本地安装包-uag-29deploy config guide在被替代之前支持列出每个产

© VMware,Inc.保留所利。和商标信息VMware,Inc.PaloAlto,CA

融科资讯中心C座南8层

市浦东新区浦东南路999号新梅联合广场23楼

广州广州市天河北路233中信广场7401部署和配置VMwareUnifiedAccess 准备部署VMwareUnifiedAccess UnifiedAccessGateway作为安全网关使用UnifiedAccessGateway代替虚拟网络8UnifiedAccessGateway系统和网络要求8基于DMZ的UnifiedAccessGateway设备的规则9UnifiedAccessGateway负载平衡拓扑11具有多个网UnifiedAccessGatewayDMZ设计零停机时间升级UnifiedAccessGateway设备OVF模板向导部UnifiedAccessGatewayOVF模板向导部UnifiedAccessGatewayUnifiedAccessGatewayUnifiedAccessGateway系统设置更新SSL服务器签名使用 部署UnifiedAccess 部署UnifiedAccessGateway的系统要求 部署UnifiedAccessGateway设备UnifiedAccessGateway部署用例HorizonView和具有内部部署基础架HorizonCloud进行部署Horizon设置BlastTCPUDPURL配置选项作为反向部署配置反向内部部署的旧版Web应用程序的单点登录部署桥接部署方案配置桥接设置配置用于桥接的Web反向UnifiedAccessGateway服务提供程序元数据文件添加VMwareIdentityManager服务使用AirWatchTunnel部署42AirWatch的加密链路部署42中继端点部署模型43AirWatch的每应用隧道部署为AirWatch配置每应用隧道和设置使用TLS/SSL配置UnifiedAccess 为UnifiedAccessGateway设备配置TLS/SSL选择正确的类型将文件转换为单行PEM格式替换UnifiedAccessGateway的默认TLS/SSL服务器更改用于TLS或SSL通信的安全协议和套件在DMZ中配置验证在UnifiedAccessGateway设备上配置或智能卡验证在UnifiedAccessGateway上配 验证获取颁发机构在UnifiedAccessGateway中配置RSASecurID验证UnifiedAccessGatewayRADIUS配置RADIUS验证在UnifiedAccessGateway中配置RSA自适应验证在UnifiedAccessGateway中配置RSA自适应验证UnifiedAccessGatewaySAML元数据创建由其他服务提供程序使用的SAML验证器将服务提供程序SAML元数据到UnifiedAccessGatewayUnifiedAccessGateway部署故障排除已部署服务的运行状况部署错误故障排除UnifiedAccessGateway设备收集日志索引部署和配置VMwareUnifiedAccessUnifiedAccessGateway提供了有关设计VMwareHorizon®、VMwareIdentityManagerVMwareAirWatch®部署以使用VMwareUnifiedAccessGateway™对您的组织的应用程序进行安全外部的信息。,南还提供了部署UnifiedAccessGateway虚拟设备以及在部署后更改配置设置的说明目标读数据中心操作且经验丰富的Linux和Windows系统管理员编写的。1准备部署VMwareUnifiedAccessGateway1注意VMwareUnifiedAccessGateway®以前称VMwareAccessPoint。 UnifiedAccessGateway作为安全网UnifiedAccessGateway是通常安装在区(DMZ)中的设备。UnifiedAccessGateway用于确保仅经过严UnifiedAccessGatewayDMZ而设计。它实施了以下强化设置。n的Linux内核和软件修补程序nInternet和内联网流量的多网卡支 n使用UnifiedAccessGateway代替虚拟网n控制管理器。UnifiedAccessGateway自动应用规则。UnifiedAccessGateway可识别进行内部连接所需的用户和寻址。同样如此，因为大部分允许管理员为每个用户或用户组单独配置网络连接规则。一开始，使用没有什么问题，但需要投入大量的管理工作以所需的规则。 UnifiedAccessGateway，在启动HorizonClient时，经过验证的用户位于其View环境中，并且可以控制对其桌面和应用程序的。要求在启动HorizonClient之前，必须首先设置软件并单n性能。UnifiedAccessGatewayUnifiedAccessGateway中，可(TransportLayerSecurityTLS)的情况下被视为是安全或IPsec（而不是SSL/TLS）的也可以良好地使用View桌面协议。UnifiedAccessGateway系统和网络要VMware行说明以了解有关兼容性的信息，同时还请参阅《VMware产品互操作性列表》，其为 ESXiServer注意认以更改这些设置，但VMware建议您不要将CPU、内存或磁盘空间更改为小于默认OVF设置的值。 nIP地址（推荐）nDNS服务器的IP地址nroot用户的 admin用户 WindowsHyper-V装UnifiedAccessGateway设备。受支持的服务器为WindowsServer2012R2和WindowsServer2016您可以使用一个、两个或接口，并且UnifiedAccessGateway要求每个接口具有单独的静态IP地址。n(ProofOfConceptPOC或测试。在使用一个网卡时，外部、内部和管理流n在使用n使用接口是最安全的选项。在使用三个网卡时，外部、内部和管理流量均位于自己的子网中IP池选项卡。或者，如果您使用的vSphereWebClient，则可以创建网络协议配置文件。转到数据中心器中使用管理UIUnifiedAccessGateway时，管理UI服务不会启动。轮换UnifiedAccessGateway的日志。您必须使syslog来保留这些日志条目。65UnifiedAccessGateway设备收集日志”。基于DMZ的UnifiedAccessGateway设备的规程中，UnifiedAccessGateway服务的默认设置是在特定网络端口进行侦听。 DMZ。 仅接受DMZ内的服务产生的流量。UnifiedAccessGateway设备。如果您使用Blast协议，则必须在中打开端口8443，但是您也可以为Blast配置端口443。端门源目说UnifiedAccessWeb流量、HorizonClientXML-API、Horizon隧道和BlastExtremeUnifiedAccessUDP（可选UnifiedAccessBlastExtreme（可选UnifiedAccessBlastTCPUnifiedAccessPCoIP（可选UnifiedAccessHorizonHorizonClientXML-TCPUnifiedAccess桌面和RDS主BlastTCPUnifiedAccess桌面和RDS主PCoIP（可选UnifiedAccess桌面和RDS主USB重定向的框架UnifiedAccess桌面和RDS主MMR管理UnifiedAccess管理界注意UDP端口均要求允许转发数据报和回复数据报 1‑1DMZ拓扑中UnifiedAccess网

ESXi主

UnifiedAccessGateway负载平衡拓器。UnifiedAccessGateway设备可以使用为HTTPS配置的标准第负载平衡解决方案。器可能会根据可用性以及负载平衡器识别的每个服务器实例上的当前会话数进行选择。位于企业内部的服务器实例通常具有负载平衡器以支持内部。在使用UnifiedAccessGateway时，您可以将或者，您也可以将一个或多个UnifiedAccessGateway设备指向单个服务器实例。在这两种方法中，将在中的一个或多个UnifiedAccessGateway设备前面使用负载平衡器1‑2位于负载平衡器后面的UnifiedAccessGateway设服务RDS主VMwareHorizon 如果该验证尝试成功，则从HorizonClient中建立一个或多个辅助连接。这些辅助连接可能包括： BlastExtreme显示协议（TCP443、TCP8443、UDP443UDP PCoIP显示协议（TCP443、UDP443）UnifiedAccessGateway可以根据经过验证的用户会话辅助协议。UnifiedAccessGateway的一个重要安全功能是，只有在流量是经过验证的用户产生的流量时，UnifiedAccessGateway才会将流量转发到这些协议并DMZ中丢弃。连接将失败。如果未正确配置负载平衡器，则通常会出现错误地路由辅助协具有多个网卡的UnifiedAccessGatewayDMZ设LAN上打开的端口数并将不同类型的网络流量分开，则可以显著提高安全性。优点主要在于在深度防御DMZ安全设计策略中将不同类型的网络流量分开并。可以在DMZ中实施单独的物理交换机DMZ中使用多LAN或作VMwareNSX管理DMZ的一部分以实现该功能。DMZ最简UnifiedAccessGateway部署是使用单个网卡，所有网络流量将合并到单个网络上。来自量通过内部转发到内部网络上的资源。UnifiedAccessGateway将放弃未的流量。1‑3UnifiedAccessGateway单网网内单个网内单个组合网Gateway设备负载平衡UnifiedAccess1‑4UnifiedAccessGateway双网网内前端网内前端网Gateway设负载平衡过验证的后端UnifiedAccessGateway设备在双网卡部署中，UnifiedAccessGateway必须对通过内部进入内部网络的流量进行。未的流量不会传送到该后端网络上。管理流量（UnifiedAccessGateway的RESTAPI）仅位于该第二个网络UnifiedAccessGateway。它4层规则与第7UnifiedAccessGateway安全功能合并在一起。同样，如果错误地将面Internet的配置为TCP9443Internet用户在双网卡部署中，可以在DMZ中的后端网络上放置额外的基础架构系统（如DNS服务器、RSASecurID置在DMZ中，可以防范从受到的前端系统中的面向Internet的LAN发出的第2层，并有效地减少Internet的显示协议流量与流入和流出后端系统的流量合并在一起。在使用两个或网卡时，流量分布1‑5UnifiedAccessGateway三网负载平衡前负载平衡前端网Gateway设备管理网内网将验证开的三网卡AccessGateway设零停机时间升通过零停机时间升级，您可以在用户没有任何停机时间的情况下升级UnifiedAccessGateway。在升级到负载平衡器的请求将被发送到负载平衡器背后的下一UnifiedAccessGateway设备。 URLUnifiedAccessGateway 在负载平衡器中检查设备的运行状况。键入RESTAPI命令GET:HTTP/1.1503。该新版本的UnifiedAccessGateway设备添加到负载平衡器。部署UnifiedAccessGateway设 2012和2016Hyper-V角色。nvSphereClientvSphereWebClientUnifiedAccessGatewayOVF模板。将提示您输入基本设置，包括网卡部署配置、IP地址和管理界面。在部署OVF后，到UnifiedAccessGateway管理用户界面以配置UnifiedAccessGateway系统设置，在多种用Edge服务，然后在DMZ中配置验证。请参阅第18页，“使用OVF模板向导部署UnifiedAccessGateway”。n可以使用PowerS 部署UnifiedAccessGateway，并在多种用例中设置安全Edge服务。请ZIP文件，为您的环境配置PowerS 第23页，“使用PowerS部署UnifiedAccessGateway设备”。注意AirWatch环境UnifiedAccessGateway设备用于每应用隧道和部署时，您可以WindowsHyper-V虚拟机上安装UnifiedAccessGateway。n17页，“使用OVF模板向导部署UnifiedAccessGateway”n20UnifiedAccessGateway”n第22页，“更新SSL服务器签名”使用OVF模板向导部署UnifiedAccess理UI中，配置桌面和应用程序资源与验证方法以在DMZ中使用它们。要登录到管理UI页面，请转到OVFUnifiedAccess注意vSphereClient，请确认为每个网络分配了一IP池。vCenterServer中使用本机 从VMware（为htt WebClient。选 菜单命vSphere 选择文件部署OVF模板vSphereWeb 选择作为虚拟机的有效父对象的任 对象（如数据中心、文件夹、群集资源池或主机），然后从操作菜单中选择部署OVF模板选 说 为UnifiedAccessGateway虚拟设备输入一个名称。该名称必须是 为虚拟设备选择一个位置 对于IPv4网络，您可以使用一个、两个或接口(NIC)。对于IPv6网络，可以使用三个网卡。UnifiedAccessGateway要求每个网卡具有一个单独的静态IP地址。许多DMZ实施使用不同的网络保护不同的流量类型。根据UnifiedAccessGateway部署所在的DMZ的网络设计对其进行配置主机/群 选择要在其中运行虚拟设备的主机或群集格式 对于评估和测试环境，请选择精简备格式。对于生产环境，选择杂备格式之一。厚置备置零是一种厚拟磁盘格式，它支持群集能（容错），但所需的创建时间比其他类的虚拟磁盘长得多。选 说设置网络/网络映 如果您使用的是vSphereWebClient，可以在“设置网络”页面上将每个卡映射到一个网络，并指定协议设置将OVF模板中使用的网络映射到您中的网络从IP协议下拉列表中选择“IPv4”或“IPv6在表格(Internet)中选择第一行，然后单击向下箭头选择目标网络。如果您选择“IPv6”作为IP协议，则必须选择具备IPv6功能的网络。选择此行后，您也可以在窗口的下半部分输入DNS服务器的IP地址、如果您使用多个网卡，请选择下一行(MaaeentNetwr)，选择目DSP掩码。如果您仅使用一个网卡，所有行将映射到同一个网络如果您有第三个网卡，还应选择第三行并完成设置如果您仅使用两个网卡，则对于第三行(BackendNetwork)，请选择用ManagementNetwork的相同网络对于vSphereWebClient，在完成向导后，将自动创建一个网络协议配置文如果您使用本机vSphereClient，可以在“网络映射”页面上将每个网卡映射到一个网络，但此页面没有用于指定DNS服务器、网关和网络掩码地址的自定义网络属性 “属性”页面上的文本框特定于Uiedcesaea，其他类的虚拟设备可能并不需要。向导页面上的文本对每个设置进行了说明。如果在向导右侧截断了该文本，请从右下角拖以调整窗口大小。nIPMode:STATICV4/STATICV6。如果您输STATICV4，则必须输入n以逗号分隔的格{tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu的转发规则列表n1ETH0IPv4地址。如果您为网卡模式输入了STATICV4，则应输入网卡的IPv4地址。 以逗号分隔的格式为ipv4-network-address/bits.ipv4-gateway-的网卡1eth0IPv4自定义路由列n网卡1(eth0)IPv6地址。如果您为网卡模式输入了STATICV6，则应输入网卡的IPv6地址。nDNS服务器地址。为UnifiedAccessGateway设备输入服务器的以IPv4或IPv6地址。IPv4。IPv6fc00:10:112:54::1n网卡2(eth1)IPv4地址。如果您为网卡模式输入了STATICV4，则应输入网卡的IPv4地址。n以逗号分隔的格ipv4-network-address/bits.ipv4-gateway-的网卡2eth1IPv4自定义路由列n网卡2eth1IPv6地址。如果您为网卡模式输入了STATICV6，则应输入网卡的IPv6地址。n网卡3eth2IPv4地址STATICV4，则应输入网卡的IPv4地址。 以逗号分隔的格式为ipv4-network-address/bits.ipv4-gateway-的网卡3eth2IPv4自定义路由列n网卡3eth2IPv6地址STATICV6，则应输入网卡的IPv6地址。n选项。输入该虚拟机的root用户的，以及管理控制台并启用RESTAPI的管理员用户的。n选项。为登录到管理UI配置UnifiedAccessGateway的管理用户和可以启用RESTAPI权限的管理员用户输入。其他设置均为可选或已输入默认值的设置上的控制台，以查看在系统引导期间显示的控制台消息。/var/log/boot.msg文件中也提供了这些消息的登录到UnifiedAccessGateway管理员用户界面(UserInterface,UI)，然后配置允许从Internet中通过URL的格式为https://<mycoUnifiedAccessGa 如果您无法UI登录屏幕，请检查虚拟机OVAIP地址。如果没有IP地址，请使UIvami命令重新配置网卡。运行命cd/opt/vmware/share/vami"，然后运行命令"./vami_config_net"。从管理配置页面中配置UnifiedAccess n用于Horizon、反向、每应用隧道以及AirWatch设置的Edge服务设置。n用于RSASecurID、RADIUS、X.509以及RSA自适应验证的验证设置nSAML提供程序和服务提供程序设置n桥接设置配 n UnifiedAccessGatewayUnifiedAccessGateway管理员用户界URL使用的格式 配置的管理员用户名和。 选 默认值和说区域设 指定在生成错误消息时使用的区域设置nen_US表示英语nja_JP表示日语nfr_FR表示法语nde_DE表示德语 表示简体中文nzh_TW表示繁体中文nko_KR表示韩语 是在部署设备时设置的。您可以重置 长度必须至少为8个数字和一个特殊字符，包括@$*套大多数情况下，不需要更改默认设置。这是用于加密客UifiedAccessateway设备之间的通信的加密算法。设置用于启用各种不同的安全协议。遵顺默认值为“否”。选择是以启用TLS列表顺序控制TLS1.0已启 默认值为“否”。选择是以启用TLS1.0安全协议TLS1.1已启 默认值为“是”。将启用TLS1.1安全协议TLS1.2已启 默认值为“是”。将启用TLS1.2安全协议SyslogURL 输入用于记录UnifiedAccessGateway事件的Syslog服务器URL。该值可以是URL、主机名或IP地址。如果未设置syslog服务器URL，则不会记录任何事件。输入为syslog://s 运行状况检查 输入负载平衡器连接到的URL并检查UnifiedAccessGateway的运行状况例如 要缓存 UnifiedAccessGateway缓存的一 。默认值为“无”IP模 选择静态IP模式STATICV4或STATICV6会话超 默认值 毫秒时间间默认值为60 执行升级时，只有在将UnifiedAccessGateway与负载平衡器一起使用的情时间间默认值为60请求超 默认设置为3000正文接收超 默认为5000为部署UnifiedAccessGateway时使用的组件配置Edge服务设置。在配置Edge设置后，请配置验证设置更新SSL服务器签名 在“链”行中，单击选择并浏览到链文件3使用PowerS部署UnifiedAccessGateway3可以使用PowerS 部署UnifiedAccessGateway。PowerS 在使用PowerS 确令行语法。这种方法还允许在部署时应用高级设置，例如，TLS/SSL服务器配置。 使用PowerS部署UnifiedAccessGateway的系统要 vCenterServervSphereESX 您必须从http 您必须选择要使用的vSphere数据和网络。子网掩码、网关，等等。部署UnifiedAccessGateway时需使用这些值，因此请确保这些值正确无误。使用PowerS部署UnifiedAccessGateway设 图3‑1PowerS示该zip文件位于 注意环境中的多个部UnifiedAccessGateway都有其唯一.INI文件。您必须.INI文件中相应地更改IP地址和名称参数，才能部署多个设备。 ds=LocalDisk1netInternet=VMNetworknetManagementNetwork=VMNetworknetBackendNetwork=VMNetworkproxyDestinationUrl=#ForIPv4,proxydestinationURL=#ForIPv6,proxyDEstinationUrl=[fc00:10:112:54::220]set-executionpolicy-scopecurrentuserunblock-file-path.\apdeploy.ps1-iniFile注意注意如果提示您为目标设备添 UnifiedAccessGateway部署用 AirWatch部署UnifiedAccessGateway。 第32页，“作为反向部署 使用HorizonView和具有内部部署基础架构的HorizonCloud进行您可以使HorizonView和具有内部部署基础HorizonCloudUnifiedAccessGateway。对于部部署的HorizonView或HorizonCloud实现统一管理。UnifiedAccessGateway为企业提供了强大的用户安全保障，并且还能精确控制对他们已获的桌面和UnifiedAccessGateway虚拟设备还确保可以将经过验证的用户产生的流量仅传送到用户 您必须验证使HorizonUnifiedAccessGateway的要求 确保显示协议能够自动通过UnifiedAccessGateway作为。BlastExternalURL和pcoipExternalURL UnifiedAccessGateway忽略未 n可扩展。您可以UnifiedAccessGatewayViewView连接服务器前的负载平衡器进行连接，从而增强高可用性。它作为HorizonClientView连接服务器之间的4‑1指向负载平衡UnifiedAccessGateway设网

ESXi主

4‑2HorizonServerUnifiedAccessGateway设IdentityWorkspaceONE

服

ActiveDirectory用户名 Kiosk模式。有关Kiosk模式的详细信息，请参见Horizon文档 RSASecurID双因素验证，通过了RSAforSecurID正式认证 通过一系列第、双因素安全供应商解决方案实现的RADIUS 智能卡、CAC或PIVX.509用户 进行通信。该通信作为通过View连接服务器的，该服务器可以直接ActiveDirectory。在根据验证策略对用户会话进行验证后，UnifiedAccessGateway可以将信息请求以及桌面和应用程序启动请求View连接服务器。UnifiedAccessGateway还管理其桌面和应用程序协议处理程序，以允许它们仅转UnifiedAccessGateway本身可以处理智能卡验证。这包括一些选项，UnifiedAccessGateway使用这些选项与状态协议(OnlineStatusProtocol,OCSP)服务器进行通信，以检查X.509吊销HorizonVMwareHorizonView组件，UnifiedAccessGateway设备View安全服务器以前担任选 说 默认情况下，设置为View。UnifiedAccessGateway可与使用ViewXML协议的服务器进行通信，例如View连接服务器、HorizonCloud和HorizonCloudwithOn-PremisesInfrastructure。连接服务器 目标 输入HorizonServer列表如果未提供列表，则必须由受信任的CA颁发服务器。输入十六进制数字。例如，sha1=C389A219DC7A482B851C81EC5E8F6A3C33F295C3选 说选择要使用 验证方法默认设置是使用用户名 的直 验证。将在下拉菜单中列出UnifiedAccessGateway中配置 验证方法要配置在第一个验证尝试失败应用第二种验证方法证请执行以下操作从第一个下拉菜单中选择一种验证方法单击+并选择“和”或“或”从第三个下拉菜单中选择第二种验证方法要要求用户通过两种验证方法行验证，请在下拉菜中将或更改为“和”。运行状况检查 如果配置了一个负载平衡器，请输入该负载平衡器连接时使用的URL并检UnifiedAccessGateway设备运行状况SAMLSP 输入ViewXMLAPI 的SAML服务提供程序名称。该名称必须与配置的服务提供程序元数据的名称相匹配，或者是特殊值DEMO。PCOIP已启 将“否”更改为是以指定是否启用PCoIP安全网关选 说外部外部UnifiedAccessGateway设备的外部URL。客户端使用该URLPCoIP安全网关建立安全连接。该连接用于传输PCoIP流量。默认值UnifiedAccessGatewayIP地址和端口4172 将“否”更改为是，以使UnifiedAccessGateway设备能够支持智能卡用户ActiveDirectory域用户帐户。 要使用Blast安全网关，请将“否”更改为是Blast外部 输入最终用户从Web浏览器中通过Blast安全网关建立安全连接时使用。UnifiedAccessGateway设备FQDNURL。输入。UDP隧道服务器已启 如果HorizonClient使用的网络条件较差，请启用此选项 通过View安全网关建立隧道连接。隧道用于传输RDP、USB和多重定向(MultimediaRedirection,MMR)流量。隧道外部输入UnifiedAccessGateway设备URL。如果未设置，则使模)表达式。对于View连接服务器，使用UnifiedAccessGateway设备时，匹配Windows用户将“否”更改为是以匹配RSASecurID和Windows用户名。如果设置“是”，则将securID-auth设置为true并强制实施securIDWindows户名匹配网关位将“否”更改为是以启用从中发出请求的位置。网关位置是由安全服务器UnifiedAccessGateway设置的。该位置可以是外部位置，也可以是内部置WindowsSSO将“否”更改为是以启用RADIUS验证。Windows登录使用在首次功的RADIUS请求中使用的凭据主机条输入要添加到/etc/hosts文件中的主机条目的逗号分隔列表。每个条目均按序包含一个IP、主机名和可选主机名别名，并且以空格分隔。例如 ,example-alias7BlastTCPUDPURL的网速和数据包丢失。在UnifiedAccessGateway中，您可以配置由BEAT协议使用的端口。过Blast外部URL属性进行设置。4‑1BEAT端口Blast外部由客户端使用的TCP端由客户端使用的UDP端说这是默认格式，需要允许从Internet连接到使用此格式4‑1BEAT（续Blast外部由客户端使用的TCP端由客户端使用的UDP端口说

指定，或者通过经由PowerS命令输入的INI文件指定。作为反向部 UnifiedAccessGateway设备通常部署在网络 区(DMZ)中。通过使用VMwareIdentityManager，向运行。UnifiedAccessGateway还允许WorkspaceONE 以启动Horizon应用程序。 4‑3VMwareIdentityManagerUnifiedAccessGateway设IdentityWorkspaceONE

服

作为解决方案，UnifiedAccessGateway可以应用程序门户以允许用户单点登录和其资源。您可以在Edge服务管理器上启用验证反向。目前，支持RSASecurID和RADIUS验证方法。注意注意在Web反 可以将RADIUS和RSASecurID作为验证方法以支持基于浏览器的客户端。您可以配置反向的多个实例。4‑4已配置的多注意注意 VMwareIdentityManager服务必须将完全限定(FullyQualifiedName,FQDN)作为主机名 选 说将Edge服务标识符设置为Web反 目标目标输入Web应用程序的地址proxyDestinationURL输入可接受的SSL服务列表。如果目标目标输入Web应用程序的地址proxyDestinationURL输入可接受的SSL服务列表。如果包通配符*，则允许使用任 是sha1、default或md5。“xx”是十六进制数字。例如，sha=C389A219DC7A482B851C81EC5E8F6A3C33F295C3如果未配置，则必须由受信任的CA颁发服务器模 输入转发到目标URL的匹配URI路径。例如，输入(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))注意在配置多个反向时，提供主机模式的主机名8。选说验证方默认设置是使用用户名和的直通验证。将在下拉菜单中列出UnifiedAccessGateway中配置 验证方法运行状况检查如果配置了一个负载平衡器，请输入该负载平衡器连接时使用的URL并检UnifiedAccessGateway设备运行状况SAML输入ViewXMLAPI的SAML服务提供程序名称。该名称必须与配置服务提供程序元数据的名称相匹配，或者是特殊值DEMO激活输入VMwareIdentityManager服务生成并导入到UnifiedAccess系的外部默认值为UnifiedAccessGateway主机URL和端口443。您可以输入其他URL。输入时应采用以下格式模输入转发到目标URL的匹配URI路径不安全输入登录页面的不安全URL模式。这是静态内验证输入验证名称登录重如果用户连接到受保护的URL，请输入重定向URL主机模机模式在配置Web反向实例时是可选的。主机条输入要添加到/etc/hosts文件中的主机条目的逗号分隔列表。每个条目均按序包含一个IP、主机名和可选主机名别名，并且以空格分隔。例如,example-alias注注意“不安全模式”、 内部部署的旧版Web应用程序的单点登录部程序。VMwareIdentityManager可作为提供程序并将SSO提供给SAML应用程序。当用户要求KCD或基于标头验证的旧版应用程序时，IdentityManager将对该用户进行验证。含有用户信息的SAML图4‑5UnifiedAccessGateway桥接模SSO协议SSO协议连接到SAML移动和云应用程应用程发送到UnifiedAccessGatewaySAML转换格转换应用程结合云中的WorkspaceONE客户端使用UnifiedAccessGateway桥应用程序时，提供程序将应用适用的验证和策略图4‑6结合云中WorkspaceONE的UnifiedAccessGateway桥作为提供程序托管Workspace

Workspace基于浏览器的客户

转换格应用程

转换结合内部部署的WorkspaceONE客户端使用桥当桥接模式设置为通过内部部署环境中的WorkspaceONE对用户进行验证时，用户需输入URL以通过UnifiedAccessGateway 内部部署的旧版Web应用程序。UnifiedAccessGateway将请求重定向到提供程序以进行验证。提供程序将验证和策略应用于请求。在用户得到验证后，提供程序会创建一个SAML令牌并将该令牌发送给用户。图4‑7内部部署的UnifiedAccessGateway桥配置桥接设数据和Keytab文件并配置KCD领域设置。在为Kerberos验证配置桥接设置之前，请确保以下内容可用。 上载提供程序元数如果使用VMwareIdentityManager作为提供程序，请从VMwareIdentityManager管理控制台（“目录”>“设置SAML元数据”>“提供程序(IdP)”元数据）并保存SAML元数据文件。在高级设置>桥接设置部分中，选择上载提供程序元数据齿轮图标提供程序的实体ID。领域是保存验证数据的管理实体的名称。为Kerberos验证领域选择一个描述性名称很重要。在UnifiedAccessGateway在内部解析KDC以使用提供Kerberos服务的票证。由Kerberos客户端用于生成DNS名称。说说领域的名为领域输 。以大写字母输入领域。领域必须匹配在ActiveDirectory中设置 密钥分发中 输入领域的KDC服务器。如果要添加多个服务器，则以逗号分隔列表KDC(以秒为单位)输入KDC响应的时间。默认为3秒KeytabKeytab是一个包含Kerberos主体和加密密钥对的文件。Keytab文件为要求单点登录的应用程序而创建。UnifiedAccessGateway必须ActiveDirectory域上具有域用户服务帐户。UnifiedAccessGateway不会直注意可以要上载到UnifiedAccessGateway的KerberosKeytab文件。Keytab文件是一个二进制文件。可能，请使用SCP或其他安全方法在不同计算机之间传输Keytab。在高级设置>桥接设置部分中，选择上载Keytab设置齿轮图标配置用于桥接的Web反该元数据文件将被上载到VMwareIdentityManager服务的Web应用程序配置页面。 1234选 说将Edge服务标识符设置为Web反 Web反 实例的唯一名称目标目标Web应用程序的内部URI。UnifiedAccessGateway目标目标输入与 7A482B851C81EC5E8F6A3C33F295C3如果未配置，则必须由受信任的CA颁发服务器模 （可选）指定主机模式。如 模式并非唯一，主机模式会告UnifiedAccessGateway何时使用 设置转发流量。此设置通过客户Web浏览器使用的URL确定。例如，输入(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))选 说在下拉菜单中，选择要使用 提供程序输入Kerberos服务主体名称。每个主体始终采用 称进行完全限定。如 PANY。以大写字母形式键入 称。如果未向文本框中添加名称，则服务主体名称将派生 目标URL的主机名 为/。用用户标头名对于基于标头 验证，输入包含派生自断言的用户ID的HTTP标头名称在“SP元数据”部分中，单击。将UnifiedAccessGateway服务提供程序元数据文件添加到VMwareIdentity在 名 配置的 useridActiveDirectoryID注意UnifiedAccessGateway仅支持单域用户。如果 使用AirWatchTunnel部信息和应用程序设置、安装程序文件，以及在AirWatchTunnel服务器上运行安装程序。Tunnel一起使用，请确保在应用程序中嵌入了AirWatchSDK，以便通过该组件获取加密链路功能。图4‑8加密链路部最终用户最终用户设2020AirWatchTunnelUnifiedAccess网内部资源内部务器解析的内DNS记录。该部署模型将公开可用的服务器与直接连接到内部资源的服务器分开，从而提供中继服务器角色包含AirWatchAPIAWCM组件通信，以及在AirWatchTunnel发出请求时对设备进行验证。在此部署模型中，AirWatchTunnel支持用于通过中继与API和AWCM通信的出站。每应用隧道服务必须直接与APIAWCM通信。当设AirWatchTunnel发起请求时，中继服务器会判断设备是否此服务。在进行验证后，将使用HTTPS通过一个端口将请求安全地转发到AirWatchTunnel注意默认端口2010端点服务器的角色是连接到设备请求的内部DNS或IP。除非在AirWatch控制台的“AirWatchTunnel”设置这些组件可安装在共享或服务器上。在Linux服务器上安装AirWatchTunnel可确保性能不受同一服务器上运行的其他应用程序影响。对于中继端点部署，和每应用隧道组件安装在同一个中继服务器上。只iOS7+Android5.0+等操作系统提供的每应用程序功能。这些操作系统允许移动性管理员批准的特可提供无缝用户体验，而且安全性比其他自定决方案更高。4‑9每应用隧道部2020AirWatchTunnelUnifiedAccess网内部资源内部为AirWatch配置每应用隧道和设选 说 默认情况下，设置为View。UnifiedAccessGateway可以与使用ViewXML协议的服务器进行通信，例如，View连接服务器、HorizonAir和HorizonAirHybrid-mode。API服务器URL 输入AirWatchAPI服务器URL。例如，输入为 API服务器用户 输入用于登录到API服务器的用户名APIAPI输入用于登录到API服务器 组织组代 输入用户的组织 输入AirWatch服务器主机名6。选说出站主输入安装了出站的主机名注意这不是隧道出站端输入出站的端出站用户输入用于登录到出站的用户名出输入用于登录到出站的NTLM验将“否”更改为是以指定出站请求需要使用NTLM验证用于AirWatchTunnel将“否”更改为是以将该作为AirWatchTunnel的出站。如果未用，UnifiedAccessGateway将 理控制台中获取配置主机条输入要添加到e/ots文件中的主机条目的逗号分列表。每个条均按序包含一个P、主机名和可选主机名别名，并且以空格分隔。例如，.9.61 ,.9.6.2example-受信选择要添加到信任中的受信任文件75使用TLS/SSL配5UnifiedAccess注意注意为UnifiedAccessGateway设备配置TLS/SSL UnifiedAccessGateway设备配置TLS/SSLTLS/SSL服务器是由颁发机构(Authority,CA)签名的。CA是确保及其创建者的受信机构。如果是由受信任的CA签发，则系统不会向用户显示要求验证的消息，且瘦客户端设备可在部署UnifiedAccessGateway设备时，将生成一个默认TLS/SSL服务器。对于生产环境，VMware建议您尽快更换默认。默认不是由受信任的CA签名的。只应在非生产环境中使用默认。请使用的完全限定(FullyQualifiedName,FQDN)以遵循VMware安全建议，而无论选择哪种类型。不要使用简单的服务器名称或IP地址，即使内部域中的通信也是如此。 性将使用者名称(URL)添加到中，以便它可以验证多个服务器。例如，可以为负载平衡器后面的UnifiedAccessGateway设备颁发三个 在将签名请求提交到CA后，您可以提供外部接口负载平衡器虚拟IP地址(virtualIPaddress,VIP)来作为公用名称和SAN名称。请确保UnifiedAccessGateway设备可以解析提供的服务器名称，以使其与的 如果多个服务器需要使用，则通配是非常有用的。除了UnifiedAccessGateway设备以外，如果环境中的其他应用程序需要使用TLS/SSL，您也可以在这些服务器中使用通配。不过，如果使用与其他服务共享的通配，则VMwareHorizon产品的安全性还取决于这些其他服务的安全性。注意您只能在单个域级别使用通配。例如，可以将具有使用者名称 的通配用 客户端计算机必须信任导入到UnifiedAccessGateway设备的 UnifiedAccessGateway实例和任何负载平衡器（通过使用通配 或使用者备用名称(SubjectAlternativeName,SAN)）。将文件转换为单行PEM格要使用UnifiedAccessGatewayRESTAPI配置设置，或使用PowerS 链和私钥的PEM格式文件，然后将.pem文件转换为包含嵌入的换行符的单行格式。 n如果打算使用智能卡验证，您必须为放在智能卡中的安装和配置可信CA颁发者n如果打算使用智能卡验证，VMware建议您为UnifiedAccessGateway设备上安装的SAML服务器的签名CA安装并配置根。对于所有这些类型的，请执行相同的步骤以将转换为包含链的PEM格式的文件。对于TLS/SSL服务器和根，还应将每个文件转换为包含私钥的PEM文件。然后，必须将每个.pem文件转换为可在JSON字符串中传递给UnifiedAccessGatewayRESTAPI的单行格式。n确认您具有文件。该文件可以采用PKCS#12（.p12或.pfx）格式，也可以采用JavaJKS或JCEKS格n熟悉用于转换的openssl命令行工具。请参阅格式，然后再转换为.pem文件。重要重要事项在该转换过程中，请使用相同的源和目 转换为.pem文件。opensslpkcs12-inmycaservercert.pfx-nokeys-outopensslpkcs12-inmycaservercert.pfx-nodes-nocerts-outmycaservercert.pemopensslrsa-inmycaservercertkey.pem-check-outmycaservercertkeyrsa.pem必需的中间CA和根CA。API的值：awk'NF{sub(/\r/,"");printf"%s\\n",$0;}'cert-图5‑1一行中的文现在，您可以将这些.pem文件与博客帖子“使用PowerS toDeployVMwareAccessPoint)（为 。如果已转换TLS/SSL服务器，请参阅第50页，“替换UnifiedAccessGateway的默认TLS/SSL服务器UnifiedAccessGatewayTLS/SSL要在UnifiedAccessGateway设备上 式并使用管理UI或PowerS 重要重要事项还可以使用该步骤在到期之前定期替换可信CA签发 n除非已具有有效的TLS/SSL服务器及其私钥，否则，请从颁发机构获取新的签名。在生成证书签名请求(SigningRequest,CSR)以获取时，请确保同时生成一个私钥。不要使用低于1024的KeyLength值为服务器生成。QualifiedName,FQDN)以及组织单位、组织、城市、州和国家/地区以填写使用者名称。n将转换为PEM格式的文件，然后将.pem文件转换为单行格式。请参阅第48页，“将文件转换为单行PEM格式”。更改用于TLS或SSL通信的安全协议和套情况下，TLSv1.1TLSv1.2处于启用状态。TLSv1.0SSLv3.0处于禁用状态。nUnifiedAccessGatewayRESTAPI。安装UnifiedAccessGatewayURL中提供了该API的规范：:9443/rest/swagger.yaml。 {"tls11Enabled":"true","tls12Enabled":"true"}REST客户端（curlpostman）JSONUnifiedAccessGatewayRESTAPI并配置 是UnifiedAccessGateway设备的完全限定curl-k-d@--u'admin'-H"Content-Type:application/json"-XPUT :9443/rest/v1/config/system<将使用指定的套件和协议。在DMZ中配 验 在最初部署UnifiedAccessGateway时，ActiveDirectory Directory用户名和，这些凭据将发送到后端系统以进行 份验证以及RSA自适应验证。注意注意ActiveDirectory 在UnifiedAccessGateway设备上配置或智能卡验您可以在UnifiedAccessGateway中配置x509验证，以允许客户端在其桌面或移动设备上使用基于的验证基于用户拥有的资源（私钥或智能卡）和掌握的信息（私钥的或智能卡PIN）。智能卡验证通过验证用户是否具有智能卡以及用户是否知PIN来提供双因素验证。最终用户可以使用智能卡登录到View桌面操作系统以及启用智能卡的应用程序，例如，使用对电子邮件进行签名以证明发件人的电子邮件应用程序。用SAML断言将有关最终用户的X.509和智能卡PIN的信息传送到HorizonServer。您可以配置吊销检查以防止对已吊销用户的用户进行验证。当用户离开组织、丢失智能卡或从一个部门调往另一个部门时，通常会吊销其。支持使用吊销列表(RevocationList,CRL)和在线状态协议(OnlineStatusProtocol,OCSP)进行吊销检查。CRL是由颁发的CA发布的吊销列表。OCSP是用于获取吊销状态的验证协议。败，吊销检查不会改用OCSP。务器，这可能需要ActiveDirectory验证。注意对于VMwareIdentityManager，始终通过UnifiedAccessGateway将 验证信息传送到VMwareIdentityManager服务。只有在将UnifiedAccessGateway与Horizon7一起使用时，才能将智能卡 配置为在UnifiedAccessGateway设备上执行。在UnifiedAccessGateway上配置验 据到UnifiedAccessGateway设备。 选 说**根CA 和中间CA文件。您可以选择多个编码为DER或PEM。CRL缓存大 输 吊销列表缓存大小。默认值为100 使用来使用来 的选中该复选框以使用颁 的CA发布 吊销列表RevocationList,CRL)验 的状态（吊销或未吊销）启用OCSP吊选中该复选框以使 验证协议获状态的吊销状启用OCSP吊选中该复选框以使 验证协议获状态的吊销状StatusOCSP失败时使用 如果配置CRL和OCSP，您可以选中该框以在OCSP检查不可用时改用CRL发送OCSP 如果您希望在响应中发送OCSP请求的唯一标识符，请选中该复选框OCSP 如果启用了OCSP吊销，请输入OCSP服务器地址以进行吊销检查OCSPOCSP输入响应程序的 路径(/path/to/file.cer)选 说在进 验证前启用同意表 选中该复选框以包含在用户使 录到其WorkspaceONE户之前显示的同意表单页同意表单内 在此处键入在同意表单中显示的文本种配置可确保在UnifiedAccessGateway和客户端之间进行SSL握手以便将传递给 获取所有相应的CA（颁发机构） 签名的CA的根或中间，则可以从CA签名的 。请参阅第55页，“从Windows获取CA”。 TechNet。 受信任的CA签名的公用根 从Windows获取CA 的步骤4中使用。InternetExplorer中，选择Internet选项 步>在UnifiedAccessGateway中配置RSASecurID验信息添加到UnifiedAccessGateway设备。 选 操将“否”更改为是以启用 验证*名 名称为securid-auth 验证尝试次数。这是在使用RSASecurID令牌时的最大失败登录尝试次数。默认为尝试5次。注意如果配置了多个 置的允许的验证尝试次数配置为相同的值。如果该值不相同，SecurID验证将失败。 输入UnifiedAccessGateway实例的IP地址。输入的值必须与将UnifiedAccessGateway设备作为验证添加到RSASecurID服务器时使用的值一致。*内部主机 在RSASecurID服务器中输入为IP地址提示分配的值 单击“更改”以上载RSASecurID服务器配置文件。首先，您必须从RSASecurID服务器中 文件，然后提取默认名称为sdconf.rec的服务器配置文件。*名称ID后 输入使View能够提供TrueSSO体验的nameIdUnifiedAccessGateway配置您可以配置UnifiedAccessGateway，以便要求用户使用RADIUS验证。您可以在UnifiedAccess使用在单独服务器上安装的验证管理器，您必须配置RADIUS服务器并且IdentityManager服务可以访如果用户登录并启用了RADIUS验证，则会在浏览器中显示一个特殊登录框。用户在登录框中输RADIUS验证用户名和通行码。如RADIUS服务器发出一个质询，UnifiedAccessGateway将显示一个框以提示输入第二个通行码。目前支持的RADIUS质询仅限于提示输入文本。供配置RADIUS验后将验证类型更改为RADIUS验证。n确认要用作验证管理器服务器的服务器安装并配置了RADIUS软件。设置RADIUS服务器，然后从 MSCHAP1和MSCHAP2（质询握 验证协议版本1和2） 选 操启用启用 将“否”更改为是以启用 验证名称 名称为radius-auth验证验证类型 输入RADIUS服务器支持 验证协议。PAP、CHAP、MSCHAP1或MSCHAP2共 输入RADIUS共 尝试连RADIUS服器的次数RADIUS服器主机名

输入在使用RADIUS登录时的最大失败登录尝试次数。默认为尝试3次输入总重试尝试次数。如果主服务器没有响应，该服务将等待配置的时间，然后再重试RADUS服务器超时（秒）RADUS服务器没有响应，将在这段时间过后发送重试。RADUS服务器的主机名或P地址。验证端口 输入Radius验证端。该端口通常为1812选操领域前（可选）用户帐户位置称为如果指定领域前缀字符串，在将用户名发送到RADIUS服务器时，将在名称开头放置该字符串。例如，如果将用户名输入为jdoe并指定领域前缀-A\，则将用户名-A\jdoe发送RADIUS服务器。如果未配置这些字段，则仅发送输入的用户名领域后（可选）如果配置领域后缀，则在用户名末尾放置该字符串。例如，如果后缀 ，则将户 发送到RADIUS服务器名称ID后输入nameId以使View能够提供TrueSSORADUSADasswrdfirstadtenMSassceEterorADpasswordfirstandthenSMSpasscode。默认文本字符串为RADIUSPasscode将“否”更改为是以配置辅助RADIUS服务器以实现高可用性。请按照步骤3中所述配置辅助服务器4在UnifiedAccessGateway中配置RSA自适应验可以实施RSA自适应验证，以提供比针对ActiveDirectory的仅用户名和 支持的RSA自适应验证方AccessPoint中支持的RSA自适应验证强大验证方法是通过、电子邮件或和质询问题的带外验证。您可以在该服务上启用可提供的RSA自适应验证方法。RSA自适应验证策略确定使用带外验证过程要求发送额外的验证以及用户名和。当用户在RSA自适应验证服务器中时，他们将提供电子邮件地址和/或，具体取决于服务器配置。如果需要额外的验证，RSA自适应验证服务器将通过提供的通道发送通行码。用户输入该通行码及其用户名和。在RSA自适应验证服务器中用户名和登录时，这些用户将添加到RSA自适应验证数据库中。根据在该服务中配置RSA自适应验证的方式，在用户登录时，可能会要求他们提供其电子邮件地址、、(SMS)，或者要求注注意RSA自适 验证和RSAAuthenticationManager在UnifiedAccessGateway中配置RSA自适应验然后添加ActiveDirectory连接信息和。 注意星号表示必填字段。其他字段是可选 说RSAAA将“否”更改为是以启用RSA自适 验证SOAP端点输入SOAP端SOAP端点输入SOAP端点地址以将RSA自适 验证适配器与该服务集成在一起SOAP用户名 输入用于对SOAP消息进行签名的用户名 输入RSA自适 验证SOAP RSA 输入自适 验证服务器的域地址启用OOB电子邮 选择“是”以启用带 验证， 验证通过电子邮件向最终用户发通行码启用OOB 启用 选择“是”以启用SecurID。要求用户输入其RSA令牌和通行码启启 问问题数如果要使 和质询问题进 验证，请选择“是”输入用户 验证适配器服务器 时需要设置的问题数质询问题数质询问题数允许 验证尝试次数使用如果将SSL用 连接，请使用如果将SSL用 连接，请选择“是”。您可以在”字段中