigurationsdatei (standardmäßigsdconf.rec benannt) extrahieren.

*Suffix fürNamens-ID

Geben Sie die Namens-ID als @somedomain.com ein. Wird verwendet, um zusätzliche Inhalte, wie zumBeispiel den Domänennamen, an den RADIUS-Server oder RSA SecurID-Server zu senden. Beispiel: Wennsich ein Benutzer als Benutzer1 anmeldet, wird [email protected] an den Server gesendet.

Konfigurieren von RADIUS für Unified Access GatewaySie können Unified Access Gateway so konfigurieren, dass Benutzer die starke RADIUS-Zwei-Faktoren-Authentifizierung verwenden müssen. Sie können die Informationen des RADIUS-Servers in der UnifiedAccess Gateway-Appliance konfigurieren.


VMware, Inc. 157

RADIUS unterstützt ein breites Spektrum an Zwei-Faktoren-Authentifizierungsmöglichkeiten vonDrittanbietern. Um die RADIUS-Authentifizierung für Unified Access Gateway zu verwenden, müssen Sieüber einen konfigurierten RADIUS-Server verfügen, auf den mit Unified Access Gateway über dasNetzwerk zugegriffen werden kann.

Wenn sich Benutzer anmelden und die RADIUS-Authentifizierung aktiviert ist, geben die Benutzer ihreRADIUS-Authentifizierungsbenutzernamen und den Passcode in das Anmeldedialogfeld ein. Falls derRADIUS-Server eine RADIUS Access-Challenge ausgibt, wird dem Benutzer von Unified AccessGateway ein zweites Dialogfeld angezeigt, in dem zur Eingabe eines Aufforderungsrückmeldungstextsaufgefordert wird. Dies kann beispielsweise ein Code sein, der dem Benutzer per SMS oder über einenanderen Out-of-Band-Mechanismen mitgeteilt wird. Die Unterstützung für eine RADIUS-Kennung und dieEingabe einer Aufforderungsrückmeldung ist nur auf die textbasierte Eingabe begrenzt. Durch Eingabedes richtigen Aufforderungsrückmeldungstexts wird die Authentifizierung abgeschlossen.

Wenn der RADIUS-Server den Benutzer zur Eingabe seines Active Directory-Kennworts als RADIUS-Passcode auffordert, kann der Administrator für die Verwendung von Horizon die Windows-Single Sign-On-Funktion von Horizon für Unified Access Gateway aktivieren. Wenn die RADIUS-Authentifizierungabgeschlossen ist, wird der Benutzer dann nicht noch einmal aufgefordert, dasselbe Active Directory-Domänenkennwort erneut einzugeben.

Konfigurieren der RADIUS-AuthentifizierungBei der Unified Access Gateway-Appliance müssen Sie die RADIUS-Authentifizierung aktivieren, dieKonfigurationseinstellungen vom RADIUS-Server angeben und den Authentifizierungstyp in RADIUS-Authentifizierung ändern.

Voraussetzungen

n Vergewissern Sie sich, dass auf dem Server, der als Authentifizierungsmanager dienen soll, dieRADIUS-Software installiert und konfiguriert ist. Richten Sie den RADIUS-Server ein undkonfigurieren Sie dann die RADIUS-Anforderungen von Unified Access Gateway. Informationen zumEinrichten des RADIUS-Servers finden Sie in den Einrichtungs-Handbüchern Ihres RADIUS-Händlers.

Die folgenden RADIUS-Serverinformationen sind erforderlich.

n IP-Adresse oder DNS-Name des RADIUS-Servers.

n Portnummern der Authentifizierung. Der Authentifizierungsport ist normalerweise 1812.

n Authentifizierungstyp. Zu den Authentifizierungstypen zählen PAP (Password AuthenticationProtocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (MicrosoftChallenge Handshake Authentication Protocol, Version 1 und 2).

n Der gemeinsame geheime Schlüssel von RADIUS, der für die Verschlüsselung und Entschlüsselungin RADIUS-Protokollmeldungen verwendet wird.

n Spezielle Timeout- und Wiederholungswerte, die für die RADIUS-Authentifizierung erforderlich sind.


VMware, Inc. 158

Verfahren



3 Klicken Sie in der Zeile RADIUS auf das Zahnradsymbol.

Option Aktion

RADIUSaktivieren

Ändern Sie NEIN in JA, um die RADIUS-Authentifizierung zu aktivieren.

Name* Der Name lautet „radius-auth“

Authentifizierungstyp*

Geben Sie das vom RADIUS-Server unterstützte Authentifizierungsprotokoll ein. Entweder PAP, CHAP,MSCHAP1 oder MSCHAP2.

GemeinsamergeheimerSchlüssel*

Geben Sie den gemeinsamen geheimen Schlüssel von RADIUS ein.

Anzahl derzulässigenAuthentifizierungsversuche*

Geben Sie die maximale Anzahl fehlgeschlagener Anmeldeversuche ein, bei denen Sie RADIUS für dieAnmeldung verwendet haben. Die Standardeinstellung lautet drei Versuche.

Anzahl derVersuche fürRADIUS-Server*

Geben Sie die Gesamtanzahl der Wiederholungsversuche ein. Wenn der primäre Server nicht antwortet, wartetder Dienst die konfigurierte Zeit, bevor er es erneut versucht.

Server-Zeitlimitin Sekunden*

Geben Sie den Timeout des RADIUS-Servers in Sekunden ein, nach dem eine Wiederholung gesendet wird,wenn der RADIUS-Server nicht antwortet.

RADIUS-Serverhostname*

Geben Sie den Hostnamen oder die IP-Adresse des RADIUS-Servers ein.

Authentifizierungsport*

Geben Sie die Nummer des Radius-Authentifizierungsports ein. Dies ist normalerweise Port 1812.

Bereichspräfix (Optional) Die Position des Benutzerkontos wird „Realm“ genannt.

Wenn Sie einen Realm-Präfix-String angeben, wird der String am Anfang des Benutzernamens platziert, wennder Name an den RADIUS-Server gesendet wird. Wenn der Benutzername beispielsweise mit „jdoe“ angegebenwird und das Realm-Präfix DOMAIN-A\ angegeben wird, wird der Benutzername DOMAIN-A\jdoe an denRADIUS-Server gesendet. Wenn Sie diese Felder nicht konfigurieren, wird nur der eingegebene Benutzernamegesendet.

Bereichssuffix (Optional) Wenn Sie ein Realm-Suffix konfigurieren, wird dieses am Ende des Benutzernamens platziert. Wenndas Suffix z. B. @myco.com ist, wird der Benutzername [email protected] an den RADIUS-Server gesendet.

Suffix fürNamens-ID

Geben Sie die Namens-ID als @somedomain.com ein. Wird verwendet, um zusätzliche Inhalte, wie zumBeispiel den Domänennamen, an den RADIUS-Server oder RSA SecurID-Server zu senden. Beispiel: Wennsich ein Benutzer als Benutzer1 anmeldet, wird [email protected] an den Server gesendet.


VMware, Inc. 159

Option Aktion

Passphrase-Hinweis fürAnmeldeseite

Geben Sie den Textstring ein, der in der Meldung auf der Anmeldeseite des Benutzers angezeigt werden sollund die Benutzer auffordert, den richtigen Radius-Passcode einzugeben. Wenn dieses Feld z. B. mit AD-Kennwort zuerst und dann SMS-Passcode konfiguriert wird, steht in der Meldung der Anmeldeseite GebenSie zuerst Ihr AD-Kennwort und dann den SMS-Passcode ein. Der Standardtextstring ist RADIUS-Passcode.

GrundlegendeMS-CHAPv2-Validierungaktivieren

Ändern Sie NEIN in JA, um die grundlegende MS-CHAPv2-Validierung zu aktivieren. Wenn diese Option auf JAfestgelegt ist, wird die zusätzliche Validierung der Antwort des RADIUS-Servers übersprungen. Standardmäßigwird die vollständige Validierung ausgeführt.

SekundärenServeraktivieren

Ändern Sie NEIN in JA, um einen sekundären RADIUS-Server für Hochverfügbarkeit zu konfigurieren.Konfigurieren Sie den sekundären Server wie in Schritt 3 beschrieben.


Konfigurieren der adaptiven RSA-Authentifizierung inUnified Access GatewayDie adaptive RSA-Authentifizierung kann eingeführt werden, um eine stärkere Mehr-Faktoren-Authentifizierung zu bieten, als die einfache Authentifizierung bei Active Directory mit Benutzername undKennwort. Die adaptive Authentifizierung überwacht und authentifiziert Anmeldeversuche des Benutzersbasierend auf Risikostufen und Richtlinien.

Wenn die adaptive Authentifizierung aktiviert ist, werden die in den Risikorichtlinien angegebenenRisikoindikatoren verwendet, die in der Anwendung RSA-Richtlinienverwaltung und der Unified AccessGateway-Konfiguration der adaptiven Authentifizierung aufgeführt sind, um festzulegen, ob ein Benutzermit Benutzernamen und Kennwort authentifiziert wird oder ob zusätzliche Informationen erforderlich sind,um den Benutzer zu authentifizieren.

Unterstützte Authentifizierungsmethoden der adaptiven RSA-AuthentifizierungDie starken Authentifizierungsmethoden der adaptiven RSA-Authentifizierung, die in Unified AccessGateway unterstützt werden, sind die Out-of-Band-Authentifizierungen per Telefon, E-Mail- oder SMS-Textnachricht und anhand von Sicherheitsfragen. Mithilfe des Dienstes aktivieren Sie die Methoden deradaptiven RSA-Authentifizierung, die bereitgestellt werden können. Die Richtlinien der adaptiven RSA-Authentifizierung legen fest, welche sekundäre Authentifizierungsmethode verwendet wird.

Die Out-of-Band-Authentifizierung ist ein Prozess, bei dem zusammen mit dem Benutzernamen und demKennwort eine zusätzliche Überprüfung gesendet werden muss. Wenn sich die Benutzer beim adaptivenRSA-Authentifizierungsserver anmelden, geben sie eine E-Mail-Adresse, eine Telefonnummer oderbeides an, je nach Serverkonfiguration. Wenn eine zusätzliche Überprüfung erforderlich ist, sendet deradaptive RSA-Authentifizierungsserver einen einmaligen Code über den bereitgestellten Kanal. DieBenutzer geben diesen Code zusammen mit ihrem Benutzernamen und dem Kennwort ein.


VMware, Inc. 160

Bei der Anmeldung am adaptiven RSA-Authentifizierungsserver muss der Benutzer eine Reihe vonSicherheitsfragen beantworten. Sie können konfigurieren, wie viele Anmeldefragen gestellt werden undwie viele Sicherheitsfragen auf der Anmeldeseite angezeigt werden sollen.

Anmelden von Benutzern mit dem adaptiven RSA-AuthentifizierungsserverDie Benutzer müssen in der Datenbank des adaptiven RSA-Authentifizierungsservers registriert sein, umdie adaptive Authentifizierung für die Authentifizierung zu nutzen. Bei der erstmaligen Anmeldung mitihrem Benutzernamen und dem Kennwort werden die Benutzer der Datenbank des adaptiven RSA-Authentifizierungssystems hinzugefügt. Je nachdem, wie Sie die adaptive RSA-Authentifizierung imDienst konfiguriert haben, werden die Benutzer bei der Anmeldung nach ihrer E-Mail-Adresse, derTelefonnummer oder der Nummer ihres SMS-Dienstes gefragt oder müssen Antworten aufSicherheitsfragen eingeben.

Hinweis Die adaptive RSA-Authentifizierung lässt keine Benutzernamen zu, die internationale Zeichenenthalten. Wenn Sie Multi-Byte-Zeichen in den Benutzernamen zulassen möchten, wenden Sie sich anden RSA-Support, um die adaptive RSA-Authentifizierung und den RSA Authentication Manager zukonfigurieren.

Konfigurieren der adaptiven RSA-Authentifizierung in UnifiedAccess GatewayFür die Konfiguration der adaptiven RSA-Authentifizierung in dem Dienst müssen Sie die adaptive RSA-Authentifizierung aktivieren. Wählen Sie die anzuwendende adaptive Authentifizierungsmethode aus undfügen Sie die Active Directory-Verbindungsinformationen und das Zertifikat hinzu.

Voraussetzungen

n Die adaptive RSA-Authentifizierung ist richtig mit den Authentifizierungsmethoden konfiguriert, die fürdie sekundäre Authentifizierung verwendet werden sollen.

n Einzelheiten zur SOAP-Endpunktadresse und zum SOAP-Endbenutzernamen.

n Active Directory-Konfigurationsinformationen und das verfügbare Active Directory-SSL-Zertifikat.

Verfahren



3 Klicken Sie in der Zeile der adaptiven RSA-Authentifizierung auf das Zahnradsymbol.


VMware, Inc. 161

4 Wählen Sie die geeigneten Einstellungen für Ihre Umgebung aus.

Hinweis Ein Asterisk (*) gibt an, welche Felder erforderlich sind. Die anderen Felder sind optionalauszufüllen.

Option Beschreibung

RSA AA-Adapter aktivieren Ändern Sie NEIN in JA, um die adaptive RSA-Authentifizierung zu aktivieren.

Name* Der Name lautet „rsaaa-auth“.

SOAP-Endpoint* Geben Sie die SOAP-Endpunktadresse für die Integration zwischen dem Adapterder adaptiven RSA-Authentifizierung und dem Dienst ein.

SOAP-Benutzername* Geben Sie den Benutzernamen und das Kennwort ein, die verwendet werden, umSOAP-Meldungen zu signieren.

SOAP-Kennwort* Geben Sie das SOAP-API-Kennwort für die adaptive RSA-Authentifizierung ein.

RSA-Domäne Geben Sie die Domänenadresse des adaptiven Authentifizierungsservers ein.

OOB-E-Mail aktivieren Wählen Sie JA aus, um die Out-of-Band-Authentifizierung zu aktivieren, die eineneinmaligen Code per E-Mail an den Endbenutzer sendet.

OOB-SMS aktivieren Wählen Sie JA aus, um die Out-of-Band-Authentifizierung zu aktivieren, die eineneinmaligen Code per SMS an den Endbenutzer sendet.

SecurID aktivieren Wählen Sie JA aus, um SecurID zu aktivieren. Die Benutzer werden aufgefordert,ihren RSA-Token und den Passcode einzugeben.

Geheime Frage aktivieren Wählen Sie JA aus, wenn Sie Anmeldefragen und Sicherheitsfragen für dieAuthentifizierung verwenden werden.

Anzahl der Anmeldefragen* Geben Sie die Anzahl der Fragen ein, die die Benutzer einrichten müssen, wennSie sich beim Authentifizierungsadapterserver anmelden.

Anzahl der Sicherheitsfragen* Geben Sie die Anzahl der Sicherheitsfragen an, die die Benutzer richtigbeantworten müssen, um sich anmelden zu können.

Anzahl der zulässigenAuthentifizierungsversuche*

Geben Sie an, wie häufig die Sicherheitsfragen einem Benutzer, der versucht sichanzumelden, angezeigt werden sollen, bevor die Authentifizierung fehlschlägt.

Verzeichnistyp* Das einzige Verzeichnis, das unterstützt wird, ist Active Directory.

SSL verwenden Wählen Sie JA aus, wenn Sie für Ihre Active Directory-Verbindung SSL verwenden.Sie fügen das Active Directory-SSL-Zertifikat im Feld „Verzeichniszertifikat“ hinzu.

Server-Host* Geben Sie den Active Directory-Hostnamen ein.

Server-Port Geben Sie die Active Directory-Portnummer ein.

DNS-Dienstspeicherort verwenden Wählen Sie JA aus, wenn für die Verzeichnisverbindung der DNS-Dienstspeicherort verwendet wird.

Basis-DN Geben Sie den DN ein, von dem aus Kontosuchvorgänge gestartet werden sollen.Beispiel: OU=MeineEinheit,DC=MeineFirma,DC=com.

Bind-DN* Geben Sie das Konto ein, das nach Benutzern suchen darf. Beispiel:CN=binduser,OU=myUnit,DC=myCorp,DC=com

Bind-Kennwort Geben Sie das Kennwort für das Bind-DN-Konto ein.

Suchattribut Geben Sie das Kontoattribut ein, das den Benutzernamen enthält.


VMware, Inc. 162

Option Beschreibung

Verzeichniszertifikat Fügen Sie das Serverzertifikat des Verzeichnisses zum Einrichten sicherer SSL-Verbindungen dem Textfeld hinzu. Fügen Sie im Falle mehrerer Server das Root-Zertifikat der Zertifizierungsstelle hinzu.

STARTTLS verwenden Ändern Sie NEIN in JA, um STARTTLS zu verwenden.


Generieren von Unified Access Gateway-SAML-MetadatenSie müssen SAML-Metadaten in der Unified Access Gateway-Appliance generieren und die Metadatenmit dem Server austauschen, um die erforderliche gegenseitige Vertrauensstellung für die Smartcard-Authentifizierung einzurichten.

Die Security Assertion Markup Language (SAML) ist ein XML-basierter Standard, der zur Beschreibungund zum Austausch von Authentifizierungs- und Autorisierungsinformationen zwischen unterschiedlichenSicherheitsdomänen verwendet wird. SAML überträgt Informationen zu Benutzern zwischenIdentitätsanbietern und Dienstanbietern in XML-Dokumenten namens SAML-Zusicherungen. In diesemSzenario ist Unified Access Gateway der Identitätsanbieter und der Server der Dienstanbieter.

Voraussetzungen

n Konfigurieren Sie die Uhr (UTC) der Unified Access Gateway-Appliance, damit diese über diekorrekte Uhrzeit verfügt. Öffnen Sie z. B. ein Konsolenfenster auf der virtuellen Unified AccessGateway-Maschine, und wählen Sie mit den Pfeilschaltflächen die erforderliche Zeitzone aus. StellenSie zudem sicher, dass die Uhrzeit des ESXi-Hosts mit einem NTP-Server synchronisiert ist. PrüfenSie, ob die VMware Tools, die auf der virtuellen Appliance-Maschine ausgeführt werden, die Uhrzeitauf der virtuellen Maschine mit der Uhrzeit auf dem ESXi-Host synchronisieren.

Wichtig Wenn die Uhr der Unified Access Gateway-Appliance nicht der Uhr auf dem Serverhostentspricht, kann die Smartcard-Authentifizierung eventuell nicht durchgeführt werden.

n Verwenden Sie ein SAML-Signaturzertifikat für das Signieren der Unified Access Gateway-Metadaten.

Hinweis VMware empfiehlt die Erstellung und Verwendung eines spezifischen SAML-Signaturzertifikats, wenn in Ihrer Installation mehr als eine Unified Access Gateway-Appliancevorhanden ist. In diesem Fall müssen alle Appliances mit demselben Signaturzertifikat konfiguriertwerden, damit der Server Assertions von jeder Unified Access Gateway-Appliance annehmen kann.Mit einem spezifischen SAML-Signaturzertifikat sind die SAML-Metadaten aller Appliances identisch.

n Sofern noch nicht geschehen, konvertieren Sie das SAML-Signaturzertifikat in PEM-Dateien unddie .pem-Dateien in ein einzeiliges Format. Siehe Konvertieren von Zertifikatdateien in das einzeiligePEM-Format.

Verfahren



VMware, Inc. 163

2 Klicken Sie im Bereich „Erweiterte Einstellungen“ auf das Zahnradsymbol für die SAML-Identitätsanbietereinstellungen.

3 Aktivieren Sie das Kontrollkästchen Zertifikat bereitstellen.

4 Um die Datei des privaten Schlüssels hinzuzufügen, klicken Sie auf Auswählen und suchen Sie nachder Datei mit dem privaten Schlüssel für das Zertifikat.

5 Um die Datei der Zertifikatkette hinzuzufügen, klicken Sie auf Auswählen und suchen Sie nach derDatei der Zertifikatkette.


7 Geben Sie im Textfeld „Hostname“ den Hostnamen ein und laden Sie die Einstellungen desIdentitätsanbieters herunter.

Erstellen eines SAML-Authentifikators für die Verwendung vonanderen DienstanbieternNachdem Sie die SAML-Metadaten in der Unified Access Gateway-Appliance erstellt haben, kopieren Siedie Daten in den Backend-Dienstanbieter. Das Kopieren dieser Daten zum Dienstanbieter gehört zumVorgang des Erstellens eines SAML-Authentifikators, damit Unified Access Gateway als Dienstanbieterverwendet werden kann.

Bei einem Horizon Air-Server finden Sie spezielle Anweisungen in der Produktdokumentation.

Kopieren von SAML-Metadaten für einen Dienstanbieter in UnifiedAccess GatewayNachdem Sie einen SAML-Authentifikator erstellt sowie aktiviert haben und Unified Access Gateway sichdamit als Identitätsanbieter verwenden lässt, können Sie auf diesem Backend-System SAML-Metadatengenerieren und diese zum Erstellen eines Dienstanbieters in der Unified Access Gateway-Applianceverwenden. Dieser Datenaustausch richtet eine Vertrauensstellung zwischen dem Identitätsanbieter(Unified Access Gateway) und dem Back-End-Dienstanbieter ein, z. B. Horizon Connection Server.

Voraussetzungen

Stellen Sie sicher, dass ein SAML-Authentifikator für Unified Access Gateway auf dem Backend-Dienstanbieter erstellt wurde.

Verfahren

1 Rufen Sie die SAML-Metadaten vom Dienstanbieter ab. Diese liegen im Allgemeinen in Form einerXML-Datei vor.

Anweisungen dazu finden Sie in der Dokumentation des Dienstanbieters.

Für die einzelnen Dienstanbieter gelten verschiedene Vorgehensweisen. Sie müssen beispielsweiseeinen Browser öffnen und eine URL wie die folgende eingeben: https://connection-server.example.com/SAML/metadata/sp.xml


VMware, Inc. 164

Mit dem Befehl Speichern unter können Sie diese Webseite dann als XML-Datei speichern. DerInhalt dieser Datei beginnt mit dem folgenden Text:

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ...

2 Klicken Sie auf der Verwaltungsoberfläche von Unified Access Gateway im Bereich „Manuellkonfigurieren“ auf Auswählen.

3 Klicken Sie im Bereich „Erweiterte Einstellungen“ auf das Zahnradsymbol für die SAML-Serveranbietereinstellungen.

4 Geben Sie im Textfeld für den Dienstanbieternamen den Namen des Dienstanbieters ein.

5 Geben Sie im Textfeld für Metadaten-XML die in Schritt 1 erstellte Metadatendatei ein.


Unified Access Gateway und der Dienstanbieter können nun Authentifizierungs- undAutorisierungsinformationen austauschen.


VMware, Inc. 165

Fehlerbehebung bei der UnifiedAccess Gateway-Bereitstellung 7Sie können Probleme, die bei der Bereitstellung von Unified Access Gateway in Ihrer Umgebungauftreten, anhand verschiedener Verfahren diagnostizieren und korrigieren.

Sie können die Vorgehensweisen zur Fehlerbehebung nutzen, um die Ursachen dieser Probleme zuermitteln. Anschließend können Sie versuchen, die Probleme selbst zu behandeln, oder sich an dentechnischen Support von VMware wenden, um Unterstützung zu erhalten.


n Überwachung der Sitzungsstatistik des Edge-Diensts

n Überwachen der Integrität von bereitgestellten Diensten

n Fehlerbehebung bei Bereitstellungsfehlern

n Fehlerbehebung: Identity Bridging

n Fehlerbehebung: Cert-zu-Kerberos

n Fehlerbehebung bei der Endpunktübereinstimmung

n Fehlerbehebung bei der Validierung des Zertifikats in der Admin-UI

n Fehlerbehebung bei Firewall- und Verbindungsproblemen

n Fehlerbehebung bei der Root-Anmeldung

n Erfassen von Protokollen auf der Unified Access Gateway-Appliance

n Unified Access Gateway-Einstellungen exportieren

n Importieren von Unified Access Gateway-Einstellungen

n Fehlerbehebung: Content Gateway

n Fehlerbehebung bei Hochverfügbarkeit

n Fehlerbehebung bei Sicherheitsrisiken: Empfohlene Vorgehensweisen

Überwachung der Sitzungsstatistik des Edge-DienstsUnified Access Gateway bietet Informationen zu aktiven Sitzungen jedes Edge-Diensts. Über die Admin-Benutzeroberfläche für die einzelnen Edge-Dienste können Sie schnell erkennen, ob die von Ihnenbereitgestellten Diensten konfiguriert und gestartet sind und erfolgreich ausgeführt werden.

VMware, Inc. 166

Verfahren

1 Navigieren Sie zu Support-Einstellungen > Sitzungsstatistik des Edge-Diensts.

2 Klicken Sie im Abschnitt Support-Einstellungen auf das Zahnradsymbol für die Sitzungsstatistikdes Edge-Diensts.

Abbildung 7-1. Sitzungsstatistik des Edge-Diensts

n Edge-Dienst führt den spezifischen Edge-Dienst auf, für den die Sitzungsstatistik angezeigtwerden.

n Gesamtanzahl der Sitzungen gibt die Summe der aktiven und inaktiven Sitzungen an.

n Aktive Sitzungen (Angemeldete Sitzungen) gibt Sie die Anzahl der laufenden authentifizierteSitzungen an.

n Inaktive Sitzungen gibt die Anzahl der nicht authentifizierten Sitzungen an.

n Anmeldeversuche mit Fehlern gibt die Anzahl der fehlgeschlagenen Anmeldeversuche an.

n Obergrenze für Sitzung gibt die maximale Anzahl gleichzeitiger Sitzungen zu einem bestimmtenZeitpunkt an.

n PCoIP-Sitzungen gibt die Anzahl der mit PCoIP eingerichteten Sitzungen an.

n BLAST-Sitzungen gibt die Anzahl der mit Blast eingerichteten Sitzungen an.

n Tunnel-Sitzungen gibt die Anzahl der mit Horizon Tunnel eingerichteten Sitzungen an.

Tabelle 7-1. Beispiel für die Sitzungsstatistik des Edge-Diensts

Edge-Dienst

Gesamtanzahl derSitzungen

Aktive(angemeldete)Sitzungen

InaktiveSitzungen

AnmeldeversuchemitFehlern

Obergrenze fürSitzung

PCoIP-Sitzungen

BLAST-Sitzungen

Tunnel-Sitzungen

Horizon 11 0 11 8 11 0 0 0

Reverse-Proxy (jira)

10 0 10 10 10 - - -

Reverse-Proxy(sp_blr)

11 0 11 11 11 - - -


VMware, Inc. 167

Tabelle 7-1. Beispiel für die Sitzungsstatistik des Edge-Diensts (Fortsetzung)

Edge-Dienst

Gesamtanzahl derSitzungen

Aktive(angemeldete)Sitzungen

InaktiveSitzungen

AnmeldeversuchemitFehlern

Obergrenze fürSitzung

PCoIP-Sitzungen

BLAST-Sitzungen

Tunnel-Sitzungen

Reverse-Proxy(sp_https_saml)

4 0 4 0 5 - - -

Reverse-Proxy(sp_multi_domain)

8 0 8 8 8 - - -

VMwareTunnel

1 1 0 0 1 - - -

Gesamt 45 1 44 37 - - -

Überwachen von API-SitzungsstatistikenDie hier aufgeführten Parameter beschreiben die Sitzungsstatistiken, die im letztenÜberwachungsintervall erfasst wurden.

URL-Aufruf: https://<UAGIP>:9443/rest/v1/monitor/stats

Tabelle 7-2. Horizon View

Attribut Beschreibung

totalSessions Gibt die Gesamtanzahl der aktiven und inaktiven Sitzungen an.

Administrator-Benutzeroberfläche: Gesamtanzahl der Sitzungen.

highWaterMarkOfSessions Gibt die maximale Anzahl gleichzeitiger Sitzungen zu einem bestimmten Zeitpunkt an.

Administrator-Benutzeroberfläche: Obergrenze für Sitzung.

authenticatedSessions Gibt die Anzahl der laufenden authentifizierten Sitzungen (angemeldeten Sitzungen) an.

Administrator-Benutzeroberfläche: Aktive (angemeldete) Sitzungen.

unauthenticatedSessions Gibt die Anzahl der nicht authentifizierten Sitzungen an.

Administrator-Benutzeroberfläche: Inaktive Sitzungen.

failedLoginAttempts Gibt die Anzahl der fehlgeschlagenen Anmeldeversuche an.

Administrator-Benutzeroberfläche: Anmeldeversuche mit Fehlern

userCount Gibt die Anzahl der eindeutigen Benutzer an, die aktuell authentifiziert sind.

BLAST

sessions Gibt die Anzahl der aktiven BLAST-Sitzungen an.

maxSessions Gibt die Anzahl der autorisierten BLAST-Sitzungen an.

PCoIP

sessions Gibt die Anzahl der aktiven PCoIP-Sitzungen an, die beim Start eines Desktops oder einerAnwendung erstellt werden.

maxSessions Gibt die maximale Anzahl gleichzeitiger PCoIP-Sitzungen zu einem bestimmten Zeitpunkt an.


VMware, Inc. 168

Tabelle 7-2. Horizon View (Fortsetzung)


VMware Tunnel

sessions Gibt die Anzahl der aktiven VMware Tunnel-Sitzungen an, die bei der Authentifizierung durchView Client erstellt werden.

maxSessions Gibt die maximale Anzahl gleichzeitiger VMware Tunnel-Sitzungen zu einem bestimmtenZeitpunkt an.

Tabelle 7-3. Web Reverse Proxy


totalSessions Gibt die Gesamtanzahl der aktiven und inaktiven Sitzungen an.

Administrator-Benutzeroberfläche: Gesamtanzahl der Sitzungen.

highWaterMarkOfSessions Gibt die maximale Anzahl gleichzeitiger Sitzungen zu einem bestimmten Zeitpunkt an.

Administrator-Benutzeroberfläche: Obergrenze für Sitzung.

authenticatedSessions Gibt die Anzahl der laufenden authentifizierten Sitzungen (angemeldeten Sitzungen) an.

Administrator-Benutzeroberfläche: Aktive (angemeldete) Sitzungen.

unauthenticatedSessions Gibt die Anzahl der nicht authentifizierten Sitzungen an.

Administrator-Benutzeroberfläche: Inaktive Sitzungen.

failedLoginAttempts Gibt die Anzahl der fehlgeschlagenen Anmeldeversuche an.

Administrator-Benutzeroberfläche: Anmeldeversuche mit Fehlern.

userCount Gibt die Anzahl der eindeutigen Benutzer an, die aktuell authentifiziert sind.

backendStatus

status Gibt an, ob die Back-End-Anwendung erreichbar ist. (Aktiv, Nicht erreichbar)

reason Gibt den Status mit einer Begründung an. (Erreichbar, Fehlerdetails)

kcdStatus

status Gibt an, ob der KCD-Server erreichbar ist. (Aktiv, Nicht erreichbar)

reason Gibt den Status mit einer Begründung an. (Erreichbar, Fehlerdetails)

Tabelle 7-4. VMware Tunnel


identifier Gibt an, dass der VMware Tunnel-Dienst aktiviert ist.

status Status des VMware Tunnel-Diensts (vpnd-Dienst).

reason Gibt den Status des VMware Tunnel-Diensts mit einer Begründung an. Der Dienst kann gestartetoder heruntergefahren sein. Wenn der Status des Diensts beispielsweise „Gestartet und läuft“lautet, dann ist der VMware Tunnel-Server erreichbar. Im Status „Heruntergefahren“ ist derServer nicht erreichbar.

totalSessions Gibt die Anzahl der aktiven VMware Tunnel-Sitzungen an, die bei der Authentifizierung durch denVMware Tunnel-Client erstellt werden.

connections Gibt die Anzahl der aktiven ausgehenden Verbindungen vom VMware Tunnel-Server an.

upTime Zeigt die Zeit an, in der der VMware Tunnel-Dienst aktiv ist und ausgeführt wird.


VMware, Inc. 169

Tabelle 7-4. VMware Tunnel (Fortsetzung)


apiConnectivity Konnektivität des VMware Tunnel-Servers zur API. Beispielsweise „True“ oder „False“.

awcmConnectivity Konnektivität des VMware Tunnel-Servers zu AWCM. Beispielsweise „True“ oder „False“.

cascadeMode Zeigt Informationen zum mehrstufigen Modus an. Beispielsweise „Aus“ im einfachen Modus undFront-End oder Back-End bei einer mehrstufigen Konfiguration.

Überwachen der Integrität von bereitgestellten DienstenÜber die Verwaltungsoberfläche für die Edge-Einstellungen können Sie schnell erkennen, ob die vonIhnen bereitgestellten Dienste konfiguriert und gestartet sind und erfolgreich ausgeführt werden.

Abbildung 7-2. Integritätsprüfung

Vor dem Dienst wird ein Kreis angezeigt. Die Farbcodierung hat die nachfolgende Bedeutung.

n Ein leerer Kreis - Die Einstellung ist nicht konfiguriert.

n Ein roter Kreis - Dienst nicht verfügbar.

n Ein gelber Kreis - Dienst wird teilweise ausgeführt.

n Ein grüner Kreis - Dienst wird ohne Probleme ausgeführt.

Fehlerbehebung bei BereitstellungsfehlernMöglicherweise treten Probleme beim Bereitstellen von Unified Access Gateway in Ihrer Umgebung auf.Sie können diese Probleme bei der Bereitstellung anhand mehrerer Verfahren diagnostizieren undkorrigieren.


VMware, Inc. 170

Sicherheitswarnung beim Ausführen von Skripten, die aus demInternet heruntergeladen wurdenStellen Sie sicher, dass das PowerShell-Skript das gewünschte Skript ist, und führen Sie dann in derPowerShell-Konsole den folgenden Befehl aus:

unblock-file .\uagdeploy.ps1

ovftool-Befehl nicht gefunden

Stellen Sie sicher, dass Sie die OVF Tool-Software auf dem Windows-Computer installiert haben unddass sie in dem vom Skript erwarteten Verzeichnis installiert ist.

Ungültiges Netzwerk in Eigenschaft netmask1In der Meldung kann netmask0, netmask1 oder netmask2 angegeben werden. Stellen Sie sicher, dass inder INI-Datei ein Wert für jedes der drei Netzwerke netInternet, netManagementNetwork undnetBackendNetwork festgelegt wurde.

Warnmeldung, dass der Bezeichner des Betriebssystems nichtunterstützt wirdMit der Warnmeldung wird darauf hingewiesen, dass der angegebene Betriebssystembezeichner SUSELinux Enterprise Server 12.0 64-Bit (id:85) auf dem gewählten Host nicht unterstützt wird. Er ist demfolgenden OS-Bezeichner zugeordnet: Other Linux (64-Bit).

Ignorieren Sie diese Warnmeldung. Es erfolgt die automatische Zuordnung zu einem unterstütztenBetriebssystem.

Fehler: Locator verweist auf kein Objekt

Der Fehler gibt an, dass der von vSphere OVF Tool verwendete „target=“-Wert für Ihre vCenter Server-Umgebung nicht richtig ist. In der unter https://communities.vmware.com/docs/DOC-30835 aufgeführtenTabelle finden Sie Beispiele für das Zielformat zum Verweis auf einen vCenter-Host oder einen Cluster.Das Objekt der obersten Ebene wird wie folgt angegeben:

target=vi://[email protected]:[email protected]/

Das Objekt listet jetzt die möglichen Namen zur Verwendung auf der nächsten Ebene auf.

target=vi://[email protected]:[email protected]/Datacenter1/

target=vi://[email protected]:[email protected]/Datacenter1/host

target=vi://[email protected]:[email protected]/Datacenter1/host/Cluster1/

or

target=vi://[email protected]:[email protected]/Datacenter1/host/esxhost1

Bei den im Ziel verwendeten Ordner-, Host- und Clusternamen wird die Groß-/Kleinschreibung beachtet.


VMware, Inc. 171


Fehlermeldung: Clientzertifikat von Sitzung: SessionId kannnicht abgerufen werden.

n Überprüfen Sie, ob das Benutzerzertifikat ordnungsgemäß im Browser installiert ist.

n Überprüfen Sie, ob die standardmäßigen TLS-Protokollversionen 1.1 und 1.2 auf dem Browser undUnified Access Gatewayaktiviert sind.

Bereitstellung der Unified Access Gateway-OVA mithilfe des imChrome-Browser gestarteten VMware vSphere Web Clients nichtmöglichSie müssen das Client-Integrations-Plug-In in dem Browser installieren, den Sie zum Bereitstellen einerOVA-Datei auf dem vSphere Web Client verwenden. Nach der Installation des Plug-Ins im Chrome-Browser wird eine Fehlermeldung angezeigt, dass der Browser nicht installiert ist, und es ist Ihnen nichtgestattet, die URL der OVA-Datei in den Speicherort der Quelle einzugeben. Dies ist ein Problem mit demChrome-Browser und steht nicht im Zusammenhang mit der Unified Access Gateway-OVA-Datei. Es wirdempfohlen, dass Sie für die Bereitstellung der Unified Access Gateway-OVA einen anderen Browserverwenden.

Bereitstellung der Unified Access Gateway-OVA mit VMwarevSphere HTML4/5 Web Client nicht möglichMöglicherweise treten Fehler wie Ungültiger Wert für Eigenschaft angegeben auf. DiesesProblem steht nicht in Zusammenhang mit der Unified Access Gateway-OVA. Es wird empfohlen, dassSie für die Bereitstellung der OVA stattdessen den vSphere FLEX-Client verwenden.

Bereitstellung der Unified Access Gateway-OVA mit VMwarevSphere 6.7 HTML5 Web Client nicht möglichUnter Umständen fehlen Felder auf der Seite Eigenschaften für die Bereitstellung im VMware vSphere6.7 HTML5 Web Client. Dieses Problem steht nicht in Zusammenhang mit der Unified Access Gateway-OVA. Es wird empfohlen, dass Sie für die Bereitstellung der OVA stattdessen den vSphere FLEX-Clientverwenden.

XenApp von Chrome kann nicht über VMware Identity Managergestartet werden.Nach der Bereitstellung von Unified Access Gateway als Web-Reverse-Proxy aus VMware IdentityManager können Sie XenApp möglicherweise nicht über den Chrome-Browser starten.


VMware, Inc. 172

Befolgen Sie die Schritte unten, um dieses Problem zu beheben.

1 Verwenden Sie die folgende REST-API, um das Funktions-Flag orgUseNonNPAPIForCitrixLaunchüber den VMware Identity Manager-Dienst zu deaktivieren.

PUT https://fqdn/SAAS/jersey/manager/api/tenants/settings?tenantId=tenantname

{ "items":[ {"name":"orgUseNonNPAPIForCitrixLaunch","value": "false"} ] }

with the following two headers:

Content-Type application/vnd.vmware.horizon.manager.tenants.tenant.config.list+json

Authorization HZN value_of_HZN_cookie_for_admin_user

2 Warten Sie 24 Stunden auf die Übernahme der Änderung oder starten Sie den VMware IdentityManager-Dienst neu.

n Melden Sie sich für einen Neustart des Dienstes unter Linux bei der virtuellen Appliance an undführen Sie den folgenden Befehl aus: service horizon-workspace restart.

n Führen Sie für einen Neustart des Dienstes unter Windows folgendes Skript aus: install_dir\usr\local\horizon\scripts\horizonService.bat restart .

Fehlerbehebung: Identity BridgingMöglicherweise treten Probleme beim Konfigurieren von Certificate-to-Kerberos oder SAML-to-Kerberosin Ihrer Umgebung auf. Sie können diese Probleme anhand mehrerer Verfahren diagnostizieren undkorrigieren.

Überwachung des KDC-Server-Zustands und des Back-End-AnwendungsserversÜber die Verwaltungsoberfläche für die Edge-Einstellungen können Sie schnell erkennen, ob die vonIhnen bereitgestellten Dienste konfiguriert und gestartet sind und erfolgreich ausgeführt werden.

Abbildung 7-3. Integritätsprüfung – Reverse-Proxy-Einstellungen


VMware, Inc. 173

Vor dem Dienst wird ein Kreis angezeigt. Die Farbcodierung hat die nachfolgende Bedeutung.

n Roter Kreis: Der Status „Rot“ kann auf Folgendes hinweisen:

n Konnektivitätsprobleme zwischen Unified Access Gateway und Active Directory

n Port zwischen Unified Access Gateway und Active Directory blockiert.

Hinweis Stellen Sie sicher, dass auf dem Active Directory-Computer TCP- und UDP-Port 88geöffnet ist.

n Anmeldedaten aus Prinzipalname und Kennwort in der hochgeladenen Keytab-Datei sindmöglicherweise nicht korrekt.

n Grüner Kreis: Der Status „Grün“ bedeutet, dass Unified Access Gateway sich bei Active Directory mitden Anmeldedaten in der Keytab-Datei anmelden kann.

Fehler beim Erstellen von Kerberos-Kontext: Zeitversatz zu großDie Fehlermeldung

ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-

a8d9-5e288ac800fe]: Error creating kerberos context.

Identity bridging may not work

javax.security.auth.login.LoginException: Clock skew too great"

wird angezeigt, wenn die Zeit von Unified Access Gateway und die AD-Serverzeit sehr asynchron sind.Setzen Sie die Zeit auf dem AD-Server zurück, damit sie mit der genauen UTC-Zeit auf Unified AccessGatewayübereinstimmt.

Fehler beim Erstellen von Kerberos-Kontext: Name bzw. Dienstnicht bekanntDie Fehlermeldung

wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context.

Identity bridging may not work

javax.security.auth.login.LoginException: Name or service not known

wird angezeigt, wenn Unified Access Gateway den konfigurierten Bereich nicht erreichen kann oder mitden in der Keytab-Datei angegebenen Benutzerdaten keine Verbindung zu KDC herstellen kann.Überprüfen Sie Folgendes:

n Die Keytab-Datei wird mit dem korrekten Kennwort für das SPN-Benutzerkonto generiert und zuUnified Access Gateway hochgeladen.

n Die IP-Adresse der Back-End-Anwendung und der Hostname werden in Hosteinträgen korrekthinzugefügt.


VMware, Inc. 174

Fehler beim Empfangen des Kerberos-Tokens für den Benutzer:[email protected], Fehler: Kerberos-Delegierungsfehler:Methodenname: Gss_acquire_cred_impersonate_name: Nichtspezifizierter GSS-Fehler. Minor-Code kann weitere Informationenbereitstellen."Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found

in Kerberos database"

Wenn diese Meldung angezeigt wird, überprüfen Sie, ob:

n die Vertrauenseinstellung zwischen den Domänen funktioniert.

n Der Ziel-SPN-Name richtig konfiguriert ist.

Fehlerbehebung: Cert-zu-KerberosMöglicherweise treten Probleme beim Konfigurieren von Cert-to-Kerberos in Ihrer Umgebung auf. Siekönnen diese Probleme anhand mehrerer Verfahren diagnostizieren und korrigieren.

Fehlermeldung: Interner Fehler. Wenden Sie sich an IhrenAdministrator.Überprüfen Sie die Datei /opt/vmware/gateway/logs/authbroker.log auf die Meldung.

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with

"Could not send OCSP request to responder: Connection refused (Connection refused) , will

attempt CRL validation"

Das bedeutet, dass die in „X.509-Zertifikat“ konfigurierte OCSP-URL nicht erreichbar oder falsch ist.

Fehler bei ungültigem OCSP-Zertifikat"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify

signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."

wird angezeigt, wenn für OCSP ein ungültiges Zertifikat hochgeladen wird, oder wenn das OCSP-Zertifikat widerrufen wird.

Fehler bei fehlgeschlagener Überprüfung der OCSP-Antwort"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response:

CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN

revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify

signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."

wird manchmal angezeigt, wenn die Überprüfung der OCSP-Antwort fehlschlägt.


VMware, Inc. 175

Fehlermeldung: „Clientzertifikat von Sitzung <sessionId> kannnicht abgerufen werden“Gehen Sie wie nachstehend beschrieben vor, wenn diese Meldung angezeigt wird:

n Überprüfen Sie die Einstellungen des X.509-Zertifikats und bestimmen Sie, ob es konfiguriert ist.

n Die Einstellungen des X.509-Zertifikats sind konfiguriert: Überprüfen Sie das Clientzertifikat auf demclientseitigen Browser, um festzustellen, ob es von derselben Zertifizierungsstelle ausgestellt wurde,die im Feld „Root- und Zwischen-CA-Zertifikate“ in den Einstellungen des X.509-Zertifikatshochgeladen wurde.

Fehlerbehebung bei der EndpunktübereinstimmungMöglicherweise treten Probleme beim Bereitstellen des Anbieters zur Überprüfung derEndpunktübereinstimmung in Ihrer Umgebung auf. Sie können diese Probleme bei der Bereitstellunganhand mehrerer Verfahren diagnostizieren und korrigieren.

Hinweis Esmanager.log protokolliert Informationen zur MAC-Adresse des Geräts, das für dieÜberprüfung der Übereinstimmung verwendet wird. Das ist hilfreich bei der Identifizierung der zurÜberprüfung der Endpunktübereinstimmung verwendeten MAC-Adresse, wenn das Gerät über mehrereNetzwerkkarten oder Switches zu anderen Netzwerken verfügt.

Unified Access Gateway zeigt „Ungültige Clientanmeldedaten“ an.Unified Access Gateway führt den OPSWAT API-Aufruf durch, um den angegebenen Clientschlüssel undden geheimen Clientschlüssel zu validieren. Wenn die Anmeldedaten nicht korrekt sind, werden dieEinstellungen nicht gespeichert, was zu dem Fehler

Ungültige Clientanmeldedaten

führt.

Stellen Sie sicher, dass der richtige Clientschlüssel und der richtige geheime Clientschlüssel in denFeldern „Benutzername“ und „Kennwort“ angegeben sind.

Um Clientanmeldedaten zu generieren, registrieren Sie die Anwendung unter https://gears.opswat.com/o/app/register.

Unified Access Gateway zeigt „DNS kann den Host https://gears.opswat.com nicht auflösen“.Verwenden Sie den Ping-Befehl, um die IP-Adresse für gears.opswat.com für Ihre Region zu ermitteln.

Verwenden Sie dann die mit dem Ping-Befehl ermittelte IP-Adresse, um einen Eintrag /etc/hosts fürhttps://gears.opswat.com zu erstellen. Navigieren Sie über die Admin-UI zu den Horizon-Einstellungen und geben Sie den Wert unter Hosteinträge für den View-Edgedienst an.


VMware, Inc. 176

HTTPS://GEARS.OPSWAT.COM/O/APP/REGISTER

HTTPS://GEARS.OPSWAT.COM/O/APP/REGISTER

Unified Access Gateway zeigt „Zeitüberschreitung derAnforderung beim Verbinden mit dem Host https://gears.opswat.com“ an.Das kann passieren, wenn der Hosteintrag für gears.opswat.com in UAG falsch konfiguriert ist oderhttps://gears.opswat.com die Verbindungsanforderung nicht akzeptiert.

Fehlerbehebung bei der Validierung des Zertifikats in derAdmin-UIWenn bei der Validierung des PEM-Formats eines Zertifikats Fehler auftreten, finden Sie in dieserFehlermeldung weitere Informationen.

Hier sehen Sie eine Liste der möglichen Szenarien, bei denen Fehler generiert werden.

Fehler Problem

Ungültiges PEM-Format. Kann auf ein falsches BEGIN-Formatzurückzuführen sein. Entnehmen Sie weitere Details demProtokoll.

Das BEGIN-Zertifikat des privaten Schlüssels ist ungültig.

Ungültiges PEM-Format. Ausnahmemeldung: -----END RSAPRIVATE KEY wurde nicht gefunden. Entnehmen Sie weitereDetails dem Protokoll.

Das END-Zertifikat des privaten Schlüssels ist ungültig.

Ungültiges PEM-Format. Ausnahmemeldung: Problem beimErstellen des privaten RSA-Schlüssels:java.lang.IllegalArgumentException: Fehler beim Erstellen derSequenz aus Byte []: fehlerhafter Stream - Länge außerhalb desgültigen Bereichs. Entnehmen Sie weitere Details dem Protokoll.

Der private Schlüssel im Zertifikat ist beschädigt.

Fehler beim Analysieren von Zertifikaten aus PEM-Zeichenfolge.Entnehmen Sie weitere Details dem Protokoll.

Das BEGIN-Zertifikat des öffentlichen Schlüssels ist ungültig.

Fehlerhafte PEM-Daten sind aufgetreten. Entnehmen Sieweitere Details dem Protokoll.

Das END-Zertifikat des öffentlichen Schlüssels ist ungültig.

Fehlerhafte PEM-Daten sind aufgetreten. Entnehmen Sieweitere Details dem Protokoll.

Der private Schlüssel im Zertifikat ist beschädigt.

Keine Ziel-/Endzertifikate zur Erstellung der Verkettungvorhanden.

Kein Ziel-/Endzertifikat vorhanden.

Da der Zertifikatskettenpfad nicht erstellt werden kann, sind alleZielzertifikate ungültig. Möglicherweise fehlt/fehlen einZwischenzertifikat/Stammzertifikate.

Keine Zertifikatskette zu erstellen.

Mehrdeutige Fehlermeldung: Mehrere Zertifikatsketten wurdengefunden. Nicht sicher, welche zurückgegeben werden soll.

Mehrere Zertifikatsketten vorhanden.


VMware, Inc. 177

Fehler Problem

Der Zertifikatskettenpfad CertificateExpiredException kann nichterstellt werden: Zertifikat ist am 20171206054737GMT + 00:00abgelaufen. Entnehmen Sie weitere Details dem Protokoll.

Das Zertifikat ist abgelaufen.

Fehlermeldung „Unerwartete Daten im Stream gefunden“ beimHochladen des Zertifikats im PEM-Format.

Fehlende leere Zeile oder zusätzliche Attribute zwischenuntergeordnetem Zertifikat und Zwischenzertifikat imKettenzertifikat. Das Hinzufügen einer leeren Zeile zwischendem untergeordneten Zertifikat und dem Zwischenzertifikatwürde das Problem beheben.

Abbildung 7-4. Beispiel

Fehlerbehebung bei Firewall- und VerbindungsproblemenSie können Netzwerkprobleme wie Firewall- und Verbindungsprobleme Ihrer Unified Access Gateway-Instanz mit verschiedenen Tools und Befehlen wie z. B. tcpdump und curl überwachen, prüfen undbeheben.

Installieren und Ausführen von tcpdumpBei tcpdump handelt es sich um ein Befehlszeilentool, mit dem Sie TCP-Pakete zur Fehlerbehebung undfür Testzwecke analysieren können.

Wenn Sie tcpdump nicht auf Ihrer Unified Access Gateway-Instanz installiert haben, führen Sie zurInstallation von tcpdump den folgenden Befehl von der Befehlszeile aus:

/etc/vmware/gss-support/install.sh

Die folgenden Beispiele zeigen die Verwendung von tcpdump:

n Führen Sie die im Folgenden aufgeführten Befehle zur Überwachung des Datenverkehrs überbestimmte Ports aus.

Hinweis Wenn Sie Port 8443 angeben, müssen Sie sicherstellen, dass UDP 8443 nicht durch eineäußere Firewall blockiert wird.

a tcpdump -i eth0 -n -v udp port 8443

b tcpdump -i eth0 -n -v tcp port 8443

c tcpdump -i any -n -v port 22443


VMware, Inc. 178

n Mit den folgenden Befehlen können Sie Pakete verfolgen, die von Unified Access Gateway an denRADIUS-Server und umgekehrt gesendet werden:

nslookup <radius-server-hostname>

tracepath <radius-server-hostname>

tcpdump -i any -n -v port 1812

n Mit den folgenden Befehlen können Sie Pakete verfolgen, die von Unified Access Gateway an denRSA SecurID-Server und umgekehrt gesendet werden:

nslookup <rsa-auth-server-hostname>

tracepath <rsa-auth-server-hostname>

Verwenden des Befehls curlSie können Informationen über Netzwerkverbindungen auch mit dem Befehl curl abrufen.

n Mit dem folgenden Befehl haben Sie die Möglichkeit, die Verbindung mit einem Back-End-Verbindungsserver oder einem Webserver zu testen:

curl -v -k https://<hostname-or-ip-address>:443/

Probleme mit Back-End-Server-Verbindungen sind in der Datei esmanager.log dokumentiert:

07/14 07:29:03,882[nioEventLoopGroup-7-1]ERROR

view.ViewEdgeService[onFailure: 165][]: Failed to resolve hostname

address in proxyDestinationUrl:xref:mbxxx-cs.xyz.in

n Verbindungen mit virtuellen Back-End-Desktops wie PCoIP 4172 und Blast 22443 können nicht mittcpdump getestet werden, da die Desktops diese Portnummern solange nicht überwachen, bis eineSitzung bereit ist. In den Protokollen finden Sie Hinweise auf mögliche Verbindungsfehler über diesePorts.

n Führen Sie den folgenden Befehl für die Horizon Framework Channel TCP-Verbindung aus:

curl -v telnet://<virtualdesktop-ip-address>:32111

n Führen Sie den folgenden Befehl für die Horizon MMR/CDR TCP-Verbindung aus:


n Führen Sie den folgenden Befehl aus, um die Port-Konnektivität von Unified Access Gatewayzum virtuellen Desktop zu testen. Stellen Sie sicher, dass die Sitzung auf dem virtuellen Desktopaktiv ist, bevor Sie diesen Befehl ausführen.


PowerShell-BefehleFühren Sie die folgenden Befehle zur Überwachung der Konnektivität für bestimmte Ports über diePowerShell-Befehlszeile aus:

1 Test-NetConnection <uag-hostname-or-ip-address> -port 443


VMware, Inc. 179



Fehlerbehebung bei der Root-AnmeldungWenn Sie sich bei der Unified Access Gateway-Konsole als Root-Benutzer mit den richtigenBenutzernamen und dem richtigen Kennwort anmelden und eine Fehlermeldung „Falsche Anmeldedaten“erhalten, überprüfen Sie das System auf eventuelle Fehler in der Tastenbelegung und setzen Sie dasRoot-Kennwort zurück.

Es gibt mehrere Gründe, warum ein Anmeldefehler auftritt:

n Die verwendete Tastatur kann bestimmte Kennwortzeichen nicht ordnungsgemäß entsprechend derTastaturdefinition von Unified Access Gateway zuordnen.

n Das Kennwort ist abgelaufen. Das Root-Kennwort läuft 365 Tage nach der Bereitstellung der OVA-Datei ab.

n Das Kennwort wurde bei der Bereitstellung der Appliance nicht ordnungsgemäß festgelegt. Dies istein bekanntes Problem mit älteren Versionen von Unified Access Gateway.

n Das Kennwort wurde vergessen.

Um zu testen, ob die Tastatur die Zeichen richtig zuordnet, versuchen Sie, das Kennwort als Antwort aufdie Eingabeaufforderung "Anmeldung:" einzugeben. Damit können Sie jedes Kennwortzeichen sehen undherausfinden, welche Zeichen falsch interpretiert werden.

Setzen Sie bei allen anderen Ursachen das Root-Kennwort der Appliance zurück.

Hinweis Um das Root-Kennwort zurückzusetzen, müssen Sie:

n Anmeldezugriff auf vCenter haben

n Das Anmeldekennwort für vCenter kennen

n Über die Berechtigung zum Zugriff auf die Appliance-Konsole verfügen

Wenn Sie ein Kennwort im Grub 2-Bootloader-Menü für die Appliance eingerichtet haben, müssen Siedies im Rahmen dieses Vorgangs eingeben.

Verfahren

1 Starten Sie die Appliance von vCenter aus und stellen Sie sofort eine Verbindung mit der Konsoleher.

2 Sobald der Photon OS-Begrüßungsbildschirm angezeigt wird, drücken Sie „e“ zum Öffnen des GNUGRUB-Bearbeitungsmenüs.


VMware, Inc. 180

3 Navigieren Sie im GNU GRUB-Bearbeitungsmenü zum Ende der Zeile, die mit linux beginnt, fügenSie ein Leerzeichen ein und tippen Sie /boot/$photon_linux root=$rootpartition rw init=/bin/bash. Nach dem Hinzufügen dieser Werte sollte das GNU GRUB-Bearbeitungsmenü genau wie folgtangezeigt werden:


VMware, Inc. 181

Hinweis Für eine FIPS-Appliance muss die Zeile linux /boot/$photon_linux root=$rootpartitionrw init=/bin/bash fips=1 lauten.

4 Drücken Sie die Taste F10 und geben Sie bei der Bash-Eingabeaufforderung passwd zum Änderndes Kennworts ein.

passwd

New password:

Retype new password:

passwd: password updated successfully

5 Starten Sie die Appliance neu. reboot -f

n Nach dem Start der Appliance melden Sie sich als Root-Benutzer mit dem neu festgelegtenKennwort an.

Über das Grub2-KennwortSie können das Grub2-Kennwort für Ihre Root-Anmeldung verwenden.

Das Grub2 Bearbeiten-Kennwort wird ab Unified Access Gateway 3.1 standardmäßig festgelegt.

Der Benutzername lautet „Root“ und das Kennwort ist mit dem Root-Kennwort, das Sie während derBereitstellung von Unified Access Gateway konfiguriert haben, identisch. Dieses Kennwort wird niezurückgesetzt werden, es sei denn, Sie setzen es ausdrücklich durch Anmelden bei der Maschine zurück.

Hinweis Durch manuelles Ändern des Root-Kennworts durch Anmelden bei der Maschine mithilfe vonbeliebigen Befehlen wird das Grub2-Kennwort nicht zurückgesetzt. Sie schließen sich gegenseitig aus.Nur während der Bereitstellung wird dasselbe Benutzerkennwort für beide (mit Version UAG 3.1 undhöher) festgelegt.

Erfassen von Protokollen auf der Unified Access Gateway-ApplianceLaden Sie die UAG-log-archive.zip-Datei über den Abschnitt „Support-Einstellungen“ in derVerwaltungsoberfläche herunter. Die ZIP-Datei enthält alle Protokolle Ihrer Unified Access Gateway-Appliance.


VMware, Inc. 182

Festlegen der ProtokollierungsebeneSie können die Einstellungen für die Protokollebene über die Verwaltungsoberfläche festlegen. WechselnSie zur Seite Support-Einstellungen und wählen Sie Einstellungen auf Protokollebene aus. Diefolgenden Protokollebenen können generiert werden: INFO, WARNUNG, FEHLER und DEBUG.Standardmäßig ist die Protokollebene INFO eingestellt.

Im Folgenden wird der Typ der auf jeder Protokollebene erfassten Informationen beschrieben.

Tabelle 7-5. Protokollierungsebenen

Ebene Typ der erfassten Informationen

INFO Die INFO-Ebene umfasst Informationsmeldungen, die den Fortschritt des Diensts angeben.

FEHLER Die FEHLER-Ebene umfasst Fehlerereignisse, wobei der Dienst möglicherweise trotzdemnoch ausgeführt werden kann.

WARNUNG Die Ebene WARNUNG umfasst potenziell gefährliche Situationen, die behoben oder ignoriertwerden können.

DEBUG Legt Ereignisse fest, die in der Regel zum Beheben von Problemen, zum Anzeigen oderBearbeiten des internen Status der Appliance und zum Testen des Bereitstellungsszenariosin Ihrer Umgebung nützlich sind.

Erfassen von ProtokollenLaden Sie die ZIP-Dateien mit den Protokollen über den Abschnitt „Support-Einstellungen“ in derVerwaltungsoberfläche herunter.

Diese Protokolldateien wurden aus dem Verzeichnis /opt/vmware/gateway/logs der Appliance erfasst.

Die folgende Tabelle enthält Beschreibungen der verschiedenen in der ZIP-Datei enthaltenen Dateien.

Tabelle 7-6. Dateien mit Systeminformationen für die Fehlerbehebung

Dateiname Beschreibung Linux-Befehl (sofern zutreffend)

rpm-version.log Version der Unified Access Gateway-Appliance.

ipv4-forwardrules IPv4-Weiterleitungsregeln auf der Appliance konfiguriert.

df.log Enthält Informationen zur Nutzung von Festplattenspeicher aufder Appliance.

df -a -h --total

netstat.log Enthält Informationen zu offenen Ports und vorhandenen TCP-Verbindungen.

netstat -anop

Netstat s.log Netzwerkstatistiken (gesendete/empfangene Bytes usw.) vomZeitpunkt der Erstellung der Appliance.

netstat -s

Netstat r.log Statische Routen, die auf der Appliance erstellt werden. netstat -r

uag_config.json,

uag_config.ini,

uagstats.json

Gesamte Konfiguration der Unified Access Gateway-Appliance,in der alle Einstellungen als JSON- und INI-Datei angezeigtwerden.

ps.log Enthält die Prozesse, die zum Zeitpunkt des Herunterladens derProtokolle ausgeführt werden.

ps -elf --width 300

ifconfig.log Konfiguration der Netzwerkschnittstelle für die Appliance. ifconfig -a


VMware, Inc. 183

Tabelle 7-6. Dateien mit Systeminformationen für die Fehlerbehebung (Fortsetzung)


free.log RAM-Verfügbarkeit zum Zeitpunkt des Herunterladens derProtokolle.

free

Top.log Liste der Prozesse sortiert nach Arbeitsspeichernutzung zumZeitpunkt des Herunterladens der Protokolle.

top -b -o %MEM -n 1

iptables.log IP-Tabellen für IPv4. iptables-save

ip6tables.log IP-Tabellen für IPv6. ip6tables-save

w.log Informationen zu Betriebszeit, zu Benutzern, die sich derzeit aufder Maschine befinden, und ihren Prozessen.

w

systemctl.log Liste der Dienste, die derzeit auf der Appliance ausgeführtwerden

systemctl

resolv.conf Zum direkten Verbinden lokaler Clients mit allen bekanntenDNS-Servern

hastats.csv Enthält Statistiken pro Knoten und die Gesamtstatistiken fürjeden Back-End-Typ (Edge Service Manager, VMware Tunnel,Content Gateway)

Tabelle 7-7. Protokolldateien für Unified Access Gateway


supervisord.log Supervisor-Protokoll (Manager für den Edge-Dienst-Manager,Admin und AuthBroker).

Esmanager-x.log,

Esmanager-std-out.log

Edge-Dienst-Manager-Protokolle anzeigen Back-End Prozessean, die auf der Appliance durchgeführt werden.

audit.log Überwachungsprotokoll für alle Admin-Benutzer-Vorgänge.

authbroker.log Enthält Protokollmeldungen aus dem AuthBroker-Prozess, derRADIUS- und RSA SecurID-Authentifizierung behandelt.

Admin.log Admin-std-

out.log

Admin-GUI-Protokolle. Enthält Protokollmeldungen desProzesses, der die Unified Access Gateway-REST-API auf Port9443 bereitstellt.

bsg.log Enthält Protokollmeldungen aus dem Blast Secure Gateway.

SecurityGateway_xxx.l

og

Enthält Protokollmeldungen aus dem PCoIP Secure Gateway.

utserver.log Enthält Protokollmeldungen aus dem UDP Tunnel-Server.

activeSessions.csv Liste der aktiven Horizon- oder WRP-Sitzungen.

haproxy.conf Enthält die HA-Proxy-Konfigurationsparameter für diegemeinsame TLS-Portnutzung.

vami.log Enthält Protokollmeldungen der Ausführung von vami-Befehlenzum Festlegen von Netzwerkschnittstellen während derBereitstellung.


VMware, Inc. 184

Tabelle 7-7. Protokolldateien für Unified Access Gateway (Fortsetzung)


content-gateway.log,

content-gateway-

wrapper.log,

0.content-gateway-

YYYY-mm.dd.log.zip

Enthält Protokollmeldungen von Content Gateway.

admin-zookeeper.log Enthält Protokollmeldungen zum Daten-Layer für das Speichernder Unified Access Gateway-Konfiguration.

tunnel.log Enthält Protokollmeldungen aus dem Tunnelprozess, der als Teilder XML-API-Verarbeitung verwendet wird. Sie müssen in denHorizon-Einstellungen Tunnel aktiviert haben, um diesesProtokoll anzeigen zu können.

tunnel-snap.tar.gz TAR-Datei, die VMware Tunnel Server- und Proxy-Protokolleenthält.

aw-appliance-

agent.log

Appliance-Agent-Protokolle (für den Start von Workspace ONEUEM-Diensten).

config.yml Enthält Content Gateway-Konfigurations- und -Protokolldetails.

smb.conf Enthält die SMB-Clientkonfiguration.

smb-connector.conf Enthalten SMB-Protokoll- und Protokollierungsdetails.

Die Protokolldateien mit der Endung „-std-out.log“ enthalten Informationen für stdout vonverschiedenen Prozessen und sind in der Regel leer.

Unified Access Gateway-Einstellungen exportierenExportieren Sie Unified Access Gateway-Konfigurationseinstellungen in JSON- und INI-Formaten von derAdmin-UI.

Sie können alle Unified Access Gateway-Konfigurationseinstellungen exportieren und sie im JSON- oderINI-Format speichern. Sie können die exportierte INI-Datei zur Bereitstellung von Unified Access Gatewaymit Powershell-Skripten verwenden.

Verfahren

1 Navigieren Sie zu Support-Einstellungen > Unified Access Gateway-Einstellungen exportieren.

2 Klicken Sie auf JSON oder INI, um die Unified Access Gateway-Einstellungen im gewünschtenFormat zu exportieren. Klicken Sie zum Speichern der Einstellungen in beiden Formaten auf dieSchaltfläche Protokollarchiv .

Die Dateien werden standardmäßig im Ordner „Downloads“ gespeichert.

Importieren von Unified Access Gateway-EinstellungenDie Admin-Benutzeroberfläche von Unified Access Gateway bietet eine Option zum Exportieren derKonfigurationseinstellungen im JSON-Format. Nach dem Exportieren der Konfigurationseinstellungen im


VMware, Inc. 185

JSON-Format können Sie die exportierte JSON-Datei verwenden, um eine neu bereitgestellte Version derUnified Access Gateway-Appliance zu konfigurieren.

Verfahren

1 Navigieren Sie zu Support-Einstellungen>Unified Access Gateway-Einstellungen exportieren.

2 Klicken Sie auf „JSON“, um die Unified Access Gateway-Einstellungen in das JSON-Format zuexportieren.

Die Datei wird standardmäßig im Ordner „Downloads“ gespeichert

3 Löschen Sie die alte Unified Access Gateway-Appliance oder versetzen Sie sie in den Ruhemodus,um sie zu einem späteren Zeitpunkt zu löschen.

4 Bereitstellen der neuen Version der Unified Access Gateway-Appliance

5 Importieren Sie die JSON-Datei, die Sie zuvor exportiert haben.

Fehlerbehebung: Content GatewayMöglicherweise treten Probleme beim Konfigurieren von Content Gateway in Ihrer Umgebung auf. Siekönnen das Problem anhand des Verfahrens diagnostizieren und beheben.

Problem mit der Synchronisierung, dem Download und demUpload für Benutzer, die auf NetApp-Servern gehostete Freigabenverwenden.Um die Konfigurationsdatei manuell zu ändern, führen Sie diese Schritte aus:

1 Melden Sie sich beim vSphere Client an.

2 Öffnen Sie die Unified Access Gateway-Konsole, auf der Content Gateway konfiguriert ist.

3 Navigieren Sie zu /opt/airwatch/content-gateway/conf.

4 Bearbeiten Sie die Datei config.yml.

5 Ändern Sie den Wert für Parameter aw.fileshare.jcifs.active in true. Der Standardwert lautetfalse.

6 Starten Sie den Content-Gateway-Dienst neu mit dem Befehl

$ service content-gateway restart

Fehlerbehebung bei HochverfügbarkeitMöglicherweise treten Probleme beim Konfigurieren der Hochverfügbarkeit in Ihrer Umgebung auf. Siekönnen diese Probleme anhand mehrerer Verfahren diagnostizieren und korrigieren.

1 Melden Sie sich bei der Unified Access Gateway-Konsole an.


VMware, Inc. 186

2 Führen Sie den Befehl ip addr aus, um festzustellen, ob die konfigurierte virtuelle IP-Adresse dereth0-Schnittstelle zugewiesen ist.

3 Stellen Sie sicher, dass die virtuelle IP-Adresse demselben Subnetz wie die eth0-Schnittstellezugewiesen ist. Stellen Sie sicher, dass sie vom Client Computer aus erreichbar ist. WennKonnektivitätsprobleme auftreten, könnte es daran liegen, dass die virtuelle IP-Adresse nichteindeutig ist und bereits einer physische oder virtuellen Maschine zugewiesen wurde.

4 In der Datei haproxy.conf im Protokollpaket ist die Konfiguration im Zusammenhang mit demaktuellen Cluster verfügbar. Beispiel:

server uag1 127.0.0.1:XXXX .....

server uag2 <IP of machine 2>:XXXX ....

server uag3 <IP of machine 3>:XXXX ....

Die Back-End-Konfiguration basiert auf den für Unified Access Gateway konfigurierten Einstellungen.

n lb_esmanageris für Horizon- und Web-Reverse-Proxy-Anwendungsfälle.

n lb_cg_server ist für Content Gateway-Anwendungsfälle.

n lb_tunnel_server ist für Tunnel-Anwendungsfälle.

5 In der Datei haproxy.conf im Protokollpaket finden Sie die Details zur Quelle der Client-Verbindung,zur entsprechenden gesendeten Verbindung und zum Unified Access Gateway-Server, der dieVerbindungen verarbeitet. Beispiel:

2018-11-27T07:21:09+00:00 ipv6-localhost haproxy[15909]:

incoming:::ffff:<IP of Client:xxxx> backend:lb_esmanager

connecting-server:uag2/<IP of uag2> connecting-through:<IP of master

node:xxxx> wait-time:1 connect-time:0 total-incoming:1 total-outgoing:1

total-to-server:1

6 Um die Statistiken anzuzeigen, finden Sie in weitere Informationen unter Erfassen von Protokollenauf der Unified Access Gateway-Appliance.

Tabelle 7-8. Beispiel für eine CSV-Datei

Spaltenname Beschreibung

scur Gibt die aktuelle Anzahl der gleichzeitigen Verbindungen an, die von diesem Server verarbeitet werden.

smax Höchstwert der gleichzeitigen Verbindungen, die von diesem Server während der aktuellen Betriebszeitverarbeitet werden.

stot Gibt die Gesamtanzahl der Verbindungen an, die von diesem Server während der aktuellen Betriebszeitverarbeitet werden.

bin Gibt die Gesamtanzahl der an diesen Server gesendeten Bytes an.

bout Gibt die Gesamtanzahl der von diesem Server empfangenen Bytes an.

status Gibt den Status des Servers an. Beispielsweise, ob er ein- oder ausgeschaltet ist. Dies basiert auf der letztenIntegritätsprüfung, die auf diesem Server ausgeführt wurde.


VMware, Inc. 187

7 In den folgenden Fällen können mehrere Probleme bei der Master-Knoten-Auswahl angezeigtwerden,

n Es wurde eine andere Gruppen-ID oder virtuelle IP-Adresse auf den Knoten konfiguriert, die denCluster bilden sollen.

n Die virtuelle IP-Adresse und eth0 befinden sich in einem anderen Subnetz.

n Es wurden mehrere Netzwerkkarten für Unified Access Gateway im selben Subnetz konfiguriert.

Fehlerbehebung bei Sicherheitsrisiken: EmpfohleneVorgehensweisenWenn der Dienst erkennt, dass Sie ein Lastausgleichsgerät für Ihre Webserver verwenden, stellt diesezusätzliche Information über Ihr Netzwerk eine Schwachstelle dar. Sie können diese Probleme anhandmehrerer Verfahren diagnostizieren und korrigieren.

Verschiedene Techniken werden verwendet, um das Vorhandensein eines Lastausgleichsgeräts zuerkennen, einschließlich HTTP-Header-Analyse und Analyse der IP-Lebensdauerwerte (TTL), IP-Identifizierungswerte (ID) und TCP Initial Sequence Numbers (ISN). Die genaue Anzahl der Webserver,die hinter einem Lastausgleichsgerät angeordnet sind, ist schwer zu bestimmen, sodass die gemeldeteAnzahl möglicherweise nicht genau zutrifft.

Darüber hinaus ist bekannt, dass Netscape Enterprise Server Version 3.6 ein fehlerhaftes Feld "Date:"im HTTP-Header anzeigt, wenn der Server mehrere Anfragen erhält. Dies erschwert dem Dienst, durchdie Analyse der HTTP-Header festzustellen, ob ein Lastausgleichsgerät vorhanden ist.

Darüber hinaus kann das Ergebnis der Analyse von IP-ID- und TCP-ISN-Werten aufgrundunterschiedlicher Netzwerkbedingungen zum Zeitpunkt der Prüfung variieren. Durch die Ausnutzungdieser Schwachstelle kann ein Eindringling diese Informationen in Verbindung mit anderen Angabenverwenden, um komplexe Angriffe auf Ihr Netzwerk zu starten.

Hinweis Wenn die hinter einem Lastausgleichsgerät angeordneten Webserver nicht identisch sind,können die Prüfergebnisse für die HTTP-Schwachstellen von Prüfung zu Prüfung variieren.

n Unified Access Gateway ist eine Appliance, die normalerweise in einer demilitarisiertenNetzwerkzone (DMZ) installiert wird. Die unten beschriebenen Schritte helfen Ihnen, Unified AccessGateway vor Schwachstellenprüfungen zu schützen, die nach diesem Problem suchen.

n Um zu verhindern, dass das Vorhandensein eines Lastausgleichsgeräts anhand einer HTTP-Header-Analyse erkannt wird, sollten Sie das Network-Time-Protocol (NTP) verwenden und dieUhren auf allen Ihren Hosts (zumindest in der DMZ) synchronisieren.

n Um die Erkennung durch eine Analyse von IP-TTL-Werten, IP-ID-Werten und TCP-ISN-Wertenzu verhindern, können Sie Hosts mit einer TCP/IP-Implementierung verwenden, die zufälligeZahlen für diese Werte generiert. Die meisten heute erhältlichen Betriebssysteme verfügenjedoch nicht über eine solche TCP/IP-Implementierung.


VMware, Inc. 188

Documents

17. SEPT. 2019 Unified Access Gateway 3 - docs.vmware.com · n Unified Access Gateway 3.5 und höher enthält eine optionale sshEnabled-INI-Eigenschaft. Durch Festlegen von sshEnabled=true