VMware · 2020. 4. 7. · Contenido Implementar y configurar VMware Unified Access Gateway 6 1...

Implementación y configuración de VMware Unified Access Gateway

17 de marzo de 2020Unified Access Gateway 3.9

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

Copyright © 2020 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca comercial.


VMware, Inc. 2

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

Implementar y configurar VMware Unified Access Gateway 6

1 Preparar la implementación de VMware Unified Access Gateway 7Unified Access Gateway como puerta de enlace segura 7

Utilizar Unified Access Gateway en lugar de una red privada virtual 8

Requisitos de red y del sistema de Unified Access Gateway 9

Reglas del firewall para dispositivos de Unified Access Gateway basados en DMZ 12

Requisitos del sistema para la implementación de VMware Tunnel con Unified Access Gateway 20

Requisitos de puerto para proxy VMware Tunnel 21

Requisitos de puertos para túnel por aplicación de VMware 26

Requisitos de conexión para interfaz de red 32

Unified Access GatewayTopologías de equilibrio de carga 33

Configurar Avi Vantage para el equilibrio de carga de UAG (cuando se utiliza como proxy inverso de web) 36

Alta disponibilidad de Unified Access Gateway 40

Configurar los ajustes de alta disponibilidad 42

Unified Access Gateway configurado con Horizon 43

Conexión de VMware Tunnel (VPN por aplicación) con la configuración básica 44

Conexiones de VMware Tunnel (VPN por aplicación) en el modo en cascada 45

Configuración básica de Content Gateway 46

Content Gateway con configuración de retransmisores-endpoints 47

Diseño de la DMZ para Unified Access Gateway con varias tarjetas de interfaz de red 48

Actualización sin tiempo de inactividad 51

Implementación de Unified Access Gateway sin perfil de protocolo de red (NPP) 53

Unirse al Programa de mejora de la experiencia de cliente o abandonarlo 54

2 Implementar dispositivo de Unified Access Gateway 55Uso del asistente de plantillas OVF para implementar Unified Access Gateway 56

Implementar Unified Access Gateway mediante el asistente de plantillas OVF 56

Configurar Unified Access Gateway en las páginas de configuración del administrador 63

Configurar los parámetros del sistema de Unified Access Gateway 64

Cambiar la configuración de red 68

Configurar los ajustes de la cuenta de usuario 69

Configurar los ajustes de token web JSON 73

Actualizar certificados SSL firmados del servidor 74

3 Uso de PowerShell para implementar Unified Access Gateway 76Requisitos del sistema para implementar Unified Access Gateway con PowerShell 76

VMware, Inc. 3

Utilizar PowerShell para implementar el dispositivo de Unified Access Gateway 78

4 Casos prácticos de las implementaciones de Unified Access Gateway 84Implementación con Horizon y Horizon Cloud with On-Premises Infrastructure 84

Compatibilidad con el modo dual de IPv4 e IPv6 para la infraestructura de Horizon 89

Configuración avanzada del servicio perimetral 90

Configurar las opciones de Horizon 92

Opciones de configuración de la URL externa de TCP/UDP de Blast 100

Comprobaciones de conformidad de endpoints para Horizon 101

Configurar los ajustes de proveedor para comprobación de conformidad de endpoints para Horizon102

Intervalo de tiempo para comprobaciones periódicas de conformidad de endpoints 109

Implementación como proxy inverso 110

Configurar el proxy inverso con Workspace ONE Access 112

Configurar el proxy inverso con la API de VMware Workspace ONE UEM 115

Implementación para el acceso Single Sign-On a las aplicaciones web heredadas locales 118

Escenarios de implementación del puente de identidades 119

Configurar las opciones del puente de identidades 122

Configurar Horizon para la integración de Unified Access Gateway y proveedores de identidades de terceros 138

Configurar el proveedor de identidades con información de Unified Access Gateway 139

Cargar metadatos SAML del proveedor de identidades en Unified Access Gateway 141

Configurar los ajustes de Horizon en Unified Access Gateway para la integración de SAML 141

Componentes de Workspace ONE UEM en Unified Access Gateway 144

Implementar VMware Tunnel en Unified Access Gateway 144

Acerca del uso compartido del puerto TLS 159

Content Gateway en Unified Access Gateway 159

Secure Email Gateway en Unified Access Gateway 165

Casos prácticos de implementación adicionales 168

5 Configurar Unified Access Gateway con certificados TLS/SSL 170Configurar certificados TLS/SSL para dispositivos Unified Access Gateway 170

Seleccionar el tipo de certificado correcto 170

Convertir archivos de certificado al formato PEM de una línea 172

Cambiar los protocolos de seguridad y los conjuntos de cifrado que se utilizan para la comunicación TLS o SSL 174

6 Configurar autenticación en la DMZ 176Configurar certificado o autenticación de tarjeta inteligente en el dispositivo de Unified Access Gateway

176

Configurar la autenticación del certificado en Unified Access Gateway 177

Obtener los certificados de la autoridad de certificación 179

Configurar la autenticación de RSA SecurID en Unified Access Gateway 180


VMware, Inc. 4

Configurar RADIUS para Unified Access Gateway 181

Configurar autenticación RADIUS 182

Configurar la autenticación adaptativa de RSA en Unified Access Gateway 184

Configurar la autenticación adaptativa de RSA en Unified Access Gateway 185

Generar metadatos SAML de Unified Access Gateway 187

Crear un autenticador SAML utilizado por otros proveedores de servicios 188

Copiar los metadatos SAML del proveedor de servicios en Unified Access Gateway 188

7 Solucionar los problemas de la implementación de Unified Access Gateway 190Supervisar estadísticas de sesiones de servicios de Edge 191

Supervisar API de estadísticas de sesiones 192

Supervisar el estado y los diagnósticos de SEG 194

Supervisar el estado de los servicios implementados 198

Solucionar errores de implementación 199

Solucionar errores: puente de identidades 201

Solucionar errores: Cert-to-Kerberos 203

Solución de problemas de conformidad de endpoints 204

Solución de problemas de validación de certificados en la IU de administración 205

Solucionar problemas de conexión y firewall 206

Solucionar problemas de inicio de sesión del usuario raíz (root) 208

Acerca de la contraseña de Grub2 211

Recopilar registros del dispositivo Unified Access Gateway 211

Exportar la configuración de Unified Access Gateway 214

Importar la configuración de Unified Access Gateway 215

Solucionar errores: Content Gateway 215

Solucionar problemas de alta disponibilidad 216

Solución de problemas de seguridad: Prácticas recomendadas 217


VMware, Inc. 5

Implementar y configurar VMware Unified Access Gateway

Implementación y configuración de Unified Access Gateway proporciona información sobre el diseño de la implementación de VMware Horizon®, VMware Workspace ONE Access y Workspace ONE UEM que utiliza VMware Unified Access Gateway ™ para proteger el acceso externo a las aplicaciones de su organización. Estas aplicaciones pueden ser de Windows o de software como servicio (SaaS) y escritorios. Esta guía también proporciona instrucciones para implementar dispositivos virtuales de Unified Access Gateway y cambiar las opciones de configuración tras la implementación.

Público al que se dirigeEsta información está destinada a cualquier usuario que desee implementar y utilizar dispositivos de Unified Access Gateway. Esta información está elaborada para administradores de sistemas Linux y Windows con experiencia que estén familiarizados con la tecnología de máquinas virtuales y las operaciones de centros de datos.

VMware, Inc. 6

Preparar la implementación de VMware Unified Access Gateway 1Unified Access Gateway funciona como una puerta de enlace segura para usuarios que deseen acceder a aplicaciones y escritorios remotos desde fuera del firewall corporativo.

Nota VMware Unified Access Gateway® se denominaba VMware Access Point.

Este capítulo incluye los siguientes temas:

n Unified Access Gateway como puerta de enlace segura

n Utilizar Unified Access Gateway en lugar de una red privada virtual

n Requisitos de red y del sistema de Unified Access Gateway

n Reglas del firewall para dispositivos de Unified Access Gateway basados en DMZ

n Requisitos del sistema para la implementación de VMware Tunnel con Unified Access Gateway

n Unified Access GatewayTopologías de equilibrio de carga

n Alta disponibilidad de Unified Access Gateway

n Diseño de la DMZ para Unified Access Gateway con varias tarjetas de interfaz de red

n Actualización sin tiempo de inactividad

n Implementación de Unified Access Gateway sin perfil de protocolo de red (NPP)

n Unirse al Programa de mejora de la experiencia de cliente o abandonarlo

Unified Access Gateway como puerta de enlace seguraUnified Access Gateway es un dispositivo que normalmente se instala en una zona desmilitarizada (DMZ). Unified Access Gateway se utiliza para garantizar que el único tráfico que entra al centro de datos corporativo lo hace en nombre de usuarios con autenticación sólida.

Unified Access Gateway dirige las solicitudes de autenticación al servidor correspondiente y desecha todas las solicitudes sin autenticar. Los usuarios solo pueden acceder a los recursos para los que tengan autorización.

VMware, Inc. 7

Unified Access Gateway también garantiza que el tráfico de un usuario autenticado se pueda dirigir solo a los recursos de escritorios y aplicaciones para los que dicho usuario tenga autorización. Este nivel de protección implica la inspección específica de protocolos de escritorio y la coordinación de las direcciones de red y las directivas que pueden cambiar con rapidez, para poder controlar con precisión el acceso.

Unified Access Gateway funciona como host de proxy para las conexiones internas de la red de confianza de su empresa. Este diseño proporciona una capa de seguridad adicional al proteger los escritorios virtuales, los hosts de las aplicaciones y los servidores de la parte pública de Internet.

Unified Access Gateway está diseñado específicamente para el archivo DMZ. Se han implementado las siguientes opciones de seguridad.

n Revisiones de software y kernel de Linux actualizados

n Compatibilidad con varias NIC para el tráfico de Internet e intranets

n SSH inhabilitado

n Servicios FTP, Teleta, Rlogin o Rsh inhabilitados

n Servicios no deseados inhabilitados

Utilizar Unified Access Gateway en lugar de una red privada virtualUnified Access Gateway y las soluciones VPN genéricas son similares ya que ambos garantizan que el tráfico se reenvía a una red interna únicamente en nombre de usuarios con autenticación sólida.

Entre las ventajas de Unified Access Gateway sobre la VPN genérica se incluyen las siguientes:

n Access Control Manager. Unified Access Gateway aplica reglas de acceso automáticamente. Unified Access Gateway reconoce las autorizaciones de los usuarios y el direccionamiento requerido para conectarse internamente. Una VPN hace lo mismo, ya que la mayoría de las VPN permiten a un administrador configurar las reglas de conexión de red para cada usuario o grupo de usuarios individualmente. Al principio, esto funciona bien con una VPN, pero mantener las reglas necesarias exige un esfuerzo administrativo importante.

n Interfaz de usuario. Unified Access Gateway no modifica la clara interfaz de usuario de Horizon Client. Con Unified Access Gateway, cuando Horizon Client se inicia, los usuarios autenticados se encuentran en sus entornos de Horizon Connection Server y tienen acceso controlado a sus escritorios y aplicaciones. En una VPN, es obligatorio configurar primero el software de la VPN y autenticar por separado antes de iniciar Horizon Client.

n Rendimiento. Unified Access Gateway está diseñado para maximizar la seguridad y el rendimiento. Con Unified Access Gateway, PCoIP, HTML Access y los protocolos WebSocket están seguros sin necesidad de encapsulaciones adicionales. Las VPN se implementan como VPN SSL. Esta implementación cumple los requisitos de seguridad y, con TLS habilitado, se considera segura, pero el protocolo subyacente de SSL/TLS está basado simplemente en TCP. Los protocolos actuales de vídeo remoto aprovechan los transportes basados en UDP sin conexión, por lo que sus ventajas de


VMware, Inc. 8

rendimiento pueden verse mermadas si deben utilizar un transporte basado en TCP. Esto no se aplica a todas las tecnologías de VPN, ya que las que también funcionan con DTLS o IPsec en lugar de SSL/TLS ofrecen un buen rendimiento con los protocolos de escritorio de Horizon Connection Server.

Requisitos de red y del sistema de Unified Access GatewayPara implementar el dispositivo de Unified Access Gateway, su sistema debe cumplir los requisitos de hardware y software.

Versiones compatibles de productos de VMwareDebe utilizar versiones específicas de los productos de VMware con versiones concretas de Unified Access Gateway. Consulte las notas de la versión del producto si desea ver la información más reciente sobre compatibilidad, así como la sección Matrices de interoperabilidad de productos de VMware en la página http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Para obtener información sobre la directiva de compatibilidad del ciclo de vida de Unified Access Gateway, consulte https://kb.vmware.com/s/article/2147313.

Requisitos de hardware del servidor ESXiEl dispositivo Unified Access Gateway se debe implementar en una versión de VMware vSphere que sea la misma que la versión compatible con los productos de VMware y sus versiones respectivas.

Si tiene previsto utilizar vSphere Web client, verifique que el complemento de integración de clientes esté instalado. Para obtener más información, consulte la documentación de vSphere. Si no instala este complemento antes de iniciar el asistente de implementación, este le indicará que lo haga. Para ello, deberá cerrar el navegador y salir del asistente.

Nota Configure el reloj (UTC) en el dispositivo de Unified Access Gateway para que tenga la hora correcta. Por ejemplo, abra una ventana de la consola en la máquina virtual de Unified Access Gateway y seleccione la zona horaria correcta con la ayuda de los botones de flecha. Compruebe también que la hora del host ESXi esté sincronizada con el servidor NTP y que VMware Tools, que se está ejecutando en la máquina virtual del dispositivo, sincronice la hora de la máquina virtual con la hora del host ESXi.

Requisitos del dispositivo virtualEl paquete de OVF para el dispositivo de Unified Access Gateway selecciona automáticamente la configuración de la máquina virtual que Unified Access Gateway necesita. Aunque esta configuración se puede modificar, se recomienda no cambiar los valores de espacio en disco, memoria o CPU a valores inferiores a los predeterminados de OVF.

n El requisito mínimo de CPU es 2000 MHz


VMware, Inc. 9

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

https://kb.vmware.com/s/article/2147313

n Memoria mínima: 4 GB

Importante Unified Access Gateway es un dispositivo virtual VMware. VMware distribuye las revisiones de seguridad y generales como archivos de imagen del dispositivo virtual actualizados. No se admite la personalización de un dispositivo Unified Access Gateway o la actualización de componentes individuales, excepto el aumento de memoria y de la cantidad de vCPU, que se pueden realizar a través de los ajustes Editar de vCenter Server.

Verifique que el almacén de datos que utiliza para el dispositivo tenga suficiente espacio en disco y cumpla los demás requisitos del sistema.

n El tamaño de descarga del dispositivo virtual es 2,6 GB

n El requisito mínimo de disco de aprovisionamiento fino es 3,5 GB

n El requisito mínimo de disco de aprovisionamiento grueso es 20 GB

La siguiente información es necesaria para implementar el dispositivo virtual.

n Dirección IP estática (recomendada)

n Dirección IP del servidor DNS

n Contraseña para el usuario raíz

n Contraseña para el usuario administrador

n URL de la instancia del servidor o el equilibrador de carga al que el dispositivo de Unified Access Gateway se dirige

Opciones de tamaño de Unified Access Gatewayn Estándar: esta configuración se recomienda para las implementaciones de Horizon que admiten un

máximo de 2000 conexiones de Horizon, en línea con la capacidad del servidor de conexión. También se recomienda para las implementaciones de Workspace ONE UEM (casos prácticos de dispositivos móviles) con hasta 10 000 conexiones simultáneas.

n Grande: esta configuración se recomienda para implementaciones de Workspace ONE UEM en las que es necesario que Unified Access Gateway admita más de 50.000 conexiones simultáneas. Este tamaño permite que Content Gateway, el túnel por aplicación y proxy y el proxy inverso utilicen el mismo dispositivo de Unified Access Gateway.

n Muy grande: esta configuración se recomienda para implementaciones de Workspace ONE UEM. Este tamaño permite que Content Gateway, el túnel por aplicación y proxy y el proxy inverso utilicen el mismo dispositivo de Unified Access Gateway.

n Nota Opciones de máquina virtual para las implementaciones Estándar, Grande y Muy grande:

n Estándar: 2 núcleos y 4 GB de RAM

n Grande: 4 núcleos y 16 GB de RAM

n Muy grande: 8 núcleos y 32 GB de RAM


VMware, Inc. 10

Versiones de navegador compatiblesLos navegadores compatibles para iniciar la IU del administrador son Internet Explorer, Chrome y Firefox. Utilice la versión más reciente del navegador.

Requisitos de hardware al utilizar Hyper-V Server de WindowsCuando utilice Unified Access Gateway para una implementación de túnel por aplicación de Workspace ONE UEM, puede instalar el dispositivo de Unified Access Gateway en Microsoft Hyper-V Server.

Los servidores compatibles con Microsoft son Windows Server 2012 R2 y Windows Server 2016.

Requisitos de configuración de redPuede utilizar una, dos o tres interfaces de red y Unified Access Gateway necesitará una dirección IP estática para cada una de ellas. Muchas implementaciones de DMZ utilizan redes diferentes para asegurar los distintos tipos de tráfico. Configure Unified Access Gateway en función del diseño de red de la DMZ en la que se implementó.

n Las interfaces de red son adecuadas para las POC (pruebas de concepto) de las pruebas. Con una NIC, el tráfico de administración (tanto interno como externo), fluyen todo por la misma subred.

n Con dos interfaces de red, el tráfico externo fluye por una subred y el tráfico de administración e interno fluye por otra.

n La opción más segura es utilizar tres interfaces de red. Con una tercera NIC, el tráfico de administración, el interno y el externo tendrán cada uno su propia subred.

DNS de multidifusión y nombres de host .localUAG (Unified Access Gateway) 3.7 y las versiones posteriores admiten DNS de multidifusión, además de los DNS de unidifusión. Los nombres de varias etiquetas con el sufijo de dominio .local se enrutan a todas las interfaces locales que pueden realizar multidifusión IP mediante el protocolo DNS de multidifusión.

Evite definir .local en un servidor DNS de unidifusión, ya que RFC6762 reserva el uso de este dominio para el DNS de multidifusión. Por ejemplo, si utiliza un nombre de host nombrehost.ejemplo.local en un ajuste de configuración, como URL de destino del proxy en UAG, el nombre de host no se resolverá con el DNS de unidifusión porque .local está reservado para el DNS de multidifusión.

Como alternativa, puede utilizar uno de los siguientes métodos en los que no se requiere el sufijo de dominio .local:

n Especifique una dirección IP en lugar de un nombre de host .local.

n Se puede agregar otro registro alternativo de DNS A al servidor DNS.

En el ejemplo anterior de nombre de host, se puede agregar nombrehost.ejemplo.int a la misma dirección IP que nombrehost.ejemplo.local y utilizarlo en la configuración de UAG.

n Se puede definir una entrada de archivo hosts local.

En el ejemplo anterior, se puede definir una entrada hosts local para nombrehost.ejemplo.local.


VMware, Inc. 11

Las entradas de archivo hosts especifican nombres y direcciones IP, y se pueden establecer mediante la interfaz de usuario de administrador de UAG o mediante la configuración del archivo .ini de PowerShell.

Importante El archivo /etc/hosts de UAG no se debe editar.

En UAG, se busca en las entradas de archivo hosts locales antes de realizar una búsqueda de DNS. Con este tipo de búsqueda se garantiza que, si el nombre de host figura en el archivo hosts, se puedan utilizar los nombres de .local y no sea necesario realizar una búsqueda de DNS.

Requisitos de retención de registroLos archivos de registro se configuran de forma predeterminada para que ocupen menos espacio que el que ocupa el disco en su totalidad. Los registros de Unified Access Gateway van rotando de forma predeterminada. Syslog permite conservar estas entradas de registro. Consulte Recopilar registros del dispositivo Unified Access Gateway.

Reglas del firewall para dispositivos de Unified Access Gateway basados en DMZLos dispositivos de Unified Access Gateway basados en DMZ requieren la configuración de ciertas reglas del firewall en los firewall del front-end y el back-end. Durante la instalación, se configuran los servicios de Unified Access Gateway para la escucha en determinados puertos de la red predeterminados.

La implementación de un dispositivo de Unified Access Gateway basado en DMZ incluye normalmente dos firewalls:

n Se necesita un firewall de front-end dirigido a la red externa, que protege tanto la DMZ como la red interna. Este firewall se configura para permitir que el tráfico de la red externa llegue a la DMZ.

n Se necesita un firewall de back-end entre la DMZ y la red interna, que proporciona un segundo nivel de seguridad. Este firewall se configura para aceptar solo el tráfico que se origina desde los servicios dentro de la DMZ.

La directiva del firewall controla estrictamente las comunicaciones entrantes desde el servicio de la DMZ, lo que reduce en gran medida los riesgos para la red interna.

En las siguientes tablas se indican los requisitos de puertos para los distintos servicios dentro de Unified Access Gateway.

Nota Todos los puertos UDP requieren que se permitan los datagramas de reenvío y de respuesta.


VMware, Inc. 12

Tabla 1-1. Requisitos de puerto para Secure Email Gateway

Puerto Protocolo Origen Objetivo o destino Descripción

443* o cualquier otro puerto mayor que 1024

HTTPS Dispositivos (de Internet y WiFi)

Unified Access Gateway

Endpoint de Secure Email Gateway

Secure Email Gateway escucha en el puerto 11443


HTTPS Workspace ONE UEM Console





HTTPS Email Notification Service (cuando está habilitado)




5701 HTTP Secure Email Gateway Secure Email Gateway Se utiliza para la memoria caché distribuida de Hazelcast

41232 HTTPS Secure Email Gateway Secure Email Gateway Se utiliza para la administración del clúster de Vertx

44444 HTTPS Secure Email Gateway Secure Email Gateway Se utiliza para las funcionalidades administrativas y de diagnóstico

Nota Como el servicio de Secure Email Gateway (SEG) se ejecuta como un usuario no raíz en Unified Access Gateway, SEG no se puede ejecutar en los puertos del sistema. Por ello, los puertos personalizados deben ser mayores que el puerto 1024.

Tabla 1-2. Requisitos de puertos para el servidor de conexión de Horizon

PuertoProtocolo Origen Destino Descripción

443 TCP Internet Unified Access Gateway Para tráfico web, Horizon Client XML - API, Horizon Tunnel y Blast Extreme

443 UDP Internet Unified Access Gateway UDP 443 se reenvía internamente a UDP 9443 en el servicio del servidor de túnel de UDP de Unified Access Gateway.

8443 UDP Internet Unified Access Gateway Blast Extreme (opcional)

8443 TCP Internet Unified Access Gateway Blast Extreme (opcional)

4172 TCP y UDP

Internet Unified Access Gateway PCoIP (opcional)

443 TCP Unified Access Gateway Servidor de conexión de Horizon

Horizon Client XML-API, Blast extreme HTML Access, Horizon Air Console Access (HACA)


VMware, Inc. 13

Tabla 1-2. Requisitos de puertos para el servidor de conexión de Horizon (continuación)


22443 TCP y UDP

Unified Access Gateway Escritorios y hosts RDS Blast Extreme

4172 TCP y UDP

Unified Access Gateway Escritorios y hosts RDS PCoIP (opcional)

32111 TCP Unified Access Gateway Escritorios y hosts RDS Canal del marco de trabajo para el redireccionamiento USB

9427 TCP Unified Access Gateway Escritorios y hosts RDS MMR y CDR

Nota Para permitir que los dispositivos de clientes externos se conecten a un dispositivo Unified Access Gateway dentro de la DMZ, el firewall de front-end debe permitir el tráfico en determinados puertos. De forma predeterminada, los dispositivos cliente externos y los clientes web externos (HTML Access) se conectan a un dispositivo Unified Access Gateway dentro de la DMZ en el puerto TCP 443. Si usa el protocolo Blast, el puerto 8443 debe estar abierto en el firewall, aunque también puede configurar Blast para el puerto 443.

Tabla 1-3. Requisitos de puertos para el proxy inverso de web


443 TCP Internet Unified Access Gateway Para el tráfico web

Cualquiera

TCP Unified Access Gateway Sitio de intranet Cualquier puerto personalizado configurado en el que la intranet esté escuchando. Por ejemplo, 80, 443, 8080 etc.

88 TCP Unified Access Gateway Servidor KDC o servidor de AD

Se requiere para que el puente de identidades acceda a AD si está configurado SAML a Kerberos o certificado a Kerberos.

88 UDP Unified Access Gateway Servidor KDC o servidor de AD

Se requiere para que el puente de identidades acceda a AD si está configurado SAML a Kerberos o certificado a Kerberos.

Tabla 1-4. Requisitos de puertos para la IU del administrador


9443 TCP IU del administrador Unified Access Gateway Interfaz de administración


VMware, Inc. 14

Tabla 1-5. Requisitos de puertos para la configuración básica de endpointContent Gateway


443* o cualquier puerto > 1024


Endpoint de Unified Access Gateway Content Gateway

Si se utiliza el 443, Content Gateway escuchará en el puerto 10443.


HTTPS Servicios de dispositivos Workspace ONE UEM







HTTPS Endpoint de Unified Access Gateway Content Gateway

Workspace ONE UEM API Server

Cualquier puerto en el que escuche el repositorio.

HTTP o HTTPS


Repositorios de contenido en línea como (SharePoint, WebDAV, CMIS, etc.)

Cualquier puerto personalizado configurado en el que el sitio de la intranet esté escuchando.

137 a 139 y 445

CIFS o SMB


Repositorios basados en recursos compartidos de la red (archivos compartidos de Windows)

Recursos compartidos de la intranet

Tabla 1-6. Requisitos de puertos para la configuración de retransmisores-endpoints de Content Gateway

PuertoProtocolo Origen Objetivo o destino Descripción


HTTP/HTTPS

Servidor de retransmisión Unified Access Gateway (retransmisor de Content Gateway)








TCP Servicios de dispositivos Workspace ONE UEM




VMware, Inc. 15

Tabla 1-6. Requisitos de puertos para la configuración de retransmisores-endpoints de Content Gateway (continuación)

PuertoProtocolo Origen Objetivo o destino Descripción




HTTPS Retransmisor de Content Gateway Unified Access Gateway

Servidor de API de Workspace ONE UEM


HTTPS Endpoint de Unified Access Gateway Content Gateway

Servidor de API de Workspace ONE UEM

Cualquier puerto en el que escuche el repositorio.

HTTP o HTTPS


Repositorios de contenido en línea como (SharePoint, WebDAV, CMIS, etc.)

Cualquier puerto personalizado configurado en el que el sitio de la intranet esté escuchando.


HTTPS Unified Access Gateway (retransmisor de Content Gateway )



137 a 139 y 445

CIFS o SMB


Repositorios basados en recursos compartidos de la red (archivos compartidos de Windows)

Recursos compartidos de la intranet

Nota Debido a que el servicio de Content Gateway se ejecuta como un usuario que no es raíz en Unified Access Gateway, Content Gateway no puede ejecutarse en los puertos del sistema y, por lo tanto, los puertos personalizados deben ser mayores a 1024.

Tabla 1-7. Requisitos de puertos para VMware Tunnel

PuertoProtocolo Origen Objetivo o destino Verificación

Aviso (consulte la sección de notas en la parte inferior de la página)

2020 * HTTPS

Dispositivos (de Internet y WiFi)

Proxy de VMware Tunnel

Ejecute el siguiente comando después de la instalación: netstat -tlpn | grep [Port]

8443 * TCP, UDP


Túnel por aplicación de VMware Tunnel

Ejecute el siguiente comando después de la instalación: netstat -tlpn | grep [Port]

1


VMware, Inc. 16

Tabla 1-8. VMware Tunnel Configuración básica de endpoints



SaaS: 443

: 2001 *

HTTPS

VMware Tunnel Servidor de mensajería de nube de Workspace ONE UEM

curl -Ivv https://<AWCM

URL>:<port>/awcm/status/

ping

La respuesta esperada es HTTP 200 OK.

2

SaaS: 443

Local: 80 o 443

HTTP o HTTPS

VMware Tunnel Workspace ONE UEM Endpoint de REST API

n SaaS: https://asXXX.awmdm.

com o https://asXXX.

airwatchportals

.com

n Local: por lo general, su servidor de la consola o DS

curl -Ivv https://<API

URL>/api/mdm/ping

La respuesta esperada es HTTP 401 no autorizado.

5

80, 443, cualquier TCP

HTTP, HTTPS o TCP

VMware Tunnel Recursos internos Confirme que VMware Tunnel puede acceder a los recursos internos a través del puerto requerido.

4

514 * UDP VMware Tunnel Servidor syslog

Local: 2020

HTTPS

Workspace ONE UEM Console

Proxy de VMware Tunnel

Los usuarios locales pueden probar la conexión con el comando telnet: telnet <Tunnel Proxy URL> <port>

6

Tabla 1-9. Configuración en cascada de VMware Tunnel



SaaS: 443

Local: 2001 *

TLS v1.2

Front-end de VMware Tunnel

Servidor de mensajería de nube de Workspace ONE UEM

Verifique mediante wget a https://<AWCM URL>:<port>/

awcm/status y asegúrese de recibir una respuesta de HTTP 200.

2

8443 TLS v1.2


Back-end de VMware Tunnel

Telnet desde el front-end de VMware Tunnel hasta el servidor de back-end de VMware Tunnel en el puerto

3


VMware, Inc. 17

Tabla 1-9. Configuración en cascada de VMware Tunnel (continuación)



SaaS: 443

Local: 2001

TLS v1.2



Verifique mediante wget a https://<AWCM URL>:<port>/

awcm/status y asegúrese de recibir una respuesta de HTTP 200.

2

80 o 443

TCP Back-end de VMware Tunnel

Aplicaciones web y sitios web internos

4


TCP Back-end de VMware Tunnel

Recursos internos 4

80 o 443

HTTPS

Front-end y back-end de VMware Tunnel

Workspace ONE UEM Endpoint de REST API



airwatchportals

.com



URL>/api/mdm/ping


5


VMware, Inc. 18

Tabla 1-10. Configuración de front-end y back-end de VMware Tunnel



SaaS: 443

Local: 2001

HTTP o HTTPS



curl -Ivv https://<AWCM

URL>:<port>/awcm/status/

ping


2

80 o 443

HTTPS o HTTPS

Back-end y front-end de VMware Tunnel

Workspace ONE UEM Endpoint de REST API



airwatchportals

.com



URL>/api/mdm/ping


El endpoint de VMware Tunnel solo necesita acceder al endpoint de REST API durante la implementación inicial.

5

2010 * HTTPS



Telnet desde el front-end de VMware Tunnel hasta el servidor de back-end de VMware Tunnel en el puerto

3


HTTP, HTTPS o TCP


Recursos internos Confirme que VMware Tunnel puede acceder a los recursos internos a través del puerto requerido.

4

514 * UDP VMware Tunnel Servidor syslog

Local: 2020

HTTPS

Workspace ONE UEM Proxy de VMware Tunnel

Los usuarios locales pueden probar la conexión con el comando telnet: telnet <Tunnel Proxy URL> <port>

6

Los siguientes puntos son válidos para los requisitos de VMware Tunnel.

Nota *: este puerto puede modificarse si es necesario en función de las restricciones de su entorno.

1 Si se utiliza el puerto 443, el túnel por aplicación escuchará en el puerto 8443.

Nota Cuando los servicios de VMware Tunnel y Content Gateway están habilitados en el mismo dispositivo y el uso compartido de puertos TLS está habilitado, los nombres DNS deben ser únicos para cada servicio. Cuando no se habilita TLS, solo puede usarse un nombre DNS para ambos servicios, ya que el puerto diferenciará el tráfico entrante. (Para Content Gateway, si se utiliza el puerto 443, Content Gateway escuchará en el puerto 10443).


VMware, Inc. 19

2 Para que VMware Tunnel consulte Workspace ONE UEM Console a los fines del seguimiento y el cumplimiento.

3 Para que las topologías de front-end de VMware Tunnel reenvíen las solicitudes del dispositivo solo al back-end interno de VMware Tunnel.

4 Para las aplicaciones que utilizan VMware Tunnel para acceder a los recursos internos.

5 VMware Tunnel debe comunicarse con la API para la inicialización. Asegúrese de que haya conectividad entre REST API y el servidor de VMware Tunnel. Vaya a Grupos y configuración > Todos los ajustes > Sistema > Avanzado > URL del sitio para establecer la dirección URL del servidor de REST API. Esta página no está disponible para los clientes de SaaS. Por lo general, la dirección URL de REST API para los clientes de SaaS es la dirección URL del servidor de servicios de los dispositivos o la consola.

6 Esto es necesario para una correcta "Prueba de conexión" para el proxy de VMware Tunnel desde Workspace ONE UEM Console. El requisito es opcional y se puede omitir sin pérdida de funcionalidad en los dispositivos. Para los clientes de SaaS, es posible que Workspace ONE UEM Console ya tenga conectividad entrante con el proxy de VMware Tunnel en el puerto 2020 debido al requisito de Internet entrante en el puerto 2020.

Requisitos del sistema para la implementación de VMware Tunnel con Unified Access GatewayPara implementar VMware Tunnel con Unified Access Gateway, asegúrese de que el sistema cumpla con los siguientes requisitos:

Requisitos de hipervisorUnified Access Gateway que implementa VMware Tunnel requiere un hipervisor para implementar el dispositivo virtual. Debe tener una cuenta de administración dedicada con todos los privilegios para implementar OVF.

Hipervisores compatibles

n VMware vSphere Web Client

Nota Debe utilizar versiones específicas de productos VMware con versiones específicas de Unified Access Gateway. El dispositivo Unified Access Gateway se debe implementar en una versión de VMware vSphere que sea la misma versión que la que es compatible con los productos VMware y sus versiones respectivas.

n Microsoft Hyper-V en Windows Server 2012 R2 o Windows Server 2016


VMware, Inc. 20

Requisitos de softwareAsegúrese de que tiene la versión más reciente de Unified Access Gateway. VMware Tunnel admite la compatibilidad con versiones anteriores entre Unified Access Gateway y Consola Workspace ONE UEM. La compatibilidad con versiones anteriores le permite actualizar el servidor VMware Tunnel poco después de actualizar la Workspace ONE UEM Console. Para garantizar la paridad entre Consola Workspace ONE UEM y VMware Tunnel, considere la posibilidad de planificar una actualización temprana.

Requisitos de hardwareEl paquete de OVF para Unified Access Gateway selecciona automáticamente la configuración de la máquina virtual que VMware Tunnel necesita. Aunque esta configuración se puede cambiar, no se modifican los valores de espacio en disco, memoria o CPU a valores inferiores a los predeterminados de OVF.

Para cambiar la configuración predeterminada, desconecte la máquina virtual en vCenter. Haga clic con el botón secundario en la máquina virtual y seleccione Editar configuración.

La configuración predeterminada usa 4 GB de RAM y 2 CPU. Debe cambiar la configuración predeterminada para cumplir con los requisitos de hardware. Para gestionar todos los requisitos de carga y mantenimiento del dispositivo, considere la posibilidad de ejecutar un mínimo de dos servidores de VMware Tunnel.

Tabla 1-11. Requisitos de hardware

Número de dispositivos Hasta 40 000 40 000 a 80 000 80 000 a 120 000 120 000 a 160 000

Número de servidores 2 3 4 5

Núcleos de CPU 4 núcleos de CPU* 4 núcleos de CPU cada uno

4 núcleos de CPU cada uno

4 núcleos de CPU cada uno

RAM (GB) 8 8 8 8

Espacio de disco (GB) 10 GB para distro (Linux solamente)

400 MB para el instalador

~ 10 GB de espacio del archivo de registro**

* Es posible implementar solo un dispositivo de VMware Tunnel como parte de una implementación más pequeña. Sin embargo, para fines de tiempo de actividad y rendimiento, considere la posibilidad de implementar al menos dos servidores con equilibrio de carga con cuatro núcleos de CPU cada uno, independientemente del número de dispositivos.

** 10 GB para una implementación típica. Escale el tamaño del archivo de registro según el uso que haga del registro y los requisitos para almacenar los registros.

Requisitos de puerto para proxy VMware TunnelEl proxy de VMware Tunnel puede configurarse mediante cualquiera de los siguientes dos modelos:

n Endpoint básico (un solo nivel) mediante un endpoint de proxy de VMware Tunnel


VMware, Inc. 21

n Endpoint de retransmisión (varios niveles) mediante un endpoint de retransmisión de proxy de VMware Tunnel y uno de proxy de VMware Tunnel

Tabla 1-12. Requisitos de puertos para la configuración básica de endpoint de proxy de VMware Tunnel

Origen Destino Protocolo Puerto Verificación Notas


Endpoint de proxy de VMware Tunnel

tráfico 2020* Ejecute el siguiente comando después de la instalación: netstat -tlpn |

grep [Port]

Los dispositivos se conectan al DNS público para VMware Tunnel a través del puerto especificado.



tráfico SaaS: 443

Local: 2001*

curl -Ivv

https://<AWCM

URL>:<port>/

awcm/status/

ping


Para que el proxy de VMware Tunnel consulte Workspace ONE UEM Console para fines de conformidad y seguimiento. Para esto, es necesario admitir un mínimo de TLS 1.2.


UEM REST API

n SaaS‡: https://asXXX.awmdm.com o https://asXXX.airwatchportals.com

n Local†: Por lo general, el servidor de servicios de dispositivo o de consola

HTTP o HTTPS SaaS: 443

Local: 2001*

curl -Ivv

https://<API

URL>/api/mdm/

ping La respuesta esperada es HTTP 401

unauthorized

El proxy de VMware Tunnel debe comunicarse con la UEM REST API para la inicialización. En Workspace ONE UEM Console, vaya a Grupos y configuración > Todos los ajustes > Sistema > Avanzado > URL del sitio para establecer la URL de REST API. Esta página no está disponible para los clientes de SaaS de Workspace ONE UEM. Para los clientes de SaaS de Workspace ONE UEM, la URL de REST API es generalmente la URL de la consola o la URL de servicios de dispositivos.


VMware, Inc. 22

Tabla 1-12. Requisitos de puertos para la configuración básica de endpoint de proxy de VMware Tunnel (continuación)



Recursos internos HTTP, HTTPS o TCP


Confirme que el endpoint de proxy de VMware Tunnel puede acceder a los recursos internos a través del puerto requerido.

Para aplicaciones que utilizan el proxy de VMware Tunnel para acceder a recursos internos. Los endpoints o los puertos exactos se determinan mediante el lugar donde están ubicados estos recursos.


Servidor syslog UDP 514*



tráfico 2020* Los clientes locales† pueden probar la conexión con el comando telnet: telnet <Tunnel

ProxyURL><port>

Esto es necesario para hacer una correcta "conexión de prueba" con el endpoint de Proxy de VMware Tunnel desde Workspace ONE UEM Console.

Tabla 1-13. Requisitos de puertos para la configuración del endpoint de retransmisión de proxy de VMware Tunnel



Retransmisión de proxy de VMware Tunnel

tráfico 2020* Ejecute el siguiente comando después de la instalación: netstat -tlpn |

grep [Port]

Los dispositivos se conectan al DNS público para VMware Tunnel a través del puerto especificado.




Local: 2001*

curl -Ivv

https://<AWCM

URL>:<port>/

awcm/status/

ping


Para que el proxy de VMware Tunnel consulte Workspace ONE UEM Console para fines de conformidad y seguimiento. Para esto, es necesario admitir un mínimo de TLS 1.2.


VMware, Inc. 23

Tabla 1-13. Requisitos de puertos para la configuración del endpoint de retransmisión de proxy de VMware Tunnel (continuación)



UEM REST API




Local: 2001*

curl -Ivv

https://<API

URL>/api/mdm/


unauthorized

La retransmisión de proxy de VMware Tunnel requiere acceso a la UEM REST API solo durante la implementación inicial.

El proxy de VMware Tunnel debe comunicarse con la UEM REST API para la inicialización. En Workspace ONE UEM Console, vaya a Grupos y configuración > Todos los ajustes > Sistema > Avanzado > URL del sitio para establecer la URL de REST API. Esta página no está disponible para los clientes de SaaS de Workspace ONE UEM. Para los clientes de SaaS de Workspace ONE UEM, la URL de REST API es generalmente la URL de la consola o la URL de servicios de dispositivos.


VMware, Inc. 24




UEM REST API




Local: 2001*

curl -Ivv

https://<API

URL>/api/mdm/


unauthorized

La retransmisión de proxy de VMware Tunnel requiere acceso a la UEM REST API solo durante la implementación inicial.

El proxy de VMware Tunnel debe comunicarse con la UEM REST API para la inicialización. En Workspace ONE UEM Console, vaya a Grupos y configuración > Todos los ajustes > Sistema > Avanzado > URL del sitio para establecer la URL de REST API. Esta página no está disponible para los clientes de SaaS de Workspace ONE UEM. Para los clientes de SaaS de Workspace ONE UEM, generalmente, la URL de REST API es la URL de la consola o la URL de servicios de dispositivos.



tráfico 2010* Telnet desde la retransmisión de proxy de VMware Tunnel hacia el endpoint de proxy de VMware Tunnel en el puerto 2010.

Para reenviar solicitudes del dispositivo desde la retransmisión hacia el servidor de endpoint. Para esto, es necesario admitir un mínimo de TLS 1.2.


VMware, Inc. 25




Recursos internos HTTP, HTTPS o TCP


Confirme que el endpoint de proxy de VMware Tunnel puede acceder a los recursos internos a través del puerto requerido.

Para aplicaciones que utilizan el proxy de VMware Tunnel para acceder a recursos internos. Los endpoints o los puertos exactos se determinan mediante el lugar donde están ubicados estos recursos.


Servidor syslog UDP 514*



tráfico 2020* Los clientes locales† pueden probar la conexión con el comando telnet: telnet <Tunnel

ProxyURL><port>

Esto es necesario para hacer una correcta "conexión de prueba" con la retransmisión de proxy de VMware Tunnel desde Workspace ONE UEM Console.

NOTAS

n * Este puerto puede modificarse en función de las restricciones de su entorno.

n † Local se refiere a la ubicación de Workspace ONE UEM Console.

n ‡ Para clientes de SaaS que necesitan incluir en lista blanca comunicaciones salientes, consulte el artículo de la base de conocimientos de VMware que enumera rangos de IP actualizados: https://support.workspaceone.com/articles/115001662168-.

Requisitos de puertos para túnel por aplicación de VMwareEl túnel por aplicación de VMware se puede configurar mediante cualquiera de los siguientes dos modelos:

n Endpoint básico (un solo nivel) mediante un endpoint básico de túnel por aplicación de VMware

n Cascada (varios niveles) mediante un front-end y un back-end de túnel por aplicación de VMware


VMware, Inc. 26

https://support.workspaceone.com/articles/115001662168-


Tabla 1-14. Requisitos de puertos para la configuración de básica de endpoint de túnel por aplicación de VMware



Endpoint básico de túnel por aplicación de VMware

TCP, UDP 8443* Ejecute el siguiente comando después de la instalación: netstat -tlpn |

grep [Port]

Los dispositivos se conectan al DNS público para VMware Tunnel a través del puerto especificado. Si se utiliza el 443, el componente del túnel por aplicación escuchará en el puerto 8443.



tráfico SaaS: 443

Local: 2001*

Verifique mediante wget a https://<AWCM

URL>:<port>/

awcm/status para asegurarse de recibir una respuesta de HTTP 200.

Para que el túnel por aplicación de VMware consulte la consola de Workspace ONE UEM para fines de conformidad y seguimiento. Para esto, es necesario admitir un mínimo de TLS 1.2.


VMware, Inc. 27

Tabla 1-14. Requisitos de puertos para la configuración de básica de endpoint de túnel por aplicación de VMware (continuación)



Sitios web internos/aplicaciones web/recursos

HTTP, HTTPS o TCP

80, 443, cualquier TCP necesario

Para que aplicaciones que utilizan el túnel por aplicación de VMware obtengan acceso a recursos internos. Los endpoints o los puertos exactos se determinan mediante el lugar donde están ubicados estos recursos.


UEM REST API



HTTP o HTTPS 80 o 443 curl -Ivv

https://<API

URL>/api/mdm/


unauthorized

El túnel por aplicación de VMware debe comunicarse con la UEM REST API para la inicialización. En Workspace ONE UEM Console, vaya a Grupos y configuración > Todos los ajustes > Sistema > Avanzado > URL del sitio para establecer la URL de REST API. Esta página no está disponible para los clientes de SaaS de Workspace ONE UEM. Para los clientes de SaaS de Workspace ONE UEM, la URL de REST API es generalmente la URL de la consola o la URL de servicios de dispositivos.


VMware, Inc. 28

Tabla 1-15. Requisitos de puertos para la configuración en cascada del túnel por aplicación de VMware



Front-end de túnel por aplicación de VMware

TCP, UDP 8443* Ejecute el siguiente comando después de la instalación: netstat -tlpn |

grep [Port]

Los dispositivos se conectan al DNS público para VMware Tunnel a través del puerto especificado. Si se utiliza el 443, el componente del túnel por aplicación escuchará en el puerto 8443.



tráfico SaaS: 443

Local: 2001*


URL>:<port>/


Para que el túnel por aplicación de VMware consulte la consola de Workspace ONE UEM para fines de conformidad y seguimiento. Para esto, es necesario admitir un mínimo de TLS 1.2.


Back-end de túnel por aplicación de VMware

TCP 8443 Telnet desde el front-end de túnel por aplicación de VMware hacia back-end de túnel por aplicación de VMware en el puerto 8443.

Para reenviar solicitudes del dispositivo desde el servidor front-end al de back-end. Para esto, es necesario admitir un mínimo de TLS 1.2.



tráfico SaaS: 443

Local: 2001*


URL>:<port>/


Para que el túnel por aplicación de VMware consulte Workspace ONE UEM Console para fines de conformidad y seguimiento. Para esto, es necesario admitir un mínimo de TLS 1.2.


VMware, Inc. 29

Tabla 1-15. Requisitos de puertos para la configuración en cascada del túnel por aplicación de VMware (continuación)



Sitios web internos/aplicaciones web/recursos

HTTP, HTTPS o TCP

80, 443, cualquier TCP necesario

Para que aplicaciones que utilizan el túnel por aplicación de VMware obtengan acceso a recursos internos. Los endpoints o los puertos exactos se determinan mediante el lugar donde están ubicados estos recursos.


VMware, Inc. 30




UEM REST API




https://<API

URL>/api/mdm/


unauthorized

El túnel por aplicación de VMware debe comunicarse con la UEM REST API para la inicialización. En Workspace ONE UEM Console, vaya a Grupos y configuración > Todos los ajustes > Sistema > Avanzado > URL del sitio para establecer la URL de REST API. Esta página no está disponible para los clientes de SaaS de Workspace ONE UEM. Para los clientes de SaaS de Workspace ONE UEM, la URL de REST API es generalmente la URL de la consola o la URL de servicios de dispositivos.


UEM REST API


n Local†: Por lo general, el servidor de servicios


https://<API

URL>/api/mdm/


unauthorized

El túnel por aplicación de VMware debe comunicarse con la UEM REST API para la inicialización. En Workspace ONE UEM Console, vaya a Grupos y configuración > Todos los ajustes > Sistema > Avanzado > URL del sitio para establecer la URL de REST API. Esta página no está disponible para los clientes de SaaS de Workspace ONE


VMware, Inc. 31



de dispositivo o de consola

UEM. Para los clientes de SaaS de Workspace ONE UEM, generalmente, la URL de REST API es la URL de la consola o la URL de servicios de dispositivos.

NOTAS

n * Este puerto puede modificarse en función de las restricciones de su entorno.

n † Local se refiere a la ubicación de Workspace ONE UEM Console.

n ‡ Para clientes de SaaS que necesitan incluir en una lista blanca las comunicaciones salientes, consulte el artículo de la base de conocimientos de VMware que enumera rangos de IP actualizados: https://support.workspaceone.com/articles/115001662168-.

Para los clientes de SaaS que necesitan incluir en una lista blanca las comunicaciones salientes, consulte el siguiente artículo de la base de conocimientos que enumera rangos de IP actualizados que VMware posee en estos momentos: Rangos de IP de VMware Workspace ONE para centros de datos de SaaS.

Requisitos de conexión para interfaz de redPuede utilizar una, dos o tres interfaces de red. Cada una debe tener una dirección IP independiente. Muchas implementaciones de DMZ utilizan redes diferentes para aislar los distintos tipos de tráfico.

Configure el dispositivo virtual en función del diseño de la red DMZ en la que se implementó. Consulte con el administrador de red para obtener información sobre la red DMZ.

n Con una interfaz de red, el tráfico externo, el interno y el de administración fluyen todos por la misma subred.

n Con dos interfaces de red, el tráfico externo fluye por una subred y el tráfico de administración e interno fluye por otra.

n Con una tercera interfaz de red, el tráfico externo, el interno y el de administración tendrán cada uno su propia subred.

Nota Con varias implementaciones de interfaz de red, cada interfaz de red debe estar en una subred independiente.


VMware, Inc. 32




Unified Access GatewayTopologías de equilibrio de cargaLos dispositivos de Unified Access Gateway de la DMZ se pueden configurar para que se dirijan a un servidor o a un equilibrador de carga que lidere un grupo de servidores. Los dispositivos de Unified Access Gateway funcionan con soluciones estándar de equilibrio de carga externas que se configuran para HTTPS.

Nota Unified Access Gateway está certificado para funcionar con equilibradores de carga de Avi Vantage cuando Unified Access Gateway se implementa como un proxy inverso de web.

Si el dispositivo de Unified Access Gateway se dirige a un equilibrador de carga que lidera a los servidores, la selección de la instancia del servidor será dinámica. Por ejemplo, es posible que el equilibrador de carga realice una selección en función de la disponibilidad y del conocimiento que tenga con respecto al número de sesiones en curso de cada instancia del servidor. Las instancias del servidor incluidas en el firewall corporativo suelen tener un equilibrador de carga para permitir el acceso interno. Con Unified Access Gateway podrá dirigir el dispositivo de Unified Access Gateway al mismo equilibrador de carga que generalmente se está utilizando.

También es posible que uno o varios dispositivos de Unified Access Gateway se dirijan a una instancia individual del servidor. En ambos casos, utilice un equilibrador de carga que lidere a dos o más dispositivos de Unified Access Gateway en la DMZ.


VMware, Inc. 33

Figura 1-1. Varios dispositivos de Unified Access Gateway detrás de un equilibrador de carga

HorizonClient

Dispositivo

Unified AccessGateway

DMZ

VMware vSphere

Internet

Hosts RDSy escritorios de Horizon

Servidoresde conexión

de Horizon

Equilibradorde carga

SC SC

Protocolos de HorizonCuando un usuario de Horizon Client se conecta a un entorno de Horizon, se utilizan varios protocolos distintos. La primera conexión es siempre el protocolo principal XML-API sobre HTTPS. Si la autenticación es correcta, también se utilizan uno o varios protocolos secundarios.

n Protocolo principal de Horizon

El usuario introduce un nombre de host en Horizon Client y con esto se inicia el protocolo principal de Horizon. Se trata de un protocolo de control para autorización de autenticación y administración de sesión. El protocolo utiliza mensajes estructurados XML sobre HTTPS. Este protocolo se conoce en ocasiones como el protocolo de control XML-API de Horizon. En un entorno con equilibrado de carga, tal y como se muestra en la figura Varios dispositivos de Unified Access Gateway detrás de un equilibrador de carga, el equilibrador de carga dirige esta conexión a uno de los dispositivos de Unified Access Gateway. El equilibrador de carga suele seleccionar el dispositivo en primer lugar, basándose en la disponibilidad y, a continuación, entre los dispositivos disponibles, dirige el tráfico en función del menor número de sesiones existentes. Esta configuración distribuye uniformemente el tráfico de los distintos clientes entre el conjunto de dispositivos de Unified Access Gateway disponibles.

n Protocolos secundarios de Horizon


VMware, Inc. 34

Una vez que Horizon Client establece una comunicación segura con uno de los dispositivos de Unified Access Gateway, el usuario se autentica. Si este intento de autenticación no falla, se realizan una o varias conexiones secundarias desde Horizon Client. Estas conexiones secundarias pueden incluir lo siguiente:

n Túnel HTTPS utilizado para encapsular protocolos TCP como RDP, MMR/CDR y el canal de marco de cliente. (TCP 443)

n Protocolo de visualización Blast Extreme (TCP 443, TCP 8443, UDP 443 y UDP 8443)

n Protocolo de visualización PCoIP (TCP 4172, UDP 4172)

Estos protocolos secundarios de Horizon se deben dirigir al mismo dispositivo de Unified Access Gateway al que se dirigió el protocolo principal de Horizon. Unified Access Gateway podrá entonces autorizar los protocolos secundarios en función de la sesión del usuario autenticado. Una característica importante de seguridad de Unified Access Gateway es que Unified Access Gateway solo reenvía el tráfico al centro de datos corporativo si el tráfico se dirige en nombre de un usuario autenticado. Si los protocolos secundarios se dirigen de forma incorrecta a un dispositivo de Unified Access Gateway distinto al dispositivo del protocolo principal, los usuarios no estarán autorizados y se enviarán a la DMZ. Se producirá un error de conexión. Un problema frecuente es que los protocolos secundarios se dirigen de forma incorrecta si el equilibrador de carga no está configurado correctamente.

Consideraciones de equilibrio de carga respecto de Content Gateway y el túnel de proxyCuando utilice un equilibrador de carga con Content Gateway y el túnel de proxy, tenga en cuenta las siguientes consideraciones:

n Configure los equilibradores de carga para que envíen encabezados HTTP originales a fin de evitar problemas de conectividad del dispositivo. Content Gateway y el túnel de proxy utilizan la información del encabezado HTTP de la solicitud para autenticar los dispositivos.

n El componente del túnel por aplicación requiere la autenticación de cada cliente después de que se establezca una conexión. Una vez conectado, se crea una sesión para el cliente que se almacena en la memoria. A continuación, se usa la misma sesión para cada fragmento de datos del cliente para que los datos se puedan cifrar y descifrar utilizando la misma clave. Al diseñar una solución de equilibrio de carga, el equilibrador de carga debe configurarse con la persistencia basada en sesión/IP habilitada. Una solución alternativa puede ser utilizar round-robin de DNS en el lado del cliente, lo que significa que el cliente puede seleccionar un servidor diferente para cada conexión.

Supervisión de estadoUn equilibrador de carga supervisa el estado de cada dispositivo Unified Access Gateway mediante el envío periódico de una solicitud de HTTPS GET /favicon.ico. Por ejemplo, https://uag1.myco-dmz.com/favicon.ico. Este tipo de supervisión se configura en el equilibrador de carga. Realizará este HTTPS GET y esperará una respuesta "HTTP/1.1 200 OK" Unified Access Gateway para saber que es "correcto". Si obtiene una respuesta distinta de "HTTP/1.1 200 OK" o no obtiene ninguna respuesta, marcará el dispositivo Unified Access Gateway específico como inactivo y no intentará enrutar las solicitudes de cliente a él. Seguirá sondeando para poder detectar cuando esté disponible de nuevo.


VMware, Inc. 35

Unified Access Gateway se puede poner en modo "inactivo", tras lo cual no responderá a la solicitud de supervisión de estado del equilibrador de carga con una respuesta "HTTP/1.1 200 OK". En su lugar, responderá con "HTTP/1.1 503" para indicar que el servicio de Unified Access Gateway no está disponible temporalmente. Este ajuste a menudo se usa antes de un mantenimiento programado, una reconfiguración planificada o una actualización planificada de un dispositivo Unified Access Gateway. En este modo, el equilibrador de carga no dirigirá nuevas sesiones hacia este dispositivo, ya que se marcará como no disponible, pero permitirá que las sesiones existentes continúen hasta que el usuario se desconecte o se alcance el tiempo máximo de la sesión. En consecuencia, esta operación no interrumpirá sesiones de usuario existentes. Luego, el dispositivo estará disponible para mantenimiento después de que el temporizador de sesión general llegue al máximo, que suele ser 10 horas. Esta capacidad puede utilizarse para realizar una actualización gradual de un conjunto de dispositivos Unified Access Gateway, estrategia que provoca cero periodo de inactividad del usuario para el servicio.

Configurar Avi Vantage para el equilibrio de carga de UAG (cuando se utiliza como proxy inverso de web)La información documentada aquí le ayuda a configurar Avi Vantage, que se utiliza como solución de equilibrio de carga, para Unified Access Gateway cuando se implementa como proxy inverso de web. La configuración implica un conjunto de tareas que se deben realizar mediante el controlador de Avi.

Al utilizar la interfaz de usuario de Avi, debe crear un grupo de direcciones IP, crear un perfil de monitorización de estado personalizado, crear un grupo, instalar el certificado SSL requerido para la VIP y crear un servicio virtual.

Al utilizar la VIP que se utiliza en el servicio virtual, se puede acceder al proxy inverso de web.

Requisitos previos

n Asegúrese de que ya implementó Unified Access Gateway como un proxy inverso de web.

Implementación como proxy inverso

n Asegúrese de que el controlador de Avi esté implementado y tenga acceso a la interfaz de usuario y el controlador de Avi.

Para obtener más información sobre Avi Vantage, consulte la documentación de Avi.

Procedimiento

1 Crear un grupo de direcciones IP

Cree un grupo de direcciones IP que incluya una lista de servidores de Unified Access Gateway que deban utilizarse para el equilibrio de carga.

2 Crear un perfil de monitorización de estado personalizado

Cree un perfil de monitorización de estado para Unified Access Gateway en Avi Vantage. El perfil de monitorización de estado se utiliza para monitorizar el estado de Unified Access Gateway.


VMware, Inc. 36

3 Crear grupos

Los grupos contienen la lista de servidores de Unified Access Gateway y el perfil de monitorización de estado de Unified Access Gateway. A continuación, los grupos se agregan al servicio virtual (VS).

4 Instalar el certificado SSL requerido para la IP virtual (VIP)

La conexión SSL finaliza en el servicio virtual Avi. Por lo tanto, el certificado SSL debe asignarse al servicio virtual. Para que se produzca esta asignación, es necesario instalar el certificado SSL en Avi Vantage.

5 Crear un servicio virtual

Cree un servicio virtual con la VIP del servidor de Unified Access Gateway. Esta es la VIP a la que se conectan los dispositivos cliente.

Crear un grupo de direcciones IPCree un grupo de direcciones IP que incluya una lista de servidores de Unified Access Gateway que deban utilizarse para el equilibrio de carga.

Debido a que los mismos servidores de Unified Access Gateway se utilizan como miembros de grupo en dos grupos diferentes, los grupos de direcciones IP se pueden asociar al grupo en lugar de asociar servidores directamente al grupo. Cualquier cambio en la configuración de los miembros del grupo, como la adición o la eliminación de servidores, debe realizarse en el nivel del grupo de IP.

Procedimiento

1 En la interfaz de usuario de Avi Vantage, desplácese a Plantillas > Grupos.

2 Haga clic en Crear grupo de IP.

3 Introduzca el Nombre de grupo de IP.

4 En la sección Información de IP, introduzca la dirección IP de los servidores de Unified Access Gateway.

5 Haga clic en Agregar.

6 Haga clic en Guardar.

Pasos siguientes

Crear un perfil de monitorización de estado personalizado

Crear un perfil de monitorización de estado personalizadoCree un perfil de monitorización de estado para Unified Access Gateway en Avi Vantage. El perfil de monitorización de estado se utiliza para monitorizar el estado de Unified Access Gateway.

Para obtener más información sobre el perfil de monitorización de estado, consulte la documentación de Avi.


VMware, Inc. 37

Procedimiento

1 En la interfaz de usuario de Avi Vantage, desplácese hasta Plantillas > Perfiles > Monitores de estado.

2 Haga clic en Crear.

3 En la ventana Nuevo monitor de estado, introduzca la información del perfil para Unified Access Gateway.

a En Puerto del monitor de estado, introduzca el valor 443.

b En Datos de solicitud de cliente, introduzca el valor GET /favicon.ico HTTP/1.1.

c En Código de respuesta, seleccione 2XX.

d Habilite Atributos SSL.

e En Perfil SSL, seleccione System-Standard.

f En Código de respuesta de mantenimiento, introduzca el valor 503.


Pasos siguientes

Crear grupos

Crear gruposLos grupos contienen la lista de servidores de Unified Access Gateway y el perfil de monitorización de estado de Unified Access Gateway. A continuación, los grupos se agregan al servicio virtual (VS).

Un servicio virtual típico apunta a un grupo.

Procedimiento

1 En la interfaz de usuario de Avi Vantage, desplácese a Aplicaciones > Grupos.

2 Haga clic en Crear grupo.

3 En la ventana Seleccionar nube, seleccione la nube que pertenece al tipo de infraestructura de nube VMware vCenter/vSphere ESX.

El tipo de infraestructura de nube se configura como parte de la implementación del controlador de Avi.

4 Haga clic en Siguiente.

5 En la ventana Nuevo grupo, introduzca la información necesaria, además de lo siguiente:

a En el campo Equilibrio de carga, seleccione Consistent Hash con Source IP Address como la clave de hash.

b En la sección Monitores de estado, haga clic en Agregar monitor activo.

c Seleccione el monitor de estado que se creó anteriormente para Unified Access Gateway.

6 Seleccione Habilitar SSL.


VMware, Inc. 38

7 En Perfil de SSL, elija System-Standard.


9 En la pestaña Servidores, agregue el grupo de IP de servidores de Unified Access Gateway creado anteriormente.


11 Desplácese a Avanzado > Revisar.


Pasos siguientes

Instalar el certificado SSL requerido para la IP virtual (VIP)

Instalar el certificado SSL requerido para la IP virtual (VIP)La conexión SSL finaliza en el servicio virtual Avi. Por lo tanto, el certificado SSL debe asignarse al servicio virtual. Para que se produzca esta asignación, es necesario instalar el certificado SSL en Avi Vantage.

Nota Se recomienda instalar un certificado firmado por una entidad de certificación válida, en lugar de utilizar certificados autofirmados.

Para obtener más información sobre cómo instalar el certificado SSL, consulte la documentación de Avi.

Pasos siguientes

Crear un servicio virtual

Crear un servicio virtualCree un servicio virtual con la VIP del servidor de Unified Access Gateway. Esta es la VIP a la que se conectan los dispositivos cliente.

Procedimiento

1 En la interfaz de usuario de Avi Vantage, desplácese hasta Aplicaciones > Servicios virtuales.

2 Haga clic en Crear servicio virtual > Configuración avanzada.

3 En la ventana Seleccionar nube, seleccione la nube que pertenece al tipo de infraestructura de nube VMware vCenter/vSphere ESX.

El tipo de infraestructura de nube se configura como parte de la implementación del controlador de Avi.

4 En la ventana Nuevo servicio virtual, configure el servicio virtual.

a Introduzca el nombre del servicio virtual.

b Introduzca la dirección IP virtual (VIP).

c En Servicios, introduzca el número de puerto 443.


VMware, Inc. 39

d Para el número de puerto 443, seleccione la casilla de verificación SSL.

SSL está habilitado para el puerto 443.

e En Perfil de aplicación, seleccione System-Secure-HTTP.

f Seleccione el Grupo que se creó anteriormente para Unified Access Gateway.

g En Perfil SSL, seleccione System-Standard.

h Seleccione el certificado SSL que se instaló anteriormente.


6 Desplácese a la pestaña Avanzado.


Pasos siguientes

Utilice la VIP para acceder al proxy inverso de web.

Alta disponibilidad de Unified Access GatewayUnified Access Gateway para servicios y productos de computación de usuario final requiere una alta disponibilidad para las implementaciones de Workspace ONE y VMware Horizon en las instalaciones. Sin embargo, el uso de equilibradores de carga de terceros es una cuestión añadida a la complejidad de la implementación y el proceso de solución de problemas. Esta solución reduce la necesidad de un equilibrador de cargas de terceros, en el dispositivo Unified Access Gateway en front-end con una DMZ.

Nota Esta solución no es un equilibrador de cargas de tipo genérico.

Unified Access Gateway sigue siendo compatible con los equilibradores de carga de terceros en front-end, para los usuarios que prefieren este modo de implementación. Para obtener más información, consulte el tema Topologías de equilibrio de carga de Unified Access Gateway. Unified Access Gateway de alta disponibilidad no es compatible con Amazon AWS y las implementaciones de Microsoft Azure.

ImplementaciónUnified Access Gateway requiere la dirección IP virtual de IPv4 y un ID de grupo del administrador. Unified Access Gateway asigna la dirección IP virtual a solo uno de los nodos del clúster que está configurado con la misma dirección IP virtual y el mismo ID de grupo. Si falla el dispositivo Unified Access Gateway que mantiene la dirección IP virtual, la dirección IP virtual se reasigna automáticamente a uno de los nodos disponibles en el clúster. La alta disponibilidad y la distribución de carga se produce entre los nodos del clúster que está configurado con el mismo ID de grupo.

Se envían varias conexiones procedentes de la misma dirección IP de origen al mismo dispositivo Unified Access Gateway que procesa la primera conexión de dicho cliente para Horizon y el proxy inverso de web. Esta solución admite 10.000 conexiones simultáneas en el clúster.

Nota Para estos casos se requiere la afinidad de sesión.


VMware, Inc. 40

Para VMware Tunnel (VPN por aplicación) y los servicios de Content Gateway, la alta disponibilidad y la distribución de carga se realiza con el algoritmo de conexiones mínimas.

Nota Estas conexiones son sin estado y no se requiere la afinidad de sesión.

Modo y afinidadDiferentes servicios de Unified Access Gateway requieren algoritmos distintos.

n Para VMware Horizon y el proxy inverso de web: la afinidad de la IP de origen se utiliza con el algoritmo round-robin para la distribución.

n Para VMware Tunnel (VPN por aplicación) y Content Gateway: no hay ninguna afinidad de sesión y se utiliza el algoritmo de conexiones mínimas para la distribución.

Métodos que se utilizan para distribuir el tráfico entrante:

1 Afinidad de la IP de origen: mantiene la afinidad entre la conexión del cliente y el nodo de Unified Access Gateway. Todas las conexiones con la misma dirección IP de origen se envían al mismo nodo de Unified Access Gateway.

2 Modo round-robin con alta disponibilidad: las solicitudes de conexión entrantes se distribuyen por el grupo de nodos de Unified Access Gateway secuencialmente.

3 Modo de conexiones mínimas con alta disponibilidad: se envía una nueva solicitud de conexión al nodo de Unified Access Gateway con la menor cantidad de conexiones actuales de los clientes.

Nota La afinidad de la IP de origen solo funciona si la dirección IP de la conexión entrante es única para cada conexión de cliente. Ejemplo: Si hay un componente de red, como una puerta de enlace SNAT entre los clientes y Unified Access Gateway, la afinidad de la IP de origen no funciona, ya que el tráfico entrante desde varios clientes diferentes a Unified Access Gateway tiene la misma dirección IP de origen.

Nota La dirección IP virtual debe pertenecer a la misma subred que la interfaz eth0.

Requisitos previosn La dirección IP virtual utilizada para la alta disponibilidad debe ser única y estar disponible. Unified

Access Gateway no efectúa la validación si es única durante la configuración. La dirección IP puede aparecer como asignada pero puede no ser accesible si una máquina virtual o una máquina física está asociada a la dirección IP.

n El ID de grupo deben ser único en una subred determinada. Si el ID de grupo no es único, es posible que se asigne una dirección IP virtual incoherente en el grupo. Por ejemplo, dos o más nodos de Unified Access Gateway pueden acabar intentando adquirir la misma dirección IP virtual. Esto podría provocar que la dirección IP virtual se alternara entre varios nodos de Unified Access Gateway.

n Para configurar la alta disponibilidad para Horizon o el proxy inverso de web, asegúrese de que el certificado de servidor TLS en todos los nodos de Unified Access Gateway sea el mismo.


VMware, Inc. 41

Limitacionesn La dirección IPv4 es compatible con la dirección IP virtual flotante. IPv6 no es compatible.

n Solo se admite TCP de alta disponibilidad.

n No se admite la alta disponibilidad de UDP.

n Con el caso de uso de VMware Horizon, solo el tráfico de la API de XML al servidor de conexión de Horizon usa alta disponibilidad. La alta disponibilidad no se utiliza para distribuir la carga para el tráfico (de visualización) del protocolo, como Blast, PCoIP o RDP. Por lo tanto, las direcciones IP individuales de los nodos de Unified Access Gateway también deben ser accesibles para los clientes de VMware Horizon, además de la dirección IP virtual.

Configuración necesaria para la alta disponibilidad en cada Unified Access GatewayPara configurar la alta disponibilidad en Unified Access Gateway, consulte Configurar los ajustes de alta disponibilidad.

Configurar los ajustes de alta disponibilidadPara utilizar la alta disponibilidad de Unified Access Gateway habilite y establezca la Configuración de alta disponibilidad en la IU del administrador.

Procedimiento

1 En la sección Configurar manualmente de la IU del administrador, haga clic en Seleccionar.

2 En la sección Configuración avanzada, haga clic en el icono de engranaje de Configuración de alta disponibilidad.

3 En la página Configuración de alta disponibilidad, cambie DESHABILITADO a HABILITADO para habilitar la alta disponibilidad.

4 Configure los parámetros.

Opción Descripción

Dirección IP virtual Una dirección IP virtual válida utilizada por la alta disponibilidad.

Nota La dirección IP virtual utilizada para la alta disponibilidad debe ser única y estar disponible. Si no se ha establecido una dirección única, la dirección IP puede aparecer como asignada pero puede no ser accesible si una máquina virtual o una máquina física está asociada a la dirección IP.

ID de grupo El ID de grupo para la alta disponibilidad. Introduzca un valor numérico entre 1 y 255.

Nota El ID de grupo deben ser único en una subred determinada. Si no se ha establecido un ID de grupo único, el resultado puede ser una dirección IP virtual incoherente asignada en el grupo. Por ejemplo, la presencia de una dirección IP de dos o más puertas de enlace en Unified Access Gateway puede suponer el intento de adquirir la misma dirección IP virtual.


VMware, Inc. 42


n Los distintos estados de la Configuración de alta disponibilidad indican lo siguiente:

n No configurada: indica que la Configuración de alta disponibilidad no está configurada.

n Procesando: indica que la Configuración de alta disponibilidad se está procesando para hacerse efectiva.

n Principal: indica que el nodo está seleccionado como principal del clúster y distribuye el tráfico.

n Copia de seguridad: indica que el nodo está en estado de copia de seguridad en el clúster.

n Error: indica que el nodo puede presentar errores con la configuración del proxy de alta disponibilidad.

Unified Access Gateway configurado con HorizonVarios dispositivos Unified Access Gateway están configurados con la misma configuración de Horizon y la alta disponibilidad está habilitada en cada Unified Access Gateway.

Se usa un nombre de host externo común para el protocolo de API de XML. Este nombre de host externo común se asigna a la dirección IP flotante configurada en los ajustes de alta disponibilidad en los nodos de Unified Access Gateway. El tráfico de escritorio no utiliza la alta disponibilidad y la carga no está distribuida; por lo tanto, esta solución requiere N + 1 VIP para Horizon donde N es el número de nodos de Unified Access Gateway implementados. En cada Unified Access Gateway, las URL externas de Tunnel, Blast y PCoIP deben ser direcciones IP externas o nombres de host asignados a la dirección IP eth0 del dispositivo Unified Access Gateway correspondiente. Los clientes que se conectan a través de una red deficiente y usan la conexión UDP para la API de XML llegan al mismo dispositivo Unified Access Gateway que controló la primera conexión de API de XML de UDP.


VMware, Inc. 43

Figura 1-2. Unified Access Gateway configurado con Horizon

Cliente 1

Componente de alta disp.

Puerta enlace Blast/PCoIP

Puerta enlace Blast/PCoIP

Service Manager perimetral

Service Manager perimetral

Equilibrador de carga externo

Servidor de conexión 1

Servidor de conexión 2

Escritorios de Horizon

Cliente 2

Protocolo de escritorio en UAG1 IP(Blast)

Tráfico de la API de XML en puerto 443 de IP flotante

Protocolo de escritorio en UAG2 IP(Blast)

API de XML del cliente 2

API de XML del cliente 1

UAG 2

UAG 1 (Principal)

Modo y afinidad: la afinidad se basa en la dirección IP de origen. La primera conexión desde el cliente se distribuye con el mecanismo round-robin. Sin embargo, las conexiones posteriores desde el mismo cliente se envían al mismo dispositivo Unified Access Gateway que controló la primera conexión.

Conexión de VMware Tunnel (VPN por aplicación) con la configuración básicaVMware Tunnel (VPN por aplicación) está configurado con la configuración básica en la consola de Workspace ONE UEM.

El nombre de host del servidor de Tunnel configurado en la consola de Workspace ONE UEM para la configuración de VMware Tunnel (VPN por aplicación) se resuelve en la dirección IP flotante configurada para alta disponibilidad en Unified Access Gateway. Las conexiones de esta dirección IP flotante se distribuyen entre los nodos configurados en Unified Access Gateway.


VMware, Inc. 44

Figura 1-3. Conexión de VMware Tunnel (VPN por aplicación) con la configuración básica

Cliente 1


Servicio VMware Tunnel


Servidor de back-end

Cliente 2

Acceso al servidor de back-end con nombre de host

de túnel

Tráfico del cliente 2 para el servidor de back-end

UAG 2

UAG 1 (Principal)

Tráfico del cliente 1 para el servidor

de back-end

Modo y afinidad: el algoritmo de conexiones mínimas se utiliza para la distribución de la carga y la alta disponibilidad. Se envía una nueva solicitud al servidor con la menor cantidad de conexiones actuales a los clientes. La afinidad de sesión no es necesaria, ya que son conexiones sin estado.

Conexiones de VMware Tunnel (VPN por aplicación) en el modo en cascadaVMware Tunnel (VPN por aplicación) está configurado con la configuración en cascada en la consola de Workspace ONE UEM.

Dos nombres de host de servidor de Tunnel están configurados en la consola de Workspace ONE UEMpara front-end y para back-end. Podemos implementar dos conjuntos de nodos en Unified Access Gateway para front-end y back-end, respectivamente.

Los nodos de front-end de Unified Access Gateway están configurados con un nombre de host de servidor de Tunnel de front-end. Los ajustes de alta disponibilidad en los nodos de front-end en Unified Access Gateway se configuran con una dirección IP flotante externa. El nombre de host del servidor de Tunnel de front-end se resuelve en la dirección IP flotante externa. Las conexiones de esta dirección IP flotante externa se distribuyen entre los nodos de front-end en Unified Access Gateway.

Los nodos de back-end de Unified Access Gateway están configurados con el nombre de host del servidor de Tunnel de back-end. Los ajustes de alta disponibilidad en los nodos de back-end en Unified Access Gateway se configuran con una dirección IP flotante interna. El servicio de VMware Tunnel (VPN por aplicación) en los nodos de front-end en Unified Access Gateway reenvía el tráfico de back-end con el nombre de host del servidor de Tunnel de back-end. El nombre de host del servidor de Tunnel de back-end se resuelve en la dirección IP flotante interna. Las conexiones de esta dirección IP flotante interna se distribuyen entre los nodos de back-end en Unified Access Gateway.


VMware, Inc. 45

Figura 1-4. Conexiones de VMware Tunnel (VPN por aplicación) en el modo en cascada

Cliente 1




Servidor de back-end

Cliente 2

Túnel establecido con nombre de hostde túnel de front-end

UAG de front-end UAG de back-end

Tráfico del cliente 2

UAG 2

UAG 1 (Principal)

Tráfico del cliente 1 reenviado

a nombre de host de túnel de back-end

Tráfico del cliente 2 reenviado

a nombre de host de túnel de back-end






UAG 1

UAG 2 (Principal)



Configuración básica de Content GatewayContent Gateway está configurado con la configuración básica en la consola de Workspace ONE UEM.

El nombre de host del servidor de Content Gateway configurado en la consola de Workspace ONE UEM para la configuración de Content Gateway se resuelve en la dirección IP flotante configurada para alta disponibilidad en Unified Access Gateway. Las conexiones de esta dirección IP flotante tienen la carga equilibrada entre los nodos configurados en Unified Access Gateway.


VMware, Inc. 46

Figura 1-5. Configuración básica de Content Gateway

Cliente 1


Servicio Content Gateway


Repositorio interno

Cliente 2

Acceso al repositorio

con nombre de host de CG

Tráfico del cliente 2 para repositorio interno

UAG 2

UAG 1 (Principal)

Tráfico del cliente 1 para repositorio

interno

Modo y afinidad: el algoritmo de conexiones mínimas se utiliza para la distribución de la carga y la alta disponibilidad. Se envía una nueva solicitud al servidor con la menor cantidad de conexiones actuales a los clientes. La afinidad de sesión no es necesaria, ya que están sin estado.

Content Gateway con configuración de retransmisores-endpointsContent Gateway está configurado con configuración de retransmisores-endpoints en la consola de Workspace ONE UEM.

Dos nombres de host de servidor de Content Gateway están configurados en la consola de Workspace ONE UEM para retransmisores-endpoints. Dos conjuntos de nodos en Unified Access Gateway están configurados para retransmisores-endpoints.

Los nodos de retransmisión de Unified Access Gateway están configurados con el nombre de host del servidor de Content Gateway de retransmisión. Los ajustes de alta disponibilidad de los nodos de retransmisión de Unified Access Gateway están configurados con una dirección IP flotante externa. El nombre de host del servidor de Content Gateway de retransmisión se resuelve en la dirección IP flotante externa. Las conexiones de esta dirección IP flotante externa tienen la carga equilibrada entre los nodos de retransmisión de Unified Access Gateway.

Los nodos de endpoint en Unified Access Gateway están configurados con el nombre de host del servidor de Tunnel de endpoint. Los ajustes de alta disponibilidad en los nodos de endpoint en Unified Access Gateway están configurados con una dirección IP flotante interna. El servicio de Content Gateway en el dispositivo Unified Access Gateway de front-end reenvía el tráfico al endpoint con el nombre de host del servidor de Content Gateway de endpoint. El nombre de host del servidor de Content Gateway de endpoint se resuelve en la dirección IP flotante interna. Las conexiones de esta dirección IP flotante interna tienen la carga equilibrada entre los nodos de endpoint en Unified Access Gateway.


VMware, Inc. 47

Figura 1-6. Content Gateway con configuración de retransmisores-endpoints

Cliente 1




Repositorio interno

Cliente 2

Acceso al repositorio con nombre de host de retransm. de CG

Retransmisor


UAG 2

UAG 1 (Principal)

Tráfico del cliente 1 reenviado al nombre de host

de endpoint de CG

Cliente 2 - Tráfico reenviado al nombre de host

de endpoint de CG





Endpoint


UAG 1

UAG 2 (Principal)



Diseño de la DMZ para Unified Access Gateway con varias tarjetas de interfaz de redUna de las opciones de configuración de Unified Access Gateway es el número de tarjetas de interfaz de red (NIC) virtual que se van a utilizar. Al implementar Unified Access Gateway, se selecciona la configuración de implementación para la red.

Puede especificar una configuración de una, dos o tres NIC, que aparecen como onenic, twonic o threenic.


VMware, Inc. 48

Si se reduce el número de puertos abiertos en cada LAN virtual y se separan los distintos tipos de tráfico de red, la seguridad puede mejorar significativamente. Las ventajas se traducen principalmente en términos de separación y aislamiento de los distintos tipos de tráfico de red como parte de una estrategia de diseño de seguridad extrema de la DMZ. Para conseguirlo, debe implementar distintos conmutadores físicos dentro de la DMZ con varias LAN virtuales dentro de la AMZ o como parte de una DMZ completamente administrada por VMware NSX.

Implementación típica de DMZ con una sola NICLa implementación más sencilla de Unified Access Gateway es la que tiene una sola NIC en la que todo el tráfico de red se une en una sola red. El tráfico del firewall orientado a Internet se dirige a uno de los dispositivos disponibles de Unified Access Gateway. A continuación, Unified Access Gateway redirige el tráfico autorizado a través del firewall interno hacia los recursos de la red interna. Unified Access Gateway desecha el tráfico sin autorización.

Figura 1-7. Unified Access Gateway con una sola NIC

Dispositivos UnifiedAccess Gateway con

una sola NIC quecombina tráfico de

administración,front-end y back-end

Red combinada única

Unified Access Gateway Dispositivo

DMZ

Redinterna

Firewall interno

Firewall de Internet

Equilibrador de carga

Internet

Separar el tráfico del usuario sin autenticar del tráfico de administración y back-endUna opción alternativa a la implementación de una sola NIC es especificar dos NIC. La primera se sigue utilizando para acceso sin autenticar orientado a Internet, pero el tráfico autenticado back-end y el tráfico de administración se derivan a otra red.


VMware, Inc. 49

Figura 1-8. Unified Access Gateway con dos NIC

Unified Access GatewayDispositivos con NICdoble que separan el

tráfico front-end sinautenticar del tráfico de

administración y eltráfico back-end

autenticado

Red front-end


Red combinada de administración y back-end

DMZ

Redinterna

Firewall interno



Internet

En una implementación de dos NIC, Unified Access Gateway debe autorizar el tráfico que se dirige a la red interna mediante el firewall interno. El tráfico no autorizado no se encuentra en esta red back-end. El tráfico de administración, como la REST API de Unified Access Gateway, solo se encuentra en esta segunda red.

Si un dispositivo de una red front-end sin autenticar, por ejemplo, el equilibrador de carga, se pone en peligro en esta implementación de dos NIC, no será posible volver a configurar dicho dispositivo para desviar Unified Access Gateway. Combina reglas de firewall de capa 4 con la seguridad de Unified Access Gateway de capa 7. De forma similar, si el firewall orientado a Internet se configuró erróneamente para admitir el puerto TCP 9443, la REST API de administración de Unified Access Gateway seguirá sin exponerse a los usuarios de Internet. Un principio de seguridad máxima utiliza varios niveles de protección, entre ellos, saber que un solo error de configuración o un ataque al sistema no crea necesariamente una vulnerabilidad general

En una implementación de dos NIC, puede incluir sistemas de infraestructura adicionales como servidores DNS y servidores del administrador de autenticación RSA SecurID en la red back-end dentro de la DMZ, para que estos servidores no puedan estar visibles en la red orientada a Internet. Al poner sistemas de infraestructura dentro de la DMZ, se crea una protección contra los ataques de capa 2 procedentes de la LAN orientada a Internet desde un sistema front-end y se reduce de forma eficaz la superficie general de ataque.


VMware, Inc. 50

La mayor parte del tráfico de red de Unified Access Gateway se compone de los protocolos de visualización Blast y PCoIP. Con un solo NIC, el tráfico del protocolo de visualización hacia y desde Internet se combina con el tráfico hacia y desde los sistemas back-end. Si se utilizan dos o más NIC, el tráfico se distribuye entre las redes y las NIC front-end y back-end. De esta forma se reduce el cuello de botella de una sola NIC y se generan ventajas de rendimiento.

Unified Access Gateway admite una mayor separación al permitir también la separación del tráfico de administración en una LAN de administración específica. El tráfico de administración HTTPS dirigido al puerto 9443 será entonces solo posible si procede de la LAN de administración.

Figura 1-9. Unified Access Gateway con tres NIC

Dispositivos Unified AccessGateway con tres NIC que

proporcionan una separacióncompleta del tráfico front-end

sin autentificar, el tráfico deadministración y el tráfico

back-end autenticados

Red front-end


Red back-end

DMZ

Redinterna

Firewall interno



Internet

Red de administración

Actualización sin tiempo de inactividadLa actualización sin tiempo de inactividad le permite actualizar Unified Access Gateway sin que se produzca ningún tiempo de inactividad para los usuarios.

Cuando el valor del Modo inactivo es SÍ, el dispositivo Unified Access Gateway aparece como no disponible cuando el equilibrador de carga comprueba el estado del dispositivo. Las solicitudes que llegan al equilibrador de carga se envían al siguiente dispositivo Unified Access Gateway que está tras el equilibrador de carga.

Requisitos previos

n Dos o más dispositivos de Unified Access Gateway configurados tras el equilibrador de carga.


VMware, Inc. 51

n El ajuste URL de comprobación de estado configurado con una URL a la que el equilibrador de carga se conecta para comprobar el estado del dispositivo de Unified Access Gateway.

n Compruebe el estado del dispositivo en el equilibrador de carga. Escriba el comando GET https://UAG-IP-Address:443/favicon.ico de REST API.

La respuesta es HTTP/1.1 200 OK, si el Modo inactivo está configurado como No, o bien HTTP/1.1 503, si el Modo inactivo está configurado como Sí.

Nota n No utilice ninguna dirección URL que no sea GET https://UAG-IP-Address:443/

favicon.ico. Si lo hace, se producirán respuestas de estado incorrectas y se desperdiciarán recursos.

n Si se habilita el ajuste de Alta disponibilidad, el Modo inactivo (sin tiempo de inactividad) se aplica únicamente al proxy inverso de web y a Horizon.

n Si se utilizan equilibradores de carga de terceros, el Modo inactivo (sin tiempo de inactividad) es aplicable si están configurados para realizar una comprobación de estado mediante GET /favicon.ico.

Procedimiento

1 En la sección de configuración manual de la IU del administrador, haga clic en Seleccionar.

2 En la sección Configuración avanzada, haga clic en el icono de engranaje de Configuración del sistema.

3 En la fila Modo inactivo, habilite SÍ para detener el dispositivo Unified Access Gateway.

Cuando se detiene el dispositivo, las sesiones existentes del dispositivo siguen activas durante 10 horas. Tras este tiempo, se cierran las sesiones.


Las nuevas solicitudes que llegan al equilibrador de carga se envían al siguiente dispositivo de Unified Access Gateway.

Pasos siguientes

n Para una implementación de vSphere:

a Haga una copia de seguridad del archivo JSON exportando el archivo.

b Elimine el antiguo dispositivo Unified Access Gateway.

c Implemente la nueva versión del dispositivo Unified Access Gateway.

d Importe el archivo JSON que exportó anteriormente.

n Para una implementación de PowerShell:

a Elimine el dispositivo Unified Access Gateway.


VMware, Inc. 52

b Vuelva a implementar Unified Access Gateway con el mismo archivo INI que se utilizó durante la primera implementación. Consulte Utilizar PowerShell para implementar el dispositivo de Unified Access Gateway.

Nota Si ve un mensaje de error del certificado de servidor de Tunnel después de volver a habilitar el equilibrador de carga, aplique el mismo certificado de servidor SSL y los archivos PEM de clave privada que se usaron anteriormente en el dispositivo Unified Access Gateway. Esto es necesario porque el archivo JSON o INI no pueden contener claves privadas asociadas con un certificado de servidor SSL, ya que no se pueden exportar las claves privadas por razones de seguridad. Con una implementación de PowerShell, se lleva a cabo automáticamente y no es necesario volver a aplicar el certificado.

Implementación de Unified Access Gateway sin perfil de protocolo de red (NPP)La versión más reciente de Unified Access Gateway no acepta la configuración de máscara de red o prefijo y puerta de enlace predeterminada del perfil de protocolo de red.

Debe proporcionar esta información de red mientras se implementa la instancia de Unified Access Gateway.

En caso de implementación estática, al configurar la instancia de Unified Access Gateway, especifique la dirección IPv4 o IPv6, la máscara de red o el prefijo para las NIC respectivas y la puerta de enlace predeterminada IPv4/IPv6. Si no proporciona esta información, el valor predeterminado será DHCPV4+DHCPV6 para la asignación de dirección IP.

Al configurar las propiedades de redes, tenga en cuenta lo siguiente:

n Si selecciona STATICV4 para el IPMode de una NIC, debe especificar la máscara de red y la dirección IPv4 para la NIC.

n Si selecciona STATICV6 para el IPMode de una NIC, debe especificar la máscara de red y la dirección IPv6 para la NIC.

n Si selecciona STATICV4 y STATICV6 para el IPMode de una NIC, debe especificar la máscara de red y la dirección IPv4 e IPv6 para la NIC.

n Si no proporciona la información de máscara de red y dirección, el servidor DHCP asigna los valores.

n Las propiedades de puerta de enlace predeterminada IPv4 y IPv6 son opcionales y se deben especificar si Unified Access Gateway debe comunicarse con una dirección IP que no está en un segmento local de cualquier NIC en Unified Access Gateway.

Consulte Implementar Unified Access Gateway mediante el asistente de plantillas OVF para obtener más información sobre cómo configurar las propiedades de red.


VMware, Inc. 53

Unirse al Programa de mejora de la experiencia de cliente o abandonarloEl Programa de mejora de la experiencia de cliente de VMware (CEIP) proporciona información que VMware utiliza para mejorar sus productos y servicios, corregir problemas y aconsejarle sobre cómo implementar y utilizar mejor los productos de VMware.

Este producto forma parte del Programa de mejora de la experiencia de cliente de VMware ("CEIP"). Los detalles relacionados con los datos recopilados a través del CEIP y los propósitos para los que VMware los utiliza están establecidos en el centro de garantía y fidelidad en https://www.vmware.com/es/solutions/trustvmware/ceip.html.

Puede unirse al CEIP o abandonarlo para este producto en cualquier momento desde la UI de administración.

Procedimiento

1 En Configuración avanzada > Configuración del sistema, seleccione Sí o No.

Si selecciona Sí, aparece el cuadro de diálogo del Programa de mejora de la experiencia de cliente con la casilla de verificación activada para indicar que se está uniendo el programa.

2 Revise la información en el cuadro de diálogo y haga clic en Cerrar.

3 Haga clic en Guardar en la página Configuración del sistema para guardar los cambios.


VMware, Inc. 54

https://www.vmware.com/es/solutions/trustvmware/ceip.html

https://www.vmware.com/es/solutions/trustvmware/ceip.html

Implementar dispositivo de Unified Access Gateway 2Unified Access Gateway se empaqueta como OVF y se implementa en un host vSphere ESX o ESXi como un dispositivo virtual configurado previamente.

Se pueden utilizar dos métodos principales para instalar el dispositivo de Unified Access Gateway en vSphere ESX o un host ESXi. Se admiten las funciones Hyper-V de Microsoft Server 2012 y 2016.

n Se pueden utilizar vSphere Client o vSphere Web Client para implementar la plantilla de OVF de Unified Access Gateway. Se le pedirá la configuración básica, incluida la configuración de implementación de la NIC, la dirección IP y las contraseñas de la interfaz de administración. Tras la implementación de OVF, inicie sesión en la interfaz de usuario administrador de Unified Access Gateway para configurar las opciones del sistema de Unified Access Gateway, configurar los servicios perimetrales en varios casos prácticos y configurar la autenticación en la DMZ. Consulte Implementar Unified Access Gateway mediante el asistente de plantillas OVF.

n Se pueden utilizar los scripts de PowerShell para implementar Unified Access Gateway y configurar los servicios perimetrales seguros en varios casos prácticos. Debe descargar el archivo zip, configurar el script de PowerShell para su entorno y ejecutar el script para implementar Unified Access Gateway. Consulte Utilizar PowerShell para implementar el dispositivo de Unified Access Gateway.

Nota En los casos prácticos del proxy y el túnel por aplicación, se puede implementar Unified Access Gateway en entornos ESXi o Microsoft Hyper-V.

Nota En los dos métodos de implementación anteriores, si no se proporciona la contraseña de la interfaz del usuario administrador, después no se podrá agregar un usuario de la interfaz del usuario administrador para habilitar el acceso a la interfaz del usuario administrador o la API. Si desea hacerlo, debe volver a implementar la instancia de Unified Access Gateway con una contraseña válida.


n Uso del asistente de plantillas OVF para implementar Unified Access Gateway

n Configurar Unified Access Gateway en las páginas de configuración del administrador

n Actualizar certificados SSL firmados del servidor

VMware, Inc. 55

Uso del asistente de plantillas OVF para implementar Unified Access GatewayPara implementar Unified Access Gateway, debe implementar la plantilla OVF mediante vSphere Client o vSphere Web Client, encender el dispositivo y configurar las opciones.

Cuando se implementa OVF, se establece el número de interfaces de red (NIC) necesarias, la dirección IP, el administrador y las contraseñas raíz.

Después de implementar Unified Access Gateway, diríjase a la interfaz del administrador para configurar el entorno de Unified Access Gateway. En la interfaz del administrador, configure los recursos de aplicaciones y de escritorios, así como los métodos de autenticación que se usarán en la DMZ. Para iniciar sesión en las páginas de la IU del administrador, acceda a https://<mycoUnifiedGatewayAppliance>.com:9443/admin/index.html

Implementar Unified Access Gateway mediante el asistente de plantillas OVFPara implementar el dispositivo de Unified Access Gateway, puede iniciar la sesión en vCenter Server y utilizar el asistente para Implementar plantilla OVF.

Están disponibles dos versiones de OVA para Unified Access Gateway, la básica y una versión FIPS del OVA.

La versión FIPS del OVA admite los siguientes servicios perimetrales:

n Horizon (solo autenticación pass-through)

n Túnel por aplicación de VMware

Importante La versión FIPS 140-2 se ejecuta con los hashes y el conjunto de cifrados certificados de FIPS, y tiene habilitados servicios restrictivos que admiten las bibliotecas certificadas de FIPS. Cuando Unified Access Gateway se implementa en modo FIPS, no se puede cambiar el dispositivo al modo de implementación de OVA estándar. La autenticación de Horizon Edge no está disponible en la versión FIPS.

Opciones de tamaño de Unified Access Gateway

Para simplificar la implementación del dispositivo de Unified Access Gateway como puerta de enlace de seguridad de Workspace ONE, se agregan opciones de tamaño a las configuraciones de implementación en el dispositivo. La configuración de implementación permite elegir entre una máquina virtual estándar o grande.

n Estándar: esta configuración se recomienda para las implementaciones de Horizon que admiten un máximo de 2000 conexiones de Horizon, en línea con la capacidad del servidor de conexión. También se recomienda para las implementaciones de Workspace ONE UEM (casos prácticos de dispositivos móviles) con hasta 10 000 conexiones simultáneas.


VMware, Inc. 56

n Grande: esta configuración se recomienda para implementaciones de Workspace ONE UEM en las que es necesario que Unified Access Gateway admita más de 50.000 conexiones simultáneas. Este tamaño permite que Content Gateway, el túnel por aplicación y proxy y el proxy inverso utilicen el mismo dispositivo de Unified Access Gateway.

n Muy grande: esta configuración se recomienda para implementaciones de Workspace ONE UEM. Este tamaño permite que Content Gateway, el túnel por aplicación y proxy y el proxy inverso utilicen el mismo dispositivo de Unified Access Gateway.

n Nota Opciones de máquina virtual para las implementaciones Estándar, Grande y Muy grande:



n Muy grande: 8 núcleos y 32 GB de RAM

Requisitos previos

n Revise las opciones de implementación que están disponibles en el asistente. Consulte Requisitos de red y del sistema de Unified Access Gateway.

n Determine el número de interfaces de red y direcciones IP estáticas que se deben configurar para el dispositivo de Unified Access Gateway. Consulte Requisitos de configuración de red.

n Descargue el archivo del instalador .ova para el dispositivo de Unified Access Gateway desde el sitio web de VMware en la dirección https://my.vmware.com/web/vmware/downloads, o determine la URL que se utilizará (por ejemplo: http://ejemplo.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova), donde Y.Y es el número de versión y xxxxxxx el de compilación.

n Si existe una implementación de Hyper-V, y si va a actualizar Unified Access Gateway con una IP estática, elimine el dispositivo anterior antes de implementar la instancia más reciente de Unified Access Gateway.

n Para actualizar el dispositivo anterior a una nueva instancia de Unified Access Gateway sin tiempo de inactividad para los usuarios, consulte la sección Actualización sin tiempo de inactividad.

Procedimiento

1 Utilice el vSphere Client nativo o vSphere Web Client para iniciar la sesión en una instancia de vCenter Server.

Para una red IPv4, use el vSphere Client nativo o vSphere Web Client. Para una red IPv6, use vSphere Web Client.


VMware, Inc. 57

https://my.vmware.com/web/vmware/downloads

2 Seleccione un comando de menú para iniciar el asistente de implementación de plantillas OVF.

Opción Comando de menú

vSphere Client Seleccione Archivo > Implementar plantilla OVF.

vSphere Web Client Seleccione cualquier objeto de inventario que sea un objeto padre válido de una máquina virtual, como un centro de datos, una carpeta, un clúster, un grupo de recursos o un host, y en el menú Acciones seleccione Implementar plantilla OVF.

3 En la página de selección de origen, acceda al archivo .ova que descargó o introduzca una URL y

haga clic en Siguiente.

Revise los detalles, la versión y los requisitos de tamaño del producto.

4 Siga las indicaciones y tenga en cuenta las siguientes directrices al completar los pasos del asistente. Las implementaciones de ESXi y Hyper-V tienen dos opciones para asignar la asignación de IP de Unified Access Gateway. Si está actualizando, en Hyper-V, elimine el cuadro anterior con la misma dirección IP antes de implementar el cuadro con la nueva dirección. Para ESXi, puede desactivar el cuadro anterior e implementar un nuevo cuadro con la misma dirección IP a través de una asignación estática.


Nombre y ubicación Introduzca un nombre para el dispositivo virtual de Unified Access Gateway. El nombre debe ser único dentro de la carpeta del inventario. Los nombres distinguen entre mayúsculas y minúsculas.

Seleccione una ubicación para el dispositivo virtual.

Configuración de implementación Para una red IPv4 o IPV6, puede usar una, dos o tres interfaces de red (NIC). Muchas implementaciones de DMZ utilizan redes diferentes para asegurar los distintos tipos de tráfico. Configure Unified Access Gateway en función del diseño de red de la DMZ en la que se implementó. Junto con la cantidad de NIC, también puede elegir entre las opciones de implementación Estándar o Grande de Unified Access Gateway.

Nota Opciones de máquina virtual para las implementaciones Estándar y Grande:



Host / Clúster Seleccione el host o clúster en el que se ejecutará el dispositivo virtual.

Formato del disco En entornos de evaluación y pruebas, seleccione el formato Aprovisionamiento delgado. En entornos de producción, seleccione uno de los formatos de Aprovisionamiento grueso. Thick Provision Eager Zeroed es un tipo de formato de disco virtual compatible con funciones de clúster como la tolerancia a fallos, pero se tarda mucho más en crear que otros tipos de discos virtuales.


VMware, Inc. 58


Configuración de redes/Asignación de red

Si se utiliza vSphere Web Client, la página Configuración de redes permite asignar cada NIC a una red y especificar la configuración de protocolos.

Asigne las redes usadas en la plantilla OVF a las redes del inventario.

a Seleccione la primera fila de la tabla Internet y, a continuación, haga clic en la flecha abajo para seleccionar la red de destino. Si selecciona IPv6 como el protocolo IP, debe seleccionar la red que tenga capacidades IPv6.

Después de seleccionar la fila, podrá introducir también las direcciones IP del servidor DNS, la puerta de enlace y la máscara de red en la parte inferior de la ventana.

b Si utiliza más de una NIC, seleccione la fila siguiente ManagementNetwork, seleccione la red de destino y, a continuación, podrá introducir las direcciones IP del servidor DNS, la puerta de enlace y la máscara de red de esa red.

Si solo utiliza una NIC, todas las filas se asignarán a la misma red.

c Si dispone de una tercera NIC, seleccione también la tercera fila y complete los ajustes.

Si solo utiliza dos NIC, en esta tercera fila BackendNetwork, seleccione la misma red utilizada para ManagementNetwork.

Nota Ignore el menú desplegable Protocolo IP, si se muestra, y no haga ninguna selección aquí. La selección real del protocolo IP (IPv4, IPv6 o ambos) depende del modo de IP que se haya especificado para IPMode de la NIC 1 (eth0), la NIC 2 (eth1) y la NIC 3 (eth2) al personalizar las propiedades de redes.


VMware, Inc. 59


Personalizar las propiedades de red Los cuadros de texto de la página Propiedades son específicos de Unified Access Gateway y puede que no sean necesarios para otros tipos de dispositivos virtuales. El texto de la página del asistente explica el uso de cada ajuste. Si el texto aparece recortado en la parte derecha del asistente, redimensione la ventana arrastrando desde la esquina inferior izquierda. Para cada una de las NIC, en STATICV4, debe introducir la dirección IPv4 para la NIC. Para STATICV6, debe introducir la dirección IPv6 para la NIC. Si deja los cuadros de texto en blanco, el valor predeterminado de la asignación de dirección IP será DHCPV4+DHCPV6.

Importante La versión más reciente de Unified Access Gateway no acepta los valores de máscara de red o prefijo ni la configuración de la puerta de enlace predeterminada del perfil de protocolo de red. Para configurar Unified Access Gateway con asignación de direcciones IP estáticas, debe configurar la máscara de red o el prefijo en las propiedades de red. Estos valores no se rellenan a partir de NPP.

Nota Los valores distinguen entre mayúsculas y minúsculas.

n IPMode para la NIC1 (eth0): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .



n Lista de reglas de reenvío separadas por comas con el formato {tcp|udp}/número-de-puerto-de-escucha/dirección-ip-de-destino:número-de-puerto-de-destino. Por ejemplo, para IPv4, tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443.

n Dirección IPv4 para la NIC 1 (eth0). Introduzca la dirección IPv4 para la NIC si introdujo STATICV4 como modo de NIC.

n Lista de rutas personalizadas de IPv4 separadas por comas para la NIC 1 (eth0) con el formato dirección-red-ipv4/bits-dirección-puerta-de-enlace-ipv4. Por ejemplo, 20.2.0.0/16 10.2.0.120.9.0.0/16 10.2.0.2,10.2.0.1/32

Nota Si no se especifica el valor de dirección-puerta-de-enlace-ipv4, la ruta correspondiente que se agrega tiene una puerta de enlace con valor 0.0.0.0.


n Máscara de red IPv4 para la NIC 1 (eth0). Introduzca la máscara de red IPv4 para la NIC.

n Prefijo IPv6 para la NIC 1 (eth0). Introduzca el prefijo IPv6 para la NIC.


VMware, Inc. 60


n Direcciones de servidor DNS. Introduzca separadas por espacios las direcciones IPv4 o IPv6 de los servidores de nombres de dominio para el dispositivo Unified Access Gateway. Un ejemplo de una entrada IPv4 es 192.0.2.1 192.0.2.2. Un ejemplo de una entrada IPv6 es fc00:10:112:54::1

n Puerta de enlace predeterminada IPv4. Escriba una puerta de enlace predeterminada IPv4 si Unified Access Gateway debe comunicarse con una dirección IP que no está en un segmento local de cualquier NIC en Unified Access Gateway.

n Puerta de enlace predeterminada IPv6. Introduzca la puerta de enlace predeterminada IPv6 si Unified Access Gateway debe comunicarse con una dirección IP que no está en un segmento local de cualquier NIC en Unified Access Gateway.



Nota Si no se especifica el valor de dirección-puerta-de-enlace-ipv4, la ruta correspondiente que se agrega tiene una puerta de enlace con valor 0.0.0.0


n Máscara de red IPv4 para la NIC 2 (eth1). Introduzca la máscara de red IPv4 para esta NIC.

n Prefijo IPv6 para la NIC 2 (eth1). Introduzca el prefijo IPv6 para esta NIC.





n Máscara de red IPv4 para la NIC 3 (eth2). Introduzca la máscara de red IPv4 para esta NIC.

n Prefijo IPv6 para la NIC 3 (eth2). Introduzca el prefijo IPv6 para esta NIC.

n Contraseña del usuario raíz de la máquina virtual. Introduzca la contraseña para el usuario raíz para iniciar sesión en la consola de UAG.

n Contraseña de la IU del administrador. Introduzca la contraseña para el usuario administrador para configurar Unified Access Gateway desde la IU del administrador y también acceder a la REST API.

El resto de valores son opcionales o ya tienen un valor predeterminado.

Habilitar SSH Opción para habilitar SSH para acceder a Unified Access Gateway.


VMware, Inc. 61


Permitir inicio de sesión root de SSH mediante contraseña

Opción para acceder a Unified Access Gateway mediante una contraseña y un inicio de sesión root de SSH.

De forma predeterminada, el valor de esta opción es true.

Permitir inicio de sesión root de SSH mediante par de claves

Opción para acceder a Unified Access Gateway mediante un inicio de sesión root de SSH y un par de claves pública-privada.

De forma predeterminada, este valor es false.

La IU de administrador de Unified Access Gateway tiene un campo, Claves públicas SSH, donde un administrador puede cargar claves públicas para permitir el acceso del usuario root a Unified Access Gateway al utilizar la opción de par de claves pública-privada. Para que este campo esté disponible en la IU de administrador, el valor de esta opción y de Habilitar SSH debe ser true en el momento de la implementación. Si alguna de estas opciones no es true, el campo Claves públicas SSH no está disponible en la IU de administrador.

El campo Claves públicas SSH es un ajuste avanzado del sistema en la IU de administrador. Consulte Configurar los parámetros del sistema de Unified Access Gateway.

Unirse a CEIP Seleccione Unirse al Programa de mejora de la experiencia de cliente de VMware para unirse al CEIP o desmarque la opción para abandonar el CEIP.

Importante Las opciones de SSH solo se pueden configurar durante la implementación. Por motivos de seguridad, estas opciones no se pueden modificar después de la implementación a través de la IU o la API de administrador de Unified Access Gateway.

5 En la página Listo para completar, seleccione Encender después de la implementación y haga clic en Finalizar.

En el área de estado de vCenter Server, aparecerá una tarea de implementar plantilla OVF que permite supervisar la implementación. También se puede abrir una consola en la máquina virtual para ver los mensajes de la consola que se muestran durante el inicio del sistema. También hay disponible un registro de esos mensajes en el archivo /var/log/boot.msg.

6 Después de completar la implementación, verifique que los usuarios finales se puedan conectar al dispositivo. Para ello, abra una ventana del navegador e introduzca la URL siguiente:

https://FQDN-de-dispositivo-UAG

En esta URL, FQDN-de-dispositivo-UAG es el nombre completo de dominio del dispositivo Unified Access Gateway que el servidor DNS puede resolver.

Si la implementación se realizó correctamente, aparecerá la página web proporcionada por el servidor al que Unified Access Gateway se dirige. Si la implementación no se realizó correctamente, se puede borrar la máquina virtual del dispositivo y volver a implementar el dispositivo. El error más habitual es no introducir correctamente las huellas del certificado.

Resultados

El dispositivo de Unified Access Gateway se implementa e inicia automáticamente.


VMware, Inc. 62

Pasos siguientes

n Inicie sesión en la IU del administrador de Unified Access Gateway y configure los recursos de los escritorios y de las aplicaciones para permitir el acceso remoto desde Internet mediante Unified Access Gateway, así como los métodos de autenticación que se van a utilizar en la DMZ. La URL de la consola de administración tiene el formato https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html.

Importante Debe completar la configuración posterior a la implementación de Unified Access Gateway mediante la IU del administrador. Si no se proporciona la contraseña de la IU del administrador, después no se podrá agregar un usuario de la IU del administrador para habilitar el acceso a la IU del administrador o la API. Si desea agregar un usuario de la IU del administrador, debe volver a implementar la instancia de Unified Access Gateway con una contraseña válida de la IU del administrador.

Nota Si no puede acceder a la pantalla de inicio de sesión de la IU del administrador, compruebe si la máquina virtual tiene la dirección IP que aparecía durante la instalación del OVA. Si la dirección IP no está configurada, use el comando VAMI mencionado en la IU para volver a configurar las NIC. Ejecute el comando "cd /opt/vmware/share/vami" y, a continuación, el comando "./vami_config_net".

Configurar Unified Access Gateway en las páginas de configuración del administradorUna vez que OVF esté implementado y el dispositivo de Unified Access Gateway encendido, inicie sesión en la interfaz de usuario administrador de Unified Access Gateway para configurar las opciones siguientes.

Nota Al iniciar la consola de administración de Unified Access Gateway por primera vez, deberá cambiar la contraseña que estableció al implementar el dispositivo.

Las páginas Configuración general y Configuración avanzada incluyen los siguientes elementos.

n Certificado de servidor TLS y configuración del sistema de Unified Access Gateway

n Configuración del servicio perimetral para Horizon, proxy inverso, VMware Tunnel y la puerta de enlace de contenido (también conocida como CG)

n Configuración de autenticación para RSA SecurID, RADIUS, certificado X.509 y autenticación adaptativa RSA

n Configuración de proveedor de servicios y proveedor de identidades de SAML

n Configuración de red

n Configuración de proveedor para comprobación de conformidad de endpoints

n Opciones de configuración del puente de identidades

n Configuración de la cuenta


VMware, Inc. 63

Se puede acceder a las siguientes opciones desde las páginas Configuración de asistencia.

n Descargue los archivos de registro de Unified Access Gateway.

n Exportar la configuración de Unified Access Gateway para recuperar las opciones de configuración.

n Establezca la configuración de nivel de registro.

n Importe la configuración de Unified Access Gateway para crear y actualizar una configuración completa de Unified Access Gateway.

Configurar los parámetros del sistema de Unified Access GatewayEn las páginas de configuración del administrador puede configurar los protocolos de seguridad y los algoritmos criptográficos que se utilizan para cifrar las comunicaciones entre los clientes y el dispositivo de Unified Access Gateway.

Requisitos previos

n Revisar las propiedades de implementación de Unified Access Gateway. La siguiente información es necesaria:

n Dirección IP estática para el dispositivo de Unified Access Gateway

n Dirección IP del servidor DNS

n Contraseña de la consola de administración

n URL de la instancia del servidor o el equilibrador de carga al que el dispositivo de Unified Access Gateway se dirige

n URL del servidor syslog para guardar los archivos de registro de eventos

Procedimiento


2 En la sección Configuración avanzada, haga clic en el icono de engranaje de Configuración del sistema.


VMware, Inc. 64

3 Edite los siguientes valores de la configuración del dispositivo de Unified Access Gateway.

Opción Valor predeterminado y descripción

Nombre de UAG El nombre único del dispositivo UAG.

Configuración regional Especifica la configuración regional que se va a utilizar al generar mensajes de error.

n en_US para inglés americano. Este es el valor predeterminado.

n ja_JP para japonés

n fr_FR para francés

n de_DE para alemán

n zh_CN para chino simplificado

n zh_TW para chino tradicional

n ko_KR para coreano

n es para español

n pt_BR para portugués de Brasil

n en_BR para inglés británico

Conjuntos de claves de cifrado En la mayoría de los casos no es necesario cambiar la configuración predeterminada. Se trata de los algoritmos criptográficos que se utilizan para cifrar las comunicaciones entre los clientes y el dispositivo de Unified Access Gateway. La configuración del cifrado se utiliza para habilitar varios protocolos de seguridad.

TLS 1.0 habilitado El valor predeterminado es NO.

Seleccione SÍ para habilitar el protocolo de seguridad TLS 1.0.

TLS 1.1 habilitado El valor predeterminado es NO.

Seleccione SÍ para habilitar el protocolo de seguridad TLS 1.1.

TLS 1.2 habilitado El valor predeterminado es YES.

El protocolo de seguridad TLS 1.2 está habilitado.

Tipo de syslog Seleccione el tipo de syslog en la lista desplegable. Las opciones son:

n UDP: los mensajes de syslog se envían a través de la red en texto sin formato a través de UDP. Esta es la opción predeterminada.

n TLS: se agrega el cifrado TLS entre dos servidores syslog para mantener los mensajes protegidos.

Nota Esto es aplicable para Unified Access Gateway 3.7 y versiones posteriores.


VMware, Inc. 65


URL de syslog Cuando el tipo de syslog se establece en UDP, esta opción está habilitada. Introduzca la URL del servidor syslog que se utiliza para registrar los eventos de Unified Access Gateway. Este valor puede ser una URL, un nombre de host o una dirección IP. Si no configura la URL del servidor syslog, no se registrará ningún evento.

Se puede proporcionar el número máximo de dos direcciones URL. Las direcciones URL están separadas por comas. Ejemplo: syslog://server1.example.com:514, syslog://server2.example.com:514

De forma predeterminada, se registran los eventos de los servicios perimetrales de Secure Email Gateway y Content Gateway. Para registrar eventos en el servidor syslog para el servicio perimetral de Tunnel Gateway configurado en Unified Access Gateway, un administrador debe configurar syslog en Workspace ONE UEM Console con la información. Syslog Hostname=localhost and Port=514

Para obtener más información sobre syslog en Workspace ONE UEM Console, consulte Configurar VMware Tunnel.

Servidores syslog Cuando el tipo de syslog se establece en TLS, esta opción está habilitada. Introduzca la URL del servidor syslog que se utiliza para registrar los eventos de Unified Access Gateway. Este valor puede ser una URL, un nombre de host o una dirección IP. Si no configura la URL del servidor syslog, no se registrará ningún evento.


De forma predeterminada, se registran los eventos de los servicios perimetrales de Secure Email Gateway y Content Gateway. Para registrar eventos en el servidor syslog para el servicio perimetral de Tunnel Gateway configurado en Unified Access Gateway, un administrador debe configurar syslog en Workspace ONE UEM Console con la información. Syslog Hostname=localhost and Port=514

Nota Esto es aplicable para Unified Access Gateway 3.7 y versiones posteriores.

URL de auditoría de Syslog Introduzca la URL del servidor syslog que se utiliza para registrar los eventos de auditoría de Unified Access Gateway. Este valor puede ser una URL, un nombre de host o una dirección IP. Si no configura la URL del servidor syslog, no se registrará ningún evento de auditoría.


Certificado CA Esta opción está habilitada cuando se agrega un servidor syslog. Seleccione un certificado de autoridad de certificación de syslog válido.

Certificado de cliente syslog Seleccione un certificado de cliente de syslog válido en el formato PEM.

Clave de certificado de cliente syslog Seleccione una clave de certificado de cliente de syslog válida en el formato PEM.

Nota Cuando se implementa Unified Access Gateway mediante PowerShell, si se proporciona un certificado o una clave no válidos o caducados, la instancia de la interfaz de usuario de administración no estará disponible.

URL de comprobación de estado Introduzca una URL a la que se conecta el equilibrador de carga y comprueba el estado de Unified Access Gateway.

Cookies que se deben almacenar en caché

Conjunto de cookies que Unified Access Gateway almacena en caché. El valor predeterminado es ninguno.


VMware, Inc. 66

https://docs.vmware.com/es/VMware-Workspace-ONE-UEM/1907/Tunnel_Linux/GUID-A41D8AAC-BA17-40DD-975A-A17126ECBAC3.html


Modo de IP Seleccione el modo de IP estática, STATICV4 O STATICV6.

Tiempo de espera de la sesión El valor predeterminado es 36.000.000 milisegundos.

Modo inactivo Habilite SÍ para pausar el dispositivo de Unified Access Gateway a fin de conseguir un estado coherente a la hora de realizar las tareas de mantenimiento

Intervalo monitor El valor predeterminado es 60.

Vigencia de la contraseña Duración de la validez de la contraseña de administrador actual. El valor predeterminado es 90 días. Indique cero (0) si la contraseña no caduca.

Tiempo de espera de solicitud Indique el tiempo de espera de la solicitud en segundos. El valor predeterminado es 3000.

Tiempo de espera de recepción de cuerpo

Indique el tiempo de espera de recepción del cuerpo en segundos. El valor predeterminado es 5000.

Máximo de conexiones por sesión Número máximo de conexiones TCP permitidas por sesión TLS.

El valor predeterminado es 16.

Para que no haya límite en el número permitido de conexiones TCP, establezca el valor de este campo en 0.

Nota Un valor de campo de 8 o inferior provoca errores en Horizon Client.

Tiempo de espera inactivo de la conexión del cliente

Especifique el tiempo (en segundos) que una conexión de cliente puede permanecer inactiva antes de que se cierre la conexión. El valor predeterminado es 360 segundos (6 minutos). Un valor de cero indica que no hay ningún tiempo de espera de inactividad.

Tiempo de espera de autenticación El tiempo de espera máximo en milisegundos antes del cual debe producirse la autenticación. El valor predeterminado es 300000. Si se especifica 0, indica que no hay ningún límite de tiempo para la autenticación.

Tolerancia de sesgo del reloj Introduzca la diferencia de tiempo permitida en segundos entre un reloj de Unified Access Gateway y los demás relojes de la misma red. El valor predeterminado es 600 segundos.

Unirse a CEIP Si se habilita, se envía información del Programa de mejora de la experiencia de cliente ("CEIP") a VMware. Consulte más información en Unirse al Programa de mejora de la experiencia de cliente o abandonarlo.

Habilitar SNMP Cambie a SÍ para habilitar el servicio SNMP. SNMP (Protocolo simple de administración de redes) recopila estadísticas del sistema e información de memoria y MIB del servicio perimetral de Tunnel mediante Unified Access Gateway. La lista de la base de información de administración (MIB) disponible,

n UCD-SNMP-MIB::systemStats

n UCD-SNMP-MIB::memory

n VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB

DNS Introduzca las direcciones de sistema de nombres de dominio que se agregan al archivo de configuración /run/systemd/resolve/resolv.conf. Debe contener una dirección de búsqueda de DNS válida. Haga clic en "+" para agregar una nueva dirección DNS.

Búsqueda de DNS Introduzca la búsqueda de sistema de nombres de dominio que se agrega al archivo de configuración /etc/resolv.conf. Debe contener una dirección de búsqueda de DNS válida. Haga clic en "+" para agregar una nueva entrada de búsqueda de DNS.


VMware, Inc. 67


Servidores NTP Servidores NTP para la sincronización del protocolo de tiempo de redes. Puede introducir direcciones IP y nombres de host válidos. Cualquier servidor NTP por interfaz obtenido de la configuración systemd-networkd.service o a través de DHCP tendrá prioridad sobre estas configuraciones. Haga clic en "+" para agregar un nuevo servidor NTP.

Servidores NTP de reserva Servidores NTP de reserva para la sincronización del protocolo de tiempo de redes. Si no se encuentra la información del servidor NTP, se utilizarán las direcciones IP o los nombres de host del servidor NTP de reserva. Haga clic en "+" para agregar un nuevo servidor NTP de reserva.

Claves públicas SSH Cargue claves públicas para habilitar el acceso de usuarios raíz a Unified Access Gateway al utilizar la opción par de claves pública-privada.

Los administradores pueden cargar varias claves públicas únicas para Unified Access Gateway.

Este campo se puede ver en la interfaz de usuario del administrador solo cuando las siguientes opciones de SSH están establecidas como true durante la implementación: Habilitar SSH y Permitir inicio de sesión root de SSH mediante par de claves. Para obtener información sobre estos métodos, consulte Implementar Unified Access Gateway mediante el asistente de plantillas OVF.


Pasos siguientes

Configure las opciones del servicio perimetral de los componentes con los que Unified Access Gateway está implementado. Una vez configuradas las opciones del servicio perimetral, configure las de autenticación.

Cambiar la configuración de redPuede modificar la configuración de red, como la dirección IP, la máscara de subred, la puerta de enlace predeterminada y el modo de asignación de direcciones IP, para las redes configuradas en la interfaz de administración.

Tenga en cuenta las siguientes limitaciones cuando modifique la configuración de red:

n IPv4 es el único modo IP compatible; IPv6 no es compatible.

n Cuando la dirección IP se cambia dinámicamente en una IP de red de administración, no se admite la redirección del explorador a la nueva dirección IP.

n Cuando se cambia la dirección IP, la máscara de subred o la puerta de enlace predeterminada para una interfaz de red de internet, se pierden todas las sesiones actuales.

Requisitos previos

n Asegúrese de haber iniciado sesión como administrador con la función ROLE_ADMIN.

n Si está cambiando la dirección IP a una dirección IP, máscara de subred o puerta de enlace predeterminada estáticas debe conocer la dirección, máscara de subred y puerta de enlace predeterminada con antelación.


VMware, Inc. 68

Procedimiento


2 En Configuración avanzada, haga clic en el icono de engranaje junto a Configuración de red.

Se muestra una lista de las redes configuradas y sus ajustes.

3 En la ventana de configuración de red, haga clic en el icono de engranaje junto a la red cuyos ajustes desee cambiar y especifique la siguiente información:

La configuración de IPv4

Etiqueta Descripción

Modo de asignación de IPv4

Decida si la dirección IP se debe asignar de forma estática o dinámica. Este parámetro debe especificarse para la asignación de direcciones IP estáticas.

Dirección IPv4 La dirección IP de la red. No es necesario especificar la dirección IP si se selecciona la asignación de direcciones IP dinámica. Este parámetro debe especificarse para la asignación de direcciones IP estáticas.

Máscara de red IPv4 Máscara de red IPv4 de la red. No es necesario especificar la máscara de red IPv4 si se selecciona la asignación de direcciones IP dinámica.

Puerta de enlace IPv4 predeterminada

Dirección de puerta de enlace IPv4 predeterminada de Unified Access Gateway. No es necesario especificar la dirección IP de puerta de enlace predeterminada si se selecciona la asignación de direcciones IP dinámica.

Rutas estáticas de IPv4 Rutas personalizadas de IPv4 para la red. Haga clic en "+" para agregar una nueva ruta estática.

Lista de rutas personalizadas de IPv4 separadas por comas para NIC con el formato dirección-red-ipv4/bits dirección-puerta-de-enlace-ipv4. Por ejemplo, 20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32.


Las configuraciones de IPv6 no se pueden modificar.


Modo de asignación de IPv6 Especifica si la dirección IP se asigna estática, dinámica o automáticamente.

Dirección IPv6 La dirección IP de la red.

Prefijo IPv6 El prefijo IPv6 de la red.

Puerta de enlace IPv6 predeterminada Dirección de puerta de enlace IPv6 predeterminada de Unified Access Gateway.


Si la configuración se modifica correctamente, se mostrará un mensaje de confirmación. Si no se puede actualizar la configuración de red, aparecerá un mensaje de error.

Configurar los ajustes de la cuenta de usuarioComo administrador superusuario que tiene acceso completo al sistema Unified Access Gateway, puede agregar y eliminar usuarios, cambiar contraseñas y modificar funciones para los usuarios desde las páginas de configuración de administración.


VMware, Inc. 69

La configuración de la cuenta, incluidos los detalles del administrador con pocos privilegios, no puede exportarse desde la configuración del dispositivo ni importarse en esta. Para configurar una nueva cuenta con pocos privilegios en una nueva instancia de Unified Access Gateway, configúrela manualmente a través de la interfaz de usuario del administrador.

Caducidad de contraseñaEl superusuario y los administradores con pocos privilegios pueden ver el tiempo que queda para que caduque la contraseña. En la página Configuración de la cuenta, el campo La contraseña caduca en (días) ofrece una cuenta regresiva del número de días que quedan hasta la fecha de caducidad de la contraseña. Gracias a este campo, los usuarios saben cuál es la fecha de caducidad de la contraseña y pueden tomar las medidas oportunas, como restablecer la contraseña.

Nota El periodo de tiempo hasta la caducidad de la contraseña se redondea al número entero inmediatamente inferior.

Por ejemplo, si el número de días que queda para que la contraseña caduque es 1 día y 23 horas, el valor que aparece es 1 día.

Agregar un administrador con pocos privilegiosAhora, es posible configurar y agregar un administrador con pocos privilegios que puede realizar un número limitado de tareas, como operaciones de solo lectura, supervisión del sistema, etc.

Nota Actualmente, solo se permite agregar un único administrador con pocos privilegios a una instancia de Unified Access Gateway.

Procedimiento


2 En Configuración avanzada, seleccione el icono de engranaje de configuración de la cuenta.

3 En la ventana Configuración de la cuenta, haga clic en Agregar.

La función se establece automáticamente como ROLE_MONITORING.

4 En la ventana Configuración de la cuenta, introduzca la siguiente información:

a Un nombre único de usuario.

b (opcional) Seleccione la casilla Habilitado si desea habilitar el usuario inmediatamente después de agregarlo.

c Introduzca una contraseña para el usuario. La contraseña debe tener al menos 8 caracteres, una mayúscula, una minúscula, un dígito y un carácter especial, entre los que se incluyen el signo ! @ # $ % * ( ).

d Confirme la contraseña.



VMware, Inc. 70

Resultados

El administrador que agregó aparece bajo Configuración de la cuenta.

Pasos siguientes

El administrador con pocos privilegios puede iniciar sesión en el sistema para cambiar la contraseña o realizar tareas de supervisión.

Modificar la configuración de la cuenta de usuarioComo administrador superusuario, puede habilitar o deshabilitar a un usuario y cambiar su contraseña.

También puede cambiar su propia contraseña, pero no deshabilitar su propia cuenta.

Procedimiento


2 En la sección Configuración avanzada, haga clic en Configuración de la cuenta.

Se mostrará una lista de usuarios.

3 Haga clic en el icono de engranaje situado junto al usuario cuya cuenta desea modificar.

4 Edite los siguientes valores.

a Active o desactive la casilla Habilitar en función de si desea habilitar o deshabilitar al usuario.

b Para restablecer la contraseña del usuario, introduzca una nueva contraseña y confírmela. Si ha iniciado sesión como administrador, deberá introducir también la contraseña antigua.

La contraseña debe tener al menos 8 caracteres, una mayúscula, una minúscula, un dígito y un carácter especial, entre los que se incluyen el signo ! @ # $ % * ( ).


Restablecer la contraseña de administrador con la consola de Unified Access GatewaySi olvida la contraseña del usuario administrador, el usuario puede iniciar sesión en la consola de Unified Access Gateway con las credenciales de usuario raíz y restablecer la contraseña de la UI de administrador.

Requisitos previos

Debe tener la contraseña para iniciar sesión en la máquina virtual como el usuario raíz o un usuario con privilegios de raíz. El usuario debe formar parte del grupo raíz.

Para obtener más información sobre la contraseña raíz, consulte Solucionar problemas de inicio de sesión del usuario raíz (root).

Procedimiento

1 Inicie sesión en el sistema operativo de la consola de Unified Access Gateway como usuario raíz.


VMware, Inc. 71

2 Introduzca los siguientes comandos para restablecer la contraseña del administrador.

adminpwd

New password for user "admin": ********

Retype new password: ********

En este ejemplo, la contraseña tiene al menos 8 caracteres, contiene al menos una letra mayúscula y una minúscula, un dígito y un carácter especial con uno de estos signos: ! @ # $ % * ( ).

Se muestra el siguiente mensaje.

adminpwd: password for "admin" updated successfully

3 Introduzca los siguientes comandos para restablecer la contraseña de un administrador con menos privilegios.

adminpwd [-u <username>]

New password for user "jdoe": ********

Retype new password: ********

La contraseña de administrador debe tener al menos 8 caracteres, una mayúscula, una minúscula, un dígito y un carácter especial, entre los que se incluyen los signos ! @ # $ % * ( ).

Se muestra el siguiente mensaje.

adminpwd: password for "jdoe" updated successfully

Resultados

La contraseña de usuario administrador se restablece correctamente.

Pasos siguientes

El usuario ahora puede iniciar sesión en la interfaz de Unified Access Gateway con la contraseña de administrador que se acaba de establecer. Se le pedirá al usuario que cambie la contraseña al iniciar sesión por primera vez después restablecerse la contraseña con el comando de CLI adminpwd.

Nota El usuario debe iniciar sesión en el primer intento después de cambiar la contraseña.

Eliminación de un usuarioComo administrador superusuario, puede eliminar un usuario que no sea raíz.

No se pueden eliminar los administradores raíz.

Procedimiento


2 En Configuración avanzada, seleccione el icono de engranaje de configuración de la cuenta.

Se mostrará una lista de usuarios.


VMware, Inc. 72

3 Haga clic en el botón "x" situado junto al usuario que desee eliminar.

Precaución El usuario se eliminará inmediatamente. Esta acción no se puede deshacer.

Resultados

La cuenta de usuario se eliminará y se mostrará un mensaje.

Configurar los ajustes de token web JSONUAG (Unified Access Gateway) admite la validación de token web de JSON (JWT). Puede configurar las opciones de token web de JSON para validar un artefacto SAML emitido por Workspace ONE Access durante el inicio de sesión único para Horizon y para admitir la función de redireccionamiento del protocolo de Horizon cuando UAG se usa con el agente universal de Horizon.

Workspace ONE Access emite un artefacto SAML de Horizon encapsulado de JWT cuando la casilla de verificación Encapsular artefacto en JWT está habilitada en la configuración de Horizon de Workspace ONE Access. Esto permite que UAG bloquee los intentos de autenticación, a menos que se suministre un JWT de confianza con el intento de autenticación de artefacto SAML.

En ambos casos de uso, debe especificar la configuración de JWT para permitir que UAG confíe en el emisor de los tokens de JWT recibidos.

Utilice una URL de clave pública dinámica para la configuración de JWT, de modo que la UAG mantenga automáticamente las claves públicas más recientes para esta confianza. Solo debe utilizar claves públicas estáticas si UAG no puede acceder a la URL de clave pública dinámica.

El siguiente procedimiento describe la configuración del token web JSON:

Procedimiento


2 En Configuración avanzada, seleccione el icono de engranaje de Configuración de JWT.

3 En la ventana Configuración de JWT, haga clic en Agregar.

4 En la ventana Configuración de la cuenta, introduzca la siguiente información:


Nombre Un nombre para identificar este ajuste para la validación.

Emisor Los valores del emisor de JWT especificados en la notificación del emisor en el token entrante que se validará.

De forma predeterminada, el valor de este campo se establece en el campo Nombre.

Nota El Emisor solo se configura para el caso de uso de redireccionamiento del protocolo del agente universal.

URL de clave pública dinámica Introduzca la URL para recuperar la clave pública dinámicamente.


VMware, Inc. 73


Huellas digitales de URL de clave pública

Introduzca la lista de huellas digitales de la URL de la clave pública. Si no proporciona una lista de huellas digitales, asegúrese de que una entidad de certificación de confianza emita los certificados del servidor. Introduzca los dígitos hexadecimales de las huellas digitales. Por ejemplo, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

Certificados de confianza Haga clic en '+' para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza. Haga clic en '-' para eliminar un certificado del almacén de confianza. De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM. Para proporcionar un nombre diferente, edite el cuadro de texto del alias.

Intervalo de actualización de clave pública

El intervalo de tiempo en segundos bajo el cual se recupera la clave pública de la URL de forma periódica.

Claves públicas estáticas Nota Si una URL de clave pública dinámica no está disponible, establezca una clave pública estática.

Haga clic en + para seleccionar y agregar una clave pública que se utilizará para la validación de JWT.

El archivo debe estar en el formato PEM.


Resultados

Los detalles de los parámetros se enumeran en Configuración de JWT.

Actualizar certificados SSL firmados del servidorPuede reemplazar los certificados firmados cuando caduquen, o sustituir los certificados predeterminados por certificados firmados por una CA.

De forma predeterminada, Unified Access Gateway utiliza un certificado de servidor TLS/SSL autofirmado. Para los entornos de producción, VMware recomienda encarecidamente que se sustituya el certificado autofirmado predeterminado por un certificado firmado por una CA de confianza para su entorno.

Tenga en cuenta las siguientes consideraciones cuando cargue un certificado:

n Puede sustituir el certificado predeterminado por un certificado PEM para el administrador y el usuario.

n Cuando se carga un certificado firmado por una CA en la interfaz de administración, el conector SSL de la interfaz de administración se actualiza y se reinicia para garantizar que el certificado cargado se aplique. Si el conector no se reinicia con el certificado firmado por una CA cargado, se generará un certificado autofirmado y se aplicará en la interfaz de administración; se notificará al usuario de que el intento anterior de cargar un certificado no tuvo éxito.

Nota Con la implementación de PowerShell de Unified Access Gateway, se puede especificar el certificado del servidor SSL. No es necesario sustituirlo manualmente.


VMware, Inc. 74

Requisitos previos

n Certificado firmado y clave privada nuevos guardados en un equipo al que puede acceder.

n Convierta los archivos del certificado al formato PEM y los archivos .pem al formato de una línea. Consulte Convertir archivos de certificado al formato PEM de una línea.

Procedimiento

1 En la consola de administración, haga clic en Seleccionar.

2 En la sección Configuración avanzada, haga clic en el icono de engranaje de Configuración de certificado de servidor SSL.

3 Seleccione la Interfaz de administración o la Interfaz de Internet para aplicar el certificado a cualquiera de las interfaces. También puede seleccionar ambas para aplicar el certificado a las dos interfaces.

4 Seleccione un tipo de certificado PEM o PFX.

5 Si el tipo de certificado es PEM:

a En la fila Clave privada, haga clic en Seleccionar y desplácese hasta el archivo de clave privada.

b Haga clic en Abrir para cargar el archivo.

c En la fila Cadena de certificados, haga clic en Seleccionar y desplácese hasta el archivo de cadena de certificados.

d Haga clic en Abrir para cargar el archivo.

6 Si el tipo de certificado es PFX:

a En la fila Cargar PFX, haga clic en Seleccionar y desplácese hasta el archivo PFX.

b Haga clic en Abrir para cargar el archivo.

c Introduzca la contraseña del certificado PFX.

d Introduzca un alias para el certificado PFX.

Puede utilizar el alias para distinguir los certificados cuando existan varios.


Resultados

Cuando el certificado se haya actualizado correctamente, se mostrará un mensaje de confirmación.


VMware, Inc. 75

Uso de PowerShell para implementar Unified Access Gateway 3Se puede utilizar un script de PowerShell para implementar Unified Access Gateway. El script de PowerShell se presenta como un script de ejemplo que puede adaptar a las necesidades específicas de su entorno.

Cuando utilice el script de PowerShell, para implementarUnified Access Gateway, el script hace una llamada al comando de OVF Tool y valida la configuración para generar automáticamente la sintaxis correcta de la línea de comandos. Este método también permite realizar una configuración avanzada como por ejemplo, que el certificado de servidor TLS/SSL se aplique en el momento de la implementación.


n Requisitos del sistema para implementar Unified Access Gateway con PowerShell

n Utilizar PowerShell para implementar el dispositivo de Unified Access Gateway

Requisitos del sistema para implementar Unified Access Gateway con PowerShellPara implementar Unified Access Gateway con el script de PowerShell, debe utilizar versiones específicas de los productos de VMware.

n El script de PowerShell se ejecuta en Windows 8.1 o versiones posteriores, o en Windows Server 2008 R2 o versiones posteriores.

n Host de VMware vSphere ESXi con un vCenter Server.

n El equipo Windows que ejecute el script debe tener el comando VMware OVF Tool instalado.

Debe instalar OVF Tool 4.0.1 o una versión posterior de https://www.vmware.com/support/developer/ovf/.

n Microsoft Hyper-V

Nota Para obtener más información, consulte la documentación de VMware Workspace ONE UEM.

VMware, Inc. 76

https://www.vmware.com/support/developer/ovf/

https://www.vmware.com/support/developer/ovf/

https://docs.vmware.com/es/VMware-Workspace-ONE-UEM/index.html

n Microsoft Azure

Nota Para obtener más información, consulte Implementación de PowerShell de Unified Access Gateway en Microsoft Azure.

n Amazon AWS EC2

Nota Para obtener más información, consulte Implementación de PowerShell de Unified Access Gateway en Amazon Web Services.

Debe seleccionar la red y el almacén de datos de vSphere que desea utilizar.


VMware, Inc. 77

https://docs.vmware.com/es/Unified-Access-Gateway/3.6/vmware-uag-powershell-azure-deployment.doc/GUID-ADC9E115-C448-4305-9377-6E911C4E663C.html

https://docs.vmware.com/es/Unified-Access-Gateway/3.6/vmware-uag-powershell-azure-deployment.doc/GUID-ADC9E115-C448-4305-9377-6E911C4E663C.html

https://docs.vmware.com/es/Unified-Access-Gateway/3.6/vmware-uag-powershell-aws-deployment.doc/GUID-BFC64731-B5DB-4B41-B8C1-7C01CD59C899.html


Utilizar PowerShell para implementar el dispositivo de Unified Access GatewayLos scripts de PowerShell preparan su entorno con todas las opciones de configuración. Si ejecuta el script de PowerShell para implementar Unified Access Gateway, la solución estará lista para producción desde la primera vez que arranque el sistema.

Importante Con una implementación de PowerShell, puede proporcionar toda la configuración en el archivo INI y la instancia de Unified Access Gateway queda lista para producción apenas arranca. Si no desea cambiar ninguna configuración posterior a la implementación, no es necesario que proporcione la contraseña de la IU del administrador.

Sin embargo, la IU del administrador y la API no estarán disponibles si no se proporcionó la contraseña de la IU del administrador durante la implementación.

Nota n Si no proporciona la contraseña de la IU del administrador en el momento de la implementación, no

podrá agregar un usuario posteriormente para habilitar el acceso a la IU del administrador o la API. Si desea agregar un usuario de la IU del administrador, debe volver a implementar la instancia de Unified Access Gateway con una contraseña válida.

n Unified Access Gateway 3.5 y las versiones posteriores incluyen una propiedad INI sshEnabled opcional. Establecer sshEnabled=true en la sección [General] del archivo PowerShell INI habilita automáticamente el acceso ssh en el dispositivo implementado. En general, VMware no recomienda habilitar ssh en Unified Access Gateway, excepto en ciertas situaciones específicas y donde se pueda restringir el acceso. Esta capacidad sirve principalmente para implementaciones de Amazon AWS EC2 donde no hay disponible un acceso alternativo a la consola.

Nota Para obtener más información sobre Amazon AWS EC2, consulte Implementación de PowerShell de Unified Access Gateway en Amazon Web Services.

Si no se especifica sshEnabled=true o está establecido en false, entonces ssh no está habilitado.

En general, no es necesario habilitar el acceso de ssh en Unified Access Gateway para vSphere, Hyper-V o las implementaciones de Microsoft Azure, ya que se puede usar el acceso a la consola con esas plataformas. Si se requiere acceso a la consola raíz para la implementación de Amazon AWS EC2, establezca sshEnabled=true. En casos donde está habilitado ssh, se debe restringir el acceso del puerto TCP 22 en firewalls o grupos de seguridad a direcciones IP de origen de administradores individuales. EC2 es compatible con esta restricción en el grupo de seguridad de EC2 asociado con las interfaces de red de Unified Access Gateway.

Requisitos previos

n En el caso de una implementación de Hyper-V, y si va a actualizar Unified Access Gateway con una IP estática, elimine el dispositivo anterior antes de implementar la instancia más reciente de Unified Access Gateway.


VMware, Inc. 78



n Compruebe que los requisitos del sistema sean correctos y estén disponibles para su uso.

Este es un script de ejemplo para implementar Unified Access Gateway en su entorno.

Figura 3-1. Script de PowerShell de ejemplo

Procedimiento

1 Descargue el archivo OVA Unified Access Gateway en My VMware en el equipo Windows.

2 Descargue los archivos ap-deploy-XXX.zip en una carpeta del equipo Windows.

Los archivos ZIP están disponibles en https://communities.vmware.com/docs/DOC-30835.

3 Abra el script de PowerShell y cambie el directorio por la ubicación de su script.

4 Cree un archivo de configuración INI para el dispositivo virtual de Unified Access Gateway.

Por ejemplo, implemente un nuevo dispositivo de Unified Access Gateway AP1. El archivo de configuración se llama ap1.ini. Este archivo contiene todas las opciones de configuración de AP1. Puede utilizar los archivos INI de muestra incluidos en el archivo apdeploy.ZIP para crear el archivo INI y modificar la configuración correctamente.

Nota n Puede tener archivos INI únicos para varias implementaciones de Unified Access Gateway en

su entorno. Debe cambiar las direcciones IP y los parámetros del nombre en el archivo INI correctamente para poder implementar varios dispositivos.

Ejemplo del archivo INI para modificar.

[General]

netManagementNetwork=

netInternet=

netBackendNetwork=


VMware, Inc. 79

https://communities.vmware.com/docs/DOC-30835

name=

dns = 192.0.2.1 192.0.2.2

dnsSearch = example1.com example2.com

ip0=10.108.120.119

diskMode=

source=

defaultGateway=10.108.120.125

target=

ds=

deploymentOption=onenic

authenticationTimeout=300000

fipsEnabled=false

uagName=UAG1

locale=en_US

ipModeforNIC3=DHCPV4_DHCPV6

tls12Enabled=true

ipMode=DHCPV4_DHCPV6

requestTimeoutMsec=10000

ipModeforNIC2=DHCPV4_DHCPV6

tls11Enabled=false

clientConnectionIdleTimeout=180

tls10Enabled=false

adminCertRolledBack=false

cookiesToBeCached=none

healthCheckUrl=/favicon.ico

quiesceMode=false

syslogUrl=10.108.120.108:514

isCiphersSetByUser=false

tlsPortSharingEnabled=true

ceipEnabled=true

bodyReceiveTimeoutMsec=15000

monitorInterval=60

cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE

_RSA_WITH_AES_128_CBC_SHA256

, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

adminPasswordExpirationDays=90

httpConnectionTimeout=120

isTLS11SetByUser=false

sessionTimeout=36000000

ssl30Enabled=false

snmpEnabled= TRUE | FALSE

ntpServers=ipOrHostname1 ipOrHostname2

fallBackNtpServers=ipOrHostname1 ipOrHostname2

sshEnabled=

sshPasswordAccessEnabled=

sshKeyAccessEnabled=

sshPublicKey1=

[WebReverseProxy1]

proxyDestinationUrl=https://10.108.120.21

trustedCert1=

instanceId=view


userNameHeader=AccessPoint-User-ID

proxyPattern=/(.*)


VMware, Inc. 80

landingPagePath=/

hostEntry1=10.108.120.21 HZNView.uagqe.auto.com

[Horizon]

proxyDestinationUrl=https://enterViewConnectionServerUrl

trustedCert1=

gatewayLocation=external

disableHtmlAccess=false


proxyDestinationIPSupport=IPV4

smartCardHintPrompt=false

queryBrokerInterval=300

proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))

matchWindowsUserName=false

windowsSSOEnabled=false

[Airwatch]

tunnelGatewayEnabled=true

tunnelProxyEnabled=true

pacFilePath=

pacFileURL=

credentialFilePath=

apiServerUsername=domain\apiusername

apiServerPassword=*****

proxyDestinationUrl=https://null

ntlmAuthentication=false


organizationGroupCode=

apiServerUrl=https://null

airwatchOutboundProxy=false

outboundProxyHost=1.2.3.4

outboundProxyPort=3128

outboundProxyUsername=proxyuser

outboundProxyPassword=****

reinitializeGatewayProcess=false

airwatchServerHostname=tunnel.acme.com

trustedCert1=c:\temp\CA-Cert-A.pem

hostEntry1=1.3.5.7 backend.acme.com

[AirwatchSecureEmailGateway]

memConfigurationId=abc123




outboundProxyHost=1.2.3.4

outboundProxyPort=3128


outboundProxyPassword=****


airwatchServerHostname=serverNameForSNI

apiServerPassword=****


pfxCerts=C:\Users\admin\My Certs\mycacerts.pfx

hostEntry1=1.3.5.7 exchange.acme.com


VMware, Inc. 81

[AirWatchContentGateway]

cgConfigId=abc123



apiServerPassword=*****

outboundProxyHost=

outboundProxyPort=


outboundProxyPassword=*****

airwatchOutboundProxy=false

hostEntry1=192.168.1.1 cgbackend.acme.com


ntlmAuthentication=false


airwatchServerHostname=cg.acme.com

[SSLCert]

pemPrivKey=

pemCerts=

pfxCerts=

pfxCertAlias=

[SSLCertAdmin]

pemPrivKey=

pemCerts=

pfxCerts=

pfxCertAlias=

[JWTSettings1]

publicKey1=

publicKey2=

publicKey3=

name=JWT_1

[JWTSettings2]

publicKey1=

publicKey2=

name=JWT_2

5 Para asegurarse de que la ejecución del script no está restringida, escriba el comando set-executionpolicy de PowerShell.

set-executionpolicy -scope currentuser unrestricted

Solo es necesario realizar esta tarea una vez para eliminar la restricción.

a (opcional) Si se muestra alguna advertencia relacionada con el script, ejecute el siguiente comando para desbloquearla: unblock-file -path .\uagdeploy.ps1

6 Ejecute el comando para iniciar la implementación. Si no especifica el archivo .INI, el script utilizará de forma predeterminada ap.ini.

.\uagdeploy.ps1 -iniFile uag1.ini


VMware, Inc. 82

7 Introduzca las credenciales cuando se le soliciten y complete el script.

Nota Si se le solicita que añada la huella digital del equipo de destino, introduzca yes.

El dispositivo de Unified Access Gateway ya está implementado y disponible para producción.

Resultados

Para obtener más información sobre los scripts de PowerShell, consulte https://communities.vmware.com/docs/DOC-30835.

Pasos siguientes

Si desea actualizar Unified Access Gateway y seguir conservando la configuración existente, edite el archivo .ini para cambiar la referencia de origen a la nueva versión y vuelva a ejecutar el archivo .ini: uagdeploy.ps1 uag1.ini. Este proceso puede tardar hasta 3 minutos.

[General]

name=UAG1

source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

Si desea realizar la actualización sin ninguna interrupción del servicio, consulte Actualización sin tiempo de inactividad.


VMware, Inc. 83



Casos prácticos de las implementaciones de Unified Access Gateway 4Los escenarios de implementación descritos en este capítulo pueden ayudarle a identificar y organizar la implementación de Unified Access Gateway en su entorno.

Puede implementar Unified Access Gateway con Horizon, Horizon Cloud with On-Premises Infrastructure, Workspace ONE Access y Workspace ONE UEM.


n Implementación con Horizon y Horizon Cloud with On-Premises Infrastructure

n Comprobaciones de conformidad de endpoints para Horizon

n Implementación como proxy inverso

n Implementación para el acceso Single Sign-On a las aplicaciones web heredadas locales

n Configurar Horizon para la integración de Unified Access Gateway y proveedores de identidades de terceros

n Componentes de Workspace ONE UEM en Unified Access Gateway

n Casos prácticos de implementación adicionales

Implementación con Horizon y Horizon Cloud with On-Premises InfrastructureUnified Access Gateway se puede implementar con Horizon Cloud with On-Premises Infrastructure y Horizon Air con infraestructura de nube.

Caso de implementaciónUnified Access Gateway ofrece acceso remoto seguro a aplicaciones y escritorios virtuales locales de un centro de datos del cliente. Esto funciona con una implementación local de Horizon u Horizon Air para tener administración unificada.

Unified Access Gateway ofrece a la empresa una gran seguridad con respecto a la identidad del usuario y controla de forma precisa el acceso a sus aplicaciones y escritorios autorizados.

VMware, Inc. 84

Los dispositivos virtuales de Unified Access Gateway se suelen implementar en una zona desmilitarizada de red (DMZ). La implementación en la DMZ garantiza que todo el tráfico que entra al centro de datos para recursos de escritorios y aplicaciones es tráfico que está controlado en nombre de usuarios con autenticación sólida. Los dispositivos virtuales de Unified Access Gateway también garantizan que el tráfico de un usuario autenticado se pueda dirigir solo a los recursos de escritorios y aplicaciones para los que dicho usuario tenga autorización. Este nivel de protección implica la inspección específica de protocolos de escritorio y la coordinación de las direcciones de red y las directivas que pueden cambiar con rapidez, para poder controlar con precisión el acceso.

La figura siguiente muestra un ejemplo de configuración que incluye firewall de front-end y de back-end.

Figura 4-1. Unified Access Gateway en la topología DMZ

Servidorde Horizon

ActiveDirectory

de Microsoft

Hosts de ESXi ejecutandomáquinas virtualesdel escritorio virtual

Redexterna

vCenterManagement

Server



Dispositivodel cliente

DMZ

Dispositivo


Debe comprobar los requisitos para poder implementar Unified Access Gateway correctamente con Horizon.

n Cuando el dispositivo de Unified Access Gateway se dirige a un equilibrador de carga que lidera a los servidores de Horizon, la selección de la instancia del servidor será dinámica.


VMware, Inc. 85

n De forma predeterminada, el puerto 8443 debe estar disponible para TCP/UDP de Blast. Sin embargo, el puerto 443 también debe estar configurado para TCP/UDP de Blast.

Nota Si configura Unified Access Gateway para usar ambos modos IPv4 e IPv6, el valor de TCP/UDP de Blast debe establecerse en el puerto 443. Puede habilitar Unified Access Gateway para que actúe como puente para los clientes de Horizon IPv6 para conectarse a un entorno de agente o un servidor de conexión de back-end IPv4. Consulte Compatibilidad con el modo dual de IPv4 e IPv6 para la infraestructura de Horizon.

n La puerta de enlace segura de Blast y la puerta de enlace segura PCoIP deben estar habilitadas al implementar Unified Access Gateway con Horizon. Esto garantiza que los protocolos de visualización puedan utilizarse como proxy automáticamente mediante Unified Access Gateway. La opciones BlastExternalURL y pcoipExternalURL especifican las direcciones de conexión utilizadas por los Horizon Client para dirigir estas conexiones de protocolo de visualización a través de las puertas de enlace correspondientes en Unified Access Gateway. Esto proporciona una mayor seguridad, ya que estas puertas de enlace garantizan que el tráfico de los protocolos de visualización esté controlado en nombre de un usuario autenticado. Unified Access Gateway omite el tráfico de los protocolos de visualización sin autorización.

n Deshabilite las puertas de enlace seguras (puertas de enlaces seguras de Blast y PCoIP) en instancias del servidor de conexión de Horizon y habilite estas puertas de enlace en los dispositivos de Unified Access Gateway.

Se recomienda que los usuarios que implementan Horizon 7 utilicen un dispositivo de Unified Access Gateway en lugar del servidor de seguridad de Horizon.

Nota Horizon Connection Server no funciona con un proxy inverso de web habilitado cuando hay una superposición en el patrón de proxy. Por lo tanto, si Horizon y una instancia de proxy inverso de web están configurados y habilitados con los patrones de proxy en la misma instancia de Unified Access Gateway, elimine el patrón de proxy '/' de la configuración de Horizon y conserve el patrón en el proxy inverso de web para evitar la superposición. Retener el patrón de proxy '/' en la instancia de proxy inverso de web garantiza que, cuando un usuario hace clic en la dirección URL de Unified Access Gateway, se muestra la página de proxy inverso de web correcta. Si solo configura las opciones de Horizon, no es necesario el cambio indicado anteriormente.

Estas son las diferencias entre el servidor de seguridad de Horizon y el dispositivo de Unified Access Gateway.

n Implementación segura. Unified Access Gateway se implementa como una máquina virtual basada en Linux reforzada, bloqueada y preconfigurada.

n Escalable. Puede conectar Unified Access Gateway a un servidor de conexión de Horizon individual, o también puede conectarlo a través de un equilibrador de carga delante de varios servidores de conexión de Horizon, lo que ofrece una mayor disponibilidad. Actúa como una capa entre los clientes de Horizon y los servidores de conexión de Horizon de back-end. Dado que la implementación es rápida, se puede ampliar o reducir de forma inmediata para satisfacer las necesidades de las empresas en constante cambio.


VMware, Inc. 86

Figura 4-2. Dispositivo de Unified Access Gateway que se dirige a un equilibrador de carga

Servidorde Horizon

ActiveDirectory

de Microsoft

Hosts de ESXi ejecutandomáquinas virtualesdel escritorio virtual

Redexterna

vCenterManagement

Server



Dispositivodel cliente

DMZ

Dispositivo


También puede tener uno o varios dispositivos de Unified Access Gateway que se dirijan a una instancia individual del servidor. En ambos casos, utilice un equilibrador de carga que lidere a dos o más dispositivos de Unified Access Gateway en la DMZ.


VMware, Inc. 87

Figura 4-3. Dispositivo de Unified Access Gateway que se dirige a una instancia del servidor de Horizon

WS1 UEM/WS1 Access

ActiveDirectory

de Microsoft

Internet

vCenterManagement

Server



Cliente WorkspaceONE

DMZ

Dispositivo Unified Access

Gateway

Firewall

FirewallZonacorporativa

Cliente Workspace ONE

ServiciosDNS/NTP

AutenticaciónLa autenticación de usuario es similar al servidor de seguridad de Horizon. Entre los métodos de autenticación de usuario que se admiten en Unified Access Gateway se incluyen los siguientes:

n Nombre de usuario y contraseña de Active Directory.

n Pantalla completa. Si desea obtener información sobre la pantalla completa, consulte la documentación de Horizon.

n Autenticación en dos fases RSA SecurID, certificada formalmente por RSA para SecurID.

n RADIUS a través de varias soluciones externas de proveedores de seguridad en dos fases.


VMware, Inc. 88

n Certificados de usuario PIV X.509, CAC o tarjeta inteligente.

n SAML.

Estos métodos de autenticación son compatibles con Horizon Connection Server. Unified Access Gateway no necesita comunicarse directamente con Active Directory. Esta comunicación funciona como proxy a través de Horizon Connection Server, que puede acceder directamente a Active Directory. Una vez que la sesión de usuario se autentique de conformidad con la directiva de autenticación, Unified Access Gateway puede reenviar solicitudes a Horizon Connection Server para pedir información de autorización, así como solicitudes de inicio de aplicaciones y escritorios. Unified Access Gateway también administra los controladores de protocolos de aplicaciones y escritorios para permitirles reenviar solo el tráfico de protocolos autorizado.

Unified Access Gateway gestiona por sí mismo la autenticación con tarjeta inteligente. Esto incluye opciones para que Unified Access Gateway se comunique con los servidores del Protocolo de estado de certificados en línea (OCSP) con el fin de comprobar la revocación del certificado X.509, entre otras cuestiones.

Compatibilidad con el modo dual de IPv4 e IPv6 para la infraestructura de HorizonPuede utilizar Unified Access Gateway para que actúe como puente a fin de que los clientes de Horizon IPv6 se conecten a un entorno de agente o un servidor de conexión de back-end IPv4.

Puede implementar Unified Access Gateway en modo de doble NIC con la NIC de front-end en modo IPv4/IPv6 mixto y la NIC de administración o back-end de Horizonen modo IPv4. El entorno de back-end de Horizon puede incluir servidores de conexión, escritorios de agente u otras infraestructuras del lado del servidor.

Nota Cuando configure Unified Access Gateway en modo IPv4/IPv6, asegúrese de que la URL externa de Blast para TCP/UDP se establezca como 443. Consulte Implementación con Horizon y Horizon Cloud with On-Premises Infrastructure y Configurar las opciones de Horizon.

Nota La función puente de IPv6 a IPv4 de Horizon no es compatible con PCoIP o Blast UDP.

Se admiten los siguientes modos de IP de cliente y servidor de Horizon.

Tabla 4-1. Configuración compatible de Horizon (modos de IP)

Modo de Horizon Client Modo de servidor Horizon Compatible

IPv4 IPv4 Sí

IPv6 IPv4 Sí

IPv6 IPv6 Sí

IPv4 IPv6 No

Al instalar un cliente de Horizon, si selecciona Selección automática o Dual, la conexión se realizará a través de IPv4 o IPv6, dependiendo de la red actual.


VMware, Inc. 89

Configuración avanzada del servicio perimetralUnified Access Gateway utiliza variables diferentes para diferenciar entre los servicios perimetrales, los servidores proxy web configurados y las direcciones URL de destino del proxy.

Patrón de proxy y patrón de UnSecureUnified Access Gateway utiliza el patrón de proxy para enviar las solicitudes HTTP entrantes al servicio perimetral adecuado, como Horizon, o a una de las instancias de proxy inverso de web configuradas, como Workspace ONE Access. Por lo tanto, se usa como filtro para decidir si se necesita un proxy inverso para procesar el tráfico entrante.

Si se selecciona un proxy inverso, el proxy usará el patrón inseguro especificado para decidir si desea permitir que el tráfico entrante vaya al back-end sin autenticar.

El usuario debe especificar un patrón de proxy, estableciendo que un patrón inseguro es opcional. El patrón inseguro es utilizado por instancias de proxy inverso web como Workspace ONE Access que tienen su propio mecanismo de inicio de sesión y quieren que algunas URL, como rutas de páginas de inicio de sesión, javascripts o recursos de imágenes se transfieran al back-end sin autenticación.

Nota Un patrón inseguro es un subconjunto del patrón de proxy y, por lo tanto, se podrían repetir algunas rutas de acceso entre ambos para un proxy inverso.

Nota El patrón también se puede utilizar para excluir determinadas URL. Por ejemplo, para permitir el paso de todas las URL pero bloquear /admin, puede utilizar la siguiente expresión. ^/(?!admin(.*))(.*)

Cada servicio perimetral puede tener un patrón diferente. Por ejemplo, el Proxy Pattern para Horizon se puede configurar como (/|/view-client(.*)|/portal(.*)|/appblast(.*)) y el patrón para Workspace ONE Access se puede configurar como (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

Nota Horizon Connection Server no funciona con un proxy inverso de web habilitado cuando hay una superposición en el patrón de proxy. Por lo tanto, si Horizon y una instancia de proxy inverso de web como Workspace ONE Access están configurados y habilitados con los patrones de proxy en la misma instancia de Unified Access Gateway, quite el patrón de proxy '/' de la configuración de Horizon y conserve el patrón en Workspace ONE Access para evitar la superposición.

Retener el patrón de proxy '/' en la instancia de proxy inverso de web (Workspace ONE Access) garantiza que, cuando un usuario hace clic en la dirección URL de Unified Access Gateway, se muestra la página de Workspace ONE Access.

Si solo configura las opciones de Horizon, no es necesario el cambio indicado anteriormente.

Patrón de host de proxySi hay varias instancias de proxy inverso de web configuradas y una superposición en los patrones de proxy, Unified Access Gateway utiliza el Proxy Host Pattern para diferenciarlos. Configure Proxy Host Pattern como el FQDN del proxy inverso.


VMware, Inc. 90

Por ejemplo, un patrón de host para Sharepoint puede configurarse como sharepoint.myco.com y un patrón para JIRA puede configurarse como jira.myco.com.

Entradas de hostConfigure este cuadro de texto solo si Unified Access Gateway no puede acceder a la aplicación o al servidor back-end. Cuando agrega la dirección IP y el nombre de host de la aplicación back-end a las entradas de host, dicha información se agrega al archivo /etc/hosts de Unified Access Gateway. Este campo es común en todas las configuraciones del servicio perimetral.

URL de destino del proxyEsta es la dirección URL de aplicación del servidor back-end de la configuración del servicio perimetral para el cual Unified Access Gateway es el proxy. Por ejemplo:

n Para Horizon Connection Server, la URL del servidor de conexión es la URL de destino del proxy.

n Para el proxy inverso de web, la dirección URL de la aplicación del proxy inverso de web configurado es la URL de destino del proxy.

Configuración de un único proxy inversoCuando Unified Access Gateway recibe una única solicitud entrante con un URI, se utiliza el patrón de proxy para decidir si la solicitud se reenvía o se descarta.

Configuración de varias instancias de proxy inverso1 Cuando Unified Access Gateway está configurado como un proxy inverso y recibe una solicitud

entrante con una ruta de acceso URI, Unified Access Gateway utiliza el patrón de proxy para emparejarla con la instancia de proxy inverso de web correcta. Si hay una coincidencia, se utiliza el patrón coincidente. Si hay varias coincidencias, se repite el proceso de filtrado y emparejamiento en el paso 2. Si no hay ninguna coincidencia, se descarta la solicitud y se envía un error HTTP 404 al cliente.

2 El patrón de host del proxy se utiliza para filtrar la lista que ya se ha filtrado en el paso 1. El encabezado del HOST se utiliza para filtrar la solicitud y buscar la instancia de proxy inverso. Si hay una coincidencia, se utiliza el patrón coincidente. Si hay varias coincidencias, se repite el proceso de filtrado y emparejamiento en el paso 3.

3 Tenga en cuenta lo siguiente:

n Se usa la primera coincidencia en la lista filtrada en el paso 2. Puede que esta coincidencia no siempre sea la instancia correcta de proxy inverso de web. Por lo tanto, asegúrese de que la combinación de patrón de proxy y patrón de host de proxy para una instancia de proxy inverso de web sea única si hay varias instancias de proxy inverso configuradas en un Unified Access Gateway.

n El nombre de host de todas las instancias de proxy inverso configuradas debe resolverse en la misma dirección IP que la dirección externa de la instancia de Unified Access Gateway.

Consulte Configurar el proxy inverso con Workspace ONE Access para obtener más información e instrucciones sobre cómo configurar un proxy inverso.


VMware, Inc. 91

Ejemplo: Dos instancias de proxy inverso configuradas con patrones de proxy contrarios, patrones de host distintosSupongamos que el patrón de proxy para el primer proxy inverso es /(.*) con el patrón de host como host1.domain.com, y que el patrón para el segundo proxy inverso es (/app2(.*)|/app3(.*)|/) con el patrón de host como host2.domain.com.

n Si se realiza una solicitud con la ruta de acceso establecida en https://host1.domain.com/app1/index.html, entonces, la solicitud se reenvía al primer proxy inverso.

n Si se realiza una solicitud con la ruta de acceso establecida en https://host2.domain.com/app2/index.html, entonces, la solicitud se reenvía al segundo proxy inverso.

Ejemplo: Dos instancias de proxy inverso con patrones de proxy mutuamente excluyentesSupongamos que el patrón de proxy para el primer proxy inverso es /app1(.*) y para el segundo proxy inverso es (/app2(.*)|/app3(.*)|/).

n Si se realiza una solicitud con la ruta de acceso establecida en https://<uag domain name>/app1/index.html, entonces, la solicitud se reenvía al primer proxy inverso.

n Si se realiza una solicitud con la ruta de acceso establecida en https://<uag domain name>/app3/index.html o https://<uag domain name>/, entonces, la solicitud se reenvía al segundo proxy inverso.

Configurar las opciones de HorizonUnified Access Gateway se puede implementar con Horizon Cloud with On-Premises Infrastructure y Horizon Air con infraestructura de nube. Para la implementación de Horizon, el dispositivo de Unified Access Gateway sustituye al servidor de seguridad de Horizon.

Requisitos previos

Si desea tener Horizon y una instancia de proxy inverso de web como Workspace ONE Access configurados y habilitados en la misma instancia de Unified Access Gateway, consulte Configuración avanzada del servicio perimetral.

Procedimiento

1 En la sección Configuración manual de la IU del administrador, haga clic en Seleccionar.

2 En Configuración general > Configuración de servicio perimetral, haga clic en Mostrar.

3 Haga clic en el icono de engranaje de Configuración de Horizon.

4 En la página Configuración de Horizon, cambie de NO a SÍ para habilitar Horizon.


VMware, Inc. 92

5 Configure los siguientes recursos de las opciones del servicio perimetral de Horizon:


Identificador Se establece de forma predeterminada como Horizon. Unified Access Gateway se puede comunicar con servidores que utilizan el protocolo XML de Horizon, como el servidor de conexión de Horizon, Horizon Air y Horizon Cloud with On-Premises Infrastructure.

URL del servidor de conexión Introduzca la dirección del servidor Horizon o del equilibrador de carga. Introdúzcala como https://00.00.00.00.

Huella digital de URL del servidor de conexión

Introduzca la lista de huellas digitales del servidor de Horizon.

Si no proporciona una lista de huellas digitales, asegúrese de que una entidad de certificación de confianza emita los certificados del servidor. Introduzca los dígitos hexadecimales de las huellas digitales. Por ejemplo, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

Habilitar PCOIP Cambie de NO a SÍ para especificar si la puerta de enlace segura de PCoIP está habilitada.

Deshabilitar certificado heredado PCOIP

Cambie de NO a SÍ para especificar que se usará el certificado de servidor SSL cargado en lugar del certificado heredado. Los clientes PCoIP heredados no funcionarán si este parámetro se establece en SÍ.

URL externa de PCoIP URL utilizada por los clientes de Horizon para establecer la sesión PCoIP de Horizon en este dispositivo de Unified Access Gateway. Debe contener una dirección IPv4 y no un nombre de host. Por ejemplo, 10.1.2.3:4172. El valor predeterminado es la dirección IP de Unified Access Gateway y el puerto 4172.

Habilitar Blast Para utilizar la puerta de enlace segura de Blast, cambie de NO a SÍ.

Modo de IP de servidor de conexión En el menú desplegable, seleccione IPv4, IPv6 o IPv4+IPv6. El valor predeterminado es IPv4.


VMware, Inc. 93

6 Para configurar la función del método de autenticación y otras opciones avanzadas, haga clic en Más.


Métodos de autenticación El método predeterminado es la autenticación Pass-Through del nombre de usuario y la contraseña.

Se admiten los siguientes métodos de autenticación: SAML, SAML and Unauthenticated, RSA SecurID, SecurID and Unauthenticated, RADIUS, RADIUS and Unauthenticated y Device Certificate.

Importante Si ha elegido cualquiera de los métodos de Unauthenticated como método de autenticación, asegúrese de configurar el Nivel de ralentización de inicio de sesión de Horizon Connection Server en Low. Esta configuración es necesaria para evitar un retraso prolongado en el tiempo de inicio de sesión de los endpoints al acceder a la aplicación o al escritorio remotos.

Para obtener más información sobre cómo configurar el Nivel de ralentización de inicio de sesión, consulte la documentación de Administración de Horizon en VMware Docs.

Habilitar SSO de Windows Esto se puede habilitar cuando los métodos de autenticación se establecen en RADIUS y cuando el código de acceso de RADIUS es el mismo que la contraseña de dominio de Windows. Cambie NO a SÍ para utilizar el nombre de usuario y el código de acceso de RADIUS para las credenciales de inicio de sesión del dominio de Windows a fin de evitar tener que volver a preguntar al usuario.

Si Horizon se configura en un entorno de varios dominios, si el nombre de usuario proporcionado no contiene un nombre de dominio, el dominio no se enviará a CS.

Si el sufijo NameID está configurado y el nombre de usuario proporcionado no contiene un nombre de dominio, el valor del sufijo NameID de la configuración se anexará al nombre de usuario. Por ejemplo, si un usuario proporcionó jdoe como nombre de usuario y NameIDSuffix está establecido en @north.int, el nombre de usuario enviado será [email protected].

Si el sufijo NameID está configurado y si el nombre de usuario proporcionado tiene el formato UPN, se omitirá el sufijo NameID. Por ejemplo, si un usuario proporcionó [email protected], [email protected], el nombre de usuario será [email protected]

Si el nombre de usuario proporcionado tiene el formato <DomainName\username>, por ejemplo, NORTH\jdoe, Unified Access Gateway envía el nombre de usuario y el nombre de dominio por separado a CS.

Atributos de clase de RADIUS Esta opción está habilitada cuando los métodos de autenticación se establecen en RADIUS. Haga clic en "+" para agregar un valor para el atributo de clase. Introduzca el nombre del atributo de clase que se utilizará para la autenticación de usuario. Haga clic en "-" para eliminar un atributo de clase.

Nota Si este campo se deja en blanco, no se realizará la autorización adicional.

Texto de renuncia de responsabilidad El texto del mensaje de exención de responsabilidades de Horizon que se muestra al usuario y que acepta el usuario en caso de que se configure el Método de autenticación.

Solicitud de la sugerencia de tarjeta inteligente

Cambie de NO a SÍ para habilitar la sugerencia de contraseña para la autenticación del certificado.

Ruta de acceso URI de comprobación de estado

La ruta de acceso URI del servidor de conexión al que se conecta Unified Access Gateway para supervisar el estado.


VMware, Inc. 94

https://docs.vmware.com/


URL externa de Blast URL utilizada por Horizon Client para establecer la sesión de Horizon Blast o BEAT a este dispositivo de Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.

Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 8443. Si no se especifica el número de puerto UDP, el puerto UDP predeterminado es también el puerto 8443.

Habilitar servidor del túnel UDP Si el ancho de banda es bajo, las conexiones se establecen a través del servidor del túnel UDP.

Certificado de proxy de Blast Certificado de proxy para Blast. Haga clic en Seleccionar para cargar un certificado en formato PEM y agregarlo al almacén de confianza de BLAST. Haga clic en Cambiar para sustituir el certificado existente.

Si el usuario carga manualmente el mismo certificado para Unified Access Gateway en el equilibrador de carga y necesita utilizar un certificado diferente para Unified Access Gateway y Blast Gateway, el establecimiento de una sesión de escritorio de Blast fallará, ya que la huella digital entre el cliente y Unified Access Gateway no coincide. La introducción de una huella digital personalizada en Unified Access Gateway o Blast Gateway resuelve este problema mediante la retransmisión de la huella digital para establecer la sesión del cliente.

Habilitar Tunnel Si se utiliza el túnel seguro de Horizon, cambie de NO a SÍ. El cliente utiliza la URL externa para conexiones de túnel a través de la puerta de enlace segura de Horizon. El túnel se utiliza para RDP, USB y tráfico de redirección multimedia (MMR).

URL externa de Tunnel URL utilizada por los clientes de Horizon para establecer la sesión de Horizon Tunnel en este dispositivo Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.

Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 443.

Certificado de proxy de Tunnel Certificado de proxy para Horizon Tunnel. Haga clic en Seleccionar para cargar un certificado en formato PEM y agregarlo al almacén de confianza de Tunnel. Haga clic en Cambiar para sustituir el certificado existente.

Si el usuario carga manualmente el mismo certificado para Unified Access Gateway en el equilibrador de carga y necesita utilizar un certificado diferente para Unified Access Gateway y Horizon Tunnel, el establecimiento de una sesión de escritorio de Tunnel fallará, ya que la huella digital entre el cliente y Unified Access Gateway no coincide. La introducción de una huella digital personalizada para Unified Access Gateway u Horizon Tunnel resuelve este problema mediante la retransmisión de la huella digital para establecer la sesión del cliente.

Proveedor para comprobación de conformidad de endpoints

Seleccione el proveedor para comprobación de conformidad de endpoints.

El valor predeterminado es OPSWAT.

Patrón de proxy Introduzca la expresión regular que coincida con los identificadores URI relacionados con la Horizon Server URL (proxyDestinationUrl). Tiene un valor predeterminado de (/|/view-client(.*)|/portal(.*)|/appblast(.*)).

Nota El patrón también se puede utilizar para excluir determinadas URL. Por ejemplo, para permitir el paso de todas las URL pero bloquear /admin, puede utilizar la siguiente expresión.^/(?!admin(.*))(.*)


VMware, Inc. 95


SP de SAML Introduzca el nombre del proveedor de servicios de SAML del agente XMLAPI de Horizon. Este nombre debe coincidir con el nombre de los metadatos del proveedor de servicios configurado o tener un valor especial de DEMO.

Etiqueta de nombre de usuario para RADIUS

Introduzca texto para personalizar la etiqueta del nombre de usuario en Horizon Client. Por ejemplo, Domain UsernameEl método de autenticación RADIUS debe estar habilitado. Para habilitar RADIUS, consulte Configurar autenticación RADIUS.

El nombre predeterminado de la etiqueta es Username.

La longitud máxima del nombre de la etiqueta es de 20 caracteres.

Etiqueta de código de acceso para RADIUS

Introduzca un nombre para personalizar la etiqueta de código de acceso en Horizon Client. Por ejemplo, PasswordEl método de autenticación RADIUS debe estar habilitado. Para habilitar RADIUS, consulte Configurar autenticación RADIUS.

El nombre predeterminado de la etiqueta es Passcode.

La longitud máxima del nombre de la etiqueta es de 20 caracteres.

Coincidir con el nombre de usuario de Windows

Cambie de NO a SÍ para hacer coincidir el nombre de usuario de RSA SecurID y de Windows. Si el valor es SÍ, securID-auth se establece en true y se aplicará la coincidencia del nombre de usuario de securID y de Windows.

Si Horizon se configura en un entorno de varios dominios, si el nombre de usuario proporcionado no contiene un nombre de dominio, el dominio no se enviará a CS.

Si el sufijo NameID está configurado y el nombre de usuario proporcionado no contiene un nombre de dominio, el valor del sufijo NameID de la configuración se anexará al nombre de usuario. Por ejemplo, si un usuario proporcionó jdoe como nombre de usuario y NameIDSuffix está establecido en @north.int, el nombre de usuario enviado será [email protected].

Si el sufijo NameID está configurado y si el nombre de usuario proporcionado tiene el formato UPN, se omitirá el sufijo NameID. Por ejemplo, si un usuario proporcionó [email protected], [email protected], el nombre de usuario será [email protected]

Si el nombre de usuario proporcionado tiene el formato <DomainName\username>, por ejemplo, NORTH\jdoe, Unified Access Gateway envía el nombre de usuario y el nombre de dominio por separado a CS.

Nota En Horizon 7, si habilita las opciones Ocultar la información del servidor en la interfaz de usuario del cliente y Ocultar la lista de dominios en la interfaz de usuario del cliente y selecciona la autenticación de dos fases (RSA SecureID o RADIUS) para la instancia del servidor de conexión, no exija que coincidan los nombres de usuarios de Windows. Exigir que coincidan los nombres de usuario de Windows evita que siempre falle el inicio de sesión si los usuarios escriben la información del dominio en el cuadro de texto de nombre de usuario. Para obtener más información, consulte los temas relacionados con la autenticación de dos factores en el documento Administración de Horizon 7.

Ubicación de la puerta de enlace La ubicación desde la que se origina la solicitud de conexión. El servidor de seguridad y Unified Access Gateway establecen la ubicación de la puerta de enlace. La ubicación puede ser External o Internal.

Importante La ubicación debe establecerse en Internal cuando se selecciona cualquiera de los siguientes métodos de autenticación: SAML and Unauthenticated, SecurID and Unauthenticated o RADIUS and Unauthenticated.


VMware, Inc. 96


Configuración de JWT Nota Para la validación del artefacto SAML de JWT de Workspace ONE Access, asegúrese de que el campo Nombre está configurado en la sección Configuración de JWT de la Configuración avanzada.

Seleccione el nombre de uno de los ajustes de Configuración de JWT.

Destinatarios de JWT Lista opcional de destinatarios previstos de la instancia de JWT utilizada para la validación de artefactos SAML de Horizon de Workspace ONE Access.

Para que la validación de JWT se realice correctamente, al menos uno de los destinatarios de esta lista debe coincidir con uno de los destinatarios especificados en la configuración de Horizon de Workspace ONE Access. Si no se especifican destinatarios de JWT, la validación de JWT no tiene en cuenta los destinatarios.

Certificados de confianza Agregue un certificado de confianza a este servicio perimetral. Haga clic en '+' para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza. Haga clic en '-' para eliminar un certificado del almacén de confianza. De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM. Edite el cuadro de texto del alias para proporcionar un nombre diferente.

Encabezados de seguridad de respuesta

Haga clic en '+' para agregar un encabezado. Introduzca el nombre del encabezado de seguridad. Introduzca el valor. Haga clic en '-' para quitar un encabezado. Editar un encabezado de seguridad existente para actualizar el nombre y el valor del encabezado.

Importante Los valores y los nombres de encabezado se guardan solo después de hacer clic en Guardar. Algunos encabezados de seguridad estándar existen de forma predeterminada. Los encabezados configurados se agregan a la respuesta al cliente de Unified Access Gateway solo si los encabezados correspondientes no están presentes en la respuesta del servidor back-end configurado.

Nota Modifique los encabezados de seguridad de respuesta con precaución. La modificación de estos parámetros puede afectar el funcionamiento seguro de Unified Access Gateway.

Asignaciones de redireccionamiento de host

Para obtener información sobre cómo UAG admite la capacidad de redireccionamiento de host HTTP y algunas consideraciones necesarias para usar esta capacidad, consulte Compatibilidad de Unified Access Gateway con el redireccionamiento de host HTTP.

n Host de origen

Introduzca el nombre de host del origen (equilibrador de carga).

n Host de redireccionamiento

Introduzca el nombre de host del dispositivo de UAG (Unified Access Gateway), cuya afinidad debe mantenerse con Horizon Client.

Entradas de host Introduzca los detalles que se agregarán en el archivo /etc/hosts. Cada entrada debe incluir una IP, un nombre de host y un alias de nombre de host opcional en este orden y separados por un espacio. Por ejemplo, 10.192.168.1 ejemplo1.com, 10.192.168.2 ejemplo2.com ejemplo-

alias. Haga clic en el signo "+" para agregar varias entradas de host.

Importante Las entradas de host solo se guardan después de hacer clic en Guardar.


VMware, Inc. 97


Destinatarios de SAML Asegúrese de que se haya seleccionado un método de autenticación SAML o SAML y Pass-Through.

Introduzca la URL de los destinatarios.

Nota Si el cuadro de texto se deja en blanco, no se restringirán los destinatarios de forma alguna.

Para comprender cómo admite UAG los destinatarios de SAML, consulte Destinatarios de SAML.

Atributo de nombre de usuario sin autenticar SAML

Introduzca el nombre del atributo personalizado

Nota Este campo solo está disponible cuando el valor de Métodos de autenticación es SAML and Unauthenticated.

Cuando UAG valida la aserción de SAML, si el nombre de atributo especificado en este campo está presente en la aserción, UAG proporciona acceso sin autenticar al nombre de usuario configurado para el atributo en el proveedor de identidad.

Para obtener más información sobre el método SAML and Unauthenticated, consulte Métodos de autenticación para la integración de Unified Access Gateway y proveedores de identidades de terceros.

Nombre de usuario sin autenticar predeterminado

Introduzca el nombre de usuario predeterminado que se debe usar para el acceso sin autenticar

Este campo está disponible en la IU de administrador cuando se selecciona uno de los siguientes Métodos de autenticación: SAML and Unauthenticated, SecurID and Unauthenticated y RADIUS and Unauthenticated.

Nota Para el método de autenticación SAML and Unauthenticated, el nombre de usuario predeterminado para el acceso sin autenticar se utiliza solo cuando el campo Atributo de nombre de usuario sin autenticar SAML está vacío o cuando falta el nombre de atributo especificado en este campo en la aserción de SAML.

Deshabilitar HTML Access Si se establece en SÍ, se deshabilita el acceso web a Horizon. Consulte más información en Configurar los ajustes de proveedor para comprobación de conformidad de endpoints para Horizon.


Supervisión de Unified Access Gateway en la Horizon ConsoleLa integración de Unified Access Gateway con la consola administrativa de Horizon proporciona visibilidad sobre información de sesión, estado y estadísticas en la IU del administrador de Horizon. Puede supervisar el estado del sistema de Unified Access Gateway.

La nueva pestaña Puerta de enlace en la consola administrativa de Horizon proporciona una funcionalidad para registrar Unified Access Gateway y eliminarlo del registro.


VMware, Inc. 98

Figura 4-4. Panel de control

La pantalla Panel de control muestra los detalles del producto Unified Access Gatewayregistrado para la versión 3.4 o una versión posterior, dominios, escritorios, uso del almacén de datos y componentes de vSphere.

Compatibilidad de Unified Access Gateway con el redireccionamiento de host HTTPLa capacidad de redireccionamiento de host HTTP se puede utilizar para simplificar los requisitos de afinidad de equilibrio de carga de Horizon en ciertos entornos de varias VIP. Para usar la capacidad de redireccionamiento de host HTTP, los administradores de UAG deben configurar el cuadro de texto Asignaciones de redireccionamiento de host en la configuración de Horizon.

Cuando una solicitud HTTP llega a UAG con el nombre de host de un equilibrador de carga, UAG responde con una redirección HTTP 307 y reemplaza el nombre de host del equilibrador de carga por el nombre de host configurado propiamente de UAG. Para las solicitudes posteriores, Horizon Client se vuelve a conectar directamente con UAG. Esto garantiza que las solicitudes siguientes no se enruten a través del equilibrador de carga. La capacidad de redireccionamiento evita problemas con el control de afinidad en los equilibradores de carga donde las solicitudes podían enviarse a la UAG incorrecta.

Por ejemplo, considere un entorno con un equilibrador de carga y dos dispositivos UAG, UAG1 y UAG2. Si una solicitud llega a UAG1 con el nombre de host del equilibrador de carga como load-balancer.example.com, UAG1 responde con un redireccionamiento de HTTP 307 y reemplaza el nombre de host del equilibrador de carga por el nombre de host configurado propiamente de UAG, uag1.example.com. Para las solicitudes posteriores, Horizon Client se vuelve a conectar directamente con UAG1.


VMware, Inc. 99

Consideraciones al utilizar el redireccionamiento de host HTTP

Es necesario tener en cuenta las siguientes consideraciones al utilizar la capacidad de redireccionamiento de host HTTP:

n Se requieren N + 1 direcciones IP virtuales, donde

N: número de dispositivos UAG implementados en el entorno

1: VIP del equilibrador de carga

n No se pueden utilizar equilibradores de carga que funcionen en la capa 7.

Para configurar los ajustes en Horizon, consulte Configurar las opciones de Horizon

Destinatarios de SAMLDestinatarios de SAML es una función compatible con UAG (Unified Access Gateway) para servicios perimetrales, como Horizon y el proxy inverso de web. Con la función Destinatarios de SAML, los administradores de UAG pueden restringir los destinatarios que acceden a las instancias de Horizon Client y las aplicaciones de back-end.

En el servicio perimetral de Horizon, los métodos de autenticación SAML y SAML y de acceso directo admiten la función Destinatarios de SAML. En el servicio perimetral de proxy inverso de web, el método de autenticación SAML solo admite la función Destinatarios de SAML cuando el puente de identidades está activado.

Si Destinatarios de SAML está configurada con valores, UAG valida esta lista de valores con los destinatarios recibidos en la aserción de SAML. Para que se acepte la aserción SAML, debe haber al menos una coincidencia. Si, por el contrario, no hay ninguna, UAG rechazará la aserción SAML. Si Destinatarios de SAML no está configurada, UAG no validará los destinatarios en la aserción SAML.

Para restringir destinatarios en el servicio perimetral de Horizon, consulte Configurar las opciones de Horizon. Para restringir destinatarios en el servicio perimetral de proxy inverso de web, consulte Configurar un proxy inverso de web para el puente de identidades (SAML a Kerberos).

Opciones de configuración de la URL externa de TCP/UDP de BlastLa puerta de enlace segura de Blast incluye redes Blast Extreme Adaptive Transport (BEAT), que se ajustan a las condiciones de la red, como los cambios de velocidad y la pérdida de paquetes. En Unified Access Gateway, puede configurar los puertos utilizados por el protocolo BEAT.

Blast usa todos los puertos estándar TCP 8443 y UDP 8443. UDP 443 también se puede utilizar para acceder un escritorio a través del servidor del túnel UDP. La configuración del puerto se establece a través de la propiedad URL externa de Blast.


VMware, Inc. 100

Tabla 4-2. Opciones del puerto BEAT

URL externa de BlastPuerto TCP utilizado por el cliente

Puerto UDP utilizado por el cliente Descripción

https://ap1.myco.com 8443 8443 Este formulario es el predeterminado y requiere que TCP 8443 y, de forma opcional, UDP 8443, estén abiertos en el firewall para permitir conexiones desde Internet a Unified Access Gateway

https://ap1.myco.com:443 443 8443 Utilice este formulario cuando se deba abrir TCP 443 o UDP 8443.

https://ap1.myco.com:xxxx xxxx 8443

https://ap1.myco.com:xxxx/?UDPPort=yyyy

xxxx yyyy

Para configurar puertos distintos al predeterminado, se debe añadir una regla de reenvío de IP interna para el respectivo protocolo durante la implementación. Las reglas de reenvío se deben especificar durante la implementación en la plantilla OVF o a través de archivos INI que conforman una entrada a través de los comandos PowerShell.

Comprobaciones de conformidad de endpoints para HorizonLa función Comprobaciones de conformidad de endpoints de UAG (Unified Access Gateway) proporciona una capa adicional de seguridad para acceder a escritorios de Horizon, además de los otros servicios de autenticación de usuario disponibles en UAG.

Puede utilizar la función Comprobaciones de conformidad de endpoints para garantizar la conformidad de varias directivas, como una directiva antivirus o de cifrado en los endpoints. La conformidad de endpoints se comprueba cuando un usuario intenta iniciar una aplicación o un escritorio remotos a partir de las autorizaciones enumeradas.

La directiva de conformidad de endpoints se define en un servicio que se ejecuta en la nube o localmente. En el caso de OPSWAT, la comprobación de conformidad de endpoints se realiza mediante OPSWAT MetaAccess persistent agent o OPSWAT MetaAccess on-demand agent en Horizon Client. Los agentes de OPSWAT comunican el estado de conformidad a una instancia de OPSWAT que se ejecuta en la nube o localmente.

Comprobaciones de conformidad de endpoints es la configuración avanzada, que se puede configurar en la página Configuración de proveedor para comprobación de conformidad de endpoints. En esta página, puede configurar la información del proveedor para comprobación de conformidad, los intervalos de tiempo de comprobación de conformidad, los códigos de estado, etc.

La página Configuración de proveedor para comprobación de conformidad de endpoints también incluye ajustes que proporcionan la opción de configurar Unified Access Gateway para alojar on-demand agent. Esta configuración permite que Horizon Client descargue on-demand agent de Unified Access Gateway cuando sea necesario.


VMware, Inc. 101

Configurar los ajustes de proveedor para comprobación de conformidad de endpoints para HorizonPara el servicio perimetral de Horizon, puede configurar los ajustes de proveedor para comprobación de conformidad de endpoints en la interfaz de usuario del administrador de Unified Access Gateway.

Si los ajustes del Proveedor para comprobación de conformidad de endpoints están configurados en la página Configuración de Horizon, Unified Access Gateway realiza una comprobación del dispositivo de endpoint de Horizon Client con el proveedor para comprobación de conformidad. Esta comprobación se realiza para que se deniegue el acceso a los usuarios con endpoints no conformes a aplicaciones y escritorios de Horizon.

Requisitos previos

El proveedor para comprobación de conformidad de endpoints que se admite actualmente en Unified Access Gateway es OPSWAT. Para este proveedor, debe realizar las siguientes tareas antes de configurar los ajustes en la interfaz de usuario del administrador de Unified Access Gateway:

1 Regístrese para obtener una cuenta de OPSWAT y registre sus aplicaciones en el sitio de OPSWAT. Consulte https://go.opswat.com/communityRegistration.

2 Anote la clave de cliente y la clave secreta de cliente. Necesitará las claves para configurar OPSWAT en Unified Access Gateway.

3 Inicie sesión en el sitio de OPSWAT y configure las directivas de conformidad para los endpoints.

Consulte la documentación de OPSWAT pertinente.

Procedimiento

1 Inicie sesión en la IU de administración y vaya a Configuración avanzada > Configuración de proveedor para comprobación de conformidad de endpoints.


Los cuadros de texto Proveedor para comprobación de conformidad de endpoints y Nombre de host ya están rellenados.

3 Introduzca Clave de cliente y Secreto de cliente.

4 Introduzca el valor que desee en Intervalo de comprobación de conformidad (min).

n Valores válidos (en minutos): 30 a 1440

n Valor predeterminado: 0

0 indica que Intervalo de comprobación de conformidad (min) está deshabilitado.

Para obtener más información sobre las comprobaciones periódicas de conformidad y el Intervalo de comprobación de conformidad (min), consulte Intervalo de tiempo para comprobaciones periódicas de conformidad de endpoints.


VMware, Inc. 102

https://go.opswat.com/communityRegistration

5 Introduzca el valor que desee en Intervalo rápido de comprobación de conformidad (min).

Importante Para configurar la opción Intervalo rápido de comprobación de conformidad (min), asegúrese de que Intervalo de comprobación de conformidad (min) esté configurado y no sea 0.

n Valores válidos (en minutos): 1 a 1440

n Valor predeterminado: 0

0 indica que Intervalo rápido de comprobación de conformidad (min) está deshabilitado.

Para obtener más información sobre las comprobaciones periódicas de conformidad y el Intervalo rápido de comprobación de conformidad (min), consulte Intervalo de tiempo para comprobaciones periódicas de conformidad de endpoints.

6 Si desea cambiar el valor predeterminado de los estados y permitir que se inicien los endpoints, haga clic en Mostrar códigos de estado permitidos.

Se admiten los siguientes códigos de estado: Conforme, No conforme, Dispositivo no encontrado, Uso fuera de la licencia, Evaluación pendiente, Endpoint desconocido y Otros.

7 Para elegir el Código de estado que desee, haga clic para cambiar de DENEGAR a PERMITIR.

El valor predeterminado del código de estado Conforme es ALLOW. Solo se pueden iniciar endpoints conformes.

El valor predeterminado de todos los demás códigos de estado es DENY.

8 Para cargar el archivo ejecutable de OPSWAT MetaAccess on-demand agent para las plataformas Windows y macOS en Unified Access Gateway, haga clic en Mostrar configuración del agente a petición de OPSWAT y configure los ajustes necesarios.

Consulte Cargar software de OPSWAT MetaAccess on-demand agent en Unified Access Gateway.


Pasos siguientes

1 Vaya a los ajustes de Horizon, localice el cuadro de texto Proveedor para comprobación de conformidad de endpoints y seleccione OPSWAT en el menú desplegable.


Cargar software de OPSWAT MetaAccess on-demand agent en Unified Access GatewayLos administradores pueden cargar el archivo ejecutable de on-demand agent en Unified Access Gateway. Esto ofrece la opción de que Horizon Client descargue y ejecute on-demand agent de forma automática cuando el usuario se haya autenticado correctamente.

Para obtener información sobre on-demand agent, consulte Acerca de OPSWAT MetaAccess on-demand agent.


VMware, Inc. 103

Requisitos previos

Busque el archivo ejecutable de on-demand agent en el sitio web de OPSWAT correspondiente y, a continuación, descargue el archivo en el sistema.

También puede colocar el archivo ejecutable en un servidor de archivos y especificar la dirección URL de la ubicación del servidor de archivos correspondiente al configurar los ajustes en la interfaz de usuario del administrador. Con esta referencia de URL, Unified Access Gateway puede descargar el archivo desde la URL configurada.

Importante Para que Unified Access Gateway descargue correctamente el archivo, el servidor de archivos debe tener el encabezado Content-Disposition con el nombre de archivo del agente bajo demanda como valor en la respuesta HTTP.


VMware, Inc. 104

Procedimiento

u Para la plataforma Windows, realice los siguientes pasos, como se mencionan.

a Seleccione el Tipo de carga de archivos.

n Si no desea cargar ningún archivo, seleccione None.

n None es el valor predeterminado.

b Según el tipo de carga de archivos seleccionado, introduzca la información necesaria para cargar on-demand agent en Unified Access Gateway.

Opción Procedimiento

Local 1 Busque y seleccione el archivo ejecutable de on-demand agent que descargó desde OPSWAT.

2 Introduzca la siguiente información adicional para on-demand agent: Nombre y Parámetros.

Referencia de URL 1 En URL del archivo del agente, introduzca la dirección URL de la ubicación del servidor de archivos desde la que Unified Access Gateway puede descargar el archivo ejecutable de on-demand agent.

2 Introduzca la siguiente información adicional para el agente: Nombre, Parámetros, Huellas digitales de URL del agente, Certificados de confianza e Intervalo de actualización del archivo del agente (s)

La siguiente información le ayuda a comprender la configuración proporcionada para cargar on-demand agent en Unified Access Gateway:

Nombre Nombre del archivo ejecutable de on-demand agent.

Parámetros Parámetros de línea de comandos utilizados por Horizon Client para ejecutar on-demand agent en el endpoint.

Para obtener información sobre los parámetros de línea de comandos que se pueden utilizar en el cuadro de texto Parámetros, consulte la documentación de OPSWAT correspondiente.

Huellas digitales de URL del agente

Introduzca la lista de huellas digitales de URL del agente. Si no proporciona una lista de huellas digitales, asegúrese de que una entidad de certificación de confianza emita los certificados del servidor. Introduzca los dígitos hexadecimales de las huellas digitales. Por ejemplo, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

Certificados de confianza

Si el certificado del servidor de URL del agente no está emitido por una entidad de certificación pública de confianza, puede especificar que el certificado (en formato PEM) sea de confianza para Unified Access Gateway al comunicarse con la URL del agente para descargar el agente de OPSWAT. Este método es una alternativa a Huellas digitales de URL del agente.


VMware, Inc. 105

Para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza, haga clic en +. Para eliminar un certificado del almacén de confianza, haga clic en -. De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM. Para proporcionar un nombre diferente, edite el cuadro de texto del alias.

Intervalo de actualización del archivo del agente (s)

El intervalo de tiempo periódico, en segundos, en el que se obtiene el archivo ejecutable de on-demand agent de la URL, que se especifica en el cuadro de texto URL del archivo del agente.

c Haga clic en Guardar.


VMware, Inc. 106

u Para la plataforma macOS, realice los siguientes pasos, como se mencionan.

a Seleccione el Tipo de carga de archivos.

Si no desea cargar ningún archivo, seleccione None.

b Según el tipo de carga de archivos seleccionado, introduzca la información necesaria para cargar on-demand agent en Unified Access Gateway.

Opción Procedimiento

Local 1 Seleccione el archivo ejecutable de on-demand agent que descargó desde OPSWAT.

2 Introduzca la siguiente información adicional para on-demand agent: Nombre y Parámetros.

3 En el cuadro de texto Ruta de acceso al ejecutable, introduzca la ubicación del archivo ejecutable de on-demand agent.

Referencia de URL 1 En URL del archivo del agente, introduzca la dirección URL de la ubicación del servidor de archivos desde la que Unified Access Gateway puede descargar on-demand agent.

2 Introduzca la siguiente información adicional para el agente: Nombre, Parámetros, Huellas digitales de URL del agente, Certificados de confianza e Intervalo de actualización del archivo del agente (s)

3 En el cuadro de texto Ruta de acceso al ejecutable, introduzca la ubicación del archivo ejecutable de on-demand agent.

La siguiente información le ayuda a comprender la configuración proporcionada para cargar on-demand agent en Unified Access Gateway:

Nombre Nombre del archivo ejecutable de on-demand agent.

Parámetros Parámetros de línea de comandos utilizados por Horizon Client para ejecutar on-demand agent en el endpoint.

Para obtener información sobre los parámetros de línea de comandos que se pueden utilizar en el cuadro de texto Parámetros, consulte la documentación de OPSWAT correspondiente.

Huellas digitales de URL del agente

Introduzca la lista de huellas digitales de URL del agente. Si no proporciona una lista de huellas digitales, asegúrese de que una entidad de certificación de confianza emita los certificados del servidor. Introduzca los dígitos hexadecimales de las huellas digitales. Por ejemplo, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

Certificados de confianza

Si el certificado del servidor de URL del agente no está emitido por una entidad de certificación pública de confianza, puede especificar que el certificado (en formato PEM) sea de confianza para Unified Access Gateway al comunicarse con la URL del agente para descargar el agente de OPSWAT. Este método es una alternativa a Huellas digitales de URL del agente.


VMware, Inc. 107

Para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza, haga clic en +. Para eliminar un certificado del almacén de confianza, haga clic en -. De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM. Para proporcionar un nombre diferente, edite el cuadro de texto del alias.

Intervalo de actualización del archivo del agente

El intervalo de tiempo periódico, en segundos, en el que se obtiene el archivo ejecutable de on-demand agent de la URL, que se especifica en el cuadro de texto URL del archivo del agente.

Ruta de acceso al ejecutable

Ubicación del archivo ejecutable de on-demand agent.

Para los endpoints de macOS, el archivo on-demand agent se empaqueta como un archivo zip. El archivo ejecutable está dentro del archivo zip. Horizon Client descomprime el archivo y ejecuta el ejecutable en el endpoint desde la ubicación mencionada en este cuadro de texto.

c Haga clic en Guardar.

Pasos siguientes

Para finalizar el siguiente conjunto de tareas, consulte Configurar los ajustes de proveedor para comprobación de conformidad de endpoints para Horizon.

Acerca de OPSWAT MetaAccess on-demand agentOPSWAT MetaAccess on-demand agent es un cliente de OPSWAT. Este agente se puede utilizar como alternativa a la ejecución de OPSWAT MetaAccess persistent agent, que se ejecuta de forma continua en un endpoint cuando está instalado en el endpoint. Por lo tanto, on-demand agent ofrece una opción para ejecutar el agente solo cuando es necesario.

OPSWAT MetaAccess tiene dos tipos de clientes: on-demand agent y persistent agent.

El usuario instala persistent agent en cada endpoint y la aplicación sigue funcionando de forma continua en el endpoint después de la instalación.

En el caso de on-demand agent, después de la autenticación del usuario de forma correcta, el agente se descarga automáticamente de Unified Access Gateway y lo ejecuta Horizon Client.

Nota La descarga se produce solo si Horizon Client no tiene la misma versión de on-demand agent que ya existe en Unified Access Gateway.

Los administradores pueden cargar los archivos ejecutables de on-demand agent para Windows y macOS en Unified Access Gateway.

Para cargar el agente en Unified Access Gateway, consulte Cargar software de OPSWAT MetaAccess on-demand agent en Unified Access Gateway.

Para obtener más información acerca de persistent agent y on-demand agent, consulte la documentación pertinente de OPSWAT.


VMware, Inc. 108

Intervalo de tiempo para comprobaciones periódicas de conformidad de endpointsLos administradores pueden configurar intervalos de tiempo para la comprobación periódica de conformidad de un endpoint durante una sesión de usuario autenticada. La comprobación periódica de conformidad garantiza que el dispositivo permanezca conforme durante toda la sesión. Los intervalos de tiempo pueden configurarse en la página Configuración de proveedor para comprobación de conformidad de endpoints.

Unified Access Gateway realiza comprobaciones de conformidad en un endpoint cuando un usuario intenta iniciar una sesión de aplicación o escritorio remoto mediante Horizon Client en el endpoint. Si se configuran los intervalos de tiempo, se comprueba periódicamente la conformidad de los endpoints según los intervalos de tiempo configurados.

Después de la comprobación de conformidad inicial, un endpoint puede pasar a ser no conforme por varios motivos, como los posibles cambios de directiva realizados por los administradores. En algunos casos, es posible que los endpoints requieran acceso para iniciar una sesión a pesar de que la evaluación de conformidad esté pendiente. Para garantizar que solo los endpoints conformes accedan a la aplicación o el escritorio remoto durante una sesión, los administradores pueden configurar los intervalos de tiempo de comprobación de conformidad: Intervalo de comprobación de conformidad (min) e Intervalo rápido de comprobación de conformidad (min).

Cuando Intervalo rápido de comprobación de conformidad (min) también está configurado, Unified Access Gateway primero ejecuta el Intervalo rápido de comprobación de conformidad (min). Cuando el endpoint pasa a ser conforme, Unified Access Gateway ejecuta el Intervalo de comprobación de conformidad (min).

Durante la comprobación periódica de conformidad, si se detecta que un endpoint no es conforme, Horizon Client finaliza la sesión del usuario en ese dispositivo.

Intervalo de comprobación de conformidad (min)Este cuadro de texto le permite configurar un intervalo de tiempo periódico en el que Horizon Client envía solicitudes de comprobación de conformidad a Unified Access Gateway durante una sesión.

Intervalo rápido de comprobación de conformidad (min)Este cuadro de texto le permite configurar un intervalo de tiempo periódico y frecuente en el que Horizon Client envía solicitudes de comprobación de conformidad a Unified Access Gateway durante una sesión para un endpoint en estados específicos distintos de In compliance. Los estados son Device not found, Assessment pending y Endpoint unknown y deben configurarse como ALLOW.

Por ejemplo, cuando on-demand agent está evaluando un endpoint y el estado del dispositivo es Assessment pending o Endpoint unknown, puede establecer el intervalo de tiempo en 1 minute para que las comprobaciones de conformidad sean más frecuentes al comienzo de una sesión.

Importante La opción Intervalo rápido de comprobación de conformidad (min) solo puede configurarse cuando el intervalo de tiempo de Intervalo de comprobación de conformidad (min) está configurado y el valor no es 0.


VMware, Inc. 109

Para configurar los intervalos de tiempo, consulte Configurar los ajustes de proveedor para comprobación de conformidad de endpoints para Horizon.

Implementación como proxy inversoUnified Access Gateway se puede utilizar como un proxy inverso de web y puede actuar bien como un proxy inverso normal o como un proxy inverso de autenticación en la DMZ.

Caso de implementaciónUnified Access Gateway ofrece acceso remoto seguro para la implementación local de Workspace ONE Access. Los dispositivos de Unified Access Gateway se suelen implementar en una zona desmilitarizada de red (DMZ). Con Workspace ONE Access, el dispositivo de Unified Access Gateway funciona como un proxy inverso de web entre el navegador de un usuario y el servicio de Workspace ONE Access del centro de datos. Unified Access Gateway también habilita el acceso remoto al catálogo de Workspace ONE para iniciar las aplicaciones de Horizon.

Nota Una única instancia de Unified Access Gateway puede gestionar hasta 15.000 conexiones simultáneas de TCP. Si la carga esperada es superior a 15.000, deben configurarse varias instancias de Unified Access Gateway tras el equilibrador de carga.

Consulte Configuración avanzada del servicio perimetral para obtener más información acerca de la configuración utilizada al configurar el proxy inverso.


VMware, Inc. 110

Figura 4-5. Dispositivo de Unified Access Gateway que se dirige a VMware Identity Manager

WS1 UEM/WS1 Access

ActiveDirectory

de Microsoft

Internet

vCenterManagement

Server



Cliente WorkspaceONE

DMZ

Dispositivo Unified Access

Gateway

Firewall

FirewallZonacorporativa

Cliente Workspace ONE

ServiciosDNS/NTP

Información sobre el proxy inversoUnified Access Gateway proporciona a los usuarios remotos acceso al portal de aplicaciones para Single Sign-On y acceso a sus recursos. El portal de aplicaciones es una aplicación de back-end, como Sharepoint, JIRA o VIDM, para la cual Unified Access Gateway actúa como proxy inverso.


Tenga en cuenta lo siguiente al habilitar y configurar el proxy inverso:

n Debe habilitar la autenticación del proxy inverso en un Service Manager perimetral. Actualmente, se admiten los métodos de autenticación RSA SecurID y RADIUS.


VMware, Inc. 111

n Debe generar metadatos de proveedor de identidad (metadatos IDP) antes de habilitar la autenticación en el proxy inverso de web.

n Unified Access Gateway ofrece acceso remoto a Workspace ONE Access y a aplicaciones web con o sin autenticación desde un cliente basado en navegador y, a continuación, inicia el escritorio de Horizon.

n Puede configurar varias instancias del proxy inverso y cada instancia configurada se puede eliminar.

n Los patrones de proxy simples distinguen entre mayúsculas y minúsculas. Los vínculos de página y los patrones de proxy deben coincidir.

Figura 4-6. Varios servidores proxy inversos configurados

Configurar el proxy inverso con Workspace ONE AccessPuede configurar el servicio de proxy inverso de web para utilizar Unified Access Gateway con Workspace ONE Access.

Requisitos previos

Tenga en cuenta los siguientes requisitos para la implementación con Workspace ONE Access:

n DNS dividido. Externamente, el nombre de host debe resolverse en la dirección IP de Unified Access Gateway. Internamente, en Unified Access Gateway, el mismo nombre de host debe resolverse en el servidor web real, a través de una asignación de DNS interna o a través de una entrada de nombre de host en Unified Access Gateway.

Nota Si va a realizar la implementación únicamente con el proxy inverso de web, no es necesario configurar el puente de identidades.

n El servicio de Workspace ONE Access debe tener un nombre de dominio completo (FQDN) como nombre de host.

n Unified Access Gateway debe utilizar el DNS interno. Esto significa que la URL de destino del proxy debe utilizar un FQDN.

n La combinación de patrón de proxy y patrón de host de proxy para una instancia de proxy inverso de web debe ser única si en una instancia de Unified Access Gateway hay varias instancias de proxy inverso configuradas.


VMware, Inc. 112

n Los nombres de host de todas las instancias de proxy inverso configuradas deben resolverse en la misma dirección IP, que es la dirección IP de la instancia de Unified Access Gateway.

n Consulte Configuración avanzada del servicio perimetral para obtener información sobre la configuración avanzada del servicio perimetral.

Procedimiento


2 En Configuración general > Configuración del servicio perimetral, haga clic en Mostrar.

3 Haga clic en el icono de engranaje de Configuración de proxy inverso.

4 En la página de configuración del proxy inverso, haga clic en Agregar.

5 En la sección Habilitar la configuración del proxy inverso, cambie de NO a SÍ para habilitar el proxy inverso.

6 Configure las siguientes opciones del servicio perimetral.


Identificador El identificador del servicio perimetral está establecido en el proxy inverso de web.

ID de instancia Nombre único para identificar y diferenciar una instancia del proxy inverso de web del resto de instancias del proxy inverso de web.

URL de destino del proxy Introduzca la dirección de la aplicación web, que suele ser la URL de back-end. Por ejemplo, para Workspace ONE Access, agregue la dirección IP, el nombre de host de Workspace ONE Access y el DNS externo en la máquina cliente. En la interfaz del usuario administrador, agregue la dirección IP, el nombre de host de Workspace ONE Access y el DNS interno.

Huellas digitales de la URL de destino del proxy

Introduzca una lista de las huellas digitales que se pueden aceptar del certificado de servidor SSL para la URL de proxyDestination. Si especifica .*, se acepta cualquier certificado. Una huella digital tiene el formato [alg=]xx:xx, donde alg puede ser el valor predeterminado, sha1 o md5. Las xx son dígitos hexadecimales. El separador ':’ también puede ser un espacio o no estar presente. En la huella digital no hay distinción entre mayúsculas y minúsculas. Por ejemplo:

sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23

:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

Si no configura las huellas digitales, los certificados del servidor los deberá emitir una entidad de certificación de confianza.

Patrón de proxy Introduzca las rutas de URI coincidentes que se reenvían a la URL de destino. Por ejemplo, introduzca(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

Nota Cuando configure varias instancias de proxy inverso, proporcione el nombre de host en el patrón de host de proxy.


VMware, Inc. 113

7 Para configurar otras opciones avanzadas, haga clic en Más.


Métodos de autenticación El método predeterminado es la autenticación pass-through del nombre de usuario y la contraseña. Los métodos de autenticación que configuró en Unified Access Gateway se muestran en los menús desplegables. Se admiten los métodos de autenticación de certificado de dispositivo, RADIUS y RSA SecurID.


Unified Access Gateway se conecta a esta ruta de acceso URI para comprobar el estado de la aplicación web.

SP de SAML Se requiere cuando configura Unified Access Gateway como proxy inverso autenticado para Workspace ONE Access. Introduzca el nombre del proveedor de servicios de SAML del agente XML API de View. Este nombre debe coincidir con el nombre de un proveedor de servicios configurado con Unified Access Gateway o tener un valor especial DEMO. Si hay varios proveedores de servicios configurados conUnified Access Gateway, sus nombres deben ser únicos.

URL externa El valor predeterminado es la URL del host de Unified Access Gateway y el puerto 443. Puede introducir otra URL externa. Introdúzcala como https://<host:port>.

Patrón de UnSecure Introduzca el patrón de redireccionamiento de Workspace ONE Access conocido. Por ejemplo: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/

js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/

manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/

images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/

response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/

SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/

sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/

cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/

devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/

oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/

authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/

response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/

launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/

federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/

failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/

idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/

authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/

SAAS/auth/launchInput(.*)|/SAAS/

launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/

download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/

SAAS/auth/wsfed/active/logon(.*))

Cookie de autenticación Introduzca el nombre de la cookie de autenticación. Por ejemplo: HZN

URL de redireccionamiento de inicio de sesión

Si el usuario cierra sesión en el portal, introduzca la URL de redireccionamiento para volver a iniciar sesión. Por ejemplo: /SAAS/auth/login?dest=%s

Patrón de host de proxy Nombre de host externo utilizado para comprobar el host de entrada y detectar si coincide con el patrón para la instancia particular. El patrón de host es opcional, cuando se configuran las instancias del proxy inverso de web.


VMware, Inc. 114










Nota Las opciones UnSecure Pattern, Auth Cookie y Login Redirect URL son aplicables solo con Workspace ONE Access. Los valores proporcionados aquí también se aplican a Access Point 2.8 y a Unified Access Gateway 2.9.

Nota Las propiedades Patrón de UnSecure y Cookie de autenticación no son válidas para el proxy inverso de autenticación. Debe utilizar la propiedad Auth Methods para definir el método de autenticación.


Pasos siguientes

Para habilitar el puente de identidades, consulte Configurar las opciones del puente de identidades.

Configurar el proxy inverso con la API de VMware Workspace ONE UEMCuando se utilizan instalaciones locales de Workspace ONE UEM, el servidor de API suele instalarse detrás de un firewall sin acceso de entrada a Internet. Para utilizar de forma segura las capacidades de automatización de Workspace ONE Intelligence, puede configurar un servicio perimetral de proxy web


VMware, Inc. 115

inverso dentro de Unified Access Gateway para permitir el acceso únicamente al servicio de API, de manera que se puedan realizar acciones en dispositivos, usuarios y otros recursos.

Requisitos previos

n El servicio de API de UEM debe tener un nombre de dominio completo (FQDN) como nombre de host.

n Unified Access Gateway debe utilizar un DNS interno. Esto significa que la URL de destino del proxy debe utilizar un FQDN.

n La combinación de patrón de proxy y patrón de host de proxy para una instancia de proxy inverso de web debe ser única si en una instancia de Unified Access Gateway hay varias instancias de proxy inverso configuradas.

n Los nombres de host de todas las instancias de proxy inverso configuradas deben resolverse en la misma dirección IP, que es la dirección IP de la instancia de Unified Access Gateway.

n Para obtener más información sobre la configuración avanzada del servicio perimetral, consulte Configuración avanzada del servicio perimetral.

Procedimiento


2 En Configuración general > Configuración del servicio perimetral, haga clic en Mostrar.


4 En la página de configuración del proxy inverso, haga clic en Agregar.

5 En la sección Habilitar la configuración del proxy inverso, cambie de NO a SÍ para habilitar el proxy inverso.

6 Configure las siguientes opciones del servicio perimetral.



ID de instancia Nombre único para identificar y diferenciar una instancia del proxy inverso de web del resto de instancias del proxy inverso de web.

URL de destino del proxy Introduzca la dirección de la aplicación web, que suele ser la URL de back-end. Por ejemplo, para el servidor de API de Workspace ONE UEM, puede ser una dirección URL/IP diferente a la del inicio de sesión de la consola. Para verificarlo, compruebe en las páginas de configuración de UEM bajo Configuración > Configuración del sistema > Avanzada > API > REST API > URL de REST API.


VMware, Inc. 116



Introduzca una lista de las huellas digitales que se pueden aceptar del certificado de servidor SSL para la URL de proxyDestination. Si especifica .*, se acepta cualquier certificado. Una huella digital tiene el formato [alg=]xx:xx, donde alg puede ser el valor predeterminado, sha1 o md5. Las xx son dígitos hexadecimales. El separador ':’ también puede ser un espacio o no estar presente. En la huella digital no hay distinción entre mayúsculas y minúsculas. Por ejemplo:

sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23

:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db


Patrón de proxy Introduzca las rutas de URI coincidentes que se reenvían a la URL de destino. Para la API de Workspace ONE UEM, use: (/API(.*)|/api(.*)|/Api(.*)|).

Nota Cuando configure varias instancias de proxy inverso, proporcione el nombre de host en el patrón de host de proxy.





Nota Mientras utiliza Unified Access Gateway detrás de un equilibrador de carga, introduzca la URL del equilibrador de carga en este campo.








VMware, Inc. 117

Pasos siguientes

Para configurar el conector de API de Workspace UEM para su uso con Workspace ONE Intelligence, consulte Configurar la comunicación de API para la automatización y use la URL externa configurada para Unified Access Gateway en lugar de la URL del servidor interno de la REST API de UEM.

Implementación para el acceso Single Sign-On a las aplicaciones web heredadas localesLa función de puente de identidades de Unified Access Gateway se puede configurar de forma que proporcione Single Sign-On (SSO) en las aplicaciones web heredadas que usan la delegación limitada de Kerberos (KCD) o la autenticación basada en encabezados.

Unified Access Gateway en modo de puente de identidades actúa como el proveedor de servicios que envía la autenticación del usuario a las aplicaciones heredadas configuradas. Workspace ONE Access actúa como un proveedor de identidades y proporciona SSO en las aplicaciones SAML. Cuando los usuarios acceden a aplicaciones heredadas que requieren KCD o una autenticación basada en encabezados, Workspace ONE Access autentica el usuario. Una aserción SAML con la información del usuario se envía a Unified Access Gateway. Unified Access Gateway usa esta autenticación para permitir que los usuarios accedan a la aplicación.



VMware, Inc. 118

https://docs.vmware.com/es/VMware-Workspace-ONE/services/Intelligence/GUID-AWT-WS1INT-AUTO-ENABLEAPI.html

Figura 4-7. Modo de puente de identidades de Unified Access Gateway

Aserción SAML para Unified Access Gateway

Workspace ONE

SSO para aplicaciones móviles,en la nube y para SAML

UAG

Equilibradorde carga/Firewall

Equilibradorde carga/Firewall

Transforma aformato Kerberos

Transforma a formatobasado en encabezados

AplicaciónKCD

AplicaciónSAML

Aplicacionesbasadas enencabezados

DMZ

Escenarios de implementación del puente de identidadesEl modo de puente de identidades de Unified Access Gateway se puede configurar para trabajar con VMware Workspace® ONE® en la nube o en un entorno en las instalaciones.


VMware, Inc. 119

Uso del puente de identidades de Unified Access Gateway con clientes Workspace ONE en la nubeEl modo de puente de identidades se puede configurar de forma que trabaje con Workspace ONE en la nube para autenticar usuarios. Cuando un usuario solicita acceso a una aplicación web heredada, el proveedor de identidades aplica las directivas de autorización y de autenticación correspondientes.

Si se valida el usuario, el proveedor de identidades crea un token SAML y lo envía al usuario. El usuario envía el token SAML a Unified Access Gateway en la DMZ. Unified Access Gateway valida el token SAML y recupera el nombre principal de usuario del token.

Si la solicitud es para la autenticación Kerberos, se usa la delegación limitada de Kerberos para negociar con el servidor Active Directory. Para autenticarse con la aplicación, Unified Access Gateway suplanta al usuario para recuperar el token de Kerberos.

Si la solicitud es para una autenticación basada en encabezados, el nombre del encabezado del usuario se envía al servidor web para solicitar la autenticación con la aplicación.

La aplicación vuelve a enviar la respuesta a Unified Access Gateway. La respuesta se devuelve al usuario.

Figura 4-8. Puente de identidades de Unified Access Gateway con Workspace ONE en la nube

Transforma aformato Kerberos

Transforma a formatobasado en encabezados

Clientes basados en navegador deWorkspace ONE/

Derechos deaplicaciones y

autenticación

Workspace ONEalojado como proveedor

de identidades

Equilibrador de carga/Firewall


AplicaciónKCD

Aplicacionesbasadas en

encabezados

UAG


VMware, Inc. 120

Uso del puente de identidades en la versión local de los clientes Workspace ONECuando el modo de puente de identidades está configurado para la autenticación de los usuarios con Workspace ONE en un entorno en las instalaciones, los usuarios introducen la URL para acceder a las aplicaciones web heredadas de la versión local mediante el proxy Unified Access Gateway. Unified Access Gateway redirecciona la solicitud al proveedor de identidades para la autenticación. El proveedor de identidades aplica las directivas de autenticación y de autorización a la solicitud. Si se valida el usuario, el proveedor de identidades crea un token SAML y lo envía al usuario.

El usuario envía el token SAML a Unified Access Gateway. Unified Access Gateway valida el token SAML y recupera el nombre principal de usuario del token.

Si la solicitud es para la autenticación Kerberos, se usa la delegación limitada de Kerberos para negociar con el servidor Active Directory. Para autenticarse con la aplicación, Unified Access Gateway suplanta al usuario para recuperar el token de Kerberos.

Si la solicitud es para una autenticación basada en encabezados, el nombre del encabezado del usuario se envía al servidor web para solicitar la autenticación con la aplicación.

La aplicación vuelve a enviar la respuesta a Unified Access Gateway. La respuesta se devuelve al usuario.

Figura 4-9. Versión local del puente de identidades de Unified Access Gateway

Internet

Clientes basados en navegador deWorkspace ONE/



AplicaciónKCD IDM IDM

DMZ

Zonaverde

UAG

Aplicacionesbasadas en

encabezados

Uso del puente de identidades con el certificado a KerberosPuede configurar el puente de identidades para proporcionar Single Sign-On (SSO) a las aplicaciones locales que no son de SAML heredadas mediante la validación de certificados. Consulte Configurar un proxy inverso de web para el puente de identidades (certificado a Kerberos).


VMware, Inc. 121

Configurar las opciones del puente de identidadesCuando Kerberos esté configurado en la aplicación de back-end, para establecer el puente de identidades en Unified Access Gateway, cargue los metadatos del proveedor de identidad y el archivo keytab para establecer la configuración de dominio kerberos de KCD.

Nota Esta versión del puente de identidades admite varios dominios con una configuración de dominio único. Esto significa que el usuario y la cuenta de SPN pueden estar en dominios diferentes.

Cuando el puente de identidades esté habilitado con la autenticación basada en encabezados, no se necesita ni la configuración de dominio kerberos de KCD ni la configuración de keytab.

Antes de configurar las opciones del puente de identidades para la autenticación de Kerberos, compruebe que cuenta con los siguientes requisitos:

n Un proveedor de identidades está configurado y los metadatos SAML del proveedor de identidades están guardados. Se cargará el archivo de metadatos SAML en Unified Access Gateway (solo en escenarios de SAML).

n Para la autenticación Kerberos, se requiere tener identificado un servidor con Kerberos habilitado con los nombres de dominio kerberos para su utilización en los centros de distribución de claves.

n Para la autenticación Kerberos, cargue el archivo de keytab de Kerberos en Unified Access Gateway. El archivo de keytab incluye las credenciales de la cuenta del servicio de Active Directory que está configurada para obtener el ticket de Kerberos en nombre de cualquier usuario del dominio para un servicio back-end determinado.

n Asegúrese de que los siguientes puertos estén abiertos:

n Puerto 443 para las solicitudes HTTP entrantes

n Puerto TCP/UDP 88 para la comunicación de Kerberos con Active Directory

n Unified Access Gateway utiliza TCP para comunicarse con las aplicaciones de back-end. El puerto adecuado en el que está realizando la escucha el back-end; por ejemplo, el puerto TCP 8080.

Nota n No se admite la configuración de puentes de identidades tanto para SAML a Kerberos como para

certificado a Kerberos para dos instancias del proxy inverso diferentes en la misma instancia de Unified Access Gateway.

n No se admiten instancias de proxy inverso de web con entidad de certificación y sin autenticación basada en certificado que no tengan puente de identidades habilitado en el mismo dispositivo.

Autenticación basada en encabezados mediante SAMLLas respuestas de SAML de IDP a SP (en el caso de puente de identidades, Unified Access Gateway) contienen las aserciones de SAML, que tienen los atributos SAML. Los atributos de SAML pueden configurarse en el IDP para que apunten a diversos parámetros como el nombre de usuario, el correo electrónico, etc.


VMware, Inc. 122

En la autenticación basada en encabezados mediante SAML, el valor de un atributo de SAML puede enviarse como un encabezado HTTP en el destino del proxy de back-end. El nombre del atributo de SAML definido en Unified Access Gateway es igual a ese como en el IDP. Por ejemplo, si un proveedor de identidad tiene el atributo definido como Name: userNameValue: idmadmin, el nombre del atributo de SAML de Unified Access Gateway deberá definirse como "userName".

El atributo de SAML que no coincide con el atributo definido en el IDP se ignora. Unified Access Gateway es compatible tanto con los atributos múltiples de SAML como con los atributos multivalor de SAML. A continuación, se mencionan extractos de ejemplo de la aserción de SAML que se espera del proveedor de identidades para cada caso. Por ejemplo,

1. Respuesta de SAML que se esperaba de IDP para atributos múltiples de SAML

<saml:AttributeStatement>

<saml:Attribute Name="userName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">

<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://

www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">idmadmin</saml:AttributeValue>

</saml:Attribute>

<saml:Attribute Name="userEmail" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">63ecfabf-a577-46c3-b4fa-caf7ae49a6a3</

saml:AttributeValue>

</saml:Attribute>

</saml:AttributeStatement>

En el ejemplo anterior, una aserción contiene dos atributos, "userName" y "userEmail". Si la autenticación basada en encabezados está configurada solo para "userName", con el nombre del encabezado "HTTP_USER_NAME", se enviará el encabezado como: "HTTP_USER_NAME: idmadmin". Como "userEmail" no se configuró en Unified Access Gateway para la autenticación basada en encabezados, no se envía como un encabezado.

2. Respuesta de SAML que se esperaba de IDP para el atributo multivalor de SAML

<saml:AttributeStatement>

<saml:Attribute Name="group" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Employees</saml:AttributeValue>


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Contractors</saml:AttributeValue>


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Executives</saml:AttributeValue>


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All</saml:AttributeValue>

</saml:Attribute>

</saml:AttributeStatement>

En el ejemplo anterior, un atributo "group" contiene cuatro valores, es decir, "All Employees", "All Contractors", "All Executives" y "All". Si la autenticación basada en encabezados está configurada solo para "group", con el nombre del encabezado "HTTP_GROUP", el encabezado se envía como "HTTP_GROUP: All Employees, All Contractors, All Executives, All" con una lista separada por comas de todos los valores de atributo como el valor del encabezado.


VMware, Inc. 123

Establecer la configuración de dominio kerberosConfigure el nombre del dominio kerberos, los centros de distribución de claves para el dominio kerberos y el tiempo de espera de KDC.

El dominio kerberos es el nombre de una entidad administrativa que mantiene los datos de autenticación. Es importante seleccionar un nombre descriptivo para el dominio de autenticación de Kerberos. Configure el dominio kerberos, también conocido como nombre de dominio, y el servicio KDC correspondiente en Unified Access Gateway. Cuando una solicitud UPN procede de un dominio kerberos específico, Unified Access Gateway resuelve internamente el servicio KDC para utilizar el ticket con servicio Kerberos.

La convención consiste en que el nombre de dominio kerberos sea el mismo que el de dominio, en mayúsculas. Por ejemplo, un nombre de dominio kerberos es EJEMPLO.NET. El cliente de Kerberos utiliza el nombre de dominio kerberos para generar nombres de DNS.

A partir de Unified Access Gateway 3.0, se pueden eliminar los dominios kerberos definidos previamente.

Importante En el caso de una configuración con dominios interrelacionados, agregue los detalles de todos los dominios, incluidos los principales y los secundarios o los subdominios y la información sobre KDC asociada. Asegúrese de que la confianza entre dominios esté habilitada.

Requisitos previos

Debe tener identificado un servidor con Kerberos habilitado con los nombres de dominio kerberos para su utilización en los centros de distribución de claves.

Procedimiento


2 En la sección Configuración avanzada > Configuración de puente de identidades, seleccione el icono de rueda dentada Configuración de dominio kerberos.


4 Complete el formulario.


Nombre del dominio kerberos Introduzca el dominio kerberos con el nombre de dominio. Introduzca el dominio kerberos en mayúsculas. El dominio kerberos debe coincidir con el nombre de dominio establecido en Active Directory.

Centros de distribución de claves

Introduzca los servidores KDC para el dominio kerberos. Separe por comas la lista si agrega más de un servidor.

Tiempo de espera de KDC (en segundos)

Introduzca el tiempo de espera para la respuesta KDC. El valor predeterminado es 3 segundos.


Pasos siguientes

Establezca la configuración de keytab.


VMware, Inc. 124

Cargar configuración de keytabUn keytab es un archivo que contiene pares de claves cifradas y principales de Kerberos. Un archivo keytab se crea para aplicaciones que requieren Single Sign-On. El puente de identidades de Unified Access Gateway usa un archivo keytab para autenticarse en sistemas remotos utilizando Kerberos sin introducir ninguna contraseña.

Cuando un usuario se autentica en Unified Access Gateway desde el proveedor de identidades, Unified Access Gateway solicita un ticket de Kerberos del controlador de dominio Kerberos para autenticar al usuario.

Unified Access Gateway usa el archivo keytab de forma que suplanta al usuario para autenticarse en el dominio Active Directory interno. Unified Access Gateway debe tener una cuenta del servicio de usuario de dominio en el dominio de Active Directory. Unified Access Gateway no se conecta directamente al dominio.

Nota Si el administrador vuelve a generar el archivo keytab para una cuenta del servicio, este archivo se debe volver a actualizar en Unified Access Gateway.

También puede generar el archivo keytab mediante la línea de comandos. Por ejemplo:

ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp

\kerberos.keytab /mapuser uagkerberos /crypto All

Consulte la documentación de Microsoft para obtener información detallada sobre el comando ktpass.

Requisitos previos

Debe tener acceso al archivo keytab de Kerberos para actualizar a Unified Access Gateway. El archivo keytab es un archivo binario. Si es posible, use SCP u otro método seguro para transferir el archivo keytab de un equipo a otro.

Procedimiento

1 En la sección Plantillas de configuración del dispositivo de administración, haga clic en Agregar.

2 En la sección Configuración de puente de identidades, haga clic en Configurar.

3 En la página Configuración de keytab de Kerberos, haga clic en Agregar nuevo archivo keytab.

4 Escriba un nombre único como identificador.

5 (Opcional) Introduzca el nombre principal Kerberos en el cuadro de texto Nombre principal.

Cada nombre principal siempre está plenamente calificado con el nombre del dominio Kerberos. El dominio kerberos debe aparecer en mayúsculas.

Asegúrese de que el nombre principal introducido sea el primer principal que aparece en el archivo keytab. Si el mismo nombre principal no está en el archivo keytab que se cargó, se producirá un error al cargar el archivo keytab.


VMware, Inc. 125

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass

6 En el cuadro de texto Seleccionar archivo keytab, haga clic en Seleccionar y desplácese hasta el archivo keytab que guardó. Haga clic en Abrir.

Si no introdujo el nombre principal, se usa el primer principal que aparece en el keytab. Puede fusionar varios keytabs en un único archivo.


Configurar un proxy inverso de web para el puente de identidades (SAML a Kerberos)Para configurar a un proxy inverso de web para el puente de identidades (SAML a Kerberos), debe haber guardado el archivo de metadatos del proveedor de identidades en Unified Access Gateway.

A continuación, puede habilitar el puente de identidades en la consola de administración y configurar el nombre de host externo para el servicio.

Cargar metadatos del proveedor de identidades

Para configurar la función de puente de identidades, debe cargar el archivo XML de metadatos del certificado SAML del proveedor de identidades en Unified Access Gateway.

Requisitos previos

El archivo XML de metadatos SAML debe estar guardado en un equipo al que pueda acceder.

Si utiliza VMware Workspace ONE Access como proveedor de identidades, descargue y guarde el archivo de metadatos de SAML desde el vínculo de metadatos siguiente de la consola administrativa de Workspace ONE Access: Catálogo > Configuración - Metadatos SAML > Proveedor de identidades (IdP).

Procedimiento

1 En la consola de administración, haga clic en Seleccionar en la Configuración manual.

2 En la sección Configuración avanzada > Configuración de puente de identidades, seleccione el icono de rueda dentada Cargar metadatos del proveedor de identidades.

3 Introduzca el ID de identidad del proveedor de identidades en el cuadro de texto ID de entidad.

Si no introduce un valor en el cuadro de texto ID de entidad, el nombre del proveedor de identidades en el archivo de metadatos se analizará y se utilizará como ID de identidad del proveedor de identidades.

4 En la sección Metadatos del IDP, haga clic en Seleccionar y desplácese hasta el archivo de metadatos que guardó. Haga clic en Abrir.


Pasos siguientes

En lo que respecta a la autenticación KDC, establezca la configuración de dominio Kerberos y la configuración de keytab.


VMware, Inc. 126

En lo referente a la autenticación basada en encabezados, al configurar la función de puente de identidades, complete la opción Nombre del encabezado de usuario con el mismo nombre del encabezado HTTP que incluye el ID de usuario.

Configurar un proxy inverso de web para el puente de identidades (SAML a Kerberos)

Habilite el puente de identidades, configure el nombre de host externo del servicio y descargue el archivo de metadatos del proveedor de servicios de Unified Access Gateway.

Este archivo de metadatos está cargado en la página de configuración de la aplicación web del servicio de VMware Workspace ONE Access.

Requisitos previos

Debe tener configurados los siguientes ajustes del puente de identidades en la consola administrativa de Unified Access Gateway. Puede encontrar estos ajustes en la sección Configuración avanzada.

n Los metadatos del proveedor de identidades cargados en Unified Access Gateway.

n El nombre principal de Kerberos configurado y el archivo keytab cargado en Unified Access Gateway.

n El nombre del dominio Kerberos y la información del centro de distribución de claves.

Asegúrese de que el puerto TCP/UDP 88 esté abierto, ya que Unified Access Gateway utiliza este puerto para la comunicación de Kerberos con Active Directory.

Procedimiento

1 En la sección Configuración manual de la IU del administrador, haga clic en Seleccionar.

2 En la línea Configuración general > Configuración de servicio perimetral, haga clic en Mostrar.


4 En la página Configuración del proxy inverso, haga clic en Agregar para crear un ajuste de proxy.

5 Establezca Habilitar la configuración del proxy inverso en Sí y configure las siguientes opciones del servicio perimetral.



ID de instancia Nombre único para la instancia del proxy inverso de web.

URL de destino del proxy Especifique la URI interna para la aplicación web. Unified Access Gateway debe ser capaz de resolver y acceder a esta URL.


VMware, Inc. 127



Introduzca el identificador URI correspondiente a esta opción de proxy. Una huella digital tiene el formato [alg=]xx:xx, donde alg puede ser sha1, el valor predeterminado o md5. 'xx' son dígitos hexadecimales. Por ejemplo, sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.


Patrón de proxy Introduzca las rutas de URI coincidentes que se reenvían a la URL de destino. Por ejemplo, introduzca(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

Nota: Cuando configure varias instancias de proxy inverso, proporcione el nombre de host en el patrón de host de proxy.





Unified Access Gateway se conecta a esta ruta de acceso URI para comprobar el estado de la aplicación web.

SP de SAML Se requiere cuando configura Unified Access Gateway como proxy inverso autenticado para Workspace ONE Access. Introduzca el nombre del proveedor de servicios de SAML del agente XML API de View. Este nombre debe coincidir con el nombre de un proveedor de servicios configurado con Unified Access Gateway o tener un valor especial DEMO. Si hay varios proveedores de servicios configurados conUnified Access Gateway, sus nombres deben ser únicos.



VMware, Inc. 128


Patrón de UnSecure Introduzca el patrón de redireccionamiento de Workspace ONE Access conocido. Por ejemplo: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/

js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/

manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/

images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/

response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/

SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/

sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/

cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/

devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/

oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/

authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/

response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/

launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/

federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/

failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/

idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/

authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/

SAAS/auth/launchInput(.*)|/SAAS/

launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/

download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/

SAAS/auth/wsfed/active/logon(.*))

Cookie de autenticación Introduzca el nombre de la cookie de autenticación. Por ejemplo: HZN

URL de redireccionamiento de inicio de sesión

Si el usuario cierra sesión en el portal, introduzca la URL de redireccionamiento para volver a iniciar sesión. Por ejemplo: /SAAS/auth/login?dest=%s




VMware, Inc. 129









7 En la sección Habilitar puente de identidades, cambie NO a SÍ.

8 Configure las siguientes opciones del puente de identidades.


Tipos de autenticación Seleccione SAML.

Atributos de SAML Lista de atributos de SAML que se pasa como encabezados de solicitud. Esta opción está disponible solo cuando Habilitar puente de identidades está establecido en Sí y Tipos de autenticación está establecido en SAML. Haga clic en '+' para un atributo de SAML como parte del encabezado.

Destinatarios de SAML Asegúrese de seleccionar el tipo de autenticación SAML.

Introduzca la URL de los destinatarios.

Nota Si el cuadro de texto se deja en blanco, no se restringirán los destinatarios de forma alguna.

Para comprender cómo admite UAG los destinatarios de SAML, consulte Destinatarios de SAML.

Proveedor de identidades En el menú desplegable, seleccione el proveedor de identidad.

Keytab En el menú desplegable, seleccione el keytab configurado para este proxy inverso.

Nombre de entidad de seguridad de servicio de destino

Introduzca el nombre de entidad de seguridad de servicio Kerberos. Cada nombre principal siempre está plenamente calificado con el nombre del dominio Kerberos. Por ejemplo, myco_hostname@MYCOMPANY. Escriba el nombre del dominio Kerberos en mayúsculas. Si no agrega un nombre en el cuadro de texto, el nombre de entidad de seguridad de servicio se obtiene a partir del nombre del host de la URL de destino del proxy.


VMware, Inc. 130


Página de destino del servicio Introduzca la página a la que se redireccionará a los usuarios en el proveedor de identidades después de que se haya validado la aserción. La opción predeterminada es /.

Nombre del encabezado de usuario En el caso de la autenticación basada en encabezados, introduzca el nombre del encabezado HTTP que incluye el ID de usuario obtenido a partir de la aserción.

9 En la sección Descargar metadatos SP, haga clic en Descargar.

Guarde el archivo de metadatos del proveedor de servicios.


Pasos siguientes

Agregue el archivo de metadatos del proveedor de servicios de Unified Access Gateway a la página de configuración de la aplicación web en el servicio de Workspace ONE Access.

Agregar el archivo de metadatos al servicio de VMware Workspace ONE Access

El archivo de metadatos del proveedor de servicios de Unified Access Gateway que descargó debe cargarse en la página de configuración de la aplicación web en el servicio de Workspace ONE Access.

El certificado SSL usado debe ser el mismo certificado que se utiliza en varios servidores de Unified Access Gateway de carga equilibrada.

Requisitos previos

Debe haber guardado el archivo de metadatos del proveedor de servicios de Unified Access Gateway en el equipo.

Procedimiento

1 Inicie sesión en la consola administrativa de Workspace ONE Access.

2 En la pestaña Catálogo, haga clic en Agregar aplicación y seleccione crear una nueva.

3 En la página Detalles de la aplicación, introduzca un nombre descriptivo de un usuario final en el cuadro de texto Nombre.

4 Seleccione el perfil de autenticación SAML 2.0 POST.

También puede agregar una descripción para esta aplicación y un icono para visualizar los usuarios finales en el portal Workspace ONE.

5 Haga clic en Siguiente y en la página Configuración de la aplicación, desplácese hacia abajo hasta la sección Configurar a través de.

6 Seleccione el botón de radio XML de metadatos y pegue el texto de metadatos del proveedor de servicios de Unified Access Gateway en el cuadro de diálogo XML de metadatos.


VMware, Inc. 131

7 (Opcional) En la sección Asignación del atributo, asigne los siguientes nombres de atributo a los valores del perfil de usuario. El valor del campo FORMATO es Básico. Debe introducir los nombres de atributo en minúsculas.

Nombre Valor configurado

upn userPrincipalName

userid ID de usuario de Active Directory


Pasos siguientes

Autorice usuarios y grupos para esta aplicación.

Nota Unified Access Gateway solo admite usuarios de dominio único. Si el proveedor de identidades está configurado con varios dominios, solo se pueden autorizar a los usuarios de un dominio único para usar la aplicación.

Configurar un proxy inverso de web para el puente de identidades (certificado a Kerberos)Configure la consola de Workspace ONE UEM para recuperar y usar certificados de CA antes de configurar la función de puente de Unified Access Gateway para proporcionar Single Sign-On (SSO) a aplicaciones heredadas de versión local que no sean SAML mediante la validación del certificado.

Habilitar la consola de Workspace ONE UEM para recuperar y usar certificados de entidad de certificación (CA)

Puede agregar una plantilla de usuario en el servidor de CA y configurar los ajustes de la consola de Workspace ONE UEM para habilitar Workspace ONE UEM a fin de recuperar y utilizar los certificados de entidad de certificación.

Procedimiento

1 Agregar una plantilla de usuario

Agregue una plantilla de usuario en el servidor de CA como primer paso para habilitar Workspace ONE UEM para recuperar certificados.

2 Agregar una entidad de certificación (CA) en la consola

Agregar una entidad de certificación (CA) en la consola de Workspace ONE UEM.

3 Agregar una plantilla de solicitud de entidad de certificación (CA)

Agregue una plantilla de solicitud de entidad de certificación después de haber agregado una entidad de certificación en la consola de Workspace ONE UEM.

4 Actualizar las directivas de seguridad para usar el certificado de entidad de certificación (CA) recuperado

Actualizar las directivas de seguridad en la consola de Workspace ONE UEM para usar el certificado recuperado de la entidad de certificación.


VMware, Inc. 132

Agregar una plantilla de usuarioAgregue una plantilla de usuario en el servidor de CA como primer paso para habilitar Workspace ONE UEM para recuperar certificados.

Procedimiento

1 Inicie sesión en el servidor donde está configurada la entidad de certificación.

2 Haga clic en Inicio y escriba mmc.exe.

3 En la ventana MMC, vaya a Archivo > Agregar o eliminar complemento.

4 En la ventana Agregar o quitar complementos, seleccione Plantillas de certificado y haga clic en Agregar.

5 Haga clic en Aceptar.

6 En la ventana Plantillas de certificado , desplácese hacia abajo y seleccione Usuario > Duplicar plantilla.

7 En la ventana Propiedades de la nueva plantilla, seleccione la pestaña General y escriba un nombre para el Nombre para mostrar la plantilla.

El Nombre de la plantilla se rellena automáticamente con este nombre, sin el espacio.

8 Seleccione la pestaña Nombre del asunto y seleccione Proporcionar en la solicitud.

9 Haga clic en Aplicar y posteriormente en Aceptar.

10 En la ventana MMC, vaya a Archivo > Agregar o eliminar complemento.

11 En la ventana Agregar o eliminar complementos, seleccione Entidad de certificación y haga clic en Agregar.

12 En la ventana MMC, seleccione Entidad de certificación > Plantilla de certificado.

13 Haga clic con el botón secundario en Entidad de certificación y seleccione Nuevo > Plantilla de certificado que se va a emitir.

14 Seleccione la plantilla que creó en el paso 6.

Pasos siguientes

Compruebe que la plantilla que agregó aparece en la lista.

Inicie sesión en la consola de Workspace ONE UEM y agregue una entidad de certificación.

Agregar una entidad de certificación (CA) en la consolaAgregar una entidad de certificación (CA) en la consola de Workspace ONE UEM.

Requisitos previos

n Debe haber agregado una plantilla de usuario en el servidor de CA.

n Debe tener el nombre de la entidad emisora de certificados. Inicie sesión en el servidor de Active Directory (AD) y ejecute el comando certutil desde la línea de comandos para obtener el nombre de la entidad emisora de certificados.


VMware, Inc. 133

n Especifique el nombre de usuario para que la entidad de certificación sea del tipo cuenta de servicio.

Procedimiento

1 Inicie sesión en la consola de Workspace ONE UEM y seleccione el grupo organizativo adecuado.

2 Vaya a Todos los ajustes y haga clic en Integración empresarial > Entidades de certificación, en la lista desplegable.

3 Haga clic en la pestaña Entidades de certificación y haga clic en Agregar.

4 Introduzca la información siguiente para la entidad de certificación:


Nombre Un nombre válido para la entidad de certificación

Tipo de entidad ADCS de Microsoft

Protocolo ADCS

Nombre de host del servidor Nombre de host del servidor de AD

Nombre de la entidad Nombre de la entidad emisora de certificados

Autenticación Cuenta del servicio

Nombre de usuario Nombre de usuario con una cuenta de servicio con el formato dominio\nombreusuario.

Contraseña Contraseña del nombre de usuario

Opciones adicionales Ninguna


Agregar una plantilla de solicitud de entidad de certificación (CA)Agregue una plantilla de solicitud de entidad de certificación después de haber agregado una entidad de certificación en la consola de Workspace ONE UEM.

Requisitos previos

1 Debe haber agregado una plantilla de usuario en el servidor de CA.

2 Debe haber agregado una entidad de certificación en la consola de Workspace ONE UEM.

Procedimiento

1 Inicie sesión en la consola de Workspace ONE UEM, vaya a Todos los ajustes y haga clic en Integración empresarial > Entidades de certificación, en la lista desplegable.

2 Haga clic en la pestaña Solicitar plantillas y haga clic en Agregar.

3 Introduzca la siguiente información para la plantilla:


Nombre Un nombre válido para la plantilla de certificado

Descripción (opcional) Descripción de la plantilla


VMware, Inc. 134


Entidad de certificación La entidad de certificación agregada anteriormente

Plantilla de emisión Nombre de la plantilla de usuario creada en el servidor de CA

Nombre del asunto Para agregar el nombre del asunto, mantenga el cursor en el campo de valor (después del valor predeterminado 'CN='), haga clic en el botón '+' y seleccione la dirección de correo electrónico adecuada

Longitud de la clave privada 2048

Tipo de clave privada Seleccione Firma

Tipo de SAN Haga clic en Agregar y elija el Nombre principal de usuario

Renovación automática de certificado (opcional)

Habilitar revocación de certificado (opcional)

Publicar la clave privada (opcional)


Actualizar las directivas de seguridad para usar el certificado de entidad de certificación (CA) recuperadoActualizar las directivas de seguridad en la consola de Workspace ONE UEM para usar el certificado recuperado de la entidad de certificación.

Requisitos previos

Procedimiento

1 Inicie sesión en la consola de Workspace ONE UEM, vaya a Todos los ajustes y haga clic en Aplicaciones > Seguridad y directivas > Directivas de seguridad, en el menú desplegable.

2 Seleccione Reemplazar para la Configuración actual.

3 Habilite Autenticación integrada.

a Seleccione Usar certificado.

b Establezca el Origen de la credencial en Definido por la entidad de certificación.

c Especifique la Entidad de certificación y la Plantilla de certificado que ha establecido anteriormente.

4 Establezca Sitios permitidos en *.


Configurar un proxy inverso de web para el puente de identidades (certificado a Kerberos)

Configure la función de puente de Unified Access Gateway para proporcionar Single Sign-On (SSO) a aplicaciones heredadas de versión local que no sean SAML mediante la validación del certificado.


VMware, Inc. 135

Requisitos previos

Antes de iniciar el proceso de configuración, asegúrese de tener disponibles los siguientes archivos y certificados:

n El archivo keytab de una aplicación de back-end, como Sharepoint o JIRA

n El certificado de entidad de certificación raíz o la cadena de certificados completa con un certificado intermedio para el usuario

n Debe haber agregado y cargado un certificado en la consola de Workspace ONE UEM. Consulte Habilitar la consola de Workspace ONE UEM para recuperar y usar certificados de entidad de certificación (CA).

Consulte la documentación del producto correspondiente para generar los certificados raíz y de usuario y el archivo keytab para las aplicaciones que no sean SAML.

Asegúrese de que el puerto TCP/UDP 88 esté abierto, ya que Unified Access Gateway utiliza este puerto para la comunicación de Kerberos con Active Directory.

Procedimiento

1 Desde Configuración de autenticación > Certificado X509, vaya a:

a En Certificado de CA intermedio y raíz, haga clic en Seleccionar y cargue la cadena de certificados completa.

b En Habilitar revocación de certificados, mueva el interruptor a Sí.

c Seleccione la casilla para Habilitar revocación de OCSP.


VMware, Inc. 136

d Introduzca la URL del respondedor OCSP en el cuadro de texto URL de OCSP.

Unified Access Gateway envía la solicitud de OCSP a la dirección URL especificada y recibe una respuesta que contiene información que indica si se ha revocado, o no, el certificado.

e Seleccione la casilla Usar URL de OCSP del certificado solo si hay un caso de uso para enviar la solicitud de OCSP a la URL de OCSP en el certificado de cliente. Si no se habilita, se usa el valor predeterminado en el cuadro de texto URL de OCSP.

2 En Configuración avanzada > Configuración de puente de identidades > Configuración de OSCP, haga clic en Agregar.

a Haga clic en Seleccionar y cargue el certificado de firma de OCSP.

3 Seleccione el icono del engranaje de Configuración de dominio Kerberos y configure la configuración del dominio Kerberos tal como se describe en Establecer la configuración de dominio kerberos.

4 En Configuración General > Configuración del servicio perimetral, seleccione el icono del engranaje de Configuración de proxy inverso.

5 Establezca Habilitar configuración del puente de identidades como SÍ, configure las siguientes opciones del puente de identidades y, a continuación, haga clic en Guardar.


VMware, Inc. 137


Tipos de autenticación Seleccione CERTIFICADO en el menú desplegable.

Keytab En el menú desplegable, seleccione el keytab configurado para este proxy inverso.

Nombre de entidad de seguridad de servicio de destino

Introduzca el nombre de entidad de seguridad de servicio Kerberos. Cada nombre principal siempre está plenamente calificado con el nombre del dominio Kerberos. Por ejemplo, myco_hostname@MYCOMPANY. Escriba el nombre del dominio Kerberos en mayúsculas. Si no agrega un nombre en el cuadro de texto, el nombre de entidad de seguridad de servicio se obtiene a partir del nombre del host de la URL de destino del proxy.

Nombre del encabezado de usuario En el caso de la autenticación basada en encabezados, introduzca el nombre del encabezado HTTP que incluye el ID de usuario obtenido a partir de la aserción o utilice el ID de usuario de Access Point predeterminado.

Pasos siguientes

Cuando se utiliza Workspace ONE Web para acceder al sitio web de destino, el sitio web de destino actúa como proxy inverso. Unified Access Gateway valida el certificado presentado. Si el certificado es válido, el navegador mostrará la página de la interfaz de usuario correspondiente a la aplicación de back-end.

Para obtener información sobre mensajes de error específicos y solución de problemas, consulte Solucionar errores: puente de identidades.

Configurar Horizon para la integración de Unified Access Gateway y proveedores de identidades de tercerosSi utiliza un proveedor de identidades SAML 2.0, puede integrar directamente el proveedor de identidades con UAG (Unified Access Gateway) para admitir la autenticación de usuarios de Horizon Client. Para usar la integración de SAML de terceros con UAG, debe utilizar el servidor de conexión de Horizon 7.11 o versiones posteriores.

La secuencia de autenticación puede ser SAML y Pass-Through para la autenticación de SAML, y autenticación de contraseña de AD, o solo SAML, cuando se utiliza con True SSO de Horizon.


VMware, Inc. 138

Unified Access Gateway admite el acceso sin autenticar a un usuario de Horizon Client que inicia sesión en Unified Access Gateway cuando está integrado con un proveedor de identidad SAML. Después de la autenticación inicial con Unified Access Gateway, el usuario puede recibir autorizaciones para las aplicaciones publicadas sin ninguna autenticación adicional. El método SAML y sin autenticar es compatible con esta función.

Cuando se admite la integración de proveedores de identidades SAML de terceros y UAG, no se utiliza la instalación de Workspace ONE Access.

Para integrar UAG con el proveedor de identidades, debe configurar el proveedor de identidades con la información del proveedor de servicios (UAG), cargar el archivo de metadatos del proveedor de identidades en UAG y configurar los ajustes de Horizon en la consola de la interfaz de usuario de administrador de UAG.

Para obtener información sobre la autenticación de los usuarios en Horizon Client sin que se les soliciten las credenciales de Active Directory, consulte Autenticación de usuarios sin solicitar credenciales y la información relacionada en la guía de Administración de Horizon en VMware Docs.

Configurar el proveedor de identidades con información de Unified Access GatewayPara integrar UAG (proveedor de servicios) con el proveedor de identidades, debe configurar el proveedor de identidades con la información del proveedor de servicios, como el identificador de entidad y la URL de endpoint de consumidor de aserción. En este caso, UAG es el proveedor de servicios.

Procedimiento

1 Inicie sesión en la consola administrativa del proveedor de identidades.

2 Para crear una aplicación SAML, siga los pasos adecuados en la consola administrativa del proveedor de identidades.

Si el proveedor de identidades tiene una función de aserción de cifrado, asegúrese de que la función esté deshabilitada en la configuración de SAML de la aplicación que cree en el proveedor de identidades.


VMware, Inc. 139


3 Configure el proveedor de identidades con la información de UAG de una de las siguientes maneras:


Descargue los metadatos del proveedor de servicios de SAML de UAG.

Para importar los metadatos SAML en el proveedor de identidades, asegúrese de que el proveedor de identidades admita la funcionalidad de importación.

a En la sección Configurar manualmente de la interfaz de usuario de administrador de UAG, haga clic en Seleccionar.

b En la sección Configuración general, para Configuración del servicio perimetral, haga clic en Mostrar.

c Haga clic en el icono de engranaje de Configuración de Horizon.

d En la Página Configuración de Horizon, haga clic en Más.

e Seleccione los Métodos de autenticación.

Los Métodos de autenticación pueden ser SAML, SAML and Passthrough o SAML and Unauthenticated.

Nota Si elige SAML and Unauthenticated, asegúrese de configurar el ajuste de Horizon Connection Server que se menciona para este Método de autenticación en Configurar los ajustes de Horizon en Unified Access Gateway para la integración de SAML.

f Haga clic en Descargar metadatos de proveedor de servicios de SAML.

g En la ventana Descargar metadatos de proveedor de servicios de SAML, introduzca el nombre del host externo.

h Haga clic en Descargar.i Guarde el archivo de metadatos .xml en una ubicación del equipo a la que

tenga acceso.

j Inicie sesión en la consola administrativa del proveedor de identidades.

k Importe el archivo de metadatos descargado en el proveedor de identidades.

Configure los siguientes ajustes de SAML en la consola administrativa del proveedor de identidades.

a Configure el identificador de entidad como https://<uagIP/domain>/portal

b Configure la URL de endpoint del consumidor de aserción como https://<uagIP/domain>/portal/samlsso.

Para obtener más información sobre los métodos de autenticación para Unified Access Gateway y la integración con proveedores de identidad terceros, consulte Métodos de autenticación para la integración de Unified Access Gateway y proveedores de identidades de terceros.

4 (opcional) Configure el atributo personalizado con un nombre de usuario.

En la IU de administrador de Unified Access Gateway, cuando se selecciona SAML and Unauthenticated como método de autenticación, si Atributo de nombre de usuario sin autenticar SAML está configurado con el mismo nombre de atributo que se especifica aquí y cuando la aserción de SAML está validada, Unified Access Gateway proporciona acceso sin autenticar al nombre de usuario configurado para este atributo personalizado.

Para comprender cómo Unified Access Gateway proporciona acceso sin autenticar a este nombre de usuario, consulte Métodos de autenticación para la integración de Unified Access Gateway y proveedores de identidades de terceros.


VMware, Inc. 140

Pasos siguientes

Cargue el archivo XML de metadatos SAML del proveedor de identidades en UAG.

Cargar metadatos SAML del proveedor de identidades en Unified Access GatewayPara configurar los métodos de autenticación SAML y SAML y Pass-Through en Horizon, debe cargar el archivo XML de metadatos del certificado SAML del proveedor de identidades en UAG (Unified Access Gateway). La carga permite que UAG confíe en el proveedor de identidades comprobando la firma de una aserción mediante la clave pública del proveedor de identidades.

Requisitos previos

Debe haber descargado el archivo XML de metadatos SAML del proveedor de identidades y haber guardado este archivo en un equipo al que pueda acceder.

Procedimiento

1 En la sección Configurar manualmente de la consola administrativa de UAG, haga clic en Seleccionar.

2 En la sección Configuración avanzada > Configuración de puente de identidades, seleccione el icono de rueda dentada Cargar metadatos del proveedor de identidades.

3 Introduzca el ID de identidad del proveedor de identidades en el cuadro de texto ID de entidad.

Si no introduce un valor en el cuadro de texto ID de entidad, el nombre del proveedor de identidades en el archivo de metadatos se analizará y se utilizará como ID de identidad del proveedor de identidades.

4 En la sección Metadatos del IDP, haga clic en Seleccionar y desplácese hasta la ubicación en la que haya guardado el archivo de metadatos.

5 Haga clic en Abrir.


Se muestra el siguiente mensaje: La configuración se guardó correctamente.

Pasos siguientes

Configure los ajustes de Horizon en UAG para seleccionar el método de autenticación y elegir el proveedor de identidades necesario.

Configurar los ajustes de Horizon en Unified Access Gateway para la integración de SAMLDebe seleccionar el método de autenticación SAML relevante y elegir el IDP (proveedor de identidades) que su organización admita en la página de configuración de Horizon en UAG (Unified Access Gateway). El método de autenticación determina el flujo de inicio de sesión para el usuario cuando se utiliza Horizon Client con UAG.


VMware, Inc. 141

Para obtener información sobre los métodos de autenticación, consulte Métodos de autenticación para la integración de Unified Access Gateway y proveedores de identidades de terceros

Requisitos previos

n Asegúrese de utilizar el servidor de conexión de Horizon 7.11 o versiones posteriores.

n Ya debe haber cargado los metadatos del proveedor de identidades en UAG.

Consulte Cargar metadatos SAML del proveedor de identidades en Unified Access Gateway.

Procedimiento

1 En la sección Configurar manualmente de la interfaz de usuario de administrador de UAG, haga clic en Seleccionar.

2 En la sección Configuración general, para Configuración del servicio perimetral, haga clic en Mostrar.

3 Haga clic en el icono de engranaje de Configuración de Horizon.

4 En la página Configuración de Horizon, haga clic en Más para configurar los ajustes siguientes:


Métodos de autenticación Seleccione SAML, SAML and Passthrough o SAML and Unauthenticated

Nota Si True SSO está habilitado en el servidor de conexión de Horizon, solo se debe usar el método de autenticación SAML.

Importante Si elige SAML and Unauthenticated, asegúrese de configurar el Nivel de ralentización de inicio de sesión de Horizon Connection Server en Low. Esta configuración es necesaria para evitar un retraso prolongado en el tiempo de inicio de sesión de los endpoints al acceder a la aplicación o al escritorio remotos.

Para obtener más información sobre cómo configurar el Nivel de ralentización de inicio de sesión, consulte la documentación de Administración de Horizon en VMware Docs.

Proveedor de identidades Seleccione el proveedor de identidades que se debe integrar con UAG.

Nota Un proveedor de identidades solo está disponible para su selección si los metadatos del proveedor de identidades están cargados en UAG.

Para configurar los otros ajustes de Horizon, consulte Configurar las opciones de Horizon.

Métodos de autenticación para la integración de Unified Access Gateway y proveedores de identidades de tercerosSAML, SAML y Pass-Through, y SAML y sin autenticar son los métodos de autenticación admitidos para integrar UAG (Unified Access Gateway) con un proveedor de identidades externo para controlar el acceso a las aplicaciones y los escritorios de Horizon. El método de autenticación determina cómo se autentica el usuario de Horizon.

Al configurar los ajustes de Horizon en UAG, debe seleccionar uno de los métodos de autenticación.


VMware, Inc. 142


SAML

En el método de autenticación SAML, UAG valida primero la aserción de SAML. Si la aserción de SAML es válida, UAG transmite la aserción de SAML a Horizon Connection Server. Para que Horizon Connection Server acepte la aserción, el servidor de conexión debe estar configurado con los metadatos del proveedor de identidades. Cuando un usuario accede a Horizon Client, recibe las autorizaciones sin que se le solicite que proporcione las credenciales de Active Directory.

Nota Si el ajuste TrueSSO está habilitado en Horizon Connection Server, se debe utilizar el método de autenticación SAML.

SAML y Pass-Through

En el método de autenticación SAML y Pass-Through, UAG valida la aserción de SAML. Si la aserción de SAML es válida, se solicita al usuario que proporcione las credenciales de autenticación de Active Directory al acceder a Horizon Client. En este método de autenticación, UAG no pasa la aserción de SAML a Horizon Connection Server.

SAML y sin autenticar

En el método SAML y sin autenticar, Unified Access Gateway combina la autenticación de usuario de SAML con la función de acceso sin autenticar de Horizon. Si la aserción de SAML es válida, el usuario puede acceder a las aplicaciones alojadas en RDS sin necesidad de realizar ninguna autenticación adicional. En la función de acceso sin autenticar de Horizon, se utiliza un alias de usuario basado en funciones con Horizon para determinar las autorizaciones de la aplicación. Horizon puede utilizar el alias de usuario como alias predeterminado. Este alias también se puede especificar de forma predeterminada en la configuración de Unified Access Gateway (Nombre de usuario sin autenticar predeterminado) o puede ser el valor de un atributo de SAML con nombre que se presenta como una notificación en la aserción de SAML enviada por el proveedor de identidades.

La interfaz del usuario administrador de Unified Access Gateway tiene dos cuadros de texto: Atributo de nombre de usuario sin autenticar SAML y Nombre de usuario sin autenticar predeterminado, que se pueden utilizar para especificar el alias de usuario. Estos cuadros de texto están disponibles en la interfaz de usuario del administrador cuando el método de autenticación es SAML y sin autenticar.

Si el cuadro de texto Atributo de nombre de usuario sin autenticar SAML está configurado en la interfaz de usuario del administrador, cuando Unified Access Gateway valida la aserción de SAML, si el nombre está presente en la aserción de SAML, Unified Access Gateway usa ese valor como alias de usuario de acceso sin autenticar de Horizon.

Cuando el cuadro de texto Atributo de nombre de usuario sin autenticar SAML está vacío o el nombre de atributo especificado en este cuadro de texto no se encuentra en la aserción de SAML, Unified Access Gateway utiliza el nombre de usuario predeterminado configurado en el cuadro de texto Nombre de usuario sin autenticar predeterminado como alias de usuario con acceso sin autenticar de Horizon.

Si no se utiliza Atributo de nombre de usuario sin autenticar SAML y el cuadro de texto Nombre de usuario sin autenticar predeterminado está vacío, Unified Access Gateway usa el alias de usuario predeterminado configurado en Horizon.


VMware, Inc. 143

Para obtener más información sobre el ajuste de la configuración de los usuarios con acceso sin autenticar, consulte Proporcionar acceso sin autenticar para las aplicaciones publicadas y la información relacionada en la guía de Administración de Horizon en VMware Docs.

Para obtener más información sobre cómo proporcionar autorizaciones (aplicaciones publicadas) a los usuarios con acceso sin autenticar, consulte Autorizar a los usuarios sin autenticar para que accedan a las aplicaciones publicadas y la información relacionada en la guía de Administración de Horizon en VMware Docs.

Componentes de Workspace ONE UEM en Unified Access GatewayPuede implementar VMware Tunnel mediante el dispositivo de Unified Access Gateway. Unified Access Gateway admite la implementación en entornos de ESXi o Microsoft Hyper-V. VMware Tunnel proporciona un método seguro y eficaz para que las aplicaciones individuales accedan a los recursos corporativos. Content Gateway (CG) es un componente de la solución Workspace ONE UEM Content Management que permite el acceso seguro al contenido del repositorio local en dispositivos móviles.

Requisitos de DNS para VMware Tunnel y Content GatewayCuando los servicios de VMware Tunnel y Content Gateway están habilitados en el mismo dispositivo y el uso compartido de puertos TLS está habilitado, los nombres DNS deben ser únicos para cada servicio. Cuando no se habilita TLS, solo puede usarse un nombre DNS para ambos servicios, ya que el puerto diferenciará el tráfico entrante.

Implementar VMware Tunnel en Unified Access GatewaySi se implementa VMware Tunnel mediante el dispositivo de Unified Access Gateway, este proporcionará un método seguro y eficaz para que las aplicaciones individuales accedan a los recursos corporativos. Unified Access Gateway admite la implementación en entornos de ESXi o Microsoft Hyper-V.

VMware Tunnel está formado por dos componentes independientes: el proxy de túnel y el túnel por aplicación. Implemente VMware Tunnel con modelos de arquitectura de red única o de varios niveles.

Tanto el modelo de implementación de proxy de túnel como el de túnel por aplicación pueden utilizarse en una red de varios niveles en el dispositivo de Unified Access Gateway. La implementación consta de un servidor front-end de Unified Access Gateway implementado en la DMZ y un servidor back-end implementado en la red interna.

El componente del proxy de túnel protege el tráfico de red entre un dispositivo del usuario final y un sitio web a través de Workspace ONE Web o cualquier aplicación compatible con Workspace ONE SDK implementada desde Workspace ONE UEM. La aplicación móvil crea una conexión HTTPS segura con el servidor del proxy de túnel y protege los datos confidenciales. Los dispositivos se autentican en el proxy de túnel con un certificado emitido mediante SDK, tal como se configuró en la consola de Workspace ONE UEM. Por lo general, este componente debe utilizarse cuando existen dispositivos no administrados que necesitan acceso protegido a recursos internos.


VMware, Inc. 144



Para dispositivos totalmente inscritos, el componente del túnel por aplicación permite que los dispositivos se conecten a los recursos internos sin necesidad de Workspace ONE SDK. Este componente usa las funciones nativas de la VPN por aplicación de los sistemas operativos iOS, Android, Windows 10 y macOS.

Para obtener más información sobre estas plataformas y las capacidades de los componentes de VMware Tunnel, consulte la documentación más reciente de túnel desde la página de documentación de Workspace ONE UEM.

La implementación de VMware Tunnel para su entorno de Workspace ONE UEM incluye lo siguiente:

1 Configurar la información del nombre de host y el puerto de VMware Tunnel en la consola de Workspace ONE UEM. Consulte Reglas del firewall para dispositivos de Unified Access Gateway basados en DMZ.

2 Descargar e implementar la plantilla de Unified Access Gateway OVF.

3 Configurar manualmente VMware Tunnel.

Figura 4-10. Implementación de varios niveles de VMware Tunnel: proxy y túnel por aplicación

Recursos internos: -SharePoint-Wikis-Intranet

VMwareAirwatch

VMware TunnelServidor back-end

VMware TunnelServidor front-end

DMZ

Redinterna

Dispositivos deusuario final

80.443

443

443

2010, 8443

2020, 8443


VMware, Inc. 145


AirWatch v9.1 y versiones posteriores es compatible con el modo cascada como modelo de implementación de varios niveles para VMware Tunnel. El modo cascada requiere un puerto entrante dedicado para cada componente del túnel de Internet al servidor del túnel front-end. Tanto los servidores front-end como back-end deben poder comunicarse con los servidores AWCM y la API de Workspace ONE UEM. En VMware Tunnel, el modo Cascada es compatible con la arquitectura de varios niveles del componente del túnel por aplicación.

Para conocer las consideraciones de equilibrio de carga respecto de Content Gateway y el proxy de túnel, consulte Unified Access GatewayTopologías de equilibrio de carga.

Vaya a la página de documentación de VMware Workspace ONE UEM para obtener una lista completa de las guías y las notas de la versión de Workspace ONE UEM.

Configurar el proxy de VMware TunnelConfigure el proxy de VMware Tunnel mediante el asistente de configuración. Las opciones configuradas en el asistente se empaquetan en el programa de instalación, que puede descargarse desde la consola de Workspace ONE UEM y moverse a los servidores de Tunnel.

Configure el proxy de VMware Tunnel en UEM Console desde Grupos y configuración > Todos los ajustes > Sistema > Integración empresarial > VMware Tunnel > Proxy. El asistente le guiará por la configuración del programa de instalación, paso a paso. Las opciones configuradas en el asistente se empaquetan en el programa de instalación, que puede descargarse desde la consola de Workspace ONE UEM y moverse a los servidores de Tunnel. Para cambiar los detalles de este asistente, normalmente se requiere volver a instalar VMware Tunnel con la configuración nueva.

Para configurar el proxy de VMware Tunnel, se necesitan los detalles del servidor en el que se va a realizar la instalación. Antes de la configuración, determine el modelo de implementación, los nombres de host y los puertos, así como las funciones de VMware Tunnel que se implementarán. Puede considerar cambiar la integración del registro de acceso, la descarga de SSL, la integración de la entidad de certificación empresarial, etc.

Nota El asistente muestra de forma dinámica las opciones adecuadas en función de las selecciones, ya que las pantallas de configuración pueden mostrar diferentes cuadros de texto y opciones.

Procedimiento

1 Desplácese hasta Grupos y configuración > Todos los ajustes > Sistema > Integración empresarial > VMware Tunnel > Proxy.

n Si va a configurar VMware Tunnel por primera vez, seleccione Configurar y siga las pantallas del asistente de configuración.

n Si va a configurar VMwareTunnel por primera vez, seleccione Anular y, a continuación, seleccione el conmutador de opción Habilitado de VMware Tunnel y, a continuación, seleccione Configurar.

Nota Al reemplazar la configuración del proxy de VMware Tunnel no se reemplazan las opciones de configuración de VMware Tunnel.


VMware, Inc. 146


2 En la pantalla Tipo de implementación, seleccione el conmutador de opción Habilitar Proxy (Windows y Linux) y, a continuación, seleccione los componentes que desea configurar usando el menú desplegable Tipo de configuración de proxy.

3 En los menús desplegables que aparecen, seleccione si va a configurar un Endpoint de retransmisión o una implementación del Tipo de configuración del proxy. Para ver un ejemplo del tipo seleccionado, seleccione el icono de información.

4 Seleccione Siguiente.

5 En la pantalla Detalles, configure los ajustes siguientes. Los ajustes que se muestran en la pantalla Detalles dependen del tipo de configuración seleccionado en el menú desplegable Tipo de configuración de proxy.

u Para el Tipo de configuración de proxy Básico, introduzca la siguiente información:

Configuración Descripción

Nombre de host Introduzca el FQDN del nombre de host público para el servidor de Tunnel, por ejemplo, tunnel.acmemdm.com. Este nombre de host debe estar disponible públicamente, ya que es el DNS al que se conectan los dispositivos desde Internet.

Puerto de retransmisión El servicio de proxy está instalado en este puerto. Los dispositivos se conectan a <relayhostname>:<port> para usar la función de proxy de VMware Tunnel. El valor predeterminado es 2020.

Nombre del host de retransmisión (Solo endpoint de retransmisión). Introduzca el FQDN del nombre de host público para el servidor de retransmisión de Tunnel, por ejemplo, tunnel.acmemdm.com. Este nombre de host debe estar disponible públicamente, ya que es el DNS al que se conectan los dispositivos desde Internet.


VMware, Inc. 147


Habilitar la descarga de SSL Seleccione esta casilla de verificación si desea utilizar la descarga de SSL para aliviar la carga de cifrar y descifrar el tráfico del servidor de VMware Tunnel.

Usar el proxy Kerberos Para permitir el acceso a la autenticación Kerberos para los servicios web back-end de destino, seleccione el soporte de proxy de Kerberos. Esta función no es compatible actualmente con la delegación limitada de Kerberos (KCD). Para obtener más información, consulte el tema sobre cómo Configurar los ajustes del proxy Kerberos.

El servidor de endpoint debe estar en el mismo dominio que KDC para que el proxy Kerberos se comunique correctamente con KDC.

u Si elige el Tipo de configuración de proxy Endpoint de retransmisión, introduzca la siguiente

información:


Nombre del host de retransmisión (Solo endpoint de retransmisión). Introduzca el FQDN del nombre de host público para el servidor de retransmisión de Tunnel, por ejemplo, tunnel.acmemdm.com. Este nombre de host debe estar disponible públicamente, ya que es el DNS al que se conectan los dispositivos desde Internet.

Nombre del host de endpoint El DNS interno del servidor de endpoint de Tunnel. Este valor es el nombre de host al que se conecta el servidor de retransmisión en el puerto del endpoint de retransmisión. Si tiene previsto instalar VMware Tunnel en un servidor de descarga de SSL, introduzca el nombre de ese servidor en lugar del Nombre de host.Cuando introduzca el Nombre de host, no incluya un protocolo, como http://, https://, etc.

Puerto de retransmisión El servicio de proxy está instalado en este puerto. Los dispositivos se conectan a <relayhostname>:<port> para usar la función de proxy de VMware Tunnel. El valor predeterminado es 2020.

Puerto del endpoint (Solo endpoint de retransmisión). Este valor es el puerto que se utiliza para la comunicación entre la retransmisión de VMware Tunnel y el endpoint de VMware Tunnel. El valor predeterminado es 2010.

Si utiliza una combinación de proxy y túnel por aplicación, el terminal del endpoint de retransmisión se instala como parte del servidor front-end para el modo en cascada. Los puertos deben utilizar valores diferentes.

Habilitar la descarga de SSL Seleccione esta casilla de verificación si desea utilizar la descarga de SSL para aliviar la carga de cifrar y descifrar el tráfico del servidor de VMware Tunnel.

Usar el proxy Kerberos Para permitir el acceso a la autenticación Kerberos para los servicios web back-end de destino, seleccione el soporte de proxy de Kerberos. Esta función no es compatible actualmente con la delegación limitada de Kerberos (KCD). Para obtener más información, consulte el tema sobre cómo Configurar los ajustes del proxy Kerberos.

El servidor de endpoint debe estar en el mismo dominio que KDC para que el proxy Kerberos se comunique correctamente con KDC.

En el cuadro de texto Dominio, introduzca el dominio del servidor KDC.



VMware, Inc. 148

7 En la pantalla SSL, puede configurar el certificado SSL público que protege la comunicación entre el cliente y el servidor de la aplicación habilitada en un dispositivo a VMware Tunnel. De forma predeterminada, esta configuración utiliza un certificado de AirWatch para una comunicación segura entre el servidor y el cliente.

a Seleccione la opción Utilizar certificado público de SSL si prefiere utilizar un certificado SSL de terceros para el cifrado entre Workspace ONE Web o las aplicaciones compatibles con el SDK y el servidor de VMware Tunnel.

b Seleccione Cargar para cargar un archivo de certificado .PFX o .P12 e introduzca la contraseña. Este archivo debe contener el par de claves pública y privada. No se admiten archivos CER ni CRT.


9 En la pantalla de Autenticación, configure los ajustes siguientes para seleccionar los certificados que los dispositivos usan para autenticarse en VMware Tunnel.

De forma predeterminada, todos los componentes utilizan certificados emitidos por AirWatch. Para utilizar certificados de CA empresarial para la autenticación cliente-servidor, seleccione la opción CA empresarial.

a Seleccione Predeterminado para utilizar los certificados emitidos por AirWatch. El certificado de cliente predeterminado emitido por AirWatch no se renueva automáticamente. Para renovar estos certificados, vuelva a publicar el perfil de VPN en los dispositivos que tengan un certificado de cliente caducado o de caducidad próxima. Para ver el estado del certificado de un dispositivo, desplácese hasta Dispositivos > Detalles del dispositivo > Más > Certificados.

b Seleccione CA empresarial en lugar de los certificados emitidos por AirWatch para la autenticación entre las aplicaciones de Workspace ONE Web, compatibles con el túnel por aplicación o compatibles con el SDK, y VMware Tunnel requiere que haya una entidad de certificación y una plantilla de certificado configuradas en el entorno de Workspace ONE UEM antes de configurar VMware Tunnel.

c Seleccione la Entidad de certificación y la Plantilla de certificado que se usan para solicitar un certificado de la CA.

d Seleccione Cargar para cargar la cadena completa de la clave pública de la entidad de certificación en el asistente de configuración.

La plantilla de CA debe contener CN=UDID en el nombre del asunto. Las CA compatibles son ADCS, RSA y SCEP.

Los certificados se renuevan automáticamente en función de la configuración de la plantilla de CA.

10 Haga clic en Agregar para agregar un certificado intermedio.



VMware, Inc. 149

12 En la pantalla Varios, puede usar los registros de acceso para los componentes de túnel por aplicación o de proxy. Habilite el conmutador de opción Registros de acceso para configurar la función.

Si pretende usar esta función, debe configurarla ahora como parte de la configuración, ya que no se puede habilitar posteriormente sin volver a configurar Tunnel y volver a ejecutar el programa de instalación. Para obtener más información sobre esta configuración, consulte #unique_95 y Configurar los ajustes avanzados de VMware Tunnel.

a Introduzca la URL del host de syslog en el campo Nombre de host de syslog. Esta opción se muestra después de habilitar los registros de acceso.

b Introduzca el puerto en el que desea comunicarse con el host de syslog en el campo Puerto UDP.

13 Seleccione Siguiente, revise el resumen de la configuración, confirme que todos los nombres de host, los puertos y la configuración son correctos, y seleccione Guardar.

El programa de instalación ya está listo para descargarse en la pantalla VMware Tunnel Configuración.

14 En la pantalla Configuración, seleccione la pestaña General. La pestaña General permite hacer lo siguiente:

a Puede seleccionar Probar conexión para comprobar la conectividad.

b Puede seleccionar Descargar XML de configuración para recuperar la configuración de la instancia de VMware Tunnel existente como un archivo XML.

c Puede seleccionar el hipervínculo Descargar Unified Access Gateway. Este botón descarga el archivo OVA no FIPS. El archivo de descarga también incluye el script de PowerShell y el archivo de plantilla .ini para el método de implementación de PowerShell. Debe descargar el archivo OVA FIPS o VHDX desde My Workspace ONE.

d Para los métodos del programa de instalación heredado, puede seleccionar Descargar Windows Installer.

Este botón descarga un único archivo BIN utilizado para implementar el servidor de VMware Tunnel. El archivo XML de configuración necesario para la instalación se puede descargar desde la consola de Workspace ONE UEM después de confirmar la contraseña del certificado.

15 Seleccione Guardar.

Modelo de implementación de un solo nivelSi utiliza el modelo de implementación de un solo nivel, use el modo de endpoint básico. El modelo de implementación de endpoint básico de VMware Tunnel es una única instancia del producto instalada en un servidor con un DNS disponible públicamente.

La instancia básica de VMware Tunnel se instala normalmente en la red interna detrás de un equilibrador de carga en la DMZ que reenvía el tráfico de los puertos configurados a VMware Tunnel, que posteriormente se conecta directamente a las aplicaciones web internas. Todas las configuraciones de implementación admiten el equilibrio de carga y el proxy inverso.


VMware, Inc. 150

El servidor de endpoint básico de Tunnel se comunica con la API y AWCM para recibir una lista blanca de clientes con permiso de acceso a VMware Tunnel. Tanto el proxy como los componentes del túnel por aplicación admiten el uso de un proxy saliente para comunicarse con la API/AWCM en este modelo de implementación. Cuando un dispositivo se conecta a VMware Tunnel, se autentica en función de los certificados X.509 exclusivos emitidos por Workspace ONE UEM. Una vez que se autentica un dispositivo, VMware Tunnel (endpoint básico) reenvía la solicitud a la red interna.

Si el endpoint básico está instalado en la DMZ, deben realizarse cambios de red adecuados para que VMware Tunnel pueda acceder a varios recursos internos a través de los puertos necesarios. La instalación de este componente detrás de un equilibrador de carga en la DMZ minimiza la cantidad de cambios de red para implementar VMware Tunnel y proporciona una capa de seguridad porque el DNS público no apunta directamente al servidor que aloja VMware Tunnel.


VMware, Inc. 151

Dispositivos de usuario final

443

80, 443 80, 443

8443/2020

VMware AirWatch

Red interna

DMZ


Servidor de VMware Tunnel

Modelo de nivel único SaaS Modelo de nivel único local

Recursos internos: - Share Point - Wikis - Intranet

Servidor de VMwareTunnel API/AWCM

443/2001

8443/2020


Red interna

DMZ


VMware, Inc. 152

Implementación del modo de cascadaLa arquitectura del modelo de implementación en cascada incluye dos instancias de VMware Tunnel con funciones independientes. En el modo en cascada, el servidor front-end reside en la DMZ y se comunica con el servidor back-end de la red interna.

Solo el componente de túnel por aplicación admite el modelo de implementación en cascada. Si solo utiliza el componente de proxy, debe utilizar el modelo del endpoint de retransmisión. Para obtener más información, consulte Implementación del endpoint de retransmisión.

Los dispositivos acceden al servidor front-end para el modo en cascada mediante un nombre de host configurado en los puertos configurados. El puerto predeterminado para acceder al servidor front-end es el puerto 8443. El servidor back-end para el modo en cascada se instala en la red interna que aloja los sitios de intranet y las aplicaciones web. Este modelo de implementación separa el servidor front-end disponible públicamente del servidor back-end que se conecta directamente a los recursos internos y proporciona una capa adicional de seguridad.

El servidor front-end facilita la autenticación de los dispositivos mediante la conexión a AWCM cuando se realizan las solicitudes a VMware Tunnel. Cuando un dispositivo realiza una solicitud a VMware Tunnel, el servidor front-end determina si el dispositivo está autorizado para acceder al servicio. Una vez autenticada, la solicitud se envía de forma segura utilizando TLS mediante un puerto único al servidor back-end.

El servidor back-end se conecta a la IP o al DNS internos solicitados por el dispositivo.

El modo en cascada se comunica mediante una conexión TLS (o conexión DTLS opcional). Puede alojar todos los servidores front-end y back-end que desee. Cada servidor front-end actúa de forma independiente al buscar un servidor back-end activo para conectar dispositivos a la red interna. Puede configurar varias entradas de DNS en una tabla de búsqueda de DNS para permitir el equilibrio de carga.

Los servidores front-end y back-end se comunican con el servidor de API de Workspace ONE UEM y AWCM. El servidor de API proporciona la configuración de VMware Tunnel y AWCM proporciona autenticación de dispositivos, listas blancas y reglas de tráfico. El servidor front-end y back-end se comunica con la API/AWCM a través de conexiones TLS directas, a menos que se habiliten las llamadas de proxy salientes. Utilice esta conexión si el servidor front-end no puede acceder a los servidores de API/AWCM. Si se habilita, los servidores front-end se conectan a través del servidor back-end a los servidores de API/AWCM. Este tráfico y el tráfico de back-end se enrutan mediante las reglas de tráfico del lado del servidor. Para obtener más información, consulte Reglas de tráfico de red para el túnel por aplicación

El siguiente diagrama ilustra la implementación de varios niveles para el componente de túnel por aplicación en el modo en cascada:


VMware, Inc. 153


443

80, 443 80, 443

8443

8443

VMware AirWatch

Red interna

DMZ


Servidor front-end de VMware Tunnel

Modelo de varios niveles SaaS Modelo de varios niveles local

Servidor back-end de VMware Tunnel


Servidor front-end de VMwareTunnel API/AWCM

443/2001

8443

8443

443/2001Servidor back-end de VMware Tunnel


Red interna

DMZ

Implementación del endpoint de retransmisiónSi utiliza un modelo de implementación de varios niveles y el componente de proxy de VMware Tunnel, utilice el modo de implementación del endpoint de retransmisión. La arquitectura del modo de


VMware, Inc. 154

implementación del endpoint de retransmisión incluye dos instancias de VMware Tunnel con funciones independientes. El servidor de retransmisión de VMware Tunnel se encuentra en la DMZ y es accesible desde el DNS público a través de los puertos configurados.

Si solo utiliza el componente del túnel por aplicación, considere la posibilidad de usar una implementación de modo en cascada. Para obtener más información, consulte Implementación del modo de cascada.

Los puertos para acceder al DNS público son, de forma predeterminada, el puerto 8443 para el túnel por aplicación y el puerto 2020 para el proxy. El servidor de endpoint de VMware Tunnel está instalado en la red interna que aloja los sitios de intranet y las aplicaciones web. Este servidor debe tener un registro DNS interno que el servidor de retransmisión resuelva. Este modelo de implementación separa el servidor disponible públicamente del servidor que se conecta directamente a los recursos internos y proporciona una capa adicional de seguridad.

La función del servidor de retransmisión incluye la comunicación con la API, los componentes AWCM y los dispositivos de autenticación cuando se realizan las solicitudes a VMware Tunnel. En este modelo de implementación, la comunicación con la API y AWCM desde el servidor de retransmisión se puede enrutar al proxy saliente a través del servidor de endpoint. El servicio de túnel por aplicación debe comunicarse directamente con la API y con AWCM. Cuando un dispositivo realiza una solicitud a VMware Tunnel, el servidor de retransmisión determina si el dispositivo está autorizado para acceder al servicio. Una vez autenticada, la solicitud se envía de forma segura mediante HTTPS por un puerto único (el puerto predeterminado es el 2010) al servidor de endpoint de VMware Tunnel.

La función del servidor de endpoint es conectarse a la IP o al DNS internos que solicitó el dispositivo. El servidor de endpoint no se comunica con la API ni con AWCM, a menos que Habilitar las llamadas salientes de API y AWCM a través del proxy esté configurado como Habilitado en la configuración de VMware Tunnel en Workspace ONE UEM Console. El servidor de redireccionamiento realiza comprobaciones de estado en intervalos regulares para asegurarse de que el endpoint esté activo y disponible.

Estos componentes se pueden instalar en servidores dedicados o compartidos. Instale VMware Tunnel en servidores Linux dedicados para asegurar que el rendimiento no se ve afectado por el resto de aplicaciones que se ejecutan en el mismo servidor. En una implementación del endpoint de retransmisión, los componentes del túnel por aplicación y del proxy están instalados en el mismo servidor de retransmisión.


VMware, Inc. 155

Figura 4-11. Configuración local para implementaciones del endpoint de retransmisión

DMZ Red interna

Servicios de dispositivos/AWCM

Retransmisión de AirWatch Tunnel

El tráfico del navegador (proxy) se envía a través de puertos definidos por el usuario.Consulte la sección

sobre túneles de HTTPS en la guía de administración de Tunnel para

obtener más información.

Tunnel solo para Linux: El tráfico de túnel por aplicación se envía a

través de TCP (8443).

HTTPS o tráfico HTTP cifrado

Tráfico de proxy (puerto predeterminado: 2020)

Tráfico HTTPS de AirWatch MDM (433)

Tráfico HTTPS de certificado (433)

Inscripción de dispositivo

El tráfico del navegador (proxy) transporta a través de un puerto de elegido por el usuario y se establece

en la consola administrativa de AirWatch.

El certificado se crea y se envía al dispositivo

El servidor DS proporciona el certificado a AW Tunnel a través

de AWCM

Actualización inicial de AW Tunnel para todos los certificados

Recursos internos: Sitios web - SharePoint - Wikis - Intranet

Consola/Servidor de API

Endpoint de AirWatch Tunnel


VMware, Inc. 156

Figura 4-12. Configuración de SaaS para implementaciones del endpoint de retransmisión

DMZ Red interna

Retransmisión de AirWatch Tunnel

AirWatch Cloud

El tráfico del navegador (proxy) seenvía a través de puertos definidos por el usuario. Consulte la sección

sobre túneles de HTTPS en la guía de administración de Tunnel

para obtener más información. Tunnel solo para Linux: El tráfico de

túnel por aplicación se envía a través de TCP (8443).

Tráfico de proxy (puerto predeterminado: 2020)

Tráfico HTTPS de AirWatch MDM (433)

Tráfico HTTPS de certificado (433)

Inscripción dedispositivo

AW Tunnel recupera certificados utilizados para la autenticación

Dispositivos deusuario final

El tráfico del navegador (proxy) transporta a través de un puerto de

elegido por el usuario y se establece en la consola administrativa de

AirWatch.

El certificado se crea y se envía al

dispositivo

Recursos internos: Sitios web - SharePoint - Wikis - Intranet

Endpoint deAirWatch Tunnel


VMware, Inc. 157

Configurar los ajustes de VMware Tunnel para Workspace ONE UEMLa implementación del proxy de túnel protege el tráfico de red entre un dispositivo de usuario final y un sitio web a través de la aplicación móvil Workspace ONE Web.

Procedimiento


2 Vaya a Configuración general > Configuración de servicio perimetral y haga clic en Mostrar.

3 Haga clic en el icono de rueda dentada de la Configuración de VMware Tunnel.

4 Cambie de NO a SÍ para habilitar el proxy de túnel.

5 Configure los siguientes recursos de las opciones del servicio perimetral.


URL del servidor de API Introduzca la URL del servidor de la API de Workspace ONE UEM. Por ejemplo, introduzca https://ejemplo.com:<puerto>.

Nombre de usuario del servidor de API

Introduzca el nombre de usuario para iniciar sesión en el servidor API.

Contraseña del servidor de API Introduzca la contraseña para iniciar sesión en el servidor de API.

ID de grupo de la organización Introduzca la organización del usuario.

Nombre de host del servidor del túnel Introduzca el nombre de host externo de VMware Tunnel configurado en la consola de Workspace ONE UEM.



Host del proxy saliente Introduzca el nombre de host en el que se instala el proxy saliente.

Nota No es el proxy de túnel.

Puerto del proxy saliente Introduzca el número de puerto del proxy saliente.

Nombre de usuario de proxy saliente Introduzca el nombre de usuario para iniciar sesión en el proxy saliente.

Contraseña del proxy saliente Introduzca la contraseña para iniciar sesión en el proxy saliente.

Autenticación NTLM Cambie de NO a SÍ para especificar que la solicitud de proxy saliente necesita autenticación NTLM.

Usar para el proxy del VMware Tunnel Cambie de NO a SÍ para utilizar este proxy como un proxy saliente para el VMware Tunnel. Si no está habilitado, Unified Access Gateway utilizará este proxy para que la llamada API inicial obtenga la configuración de la consola de administración de Workspace ONE UEM.


VMware, Inc. 158





Certificados de confianza Seleccione los archivos de certificado de confianza, en formato PEM, para que se agreguen al almacén de confianza. De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM. Edite el cuadro de texto del alias para introducir un nombre diferente.


Implementación de VMware Tunnel para Workspace ONE UEM con PowerShellSe puede usar PowerShell para implementar VMware Tunnel para Workspace ONE UEM.

Para obtener información sobre la implementación de VMware Tunnel con PowerShell, vea este vídeo:Implementación de VMware Tunnel con PowerShell (http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell)

Acerca del uso compartido del puerto TLSEl uso compartido de puertos TLS está habilitado de forma predeterminada en Unified Access Gateway siempre que haya varios servicios perimetrales configurados para usar el puerto TCP 443. Los servicios perimetrales compatibles son VMware Tunnel (VPN por aplicación), Content Gateway, Secure Email Gateway y el proxy inverso de web.

Nota Si desea que se comparta el puerto TCP 443, asegúrese de que cada servicio perimetral configurado tenga un nombre de host externo único que se apunte a Unified Access Gateway.

Content Gateway en Unified Access GatewayContent Gateway (CG) es un componente de la solución Workspace ONE UEM Content Management que permite el acceso seguro al contenido del repositorio local en dispositivos móviles.

Requisitos previos

Debe configurar el nodo de Content Gateway mediante la consola de Workspace ONE UEM para poder configurar Content Gateway en Unified Access Gateway. Después de configurar el nodo, anote el GUID de configuración de Content Gateway, que se genera automáticamente.

Nota El acrónimo CG también se utiliza para hacer referencia a Content Gateway.


VMware, Inc. 159

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell

Procedimiento

1 Vaya a Configuración General > Configuración del servicio perimetral > Configuración de Content Gateway y haga clic en el icono del engranaje.

2 Seleccione SÍ para habilitar la configuración de Content Gateway.

3 Configure los ajustes siguientes


Identificador Indica que el servicio está habilitado.

URL del servidor de API La URL del servidor de API de Workspace ONE UEM [http[s]://]hostname[:port]

La URL de destino debe incluir el protocolo, el nombre de host o la dirección IP y el número de puerto. Por ejemplo: https://load-balancer.example.com:8443.

Unified Access Gateway extrae la configuración de Content Gateway del servidor de API.


Nombre de usuario para iniciar sesión en el servidor de API.

Nota Es necesario que la cuenta del administrador tenga, como mínimo, los permisos asociados con la función de Content Gateway

Contraseña del servidor de API Contraseña para iniciar sesión en el servidor de API.

Nombre de host de CG Nombre del host utilizado para configurar los ajustes perimetrales.

GUID de configuración de CG ID de configuración de Workspace ONE UEM Content Gateway. Este identificador se genera automáticamente cuando Content Gateway se configura en la consola de Workspace ONE UEM. El GUID de configuración se muestra en la página de Content Gateway en la UEM Console en Configuración > Contenido > Content Gateway.

Host del proxy saliente El host en el que se instala el proxy saliente. Unified Access Gateway establece una conexión con el servidor de API a través del proxy saliente si está configurado.

Puerto del proxy saliente El puerto del proxy saliente.

Nombre de usuario del proxy saliente Nombre de usuario para iniciar sesión en el proxy saliente.

Contraseña del proxy saliente Contraseña para iniciar sesión en el proxy saliente.

Autenticación NTLM Especifique si es necesaria una autenticación NTLM para el proxy saliente.


VMware, Inc. 160


Certificados de confianza Agregue un certificado de confianza a este servicio perimetral. Haga clic en '+' para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza. Haga clic en '-' para eliminar un certificado del almacén de confianza. De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM. Edite el cuadro de texto del alias para introducir un nombre diferente.


alias. Haga clic en '+' para agregar varias entradas de host.


Nota No se permite el tráfico HTTP para Content Gateway en el puerto 80 de Unified Access Gateway debido a que el Service Manager perimetral utiliza el puerto TCP 80.


Configuración de Content GatewayConfigure los ajustes de Content Gateway en Consola Workspace ONE UEM para establecer un nodo y preconfigurar los ajustes que se incluyen en el archivo de configuración y eliminar la necesidad de configurar los ajustes manualmente después de la instalación en el servidor.

La configuración incluye la selección de la plataforma, el modelo de configuración, los puertos asociados y, si es necesario, la carga de un certificado SSL.

Desde Workspace ONE UEM Console versión 9.6 en adelante, Unified Access Gateway (UAG) es el tipo de instalación recomendado al configurar un nodo de Content Gateway. Puede utilizar esta opción para configurar una nueva instancia de Content Gateway en Unified Access Gateway o para migrar la instancia de Content Gateway existente a Unified Access Gateway.

Para obtener más información sobre cómo configurar Content Gateway en Unified Access Gateway, consulte el tema sobre los componentes de Workspace ONE UEM en Unified Access Gateway, en la documentación de UAG. Para obtener información sobre la migración, consulte el tema sobre la migración de Content Gateway a Unified Access Gateway, en la documentación.

Procedimiento

1 Desplácese a Grupos y configuración > Todos los ajustes > Sistema > Integración empresarial > Content Gateway en el grupo de organización de su elección.

2 Establezca el ajuste para Habilitar Content Gateway en Habilitado.

Es posible que tenga que seleccionar el ajuste Reemplazar para desbloquear la configuración de Content Gateway.



VMware, Inc. 161

4 Complete los campos que aparecen para configurar una instancia de Content Gateway.

a Configure el Tipo de instalación.


Tipo de instalación Seleccione el sistema operativo para el servidor de Content Gateway.

b Configure los ajustes de Configuración de Content.


Tipo de configuración n Básica: configuración del endpoint sin ningún componente de retransmisión.

n Retransmisión: configuración del endpoint con un componente de retransmisión.

Nombre Proporcione un nombre único que se utilizará para seleccionar esta instancia de Content Gateway cuando se conecte a un repositorio de contenido, una plantilla de repositorio o un nodo de RFS.

Dirección de retransmisión de Content Gateway

Si implementa una configuración de retransmisión, introduzca la URL utilizada para acceder a la retransmisión de Content Gateway desde Internet.

Puerto de retransmisión de Content Gateway

Si implementa una configuración de retransmisión, introduzca el puerto del servidor de retransmisión.

Dirección del endpoint de Content Gateway

Introduzca el nombre de host del endpoint de Content Gateway. El certificado SSL público enlazado con el puerto configurado debe ser válido para esta entrada.

Puerto del endpoint de Content Gateway

Introduzca el puerto del servidor de endpoint.

c Configure el ajuste del Certificado SSL de Content.


Certificado SSL público (necesario para los requisitos de Linux)

Si es necesario, cargue un archivo de certificado PKCS12 (.pfx) con una cadena completa para que el programa de instalación de Content Gateway enlace con el puerto. La cadena completa incluye una contraseña, un certificado de servidor, versiones intermedias, un certificado raíz y una clave privada.

Nota Para asegurarse de que el archivo PFX contiene la cadena de certificados completa, puede ejecutar comandos como certutil -dump myCertificate.pfx o openssl pkcs12 -in myCertificate.pfx -nokeys con herramientas de la línea de comandos, como OpenSSL o Certutil. Estos comandos muestran la información completa del certificado.

Los requisitos varían según la configuración de SSL y la plataforma.

Omitir errores de SSL (no recomendado)

Si utiliza un certificado autofirmado, considere la posibilidad de habilitar esta función. Si se habilita, Content Gateway ignora los errores de confianza de certificados y los nombres de certificados que no coinciden.


VMware, Inc. 162

Las configuraciones de proxy de ICAP no son compatibles con Workspace ONE UEM Console versión 9.7. Sin embargo, se pueden editar las configuraciones existentes. Para obtener información sobre la configuración del proxy de ICAP, consulte https://support.workspaceone.com/articles/115001675368.

5 Seleccione Agregar.

6 Seleccione Guardar.

Pasos siguientes

Durante la configuración, especifique la plataforma y el modelo de configuración para Content Gateway. Después de configurar los ajustes de UEM Console, descargue el programa de instalación, configure los nodos adicionales o administre los nodos configurados.

Modelo de implementación básico (solo endpoint) para Content GatewayEl modelo básico de implementación de endpoints de VMware Content Gateway es una única instancia del producto instalada en un servidor con un DNS disponible públicamente.

En el modelo de implementación básico, VMware Content Gateway se instala normalmente en la red interna detrás de un equilibrador de carga en la DMZ que reenvía el tráfico en los puertos configurados a Content Gateway de VMware. Posteriormente, VMware Content Gateway se conecta directamente a los repositorios de contenido internos. Todas las configuraciones de implementación admiten el equilibrio de carga y el proxy inverso.

El servidor de endpoints básico de Content Gateway se comunica con Servicios de dispositivos. Servicios de dispositivos conecta el dispositivo del usuario final a la instancia correcta de Content Gateway.

Si el endpoint básico está instalado en la DMZ, deben realizarse cambios de red adecuados para que VMware Content Gateway pueda acceder a varios recursos internos a través de los puertos necesarios. Al instalar este componente detrás de un equilibrador de carga en la DMZ, se minimiza la cantidad de cambios de red necesarios para implementar VMware Content Gateway. Proporciona una capa de seguridad porque el DNS público no apunta directamente al servidor que aloja VMware Content Gateway.


VMware, Inc. 163

https://support.air-watch.com/articles/115001675368

https://support.air-watch.com/articles/115001675368

Modelo de implementación del endpoint de retransmisión de Content GatewayLa arquitectura del modelo de implementación del endpoint de retransmisión incluye dos instancias de VMware Content Gateway con funciones independientes.

El servidor de retransmisión de VMware Content Gateway se encuentra en la DMZ y es accesible desde el DNS público a través de los puertos configurados.

De forma predeterminada, 443 es el puerto para acceder a Content Gateway. El servidor de endpoint de VMware Content Gateway está instalado en la red interna que aloja los recursos internos. Este servidor debe tener un registro de DNS interno que el servidor de retransmisión pueda resolver. Este modelo de implementación separa el servidor disponible públicamente del servidor que se conecta directamente a los recursos internos y proporciona una capa adicional de seguridad.

La función del servidor de endpoint es conectarse al contenido o el repositorio interno que solicitó el dispositivo. El servidor de redireccionamiento realiza comprobaciones de estado en intervalos regulares para asegurarse de que el endpoint esté activo y disponible.

Estos componentes se pueden instalar en servidores dedicados o compartidos. Para garantizar que otras aplicaciones que se ejecutan en el mismo servidor no afecten al rendimiento, instale VMware Content Gateway en servidores dedicados.


VMware, Inc. 164

Secure Email Gateway en Unified Access GatewaySecure Email Gateway es un componente de Workspace ONE UEM que ayuda a proteger la infraestructura de correo y habilita la funcionalidad Mobile Email Management (MEM).

Requisitos previos

Debe configurar Secure Email Gateway mediante Workspace ONE UEM Console para poder configurar Secure Email Gateway en Unified Access Gateway. Después de configurar el nodo, anote el GUID de Secure Email Gateway, que se genera automáticamente. Para obtener más información, consulte la documentación de Secure Email Gateway.

Nota También se utiliza el acrónimo SEG para hacer referencia a Secure Email Gateway.

Nota n Secure Email Gateway es compatible con todas las versiones de Unified Endpoint Management

(UEM).

n Secure Email Gateway está configurado para seguir los ajustes de syslog que se configuran como parte de los ajustes del sistema de Unified Access Gateway. De forma predeterminada, solo se activarán los contenidos de app.log en Secure Email Gateway como eventos de syslog. Para obtener más información, consulte Configuración del sistema de Unified Access Gateway.

Procedimiento

1 Vaya a Configuración General > Configuración del servicio perimetral > Configuración de Secure Email Gateway y haga clic en el icono del engranaje.

2 Seleccione SÍ para habilitar Secure Email Gateway.


VMware, Inc. 165

https://docs.vmware.com/es/VMware-Workspace-ONE-UEM/1905/WS1-Secure-Email-Gateway/GUID-AWT-INTRO-SEG.html

https://docs.vmware.com/es/Unified-Access-Gateway/3.7/com.vmware.uag-37-deploy-config.doc/GUID-F71E6283-E24B-49F5-8AC6-D28915CD41AD.html

3 Configure los ajustes siguientes.


URL del servidor de API La URL del servidor de API de Workspace ONE UEM [http[s]://]hostname[:port]

La URL de destino debe incluir el protocolo, el nombre de host o la dirección IP y el número de puerto. Por ejemplo: https://load-balancer.example.com:8443.

Unified Access Gateway extrae la configuración de Secure Email Gateway del servidor de API.


Nombre de usuario para iniciar sesión en el servidor de API.

Nota Es necesario que la cuenta del administrador tenga, como mínimo, los permisos asociados con la función de Secure Email Gateway.

Contraseña del servidor de API Contraseña para iniciar sesión en el servidor de API.

Nombre de host del servidor de Secure Email Gateway

Nombre del host utilizado para configurar los ajustes perimetrales.

GUID de configuración de MEM ID de configuración de Workspace ONE UEM Mobile Email Management. Este identificador se genera automáticamente cuando Mobile Email Management se configura en la consola de Consola Workspace ONE UEM. El GUID de configuración se muestra en la página de configuración de Mobile Email Management en UEM Console.

Agregar certificado SSL Alterne para agregar el certificado SSL si la opción para cargar localmente el certificado SSL está habilitada en la sección de configuración de correo electrónico de UEM Console.

Certificado SSL Haga clic en Seleccionar para cargar un archivo de certificado .PFX o .P12.

Nota También puede cargar el certificado SSL en Workspace ONE UEM Console.

Cuando el certificado se carga localmente, la huella digital del certificado se muestra en la GUI de administrador.

Contraseña Introduzca la contraseña para el certificado SSL.

Host del proxy saliente El host en el que se instala el proxy saliente. Unified Access Gateway establece una conexión con el servidor de API a través del proxy saliente si está configurado.

Puerto del proxy saliente El puerto del proxy saliente.

Nombre de usuario del proxy saliente Nombre de usuario para iniciar sesión en el proxy saliente.

Contraseña del proxy saliente Contraseña para iniciar sesión en el proxy saliente.


VMware, Inc. 166


Certificados de confianza Agregue un certificado de confianza a este servicio perimetral. Haga clic en '+' para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza. Haga clic en '-' para eliminar un certificado del almacén de confianza. De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM. Edite el cuadro de texto del alias para introducir un nombre diferente.

Entradas de host Introduzca los detalles que se agregarán en el archivo /etc/hosts. Cada entrada debe incluir una IP, un nombre de host y un alias de nombre de host opcional en este orden y separados por un espacio. Por ejemplo, 10.192.168.1 ejemplo1.com, 10.192.168.2 ejemplo2.com ejemplo-alias. Haga clic en '+' para agregar varias entradas de host.

Nota Las entradas de host solo se guardan después de hacer clic en Guardar.


Cambiar los niveles de registro para Secure Email Gateway en Unified Access GatewayPuede cambiar los niveles de registro para Secure Email Gateway en Unified Access Gateway.

Requisitos previos

Habilite SSH en la máquina virtual Linux, si aún no está habilitado.

Procedimiento

1 Conéctese a la máquina Secure Email Gateway de Unified Access Gateway mediante Secure Shell.

2 Edite el archivo de configuración de registro para SEG con el comando.

vi /opt/vmware/docker/seg/container/config/logback.xml

3 Busque un registrador adecuado para el que quiera cambiar el nivel de registro. Por ejemplo, logger name="com.airwatch" groupKey="app.logger" level="error"

4 Cambie el valor del atributo level de error a cualquier nivel, como warn,Info, Debug.

5 Guarde el archivo.

Resultados

El cambio del nivel de registro se refleja en los registros.

Habilitar el proxy de EWS en SEGSEG proporciona autorización y conformidad para el tráfico de los servicios web Exchange (EWS) que utiliza el servicio de notificación de correo electrónico de VMware (ENS).

El siguiente procedimiento describe los pasos para habilitar el proxy de EWS en Secure Email Gateway.


VMware, Inc. 167

Procedimiento

1 Conéctese a la máquina Secure Email Gateway de Unified Access Gateway mediante Secure Shell.

2 Edite el archivo de propiedades con el siguiente comando

vi /opt/vmware/docker/seg/container/config/override/application-override.properties

3 Agregue la entrada en application-override.properties.

enable.boxer.ens.ews.proxy=true

4 Guarde el archivo.

5 Vuelva a guardar la configuración de SEG en la interfaz de usuario de administración de Unified Access Gateway.

Casos prácticos de implementación adicionalesPuede implementar Unified Access Gateway con varios servicios perimetrales en el mismo dispositivo, como con Horizon y proxy inverso de web y Unified Access Gateway con VMware Tunnel, Content Gateway y proxy inverso de web.

Consideraciones para implementar Unified Access Gateway con varios serviciosTenga en cuenta las siguientes consideraciones importantes antes de implementar los servicios perimetrales juntos.

n Comprenda y cumpla con los requisitos de redes: consulte Reglas del firewall para dispositivos de Unified Access Gateway basados en DMZ.

n Siga las directrices de tamaño: consulte la sección sobre las opciones de tamaño en el tema Implementar Unified Access Gateway mediante el asistente de plantillas OVF.

n Horizon Connection Server no funciona con un proxy inverso de web habilitado cuando hay una superposición en el patrón de proxy. Por lo tanto, si Horizon y una instancia de proxy inverso de web están configurados y habilitados con los patrones de proxy en la misma instancia de Unified Access Gateway, elimine el patrón de proxy '/' de la configuración de Horizon y conserve el patrón en el proxy inverso de web para evitar la superposición. Retener el patrón de proxy '/' en la instancia de proxy inverso de web garantiza que, cuando un usuario hace clic en la dirección URL de Unified Access Gateway, se muestra la página de proxy inverso de web correcta. Si solo configura las opciones de Horizon, no es necesario el cambio indicado anteriormente.

n Al implementar Unified Access Gateway con los servicios combinados de VMware Tunnel, Content Gateway, Secure Email Gateway y proxy inverso de web, si utiliza el mismo puerto 443 para todos los servicios, cada servicio debe tener un nombre de host externo único. Consulte Acerca del uso compartido del puerto TLS.


VMware, Inc. 168

n Los distintos servicios perimetrales pueden configurarse de forma independiente mediante la interfaz de usuario administrador, y puede importar configuraciones anteriores si lo desea. Al implementar con PowerShell, el archivo INI hace que la implementación esté lista para producción.

n Si Horizon Blast y VMware Tunnel están habilitados en el mismo Unified Access Gateway dispositivo, VMware Tunnel se debe configurar para utilizar un número de puerto diferente que no sea 443 o 8443. Si desea utilizar el puerto 443 o 8443 para VMware Tunnel, debe implementar el servicio Horizon Blast en un dispositivo de Unified Access Gateway independiente.


VMware, Inc. 169

Configurar Unified Access Gateway con certificados TLS/SSL 5Debe configurar los certificados TLS/SSL para los dispositivos de Unified Access Gateway.

Nota La configuración de los certificados TLS/SSL para el dispositivo de Unified Access Gateway se aplica solo a Horizon, Horizon Air y al proxy inverso de web.


n Configurar certificados TLS/SSL para dispositivos Unified Access Gateway

Configurar certificados TLS/SSL para dispositivos Unified Access GatewayLa opción TLS/SSL es obligatoria para las conexiones del cliente a los dispositivos de Unified Access Gateway. Los dispositivos de Unified Access Gateway para el cliente y los servidores intermedios que terminan las conexiones TLS/SSL necesitan certificados de servidor TLS/SSL.

Los certificados de servidor TLS/SSL los firma una entidad de certificación (CA). Una entidad de certificación es una entidad de confianza que garantiza la identidad del certificado y de su creador. Cuando una entidad de certificación firma un certificado, los usuarios dejan de recibir mensajes en los que se les pide que comprueben el certificado y de esta forma, los dispositivos del cliente ligero pueden conectarse sin necesidad de configuración adicional.

Al implementar un dispositivo de Unified Access Gateway, se genera un certificado de servidor TLS/SSL predeterminado. En entornos de producción, VMware recomienda sustituir el certificado predeterminado lo antes posible. El certificado predeterminado no está firmado por una CA de confianza. Utilice el certificado predeterminado exclusivamente en un entorno que no sea de producción.

Seleccionar el tipo de certificado correctoUnified Access Gateway permite el uso de varios tipos de certificado TLS/SSL. Es crucial seleccionar el tipo de certificado correcto para la implementación. Los distintos tipos de certificado tienen un costo diferente, según el número de servidores en los que se puedan utilizar.

VMware, Inc. 170

Siga las recomendaciones de seguridad de VMware y utilice nombres de dominio plenamente cualificados (FQDN) para sus certificados, independientemente del tipo seleccionado. No utilice un simple nombre de servidor o dirección IP, ni siquiera para comunicaciones dentro de su dominio interno.

Certificado con un nombre único para el servidorEs posible generar un certificado con un nombre de sujeto para un servidor específico. Por ejemplo, dept.ejemplo.com.

Este tipo de certificado resulta útil si, por ejemplo, solo se necesita un certificado para un dispositivo de Unified Access Gateway.

Al enviar una solicitud de firma del certificado a una entidad de certificación, proporcione el nombre del servidor que desea asociar al certificado. Asegúrese de que el dispositivo de Unified Access Gateway pueda resolver el nombre de servidor que proporcione de manera que coincida con el nombre asociado al certificado.

Nombres alternativos de sujetoUn nombre alternativo de sujeto (SAN) es un atributo que se puede agregar a un certificado en el momento de su emisión. Este atributo se utiliza para agregar nombres de sujeto (URL) a un certificado, para que pueda validar más de un servidor.

Por ejemplo, se pueden emitir tres certificados para los dispositivos de Unified Access Gateway que se encuentran detrás de un equilibrador de carga: ap1.ejemplo.com, ap2.ejemplo.com y ap3.ejemplo.com. Al agregar un nombre alternativo del sujeto que representa el nombre de host del equilibrador de carga, como horizon.ejemplo.com en este ejemplo, el certificado es válido porque coincide con el nombre de host especificado por el cliente.

Cuando envía una solicitud de firma del certificado a un proveedor de CA, proporcione la dirección IP virtual (VIP) del equilibrador de carga de la interfaz externa y el nombre SAN. Asegúrese de que el dispositivo de Unified Access Gateway pueda resolver el nombre de servidor que proporcione de manera que coincida con el nombre asociado al certificado.

El certificado se usa en el puerto 443.

Certificado comodínUn certificado comodín se genera para que se pueda utilizar en varios servicios. Por ejemplo: *.ejemplo.com.

Un comodín es útil si muchos servidores necesitan un certificado. Si otras aplicaciones de su entorno, además de los dispositivos de Unified Access Gateway, necesitan certificados TLS/SSL, también puede utilizar un certificado comodín para esos servidores. No obstante, si utiliza un certificado comodín compartido con otros servicios, la seguridad del producto VMware Horizon dependerá también de la seguridad de esos otros servicios.

Nota Solo se puede utilizar un certificado comodín en un único nivel de dominio. Por ejemplo, un certificado comodín con el nombre de sujeto *.ejemplo.com se puede utilizar para el subdominio dept.ejemplo.com pero no para dept.it.ejemplo.com.


VMware, Inc. 171

Los certificados que se importan al dispositivo de Unified Access Gateway deben ser de confianza para los equipos cliente y se deben poder aplicar también a todas las instancias de Unified Access Gateway y a cualquier equilibrador de carga, ya sea mediante el uso de comodines o mediante certificados de nombre alternativo del sujeto (SAN).

Convertir archivos de certificado al formato PEM de una líneaSi desea utilizar la APi de REST de Unified Access Gateway para configurar las opciones del certificado o bien utilizar los scripts de PowerShell, debe convertir el certificado en archivos de formato PEM para la cadena de certificados y la clave privada y, a continuación, pasar los archivos .pem a un formato de una línea que incluya caracteres incrustados de nueva línea.

Al configurar Unified Access Gateway, es posible que necesite convertir tres tipos de certificados.

n Siempre debería instalar y configurar un certificado de servidor TLS/SSL para el dispositivo de Unified Access Gateway.

n Si piensa utilizar autenticación de tarjeta inteligente, debe instalar y configurar el certificado emisor de entidad de certificación del certificado que se agregará a la tarjeta inteligente.

n Si piensa utilizar autenticación de tarjeta inteligente, VMware recomienda instalar y configurar un certificado raíz para la entidad de certificación que firma el certificado del servidor SAML que está instalado en el dispositivo de Unified Access Gateway.

Con todos estos tipos de certificados debe realizar el mismo procedimiento para convertir el certificado en un archivo de formato PEM que incluya la cadena de certificados. Con los certificados de servidor TLS/SSL y los certificados raíz, también debe convertir cada uno de los archivos en un archivo PEM que incluya la clave privada. A continuación, deberá convertir cada uno de los archivos .pem al formato de una línea que se pueda pasar en una cadena JSON a la API de REST de Unified Access Gateway.

Requisitos previos

n Compruebe que disponga del archivo de certificado. El formato del archivo puede ser PKCS#12 (.p12 o .pfx) o bien Java JKS o JCEKS.

n Familiarícese con la herramienta de línea de comandos openssl que utilizará para convertir el certificado. Consulte https://www.openssl.org/docs/apps/openssl.html.

n Si el certificado tiene el formato Java JKS o JCEKS, familiarícese con la herramienta de línea de comandos de Java keytool para convertir en primer lugar el certificado al formato .p12 o .pks antes de convertirlo en archivos .pem.

Procedimiento

1 Si su certificado tiene el formato Java JKS o JCEKS, utilice keytool para pasar el certificado al formato .p12 o .pks.

Importante Durante la conversión, utilice la misma contraseña de origen y destino.


VMware, Inc. 172

https://www.openssl.org/docs/apps/openssl.html

2 Si su certificado tiene el formato PKCS#12 (.p12 o .pfx), o una pasado el certificado al formato PKCS#12, utilice openssl para convertir el certificado en archivos .pem.

Por ejemplo, si el nombre del certificado es mycaservercert.pfx, los comandos siguientes le permitirán convertir el certificado:

openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem

openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem

openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem

3 Edite mycaservercert.pem y elimine las entradas de certificado que no sean necesarias. Debería incluir el certificado de servidor SSL seguido por cualquier certificado intermedio de AC y un certificado raíz de AC.

4 Los siguientes comandos UNIX le permitirán convertir cada uno de los archivos .pem en el valor que se pueda pasar en una cadena JSON a la API de REST de Unified Access Gateway.

awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' cert-name.pem

En este ejemplo, cert-name.pem es el nombre del archivo de certificado. El certificado es similar al de este ejemplo.

Figura 5-1. Archivo del certificado en una sola línea

El nuevo formato coloca toda la información del certificado en una sola línea con caracteres incrustados de nueva línea. Si tiene un certificado intermedio, también deberá tener formato de una línea y estar agregado al primer certificado para que ambos estén en la misma línea.


VMware, Inc. 173

Resultados

Ahora puede configurar certificados para Unified Access Gateway si utiliza estos archivos .pem con los scripts de PowerShell adjuntos a la entrada de blog "Utilizar PowerShell para implementar VMware Unified Access Gateway", disponible en https://communities.vmware.com/docs/DOC-30835. También puede crear y utilizar una solicitud JSON para configurar el certificado.

Pasos siguientes

Puede sustituir el certificado autofirmado predeterminado por un certificado firmado por una CA. Consulte Actualizar certificados SSL firmados del servidor. Si desea información sobre certificados de tarjeta inteligente, consulte Configurar certificado o autenticación de tarjeta inteligente en el dispositivo de Unified Access Gateway.

Cambiar los protocolos de seguridad y los conjuntos de cifrado que se utilizan para la comunicación TLS o SSLAunque no sea necesario cambiar la configuración predeterminada en casi ningún caso, se pueden configurar los protocolos de seguridad y los algoritmos criptográficos que se utilizan para cifrar las comunicaciones entre los clientes y el dispositivo de Unified Access Gateway.

La configuración predeterminada incluye conjuntos de cifrado que utilizan cifrado AES de 128 o de 256 bits, excepto para los algoritmos DH anónimos, y los ordena según su nivel seguridad. De forma predeterminada, TLS v1.2 está habilitado. TLS v1.0, TLS v1.1 y SSL v3.0 están deshabilitados.

Requisitos previos

n Familiarícese con la API de REST de Unified Access Gateway. Podrá encontrar la especificación para esta API en la siguiente URL en la máquina virtual donde se instaló Unified Access Gateway: https://access-point-appliance.example.com:9443/rest/swagger.yaml.

n Familiarícese con las propiedades específicas para configurar los protocolos y los conjuntos de claves de cifrado: cipherSuites, ssl30Disabled, tls10Enabled, tls11Disabled y tls12Enabled.

Procedimiento

1 Cree una solicitud JSON para especificar los protocolos y los conjuntos de cifrado que se utilizarán.

En el ejemplo siguiente, se muestra la configuración predeterminada.

{

"cipherSuites":

"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AE

S_128_CBC_SHA256

, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384",

"ssl30Enabled": "false",

"tls10Enabled": "false",

"tls11Enabled": "false",

"tls12Enabled": "true"

}


VMware, Inc. 174


2 Utilice un cliente REST como por ejemplo, curl o postman, para utilizar la solicitud JSON para invocar a la API de REST de Unified Access Gateway y configurar los protocolos y los conjuntos de cifrado.

En el ejemplo, access-point-appliance.example.com es el nombre de dominio plenamente cualificado del dispositivo de Unified Access Gateway.

curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-

appliance.example.com:9443/rest/v1/config/system < ~/ciphers.json

ciphers.json es la solicitud JSON que creó en el paso anterior.

Resultados

Se utilizarán los protocolos y los conjuntos de cifrado que especificó.


VMware, Inc. 175

Configurar autenticación en la DMZ 6Al implementar Unified Access Gateway por primera vez, la autenticación de contraseña de Active Directory se establece en el valor predeterminado. El usuario introduce su nombre de usuario y su contraseña de Active Directory y estas credenciales se envían a un sistema back-end para autenticación.

Puede configurar el servicio Unified Access Gateway para realizar autenticación de tarjeta inteligente y certificados, autenticación RSA SecurID, autenticación RADIUS y autenticación adaptativa RSA.

Nota Solo puede especificarse uno de los métodos de autenticación de usuario en dos fases para un servicio de Edge. Puede ser la autenticación de tarjeta inteligente y certificados, la autenticación RADIUS o la autenticación adaptativa RSA.

Nota La autenticación de contraseña con Active Directory es el único método de autenticación que se puede utilizar con una implementación.


n Configurar certificado o autenticación de tarjeta inteligente en el dispositivo de Unified Access Gateway

n Configurar la autenticación de RSA SecurID en Unified Access Gateway

n Configurar RADIUS para Unified Access Gateway

n Configurar la autenticación adaptativa de RSA en Unified Access Gateway

n Generar metadatos SAML de Unified Access Gateway

Configurar certificado o autenticación de tarjeta inteligente en el dispositivo de Unified Access GatewayPuede configurar la autenticación mediante certificado x509 en Unified Access Gateway para permitir a los clientes autenticarse con certificados en sus escritorios o dispositivos móviles, o bien utilizar un adaptador de tarjeta inteligente para la autenticación.

VMware, Inc. 176

La autenticación basada en certificado se fundamenta en lo que el usuario tiene (clave privada o tarjeta inteligente) y en lo que la persona sabe (la contraseña de la clave privada o el PIN de la tarjeta inteligente). La autenticación de tarjeta inteligente proporciona autenticación de dos factores al verificar tanto lo que la persona tiene (la tarjeta inteligente) como lo que sabe (el PIN). Los usuarios finales utilizan tarjetas inteligentes para iniciar la sesión en sistemas operativos de escritorio remoto de Horizon y para acceder a aplicaciones habilitadas para tarjeta inteligente, como aplicaciones de correo electrónico que utilicen el certificado para firmar correo electrónico para demostrar la identidad del remitente.

Con esta función, la autenticación mediante certificado de tarjeta inteligente se realiza en el servicio Unified Access Gateway. Unified Access Gateway utiliza una aserción SAML para comunicar información sobre el certificado X.509 del usuario final y el PIN de la tarjeta inteligente al servidor de Horizon.

Puede configurar la comprobación de la revocación del certificado para impedir la autenticación de los usuarios que tengan certificados de usuario revocados. Los certificados se revocan con frecuencia cuando un usuario abandona una organización, pierde una tarjeta inteligente o se traslada de un departamento a otro. Se admite la comprobación de revocación de certificados con listas de revocación de certificados (CRL) y con el protocolo de estado de certificado en línea (OCSP). Una CRL es una lista de certificados revocados publicada por la entidad de certificación que los emitió. OCSP es un protocolo de validación de certificados que se utiliza para obtener el estado de revocación de un certificado.

Puede configurar tanto CRL como OCSP en la configuración del adaptador de autenticación mediante certificado. Cuando se configuran ambos tipos de comprobación de revocación de certificados y la casilla Usar CRL en caso de Error de OCSP está habilitada, se comprueba antes con OCSP y, si esto no funciona, la comprobación de revocación de certificados recae en la CRL.

Nota La comprobación de revocación no utiliza OCSP si CRL falla.

Nota Para Workspace ONE Access, la autenticación siempre pasa de Unified Access Gateway al servicio de Workspace ONE Access. Se puede configurar la autenticación de tarjeta inteligente para que solo se realice en el dispositivo de Unified Access Gateway si Unified Access Gateway se utiliza junto con Horizon 7.

Configurar la autenticación del certificado en Unified Access GatewayLa autenticación de certificado se habilita y configura en la consola de administración de Unified Access Gateway.

Requisitos previos

n Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificados presentados por sus usuarios.

Consulte Obtener los certificados de la autoridad de certificación

n Compruebe que los metadatos SAML de Unified Access Gateway se añadieron al proveedor de servicios y que estos metadatos SAML se copiaron en el dispositivo de Unified Access Gateway.


VMware, Inc. 177

n (Opcional) Lista de identificadores de objeto (OID) de directivas de certificados válidas para la autenticación mediante certificado.

n Para comprobar la revocación, la ubicación del archivo de la CRL y la dirección URL del servidor OCSP.

n (Opcional) Ubicación del archivo del certificado de firma de respuesta de OCSP.

n Contenido del formulario de consentimiento, si este se muestra antes de la autenticación.

Procedimiento

1 En la interfaz de usuario del administrador de Unified Access Gateway, desplácese hasta la sección Configurar manualmente y haga clic en Seleccionar.

2 En la sección Configuración general > Configuración de autenticación, haga clic en Mostrar.

3 Haga clic en el engranaje del certificado X.509.

4 Configure el formulario del certificado X.509.

Un asterisco indica que el cuadro de texto es obligatorio. El resto de los cuadros de texto son opcionales.


Habilitar el certificado X.509 Cambie de NO a SÍ para habilitar la autenticación del certificado.

Certificados de la CA raíz e intermedios

Para cargar los archivos de certificado, haga clic en Seleccionar.Puede seleccionar varios certificados de CA raíz e intermedios que estén codificados como DER o PEM.

Nota Si se cargan varios certificados con el mismo DN, el certificado cargado más reciente reemplaza el certificado existente. Por lo tanto, no pueden coexistir varios certificados con el mismo DN en Unified Access Gateway.

Habilitar la revocación del certificado Cambie de NO a SÍ para habilitar la comprobación de revocación del certificado. La comprobación de la revocación impide la autenticación de los usuarios con certificados de usuario revocados.

Usar CRL desde los certificados Active esta casilla para usar la lista de revocación de certificados (CRL) publicada por la CA que emitió los certificados para validar el estado de un certificado, es decir, si está revocado o no.

Ubicación de la CRL Escriba la ruta de archivo del servidor o local desde la cual se debe recuperar la CRL.

Habilitar revocación con OCSP Active la casilla para usar el protocolo de validación de certificados Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP) para obtener el estado de revocación de un certificado.

Usar CRL en caso de error de OCSP Si configura tanto CRL como OCSP, puede activar esta casilla para recurrir de nuevo a la CRL si la comprobación con OCSP no está disponible.

Enviar el valor de seguridad (nonce) OCSP

Seleccione esta casilla si desea que se envíe en la respuesta el identificador único de la solicitud de OCSP.

URL de OCSP Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSP para la comprobación de la revocación.


VMware, Inc. 178


Utilizar la URL de OCSP del certificado

Active esta casilla para usar la dirección URL de OCSP.

Habilitar el formulario de consentimiento antes de la autenticación

Seleccione esta casilla para que aparezca una página de formulario de consentimiento antes de que los usuarios inicien sesión en su portal de Workspace ONE mediante la autenticación mediante certificado.


Pasos siguientes

Si se configuró la autenticación mediante certificado X.509 y el dispositivo de Unified Access Gateway se configura detrás de un equilibrador de carga, compruebe que el equilibrador de carga esté configurado con pass-through de SSL en el equilibrador de carga y que, al mismo tiempo, no esté configurado para terminar SSL. Esta configuración garantiza que el protocolo de enlace de SSL se encuentre entre Unified Access Gateway y el cliente a fin de pasar el certificado a Unified Access Gateway.

Obtener los certificados de la autoridad de certificaciónSe deben obtener todos los certificados de la autoridad de certificación (CA) correspondiente para todos los certificados de usuario de confianza en las tarjetas inteligentes presentadas por usuarios y administradores. Estos certificados incluyen certificados raíz y pueden incluir certificados intermedios si el certificado de la tarjeta inteligente del usuario fue emitida por una autoridad de certificación intermedia.

Si no dispone del certificado raíz o intermedio de la CA que firmó los certificados en las tarjetas inteligentes presentadas por los usuarios y administradores, puede exportar los certificados de un certificado de usuario firmado por la CA o de una tarjeta inteligente que contenga uno. Consulte Obtener el certificado de CA de Windows.

Procedimiento

u Obtenga los certificados de la CA de uno de los siguientes orígenes.

n Un servidor Microsoft IIS que ejecute Microsoft Certificate Services. Para obtener información sobre cómo instalar Microsoft IIS, emitir certificados y distribuirlos en su organización, consulte el sitio web de Microsoft TechNet.

n El certificado raíz público de una CA de confianza. Este es el origen más habitual de los certificados raíz en entornos que ya disponen de una estructura de tarjeta inteligente y de un enfoque estándar para la distribución de tarjetas inteligentes y la autenticación.

Pasos siguientes

Agregue el certificado raíz, el certificado intermedio o ambos a un archivo del almacén de confianza del servidor.

Obtener el certificado de CA de WindowsSi dispone de un certificado de usuario firmado por una autoridad de certificación o una tarjeta inteligente que contenga uno, y Windows confía en el certificado raíz, podrá exportar este desde Windows. Si el


VMware, Inc. 179

emisor del certificado del usuario es una autoridad de certificación intermedia, se puede exportar el certificado.

Procedimiento

1 Si el certificado del usuario está en una tarjeta inteligente, insértela en el lector y agregue el certificado del usuario a su almacén personal.

Si el certificado del usuario no aparece en su almacén personal, utilice el software del lector para exportarlo a un archivo. Este archivo se utiliza en el Paso 4 de este procedimiento.

2 En Internet Explorer, seleccione Herramientas > Opciones de Internet.

3 En la pestaña Contenido, haga clic en Certificados.

4 En la pestaña Personal, seleccione el certificado que desee utilizar y haga clic en Ver.

Si el certificado del usuario no aparece en la lista, haga clic en Importar para importarlo manualmente desde un archivo. Después de importar el certificado, podrá seleccionarlo de la lista.

5 En la pestaña Ruta de certificación, seleccione el certificado que está más arriba en el árbol y haga clic en Ver certificado.

Si el certificado del usuario está firmado como parte de una jerarquía de confianza, el certificado de firma puede estar firmado por otro certificado de mayor nivel. Seleccione el certificado padre (el que realmente firmó el certificado del usuario) como su certificado raíz. En algunos casos, el emisor puede ser una autoridad de certificación intermedia.

6 En la pestaña Detalles, haga clic en Copiar en archivo.

Aparecerá el Asistente para la exportación de certificados.

7 Haga clic en Siguiente > Siguiente y escriba un nombre y una ubicación para el archivo que desea exportar.

8 Haga clic en Siguiente para guardar el archivo como certificado raíz en la ubicación especificada.

Pasos siguientes

Agregue el certificado de la autoridad de certificación a un archivo del almacén de confianza del servidor.

Configurar la autenticación de RSA SecurID en Unified Access GatewayUna vez que el dispositivo de Unified Access Gateway está configurado como agente de autenticación en el servidor RSA SecurID, debe agregar la información de configuración de RSA SecurID al dispositivo de Unified Access Gateway.

Requisitos previos

n Compruebe que el administrador de autenticación RSA (el servidor RSA SecurID) está instalado y configurado correctamente.


VMware, Inc. 180

n Descargue el archivo comprimido sdconf.rec del servidor RSA SecurID y extraiga el archivo de configuración del servidor.

Procedimiento


2 En la sección Configuración de autenticación de Configuración general, haga clic en Mostrar.

3 Haga clic en el engranaje de la línea de RSA SecurID.

4 Configure la página RSA SecurID.

La información utilizada y los archivos generados en el servidor RSA SecurID son necesarios para configurar la página SecurID.

Opción Acción

Habilitar RSA SecurID

Cambie de NO a SÍ para habilitar la autenticación SecurID.

*Nombre El nombre es securid-auth.

*Número de iteraciones

El número de intentos de autenticación permitidos. Este es el número máximo de intentos de inicio de sesión fallidos cuando se usa el token de RSA SecurID. El valor predeterminado es cinco intentos.

Nota Si más de un directorio está configurado e implementa la autenticación RSA SecurID con directorios adicionales, configure la opción Número de intentos de autenticación permitidos con el mismo valor para cada configuración de RSA. Si el valor es distinto, se produce un error en la autenticación SecurID.

*Nombre del host externo

Introduzca la dirección IP de la instancia de Unified Access Gateway. El valor que introduzca debe coincidir con el que usó cuando agregó el dispositivo de Unified Access Gateway como agente de autenticación al servidor RSA SecurID.

*Nombre del host interno

Introduzca el valor asignado a la solicitud Dirección IP en el servidor RSA SecurID.

*Configuración del servidor

Haga clic en Cambiar para cargar el archivo de configuración del servidor RSA SecurID. En primer lugar, debe descargar el archivo comprimido dese el servidor RSA SecurID y extraer el archivo de configuración del servidor, que de forma predeterminada se denomina sdconf.rec.

*Nombre del sufijo del ID

Introduzca el ID del nombre como @somedomain.com. Se utiliza para enviar contenido adicional, como el nombre de dominio, al servidor RADIUS o el servidor RSA SecurID. Por ejemplo, si un usuario inicia sesión como user1, [email protected] se envía al servidor.

Configurar RADIUS para Unified Access GatewayPuede configurar Unified Access Gateway para que los usuarios tengan que utilizar la autenticación RADIUS segura en dos fases. La información del servidor RADIUS se configura en el dispositivo de Unified Access Gateway.

El soporte de RADIUS ofrece un amplio rango de opciones de autenticación en dos fases de terceros. Para utilizar la autenticación RADIUS en Unified Access Gateway, debe tener un servidor RADIUS configurado que sea accesible en la red desde Unified Access Gateway.


VMware, Inc. 181

Cuando los usuarios inician sesión y la autenticación RADIUS está habilitada, los usuarios introducen su nombre de usuario de la autenticación RADIUS y el código de acceso en el cuadro de diálogo de inicio de sesión. Si el servidor RADIUS emite un desafío de acceso RADIUS, Unified Access Gateway muestra un segundo cuadro de diálogo al usuario para solicitarle la entrada del texto de respuesta al desafío, como un código comunicado al usuario a través de mensaje SMS de texto u otro mecanismo fuera de banda. El soporte para la entrada de un desafío/respuesta y la entrada de un código de acceso de RADIUS se limita solo a entradas basadas en texto. La introducción del texto de respuesta al desafío correcto completa la autenticación.

Si el servidor RADIUS requiere que el usuario introduzca su contraseña de Active Directory como código de acceso de RADIUS, para el uso de Horizon el administrador puede habilitar la función Single Sign-On de Windows de Horizon en Unified Access Gateway para que, cuando la autenticación RADIUS se haya completado, el usuario no reciba una solicitud posterior para volver a introducir la misma contraseña de dominio de Active Directory.

Configurar autenticación RADIUSEn el dispositivo de Unified Access Gateway, deberá habilitar la autenticación RADIUS, introducir las opciones de configuración del servidor RADIUS y cambiar el tipo de autenticación a autenticación RADIUS.

Requisitos previos

n Compruebe que el servidor que se utilizará como servidor de administración de autenticación tenga el software de RADIUS instalado y configurado. Configure el servidor RADIUS y, a continuación, configure las solicitudes de RADIUS en Unified Access Gateway. Consulte las guías de configuración de su proveedor de RADIUS si desea obtener más información sobre la configuración del servidor RADIUS.

Es necesaria la siguiente información del servidor RADIUS:

n Dirección IP o nombre DNS del servidor RADIUS.

n Números de puertos de autenticación. El puerto de autenticación suele ser el 1812.

n Tipo de autenticación. Entre los tipos de autenticación se encuentran PAP (Protocolo de autenticación de contraseña), CHAP (Protocolo de autenticación por desafío mutuo), MSCHAP1 y MSCHAP2 (Protocolo de autenticación por desafío mutuo de Microsoft, versiones 1 y 2).

n Secreto compartido de RADIUS que se utiliza para cifrar y descifrar en los mensajes de protocolo de RADIUS.

n Tiempo de espera específico y valores de reintento necesarios para la autenticación RADIUS

Procedimiento




VMware, Inc. 182

3 Haga clic en el engranaje de la línea de RADIUS.

Opción Acción

Habilitar RADIUS

Cambie de NO a SÍ para habilitar la autenticación RADIUS.

Nombre* El nombre es radius-auth

Tipo de autenticación*

Introduzca el protocolo de autenticación que es compatible con el servidor RADIUS. Puede ser PAP, CHAP, MSCHAP1 O MSCHAP2.

Secreto compartido*

Introduzca el secreto compartido de RADIUS.

Número de intentos de autenticación permitidos*

Introduzca el número máximo de intentos de inicio de sesión fallidos cuando se utiliza RADIUS para iniciar sesión. El valor predeterminado es tres intentos.

Número de intentos del servidor RADIUS*

Introduzca el número total de intentos de reintento. Si el servidor principal no responde, el servicio espera a la hora configurada antes de volver a intentarlo de nuevo.

Tiempo de espera del servidor en segundos*

Introduzca el tiempo de espera del servidor RADIUS en segundos, después del cual se envía un reintento si el servidor RADIUS no responde.

Nombre de host del servidor RADIUS*

Introduzca el nombre de host o la dirección IP del servidor RADIUS.

Puerto de autenticación*

Introduzca el número de puerto de autenticación RADIUS. El puerto suele ser el 1812.

Prefijo de dominio kerberos

(Opcional) La ubicación de la cuenta de usuario se denomina dominio kerberos.

Si especifica una cadena de prefijo de dominio kerberos, esta se colocará delante del nombre de usuario cuando el nombre se envíe al servidor RADIUS. Por ejemplo, si el nombre de usuario introducido es jdoe y se especifica el prefijo de dominio kerberos DOMAIN-A\, el nombre de usuario DOMAIN-A\jdoe se envía al servidor RADIUS. Si no configura estos campos, solo se envía el nombre de usuario introducido.

Sufijo de dominio kerberos

(Opcional) Si configura un sufijo de dominio kerberos, la cadena se coloca al final del nombre de usuario. Por ejemplo, si el sufijo es @myco.com, se enviará el nombre de usuario [email protected] al servidor RADIUS.

Sufijo del ID del nombre

Introduzca el ID del nombre como @somedomain.com. Se utiliza para enviar contenido adicional, como el nombre de dominio, al servidor RADIUS o el servidor RSA SecurID. Por ejemplo, si un usuario inicia sesión como user1, [email protected] se envía al servidor.

Sugerencia de frase de contraseña de la página de inicio de sesión

Introduzca la cadena de texto que se muestra en el mensaje de la página de inicio de sesión del usuario para indicarle que introduzca el código de acceso RADIUS correcto. Por ejemplo, si este campo se configuró con contraseña de AD primero, y luego con código de acceso de SMS, el mensaje de la página de inicio de sesión sería Introduzca primero su contraseña de AD y luego el código de acceso de SMS. La cadena de texto predeterminada es código de acceso RADIUS.


VMware, Inc. 183

Opción Acción

Habilitar la validación MS-CHAPv2 básica

Cambie de NO a SÍ para habilitar la validación MS-CHAPv2 básica. Si esta opción se establece en SÍ, se omitirá la validación adicional de la respuesta del servidor RADIUS. De forma predeterminada, se realizará la validación completa.

Habilitar el servidor secundario

Cambie de NO a SÍ para configurar un servidor RADIUS secundario para alta disponibilidad. Configure la información del servidor secundario tal y como se describe en el paso 3.


Configurar la autenticación adaptativa de RSA en Unified Access GatewayLa autenticación adaptativa RSA puede implementarse para proporcionar una autenticación multifactor más segura que la que solo utiliza un nombre de usuario y una contraseña en Active Directory. La autenticación adaptativa supervisa y autentica los intentos de inicio de sesión del usuario según las directivas y los niveles de riesgo.

Cuando se habilita la autenticación adaptativa, los indicadores de riesgo especificados en las directivas de riesgo se configuran en la aplicación RSA Policy Management y la configuración de Unified Access Gateway de la autenticación adaptativa se utiliza para determinar si un usuario se autentica con el nombre de usuario y la contraseña o si se necesita más información para autenticarlo.

Métodos de autenticación compatibles de la autenticación adaptativa RSALos métodos de autenticación seguros de la autenticación adaptativa RSA compatibles con Unified Access Gateway son la autenticación fuera de banda por correo electrónico, teléfono o SMS y mediante preguntas de comprobación. En el servicio, debe habilitar los métodos de la autenticación adaptativa RSA que pueden proporcionarse. Las directivas de la autenticación adaptativa RSA determinan qué método de autenticación secundaria se utiliza.

La autenticación fuera de banda es un proceso que requiere que se envíe verificación adicional junto con el nombre de usuario y la contraseña del usuario. Cuando los usuarios se registran en un servidor con autenticación adaptativa RSA, deben proporcionar una dirección de correo electrónico, un número de teléfono, o ambos, según la configuración del servidor. Cuando se solicite la verificación adicional, el servidor de autenticación adaptativa RSA envía un código de acceso de un solo uso a través del canal proporcionado. Los usuarios introducirán ese código junto con su nombre de usuario y su contraseña.

Las preguntas de comprobación requieren que el usuario conteste una serie de preguntas cuando se registran en el servidor de autenticación adaptativa RSA. Puede configurar el número de preguntas de registro y el número de preguntas de comprobación que aparecerán en la página de inicio de sesión.


VMware, Inc. 184

Registrar usuarios con el servidor de autenticación adaptativa RSASe debe aprovisionar a los usuarios en la base de datos de autenticación adaptativa RSA para utilizar la autenticación adaptativa en el proceso de autenticación. Los usuarios se agregan a la base de datos de la autenticación adaptativa RSA cuando inician sesión por primera vez con su nombre de usuario y su contraseña. En función de cómo configure la autenticación adaptativa RSA en el servicio, se puede pedir a los usuarios que proporcionen su dirección de correo electrónico, su número de teléfono, su número de servicio de mensajes de texto (SMS) o que establezcan respuestas para las preguntas de comprobación.

Nota La autenticación adaptativa RSA no permite introducir caracteres internacionales en los nombres de usuario. Si su intención es permitir caracteres multibyte en los nombres de usuario, póngase en contacto con el equipo de soporte técnico de RSA para configurar la autenticación adaptativa RSA y el administrador de esta función.

Configurar la autenticación adaptativa de RSA en Unified Access GatewayPara configurar en el servicio la autenticación adaptativa RSA, debe habilitarla, seleccionar los métodos de autenticación adaptativa que se van a aplicar y agregar el certificado y la información de la conexión de Active Directory.

Requisitos previos

n Debe configurar correctamente la autenticación adaptativa RSA con los métodos de autenticación que se van a utilizar en la autenticación secundaria.

n Detalles sobre el nombre de usuario SOAP y la dirección del endpoint SOAP.

n Debe tener disponible la información de la configuración y el certificado SSL de Active Directory.

Procedimiento



3 Haga clic en el engranaje de la línea de autenticación adaptativa RSA.

4 Seleccione la configuración adecuada para su entorno.

Nota Un asterisco indica que el campo es obligatorio. Los otros campos son opcionales.


Habilitar el adaptador RSA AA Cambie de NO a SÍ para habilitar la autenticación adaptativa RSA.

Nombre* El nombre es rsaaa-auth.

Endpoint SOAP* Introduzca la dirección del endpoint SOAP para permitir la integración entre el servicio y el adaptador de autenticación adaptativa RSA.


VMware, Inc. 185


Nombre de usuario de SOAP* Introduzca el nombre de usuario y la contraseña que se utilizó para firmar los mensajes SOAP.

Contraseña de SOAP* Introduzca la contraseña de API de SOAP de autenticación adaptativa RSA.

Dominio RSA Introduzca la dirección del dominio del servidor de autenticación adaptativa.

Habilitar el correo electrónico de autenticación fuera de banda

Seleccione SÍ para habilitar la autenticación fuera de banda que envía un código de acceso de un solo uso al usuario final mediante un mensaje de correo electrónico.

Habilitar SMS fuera de banda Seleccione SÍ para habilitar la autenticación fuera de banda que envía un código de acceso de un solo uso al usuario final mediante un mensaje de texto SMS.

Habilitar SecurID Seleccione SÍ para habilitar SecurID. Se pide a los usuarios que introduzcan el código de acceso y el token de RSA.

Habilitar pregunta secreta Seleccione SÍ si va a utilizar preguntas de comprobación y de registro para la autenticación.

Número de preguntas de registro* Introduzca el número de preguntas que el usuario debe configurar cuando se inscriba en el servidor del adaptador de autenticación.

Número de preguntas de comprobación*

Introduzca el número de preguntas de comprobación que los usuarios deben contestar correctamente para iniciar sesión.

Número de intentos de autenticación permitidos*

Introduzca el número de veces que se muestran las preguntas de comprobación a un usuario que intenta iniciar sesión antes de que se produzca un error en la autenticación.

Tipo de directorio* El único directorio compatible es Active Directory.

Usar SSL Seleccione SÍ si utiliza SSL para su conexión de directorio. Agregue el certificado SSL de Active Directory en el campo Certificado del directorio.

Host del servidor* Introduzca el nombre de host de Active Directory.

Puerto de servidor Introduzca el número de puerto de Active Directory.

Usar ubicación de servicio DNS Seleccione SÍ si se utiliza la ubicación del servicio DNS en la conexión del directorio.

DN base Introduzca el DN desde el que deben empezar las búsquedas en cuentas. Por ejemplo, OU=myUnit,DC=myCorp,DC=com.

DN de enlace* Introduzca la cuenta que puede buscar usuarios. Por ejemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com

Contraseña de enlace Introduzca la contraseña de la cuenta de DN de enlace.

Buscar atributo Introduzca el atributo de cuenta que contiene el nombre de usuario.

Certificado del directorio Para establecer conexiones SSL seguras, agregue el certificado de servidor del directorio en el cuadro de texto. En el caso de varios servidores, agregue el certificado raíz de la entidad de certificación.

Usar STARTTLS Cambie de NO a SÍ para utilizar STARTTLS.



VMware, Inc. 186

Generar metadatos SAML de Unified Access GatewayPara establecer la confianza mutua requerida para la autenticación de tarjeta inteligente, es necesario generar metadatos SAML en el dispositivo de Unified Access Gateway e intercambiarlos con el servidor.

El lenguaje de marcado para confirmaciones de seguridad (Security Assertion Markup Language, SAML) es un estándar basado en XML que se utiliza para describir e intercambiar información de autenticación y autorización entre distintos dominios de seguridad. SAML transmite información sobre los usuarios entre proveedores de identidades y de servicios en documentos XML llamados aserciones SAML. En este caso, Unified Access Gateway es el proveedor de identidades y el servidor es el proveedor de servicios.

Requisitos previos

n Configure el reloj (UTC) en el dispositivo de Unified Access Gateway para que tenga la hora correcta. Por ejemplo, abra una ventana de la consola en la máquina virtual de Unified Access Gateway y seleccione la zona horaria correcta con la ayuda de los botones de flecha. Compruebe también que el nombre del host ESXi esté sincronizado con un servidor NTP y que VMware Tools, que se está ejecutando en la máquina virtual del dispositivo, sincronice la hora de la máquina virtual con la hora del host ESXi.

Importante Si el reloj del dispositivo de Unified Access Gateway no coincide con el del host del servidor, es posible que la autenticación de tarjeta inteligente no funcione.

n Obtenga un certificado de firma que se pueda utilizar para firmar los metadatos de Unified Access Gateway.

Nota VMware recomienda crear y utilizar un certificado de firma SAML si hay más de un dispositivo de Unified Access Gateway en la configuración. En este caso, se deben configurar todos los dispositivos con el mismo certificado de firma, para que el servidor pueda aceptar aserciones de cualquiera de los dispositivos de Unified Access Gateway. Con un certificado de firma SAML específico, los metadatos SAML de todos los dispositivos serán los mismos.

n Si aún no lo ha hecho, convierta el certificado de firma SAML en archivos en formato PEM, y convierta los archivos .pem a formato de una línea. Consulte Convertir archivos de certificado al formato PEM de una línea.

Procedimiento


2 En la sección Configuración avanzada, haga clic en el icono de engranaje de Configuración de proveedor de identidades de SAML .

3 Seleccione la casilla de verificación Proporcionar certificado.

4 Para agregar el archivo de clave privada, haga clic en Seleccionar y desplácese hasta el archivo de clave privada del certificado.

5 Para agregar el archivo de cadena de certificados, haga clic en Seleccionar y desplácese hasta el archivo de cadena de certificados.


VMware, Inc. 187


7 En el cuadro de texto Nombre de host, introduzca el nombre de host y descargue la configuración del proveedor de identidades.

Crear un autenticador SAML utilizado por otros proveedores de serviciosDespués de generar los metadatos SAML en el dispositivo de Unified Access Gateway, se pueden copiar en el proveedor de servicios de back-end. La copia de estos datos al proveedor de servicios es parte del proceso de creación de un autenticador SAML para que se pueda utilizar Unified Access Gateway como proveedor de identidades.

En el caso de los servidores Horizon Air, consulte las instrucciones específicas en la documentación del producto.

Copiar los metadatos SAML del proveedor de servicios en Unified Access GatewayTras crear y habilitar un autenticador SAML para que Unified Access Gateway se pueda utilizar como proveedor de identidades, puede generar metadatos SAML en dicho sistema back-end y utilizarlos para crear un proveedor de servicios en el dispositivo de Unified Access Gateway. Este intercambio de datos establece una relación de confianza entre el proveedor de identidades (Unified Access Gateway) y el proveedor de servicios back-end, como Horizon Connection Server.

Requisitos previos

Compruebe que ha creado un autenticador SAML para Unified Access Gateway en el proveedor de servicios back-end.

Procedimiento

1 Recupere los metadatos SAML del proveedor de servicios, que generalmente se encuentran en un archivo XML.

Si desea obtener instrucciones, consulte la documentación del proveedor de servicios.

Cada proveedor de servicios tiene su propio procedimiento. Por ejemplo, debe abrir un navegador e introducir una URL, como https://connection-server.example.com/SAML/metadata/sp.xml

A continuación, podrá utilizar un comando Guardar como para guardar la página web en un archivo XML. El contenido de este archivo comienza con el texto siguiente:

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ...

2 En la sección de configuración manual de la IU del administrador de Unified Access Gateway, haga clic en Seleccionar.

3 En la sección Configuración avanzada, haga clic en el icono de engranaje de Configuración de proveedor de servicios de SAML .


VMware, Inc. 188

4 En el cuadro de texto Nombre de proveedor de servicios, introduzca el nombre del proveedor de servicios.

5 En el cuadro de texto XML de metadatos, pegue el archivo de metadatos que creó en el paso 1.


Resultados

Unified Access Gateway y el proveedor de servicios podrán ahora intercambiar información de autorización y autenticación.


VMware, Inc. 189

Solucionar los problemas de la implementación de Unified Access Gateway 7Dispone de varios procedimientos para diagnosticar y solucionar los problemas que pueden surgir al implementar Unified Access Gateway en su entorno.

Puede utilizar estos procedimientos para investigar las causas de los problemas e intentar corregirlos usted mismo, o bien puede solicitar ayuda al equipo de asistencia técnica de VMware.


n Supervisar estadísticas de sesiones de servicios de Edge

n Supervisar el estado y los diagnósticos de SEG

n Supervisar el estado de los servicios implementados

n Solucionar errores de implementación

n Solucionar errores: puente de identidades

n Solucionar errores: Cert-to-Kerberos

n Solución de problemas de conformidad de endpoints

n Solución de problemas de validación de certificados en la IU de administración

n Solucionar problemas de conexión y firewall

n Solucionar problemas de inicio de sesión del usuario raíz (root)

n Recopilar registros del dispositivo Unified Access Gateway

n Exportar la configuración de Unified Access Gateway

n Importar la configuración de Unified Access Gateway

n Solucionar errores: Content Gateway

n Solucionar problemas de alta disponibilidad

n Solución de problemas de seguridad: Prácticas recomendadas

VMware, Inc. 190

Supervisar estadísticas de sesiones de servicios de EdgeUnified Access Gateway proporciona información sobre las sesiones activas de cada servicio de Edge. Puede consultar rápidamente que los servicios que implementó se configuraron, se activaron y se están ejecutando correctamente desde la IU del administrador para cada servicio de Edge.

Procedimiento

1 Vaya a Configuración de asistencia > Estadísticas de sesiones de servicios de Edge.

2 En la sección Configuración de asistencia, haga clic en el icono de engranaje de Estadísticas de sesiones de servicios de Edge.

Figura 7-1. Estadísticas de sesiones de servicios de Edge

n Servicio de Edge indica el servicio de Edge específico para el que se muestran las estadísticas de sesiones.

n Total de sesiones indica la suma de las sesiones activas e inactivas.

n Sesiones activas (sesiones conectadas) indica el número de sesiones autenticadas en curso.

n Sesiones inactivas indica el número de sesiones sin autenticar.

n Intentos de inicio de sesión fallidos indica el número de intentos de inicio de sesión que han fallado.

n Límite máximo de sesiones indica el número máximo de sesiones simultáneas en un momento específico determinado.

n Sesiones PCoIP indica el número de sesiones establecidas con PCoIP.

n Sesiones de BLAST indica el número de sesiones establecidas con Blast.

n Sesiones de Tunnel indica el número de sesiones establecidas con Horizon Tunnel.


VMware, Inc. 191

Tabla 7-1. Ejemplo de estadísticas de sesiones de servicios de Edge

Servicio de Edge

Total de sesiones

Sesiones activas (se ha iniciado sesión)

Sesiones inactivas

Intentos de inicio de sesión fallidos

Límite máximo de sesiones

Sesiones PCoIP

Sesiones de BLAST

Sesiones de Tunnel

Horizon 11 0 11 8 11 0 0 0

Proxy inverso (jira)

10 0 10 10 10 - - -

Proxy inverso (sp_blr)

11 0 11 11 11 - - -

Proxy inverso (sp_https_saml)

4 0 4 0 5 - - -

Proxy inverso (sp_multi_domain)

8 0 8 8 8 - - -

VMware Tunnel

1 1 0 0 1 - - -

Total 45 1 44 37 - - -

Supervisar API de estadísticas de sesionesLos parámetros que se indican aquí describen las estadísticas de sesiones capturadas en el último intervalo de supervisión.

Llamada de URL: https://<UAGIP>:9443/rest/v1/monitor/stats

Tabla 7-2. Horizon View

Atributo Descripción

totalSessions Indica la suma de las sesiones activas e inactivas.

IU de administración: Total de sesiones.

highWaterMarkOfSessions Indica el número máximo de sesiones simultáneas en un momento específico.

IU de administración: Límite máximo de sesiones.

authenticatedSessions Indica el número de sesiones autenticados en curso (sesiones iniciadas).

IU de administración: Sesiones activas (iniciadas).

unauthenticatedSessions Indica el número de sesiones sin autenticar.

IU de administración: Sesiones inactivas.

failedLoginAttempts Indica el número de intentos de inicio de sesión fallidos.

IU de administración: Intentos de inicio de sesión fallidos

userCount Indica el número de usuarios únicos autenticados actualmente.

BLAST


VMware, Inc. 192

Tabla 7-2. Horizon View (continuación)


sessions Indica el número de sesiones de BLAST activas.

maxSessions Indica el número de sesiones de BLAST autorizadas.

PCoIP

sessions Indica el número de sesiones activas de PCoIP creadas durante el inicio de un escritorio o una aplicación.

maxSessions Indica el número máximo de sesiones de PCoIP simultáneas en un momento específico.

VMware Tunnel

sessions Indica el número de sesiones activas de VMware Tunnel creadas en la autenticación a través de View Client.

maxSessions Indica el número máximo de sesiones simultáneas de VMware Tunnel en un momento específico.

Tabla 7-3. Proxy inverso de web


totalSessions Indica la suma de las sesiones activas e inactivas.

IU de administración: Total de sesiones.

highWaterMarkOfSessions Indica el número máximo de sesiones simultáneas en un momento específico.

IU de administración: Límite máximo de sesiones.

authenticatedSessions Indica el número de sesiones autenticados en curso (sesiones iniciadas).

IU de administración: Sesiones activas (iniciadas).

unauthenticatedSessions Indica el número de sesiones sin autenticar.

IU de administración: Sesiones inactivas.

failedLoginAttempts Indica el número de intentos de inicio de sesión fallidos.

IU de administración: Intentos de inicio de sesión fallidos.

userCount Indica el número de usuarios únicos autenticados actualmente.

backendStatus

status Indica si la aplicación de back-end es accesible. (En ejecución, No accesible)

reason Indica y explica el estado con un motivo. (Accesibles, Detalles del error)

kcdStatus

status Indica si el servidor kcd es accesible. (En ejecución, No accesible)

reason Indica y explica el estado con un motivo. (Accesibles, Detalles del error)

Tabla 7-4. VMware Tunnel


identifier Indica que el servicio de VMware Tunnel está habilitado.

status Estado del servicio de VMware Tunnel (servicio de vpnd).


VMware, Inc. 193

Tabla 7-4. VMware Tunnel (continuación)


reason Indica y explica el estado con motivo para el servicio de VMware Tunnel. Las etiquetas de activo o inactivo indican el estado del servicio. Por ejemplo, está accesible cuando el servicio está en funcionamiento, pues el servidor VMware Tunnel no está accesible cuando el servicio está inactivo.

totalSessions Indica el número de sesiones activas de VMware Tunnel creadas en la autenticación a través del cliente de VMware Tunnel.

connections Indica el número de conexiones salientes activas desde el servidor de VMware Tunnel.

upTime Indica el tiempo activo (en ejecución) del servicio de VMware Tunnel.

apiConnectivity Servidor de VMware Tunnel para la conectividad API. Por ejemplo, verdadero o falso.

awcmConnectivity Servidor de VMware Tunnel para la conectividad AWCM. Por ejemplo, verdadero o falso.

cascadeMode Proporciona información en cascada. Por ejemplo, desactivada para el modo básico y front-end o back-end para una configuración en cascada.

Supervisar el estado y los diagnósticos de SEGPuede utilizar la página de administración de SEG V2 para supervisar el estado y los diagnósticos de SEG.

El siguiente procedimiento describe los pasos para ver la información del estado y los diagnósticos de SEG.

1 Desplácese a Configuración de asistencia > Estadísticas de sesiones de servicios de Edge.

2 Haga clic en el icono de engranaje Estadísticas de sesiones de servicios de Edge, en la sección Configuración de asistencia. Si SEG está habilitado, aparece la pantalla siguiente.

3 Haga clic en Activo para abrir la pantalla de supervisión del estado y los diagnósticos de SEG. Aparece la pantalla siguiente.


VMware, Inc. 194

La pantalla de diagnósticos de SEG proporciona las siguientes opciones al usuario:

n Ver o descargar el JSON de diagnóstico de SEG.

n Buscar la directiva específica en la memoria caché de SEG.

n Archivar y descargar las directivas en la memoria caché de SEG, las asignaciones de redireccionamiento y la información de diagnóstico.

n Borrar las asignaciones de redireccionamiento de la memoria caché de SEG.

La siguiente imagen muestra la pantalla Diagnósticos de SEG.


VMware, Inc. 195

API de diagnósticos de SEGLa siguiente tabla describe la ruta y los parámetros de la API para acceder a la información de los diagnósticos de SEG.

URL de diagnósticos de SEG: GET https://<UAGIP>:9443/rest/v1/monitor/seg/diagnostics/<apiPath>.

Ruta de API Descripción

Diagnóstico Vista del JSON de diagnóstico de SEG.

policy/device/<easDeviceId> Búsqueda de la directiva del dispositivo para un identificador de dispositivo EAS determinado.

policy/account/<accountId> Búsqueda de la directiva de un determinado usuario o grupo mediante el identificador de cuenta.

policy/easdevicetype/<easdevicetype> Búsqueda de la directiva de un tipo de dispositivo EAS determinado.

policy/mailclient/<mailclientname> Búsqueda de la directiva de un cliente de correo determinado.

cache/archive Archivar y descargar las directivas en la memoria caché de SEG, las asignaciones de redireccionamiento y la información de diagnóstico.

policy/account/<accountId> Búsqueda de la directiva del dispositivo para un identificador de dispositivo EAS determinado.

En la siguiente tabla, se enumeran las API para borrar las asignaciones de redireccionamiento de la memoria caché de SEG.


VMware, Inc. 196

URL para borrar asignaciones de redireccionamiento de memoria caché: DELETE https://<UAGIP>:9443/rest/v1/monitor/seg/cache/<parameter>

Parámetro Descripción

451 Borrado de las asignaciones de redireccionamiento 451 de la memoria caché de SEG.

302 Borrado de las asignaciones de redireccionamiento 302 de la memoria caché de SEG.

API de estado de SEGLa siguiente tabla describe los atributos de respuesta de estadísticas de mantenimiento de SEG.

URL de estado de SEG: GET https://<UAGIP>:9443/rest/v1/monitor/seg/healthStats

Atributo de respuesta Descripción

diagnosticExportTime Especificación del tiempo de generación de estadísticas, en milisegundos, desde el tiempo UNIX.

apiConnectivity Estado de la conectividad desde SEG hasta el servidor de API. El valor del estado puede ser Correcto o Error.

policyDataLoaded Estado de la directiva de carga de datos en la memoria caché de SEG. El valor de estado puede ser Correcto, En curso o Error.

totalDevicePolicyCount Especificación del recuento de las directivas de dispositivo cargadas en la memoria caché de SEG.

lastPolicyPartialUpdate Especificación de la hora de la última ejecución correcta de la actualización de directiva parcial, en milisegundos, desde el tiempo UNIX.

lastPolicyFullUpdate Especificación de la hora de la última ejecución correcta de la actualización de directiva, en milisegundos, desde el tiempo UNIX.

lastPolicyDeltaUpdate Especificación de la hora de la última ejecución de la actualización de directiva delta, en milisegundos, desde el tiempo UNIX.

policyDeltaSyncEnabled Marca para indicar si la sincronización delta de la directiva está habilitada.

emailServerConnectivity Estado de la conectividad desde SEG hasta el servidor de API.

Los valores de atributo pueden ser Correcto o Error.

requestsSinceSEGstartup Número de solicitudes de ActiveSync desde que se inició el servidor SEG.

lastHourRequests Número de solicitudes de ActiveSync en la última hora.

last24hourRequests Número de solicitudes de ActiveSync en las últimas 24 horas.


VMware, Inc. 197

Atributo de respuesta Descripción

syncStat

n count

n latency

Especificación de las estadísticas correspondientes a las solicitudes de sincronización.

n Número de solicitudes para la duración de la última hora.

n Latencia promedio para la duración de las últimas 24 horas.

itemOperationsStat

n count

n latency

Especificación de las estadísticas correspondientes a las solicitudes de itemOperations.



sendMailStat

n count

n latency

Especificación de las estadísticas correspondientes a las solicitudes de sendMail.n Número de solicitudes para la duración de la última hora.


smartForwardStat

n count

n latency

Especificación de las estadísticas correspondientes a las solicitudes de smartForward.



smartReplyStat

n count

n latency

Especificación de las estadísticas correspondientes a las solicitudes de smartReply.



clusteringEnabled Marca para indicar si la agrupación en clústeres está habilitada.

nodesOnline Lista de nodos que están activos en el clúster.

nodesOffline Lista de nodos que se enumeran en la configuración de MEM, pero que no están activos en el clúster.

nodesSynchronized Marca que indica si todos los nodos del clúster están en sincronización.

Supervisar el estado de los servicios implementadosPuede consultar rápidamente que los servicios que implementó se configuraron, se activaron y se están ejecutando correctamente desde la interfaz de administrador de la configuración perimetral.


VMware, Inc. 198

Figura 7-2. Comprobación de estado

Aparece un círculo antes del servicio. El código de colores es el que aparece a continuación.

n Círculo blanco: indica que la opción no está configurada.

n Círculo rojo: el servicio no está operativo.

n Círculo ámbar: significa que el servicio se está ejecutando parcialmente.

n Círculo verde: indica que el servicio se está ejecutando sin problemas.

Solucionar errores de implementaciónEs posible que surjan problemas a la hora de implementar Unified Access Gateway en su entorno. Si esto ocurriera, tiene a su disposición varios procedimientos para diagnosticar y solucionar problemas relacionados con su implementación.

Advertencia de seguridad al ejecutar scripts descargados de InternetCompruebe que el script de PowerShell es el script que desea ejecutar y, a continuación, desde la consola de PowerShell, ejecute el siguiente comando:

unblock-file .\uagdeploy.ps1

No se encontró el comando ovftool

Compruebe que el software OVF Tool está instalado en su equipo Windows y que se encuentra en la ubicación establecida en el script.

Red no válida en la propiedad netmask1El mensaje puede indicar netmask0, netmask1 o netmask2. Compruebe que se haya establecido un valor en el archivo .INI para cada una de las tres redes: netInternet, netManagementNetwork y netBackendNetwork.


VMware, Inc. 199

Mensaje de advertencia que indica que el identificador del sistema operativo no es compatibleEste mensaje de advertencia indica que el identificador del sistema operativo especificado SUSE Linux Enterprise Server 12.0 64-bit (id:85) no es compatible con el host seleccionado. Se asignará el siguiente identificador de sistema operativo: Other Linux (64-bit).

Ignore este mensaje de advertencia. Se asignará automáticamente un sistema operativo compatible.

El servicio de ubicación no hace referencia a un error de objeto

Este error informa de que el valor target= utilizado por vSphere OVF Tool no es el correcto para su entorno de vCenter Server. En la tabla que se encuentra en https://communities.vmware.com/docs/DOC-30835 puede consultar ejemplos de formato de target utilizados para hacer referencia a un clúster o un host de vCenter. El objeto de nivel superior se especifica de la siguiente forma:

target=vi://[email protected]:[email protected]/

El objeto muestra ahora nombres que se pueden utilizar en el siguiente nivel.

target=vi://[email protected]:[email protected]/Datacenter1/

target=vi://[email protected]:[email protected]/Datacenter1/host

target=vi://[email protected]:[email protected]/Datacenter1/host/Cluster1/

or

target=vi://[email protected]:[email protected]/Datacenter1/host/esxhost1

Los nombres de carpetas, hosts y clústers utilizados para target distinguen entre mayúsculas y minúsculas.

Mensaje de error: No se puede recuperar el certificado de cliente de sesión: sessionId

n Compruebe que el certificado de usuario esté instalado correctamente en el navegador.

n Compruebe que la versión 1.2 del protocolo TLS esté habilitada en el navegador y en Unified Access Gateway.

No se puede implementar el OVA de Unified Access Gateway mediante una instancia de VMware vSphere Web Client que se inicie en el navegador ChromeDebe instalar el complemento de integración de clientes en el navegador que utilice para implementar un archivo OVA en vSphere Web Client. Después de instalar el complemento en el navegador Chrome, se muestra un mensaje de error que indica que el navegador no está instalado, y no permitirá que escriba la dirección URL del archivo OVA en la ubicación de origen. Este es un problema con el navegador Chrome y no está relacionado con el archivo ova de Unified Access Gateway. Se recomienda que utilice otro navegador para implementar el OVA de Unified Access Gateway.


VMware, Inc. 200



No se puede implementar el OVA de Unified Access Gateway con VMware vSphere HTML4/5 Web ClientPuede que reciba errores como Valor no válido especificado para la propiedad. Este problema no está relacionado con el archivo OVA de Unified Access Gateway. Se recomienda utilizar al cliente de vSphere FLEX como alternativa para implementar el archivo OVA.

No se puede implementar el OVA de Unified Access Gateway con VMware vSphere 6.7 HTML5 Web ClientEs posible que detecte campos que faltan en la página de propiedades de implementación de VMware vSphere 6.7 HTML5 Web Client. Este problema no está relacionado con el archivo OVA de Unified Access Gateway. Se recomienda utilizar al cliente de vSphere FLEX como alternativa para implementar el archivo OVA.

No se puede iniciar XenApp desde Chrome desde Workspace ONE AccessTras implementar Unified Access Gateway como proxy inverso de web desde Workspace ONE Access, es posible que no pueda iniciar XenApp desde el navegador Chrome.

Siga los pasos a continuación para solucionar este problema.

1 Utilice la REST API siguiente para deshabilitar el marcador de la función orgUseNonNPAPIForCitrixLaunch del servicio Workspace ONE Access.

PUT https://fqdn/SAAS/jersey/manager/api/tenants/settings?tenantId=tenantname

{ "items":[ {"name":"orgUseNonNPAPIForCitrixLaunch","value": "false"} ] }

with the following two headers:

Content-Type application/vnd.vmware.horizon.manager.tenants.tenant.config.list+json

Authorization HZN valor_de_cookie_HZN_para_usuario_administrador

2 Espere 24 horas para que el cambio surta efecto o reinicie el servicio de Workspace ONE Access.

n Para reiniciar el servicio en Linux, inicie sesión en el dispositivo virtual y ejecute el comando siguiente: service horizon-workspace restart.

n Para reiniciar el servicio en Windows, ejecute el script siguiente: install_dir\usr\local\horizon\scripts\horizonService.bat restart .

Solucionar errores: puente de identidadesEs posible que surjan problemas a la hora de configurar el certificado a Kerberos o SAML a Kerberos en su entorno. Si esto ocurriera, tiene a su disposición varios procedimientos para diagnosticar y solucionar estos problemas.


VMware, Inc. 201

Supervisar el estado del servidor KDC y el servidor de aplicaciones back-end.Puede consultar rápidamente que los servicios que implementó se configuraron, se activaron y se están ejecutando correctamente desde la interfaz de administrador de la configuración perimetral.

Figura 7-3. Comprobación de estado: configuración del proxy inverso

Aparece un círculo antes del servicio. El código de colores es el que aparece a continuación.

n Círculo rojo: si el estado es rojo, podría significar una de las siguientes opciones.

n Problemas de conectividad entre Unified Access Gateway y Active Directory.

n Problemas de bloqueo de puertos entre Unified Access Gateway y Active Directory.

Nota Asegúrese de que el puerto TCP y UDP 88 esté abierto en el equipo de Active Directory.

n Puede que las credenciales de nombre principal y contraseña sean incorrectas en el archivo keytab cargado.

n Círculo de color verde: si el estado es de color verde, significa que Unified Access Gateway puede iniciar sesión en Active Directory con las credenciales proporcionadas en el archivo keytab.

Error al crear el contexto de kerberos: el sesgo de reloj es demasiado grandeEste mensaje de error:

ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-

a8d9-5e288ac800fe]: Error creating kerberos context.

Identity bridging may not work

javax.security.auth.login.LoginException: Clock skew too great"


VMware, Inc. 202

aparece cuando el desfase de la hora de Unified Access Gateway y del servidor de AD es bastante grande. Restablezca la hora del servidor de AD para que coincida con la hora UTC exacta de Unified Access Gateway.

Error al crear el contexto de kerberos: nombre o servicio desconocidosEste mensaje de error:

wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context.

Identity bridging may not work

javax.security.auth.login.LoginException: Name or service not known

se muestra cuando Unified Access Gateway no puede conectarse al dominio kerberos configurado, o cuando no puede conectarse a KDC con la información de usuario del archivo keytab. Confirme lo siguiente:

n el archivo keytab se ha generado con la contraseña de cuenta de usuario SPN correcta y se ha cargado en Unified Access Gateway;

n el nombre de host y la dirección IP de la aplicación de back-end se ha agregado correctamente a las entradas de host.

Error in receiving Kerberos token for user: [email protected], error: Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Unspecified GSS failure. El código secundario puede proporcionar más información"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found

in Kerberos database"

Si aparece este mensaje, compruebe si:

n La relación de confianza entre los dominios funciona.

n El nombre SPN de destino está configurado correctamente.

Solucionar errores: Cert-to-KerberosEs posible que surjan problemas a la hora de configurar certificado a kerberos en su entorno. Si esto ocurriera, tiene a su disposición varios procedimientos para diagnosticar y solucionar estos problemas.

Mensaje de error: Error interno. Póngase en contacto con el administradorConsulte el archivo /opt/vmware/gateway/logs/authbroker.log para buscar el mensaje

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with

"Could not send OCSP request to responder: Connection refused (Connection refused) , will

attempt CRL validation"


VMware, Inc. 203

Esto indica que no se puede acceder a la dirección URL de OCSP configurada en "Certificado X.509", o que no es correcta.

Error cuando el certificado OCSP no es válido"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify

signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."

se muestra cuando se carga un certificado no válido para OCSP, o si se revocó el certificado OCSP.

Error cuando falla la comprobación de respuesta de OCSP"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response:

CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN

revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify

signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."

se muestra a veces cuando falla la comprobación de respuesta de OCSP.

Mensaje de error: No se puede recuperar el certificado de cliente de sesión: <sessionId>Si aparece este mensaje:

n Compruebe la configuración del certificado X.509 y determinar si se ha configurado.

n Si se ha configurado el certificado X.509: compruebe el certificado de cliente instalado en el navegador del lado cliente para ver si ha sido emitido por la misma CA cargada en el campo "Certificados de CA intermedio y raíz" en la configuración del certificado X.509.

Solución de problemas de conformidad de endpointsEs posible que surjan problemas al implementar el proveedor de comprobaciones de conformidad de endpoints en su entorno. Si esto ocurriera, tiene a su disposición varios procedimientos para diagnosticar y solucionar problemas relacionados con su implementación.

Nota Esmanager.log registra información acerca de la dirección MAC del dispositivo que se utiliza para la comprobación de conformidad. Esto resulta útil para identificar la dirección MAC usada para la comprobación de conformidad de endpoints si el dispositivo tiene más de una NIC o si cambia a diferentes redes.

Unified Access Gateway muestra "Credenciales de cliente incorrectas"Unified Access Gateway realiza la llamada de API OPSWAT para validar la clave y el secreto de cliente proporcionados. Si las credenciales no son correctas, la configuración no se guarda, lo que provoca el error

Credenciales de cliente incorrectas


VMware, Inc. 204

.

Compruebe que la clave y el secreto de cliente son correctos en los campos Nombre de usuario y Contraseña.

Para generar las credenciales de cliente, registre la aplicación aquí https://gears.opswat.com/o/app/register.

Unified Access Gateway muestra "El DNS no puede de resolver el host https://gears.opswat.com"Utilice el comando ping para detectar la dirección IP de gears.opswat.com en su región.

A continuación, utilice la dirección IP desde el comando ping para crear una entrada /etc/hosts para https://gears.opswat.com. Vaya a la configuración de Horizon desde la IU de administración y proporcione el valor de Entradas de host para el servicio perimetral de View.

Unified Access Gateway muestra "La solicitud ha agotado el tiempo de espera al conectarse al host https://gears.opswat.com"Esto puede ocurrir si la entrada de host de gears.opswat.com es incorrecta en UAG o si https://gears.opswat.com no acepta la solicitud de conexión.

Solución de problemas de validación de certificados en la IU de administraciónSi encuentra errores al validar el formato PEM de un certificado, busque aquí el mensaje de error para obtener más información.

A continuación, se presenta una lista con posibles escenarios donde se generan los errores.

Error Problema

Formato PEM no válido. Es posible que se deba a un formato BEGIN incorrecto. Consulte el registro para obtener más detalles.

El certificado BEGIN de clave privada no es válido.

Formato PEM no válido. Mensaje de excepción: ---END RSA PRIVATE KEY no se encuentra. Consulte el registro para obtener más detalles.

El certificado END de clave privada no es válido.

Formato PEM no válido. Mensaje de excepción: Problema al crear la clave privada RSA: java.lang.IllegalArgumentException: No se pudo crear la secuencia desde el byte[]: secuencia dañada - supera el límite de longitud. Consulte el registro para obtener más detalles.

La clave privada del certificado está dañada.

Error al analizar los certificados de cadena PEM. Consulte el registro para obtener más detalles.

El certificado BEGIN de clave pública no es válido.

Se encontraron datos PEM con formato incorrecto. Consulte el registro para obtener más detalles.

El certificado END de clave pública no es válido.


VMware, Inc. 205

HTTPS://GEARS.OPSWAT.COM/O/APP/REGISTER

HTTPS://GEARS.OPSWAT.COM/O/APP/REGISTER

Error Problema

Se encontraron datos PEM con formato incorrecto. Consulte el registro para obtener más detalles.

La clave pública del certificado está dañada.

No hay ningún certificado de destino o fin para crear la cadena. No hay ningún certificado de destino o fin.

No se puede generar la ruta de la cadena de certificados, ninguno de los certificados de destino es válido. Puede que falten los certificados raíz o intermedio.

No hay ninguna cadena de certificados para crear.

Error ambiguo: Se han encontrado varias cadena de certificados y no es seguro cuál se tiene que devolver

Hay más de una cadena de certificados.

No se puede generar la ruta de la cadena de certificados, CertificateExpiredException: el certificado caducó el 20171206054737GMT + 00:00. Consulte el registro para obtener más detalles.

El certificado caducó.

Mensaje de error similar a "Datos inesperados detectados en la secuencia" mientras se carga el certificado en formato PEM.

Falta una línea vacía o atributos adicionales entre un certificado de hoja y un certificado intermedio en una cadena de certificación. La adición de una línea vacía entre el certificado de hoja y el certificado intermedio resolverá el problema.

Figura 7-4. Ejemplo

Solucionar problemas de conexión y firewallPuede supervisar, probar y solucionar problemas de red, como problemas del firewall o la conexión, desde la instancia de Unified Access Gateway con diversas herramientas y comandos como tcpdump y curl.

Instalar y ejecutar tcpdumptcpdump es una herramienta de línea de comandos que puede usar para analizar los paquetes TCP para solucionar problemas y realizar pruebas.

Si no ha instalado tcpdump en su instancia de Unified Access Gateway, ejecute el siguiente comando desde la línea de comandos para instalar tcpdump:

/etc/vmware/gss-support/install.sh


VMware, Inc. 206

Los siguientes ejemplos muestran el uso de tcpdump:

n Ejecute los siguientes comandos para supervisar el tráfico a través de puertos específicos.

Nota Si especifica el puerto 8443, asegúrese de que UDP 8443 no esté bloqueado por un firewall externo.

a tcpdump -i eth0 -n -v udp port 8443

b tcpdump -i eth0 -n -v tcp port 8443

c tcpdump -i any -n -v port 22443

n Ejecute los siguientes comandos para rastrear los paquetes que salen al servidor RADIUS y de este a Unified Access Gateway:

nslookup <radius-server-hostname>

tracepath <radius-server-hostname>

tcpdump -i any -n -v port 1812

n Ejecute los siguientes comandos para rastrear los paquetes que salen al servidor RSA SecurID y de este a Unified Access Gateway.

nslookup <rsa-auth-server-hostname>

tracepath <rsa-auth-server-hostname>

Usar el comando curlTambién puede utilizar el comando curl para recuperar información sobre las conexiones de red.

n Ejecute el siguiente comando para probar la conexión con un servidor de conexión de back-end o un servidor web:

curl -v -k https://<hostname-or-ip-address>:443/

Puede ver los problemas de conexión del servidor de back-end en el archivo esmanager.log:

07/14 07:29:03,882[nioEventLoopGroup-7-1]ERROR

view.ViewEdgeService[onFailure: 165][]: Failed to resolve hostname

address in proxyDestinationUrl:xref:mbxxx-cs.xyz.in

n No se pueden probar las conexiones con los escritorios virtuales de back-end como PCoIP 4172 y Blast 22443 utilizando tcpdump dado que los escritorios no escuchan en estos números de puerto hasta que una sesión esté lista. Consulte los registros para ver los errores de conexión posibles en estos puertos.

n Ejecute el siguiente comando para la conexión TCP de canal de marco de Horizon:

curl -v telnet://<virtualdesktop-ip-address>:32111

n Ejecute el siguiente comando para la conexión de Horizon MMR/CDR TCP:



VMware, Inc. 207

n Ejecute el siguiente comando para probar la conectividad de puertos desde Unified Access Gateway al escritorio virtual. Asegúrese de que la sesión en el escritorio virtual está activa antes de ejecutar este comando.


Comandos de PowerShellEjecute los siguientes comandos desde la línea de comandos de PowerShell para supervisar la conectividad para puertos específicos:

1 Test-NetConnection <uag-hostname-or-ip-address> -port 443



Solucionar problemas de inicio de sesión del usuario raíz (root)Si inicia sesión como usuario raíz (root) en la consola de Unified Access Gateway con el nombre de usuario y la contraseña correctos, y recibe un mensaje de error "Inicio de sesión incorrecto", compruebe si existen problemas de asignación de teclado y restablezca la contraseña de root.

Existen varios motivos por los cuales se produce un error de inicio de sesión:

n El teclado utilizado no asigna ciertos caracteres de la contraseña correctamente de acuerdo con la definición de teclado de Unified Access Gateway

n La contraseña caducó. La contraseña de root caduca 365 días después de implementar el archivo OVA.

n La contraseña no se estableció correctamente cuando se implementó el dispositivo. Este es un problema conocido con versiones anteriores de Unified Access Gateway.

n Se ha olvidado la contraseña.

Para comprobar que el teclado está asignando los caracteres correctamente, intente introducir la contraseña en respuesta a la solicitud del nombre de usuario del inicio de sesión. Esto le permite ver cada carácter de la contraseña y tal vez le permita identificar dónde se están interpretando erróneamente los caracteres.

Para cualquier otro motivo, restablezca la contraseña de root del dispositivo.

Nota Para restablecer la contraseña de root, debe:

n tener acceso de inicio de sesión a vCenter;

n conocer la contraseña de inicio de sesión de vCenter;

n tener permiso para acceder a la consola del dispositivo.


VMware, Inc. 208

Si ha configurado una contraseña de menú del cargador de arranque de Grub 2 para el dispositivo, deberá especificarla como parte de este procedimiento.

Procedimiento

1 Reinicie el dispositivo de vCenter y conéctese de inmediato a la consola.

2 Tan pronto como se muestre la pantalla de presentación de Photon OS, presione e para abrir el menú de edición de GNU GRUB.


VMware, Inc. 209

3 En el menú de edición de GNU GRUB, vaya al final de la línea que comienza con linux, agregue un espacio y escriba /boot/$photon_linux root=$rootpartition rw init=/bin/bash. Después de agregar estos valores, el menú de edición de GNU GRUB debe tener exactamente este aspecto:

Nota Para un dispositivo FIPS, la línea debe ser linux /boot/$photon_linux root=$rootpartition rw init=/bin/bash fips=1


VMware, Inc. 210

4 Presione la tecla F10 y, en la línea de comandos bash, introduzca passwd para cambiar la contraseña.

passwd

New password:

Retype new password:

passwd: password updated successfully

5 Reinicie el dispositivo reboot -f

n Después de que el dispositivo arranque, inicie sesión como usuario raíz (root) con la contraseña recientemente establecida.

Acerca de la contraseña de Grub2Puede utilizar la contraseña de Grub2 para el inicio de sesión del usuario raíz (root).

A partir de Unified Access Gateway 3.1, la contraseña de edición de Grub2 se establecerá de forma predeterminada.

El nombre de usuario es root y la contraseña es la misma que la contraseña de root que se configuró durante la implementación de Unified Access Gateway. Esta contraseña nunca se restablecerá a menos que se restablezca explícitamente mediante el inicio de sesión en la máquina.

Nota El cambio manual de la contraseña de root mediante el inicio de sesión en la máquina con un comando no restablece la contraseña de Grub2. Se excluyen mutuamente. Solo durante la implementación se establecerá la misma contraseña para ambas (con UAG versión 3.1 y versiones posteriores).

Recopilar registros del dispositivo Unified Access GatewayDescargue el archivo UAG-log-archive.zip desde la sección Configuración de asistencia en la interfaz del usuario administrador. El archivo ZIP incluye todos los registros de su dispositivo Unified Access Gateway.


VMware, Inc. 211

Establecer los niveles de registroPuede administrar la configuración de nivel de registro desde la IU de administrador. Acceda a la página Configuración de asistencia y seleccione Configuración de nivel de registro. Los niveles de registro que se pueden generar son INFORMACIÓN, ADVERTENCIA, ERROR y DEPURACIÓN. El nivel de registro está establecido de forma predeterminada en INFORMACIÓN.

A continuación se incluye una descripción del tipo de información que recopila cada nivel de registro.

Tabla 7-5. Niveles de registro

Nivel Tipo de información recopilada

INFORMACIÓN El nivel INFORMACIÓN determina los mensajes de información que señalan el progreso del servicio.

ERROR El nivel ERROR designa eventos de error que aún pueden permitir que el servicio siga ejecutándose.

ADVERTENCIA El nivel ADVERTENCIA señala situaciones potencialmente peligrosas que por lo general son recuperables o se pueden ignorar.

DEPURACIÓN Designa eventos que, por lo general, pueden ser útiles para depurar problemas, para ver o manipular el estado interno del dispositivo y para probar el escenario de implementación en su entorno.

Recopilar registrosDescargue los archivos ZIP de registro desde la sección Configuración de asistencia de la IU de administrador.

Estos archivos de registro se recopilan en el directorio /opt/vmware/gateway/logs del dispositivo.

En la tabla siguiente, se muestra la descripción de los distintos archivos incluidos en el archivo ZIP.

Tabla 7-6. Archivos que incluyen información del sistema para ayudar a resolver problemas.

Nombre de archivo DescripciónComando de Linux (si corresponde)

rpm-version.log Versión del dispositivo de Unified Access Gateway.

ipv4-forwardrules Reglas de reenvío IPv4 configuradas en el dispositivo.

df.log Contiene información sobre el uso de espacio de disco en el dispositivo.

df -a -h --total

netstat.log Contiene información sobre los puertos abiertos y las conexiones TCP existentes.

netstat -anop

netstat-s.log Estadísticas de red (bytes enviados/recibidos, etc.) desde la hora de creación del dispositivo.

netstat -s

netstat-r.log Rutas estáticas creadas en el dispositivo. netstat -r

uag_config.json,

uag_config.ini,

uagstats.json

Toda la configuración del dispositivo Unified Access Gateway, que muestra todos los valores como un archivo en formato JSON o INI.

ps.log Incluye los procesos que se ejecutan en el momento de la descarga de registros.

ps -elf --width 300


VMware, Inc. 212

Tabla 7-6. Archivos que incluyen información del sistema para ayudar a resolver problemas. (continuación)


ifconfig.log Configuración de la interfaz de red para el dispositivo. ifconfig -a

free.log Disponibilidad de RAM en el momento de la descarga de registros.

free

top.log Lista ordenada de procesos por uso de memoria en el momento de la descarga de registros.

top -b -o %MEM -n 1

Iptables.log Tablas de IP para IPv4. iptables-save

ip6tables.log Tablas de IP para IPv6. ip6tables-save

w.log Información sobre el tiempo de actividad, los usuarios que actualmente están en la máquina y sus procesos.

w

systemctl.log Lista de servicios en ejecución actualmente en el dispositivo. systemctl

resolv.conf Para conectar clientes locales directamente a todos los servidores DNS conocidos

hastats.csv Contiene estadísticas por nodo e información de estadísticas totales para cada tipo de back-end (Edge Service Manager, VMware Tunnel, Content Gateway)

Tabla 7-7. Archivos de registro para Unified Access Gateway


supervisord.log Registro de supervisor (administrador para AuthBroker, gerente o el administrador del servicio perimetral).

esmanager-x.log,

esmanager-std-out.log

Registros del administrador del servicio perimetral que muestra los procesos de back-end realizados en el dispositivo.

audit.log Registro de auditoría para todas las operaciones del usuario administrador.

authbroker.log Incluye los mensajes de registro del proceso de AuthBroker, que controla la autenticación Radius y RSA SecurID.

admin.log, admin-std-

out.log

Registros de la GUI de administración. Incluye los mensajes de registro del proceso que proporciona la REST API de Unified Access Gateway en el puerto 9443.

bsg.log Incluye los mensajes de registro de la puerta de enlace segura de Blast.

SecurityGateway_xxx.l

og

Incluye los mensajes de registro de la puerta de enlace segura PCoIP.

utserver.log Contiene los mensajes de registro del servidor de túnel de UDP.

activeSessions.csv Lista de las sesiones activas de Horizon o WRP.

haproxy.conf Contiene los parámetros de configuración de proxy de alta disponibilidad para el uso compartido de puertos TLS.


VMware, Inc. 213

Tabla 7-7. Archivos de registro para Unified Access Gateway (continuación)


vami.log Contiene los mensajes de registro de los comandos de vami en ejecución para configurar interfaces de red durante la implementación.

content-gateway.log,

content-gateway-

wrapper.log,

0.content-gateway-

YYYY-mm.dd.log.zip

Contiene los mensajes de registro de Content Gateway.

admin-zookeeper.log Contiene los mensajes de registro relacionados con el nivel de datos que se utiliza para almacenar la configuración de Unified Access Gateway.

tunnel.log Contiene los mensajes de registro del proceso de túnel que se utiliza como parte del proceso de API de XML. Para poder ver este registro, debe tener habilitado el túnel en la configuración de Horizon.

tunnel-snap.tar.gz Archivo tar que contiene los registros de servidor y de proxy de VMware Tunnel.

appliance-agent.log Registros de agente de dispositivo (para iniciar los servicios de Workspace ONE UEM).

config.yml Contiene detalles de la configuración de Content Gateway y de nivel de registro.

smb.conf Contiene la configuración de los clientes pyme.

smb-connector.conf Contiene los detalles del protocolo de pyme y de nivel de registro.

Los archivos de registro que acaban en "-std-out.log" incluyen la información escrita para stdout de varios procesos y suelen estar vacíos.

Exportar la configuración de Unified Access GatewayExporte la configuración de Unified Access Gateway en formato JSON e INI desde la UI de administración.

Puede exportar todas las opciones de configuración de Unified Access Gateway y guardarlas en formato JSON o INI. El archivo INI exportado se puede utilizar para implementar Unified Access Gateway mediante scripts de Powershell.

Procedimiento

1 Desplácese a Configuración de asistencia > Exportar Configuración de Unified Access Gateway.

2 Haga clic en JSON o INI para exportar la configuración de Unified Access Gateway en el formato que desee. Para guardar la configuración en ambos formatos, haga clic en el botón Archivo de registro.

Los archivos se guardan de forma predeterminada en la carpeta Descargas.


VMware, Inc. 214

Importar la configuración de Unified Access GatewayLa IU del administrador de Unified Access Gateway ofrece una opción para exportar los ajustes de configuración en formato JSON. Después de exportar los ajustes de configuración en formato JSON, puede usar el archivo JSON exportado para configurar una versión del dispositivo Unified Access Gateway recién implementada.

Procedimiento

1 Vaya a Configuración de asistencia>Exportar la configuración de Unified Access Gateway.

2 Haga clic en JSON para exportar la configuración de Unified Access Gateway en formato JSON.

El archivo se guarda de forma predeterminada en la carpeta Descargas.

3 Elimine el dispositivo Unified Access Gateway antiguo o póngalo en modo inactivo para eliminarlo más tarde.

4 Implemente la nueva versión del dispositivo Unified Access Gateway.

5 Importe el archivo JSON que exportó anteriormente.

Solucionar errores: Content GatewayEs posible que surjan problemas a la hora de configurar Content Gateway en su entorno. Puede utilizar el procedimiento para diagnosticar y solucionar el problema.

Problema con la sincronización, la descarga y la carga para los usuarios que utilizan recursos compartidos alojados en servidores de NetApp.1 Inicie sesión en Consola Workspace ONE UEM.

2 Vaya a la página Configuración de Content Gateway.

3 En la sección Configuración de puerta de enlace personalizada, haga clic en Agregar fila.

4 En la tabla que se muestra, introduzca los siguientes valores:

n Clave=aw.fileshare.jcifs.active

n Tipo=Boolean

n Valor=true

El valor predeterminado es false.


6 En la IU de administrador de Unified Access Gateway, vaya a la página Configuración de Content Gateway.


VMware, Inc. 215


Nota Cuando se guarda la configuración de la IU de administrador de Unified Access Gateway, la configuración de Content Gateway se recupera de Consola Workspace ONE UEM y se reinicia el servicio de Content Gateway.

Para que los cambios en la configuración de Content Gateway entren en vigor, debe actualizar el Valor en Consola Workspace ONE UEM y, a continuación, guardar la configuración de Content Gateway en la IU de administrador de Unified Access Gateway.

Solucionar problemas de alta disponibilidadEs posible que surjan problemas a la hora de configurar la Alta disponibilidad en su entorno. Si esto ocurriera, tiene a su disposición varios procedimientos para diagnosticar y solucionar estos problemas.

1 Inicie sesión en la consola de Unified Access Gateway.

2 Ejecute el comando ip addr para comprobar si la dirección IP virtual configurada está asignada a la interfaz eth0.

3 Asegúrese de que la dirección IP virtual está asignada dentro de la misma subred que la interfaz eth0. Asegúrese de que sea accesible desde la máquina cliente. Si hay problemas de conectividad, podría deberse a que la dirección IP virtual no es única y ya está asignada a una máquina virtual o física.

4 En el archivo haproxy.conf en el paquete de registros, está disponible la configuración relacionada con el clúster actual. Por ejemplo,

server uag1 127.0.0.1:XXXX .....

server uag2 <IP of machine 2>:XXXX ....

server uag3 <IP of machine 3>:XXXX ....

La configuración de back-end se basa en los ajustes configurados en Unified Access Gateway

n lb_esmanager es para los casos de uso de Horizon y el proxy inverso de web.

n lb_cg_server es para los casos de uso de Content Gateway.

n lb_tunnel_server es para los casos de uso de Tunnel.

5 En el archivo haproxy.conf en el paquete de registros, encontrará información sobre el origen de la conexión del cliente, la conexión correspondiente enviada y el servidor de Unified Access Gateway que controla las conexiones. Por ejemplo,

2018-11-27T07:21:09+00:00 ipv6-localhost haproxy[15909]:

incoming:::ffff:<IP of Client:xxxx> backend:lb_esmanager

connecting-server:uag2/<IP of uag2> connecting-through:<IP of master

node:xxxx> wait-time:1 connect-time:0 total-incoming:1 total-outgoing:1

total-to-server:1

6 Para ver las estadísticas, consulte Recopilar registros del dispositivo Unified Access Gateway.


VMware, Inc. 216

Tabla 7-8. Ejemplo de un archivo CSV

Nombre de la columna Descripción

scur Indica el número actual de conexiones simultáneas que gestiona este servidor.

smax Límite máximo de conexiones simultáneas que gestiona este servidor durante el tiempo de actividad actual.

stot Indica el número total de conexiones gestionadas por este servidor durante el tiempo de actividad actual.

bin Indica el número total de bytes enviados a este servidor.

bout Indica el número total de bytes recibidos desde este servidor.

status Indica el estado del servidor. Por ejemplo, si está activo o inactivo. Esta información se basa en la última comprobación de estado realizada en este servidor.

7 En los casos siguientes pueden verse varios problemas de elección del nodo principal:

n ID de grupo o dirección IP virtual diferentes configurados en los nodos que están pensados para formar el clúster.

n Dirección IP virtual y eth0 en una subred diferente.

n Varias NIC en Unified Access Gateway configuradas dentro de la misma subred.

Solución de problemas de seguridad: Prácticas recomendadasCuando el servicio detecta un dispositivo de equilibrio de carga en los servidores web, esta información adicional acerca de la red es una vulnerabilidad. Si esto ocurriera, tiene a su disposición varios procedimientos para diagnosticar y solucionar estos problemas.

Se utilizan diferentes técnicas para detectar la presencia de un dispositivo de equilibrio de carga, como, por ejemplo, el análisis del encabezado HTTP y el análisis de los valores de tiempo de vida (TTL) de IP, los valores de identificación (ID) de IP y los números de secuencia inicial (ISN) de TCP. Resulta difícil determinar la cantidad exacta de servidores web detrás de un equilibrador de carga, por lo que el número que aparece podría no ser preciso.

Además, se sabe que Netscape Enterprise Server versión 3.6 muestra un campo "Date:" erróneo en el encabezado HTTP cuando el servidor recibe varias solicitudes. Esto dificulta que el servicio determine si hay un dispositivo de equilibrio de carga presente mediante el análisis de los encabezados HTTP.


VMware, Inc. 217

Además, el resultado que entrega el análisis de los valores de ID de IP e ISN de TCP puede variar debido a las condiciones de la red cuando se realizó el escaneo eran diferentes. Aprovechando esta vulnerabilidad, un intruso podría utilizar esta información junto a otra para realizar sofisticados ataques contra su red.

Nota Si los servidores web detrás del equilibrador de carga no son idénticos, los resultados del escaneo de vulnerabilidades HTTP pueden variar entre uno y otro.

n Unified Access Gateway es un dispositivo que normalmente se instala en una zona desmilitarizada (DMZ). Los pasos a continuación le ayudan a proteger a Unified Access Gateway en caso de que los escáneres de vulnerabilidades no detecten este problema.

n Para evitar la detección de la presencia de un dispositivo de equilibrio de carga según el análisis del encabezado HTTP, debe utilizar el protocolo de tiempo de redes (NTP) para sincronizar los relojes de todos los hosts (al menos los que hay en DMZ).

n Para evitar la detección mediante el análisis de los valores de TTL de IP, los valores de ID de IP y los valores ISN de TCP, puede usar hosts con una implementación de TCP/IP que genera números aleatorios para estos valores. Sin embargo, la mayoría de los sistemas operativos disponibles en la actualidad no vienen con una implementación de TCP/IP de este tipo.


VMware, Inc. 218

Date post:	01-Apr-2021
Category:	Documents
Upload:	others
View:	12 times
Download:	0 times

VMware · 2020. 4. 7. · Contenido Implementar y configurar VMware Unified Access Gateway 6 1...

Documents