343o do vmware unified access gateway - unified access ... › br › unified-access-gateway ›...

100
Implantação e configuração do VMware Unified Access Gateway Unified Access Gateway 3.1

Upload: others

Post on 07-Jul-2020

119 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Implantação econfiguração do VMwareUnified Access GatewayUnified Access Gateway 3.1

Page 2: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 2

Você pode encontrar a documentação técnica mais atualizada no site da VMware, em:

https://docs.vmware.com/br/

Caso tenha comentários sobre esta documentação, envie seu feedback para:

[email protected]

Copyright © 2016, 2017 VMware, Inc. Todos os direitos reservados. Informações de direitos autorais e marcasregistradas.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

Page 3: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Conteúdo

Implantação e configuração do VMware Unified Access Gateway 5

1 Preparando-se para implantar o VMware Unified Access Gateway 6

Unified Access Gateway como um gateway seguro 6

Usando o Unified Access Gateway ao invés de uma rede virtual privada 7

Requisitos de sistema e de rede do Unified Access Gateway 8

Regras de firewall para appliances do Unified Access Gateway baseados em DMZ 10

Topologias do balanceamento de carga do Unified Access Gateway 12

Design da DMZ para o Unified Access Gateway com várias placas de interface de rede 14

Atualização com tempo de inatividade zero 17

Entrar ou sair do Programa de aperfeiçoamento da experiência do cliente 18

2 Implementação do appliance do Unified Access Gateway 20

Usando o assistente modelo do OVF para implantar o Unified Access Gateway 20

Implementar o Unified Access Gateway usando o assistente modelo do OVF 21

Configurando o Unified Access Gateway a partir das páginas de configuração do administrador 26

Configurar as definições de sistema do Unified Access Gateway 27

Atualizar certificados assinados de servidor SSL 28

3 Usando o PowerShell para implantar o Unified Access Gateway 30

Requisitos do sistema para a implantação do Unified Access Gateway com o PowerShell 30

Usando o PowerShell para implementar o appliance do Unified Access Gateway 31

4 Casos de uso de implantação para o Unified Access Gateway 34

Implantação com o Horizon e o Horizon Cloud with On-Premises Infrastructure 34

Definir configurações do Horizon 38

Opções de configuração de URL externa de TCP e UDP Blast 40

Verificações de conformidade de endpoint do Horizon 41

Implementação como proxy reverso 42

Configurar proxy reverso 44

Implementação para acesso single sign-on para aplicativos da Web locais herdados. 47

Cenários de implantação de ponte de identidade 48

Configurando as definições da ponte de identidade 51

VMware Tunnel no Unified Access Gateway 62

Definir as configurações do VMware Tunnel para o AirWatch 64

Implantação do VMware Tunnel para o Watch usando o PowerShell 65

Sobre o compartilhamento de portas do TLS 65

Gateway de Conteúdo no Unified Access Gateway 66

VMware, Inc. 3

Page 4: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

5 Configuração do Unified Access Gateway usando certificados TLS/SSL 69

Configurando certificados TLS/SSL para appliances do Unified Access Gateway 69

Selecionando o tipo correto de certificado 69

Converter arquivos de certificado para o formato PEM de uma linha 71

Substituir o certificado padrão do servidor TLS/SSL pelo Unified Access Gateway 73

Alterar os protocolos de segurança e os conjuntos de codificação utilizados para a

comunicação TLS ou SSL 74

6 Configuração da autenticação em DMZ 76

Configurando a autenticação de certificado ou de cartão inteligente no appliance do

Unified Access Gateway 76

Configurar a autenticação de certificado no Unified Access Gateway 77

Obter Certificados de Autoridade de Certificação 78

Configurar a autenticação do RSA SecurID no Unified Access Gateway 80

Configuração do RADIUS para o Unified Access Gateway 81

Configurar a autenticação RADIUS 81

Configurar o RSA Adaptive Authentication no Unified Access Gateway 83

Configurar o RSA Adaptive Authentication no Unified Access Gateway 84

Gerar metadados SAML do Unified Access Gateway 86

Criando um autenticador SAML utilizado por outros provedores de serviço 87

Copiar metadados SAML do provedor de serviços para o Unified Access Gateway 87

7 Implantação da resolução de problemas do Unified Access Gateway 89

Monitoramento da integridade dos serviços implantados 89

Resolução de erros de implementação 90

Solução de problemas com Certificados para Kerberos 92

Solução de problemas de conformidade do endpoint 94

Resolução de problemas da validação do certificado na IU do administrador 95

Resolução de problemas do login raiz 95

Sobre a senha do Grub2 97

Coletando logs do appliance do Unified Access Gateway 98

Exportar configurações do Unified Access Gateway 100

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 4

Page 5: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Implantação e configuração do VMwareUnified Access Gateway

A Implantando e configurando o Unified Access Gateway fornece informações sobre a implantação doprojeto do VMware Horizon®, do VMware Identity Manager™ e do VMware AirWatch® que utiliza oVMware Unified Access Gateway™ para acesso externo seguro aos aplicativos de sua organização.Esses aplicativos podem ser aplicativos do Windows, aplicativos de software como um serviço (SaaS) eáreas de trabalho. Este guia também fornece instruções para implementar os appliances virtuais doUnified Access Gateway e alterar as definições de configuração após a implementação.

Público-alvoEstas informações são concebidas para qualquer pessoa que deseja implementar e utilizar os appliancesdo Unified Access Gateway. As informações foram escritas para administradores de sistema experientesdo Linux e do Windows que estejam familiarizados com a tecnologia de máquina virtual e operações decentro de dados.

VMware, Inc. 5

Page 6: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Preparando-se para implantar oVMware Unified Access Gateway 1O Unified Access Gatewayfunciona como um gateway seguro para usuários que desejam acessar áreasde trabalho e aplicativos remotos fora do firewall corporativo.

Observação O VMware Unified Access Gateway® anteriormente se chamava VMware Access Point.

Este capítulo inclui os seguintes tópicos:

n Unified Access Gateway como um gateway seguro

n Usando o Unified Access Gateway ao invés de uma rede virtual privada

n Requisitos de sistema e de rede do Unified Access Gateway

n Regras de firewall para appliances doUnified Access Gatewaybaseados em DMZ

n Topologias do balanceamento de carga do Unified Access Gateway

n Design da DMZ para o Unified Access Gateway com várias placas de interface de rede

n Atualização com tempo de inatividade zero

n Entrar ou sair do Programa de aperfeiçoamento da experiência do cliente

Unified Access Gateway como um gateway seguroO Unified Access Gateway é um appliance de segurança normalmente instalado em uma zonadesmilitarizada (DMZ). O Unified Access Gateway é usado para garantir que o único tráfego entrando nocentro de dados corporativo seja o tráfego em nome de um usuário remoto fortemente autenticado.

O Unified Access Gateway direciona solicitações de autenticação ao servidor apropriado e descartaqualquer solicitação não autorizada. Os usuários podem acessar somente os recursos que têmautorização para acessar.

O Unified Access Gateway também garante que o tráfego de um usuário autenticado possa serdirecionado somente para os recursos da área de trabalho e de aplicativos para os quais o usuárioestiver realmente qualificado. Esse nível de proteção envolve a inspeção específica de protocolos deárea de trabalho e a coordenação de potenciais endereços de rede e políticas de mudança rápida paracontrolar o acesso de maneira precisa.

VMware, Inc. 6

Page 7: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

O Unified Access Gateway atua como um host de proxy para conexões dentro da rede segura daempresa. Esse design fornece uma camada extra de segurança ao proteger áreas de trabalho virtuais,hosts de aplicativos e servidores da Internet voltada para o público.

O Unified Access Gateway é projetado especificamente para a DMZ. As seguintes configurações deproteção são implementadas.

n Linux Kernel e patches de software atualizados

n Suporte múltiplo de NIC para tráfego de Internet e intranet

n SSH desabilitado

n Serviços desabilitados de FTP, Telnet, Rlogin ou Rsh

n Serviços indesejados desabilitados

Usando o Unified Access Gateway ao invés de uma redevirtual privadaO Unified Access Gateway e as soluções de VPN genéricas são semelhantes, pois ambos garantem queo tráfego seja encaminhado para uma rede internal somente em nome de usuários fortementeautenticados.

As vantagens do Unified Access Gateway sobre a VPN genérica incluem o seguinte.

n Access Control Manager. O Unified Access Gateway aplica regras de acesso automaticamente. OUnified Access Gateway reconhece as qualificações dos usuários e o endereçamento exigido para aconexão interna. Uma VPN faz a mesma coisa, porque a maioria das VPNs permite que umadministrador configure as regras de conexão de rede para cada usuário ou grupo de usuáriosindividualmente. Primeiro, isso funciona bem com uma VPN, mas exige um esforço administrativosignificativo para manter as regras exigidas.

n Interface do Usuário. O Unified Access Gateway não altera a interface do usuário simples do HorizonClient. Com o Unified Access Gateway, quando o Horizon Client é iniciado, os usuários autenticadosestão no ambiente do View deles e têm acesso controlado aos respectivos aplicativos e áreas detrabalho. Uma VPN exige que você configure o software VPN primeiro e o autentique separadamenteantes de iniciar o Horizon Client.

n Desempenho. O Unified Access Gateway é projetado para maximizar a segurança e o desempenho.Com o Unified Access Gateway, os protocolos PCoIP, HTML access e WebSocket ficam segurossem exigir encapsulamento adicional. VPNs são implementadas como VPNs SSL. Essa implantaçãoatende aos requisitos de segurança e, com a Segurança de Camada de Transporte (Transport LayerSecurity, TLS) habilitada, é considerada segura, mas o protocolo subjacente com SSL/TLS ébaseado em TCP. Com protocolos modernos de vídeo remoto que exploram transportes baseadosem UDP sem conexão, os benefícios de desempenho podem se deteriorar significativamente quandoforçados sobre um transporte com base em TCP. Isso não se aplica a todas as tecnologias de VPN,tendo em vista que aqueles que também podem funcionar com DTLS ou IPsec em vez de SSL/TLSpodem funcionar bem com protocolos de área de trabalho do View.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 7

Page 8: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Requisitos de sistema e de rede doUnified Access GatewayPara implementar o appliance do Unified Access Gateway, certifique-se de que seu sistema atenda aosrequisitos de hardware e software.

Versões de produtos VMware compatíveisVocê deve utilizar versões específicas dos produtos VMware com versões específicas doUnified Access Gateway. Consulte as notas da versão do produto para obter as informações maisrecentes sobre compatibilidade e consulte a Matriz de Interoperabilidade de Produto da VMware em http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Requisitos de hardware do servidor ESXiO appliance do Unified Access Gateway deve ser implantado em uma versão do vSphere que seja amesma versão compatível para produtos e versões da VMware que esteja utilizando.

Se você planeja utilizar o vSphere Web Client, certifique-se de que o plug-in de integração do clienteesteja instalado. Para obter mais informações, consulte a documentação do vSphere. Se você nãoinstalar esse plug-in antes de iniciar o assistente de implementação, o assistente solicitará a instalaçãodo plug-in. Isso exige o fechamento do navegador e a saída do assistente.

Observação Configure o relógio (UTC) no appliance do Unified Access Gateway para que ele estejacom a hora correta. Por exemplo, abra uma janela de console na máquina virtual doUnified Access Gateway e utilize os botões de seta para selecionar o fuso horário correto. Verifiquetambém se o horário do host do ESXi está sincronizado com o servidor NTP e verifique se as VMwareTools, que são executadas na máquina virtual do appliance, sincronizam o horário na máquina virtualcom o horário no host do ESXi.

Requisitos do appliance virtualO pacote OVF para o appliance do Unified Access Gateway seleciona automaticamente a configuraçãoda máquina virtual que o Unified Access Gateway exige. Embora você possa alterar estasconfigurações , a VMware recomenda que não altere o CPU, memória ou espaço em disco para valoresinferiores às configurações padrão do OVF.

n O requisito mínimo da CPU é de 2000 MHz

n Memória mínima de 4GB

Certifique-se de que o repositório de dados usado para o appliance tenha espaço livre em discosuficiente e atenda aos outros requisitos do sistema.

n O tamanho de download do appliance virtual é de 1.4 GB

n O requisito mínimo de disco com provisionamento dinâmico é de 2.6 GB

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 8

Page 9: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

n O requisito mínimo de disco com provisionamento estático é de 20 GB

As seguintes informações são necessárias para implantar o appliance virtual.

n Endereço IP estático (recomendado)

n Endereço IP do servidor DNS

n Senha para o usuário raiz

n Senha para o usuário administrador

n URL da instância do servidor ou balanceador de carga para onde o appliance doUnified Access Gateway aponta

Versões de navegador compatíveisOs navegadores compatíveis para a inicialização da IU do administrador são o Chrome, o Firefox e oInternet Explorer. Use a versão mais atual do navegador.

Requisitos de hardware ao usar o Servidor Hyper-V WindowsAo usar o Unified Access Gateway para uma implantação do AirWatch Tunnel por aplicativo, é possívelinstalar o appliance do Unified Access Gateway em um servidor Hyper-V Microsoft.

Os servidores Microsoft compatíveis são o Windows Server 2012 R2 e o Windows Server 2016.

Requisitos de configuração de redeÉ possível utilizar uma, duas ou três interfaces de rede e o Unified Access Gateway necessita de umendereço IP estático separado para cada uma. Muitas implementações do DMZ utilizam redesseparadas para proteger tipos de tráfego diferentes. Configure o Unified Access Gateway de acordo como design da rede do DMZ no qual está implementado.

n Uma interface de rede é apropriada para POCs (prova de conceitos) ou testes. Com um NIC, ostráfegos externo, interno e de gerenciamento ficam todos na mesma sub-rede.

n Com duas interfaces de rede, o tráfego externo está em uma sub-rede e o tráfego interno e degerenciamento estão em outra.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 9

Page 10: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

n Utilizar três interfaces de rede é a opção mais segura. Com um terceiro NIC, os tráfegos externo,interno e de gerenciamento têm suas próprias sub-redes.

Importante Verifique se atribuiu um pool de IPs para cada rede. O appliance doUnified Access Gateway pode então captar a máscara de sub-rede e as configurações do gateway. Paraadicionar um pool de IPs, no vCenter Server, se estiver utilizando o vSphere Client nativo, vá até a guiaPools de IPs do centro de dados. Alternativamente, se estiver utilizando o vSphere Web Client, vocêpoderá criar um perfil de protocolo de rede. Vá até a guia Gerenciar do centro de dados e selecione aguia Perfis de Protocolo de Rede. Para obter mais informações, consulte Configurando Perfis deProtocolo para Redes de Máquinas Virtuais.

Se o Unified Access Gateway for implantado sem os pools de IP (vCenter Server), a implantação serábem sucedida, mas ao tentar acessar o Unified Access Gateway usando a IU do administrador nonavegador, o serviço da IU do administrador não iniciará.

Requisitos de retenção de registroOs arquivos de registro são configurados por padrão para utilizar certa quantidade de espaço, que émenor do que o tamanho total do disco no agregado. Os logs para o Unified Access Gateway sãoalternados por padrão. Você deve utilizar syslog para preservar estas entradas de registro. Consulte Coletando logs do appliance do Unified Access Gateway.

Regras de firewall para appliances doUnified Access Gateway baseados em DMZAppliances do Unified Access Gatewaybaseados em DMZ exigem certas regras de firewall nos firewallsfront-end e back-end. Durante a instalação, os serviços do Unified Access Gatewaysão configuradospara ouvir em certas portas de rede por padrão.

A implantação de um appliance do Unified Access Gatewaybaseado em DMZ normalmente inclui doisfirewalls.

n É necessário um firewall front-end externo voltado para a rede para proteger o DMZ e a rede interna.Configure este firewall para permitir que o tráfego de rede externo chegue até o DMZ.

n É necessário um firewall back-end, entre o DMZ e a rede interna, para fornecer uma segundacamada de segurança. Configure este firewall para aceitar tráfego que se origina somente dosserviços dentro do DMZ.

A política de firewall controla estritamente comunicações de entrada de serviço DMZ, o que reduzamplamente o risco de comprometimento da rede interna.

Para permitir que dispositivos cliente externos se conectem a um appliance do Unified Access Gatewaydentro da DMZ, o firewall front-end deve permitir tráfego em determinadas portas. Por padrão, osdispositivos cliente externos e clientes Web externos (HTML Access) conectam-se a um appliance doUnified Access Gateway dentro da DMZ na porta TCP 443. Se for usado o protocolo Blast, a porta 8443deve estar aberta no firewall, mas é possível configurar também o Blast para a porta 443.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 10

Page 11: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Tabela 1‑1. Requisitos de porta

Porta Portal Fonte Destino Descrição

443 TCP Internet Unified Access Gateway Para o tráfego da Web, XML Horizon Client- API, túnel do Horizon e Blast Extreme

443 UDP Internet Unified Access Gateway UDP (opcional)

8443 UDP Internet Unified Access Gateway Blast Extreme (opcional)

8443 TCP Internet Unified Access Gateway Blast Extreme (opcional)

4172 TCP eUDP

Internet Unified Access Gateway PCoIP (opcional)

443 TCP Unified Access Gateway Agente Horizon Horizon Client XML-API

22443 TCP eUDP

Unified Access Gateway Áreas de trabalho e hostsRDS

Blast Extreme

4172 TCP eUDP

Unified Access Gateway Áreas de trabalho e hostsRDS

PCoIP (opcional)

32111 TCP Unified Access Gateway Áreas de trabalho e hostsRDS

Canal de estrutura para redirecionamentoUSB

9427 TCP Unified Access Gateway Áreas de trabalho e hostsRDS

MMR e CDR

9443 TCP IU do administrador Unified Access Gateway Interface de gerenciamento

Observação Para que sejam permitidas, todas as portas UDP exigem diagramas de dados de encaminhamento e diagramas dedados de resposta.

A figura a seguir mostra um exemplo de uma configuração que inclui firewalls front-end e back-end.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 11

Page 12: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Figura 1‑1. Na topologia de DMZ Unified Access Gateway

HorizonServer

MicrosoftActive

Directory

Hosts ESXi executandomáquinas virtuais da

Área de Trabalho Virtual

RedeExterna

Servidor deGerenciamento

do vCenter

Balanceador de carga

Balanceador de carga

Dispositivodo Cliente

DMZ

Appliance do Unified Access

Gateway

Topologias do balanceamento de carga doUnified Access GatewayUm appliance do Unified Access Gateway na DMZ pode ser configurado para apontar para um servidorou para um balanceador de carga que vá de encontro a um grupo de servidores. Os appliances doUnified Access Gateway funcionam com soluções de balanceamento de carga padrão de terceiros quesão configuradas para HTTPS.

Se o appliance do Unified Access Gateway apontar para um balanceador de carga na frente deservidores, a seleção da instância do servidor será dinâmica. Por exemplo, o balanceador de cargapoderá fazer uma seleção com base na disponibilidade e no conhecimento dele sobre o número desessões atuais em cada instância do servidor. As instâncias do servidor dentro do firewall corporativonormalmente têm um balanceador de carga para suportar o acesso interno. Com oUnified Access Gateway, você pode apontar o appliance do Unified Access Gateway para este mesmobalanceador de carga que está já sendo utilizado com frequência.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 12

Page 13: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Você pode, alternativamente, ter um ou mais appliances doUnified Access Gateway apontando para umainstância individual do servidor. Em ambas as abordagens, utilize um balanceador de carga na frente dedois ou mais appliances do Unified Access Gateway no DMZ.

Figura 1‑2. Vários appliances do Unified Access Gateway atrás de um balanceador de carga

HorizonClients

Appliance do Unified Access

Gateway

DMZ

VMware vSphere

Internet

Hosts RDS e áreas detrabalho do Horizon

Servidores doHorizon

Connection

Balanceador de carga

CS CS

Protocolos HorizonQuando um usuário do Horizon Client se conecta a um ambiente Horizon, são utilizados váriosprotocolos diferentes. A primeira conexão é sempre o protocolo XML-API primário sobre o HTTPS. Apósa autenticação bem-sucedida, são criados um ou mais protocolos secundários.

n Protocolo Horizon primário

O usuário insere um nome do host no Horizon Client e isso inicia o protocolo Horizon primário. Esseé um protocolo de controle para a autorização de autenticação e o gerenciamento de sessão. Oprotocolo usa mensagens XML estruturadas sobre HTTPS. Esse protocolo também é conhecidocomo protocolo de controle Horizon XML-API. Em um ambiente com carga balanceada como exibidona figura, os vários appliances do Unified Access Gateway atrás de um balanceador de carga, obalanceador de carga direciona essa conexão a um dos appliances do Unified Access Gateway. No

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 13

Page 14: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

geral, o balanceador de carga seleciona o appliance com base primeiramente na disponibilidade e,em seguida, escolhe a partir dos tráfegos de rotas de appliances disponíveis com base no menornúmero de sessões atuais. Essa configuração distribui uniformemente o tráfego de diferentesclientes no conjunto disponível de appliances do Unified Access Gateway

n Protocolos Horizon secundários

Após o Horizon Client estabelecer a comunicação segura com um dos appliances doUnified Access Gateway, o usuário faz a autenticação. Se essa tentativa de autenticação for bem-sucedida, uma ou mais conexões secundárias são feitas do Horizon Client. Essas conexõessecundárias podem incluir o seguinte

n Túnel HTTPS usado para encapsulamento dos protocolos TCP, como o RDP, o MMR/CDR e ocanal de estrutura do cliente. (TCP 443)

n Protocolo de exibição Blast Extreme (TCP 443, TCP 8443, UDP 443 e UDP 8443)

n Protocolo de exibição PCoIP (TCP 443, UDP 443)

Esses protocolos Horizon secundários devem ser encaminhados ao mesmo appliance doUnified Access Gateway ao qual o protocolo Horizon primário foi encaminhado. OUnified Access Gateway pode então autorizar os protocolos secundários com base na sessão de usuárioautenticada. Uma capacidade importante de segurança do Unified Access Gateway é que oUnified Access Gateway somente encaminha o tráfego ao centro de dados corporativo se o tráfegoestiver em nome de um usuário autenticado. Se o protocolo secundário for encaminhado erroneamente aum appliance do Unified Access Gateway diferente do appliance do protocolo primário, ele não seráautorizado e será colocado na DMZ. A conexão falha. O encaminhamento incorreto de protocolossecundários será um problema comum se o balanceador de carga não estiver configurado corretamente.

Design da DMZ para o Unified Access Gateway com váriasplacas de interface de redeUma das definições de configuração para o Unified Access Gateway é o número de placas de interfacede rede (Network Interface Cards, NICs) virtuais a serem utilizadas. Ao implantar oUnified Access Gateway, você seleciona uma configuração de implantação para sua rede.

É possível especificar uma, duas ou três configurações de NICS que são especificadas como onenic,twonic ou threenic.

Reduzir o número de portas abertas em cada LAN virtual e separar os tipos diferentes de tráfego de redepode melhorar a segurança de forma significativa. Os benefícios são principalmente em termos deseparação e isolamento dos tipos diferentes de tráfego de rede como parte de uma estratégia de designde segurança da DMZ de defesa em profundidade. Isso pode ser conquistado ao implementarcomutadores físicos separados dentro da DMZ, com várias LANs virtuais dentro da DMZ ou como partede uma DMZ totalmente gerenciada pelo VMware NSX.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 14

Page 15: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Implementação típica da DMZ com NIC únicaA implantação mais simples de um Unified Access Gateway é com uma única NIC, onde todo o tráfegode rede é combinado em uma única rede. O tráfego do firewall voltado para a Internet é direcionado aum dos appliances disponíveis do Unified Access Gateway. O Unified Access Gateway então encaminhao tráfego autorizado através do firewall interno aos recursos na rede interna. O Unified Access Gatewaydescarta o tráfego não autorizado.

Figura 1‑3. Opção NIC única do Unified Access Gateway

Appliances de NIC única do UnifiedAccess Gateway

que combinam tráfego de front-end,

de back-end ede gerenciamento

Rede única combinada

Appliance do Unified Access Gateway

DMZ

RedeInterna

Firewall interno

Firewall voltado para a Internet

Balanceador de carga

Internet

Separando o tráfego de usuário não autenticado do tráfego deback-end e de gerenciamentoUma melhoria sobre a implementação de NIC única é especificar duas NICs. A primeira ainda é usadapara Internet voltada para o acesso não autenticado, mas o tráfego autenticado de back-end e o tráfegode gerenciamento são separados em uma rede diferente.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 15

Page 16: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Figura 1‑4. Opção com duas NICs do Unified Access Gateway

Appliances do AccessPoint de NIC

duplo que separam o tráfego de front-end

sem autenticaçãodo tráfego de

gerenciamento d dotráfego de back-end

autenticado

Rede de front-end

Appliance do Unified Access Gateway

Rede combinadade gerenciamentoe de back-end

DMZ

RedeInterna

Firewall interno

Firewall voltado para a Internet

Balanceador de carga

Internet

Em uma implantação com duas NICs, o Unified Access Gateway deve autorizar o tráfego que para arede interna pelo firewall interno. O tráfego não autorizado não está nessa rede de back-end. O tráfegode gerenciamento como a API REST para o Unified Access Gateway está somente nesta segunda rede

Se um dispositivo na rede de front-end sem autenticação foi comprometido, como o balanceador decarga, então a reconfiguração do dispositivo para ignorar o Unified Access Gateway não é possível nestaimplantação com duas NICs. Ela combina as regras de firewall da camada 4 com a segurança doUnified Access Gateway da camada 7. De maneira semelhante, se o firewall voltado para a Internet foiconfigurado de maneira errada para permitir a passagem pela porta 9443 TCP, isso ainda não deixaria aAPI REST de gerenciamento do Unified Access Gateway exposta a usuários da Internet. Um princípio dedefesa em profundidade utiliza vários níveis de proteção, como saber que um único erro de configuraçãoou ataque de sistema não cria necessariamente uma vulnerabilidade geral

Em uma implantação com duas NICs, é possível colocar sistemas de infraestrutura adicionais, comoservidores DNS, servidores de Gerenciador de Autenticação do RSA SecurID na rede de back-enddentro da DMZ para que estes servidores não estejam visíveis na rede voltada para a Internet. Colocarsistemas de infraestrutura dentro da DMZ protege contra ataques de camada 2 da LAN voltada para aInternet a partir de um sistema de front-end comprometido e reduz efetivamente a superfície geral deataque.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 16

Page 17: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

A maior parte do tráfego de rede do Unified Access Gateway consiste nos protocolos de exibição paraBlast e PCoIP. Com uma NIC única, o tráfego de protocolo de exibição de e para a Internet é combinadocom tráfego de e para os sistemas de back-end. Quando duas ou mais NICs são utilizadas, o tráfego éespalhado em NICs de front-end e back-end e em redes. Isso reduz o potencial de gargalo de uma NICúnica e resulta em benefícios de desempenho.

O Unified Access Gateway suporta uma separação adicional ao permitir também a separação do tráfegode gerenciamento em uma LAN de gerenciamento específico. O tráfego de gerenciamento HTTPS paraa porta 9443 só é possível a partir da LAN de gerenciamento.

Figura 1‑5. Opção com três NICs do Unified Access Gateway

Appliances do Unified Access Gateway com três

NICs que fornecem umaseparação completa do

tráfego de front-end,

o tráfego de back-end autenticado e o tráfego

de gerenciamento

sem autenticação

Rede de front-end

Appliance do Unified Access Gateway

Rede de back-end

DMZ

RedeInterna

Firewall interno

Firewall voltado para a Internet

Balanceador de carga

Internet

Rede de gerenciamento

Atualização com tempo de inatividade zeroAs atualizações com tempo de inatividade zero permitem atualizar o Unified Access Gateway sem quehaja tempo de inatividade para os usuários. Antes de atualizar um appliance do Unified Access Gateway,o modo quiesce nas páginas de configuração do sistema do Unified Access Gateway é alterado de NÃOpara SIM.

Quando o valor do modo quiesce for SIM, o appliance do Unified Access Gateway será mostrado comoindisponível quando o balanceador de carga verificar a integridade do appliance. As solicitações quechegam ao balanceador de carga são enviadas ao próximo appliance do Unified Access Gateway queestá atrás do balanceador de carga.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 17

Page 18: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Pré-requisitos

n Dois ou mais appliances do Unified Access Gateway configurados atrás do balanceador de carga

n A definição da URL de verificação de integridade configurada com uma URL com a qual obalanceador de carga se conecta para verificar a integridade do appliance doUnified Access Gateway

n Verifique a integridade do appliance no balanceador de carga. Digite o comando API REST do GEThttps://mycoUnifiedAccessGateway.com:443/favicon.ico.

A resposta é HTTP/1.1 200 OK, se o modo quiesce estiver definido como Não ou HTTP/1.1 503, seo modo quiesce estiver definido como Sim.

Observação Não use nenhuma outra URL; use apenas esta: GEThttps://mycoUnifiedAccessGateway.com:443/favicon.ico. Isso causará uma resposta destatus incorreto e fugas de recursos.

Procedimentos

1 Na seção Configurar manualmente a IU do administrador, clique em Selecionar.

2 Na seção Configurações avançadas, clique no ícone de engrenagem Configuração do Sistema.

3 Na linha do Modo quiesce, habilite SIM para pausar o appliance do Unified Access Gateway.

Quando o appliance for parado, as sessões existentes que o appliance atendia são mantidas durante10 horas. As sessões serão fechadas após esse período.

4 Clique em Salvar.

As novas solicitações que chegam ao balanceador de carga são enviadas ao próximo appliance doUnified Access Gateway.

Próximo passo

Exporte as configurações do appliance do Unified Access Gateway pausado. Implante uma nova versãodo Unified Access Gateway e importe as configurações. A nova versão do appliance doUnified Access Gateway pode ser adicionada ao balanceador de carga.

Entrar ou sair do Programa de aperfeiçoamento daexperiência do clienteO Programa de Programa de aperfeiçoamento da experiência do cliente (CEIP) da VMware ofereceinformações que a VMware utiliza para melhorar seus produtos e serviços, para solucionar problemas epara lhe orientar sobre como usar melhor os produtos da VMware.

Este produto participa do Programa de aperfeiçoamento da experiência do cliente (“CEIP”) da VMware.Detalhes com relação aos dados coletados através do CEIP e aos propósitos para os quais sãoutilizados pela VMware são estabelecidos no Trust & Assurance Center em http://www.vmware.com/trustvmware/ceip.html.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 18

Page 19: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Para este produto você poderá entrar ou sair do CEIP a qualquer momento na IU do administrador.

Procedimentos

1 Em Configurações avançadas > Configuração do sistema, selecione Sim ou Não.

Se você selecionar Sim, a caixa de diálogo Programa de aperfeiçoamento da experiência do clienteserá exibida com a caixa de seleção marcada para indicar que você está entrando para o programa.

2 Revise as informações na caixa de diálogo e clique em Fechar.

3 Clique em Salvar na página Configuração do sistema para salvar suas alterações.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 19

Page 20: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Implementação do appliance doUnified Access Gateway 2O Unified Access Gateway é colocado em um pacote como um OVF e é implantado em um host vSphereESX ou ESXi como um appliance virtual pré-configurado.

Podem ser usados dois métodos primários para instalar o appliance do Unified Access Gateway em umvSphere ESX ou um host de ESXi. As funções do Microsoft Server 2012 e do Hyper-V 2016 sãocompatíveis.

n O vSphere Client ou o vSphere Web Client podem ser utilizados para implementar o modelo do OVFdo Unified Access Gateway. Você recebe um aviso para configurações básicas, incluindo aconfiguração de implementação da NIC, endereço IP e senhas da interface de gerenciamento. Apóso OVF ser implementado, faça o login na interface de usuário administrador doUnified Access Gateway para ajustar as configurações de sistema do Unified Access Gateway,definir os serviços de borda seguros em vários casos de uso e configurar a autenticação na DMZ.Consulte Implementar o Unified Access Gateway usando o assistente modelo do OVF.

n Os scripts PowerShell podem ser usados para implementar o Unified Access Gateway e definirserviços de borda seguros em vários casos de uso. Você pode baixar o arquivo compactado,configurar o script do PowerShell para o seu ambiente e executar o script para implantar oUnified Access Gateway. Consulte Usando o PowerShell para implementar o appliance do UnifiedAccess Gateway.

Observação Para os casos de uso do Tunnel e proxy por aplicativo do AirWatch, você podeimplementar o Unified Access Gateway em ambientes ESXi ou Microsoft Hyper-V.

Este capítulo inclui os seguintes tópicos:

n Usando o assistente modelo do OVF para implantar o Unified Access Gateway

n Configurando o Unified Access Gateway a partir das páginas de configuração do administrador

n Atualizar certificados assinados de servidor SSL

Usando o assistente modelo do OVF para implantar oUnified Access GatewayPara implementar o Unified Access Gateway, implante o modelo do OVF usando o vSphere Client ou ovSphere Web Client, ative o appliance e defina as configurações.

VMware, Inc. 20

Page 21: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Ao implantar o OVF, você configura o número necessário de interfaces de rede (NIC), o endereço IP e assenhas do administrador e de raiz.

Após a implantação do Unified Access Gateway, vá para a interface de usuário de administração (IU)para configurar o ambiente do Unified Access Gateway. Na IU do administrador, configure os recursos daárea de trabalho e do aplicativo e os métodos de autenticação a serem usados na DMZ. Para fazer logonnas páginas IU do administrador, vá para https://<mycoUnifiedGatewayAppliance>.com:9443/admin/index.html.

Implementar o Unified Access Gateway usando o assistentemodelo do OVFVocê pode implementar o appliance do Unified Access Gatewayefetuando logon no vCenter Server eutilizando o assistente Implementar Modelo OVF.

Há duas versões do OVA do Unified Access Gateway disponíveis, OVA padrão e versão FIPS do OVA. Aversão FIPS 140-2 é executada com o conjunto de cifras e hashes do certificado FIPS e tem serviçosrestritivos habilitados que são compatíveis com bibliotecas FIPS certificadas. Quando oUnified Access Gateway é implantado no modo FIPS, o appliance não pode ser alterado para o modo deimplantação OVA padrão.

Observação Se você utilizar o vSphere Client nativo, certifique-se de que atribuiu um pool de IPs paracada rede. Para adicionar um pool de IPs no vCenter Server utilizando o vSphere Client original, vá até aguia Pools de IPs do centro de dados. Alternativamente, se estiver utilizando o vSphere Web Client, vocêpoderá criar um perfil de protocolo de rede. Vá até a guia Gerenciar do centro de dados e selecione aguia Perfis de Protocolo de Rede.

Pré-requisitos

n Revise as opções de implantação disponíveis no assistente. Consulte Requisitos de sistema e derede do Unified Access Gateway.

n Determine quantas interfaces de rede e endereços IP estáticos devem ser configurados para oappliance do Unified Access Gateway. Consulte Requisitos de configuração de rede.

n Faça o download do arquivo do instalador .ova para o appliance do Unified Access Gatewayno siteda VMware em https://my.vmware.com/web/vmware/downloads ou determine a URL a ser utilizado(exemplo: http://exemplo.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova), ondeY.Y é o número da versão e xxxxxxx é o número de compilação.

Procedimentos

1 Utilize o vSphere Client nativo ou o vSphere Web Client para efetuar logon em uma instância dovCenter Server.

Para uma rede IPv4, utilize o Cliente vSphere nativo ou o Cliente Web vSphere. Para uma rede IPv6,utilize o cliente Web vSphere.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 21

Page 22: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

2 Selecione um comando de menu para iniciar o assistente Implantar modelo OVF.

Opção Comando de Menu

vSphere Client Selecione Arquivo > Implementar Modelo OVF.

vSphere Web Client Selecione um objeto de inventário que seja um objeto parente válido de umamáquina virtual, como um centro de dados, pasta, cluster, pool de recursos ouhost e, no menu Ações, selecione Implementar Modelo OVF.

3 Na página Selecionar origem, navegue até a localização do arquivo .ova que baixou ou insira uma

URL e clique em Avançar.

Revise os detalhes do produto, a versão e os requisitos de tamanho.

4 Siga as indicações do assistente e leve em consideração as seguintes orientações à medida queconclui o assistente.

Opção Descrição

Nome e localização Insira um nome para o appliance virtual do Unified Access Gateway. O nomedeve ser exclusivo na pasta do inventário. Os nomes diferenciam maiúsculas deminúsculas.

Selecionar uma localização para o appliance virtual.

Configuração da implantação Para uma rede IPv4, você pode utilizar uma, duas ou três interfaces de rede(NICs). Para uma rede IPv6, utilize três NICs. O Unified Access Gateway exigeum endereço IP estático separado para cada NIC. Muitas implementações doDMZ utilizam redes separadas para proteger tipos de tráfego diferentes.Configure o Unified Access Gateway de acordo com o design da rede do DMZ noqual está implementado.

Host/Cluster Selecione o host ou o cluster no qual executar o appliance virtual.

Formato do disco Para ambientes de avaliação e teste, selecione o formato de ProvisionamentoDinâmico. Para ambientes de produção, selecione um dos formatos deProvisionamento Estático. O Thick Provision Eager Zeroed é um tipo de formatode disco virtual estático que suporta recursos de cluster como tolerância a falhas,mas demora muito mais para ser criado do que outros tipos de discos virtuais.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 22

Page 23: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Opção Descrição

Configurar Redes/Mapeamento deRede

Se estiver utilizando o vSphere Web Client, a página Configurar Redes permitiráo mapeamento de cada NIC a uma rede e especifica configurações de protocolo.

Mapeie as redes usadas no modelo OVF para as redes no seu inventário.

a Selecione IPv4 ou IPv6 na lista suspensa de protocolo IP.

b Selecione a primeira linha na tabela Internet e, em seguida, clique na setapara baixo para selecionar a rede de destino. Se você selecionar IPv6 comoo protocolo IP, será preciso selecionar a rede que possui recursos IPv6.

Após selecionar a linha, você pode também inserir os endereços IP para oservidor DNS, o gateway e a máscara de rede na porção inferior da janela.

c Se estiver utilizando mais de um NIC, selecione a fileira seguinte Rede deGerenciamento, selecione a rede de destino e, em seguida, poderá inseriros endereços IP para o servidor DNS, gateway e máscara de rede paraaquela rede.

Se estiver utilizando somente um NIC, todas as linhas serão mapeadas paraa mesma rede.

d Se possuir um terceiro NIC, selecione também a terceira linha e conclua asconfigurações.

Se estiver utilizando somente dois NICs, para esta terceira linha Rede Back-end, selecione a mesma rede que utilizou para Rede de Gerenciamento.

Com o vSphere Web Client, um perfil de protocolo de rede será criadoautomaticamente após a conclusão do assistente, se ainda não existir.

Se você utiliza o vSphere Client nativo, a página Mapeamento de rede permitemapear cada NIC a uma rede, mas não há campos para especificar osendereços do servidor DNS, do gateway e da máscara de rede. Como descritonos pré-requisitos, você precisa ter atribuído um pool de IPs para cada rede outer criado um perfil de protocolo de rede.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 23

Page 24: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Opção Descrição

Personalizar propriedades de rede As caixas de texto na página Propriedades são específicas aoUnified Access Gateway e podem não ser necessárias para outros tipos deappliance virtuais. O texto na página do assistente explica cada configuração. Seo texto estiver truncado no lado direito do assistente, redimensione a janelaarrastando-a partir do canto inferior direito.n IPMode:STATICV4/STATICV6. Se digitar STATICV4, será necessário inserir

o endereço IPv4 para o NIC. Se digitar STATICV6, será necessário inserir oendereço IPv6 para o NIC.

n Lista separada por vírgula das regras de encaminhamento com oformato {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu

n Endereço IPv4 para o NIC 1 (ETH0). Insira o endereço IPv4 para o NIC sedigitou STATICV4 para o modo NIC.

n Lista separada por vírgula das rotas personalizadas IPv4 para NIC 1(eth0) com o formato ipv4-network-address/bits.ipv4-gateway-address

n Endereço IPv6 para o NIC 1 (eth0). Insira o endereço IPv6 para o NIC sedigitou STATICV6 para o modo NIC.

n Máscara de rede substituta IPv4 do NIC 1 (eth0). Insira a máscara de redeIPv4 para o NIC que deve substituir a máscara de rede padrão eth0 do perfilde protocolo de rede (NPP).

n Prefixo substituto IPv6 do NIC 1 (eth0). Insira o prefixo IPv6 para o NICque deve substituir o prefixo padrão eth0 do perfil de protocolo de rede(NPP).

n Endereços de servidor DNS. Insira os endereços IPv4 ou IPv6 separadospor espaço dos servidores do nome de domínio para o appliance doUnified Access Gateway . O exemplo de entrada do IPv4 é 192.0.2.1192.0.2.2. O exemplo de entrada do IPv6 é fc00:10:112:54::1

n Gateway padrão. Insira um valor padrão definido pelos perfis de protocolode rede do vSphere (Observação: Insira um valor de gateway padrãosomente se o modo IP for STATICV4/STATICV6).

n Endereço IPv4 para o NIC 2 (eth1). Insira o endereço IPv4 para o NIC sedigitou STATICV4 para o modo NIC.

n Lista separada por vírgula das rotas personalizadas IPv4 para NIC 2(eth1) com o formato ipv4-network-address/bits.ipv4-gateway-address

n Endereço IPv6 para o NIC 2 (eth1). Insira o endereço IPv6 para o NIC sedigitou STATICV6 para o modo NIC.

n Máscara de rede substituta IPv4 do NIC 2 (eth1). Insira a máscara de redeIPv4 para o NIC que deve substituir a máscara de rede padrão eth1 do perfilde protocolo de rede (NPP).

n Prefixo substituto IPv6 do NIC 2 (eth1). Insira o prefixo IPv6 para o NICque deve substituir o prefixo padrão eth1 do perfil de protocolo de rede(NPP).

n Endereço IPv4 para o NIC 3 (eth2). Insira o endereço IPv4 para o NIC sedigitou STATICV4 para o modo NIC.

n Lista separada por vírgula das rotas personalizadas IPv4 para NIC 3(eth2) com o formato ipv4-network-address/bits.ipv4-gateway-address

n Endereço IPv6 para o NIC 3 (eth2). Insira o endereço IPv6 para o NIC sedigitou STATICV6 para o modo NIC.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 24

Page 25: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Opção Descrição

n Máscara de rede substituta IPv4 do NIC 3 (eth2). Insira a máscara de redeIPv4 para o NIC que deve substituir a máscara de rede padrão eth2 do perfilde protocolo de rede (NPP).

n Prefixo substituto IPv6 do NIC 3 (eth2). Insira o prefixo IPv6 para o NICque deve substituir o prefixo padrão eth2 do perfil de protocolo de rede(NPP).

n Opções de senha. Insira a senha para o usuário raiz desta VM e a senhapara o usuário administrador que acessa o console de administração ehabilita o acesso à API REST.

n Opções de senha. Insira a senha para o usuário administrador que faz logonna IU do administrador para configurar o Unified Access Gateway e que podehabilitar o acesso à API REST.

n Compartilhamento da porta 443 do TLS. Selecione essa caixa para ativaro compartilhamento da porta 443 com o Proxy HA. Se estiver selecionadoaqui, esse valor não poderá ser modificado na IU do administrador. Vocêpode visualizar as regras SNI da TLS na IU do administrador nasconfigurações do VMware Tunnel ou do Gateway de Conteúdo.

As outras configurações são opcionais ou já têm uma configuração padrãoinserida.

Participar do CEIP Selecione Ingressar no programa de aperfeiçoamento da experiência docliente da VMware para participar do CEIP ou desmarque a opção para sair doCEIP.

5 Na página Pronto para Concluir, selecione Ligar após implantação e clique em Concluir.

Uma tarefa de Implementar Modelo OVF aparece na área de status do vCenter Server para que vocêpossa monitorar a implantação. Você pode também abrir um console na máquina virtual paravisualizar as mensagens do console que são exibidas durante a inicialização do sistema. Um registrodestas mensagens também está disponível no arquivo /var/log/boot.msg.

6 Quando a implantação for concluída, certifique-se de que os usuários finais possam se conectar aoappliance abrindo um navegador e inserindo a seguinte URL:

https://FQDN-of-UAG-appliance

Nessa URL, FQDN-of-UAG-appliance é o nome de domínio totalmente qualificado do appliance doUnified Access Gateway que pode ser resolvido por DNS.

Se a implantação for bem-sucedida, você verá a página da Web fornecida pelo servidor para o qual oUnified Access Gateway estiver apontado. Se a implantação não foi bem sucedida, você pode excluira máquina virtual do appliance e implementá-lo novamente. O erro mais comum é não inserir asimpressões digitais do certificado corretamente.

O appliance do Unified Access Gatewayé implementado e iniciado automaticamente.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 25

Page 26: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Próximo passo

Faça o logon na interface do usuário administrador (IU) do Unified Access Gateway e configure osrecursos da área de trabalho e do aplicativo para permitir acesso remoto da Internet por meio doUnified Access Gateway e os métodos de autenticação a serem usados na DMZ. A URL do console deadministração está no formato https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html.

Observação Se não for possível acessar o logon da UI do administrador na tela, verifique paraobservar se a máquina virtual tem o endereço IP exibido durante a instalação do OVA. Se o endereço IPnão estiver configurado, use o comando vami mencionado na UI para reconfigurar as NICs. Execute ocomando como " cd /opt/vmware/share/vami" depois o comando "./vami_config_net".

Configurando o Unified Access Gateway a partir daspáginas de configuração do administradorApós implantar o OVF e o appliance do Unified Access Gateway estiver ativado, faça logon na interfacedo usuário do administrador do Unified Access Gateway para definir as seguintes configurações.

Observação Na primeira vez em que você iniciar o Console de administração doUnified Access Gateway, será solicitado que você altere a senha definida quando implantou o appliance.

As páginas de configurações gerais e configurações avançadas incluem o seguinte:

n Configuração do sistema e certificado de servidor TLS do Unified Access Gateway

n Configurações do serviço de borda para o Horizon, o Proxy Reverso, o VMware Tunnel e o Gatewayde Conteúdo (também conhecido como CG)

n Configurações de autenticação para o RSA SecurID, RADIUS, Certificado X.509 e RSA AdaptiveAuthentication

n Configurações para provedor de identidade SAML e provedor de serviços

n Configurações de rede

n Configurações do provedor de verificação de conformidade de endpoint

n Configuração da ponte de identidade

As opções a seguir podem ser acessadas a partir das páginas Configurações de suporte.

n Baixe os arquivos de log compactados do Unified Access Gateway

n Exporte as configurações do Unified Access Gateway para recuperar as definições de configuração

n Defina as configurações do nível de log

n Importe as configurações do Unified Access Gateway para criar e atualizar uma configuração inteirado Unified Access Gateway

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 26

Page 27: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Configurar as definições de sistema do Unified Access GatewayÉ possível configurar os protocolos de segurança e os algoritmos criptográficos usados para criptografaras comunicações entre os clientes e o appliance do Unified Access Gateway a partir das páginas deconfiguração do administrador.

Pré-requisitos

n Revisar as propriedades de implantação do Unified Access Gateway. São necessárias as seguintesinformações de configurações.

n Endereço IP estático para o appliance do Unified Access Gateway

n Endereço IP do servidor DNS

n Senha para o console de administração

n URL da instância do servidor ou balanceador de carga para o qual o appliance doUnified Access Gateway aponta

n URL do servidor Syslog para salvar os arquivos de log de evento

Procedimentos

1 Na seção Configurar Manualmente a IU do administrador, clique em Selecionar.

2 Na seção Configurações Avançadas, clique no ícone de engrenagem Configuração do Sistema.

3 Edite os seguintes valores de configuração do appliance do Unified Access Gateway.

Opção Valor padrão e descrição

Nome UAG Nome exclusivo do appliance UAG.

Localidade Especifica o local a ser utilizado ao gerar mensagens de erro.n en_US para inglês americano. Este é o padrão.n ja_JP para japonêsn fr_FR para francêsn de_DE para alemãon zh_CN para chinês simplificadon zh_TW para chinês tradicionaln ko_KR para coreanon es para espanholn pt_BR para português (Brasil)n en_BR para o inglês britânico

Senha do administrador Aqui você pode redefinir a senha do administrador. Sempre que você altera asenha, deve efetuar logon na IU do administrador novamente antes de continuarseu trabalho.

As senhas devem ter pelo menos 8 caracteres de comprimento, conter pelomenos uma letra maiúscula e uma letra minúscula, um dígito e um caractereespecial, que inclui ! @ # $ % * ( ).

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 27

Page 28: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Opção Valor padrão e descrição

Conjuntos de criptografia Na maioria dos casos, as configurações padrão não precisam ser alteradas.Esses são os algoritmos criptográficos usados para criptografar as comunicaçõesentre os clientes e o appliance do Unified Access Gateway. As configurações decriptografia são usadas para ativar vários protocolos de segurança.

Obedecer ordem de criptografia O padrão é NÃO. Selecione SIM para ativar o controle de ordem da lista decriptografia TLS.

TLS 1.0 ativado O padrão é NÃO. Selecione SIM para ativar o protocolo de segurança TLS 1.0.

TLS 1.1 ativado O padrão é SIM. O protocolo de segurança TLS 1.1 está ativado.

TLS 1.2 ativado O padrão é SIM. O protocolo de segurança TLS 1.2 está ativado.

URL do Syslog Insira a URL do servidor Syslog utilizado para registrar eventos doUnified Access Gateway. Este valor pode ser uma URL ou um nome do host ouendereço IP. Se você não definir a URL do servidor syslog, nenhum evento seráregistrado. Digite como syslog://server.example.com:514.

URL de verificação de integridade Insira um URL pelo qual o balanceador de carga se conecta e verifica aintegridade do Unified Access Gateway

Cookies a serem armazenados emcache

O conjunto de cookies que o Unified Access Gateway armazena em cache. Opadrão é nenhum.

Modo do IP Selecione modo do IP estático, STATICV4 OU STATICV6.

Tempo limite da sessão O valor padrão é 36000000 milissegundos.

Modo quiesce Ative SIM para pausar o appliance do Unified Access Gateway a fim de alcançarum estado consistente para realizar tarefas de manutenção

Intervalo do monitor O valor padrão é 60.

Idade da senha Número de dias em que a senha de administrador atual estará válida. O padrão é90 dias. Especifique 0 (zero) se a senha nunca deve expirar.

Tempo limite da solicitação Especifique o tempo limite em segundos para a solicitação. O padrão é 3000.

Tempo limite do recebimento do corpo Especifique o tempo limite em segundos para o recebimento do corpo. O padrãoé 5000.

Tempo limite da autenticação Especifique o tempo limite em segundos para a autenticação. O padrão é300000.

Participar do CEIP Se ativado, envia as informações do Programa de aperfeiçoamento daexperiência do cliente ("CEIP") à VMware. Consulte Entrar ou sair do Programade aperfeiçoamento da experiência do cliente para obter mais detalhes.

4 Clique em Salvar.

Próximo passo

Defina as configurações do serviço de borda para os componentes com os quais oUnified Access Gateway é implantado. Após definir as configurações de borda, defina as configuraçõesde autenticação.

Atualizar certificados assinados de servidor SSLÉ possível substituir os certificados assinados após a expiração.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 28

Page 29: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Para ambientes de produção, a VMware recomenda enfaticamente a substituição do certificado padrão omais rápido possível. O certificado padrão do servidor TLS/SSL que é gerado ao implementar umappliance do Unified Access Gatewaynão é assinado por uma Autoridade de Certificação Confiável.

Pré-requisitos

n Novo certificado assinado e chave privada salvos em um computador que possa ser acessado.

n Converta o certificado em arquivos de formato PEM e converta os arquivos .pem no formato de umalinha. Consulte Converter arquivos de certificado para o formato PEM de uma linha.

Procedimentos

1 No console de administração, clique em Selecionar.

2 Na seção Configurações Avançadas, clique no ícone de engrenagem Configurações do Certificadodo Servidor SSL.

3 Selecione um tipo de certificado de PEM ou de PFX.

4 Se o tipo de certificado for PEM:

a Na linha Chave Privada, clique em Selecionar e navegue até o arquivo da chave privada.

b Clique em Abrir para carregar o arquivo.

c Na linha Cadeia de certificados, clique em Selecionar e navegue até o arquivo da cadeia decertificados.

d Clique em Abrir para carregar o arquivo.

5 Se o tipo de certificado for PFX:

a Na linha Atualizar PFX, clique em Selecionar e navegue até o arquivo pfx.

b Clique em Abrir para carregar o arquivo.

c Insira a senha do certificado PFX.

d Insira o pseudônimo do certificado PFX. Isso é usado quando vários certificados estão presentesno armazenamento de certificados.

6 Clique em Salvar.

Próximo passo

Se a CA que assinou o certificado não tiver reputação renomada, configure clientes para confiar noscertificados raiz e intermediário.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 29

Page 30: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Usando o PowerShell paraimplantar oUnified Access Gateway 3Um script do PowerShell pode ser usado para implantar o Unified Access Gateway. O script doPowerShell é entregue como um script de amostra que pode ser adaptado às necessidades específicasdo ambiente.

Quando for usado o script do PowerShell para implantar o Unified Access Gateway, o script chamará ocomando da OVF Tool e validará as configurações para construir automaticamente a sintaxe de linha decomando correta. Esse método também permite configurações avançadas, como a configuração docertificado do servidor TLS/SSL a ser aplicado no momento da implementação.

Este capítulo inclui os seguintes tópicos:n Requisitos do sistema para a implantação do Unified Access Gateway com o PowerShell

n Usando o PowerShell para implementar o appliance do Unified Access Gateway

Requisitos do sistema para a implantação doUnified Access Gateway com o PowerShellPara implantar o Unified Access Gateway usando script do PowerShell, você deve usar versõesespecíficas dos produtos VMware.

n Host do vSphere ESX com um vCenter Server.

n O script do PowerShell é executado em máquinas com Windows 8.1 ou versões posteriores ou noWindows Server 2008 R2 ou versões posteriores.

A máquina também pode ser um vCenter Server executado no Windows ou em uma máquinaseparada do Windows.

n A máquina com Windows que executar o script deve ter um comando de VMware OVF Toolinstalado.

Você deve instalar o OVF Tool 4.0.1 ou versão posterior do https://www.vmware.com/support/developer/ovf/.

Você deve selecionar o repositório de dados e a rede do vSphere a serem usados.

Um Perfil do Protocolo de Rede do vSphere deve ser associado a cada nome de rede de referência.Esse Perfil de Protocolo de Rede especifica as configurações de rede, como máscara de sub-rede IPv4,gateway etc. A implantação do Unified Access Gateway usa esses valores, então verifique se os valoresestão corretos.

VMware, Inc. 30

Page 31: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Usando o PowerShell para implementar o appliance doUnified Access GatewayOs scripts do PowerShell preparam seu ambiente com todas as definições de configuração. Ao executaro script do PowerShell para implementar o Unified Access Gateway, a solução está pronta paraprodução na primeira inicialização do sistema.

Pré-requisitos

n Verifique se os requisitos do sistema são apropriados e se estão disponíveis para uso.

Este é um script de amostra para implementar o Unified Access Gateway no seu ambiente.

Figura 3‑1. Script de amostra do PowerShell

Procedimentos

1 Faça o download do OVA do Unified Access Gateway no My VMware para sua máquina Windows.

2 Faça o download dos arquivos ap-deploy-XXX.zip em uma pasta na máquina Windows.

Os arquivos zip estão disponíveis em https://communities.vmware.com/docs/DOC-30835.

3 Abra um script do PowerShell e modifique o diretório do local do seu script.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 31

Page 32: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

4 Crie um arquivo de configuração .INI para o appliance virtual do Unified Access Gateway.

Por exemplo: implemente um novo appliance AP1 do Unified Access Gateway. O arquivo deconfiguração é nomeado como ap1.ini. Esse arquivo contém todas as definições de configuraçãopara AP1. É possível usar os arquivos .INI de amostra no arquivo apdeploy .ZIP para criar oarquivo .INI e modificar as configurações adequadamente.

Observação Você pode ter arquivos .INI exclusivos para várias implementações doUnified Access Gateway no seu ambiente. Você deve alterar os Endereços IP e os parâmetros denome no arquivo .INI adequadamente para implantar vários appliances.

Exemplo do arquivo .INI a ser modificado.

name=AP1

source=C:\APs\euc-access-point-2.8.0.0-000000000_OVF10.ova

target=vi://[email protected]:[email protected]/Datacenter1/host/esx1.myco.int

ds=Local Disk 1

netInternet=VM Network

netManagementNetwork=VM Network

netBackendNetwork=VM Network

[Horizon/WebReverseProxy/AirwatchTunnel]

proxyDestinationUrl=https://192.168.0.209

# For IPv4, proxydestinationURL=https://192.168.0.209

# For IPv6, proxyDEstinationUrl=[fc00:10:112:54::220]

5 Para assegurar que a execução do script seja bem-sucedida, digite o comando set-executionpolicy do PowerShell.

set-executionpolicy -scope currentuser unrestricted

Você deve executar esse comando uma vez e somente se ele estiver restrito no momento.

Se houver um aviso para o script, execute o comando para desbloquear o aviso:

unblock-file -path .\apdeploy.ps1

6 Execute o comando para iniciar a implementação. Se você não especificar o arquivo .INI, o scriptserá padronizado para ap.ini.

.\apdeploy.ps1 -iniFile ap1.ini

7 Insira as credenciais quando receber o aviso e conclua o script.

Observação Se você receber um aviso para adicionar a impressão digital da máquina de destino,digite sim.

O appliance do Unified Access Gateway está implementado e disponível para produção.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 32

Page 33: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Para obter mais informações sobre scripts do PowerShell, consulte https://communities.vmware.com/docs/DOC-30835.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 33

Page 34: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Casos de uso de implantaçãopara o Unified Access Gateway 4Os cenários de implantação descritos neste capítulo podem auxiliar a identificar e organizar aimplantação do Unified Access Gateway em seu ambiente.

Você pode implementar o Unified Access Gateway com o Horizon, oHorizon Cloud with On-Premises Infrastructure, o VMware Identity Manager e o VMware AirWatch.

Este capítulo inclui os seguintes tópicos:

n Implantação com o Horizon e o Horizon Cloud with On-Premises Infrastructure

n Verificações de conformidade de endpoint do Horizon

n Implementação como proxy reverso

n Implementação para acesso single sign-on para aplicativos da Web locais herdados.

n VMware Tunnel no Unified Access Gateway

Implantação com o Horizon e oHorizon Cloud with On-Premises InfrastructureVocê pode implantar o Unified Access Gateway com a infraestrutura em nuvem doHorizon Cloud with On-Premises Infrastructure e do Horizon Air. Para a implantação do Horizon, oappliance do Unified Access Gateway substitui o servidor seguro do Horizon.

Cenário de implantaçãoO Unified Access Gateway fornece acesso remoto seguro a áreas de trabalho e aplicativos virtuais nolocal em um centro de dados do cliente. Isso funciona com uma implantação no local do Horizon ouHorizon Air para o gerenciamento unificado.

O Unified Access Gateway fornece à empresa uma garantia de preservação da identidade do usuário econtrola de forma precisa o acesso às áreas de trabalho e aplicativos autorizados.

Os appliances virtuais do Unified Access Gateway são implementados, geralmente, em uma zonadesmilitarizada (DMZ) da rede. A implantação na DMZ assegura que todo o tráfego entrando no centrode dados para os recursos da área de trabalho e do aplicativo é tráfego em nome de um usuáriofortemente autenticado. Os appliances virtuais do Unified Access Gateway também garantem que o

VMware, Inc. 34

Page 35: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

tráfego de um usuário autenticado possa ser direcionado somente para os recursos da área de trabalhoe de aplicativos para os quais o usuário estiver autorizado. Esse nível de proteção envolve a inspeçãoespecífica de protocolos de área de trabalho e a coordenação de potenciais endereços de rede epolíticas de mudança rápida para controlar o acesso de maneira precisa.

Você deve verificar os requisitos para a implantação contínua do Unified Access Gateway com o Horizon.

n Se o appliance do Unified Access Gateway apontar para um balanceador de carga na parte frontaldos servidores Horizon, a seleção da instância do servidor será dinâmica.

n O Unified Access Gateway substitui o servidor de segurança Horizon.

n Por padrão, a porta 8443 deve estar disponível para Blast TCP/UDP. No entanto, a porta 443também pode ser configurada para Blast TCP/UDP.

n O gateway seguro Blast e o gateway seguro PCoIP deverão ser ativados quando oUnified Access Gateway estiver implantado com o Horizon. Isso garante que os protocolos deexibição possam servir como proxies automaticamente por meio do Unified Access Gateway. Asconfigurações da BlastExternalURL e da pcoipExternalURL especificam endereços de conexãousados pelos clientes do Horizon para encaminhar essas conexões de protocolo de exibição pormeio dos gateways apropriados no Unified Access Gateway. Isso oferece uma segurançamelhorada, tendo em vista que esses gateways garantem que o tráfego do protocolo de exibiçãoseja controlado em nome de um usuário autenticado. O tráfego do protocolo de exibição nãoautorizado é desconsiderado pelo Unified Access Gateway.

n Desative os gateways seguros (gateway seguro Blast e gateway seguro PCoIP) nas instâncias doservidor de conexão do Horizon e ative esses gateways nos appliances do Unified Access Gateway.

As diferenças entre o servidor seguro do Horizon e o appliance do Unified Access Gateway são asseguintes:

n Implantação segura. O Unified Access Gateway é implementado como uma máquina virtual pré-configurada, protegida e bloqueada, baseada em Linux.

n Escalável. Você pode conectar o Unified Access Gateway a um servidor de conexão do Horizonindividual, ou você pode conectá-lo por meio de um balanceador de carga na frente de váriosservidores de conexão do Horizon, oferecendo alta disponibilidade aprimorada. Ele age como umacamada entre o Cliente do Horizone os Servidores de Conexão do Horizon de back-end. Como aimplantação é rápida, ele pode rapidamente ser ampliado ou reduzido para atender as demandas deempresas em constante mudança.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 35

Page 36: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Figura 4‑1. Appliance do Unified Access Gateway apontando para um balanceador de carga

HorizonServer

MicrosoftActive

Directory

Hosts ESXi executandomáquinas virtuais da

Área de Trabalho Virtual

RedeExterna

Servidor deGerenciamento

do vCenter

Balanceador de carga

Balanceador de carga

Dispositivodo Cliente

DMZ

Appliance do Unified Access

Gateway

De modo alternativo, é possível ter um ou mais appliances do Unified Access Gateway apontando para ainstância de um servidor individual. Em ambas as abordagens, utilize um balanceador de carga na frentede dois ou mais appliances do Unified Access Gateway na DMZ.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 36

Page 37: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Figura 4‑2. Appliance do Unified Access Gateway apontando para uma instância do servidorHorizon

Workspace ONE/Identity Manager

MicrosoftActive

Directory

Internet

Servidor deGerenciamento

do vCenter

Balanceador de carga

Balanceador de carga

Cliente WorkspaceONE

DMZ

Appliance do Unified Access

Gateway

Firewall

FirewallZonacorporativa

Cliente Workspace ONE

ServiçosDNS/NTP

AutenticaçãoA autenticação do usuário é similar ao servidor de segurança do View. Os métodos compatíveis deautenticação do usuário no Unified Access Gateway incluem o seguinte.

n O nome de usuário e a senha do Active Directory

n Modo Kiosk. Para obter mais detalhes sobre o modo de quiosque, consulte a documentação doHorizon

n Autenticação de dois fatores do RSA SecurID, formalmente certificada pela RSA para SecurID

n RADIUS por meio de diversas soluções de dois fatores de fornecedores de segurança terceirizados.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 37

Page 38: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

n Cartão inteligente, CAC ou certificados de usuário PIV X.509

n SAML

Esses métodos de autenticação são compatíveis com o servidor de conexão do View. Não é obrigatórioque o Unified Access Gateway tenha comunicação direta com o Active Directory. Essa comunicaçãoserve como um proxy por meio do Servidor de Conexão do View, que pode acessar diretamente o ActiveDirectory. Após a sessão do usuário ser autenticada de acordo com a política de autenticação, oUnified Access Gateway pode encaminhar as solicitações para informações de qualificação, e a área detrabalho e o aplicativo iniciam solicitações para o servidor de conexão do View. OUnified Access Gateway também gerencia a área de trabalho e os manipuladores de protocolo deaplicação para permitir que encaminhem somente tráfego de protocolo autorizado.

O Unified Access Gateway identifica sozinho a autenticação de cartões inteligentes. Isso inclui opçõespara que o Unified Access Gateway se comunique com os servidores do protocolo de status docertificado online (OCSP) e para verificar a revogação do certificado X.509, e assim por diante.

Definir configurações do HorizonVocê pode implantar o Unified Access Gateway com a infraestrutura em nuvem doHorizon Cloud with On-Premises Infrastructure e do Horizon Air. Para a implantação do Horizon, oappliance do Unified Access Gateway substitui o servidor seguro do Horizon.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 NasConfigurações Gerais > Configurações do Serviços de Borda, clique em Mostrar.

3 Clique no ícone de engrenagem Configurações do Horizon.

4 Na página Configurações do Horizon, altere o NÃO para SIM para ativar o Horizon.

5 Defina os seguintes recursos de configurações do serviço de borda para o Horizon:

Opção Descrição

Identificador Definido por padrão para o Horizon. O Unified Access Gateway pode secomunicar com os servidores que usam o protocolo XML do Horizon, como oservidor de conexão do Horizon, o Horizon Air e oHorizon Cloud with On-Premises Infrastructure.

URL do servidor de conexão Insira o endereço do servidor Horizon ou do balanceador de carga. Insira-o comohttps://00.00.00.00

Miniatura da URL do servidor deconexão

Insira a lista de impressões digitais do servidor do Horizon

Se você não fornecer uma lista das impressões digitais, os certificados doservidor deverão ser emitidos por uma CA confiável. Insira os dígitos daimpressão digital hexadecimal. Por exemplo, sha1= C3 89 A2 19 DC 7A 48 2B 851C 81 EC 5E 8F 6A 3C 33 F2 95 C3

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 38

Page 39: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

6 Para configurar a regra do método de autenticação e outras configurações avançadas, clique emMais.

Opção Descrição

Métodos de autenticação Selecione os métodos de autenticação a serem utilizados.

O padrão é utilizar a autenticação de passagem do nome de usuário e senha. Osmétodos de autenticação configurados no Unified Access Gateway estão listadosnos menus suspensos.

Para configurar uma autenticação que inclui aplicar um segundo método deautenticação caso a primeira tentativa de autenticação não seja bem-sucedida.

a Selecione um método de autenticação no primeiro menu suspenso.

b Clique no + e selecione E ou OU.

c Selecione o segundo método de autenticação no terceiro menu suspenso.

Para exigir que os usuários façam a autenticação através de dois métodos deautenticação, altere OU para E no menu suspenso.

Caminho de URI para verificação deintegridade

O caminho de URI para o servidor de conexão com o qual oUnified Access Gateway se conecta, para monitoramento do status deintegridade.

Ativar PCOIP Altere NÃO para SIM para especificar se o gateway seguro PCoIP estáhabilitado.

URL externa de PCOIP Insira a URL externa do appliance do Unified Access Gateway. Os clientesutilizam essa URL para conexões seguras por meio do Gateway seguro PCoIP.Esta conexão é utilizada para o tráfego PCoIP. O padrão é o endereço IP doUnified Access Gateway e a porta 4172.

Ativar Blast Para usar o Gateway seguro Blast, altere o NÃO para SIM.

URL externa de Blast Insira a URL do FQDN do appliance do Unified Access Gateway que os usuáriosutilizam para fazer uma conexão segura a partir dos navegadores da Webatravés do gateway seguro Blast. Insira-o como https://exampleappliance:443

Ativar túnel Se o túnel seguro do Horizon for utilizado, altere NÃO para SIM. O Client utiliza aURL externa para conexões de túnel através do Gateway seguro do Horizon. Otúnel é utilizado para tráfego RDP, USB e de redirecionamento de multimídia(multimedia redirection, MMR).

URL externa do túnel Insira a URL externa do appliance do Unified Access Gateway. O valor padrãoserá usado se não estiver configurado.

Provedor de verificação deconformidade de endpoint

Selecione o provedor de verificação de conformidade de endpoint. O padrão éOPSWAT.

Padrão de proxy Insira a expressão regular que corresponde aos URIs que estão relacionados àURL do servidor Horizon (proxyDestinationUrl). Para o servidor de conexão doHorizon, uma barra (/) é um valor típico para fornecer o redirecionamento aocliente Web HTML Access ao utilizar o appliance do Unified Access Gateway.

SAML SP Insira o nome do provedor de serviços SAML para o agente XMLAPI do Horizon.Esse nome deve corresponder ao nome de um metadado de um provedor deserviços configurado ou ser o valor especial DEMO.

Corresponder nome do usuário doWindows

Altere o NÃO para SIM para corresponder ao RSA SecurID e ao nome do usuárioWindows. Quando definido para SIM, o securID-auth está definido comoverdadeiro e a correspondência de nomes de usuário SecurID e Windows éaplicada.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 39

Page 40: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Opção Descrição

Localização do gateway O local de onde a solicitação de conexão se origina. O servidor de segurança e oUnified Access Gateway definem a localização do gateway. O local pode serexterno ou interno.

Entradas de host Insira uma lista separada por vírgulas das entradas de host a serem adicionadasno arquivo de /etc/hosts. Cada entrada inclui um IP, um nome de host e umpseudônimo de nome de host opcional nesta ordem, separados por um espaço.Por exemplo,10.192.168.1 example1.com, 10.192.168.2 example2.com example-

alias.

Desativar HTML Access Se definido como SIM, desativa o acesso via Web ao Horizon. Consulte GUID-98C68E8F-3781-41DF-8B59-F3B20B4D572D#GUID-98C68E8F-3781-41DF-8B59-F3B20B4D572D para obtermais detalhes.

7 Clique em Salvar.

Opções de configuração de URL externa de TCP e UDP BlastO gateway seguro Blast inclui a rede Blast Extreme Adaptive Transport (BEAT), que ajustadinamicamente as condições da rede, como variações de velocidade e perda de pacotes. NoUnified Access Gateway, é possível configurar as portas usadas pelo protocolo BEAT.

O Blast usa as portas padrão TCP 8443 e UDP 8443. A UDP 443 também pode ser usada para acessara área de trabalho através do servidor de túnel UDP. A configuração da porta é ajustada adequadamenteatravés da URL externa do Blast.

Tabela 4‑1. Opções de porta do BEAT

URL externa de BlastPorta TCP usada pelocliente

Porta UDP usada pelocliente Descrição

https://ap1.myco.com 8443 8443 Este formato é o padrão e exige que aTCP 8443 e opcionalmente a UDP8443 sejam abertas no firewall parapermitir conexões à internet para oUnified Access Gateway

https://ap1.myco.com:443 443 8443 Usar este formato quando fornecessário abrir a TCP 443 ou UDP8443.

https://ap1.myco.com:xxxx xxxx 8443

https://ap1.myco.com:xxxx/?UDPPort=yyyy

xxxx yyyy

Para configurar portas diferentes do padrão, deve ser adicionada uma regra interna de encaminhamentode IP para o respectivo protocolo quando for implantado. As regras de encaminhamento devem serespecificadas na implantação do modelo do OVF ou por meio dos arquivos INI que são inseridos pormeio de comandos PowerShell.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 40

Page 41: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Verificações de conformidade de endpoint do HorizonO recurso do Verificações de conformidade de endpoint no Unified Access Gateway fornece umacamada extra de segurança para acessar áreas de trabalho do Horizon, além de outros serviços deautenticação de usuário que estão disponíveis no Unified Access Gateway.

Você pode usar o recurso do Verificações de conformidade de endpoint para garantir a conformidadecom várias políticas, como uma política antivírus ou uma política de criptografia nos endpoints, porexemplo.

A política de conformidade de endpoint é definida em um serviço em execução na nuvem ou no local.

Se o Verificações de conformidade de endpoint estiver habilitado, o Unified Access Gateway permitiráapenas que as áreas de trabalho VDI compatíveis sejam inicializadas e bloqueará a inicialização detodos os endpoints fora de conformidade.

Pré-requisitos

1 Inscreva-se numa conta OPSWAT e registre seus aplicativos no site do OPSWAT. Consulte https://go.opswat.com/communityRegistration.

2 Anote a chave de cliente e a chave secreta do cliente. Você precisa das chaves para configurar oOPSWAT no Unified Access Gateway.

3 Efetue logon no site do OPSWAT e configure as políticas de conformidade para seus endpoints.Consulte a documentação relevante do OPSWAT.

4 Na página inicial do OPSWAT, clique em Conectar o Gerenciamento de Endpoint Metadefender,baixe e instale o software do agente no dispositivo cliente.

Procedimentos

1 Efetue logon na IU do administrador e vá para Configurações avançadas > Configurações doprovedor de verificação de conformidade de endpoint.

2 Clique em Adicionar para adicionar os detalhes da Chave do cliente e da chave do Segredo docliente .

Os campos Provedor de verificação de conformidade de endpoint e Nome do host já estãopreenchidos. Não altere esses valores.

3 Na IU do administrador, navegue até as configurações do Horizon, localize o campo Provedor deverificação de conformidade de endpoint e selecione OPSWAT no menu suspenso.

4 Clique em Salvar.

5 Conecte-se à área de trabalho remota usando o cliente de provedor de verificação de conformidadede endpoint.

As áreas de trabalho do Horizon View configuradas são listadas e quando você inicia uma área detrabalho, o dispositivo cliente é validado quanto à conformidade.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 41

Page 42: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Implementação como proxy reversoO Unified Access Gateway pode ser usado como um proxy reverso da web e pode agir como um proxyreverso comum ou como um proxy reverso de autenticação na DMZ.

Cenário de implementaçãoO Unified Access Gateway fornece acesso remoto para a implantação local doVMware Identity Manager. Os appliances do Unified Access Gateway são implantados, geralmente, emuma zona desmilitarizada (DMZ) da rede. Com o VMware Identity Manager, o appliance doUnified Access Gateway opera como um proxy reverso da Web entre um navegador do usuário e oserviço VMware Identity Manager no centro de dados. OUnified Access Gateway também habilita oacesso remoto ao catálogo do Workspace ONE para iniciar aplicativos do Horizon.

Requisitos para a implantação do Unified Access Gateway com o VMware Identity Manager.

n DNS dividido

n O appliance do VMware Identity Manager deve ter um nome de domínio totalmente qualificado (fullyqualified domain name, FQDN) como nome do host.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 42

Page 43: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

n O Unified Access Gateway deve usar DNS interno. Isso significa que a URL de destino de proxydeve usar um FQDN.

Figura 4‑3. Appliance Unified Access Gateway Indicando o VMware Identity Manager

Workspace ONE/Identity Manager

MicrosoftActive

Directory

Internet

Servidor degerenciamento

do vCenter

Balanceador de carga

Balanceador de carga

Cliente WorkspaceONE

DMZ

Appliance doUnified Access

Gateway

Firewall

FirewallZonacorporativa

Cliente Workspace ONE

ServiçosDNS/NTP

Entendendo o proxy reversoO Unified Access Gateway, como uma solução, fornece acesso ao portal de aplicativos para usuáriosremotos para single sign-on e acesso aos recursos. Você habilita o proxy reverso de autenticação em umservice manager de borda. Atualmente, os métodos de autenticação do RSA SecureID e RADIUS sãocompatíveis.

Observação Você deve gerar metadados do provedor de identidade antes de habilitar a autenticaçãono proxy reverso da web.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 43

Page 44: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

OUnified Access Gateway fornece acesso remoto ao VMware Identity Manager e aos aplicativos da webcom ou sem autenticação do cliente baseado no navegador e, em seguida, inicia a área de trabalho doHorizon.

n Os clientes baseados em navegadores são suportados usando o RADIUS e o RSA SecurID comométodos de autenticação.

É possível configurar várias instâncias de proxy reverso e cada instância configurada pode ser excluída.

Figura 4‑4. Vários Proxies Reversos Configurados

Configurar proxy reversoÉ possível configurar o serviço de proxy reverso da Web para utilizar o Unified Access Gateway com oVMware Identity Manager.

Pré-requisitos

Requisitos para a implantação com o VMware Identity Manager.

n DNS dividido. O DNS dividido pode ser usado para resolver o nome para endereços IP diferentes,dependendo se o IP é interno ou externo.

n O serviço do VMware Identity Manager deve ter um nome de domínio totalmente qualificado (fullyqualified domain name, FQDN) como o nome do host.

n O Unified Access Gateway deve usar DNS interno. Isso significa que a URL de destino do proxydeve usar um FQDN.

Procedimentos

1 Na seção Configurar Manualmente a IU do administrador, clique em Selecionar.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 44

Page 45: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

2 Nas Configurações Gerais > Configurações de Serviços de Borda, clique em Mostrar.

3 Clique no ícone de engrenagem Configurações de Proxy Reverso.

4 Na página de configuração do proxy reverso, clique em Adicionar.

5 Na seção Configurações de proxy reverso, altere o NÃO para SIM para habilitar o proxy reverso.

6 Configurar as configurações do serviço de borda.

Opção Descrição

Identificador O identificador do serviço de borda é configurado como proxy reverso da Web.

Identificação de instância O nome exclusivo para identificar e diferenciar uma instância de proxy reverso daWeb de todas as demais instâncias de proxy reverso da Web.

URL de destino do proxy Insira o endereço do aplicativo da Web.

Impressões digitais da URL de destinodo proxy

Insira uma lista das impressões digitais do certificado do servidor SSL aceitáveispara a URL de destino do proxy. Se você incluir um curinga*, qualquer certificadoserá permitido. Uma impressão digital tem o formato [alg=]xx:xx, onde alg podeser sha1, o padrão ou md5. Os ‘xx’ são dígitos hexadecimais. O separador ‘:’também pode ser um espaço ou estar ausente. O caso em uma impressão digitalé ignorado. Por exemplo:

sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34,

sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

Se você não configurar as impressões digitais, os certificados do servidordeverão ser emitidos por uma Autoridade de Certificação (Certificate Authority,CA) confiável.

Padrão de proxy Insira os caminhos de URI correspondentes que encaminham para a URL dedestino. Por exemplo, insira como(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

Observação Ao configurar vários proxies reversos, forneça o nome do host nopadrão de host do proxy.

7 Para definir outras configurações avançadas, clique em Mais.

Opção Descrição

Métodos de autenticação O padrão é utilizar a autenticação de passagem do nome de usuário e senha. Osmétodos de autenticação configurados no Unified Access Gateway estão listadosnos menus suspensos.

Caminho de URI para verificação deintegridade

O Unified Access Gateway se conecta a este caminho de URI para verificar aintegridade de seu aplicativo Web.

SAML SP Esse campo é necessário ao configurar o UAG como proxy reverso autenticadopara o VMware Identity Manager. Insira o nome do provedor de serviços SAMLpara o agente do View XML API. Esse nome deve corresponder ao nome de umprovedor de serviços configurado com o Unified Access Gatewayou ser o valorespecial DEMO. Se houver vários provedores de serviços configurados comoUnified Access Gateway, seus nomes deverão ser únicos.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 45

Page 46: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Opção Descrição

Código de ativação Insira o código de ativação gerado pelo serviço do VMware Identity Manager eimportado no Unified Access Gateway para configurar a confiança entre oVMware Identity Manager e o Unified Access Gateway. Observe que o código deativação não é necessário para implantações on-premise (local). Para obterdetalhes sobre como gerar um código de ativação, consulte Implantação emnuvem do VMware Identity Manager.

URL externa O valor padrão é a URL do host do Unified Access Gateway e a porta 443. Épossível inserir uma outra URL externa. Digite como https://<host:port>.

Padrão desprotegido Insira o padrão de redirecionamento conhecido do VMware Identity Manager. Porexemplo: (/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horiz

on/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/h

orizon/js-

lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/S

AAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/h

c/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response

|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAA

S/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POS

T/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/a

uth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.

0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/S

AAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resou

rces(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/aut

h/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/log

in(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/use

r/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth

2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoke

n(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifac

t/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAA

S/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/la

unchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)

|/hc/t/(.*)/(.*)/logout(.*))

Cookie de autenticação Insira o nome do cookie de autenticação. Por exemplo: HZN

URL de redirecionamento de logon Se o usuário fizer logout do portal, digite o URL de redirecionamento para efetuarlogin novamente. Por exemplo: /SAAS/auth/login?dest=%s

Padrão de host de proxy Nome de host externo usado para verificar o host que entra para verificar secombina com o padrão para aquela instância em particular. O padrão do host éopcional ao configurar instâncias de proxy reverso da Web.

Entradas de host Insira uma lista separada por vírgulas das entradas de host a serem adicionadasno arquivo de /etc/hosts. Cada entrada inclui um IP, um nome de host e umpseudônimo de nome de host opcional nesta ordem, separados por um espaço.Por exemplo,10.192.168.1 example1.com, 10.192.168.2 example2.com example-

alias.

Observação Padrão desprotegido, Cookie de autenticação e as opções de URL deredirecionamento de logon são aplicáveis apenas com o VMware Identity Manager. Os valoresfornecidos aqui também são aplicáveis ao Access Point 2.8 e ao Unified Access Gateway 2.9.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 46

Page 47: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Observação As propriedades do Cookie de autenticação e do Padrão desprotegido não são válidaspara proxy reverso de autenticação. Você deve usar a propriedade Métodos de autenticação paradefinir o método de autenticação.

8 Clique em Salvar.

Próximo passo

Para habilitar a ponte de identidade, consulte Configurando as definições da ponte de identidade.

Implementação para acesso single sign-on paraaplicativos da Web locais herdados.O recurso de ponte de identidade do Unified Access Gateway pode ser configurado para fornecer singlesign-on (SSO) para aplicativos da internet herdados que usam a delegação restrita do Kerberos (KCD)ou a autenticação baseada no cabeçalho.

O Unified Access Gateway em modo de ponte de identidade atua como o provedor de serviços quepassa a autenticação do usuário para os aplicativos herdados configurados. O VMware Identity Manageratua como um provedor de identidade e fornece SSO nos aplicativos SAML. O Identity Managerautentica o usuário quando os aplicativos herdados de acesso dos usuários exigem a autenticação KCDou baseada em cabeçalho. A declaração SAML com as informações do usuário é enviada aoUnified Access Gateway. O Unified Access Gateway usa essa autenticação para permitir que os usuáriosacessem o aplicativo.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 47

Page 48: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Figura 4‑5. Modo de ponte de identidade do Unified Access Gateway

Declaração SAML para o Unified Access Gateway

Workspace ONESSO para SAML,

aplicativos móveis e na nuvem

UAG

Balanceador de carga/firewall

Balanceador de carga/firewall

É transformado emformato do

Kerberos

É transformado emformato baseado em cabeçalho

AplicativoKCD

AplicativoSAML

Aplicativosbaseados

emcabeçalho

DMZ

Cenários de implantação de ponte de identidadeO modo de ponte de identidade do Unified Access Gateway pode ser configurado para trabalhar com oVMware Workspace® ONE® em nuvem ou em um ambiente local.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 48

Page 49: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Usando a ponte de identidade do Unified Access Gateway com clientes doWorkspace ONE na nuvemO modo de ponte de identidade pode ser configurado para trabalhar com o Workspace ONE na nuvempara autenticar usuários. Quando um usuário solicita acesso para um aplicativo da Web herdado, oprovedor de identidade aplica as políticas aplicáveis de autenticação e autorização.

Se o usuário for validado, o provedor de identidade cria um token SAML e o envia ao usuário. O usuáriopassa o token SAML ao Unified Access Gateway na DMZ. O Unified Access Gateway valida o tokenSAML e recupera o nome da entidade do usuário do token.

Se a solicitação for para a autenticação no Kerberos, a delegação restrita do Kerberos será usada paranegociar com o servidor do Active Directory. O Unified Access Gateway representa o usuário pararecuperar o token do Kerberos para autenticar com o aplicativo.

Se a solicitação for para autenticação baseada em cabeçalho, o nome de cabeçalho do usuário éenviado ao servidor de internet para solicitar a autenticação com o aplicativo.

O aplicativo envia a resposta de volta ao Unified Access Gateway A resposta é devolvida ao usuário.

Figura 4‑6. Ponte de identidade do Unified Access Gateway com os clientes do WorkspaceONE na nuvem

É transformado emformato do

Kerberos

É transformado emformato baseado em cabeçalho

Workspace ONE/Clientes baseados no navegador

Direitos de autenticação e de aplicação

Workspace ONE Hospedado como provedor

de identidade

Balanceadorde carga/Firewall

Balanceadorde carga/Firewall

AplicativoKCD

Aplicativosbaseados

emcabeçalho

UAG

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 49

Page 50: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Usando a ponte de identidade com os clientes do Workspace ONE localQuando o modo de ponte de identidade é configurado para os usuários de autenticação com oWorkspace ONE em um ambiente local, os usuários inserem a URL para acessar o aplicativo de internetherdado local por meio do proxy do Unified Access Gateway. O Unified Access Gateway redireciona asolicitação ao provedor de identidade para autenticação. O provedor de identidade aplica as políticas deautenticação e autorização à solicitação. Se o usuário for validado, o provedor de identidade criará umtoken SAML e o enviará ao usuário.

O usuário passa o token SAML ao Unified Access Gateway. O Unified Access Gateway valida o tokenSAML e recupera o nome da entidade do usuário do token.

Se a solicitação for para a autenticação no Kerberos, a delegação restrita do Kerberos será usada paranegociar com o servidor do Active Directory. O Unified Access Gateway representa o usuário pararecuperar o token do Kerberos para autenticar com o aplicativo.

Se a solicitação for para autenticação baseada em cabeçalho, o nome de cabeçalho do usuário éenviado ao servidor de internet para solicitar a autenticação com o aplicativo.

O aplicativo envia a resposta de volta ao Unified Access Gateway A resposta é devolvida ao usuário.

Figura 4‑7. Ponte de identidade do Unified Access Gateway local.

Internet

Workspace ONE/Clientes baseados no navegador

Balanceadorde carga/Firewall

Balanceadorde carga/Firewall

Aplicativo KCD

IDM IDM

DMZ

Zonaverde

UAG

Aplicativosbaseados

emcabeçalho

Usando a ponte de identidade com o certificado para KerberosVocê pode configurar a ponte de identidade para fornecer single sign-on (SSO) aos aplicativos nãoSAML legados no local utilizando a validação do certificado. Consulte Configurar um Proxy Reverso daWeb para a ponte de identidade (Certificado para Kerberos).

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 50

Page 51: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Configurando as definições da ponte de identidadeQuando o Kerberos é configurado na aplicação de back-end, para configurar a ponte de identidade noUnified Access Gateway, é necessário carregar os metadados do provedor de identidade e o arquivokeytab e configurar as definições de território do KCD.

Observação Esta versão de ponte de identidade é compatível apenas com uma configuração dedomínio único. Isso significa que o usuário e o SPN devem estar no mesmo território/domínio.

Quando a ponte de identidade está habilitada com a autenticação baseada em cabeçalho, asconfigurações de keytab e as configurações de território do KCD não são necessárias.

Antes de configurar as definições da ponte de identidade para a autenticação do Kerberos, certifique-sede que o seguinte esteja disponível.

n Um provedor de identidade é configurado e os metadados SAML do provedor de identidade sãosalvos. O arquivo de metadados SAML é carregado para o Unified Access Gateway (apenascenários de SAML).

n Para a autenticação do Kerberos, um servidor com o Kerberos habilitado com os nomes dosterritórios para os centros de distribuição de chaves para o uso identificado.

n Para a autenticação do Kerberos, carregar o arquivo keytab para o Unified Access Gateway. Oarquivo keytab inclui as credenciais para a conta do serviço de Active Directory que é configuradapara obter o ticket do Kerberos em nome de qualquer usuário no domínio para um determinadoserviço de back-end.

Definir configurações do territórioConfigure o nome do território do domínio, os centros de distribuição de chaves para o território e otempo limite KDC.

O território é o nome de uma entidade administrativa que mantém os dados de autenticação. Éimportante selecionar um nome descritivo para o território de autenticação Kerberos. Configure oterritório, saiba também o nome do domínio e o serviço KDC correspondente noUnified Access Gateway. Quando a solicitação UPN vai para um território específico, oUnified Access Gateway resolve internamente o KDC para usar o ticket de serviço do Kerberos.

A convenção é fazer com que o nome do território seja o mesmo que o seu nome de domínio, inseridoem letras maiúsculas. Por exemplo, um nome de território é EXAMPLE.NET. O nome do território éusado por um cliente Kerberos para gerar nomes DNS.

Começando com o UAG 3.0, você pode excluir territórios definidos anteriormente.

Pré-requisitos

Um servidor com o Kerberos habilitado com os nomes dos territórios para os centros de distribuição dechaves para o uso identificado.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 51

Page 52: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Procedimentos

1 Na seção Configurar Manualmente a IU do administrador, clique em Selecionar.

2 Na seção Configurações avançadas > Configurações de ponte de identidade, selecione o íconede engrenagem Configurações do território.

3 Clique em Adicionar.

4 Preencha o formulário.

Etiqueta Descrição

Nome do território Insira o território com o nome do domínio. Insira o território em letras maiúsculas. O territóriodeve ser correspondente ao nome do domínio configurado no Active Directory.

Centros de distribuição dechaves

Inserir os servidores KDC para o território. Separe com vírgula a lista se for adicionado maisde um servidor.

Tempo limite do KDC (emsegundos)

Insira o tempo de espera para a resposta do KDC. O padrão é de 3 segundos.

5 Clique em Salvar.

Próximo passo

Configure as definições de keytab.

Carregar configurações KeytabUm keytab é um arquivo que contém pares de chaves principais e criptografadas do Kerberos. Umarquivo keytab é criado para aplicações que exigem single sign-on. A ponte de identidade doUnified Access Gateway usa um arquivo keytab para que seja autenticado em sistemas remotos usandoo Kerberos sem inserir uma senha.

Quando um usuário é autenticado no Unified Access Gateway a partir de um provedor de identidade, oUnified Access Gateway solicita um tíquete do Kerberos do controlador de domínio do Kerberos paraautenticar o usuário.

O Unified Access Gateway usa um arquivo keytab para representar o usuário a autenticar o domínio doActive Directory. O Unified Access Gateway deve ter uma conta de serviço do usuário do domínio nodomínio do Active Directory. O Unified Access Gateway não fica ligado diretamente ao domínio.

Observação Se o administrador regenerar o arquivo keytab para uma conta de serviços, o arquivokeytab deverá ser carregado novamente no Unified Access Gateway.

Pré-requisitos

Acesse o arquivo keytab do Kerberos para carregar para o Unified Access Gateway. O arquivo keytab éum arquivo binário. Se possível, use SCP ou outro método seguro para transferir o keytab entre oscomputadores.

Procedimentos

1 Na seção Configurar Manualmente a IU do administrador, clique em Selecionar.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 52

Page 53: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

2 Na seção Configurações avançadas > Configurações de ponte de identidade, selecione o íconede engrenagem Carregar configurações keytab.

3 (Opcional) Insira o nome da entidade do Kerberos na caixa de texto Nome da entidade.

Cada identidade sempre é totalmente qualificada com o nome do território. O território sempre deveestar em letras maiúsculas.

Certifique-se de que o nome da entidade inserido aqui é o primeiro nome da entidade encontrado noarquivo keytab. Se o mesmo nome da entidade não estiver no arquivo keytab que foi carregado, ocarregamento do arquivo keytab falhará.

4 No campo Selecionar arquivo keytab, clique em Selecionar e navegue até o arquivo keytab salvo.Clique em Abrir.

Se o nome da entidade não foi inserido, é usado o primeiro nome da entidade encontrado no keytab.É possível fundir diversos keytabs em um arquivo.

5 Clique em Salvar.

Próximo passo

Configure um proxy reverso da Web para a ponte de identidade do Unified Access Gateway

Configurando um Proxy Reverso da Web para a ponte de identidade (SAMLpara Kerberos)Para configurar um Proxy Reverso da Web para a ponte de identidade (SAML para Kerberos), você deveter salvo o arquivo de metadados do provedor de identidade no Unified Access Gateway.

Você pode, em seguida, ativar a ponte de identidade no console de administração para configurar onome do host externo para o serviço.

Carregar metadados do provedor de identidade

Para configurar o recurso de ponte de identidade, é necessário carregar o arquivo XML de metadados docertificado SAML do provedor de identidade para o Unified Access Gateway

Pré-requisitos

O arquivo XML de metadados SAML deve ser salvo em um computador ao qual você tenha acesso.

Se você estiver usando o VMware Identity Manager como provedor de identidade, baixe e salve oarquivo de metadados SAML do console de administrador do VMware Identity Manager, Catálogo >Metadados SAML de configurações > Link de metadados do provedor de identidade (IdP).

Procedimentos

1 No console de administração, clique em Selecionar sob Configurar manualmente.

2 Na seção Configurações avançadas > Configurações de ponte de identidade, selecionar o íconede engrenagem de Carregar metadados do provedor de identidade.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 53

Page 54: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

3 Insira a ID da entidade para o provedor de identidade na caixa de texto ID da entidade .

Se não for inserido um valor na caixa de texto ID da entidade, o nome no provedor de identidade noarquivo de metadados será analisado e usado como a ID da entidade do provedor de identidade.

4 Na seção Metadados IDP , clique em Selecionar e navegue até o arquivo de metadados salvo.Clique em Abrir.

5 Clique em Salvar.

Próximo passo

Para a autenticação KDC, configure as configurações de território e as configurações keytab.

Para autenticação baseada em cabeçalho, quando você configurar o recurso de ponte de identidade,preencha a opção Nome de cabeçalho do usuário com o nome do cabeçalho HTTP que inclui a ID dousuário.

Configurar um Proxy Reverso da Web para a ponte de identidade (SAML para Kerberos)

Ative a ponte de identidade, configure o nome do host externo para o serviço e baixe o arquivo demetadados do provedor de serviços do Unified Access Gateway.

Esse arquivo de metadados é carregado na página configuração de aplicativo da web no serviço doVMware Identity Manager.

Pré-requisitos

Você deve ter configurado as seguintes configurações de ponte de identidade no console deadministração do Unified Access Gateway. Você pode encontrar essas configurações na seçãoConfigurações avançadas.

n Metadados do provedor de identidade carregados para o Unified Access Gateway.

n O nome principal do Kerberos configurado e o arquivo keytab carregado para oUnified Access Gateway.

n O nome do território e as informações do centro de distribuição de chaves.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Na linha Configurações gerais > Configuração de serviço de borda, clique em Mostrar.

3 Clique no ícone de engrenagem Configurações de Proxy Reverso.

4 Na página Configurações de proxy reverso, clique em Adicionar para criar uma novaconfiguração de proxy.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 54

Page 55: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

5 Defina Ativar configurações de proxy reverso como SIM e defina as configurações do serviço deborda a seguir.

Opção Descrição

Identificador O identificador do serviço de borda é configurado como proxy reverso da Web.

Identificação de instância Nome exclusivo da instância do proxy reverso da Web.

URL de destino do proxy Especifique o URI interno do aplicativo da Web. É obrigatório que oUnified Access Gateway leia e acesse esta URL.

Impressões digitais da URL de destinodo proxy

Insira a URI para combinar com esta configuração de proxy. Uma impressãodigital tem o formato [alg=]xx:xx, onde alg pode ser sha1, o padrão ou md5. Os‘xx’ são dígitos hexadecimais. Por exemplo, sha=C3 89 A2 19 DC 7A 48 2B 851C 81 EC 5E 8F 6A 3C 33 F2 95 C3

Se você não configurar as impressões digitais, os certificados do servidordeverão ser emitidos por uma Autoridade de Certificação (Certificate Authority,CA) confiável.

Padrão de proxy (Opcional) Especifique um padrão de host. O padrão de host informa oUnified Access Gateway quando encaminhar o tráfego usando esta configuraçãode proxy se o padrão de proxy não for exclusivo. Isso é decidido usando a URLusada pelo navegador da Web do cliente. Por exemplo, insira como(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

6 Na seção Ativar ponte de identidade, altere de NÃO para SIM.

7 Configurar as seguintes configurações do serviço de borda.

Opção Descrição

Tipos de autenticação Selecione SAML.

Provedor de identidade No menu suspenso, selecione o provedor de identidade a ser utilizado.

Keytab No menu suspenso, selecione o keytab configurado para este proxy reverso.

Nome da identidade do serviço dedestino

Insira o nome principal do serviço Kerberos. Cada identidade sempre étotalmente qualificada com o nome do território. Por exemplo,myco_hostname@MYCOMPANY. Digite o nome do território em letras maiúsculas.Se não for adicionado um nome na caixa de texto, o nome principal do serviçoserá derivado do nome do host da URL de destino do proxy.

Página de aterrissagem de serviço Insira a página para a qual os usuários são redirecionados no provedor deidentidade após a validação da declaração. A configuração padrão é /.

Nome de cabeçalho do usuário Para a autenticação baseada em cabeçalho, insira o nome do cabeçalho HTTPque inclui a ID do usuário derivada da declaração.

8 Na seção Baixar metadados SP, clicar em Download.

Salve o arquivo de metadados do provedor de serviços.

9 Clique em Salvar.

Próximo passo

Adicione o arquivo de metadados do provedor de serviços do Unified Access Gateway à páginaConfiguração de aplicativo da Web no serviço do VMware Identity Manager.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 55

Page 56: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Adicionar o arquivo de metadados ao serviço do VMware Identity Manager

O arquivo de metadados do provedor de serviços do Unified Access Gateway que foi baixado deve sercarregado na página Configuração de aplicativo de internet no serviço do VMware Identity Manager.

O certificado SSL usado deve ser o mesmo certificado usado em servidores do Unified Access Gatewaycom carga balanceada.

Pré-requisitos

Você deve ter salvo o arquivo de metadados do provedor de serviços de Unified Access Gateway nocomputador.

Procedimentos

1 Faça logon no console de administração do VMware Identity Manager.

2 Na guia Catálogo, clique em Adicionar Aplicativo e selecione Criar um novo.

3 Na página Detalhes do aplicativo, insira um nome de usuário final amigável na caixa de texto Nome.

4 Selecione o perfil de autenticação SAML 2.0 POST .

Também é possível adicionar uma descrição desse aplicativo e um ícone para ser exibido aosusuários finais no portal Workspace ONE.

5 Clique em Avançar e na página Configuração de aplicativo, role até a seção Configurar Via.

6 Selecione o botão de opção XML de metadados e cole o texto dos metadados do provedor deserviços do Unified Access Gateway na caixa de texto de XML de metadados.

7 (Opcional) Na seção Mapeamento de atributos, mapeie os seguintes nomes de atributos para osvalores de perfil de usuário. O valor do campo FORMATO é Básico. Os nomes de atributos devemser inseridos em letras minúsculas.

Nome Valor configurado

upn userPrincipalName

userid ID de usuário do Active Directory

8 Clique em Salvar.

Próximo passo

Autorize usuários e grupos a usar este aplicativo.

Observação O Unified Access Gateway é compatível apenas com usuários de domínio único. Se oprovedor de identidade estiver configurado com vários domínios, o aplicativo poderá ser qualificadoapenas para usuários em um único domínio.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 56

Page 57: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Configurando um Proxy Reverso da Web para a ponte de identidade(Certificado para Kerberos)Configure o console da AirWatch para obter e utilizar certificados de autoridade de certificação antes deconfigurar o recurso de ponte de identidade do Unified Access Gateway para fornecer single sign-on(SSO) aos aplicativos não SAML legados no local utilizando a validação do certificado.

Ativar o console da AirWatch para obter e utilizar certificados de autoridade de certificação

Você pode adicionar um modelo de usuário no servidor da autoridade de certificação e definir asconfigurações no console da AirWatch para ativar a AirWatch para obter e utilizar os certificados daautoridade de certificação.

1 Adicionar um modelo de usuário

Adicione um modelo de usuário no servidor da autoridade de certificação como uma primeira etapapara ativar a AirWatch para obter certificados.

2 Adicionar uma autoridade de certificação no console

Adicione uma autoridade de certificação no console da AirWatch.

3 Adicionar um modelo de solicitação da autoridade de certificação

Adicione um modelo de solicitação da autoridade de certificação depois de adicionar umaautoridade de certificação no console da AirWatch.

4 Atualizar políticas de segurança para utilizar o certificado da autoridade de certificação obtido

Atualize as políticas de segurança no console da AirWatch para usar o certificado obtido pelaautoridade de certificação.

Adicionar um modelo de usuário

Adicione um modelo de usuário no servidor da autoridade de certificação como uma primeira etapa paraativar a AirWatch para obter certificados.

Procedimentos

1 Faça logon no servidor onde a autoridade de certificação está configurada.

2 Clique em Iniciar e digite mmc.exe.

3 Na janela do MMC, vá para Arquivo > Adicionar/Remover Snap-in.

4 Na janela Adicionar ou remover snap-ins, selecione Modelos de certificado e clique emAdicionar.

5 Clique em OK.

6 Na janela Modelos de certificado, role para baixo e selecione Usuário > Duplicar modelo,

7 Na janela Propriedades do novo modelo, selecione a guia Geral e forneça um nome para o Nomede exibição do modelo .

O Nome do modelo é preenchido automaticamente com esse nome, sem o espaço.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 57

Page 58: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

8 Selecione a guia Nome da entidade e Fornecer na solicitação.

9 Clique em Aplicar e, em seguida, clique em OK.

10 Na janela do MMC, vá para Arquivo > Adicionar/Remover Snap-in.

11 Na janela Adicionar ou remover snap-ins, selecione Autoridade de certificação e clique emAdicionar.

12 Na janela MMC, selecione Autoridade de certificação > Modelo de certificado.

13 Clique com o botão direito em Autoridade de certificação e selecione Novo > Modelo decertificado a ser emitido.

14 Selecione o modelo criado na etapa 6.

Próximo passo

Certifique-se de que o modelo que você adicionou seja exibido na lista.

Faça logon no console da AirWatch e adicione uma autoridade de certificação.

Adicionar uma autoridade de certificação no console

Adicione uma autoridade de certificação no console da AirWatch.

Pré-requisitos

n Você deve ter adicionado um modelo de usuário no servidor da autoridade de certificação.

n Você deve ter o nome do emissor da autoridade de certificação. Faça logon no servidor do AD eexecute o comando de certutil a partir do prompt de comando para obter o nome do emissor daautoridade de certificação.

n O Nome de usuário para a autoridade de certificação deve ser do tipo conta de serviço.

Procedimentos

1 Faça logon no console da AirWatch e selecione o grupo organizacional apropriado.

2 Vá para Todas as configurações e clique em Integração empresarial > Autoridades decertificação na lista suspensa.

3 Clique na guia Autoridades de certificação e clique em Adicionar.

4 Insira as seguintes informações para a autoridade de certificação:

Opção Descrição

Nome Um nome válido para a autoridade de certificação

Tipo de autoridade Microsoft ADCS

Protocolo ADCS

Nome do host do servidor Nome do host do servidor do AD

Nome da autoridade Nome do emissor da autoridade de certificação

Autenticação Conta de serviço

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 58

Page 59: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Opção Descrição

Nome de usuário Nome de usuário com uma conta de serviço no formato domínio\nome deusuário.

Senha Senha para o nome de usuário

Opções adicionais Nenhum

5 Clique em Salvar.

Adicionar um modelo de solicitação da autoridade de certificação

Adicione um modelo de solicitação da autoridade de certificação depois de adicionar uma autoridade decertificação no console da AirWatch.

Pré-requisitos

1 Você deve ter adicionado um modelo de usuário no servidor da autoridade de certificação.

2 Você deve ter adicionado uma autoridade de certificação no console da AirWatch.

Procedimentos

1 Faça logon no console da AirWatch, vá para Todas as configurações e clique em Integraçãoempresarial > Autoridades de certificação na lista suspensa.

2 Clique na guia Modelos de solicitação e clique em Adicionar.

3 Insira as seguintes informações para o modelo:

Opção Descrição

Nome Um nome válido para o modelo de certificado

Descrição (opcional) Descrição do modelo

Autoridade de certificação A autoridade de certificação adicionada anteriormente

Emitindo o modelo Nome do modelo de usuário criado no servidor da autoridade de certificação

Nome da entidade Para adicionar o Nome da entidade, mantenha o cursor sobre o campo de valor(após o valor padrão 'CN ='), clique no botão '+' e selecione o endereço de e-mailapropriado

Comprimento da chave privada 2048

Tipo de chave privada Selecione Assinatura

Tipo de SAN Clique em Adicionar e escolha o Nome principal do usuário

Renovação automática do certificado(opcional)

Ativar a revogação do certificado(opcional)

Publicar Chave privada (opcional)

4 Clique em Salvar.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 59

Page 60: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Atualizar políticas de segurança para utilizar o certificado da autoridade de certificaçãoobtido

Atualize as políticas de segurança no console da AirWatch para usar o certificado obtido pela autoridadede certificação.

Pré-requisitos

Procedimentos

1 Faça logon no console da AirWatch, vá para Todas as configurações e clique em Aplicativos >Segurança e políticas > Políticas de segurança no menu suspenso.

2 Selecione Substituir para as Configurações atuais.

3 Ative a Autenticação integrada.

a Selecione Usar certificado.

b Defina a Origem da credencial como Autoridade de certificação definida.

c Especifique a Autoridade de certificação e o Modelo de certificado definido anteriormente.

4 Defina os Sites permitidos como *.

5 Clique em Salvar.

Configurar um Proxy Reverso da Web para a ponte de identidade (Certificado paraKerberos)

Configure o recurso de ponte do Unified Access Gateway para fornecer single sign-on (SSO) aosaplicativos não SAML legados no local utilizando a validação do certificado.

Pré-requisitos

Antes de iniciar o processo de configuração, certifique-se de os arquivos e certificados a seguir estejamdisponíveis:

n Arquivo keytab de um aplicativo de back-end, como o Sharepoint ou o JIRA

n Certificados de autoridade de certificação raiz ou a cadeia de certificados inteira com certificadointermediário para o usuário

n Você deve ter adicionado e carregado um certificado no console da AirWatch. Consulte Ativar oconsole da AirWatch para obter e utilizar certificados de autoridade de certificação.

Consulte a documentação relevante do produto para gerar os certificados raiz e de usuário e o arquivokeytab para aplicativos não SAML.

Procedimentos

1 Em Configurações de autenticação > Certificado X509, vá para:

a No Certificados de autoridade de certificação raiz e intermediária, clique em Selecionar ecarregue a cadeia de certificado inteira.

b Em Ativar revogação de certificado, defina a alternativa como Sim.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 60

Page 61: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

c Marque a caixa de seleção para Ativar revogação de OCSP.

d Insira a URL de respondente do OCSP na caixa de texto URL do OCSP.

O Unified Access Gateway envia a solicitação OCSP para a URL especificado e recebe umaresposta que contém informações indicando se o certificado foi revogado ou não.

e Marque a caixa de seleção Usar URL do OCSP do certificado somente se houver um caso deuso para enviar a solicitação OCSP à URL do OCSP no certificado de cliente. Se isso não estiverativado, será automaticamente configurado com o valor no campo da URL do OCSP.

2 Em Configurações avançadas > Configurações de ponte de identidade > Configurações de

OSCP, clique em Adicionar.

a Clique em Selecionar e carregue o certificado de assinatura OCSP.

3 Selecione o ícone de engrenagem Configurações de território e defina as configurações deterritório conforme descrito em Definir configurações do território.

4 Em Configurações gerais > Configurações do serviço de borda, selecione o ícone deengrenagem Configurações de Proxy Reverso.

5 Defina Ativar configurações de ponte de identidade como SIM, defina as configurações de pontede identidade seguintes e clique em Salvar.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 61

Page 62: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Opção Descrição

Tipos de autenticação Selecione CERTIFICADO no menu suspenso.

Keytab No menu suspenso, selecione o keytab configurado para este proxy reverso.

Nome da identidade do serviço dedestino

Insira o nome principal do serviço Kerberos. Cada identidade sempre étotalmente qualificada com o nome do território. Por exemplo,myco_hostname@MYCOMPANY. Digite o nome do território em letras maiúsculas.Se não for adicionado um nome na caixa de texto, o nome principal do serviçoserá derivado do nome do host da URL de destino do proxy.

Nome de cabeçalho do usuário Para a autenticação baseada em cabeçalho, insira o nome do cabeçalho HTTPque inclui a ID do usuário derivada da declaração ou use a padrão, AccessPoint-User-ID.

Próximo passo

Quando você usa o VMware Browser para acessar o site de destino, o site de destino atua como o proxyreverso. O Unified Access Gateway valida o certificado apresentado. Se o certificado for válido, onavegador exibirá a página de interface de usuário do aplicativo de back-end.

Para mensagens de erro e informações de resolução de problemas específicas, consulte Solução deproblemas com Certificados para Kerberos.

VMware Tunnel no Unified Access GatewayA implantação do VMware Tunnel usando o appliance do Unified Access Gateway fornece um métodoseguro e eficaz para aplicativos individuais para acessar recursos corporativos. OUnified Access Gateway 3.0 é compatível com a implantação em ambientes ESXi ou Microsoft Hyper-V.

O VMware Tunnel é composto por dois componentes independentes: o Tunnel Proxy e o Per-AppTunnel. Você implanta o VMware Tunnel usando qualquer um dos dois modelos de arquitetura de rede:de uma ou várias camadas.

Os dois modelos de implantação, o Tunnel Proxy e Per-App Tunnel, podem ser usados para uma rede devárias camadas no appliance UAG. A implantação consiste em um servidor de front-end doUnified Access Gateway implantado no DMZ e em um servidor de back-end implantado na rede interna.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 62

Page 63: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

O componente do Tunnel Proxy garante o tráfego de rede entre um dispositivo de usuário final e um sitepor meio do VMware Browser ou qualquer aplicativo habilitado para SDK implantado a partir doAirWatch. O aplicativo móvel cria uma conexão HTTPS com o servidor do proxy de túnel e protege osdados confidenciais. Os dispositivos são autenticados para o Tunnel Proxy com um certificado emitidopelo SDK conforme configurado no Console de administração do AirWatch. Normalmente, essecomponente deve ser usado quando há dispositivos não gerenciados que precisam de acesso seguro arecursos internos.

Para dispositivos totalmente registrados, o componente Per-App Tunnel permite que os dispositivos seconectem a recursos internos sem precisar do SDK do AirWatch. Esse componente aproveita osrecursos nativos da VPN por aplicativo dos sistemas operacionais iOS, Android, Windows 10 e MacOS.Para obter mais informações sobre essas plataformas e recursos do componente do VMware Tunnel,consulte o Guia do VMware Tunnel em https://resources.air-watch.com/view/yr8n5s2b9d6qqbcfjbrw/en

A implantação do VMware Tunnel para o seu ambiente AirWatch envolve a configuração do hardwareinicial, a configuração das informações de nome do host e de porta do VMware Tunnel no Console deadministração do AirWatch, o download e a implantação do modelo OVF do Unified Access Gateway e aconfiguração manual do VMware Tunnel. Consulte Definir as configurações do VMware Tunnel para oAirWatch para obter mais detalhes.

Figura 4‑8. Desenvolvimento multicamadas do VMware Tunnel: Proxy e Per-App Tunnel

Recursos internos: -SharePoint-Wikis-Intranet

VMwareAirwatch

VMware TunnelServidor de back-end

VMware TunnelServidor de front-end

DMZ

RedeInterna

Dispositivos dousuário final

80,443

443

443

2010, 8443

2020, 8443

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 63

Page 64: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

O AirWatch v9.1 e posterior é compatível com o modo Cascata como o modelo de implantação de váriascamadas para o VMware Tunnel. O modo Cascata requer uma porta de entrada dedicada para cadacomponente do Tunnel, que vai da Internet ao servidor front-end do Tunnel. Os servidores front-end eback-end devem poder se comunicar com a API do AirWatch e com os servidores AWCM. O modoCascata do VMware Tunnel é compatível com a arquitetura de várias camadas do componente do Per-App Tunnel.

Para obter mais detalhes, incluindo aqueles na implantação do endpoint de relê para uso com ocomponente Proxy do túnel, consulte a documentação do VMware Tunnel em https://resources.air-watch.com/view/yr8n5s2b9d6qqbcfjbrw/en

Definir as configurações do VMware Tunnel para o AirWatchA implantação do proxy de túnel garante o tráfego de rede entre um dispositivo de usuário final e um sitepor meio do aplicativo móvel do Navegador do VMware.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Nas Configurações Gerais > Configurações do Serviço de Borda, clique em Mostrar.

3 Clique no ícone configurações do VMware Tunnel Settings.

4 Altere o NÃO para SIM para ativar o proxy de túnel.

5 Defina os seguintes recursos de configurações do serviço de borda.

Opção Descrição

URL do servidor da API Insira a URL do servidor da API do AirWatch. Por exemplo, insira comohttps://example.com:<port>.

Nome de usuário do servidor da API Insira a nome de usuário para fazer login no servidor da API.

Senha do servidor da API Insira a senha para fazer login no servidor da API.

ID do grupo de organização Insira a organização do usuário.

Nome do host do servidor do túnel Digite o nome de host externo do VMware Tunnel configurado no console doadministrador do AirWatch.

6 Para definir outras configurações avançadas, clique em Mais.

Opção Descrição

Host do proxy de saída Insira o nome do host onde o proxy de saída está instalado.

Observação Este não é o Proxy de Túnel.

Porta do proxy de saída Insira o número da porta do proxy de saída.

Nome de usuário do proxy de saída Insira a nome de usuário para fazer login no proxy de saída.

Senha do proxy de saída Insira a senha para fazer login no proxy de saída.

Autenticação NTLM Altere o NÃO para SIM para especificar que a solicitação de proxy de saída exigea autenticação NTLM.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 64

Page 65: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Opção Descrição

Utilizar para o proxy do VMware Tunnel Altere de NÃO para SIM para usar esse proxy como um proxy de saída para oVMware Tunnel. Se não estiver habilitado, o Unified Access Gateway utilizaráesse proxy para a chamada da API inicial a fim de obter a configuração doconsole de administração do AirWatch.

Entradas de host Insira uma lista separada por vírgulas das entradas de host a serem adicionadasno arquivo de /etc/hosts. Cada entrada inclui um IP, um nome de host e umpseudônimo de nome de host opcional nesta ordem, separados por um espaço.Por exemplo,10.192.168.1 example1.com, 10.192.168.2 example2.com exemplo-

pseudônimo.

Regras SNI do TLS Este campo será exibido apenas se o compartilhamento da porta 443 do TLSestiver ativado durante a implantação. Especifique o externalHostName:port queserá usado para o serviço, por exemplo, "aw.uag.myco.com:8443" paraconfigurações de túnel.

Certificados confiáveis Selecionar os arquivos de certificados confiáveis a serem adicionados aoarmazenamento de confiança.

7 Clique em Salvar.

Para obter mais informações sobre a implantação do Unified Access Gateway com o AirWatch,consulte a documentação do VMware Tunnel https://my.air-watch.com/help/9.1/en/Content/Expert_Guides/EI/AW_Tunnel/C/Tunnel_Introduction.htm.

Implantação do VMware Tunnel para o Watch usando oPowerShellÉ possível usar o PowerShell para implantar o VMware Tunnel para o AirWatch.

Para obter informações sobre a implantação do VMware Tunnel com o PowerShell, assista este vídeo:Implantação do PowerShell do VMware AirWatch Tunnel(http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell)

Sobre o compartilhamento de portas do TLSUse o recurso de redirecionamento SNI do proxy HA para facilitar o compartilhamento da porta 443 comvários componentes do Unified Access Gateway.

Unified Access Gateway executa atualmente os serviços VMware Tunnel, Gateway de Conteúdo, Blast eProxy reverso da Web em TCP. Muitos usuários preferem usar a porta 443 para todas as conexõesrecebidas em seus appliances, mas isso não funcionará, pois o tráfego TCP é roteado da porta 443 parao gerenciador do Serviço de Borda do Unified Access Gateway (porta 6443), e o VMware Tunnel e oGateway de Conteúdo são executados em portas separadas que devem ser abertas externamente.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 65

Page 66: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

O Unified Access Gateway agora utiliza o recurso de redirecionamento SNI do proxy HA para permitir ocompartilhamento da porta 443 entre os componentes. Você habilita o compartilhamento da porta do TLSdurante a implantação. Por exemplo, você pode ter uma instância autenticada do proxy reverso da Webe o Content Gateway no mesmo appliance, com tráfego para ambos os serviços recebidos no TCP 443,desde que o nome do host de entrada para o Gateway de Conteúdo corresponda ao nome do hostconfigurado nas regras SNI do TLS para ele.

Se você implantar usando o modelo OVF no vSphere Web Client, marque “Ativar o compartilhamento daporta 443 do TLS com o proxy HA” na página Propriedades. Você também pode configurar a propriedadetlsPortSharingEnabled como verdadeiro quando implantar com o Powershell.

Observação Se o compartilhamento da porta do TLS estiver ativado:

n Você não poderá modificar essa configuração na IU do administrador posteriormente.

n Você receberá uma mensagem de erro se tentar importar as configurações do UAG da IU doadministrador com um valor diferente para este campo. Nesse caso, a propriedade decompartilhamento de portas é ignorada, mas o resto das configurações do UAG são importadas comêxito.

n Você tem a opção de especificar as Regras SNI do TLS juntamente com o restante dasconfigurações do serviço de borda. Essa propriedade está disponível apenas para as configuraçõesdo VMware Tunnel e do Gateway de Conteúdo.

Gateway de Conteúdo no Unified Access GatewayO Gateway de Conteúdo (CG) é um componente da solução de gerenciamento de conteúdo da AirWatchque permite acesso ao conteúdo do repositório em dispositivos móveis no local com segurança.

Observação O acrônimo CG também é usado para se referir ao Gateway de Conteúdo.

Pré-requisitos

Você deve configurar o nó do Gateway de Conteúdo usando o console da AirWatch antes de ser possívelconfigurar o Gateway de Conteúdo no Unified Access Gateway. Depois de ter configurado o nó, anote oGUID de Configuração do Gateway de Conteúdo, que é gerado automaticamente. Consulte adocumentação da AirWatch para obter informações sobre como configurar um nó do Gateway deConteúdo.

Procedimentos

1 Navegue até Configurações gerais > Configurações do serviço de borda > Configurações dogateway de conteúdo e clique no ícone de engrenagem.

2 Selecione SIM para ativar as configurações do Gateway de Conteúdo.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 66

Page 67: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

3 Defina as configurações seguintes e clique em Salvar.

Opção Descrição

Identificador Indica que este serviço está ativado.

URL do servidor da API URL do servidor de API do AirWatch [http[s]://]hostname[:port]

A URL de destino deve conter o protocolo, o nome do host ou oendereço IP e o número da porta. Por exemplo: https://load-balancer.example.com:8443

O Unified Access Gateway obtém a configuração do Gateway deConteúdo do servidor de API.

Nome de usuário do servidor da API Nome de usuário para efetuar logon no servidor de API.

Senha do servidor da API Senha para efetuar logon no servidor de API.

Nome do host do Gateway de Conteúdo O nome do host é usado para configurar as configurações de borda.

GUID de Configuração do Gateway de Conteúdo ID da configuração do Gateway de Conteúdo do AirWatch. Este ID égerado automaticamente quando o Gateway de Conteúdo éconfigurado no Console da AirWatch. A GUID de configuração é exibidana página Gateway de Conteúdo no Console da AirWatch emConfigurações > Conteúdo > Gateway de Conteúdo.

Host do proxy de saída O host onde o proxy de saída está instalado. OUnified Access Gateway faz uma conexão ao servidor de API por meiodo proxy de saída, se configurado.

Porta do proxy de saída Porta do proxy de saída.

Nome de usuário do proxy de saída Nome de usuário para efetuar logon no proxy de saída.

Senha do proxy de saída Senha para efetuar logon no proxy de saída.

Autenticação NTLM Especifique se o proxy de saída requer autenticação NTLM.

Entradas de host Usa uma lista separada por vírgulas com as entradas de host a seremadicionadas ao arquivo /etc/hosts. Cada entrada deve ter umendereço IP, um nome de host e um pseudônimo de nome de hostopcional (nesta ordem), separados por um espaço.

Por exemplo: 10.192.168.1 example1.com, 10.192.168.2example2.com example-alias)

Regra SNI da TLS: Este campo será exibido apenas se o compartilhamento da porta 443do TLS estiver ativado durante a implantação. Especifique oexternalHostName:port que será usado para o serviço, por exemplo"cg.uag.myco.com:10443" para o Gateway de Conteúdo.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 67

Page 68: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Observação n O tráfego HTTP não é permitido para o Gateway de Conteúdo na porta 80 do

Unified Access Gateway porque a porta TCP 80 é usada pelo gerenciador de serviço de borda.

n Quando o compartilhamento de porta da TLS é usado com o Gateway de Conteúdo, a porta deescuta interna padrão do Content Gateway é a 10443.

n A regra SNI da TLS SNI deve ser <CG_hostname>:10443

n No console do AirWatch, as configurações do Gateway de Conteúdo devem ser<CG_hostname>:443. Observe que o CG_hostname é simplesmente o nome de hostexterno do appliance do Unified Access Gateway que um dispositivo usa para a conexão.

Para obter mais informações sobre o Gateway de Conteúdo, vá para a Ajuda on-line da AirWatch .

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 68

Page 69: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Configuração doUnified Access Gateway usandocertificados TLS/SSL 5Você deve configurar os Certificados TLS/SSL para os appliances do Unified Access Gateway.

Observação A configuração dos certificados TLS/SSL para o appliance do Unified Access Gatewayaplica-se somente ao Horizon, ao Horizon Air e ao Proxy Reverso da Web.

Configurando certificados TLS/SSL para appliances doUnified Access GatewayO TLS/SSL é necessário para conexões de clientes aos appliances do Unified Access Gateway.Appliances do Unified Access Gatewaye servidores intermediários voltados para o cliente que terminamconexões TLS/SSL necessitam de certificados de servidor TLS/SSL.

Certificados de servidor TLS/SSL são assinados por uma Autoridade de Certificação (CA). Uma CA éuma entidade confiável que garante a identidade do certificado e de seu criador. Quando um certificado éassinado por uma CA confiável, os usuários passam a não receber mensagens pedindo a verificação docertificado e os dispositivos cliente leves podem se conectar sem necessitar de configurações adicionais.

Um certificado de servidor TLS/SSL padrão é gerado ao implantar um appliance doUnified Access Gateway. Para ambientes de produção, a VMware recomenda a substituição docertificado padrão o mais rápido possível. O certificado padrão não é assinado por uma CA confiável.Utilize o certificado padrão somente em um ambiente que não é de produção.

Selecionando o tipo correto de certificadoVocê pode utilizar vários tipos de certificados TLS/SSL com o Unified Access Gateway. É crucialselecionar o tipo de certificado correto para a sua implementação. Tipos diferentes de certificado variamem termos de custo, dependendo do número de servidores nos quais podem ser utilizados.

Siga as recomendações de segurança da VMware utilizando nomes de domínio totalmente qualificados(FQDNs) para os certificados, independentemente do tipo selecionado. Não utilize um nome de servidorou endereço IP simples, mesmo para comunicações dentro de seu domínio interno.

Certificado de nome de servidor únicoVocê pode gerar um certificado com um nome da entidade para um servidor específico. Por exemplo:dept.exemplo.com.

VMware, Inc. 69

Page 70: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Este tipo de certificado será útil se, por exemplo, apenas um appliance doUnified Access Gatewayprecisar de um certificado.

Ao enviar uma solicitação de assinatura de certificado, forneça o nome de servidor que estará associadoao certificado. Certifique-se de que o appliance do Unified Access Gateway possa resolver o nome deservidor fornecido para que ele corresponda ao nome associado com o certificado.

Nomes Alternativos da EntidadeUm Nome Alternativo da Entidade (Subject Alternative Name, SAN) é um atributo que pode seradicionado a um certificado quando ele está sendo emitido. Você utiliza este atributo para adicionarnomes de entidade (URLs) a um certificado para que ele possa validar mais de um servidor

Por exemplo, três certificados podem ser emitidos para os appliances do Unified Access Gatewayqueestejam atrás de um balanceador de carga: ap1.exemplo.com, ap2.exemplo.com e ap3.exemplo.com.Ao adicionar um Nome alternativo da entidade que representa o nome de host do balanceador de carga,como horizon.exemplo.com neste exemplo, o certificado é válido, pois será correspondente ao nomede host especificado pelo cliente.

Ao enviar uma solicitação de assinatura de certificado para um Certificado de CA (autoridade decertificação), forneça o endereço IP virtual (VIP) do balanceador de carga da interface externa como onome em comum e o nome SAN. Certifique-se de que o appliance do Unified Access Gateway possaresolver o nome de servidor fornecido para que ele corresponda ao nome associado com o certificado.

O certificado é usado na porta 443.

Certificado CuringaUm certificado curinga é gerado para que possa ser utilizado para vários serviços. Por exemplo:*.exemplo.com.

Um curinga será útil se muitos servidores precisarem de um certificado. Se outros aplicativos noambiente além dos appliances do Unified Access Gatewayprecisarem de certificados TLS/SSL, vocêtambém poderá utilizar um certificado curinga para estes servidores. No entanto, se você utilizar umcertificado curinga que esteja compartilhado com outros serviços, a segurança doprodutoVMware Horizontambém dependerá da segurança destes outros serviços.

Observação Você pode utilizar um certificado curinga somente em um nível único de domínio. Porexemplo, um certificado curinga com o nome de entidade *.exemplo.com pode ser utilizado para osubdomínio dept.exemplo.com mas não para dept.it.exemplo.com.

Os certificados importados para o appliance do Unified Access Gatewaydevem ser confiáveis para asmáquinas clientes e também devem ser aplicáveis a todas as instâncias do Unified Access Gatewaye dequalquer balanceador de carga, utilizando curingas ou utilizando certificados de Nome Alternativo deEntidade (SAN).

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 70

Page 71: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Converter arquivos de certificado para o formato PEM de umalinhaPara utilizar a API REST do Unified Access Gatewaypara configurar definições de certificado ou parautilizar os scripts do PowerShell, você deve converter o certificado em arquivos de formato PEM para acadeia de certificados e a chave privada, e deve converter os arquivos .pem em um formato de uma linhaque inclua caracteres newline integrados.

Ao configurar o Unified Access Gateway, há três tipos possíveis de tipos de certificados que talvez sejapreciso converter.

n Você deve sempre instalar e configurar um certificado de servidor TLS/SSL para o appliance doUnified Access Gateway.

n Se planeja utilizar a autenticação com cartão inteligente, você deve instalar e configurar o certificadodo emissor de CA confiável para o certificado que será colocado no cartão inteligente.

n Se planeja utilizar a autenticação com cartão inteligente, a VMware recomenda a instalação econfiguração de um certificado raiz para o certificado de autoridade de certificação de assinatura docertificado de servidor SAML que está instalado no appliance do Unified Access Gateway.

Para todos estes tipos de certificados, realize o mesmo procedimento para converter o certificado para oarquivo de formato PEM que contém a cadeia de certificados. Para os certificados de servidor TSL/SSL ecertificados raiz, também é possível converter cada arquivo para o arquivo PEM que contém a chaveprivada. Você deve converter cada arquivo .pem para um formato de uma linha que possa ser passadoem uma cadeia de caracteres de JSON à API REST do Unified Access Gateway.

Pré-requisitos

n Verifique se possui o arquivo do certificado. O arquivo pode estar no formato PKCS#12 (.p12ou .pfx) ou no formato Java JKS ou JCEKS.

n Familiarize-se com a ferramenta de linha de comando do openssl que você usará para converter ocertificado. Consulte https://www.openssl.org/docs/apps/openssl.html.

n Se o certificado estiver no formato Java JKS ou JCEKS, familiarize-se com a ferramenta de linha decomando keytool do Java para converter o certificado primeiramente para o formato .p12 ou .pksantes de convertê-lo para arquivos .pem.

Procedimentos

1 Se seu certificado estiver no formato Java JKS ou JCEKS, utilize o keytool para converter ocertificado para o formato .p12 ou .pks.

Importante Utilize a mesma senha de origem e destino durante essa conversão.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 71

Page 72: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

2 Se seu certificado estiver no formato PKCS#12 (.p12 ou .pfx) ou após o certificado ser convertidopara o formato PKCS#12, utilize o openssl para converter o certificado para arquivos .pem.

Por exemplo, se o nome do certificado é mycaservercert.pfx, utilize os seguintes comandos paraconverter o certificado:

openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem

openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem

openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem

3 Edite mycaservercert.pem e remova quaisquer entradas de certificado desnecessárias. Ele deveconter o certificado de servidor SSL seguido por quaisquer certificados de autoridade de certificaçãointermediários necessários e o certificado de autoridade de certificação raiz.

4 Utilize o seguinte comando UNIX para converter cada arquivo .pem para um valor que possa serpassado em uma cadeia de caracteres de JSON à API REST do Unified Access Gateway:

awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' cert-name.pem

Neste exemplo, cert-name.pem é o nome do arquivo do certificado. O certificado parecesemelhante a este exemplo.

Figura 5‑1. Arquivo do certificado em uma única linha

O novo formato coloca todas as informações do certificado em uma única linha com caracteresintegrados de nova linha. Se você possui um certificado intermediário, esse certificado deve tambémestar no formato de uma linha e adicionar-se ao primeiro certificado para que ambos os certificadosestejam na mesma linha.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 72

Page 73: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Você pode agora configurar certificados para o Unified Access Gatewayutilizando estes arquivos .pemcom os scripts do PowerShell anexados à publicação do blog "Utilizando o PowerShell para Implementaro VMware Unified Access Gateway", disponível em https://communities.vmware.com/docs/DOC-30835.De forma alternativa, você pode criar e utilizar uma solicitação JSON para configurar o certificado.

Próximo passo

Se você converteu um certificado de servidor TLS/SSL, consulte Substituir o certificado padrão doservidor TLS/SSL pelo Unified Access Gateway. Para certificados de cartão inteligente, consulte Configurando a autenticação de certificado ou de cartão inteligente no appliance do Unified AccessGateway.

Substituir o certificado padrão do servidor TLS/SSL peloUnified Access GatewayPara armazenar um certificado de servidor TLS/SSL assinado pela CA confiável no appliance doUnified Access Gateway você deve converter o certificado para o formato correto e utilizar a IU doadministrador ou os scripts do PowerShell para configurar o certificado.

Para ambientes de produção, a VMware recomenda enfaticamente a substituição do certificado padrão omais rápido possível. O certificado padrão do servidor TLS/SSL que é gerado ao implementar umappliance do Unified Access Gatewaynão é assinado por uma Autoridade de Certificação Confiável.

Importante Utilize também este procedimento para a substituição periódica de um certificado que foiassinado por uma CA confiável antes da expiração do certificado, o que pode acontecer a cada doisanos.

Esse procedimento descreve como utilizar a API REST para substituir o certificado.

Pré-requisitos

n A menos que já possua um certificado de servidor TLS/SSL válido e sua chave privada, obtenha umnovo certificado assinado de uma Autoridade de Certificação. Ao gerar uma solicitação de assinaturade certificado (certificate signing request, CSR) para obter um certificado, certifique-se de quetambém seja gerada uma chave privada. Não gere certificados para servidores utilizando um valorKeyLength inferior a 1024.

Para gerar o CSR, é preciso conhecer o nome de domínio totalmente qualificado (FQDN) que osdispositivos cliente utilizam para se conectar ao appliance do Unified Access Gatewaye a unidadeorganizacional, organização, cidade, estado e país para preencher o nome da Entidade.

n Converta o certificado para arquivos de formato PEM-e converta os arquivos .pem para o formato deuma linha. Consulte Converter arquivos de certificado para o formato PEM de uma linha.

Procedimentos

1 Na seção Configurar manualmente a IU do administrador, clique em Selecionar.

2 Em Configurações avançadas > Configurações do certificado de servidor TLS, clique no ícone deengrenagem.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 73

Page 74: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

3 Clicar em Selecionar para a Chave privada e navegue até o arquivo da chave privada. Clique emAbrir para carregar o arquivo.

4 Clique em Selecionar para a Cadeia de certificados e navegue até o arquivo do certificado. Cliqueem Abrir para carregar o arquivo.

5 Clique em Salvar.

Se o certificado for aceito, será exibida uma mensagem de sucesso.

Próximo passo

Se a CA que assinou o certificado não tiver reputação renomada, configure clientes para confiar noscertificados raiz e intermediário.

Alterar os protocolos de segurança e os conjuntos de codificaçãoutilizados para a comunicação TLS ou SSLEmbora na maioria dos casos, as configurações padrão não precisem ser alteradas, você podeconfigurar protocolos de segurança e algoritmos de criptografia que são utilizados para codificar ascomunicações entre clientes e o appliance doUnified Access Gateway.

A configuração padrão inclui conjuntos de criptografia que utilizam a Criptografia AES de 128 ou 256 bits,exceto para algoritmos DH anônimos e os classifica por força. Por padrão, o TLS v.1.1 e o TLS v1.2estão ativados. O TLS v1.0 e o SSL v3.0 estão desabilitados.

Pré-requisitos

n Familiarize-se com a API REST doUnified Access Gateway. A especificação para esta API estádisponível na seguinte URL na máquina virtual onde o Unified Access Gateway está instalado:https://access-point-appliance.exemplo.com:9443/rest/swagger.yaml.

n Familiarize-se com as propriedades específicas para configurar os protocolos e conjuntos decriptografia: cipherSuites, ssl30Enabled, tls10Enabled, tls11Enabled e tls12Enabled.

Procedimentos

1 Crie uma solicitação JSON para especificar os protocolos e conjuntos de criptografia a seremutilizados.

O exemplo a seguir possui as configurações padrão.

{

"cipherSuites":

"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA",

"ssl30Enabled": "false",

"tls10Enabled": "false",

"tls11Enabled": "true",

"tls12Enabled": "true"

}

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 74

Page 75: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

2 Utilize um cliente REST, como o curl ou o postman, para utilizar a solicitação JSON invocar a APIREST do Unified Access Gateway e configurar os protocolos e conjuntos de criptografia.

No exemplo, access-point-appliance.exemplo.com é o nome de domínio totalmente qualificado doappliance do Unified Access Gateway .

curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-

appliance.exemplo.com:9443/rest/v1/config/system < ~/ciphers.json

ciphers.json é a solicitação JSON criada nada etapa anterior.

São utilizados os conjuntos e protocolos de criptografia que você especificou.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 75

Page 76: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Configuração da autenticaçãoem DMZ 6Ao implantar o Unified Access Gateway inicialmente, a autenticação da senha do Active Directory estádefinida como o padrão. Os usuários inserem o nome de usuário e a senha do Active Directory e essascredenciais são enviadas por um sistema de back-end para autenticação.

É possível configurar o serviço do Unified Access Gateway para realizar a autenticação deCertificado/Cartão Inteligente, autenticação do RSA SecurID, autenticação RADIUS e RSA AdaptiveAuthentication.

Observação A autenticação da senha com o Active Directory é o único método de autenticação quepode ser usado com uma implementação do AirWatch.

Este capítulo inclui os seguintes tópicos:

n Configurando a autenticação de certificado ou de cartão inteligente no appliance do Unified AccessGateway

n Configurar a autenticação do RSA SecurID no Unified Access Gateway

n Configuração do RADIUS para o Unified Access Gateway

n Configurar o RSA Adaptive Authentication no Unified Access Gateway

n Gerar metadados SAML do Unified Access Gateway

Configurando a autenticação de certificado ou de cartãointeligente no appliance do Unified Access GatewayÉ possível configurar a autenticação de certificado x509 no Unified Access Gateway para permitir que osclientes façam a autenticação com certificados em sua área de trabalho ou dispositivos móveis ou usemum adaptador de cartão inteligente para autenticação.

A autenticação com base no certificado é baseada no que o usuário tem (a chave privada ou o cartãointeligente) e no que a pessoa sabe (a senha para a chave privada ou o PIN do cartão inteligente). Aautenticação de cartão inteligente fornece a autenticação de dois fatores verificando o que a pessoapossui (o cartão inteligente) e o que a pessoa sabe (o PIN). Os usuários finais podem utilizar os cartõesinteligentes para efetuar logon em um sistema operacional de área de trabalho remota do View e paraacessar aplicativos ativados por cartão inteligente, como um aplicativo de e-mail que utiliza o certificadopara assinar e-mails e provar a identidade do remetente.

VMware, Inc. 76

Page 77: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Com este recurso, a autenticação de certificado de cartão inteligente é realizada em oposição ao serviçodo Unified Access Gateway. O Unified Access Gateway usa a asserção SAML para comunicarinformações sobre o certificado X.509 de usuário final e o PIN do cartão inteligente ao servidor Horizon.

É possível configurar a verificação de revogação de certificado para evitar que os usuários comcertificados de usuário revogados façam a autenticação. Os certificados são frequentemente revogadosquando um usuário deixa uma organização, perde um cartão inteligente ou muda de um departamentopara outro. Há suporte para a verificação de revogação de certificado com o Protocolo de Status deCertificado Online (OCSP). O OCSP é um protocolo de validação de certificado utilizado para obter ostatus de revogação de um certificado.

Você pode definir o OCSP na configuração de adaptador de autenticação de certificado.

Você também pode configurar a autenticação, de modo que o Unified Access Gateway exija aautenticação do cartão inteligente, mas, então, a autenticação também passará pelo servidor, exigindo aautenticação do Active Directory.

Observação Para o VMware Identity Manager, a autenticação é sempre passada através doUnified Access Gateway ao serviço do VMware Identity Manager. Será possível configurar aautenticação do cartão inteligente para que seja realizada no appliance do Unified Access Gatewaysomente se o Unified Access Gateway estiver sendo utilizado com o Horizon 7.

Configurar a autenticação de certificado noUnified Access GatewayVocê habilita e configura a autenticação de certificado a partir do console de administração doUnified Access Gateway.

Pré-requisitos

n Obtenha o certificado raiz e os certificados intermediários da Autoridade de Certificação (CertificateAuthority, CA) que assinou os certificados apresentados por seus usuários. Consulte ObterCertificados de Autoridade de Certificação

n Verifique se os metadados SAML do Unified Access Gateway estão adicionados no provedor deserviços e se os metadados SAML do provedor de serviço são copiados para o appliance doUnified Access Gateway.

n (Opcional) Lista de Identificadores de Objeto (Object Identifier, OID) das políticas de certificadoválidas para a autenticação de certificado.

n Para a verificação de revogação, a URL do servidor OCSP.

n (Opcional) Localização do arquivo de certificado de assinatura de resposta OCSP.

n Conteúdo do formulário de consentimento se aparecer um formulário de consentimento antes daautenticação.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 77

Page 78: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

2 Na seção Configurações Gerais > Configurações de Autenticação, clique em Mostrar.

3 Clique na engrenagem na linha do Certificado X.509.

4 Configure o formulário do Certificado X.509.

Um asterisco indica uma caixa de texto obrigatória. Todas as outras caixas de texto são opcionais.

Opção Descrição

Ativar Certificado X.509 Altere o NÃO para SIM para ativar a autenticação do certificado.

*Certificados de CA raiz e intermediária Clique em Selecionar para selecionar os arquivos de certificado a seremcarregados. É possível selecionar vários certificados de CA intermediária e deCA raiz codificados como DER ou PEM.

Ativar revogação de certificado Altere o NÃO para SIM para ativar a verificação de revogação de certificado. Averificação de revogação impede a autenticação dos usuários que têmcertificados de usuário revogados.

Ativar a revogação do OCSP Marque a caixa de seleção para usar o protocolo de validação de certificado doProtocolo de status de certificado on-line (Online Certificate Status Protocol,OCSP) a fim de obter o status de revogação de um certificado.

Enviar nonce do OCSP Marque esta caixa de seleção se deseja que o identificador único da solicitaçãodo OCSP seja enviado na resposta.

URL do OCSP Se você ativou a revogação do OCSP, digite o endereço do servidor do OCSPpara a verificação de revogação.

Use URL de OCSP do certificado Marque essa caixa para usar a URL do OCSP.

Ativar formulário de consentimentoantes da autenticação

Marque esta caixa de seleção para incluir uma página do formulário deconsentimento que aparecerá antes de os usuários fazerem login no WorkspacePortal ONE usando a autenticação de certificado.

5 Clique em Salvar.

Próximo passo

Quando a autenticação do Certificado X.509 é definida e o appliance do Unified Access Gateway éconfigurado atrás de um balanceador de carga, certifique-se de que o Unified Access Gateway estejaconfigurado com uma passagem do SSL no balanceador de carga e não esteja configurado paraencerrar o SSL no balanceador de carga. Essa configuração assegura que o handshake do SSL estejaentre o Unified Access Gateway e o cliente para passar o certificado ao Unified Access Gateway.

Obter Certificados de Autoridade de CertificaçãoVocê deve obter todos os certificados de CA (autoridade de certificação) para todos os certificados deusuários confiáveis nos cartões inteligentes apresentados por seus usuários e administradores. Essescertificados incluem certificados raiz e podem incluir certificados intermediários, se o certificado de cartãointeligente do usuário foi emitido por uma autoridade de certificado intermediária.

Se você não possui o certificado raiz ou intermediário da CA que assinou os certificados nos cartõesinteligente apresentados por seus usuários e administradores, é possível exportar os certificados de umcertificado de usuário assinado pela CA ou de um cartão inteligente que contenha um certificadoassinado pela CA. Consulte Obter o certificado de CA do Windows.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 78

Page 79: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Procedimentos

u Obtenha os certificados CA de uma das seguintes origens.

n Um servidor Microsoft IIS que esteja executando Serviços de Certificado da Microsoft. Consulte osite da Microsoft TechNet para obter informações sobre como instalar o Microsoft IIS, emitircertificados e distribuí-los em sua organização.

n O certificado raiz público de uma CA confiável. Esta é a origem mais comum de um certificadoraiz em ambientes que já possuem uma infraestrutura de cartão inteligente e uma abordagempadronizada para a distribuição e autenticação de cartões inteligentes.

Próximo passo

Adicione o certificado raiz, certificado intermediário ou ambos a um arquivo confiável do servidor.

Obter o certificado de CA do WindowsSe você possui um certificado de usuário assinado por uma autoridade de certificação ou um cartãointeligente que contém um certificado assinado por uma autoridade de certificação e o Windows confiano certificado raiz, é possível exportar o certificado raiz do Windows. Se o emissor do certificado deusuário é uma autoridade de certificação intermediária, é possível exportar este certificado.

Procedimentos

1 Se um certificado de usuário está em um cartão inteligente, insira o cartão inteligente em um leitorpara adicionar o certificado de usuário ao seu armazenamento pessoal.

Se o certificado de usuário não aparecer em seu armazenamento pessoal, utilize o software deleitura para exportá-lo para um arquivo. Este arquivo é usado na Etapa 4 deste procedimento.

2 No Internet Explorer, selecione Ferramentas > Opções de Internet.

3 Na guia Conteúdo, clique em Certificados.

4 Na guia Pessoal, selecione o certificado que deseja utilizar e clique em Visualizar.

Se o certificado de usuário não aparecer na lista, clique em Importar para importá-lo manualmentede um arquivo. Após o certificado ser importado, você pode selecioná-lo na lista.

5 Na guia Caminho de Certificação, selecione o certificado no topo da árvore e clique em VisualizarCertificado.

Se o certificado de usuário estiver assinado como parte de uma hierarquia de confiança, o certificadoassinado poderá ser assinado por outro certificado de nível superior. Selecione o certificado deparente (aquele que assinou o certificado de usuário) como seu certificado raiz. Em alguns casos, oemissor pode ser uma autoridade de certificação intermediária.

6 Na guia Detalhes, clique em Copiar para Arquivo.

O Assistente de Exportação de Certificado aparece.

7 Clique em Avançar > Avançar e digite um nome e localização para o arquivo que deseja exportar.

8 Clique em Avançar para salvar o arquivo como um certificado raiz em um local especificado.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 79

Page 80: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Próximo passo

Adicione o certificado CA a um arquivo confiável do servidor.

Configurar a autenticação do RSA SecurID noUnified Access GatewayApós a configuração do appliance do Unified Access Gateway como o agente de autenticação noservidor RSA SecurID, é necessário adicionar as informações de configuração do RSA SecurID noappliance do Unified Access Gateway.

Pré-requisitos

n Verifique se o Gerenciador da Autenticação RSA (o servidor RSA SecurID) está instalado eadequadamente configurado.

n Faça o download do arquivo compactado sdconf.rec a partir do servidor RSA SecurID e extraia oarquivo de configuração do servidor.

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Na seção Configurações Gerais > Configurações de Autenticação, clique em Mostrar.

3 Clique na engrenagem na linha do RSA SecurID.

4 Configure a página do RSA SecurID.

As informações usadas e os arquivos gerados no servidor do RSA SecurID são necessários aoconfigurar a página do SecurID.

Opção Ação

Ativar RSASecurID

Altere o NÃO para SIM para ativar a autenticação do SecurID.

*Nome O nome é securid-auth.

*Número deiterações

Insira o número de tentativas de autenticação permitidas. Este é o número máximo de tentativas de logincom falha ao usar o token do RSA SecurID. O padrão é de 5 tentativas.

Observação Quando mais de um diretório é configurado e você implementa a autenticação do RSASecurID com diretórios adicionais, configure o Número de tentativas de autenticação permitidas com omesmo valor para cada configuração do RSA SecurID. Se o valor não for o mesmo, haverá falha naautenticação do SecurID.

*Nome doHOST externo

Digite o endereço IP da instância do Unified Access Gateway. O valor inserido deve corresponder ao valorusado quando você adicionou o appliance do Unified Access Gateway como um agente de autenticação aoservidor do RSA SecurID.

*Nome doHOST interno

Digite o valor atribuído ao prompt do Endereço IP no servidor do RSA SecurID.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 80

Page 81: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Opção Ação

*Configuraçãodo servidor

Clique em Alterar para carregar o arquivo de configuração do servidor do RSA SecurID. Primeiro, vocêdeve baixar o arquivo compactado do servidor do RSA SecurID e extrair o arquivo de configuração doservidor, que, por padrão, é denominado sdconf.rec.

*Sufixo da IDdo nome

Insira o nameId como @somedomain.com. É usado para enviar conteúdo adicional, como o nome dedomínio para o servidor RADIUS ou o servidor do RSA SecurID. Por exemplo, se um usuário fizer logincomo user1, [email protected] será enviado ao servidor.

Configuração do RADIUS para o Unified Access GatewayÉ possível configurar o Unified Access Gateway para que os usuários sejam obrigados a usar aautenticação RADIUS. Você configura as informações do servidor RADIUS no appliance doUnified Access Gateway.

O suporte do RADIUS oferece uma ampla gama de opções de autenticação alternativa de dois fatoresbaseada em token. Como soluções de autenticação de dois fatores, como o RADIUS, trabalham comgerenciadores de autenticação instalados em servidores separados, é necessário ter o servidor RADIUSconfigurado e acessível ao serviço do gerenciador de identidade

Quando os usuários fazem o login e a autenticação RADIUS é habilitada, uma caixa de diálogo de loginespecial aparece no navegador. Os usuários inserem seu nome de usuário e senha da autenticaçãoRADIUS na caixa de diálogo de login. Se o servidor RADIUS emitir um desafio de acesso, oUnified Access Gateway exibirá uma caixa de diálogo solicitando uma segunda senha. Atualmente, osuporte para desafios do RADIUS é limitado à solicitação para inserção de texto.

Após os usuários inserirem as credenciais na caixa de diálogo, o servidor RADIUS pode enviar umamensagem de texto SMS ou e-mail ou texto utilizando algum outro mecanismo de banda externa aotelefone celular do usuário com um código. O usuário pode inserir este texto e código na caixa de diálogode login para concluir a autenticação.

Se o servidor RADIUS fornecer a habilidade de importar usuários do Active Directory, os usuários finaispoderão primeiramente ser solicitados a fornecer as credenciais do Active Directory antes da solicitaçãodo nome de usuário e senha de autenticação RADIUS.

Configurar a autenticação RADIUSNo appliance do Unified Access Gateway, deve-se ativar a autenticação RADIUS, inserir as definiçõesde configuração do servidor RADIUS e alterar o tipo de autenticação para a autenticação RADIUS.

Pré-requisitos

n Verifique se o servidor a ser utilizado como o servidor do gerenciador da autenticação possui osoftware RADIUS instalado e configurado. Defina o servidor RADIUS e, em seguida, configure assolicitações do RADIUS a partir do Unified Access Gateway. Consulte as guias de configuração dofornecedor do RADIUS para obter mais informações sobre como configurar o servidor RADIUS.

São necessárias as seguintes informações do servidor RADIUS.

n Endereço IP ou nome DNS do servidor RADIUS.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 81

Page 82: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

n Números das portas de autenticação. A porta de autenticação é normalmente 1812.

n Tipo de autenticação. Os tipos de autenticação incluem PAP, Password Authentication Protocol(Protocolo de autenticação de senha), CHAP, Challenge Handshake Authentication Protocol(Protocolo de autenticação por desafios de identidade), MSCHAP1, MSCHAP2, Microsoft ChallengeHandshake Authentication Protocol versões 1 e 2 (Protocolo de autenticação por desafios deidentidade).

n Segredo compartilhado do RADIUS utilizado para criptografia e descriptografia nas mensagens doprotocolo do RADIUS.

n Tempo limite específico e valores de novas tentativas necessários para a autenticação RADIUS

Procedimentos

1 Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.

2 Nas Configurações Gerais > Configurações de Autenticação, clique em Mostrar.

3 Clique na engrenagem na linha do RADIUS.

Opção Ação

Ativar RADIUS Altere o NÃO para SIM para ativar a autenticação RADIUS.

Nome* O nome é radius-auth

Tipo deautenticação*

Insira o protocolo de autenticação suportado pelo servidor RADIUS. PAP, CHAP, MSCHAP1 OU MSCHAP2.

Segredocompartilhado*

Insira o segredo compartilhado do RADIUS.

Número detentativas deAutenticaçãopermitidas *

Digite o número máximo de tentativas de login falhas ao usar o RADIUS para fazer o login. O padrão é detrês tentativas.

Número detentativas parao servidorRADIUS*

Insira o número total de novas tentativas. Se o servidor primário não responder, o serviço aguardará otempo configurado antes de tentar novamente.

Tempo limite doservidor emsegundos*

Insira o tempo limite do servidor RADIUS em segundos. Depois disso, uma nova tentativa será enviada se oservidor RADIUS não responder.

Nome do hostdo servidorRadius *

Insira o nome do host ou o endereço IP do servidor RADIUS.

Porta deautenticação*

Insira o número da porta de autenticação do Radius. A porta é normalmente 1812.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 82

Page 83: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Opção Ação

Prefixo deterritório

(Opcional) A localização da conta do usuário é chamada território.

Se você especificar uma cadeia de prefixo de território, a cadeia de caracteres será colocada no começo donome de usuário quando o nome for enviado ao servidor RADIUS. Por exemplo, se o nome de usuário forinserido como jdoe e o prefixo de território DOMAIN-A\ for especificado, o nome de usuário DOMAIN-A\jdoeserá enviado ao servidor RADIUS. Se você não configurar esses campos, somente o nome de usuárioinserido será enviado.

Sufixo deterritório

(Opcional) Se você configurar um sufixo de território, a cadeia de caracteres será colocada no final do nomede usuário. Por exemplo, se o sufixo for @myco.com, o nome de usuário [email protected] será enviado aoservidor RADIUS.

Sufixo da ID donome

Insira o NameId como @somedomain.com. É usado para enviar conteúdo adicional, como o nome dedomínio para o servidor RADIUS ou o servidor do RSA SecurID. Por exemplo, se um usuário fizer logincomo user1, [email protected] será enviado ao servidor.

Dica de senhada página delogon

Insira a cadeia de caracteres de texto a ser exibida na mensagem na página de logon do usuário paradirecioná-los a inserir a senha Radius correta. Por exemplo, se este campo estivesse configurado com asenha AD primeiro e, em seguida, a senha SMS, a mensagem da página de logon seria Insira suasenha AD primeiro e, em seguida, a senha SMS. A cadeia de caracteres de texto padrão é SenhaRADIUS.

Ativar servidorsecundário

Altere o NÃO para SIM para configurar um servidor RADIUS secundário para alta disponibilidade. Configureas informações de servidor secundário conforme descrito na etapa 3.

4 Clique em Salvar.

Configurar o RSA Adaptive Authentication noUnified Access GatewayO RSA Adaptive Authentication pode ser implementado para fornecer uma autenticação multifator maisforte do que apenas a autenticação de nome de usuário e senha em relação ao Active Directory. OAdaptive Authentication monitora e autentica as tentativas de login do usuário com base em níveis epolíticas de risco.

Quando a Adaptive Authentication está habilitada, os indicadores de risco especificados nas políticas derisco estabelecidas no aplicativo de Gerenciamento da Política da RSA e na configuração doUnified Access Gateway da autenticação adaptativa são usados para determinar se um usuário éautenticado com o nome de usuário e a senha ou se são necessárias informações adicionais paraautenticar o usuário.

Métodos de autenticação do RSA Adaptive AuthenticationsuportadosOs métodos de autenticação forte do RSA Adaptive Authentication suportados noUnified Access Gateway são a autenticação de banda externa via telefone, e-mail ou mensagem de textoSMS e perguntas de desafio. Você habilita no serviço os métodos do RSA Adaptive Authentication quepodem ser fornecidos. As políticas do RSA Adaptive Authentication determinam o método deautenticação secundário a ser usado.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 83

Page 84: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

A autenticação de banda externa é um processo que exige o envio de verificação adicional em conjuntocom o nome de usuário e senha. Quando os usuários se inscrevem no servidor do RSA AdaptiveAuthentication, fornecem um endereço de e-mail, um número de telefone ou ambos, dependendo daconfiguração do servidor. Se for necessária alguma verificação adicional, o servidor de autenticaçãoadaptativa da RSA enviará um código de acesso de uso único por meio do canal fornecido. Os usuáriosdigitam esse código de acesso junto com o nome de usuário e a senha.

As perguntas de desafio exigem que o usuário responda a uma série de perguntas quando se inscreveno servidor do RSA Adaptive Authentication. É possível configurar quantas perguntas de inscrição serãofeitas e quantas perguntas de desafio serão apresentadas na página de login.

Inscrevendo usuários no servidor do RSA Adaptive AuthenticationOs usuários devem ser provisionados no banco de dados do RSA Adaptive Authentication para utilizar aautenticação adaptativa para autenticação. Os usuários serão adicionados ao banco de dados do RSAAdaptive Authentication quando fizerem o login pela primeira vez com seu nome de usuário e senha.Dependendo de como você configurou o RSA Adaptive Authentication no serviço, quando os usuáriosfazem o login, podem ser solicitados a fornecer o endereço de e-mail, o número de telefone e o númerodo serviço de envio de mensagens (SMS) deles ou podem ser solicitados a configurar respostas para asperguntas de desafio.

Observação O RSA Adaptive Authentication não permite caracteres internacionais nos nomes deusuário. Se você pretende permitir caracteres de vários bytes nos nomes de usuário, entre em contatocom o suporte da RSA para configurar o RSA Adaptive Authentication e o RSA Authentication Manager.

Configurar o RSA Adaptive Authentication noUnified Access GatewayPara configurar o RSA Adaptive Authentication no serviço, habilite o RSA Adaptive Authentication,selecione os métodos de autenticação adaptativa a serem aplicados e adicione as informações deconexão do Active Directory e o certificado.

Pré-requisitos

n RSA Adaptive Authentication configurado corretamente com os métodos de autenticação a seremusados para autenticação secundária.

n Detalhes sobre o endereço de endpoint do SOAP e o nome de usuário do SOAP.

n Informações de configuração do Active Directory e certificado SSL disponível do Active Directory.

Procedimentos

1 Na seção Configurar Manualmente a IU do administrador, clique em Selecionar.

2 Na seção Configurações Gerais > Configurações de Autenticação, clique em Mostrar.

3 Clique na engrenagem na linha do RSA Adaptive Authentication.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 84

Page 85: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

4 Selecione as configurações apropriadas para o seu ambiente.

Observação Um asterisco indica um campo obrigatório. Os outros campos são opcionais.

Opção Descrição

Habilitar o RSA AA Adapter Altere o NÃO para SIM para ativar o RSA Adaptive Authentication.

Nome* O nome é rsaaa-auth.

Endpoint do SOAP* Insira o endereço do endpoint do SOAP para integração entre o adaptador doRSA Adaptive Authentication e o serviço.

Nome do usuário do SOAP* Insira o nome de usuário e a senha utilizados para assinar mensagens do SOAP.

Senha do SOAP* Insira a senha da SOAP API do RSA Adaptive Authentication.

Domínio RSA Insira o endereço de domínio do servidor Adaptive Authentication.

Habilitar e-mail para OOB Selecione SIM para habilitar a autenticação de banda externa que envia umasenha única ao usuário final por uma mensagem de e-mail.

Habilitar SMS para OOB Selecione SIM para habilitar a autenticação de banda externa que envia umasenha única ao usuário final por uma mensagem de texto SMS.

Ativar o SecurID Selecione SIM para ativar o SecurID. Os usuários são solicitados a inserir seutoken e senha RSA.

Habilitar pergunta secreta Selecione SIM se você estiver usando as perguntas de inscrição e de desafiopara autenticação.

Número de perguntas de inscrição* Insira o número de perguntas que o usuário precisará configurar ao se inscreverno servidor Authentication Adapter.

Número de perguntas de desafio* Insira o número de perguntas de desafio que os usuários devem respondercorretamente ao fazer login.

Número de tentativas de autenticaçãopermitidas*

Insira o número de vezes para exibir as perguntas de desafio a um usuário quetenta fazer login antes que a autenticação falhe.

Tipo de diretório* O único diretório suportado é o Active Directory.

Usar SSL Selecione SIM se utilizar o SSL para sua conexão de diretório. Você adiciona ocertificado SSL do Active Directory no campo Certificado de Diretório.

Host do servidor* Insira o nome do host do Active Directory.

Porta do servidor Insira o número da porta do Active Directory.

Usar localização do serviço DNS Marque SIM se a localização do serviço DNS for usada para conexão dediretório.

DN Base Insira o DN do qual se deseja iniciar as pesquisas de conta. Por exemplo,OU=myUnit,DC=myCorp,DC=com.

Vincular DN* Insira a conta que pode procurar usuários. Por exemplo,CN=binduser,OU=myUnit,DC=myCorp,DC=com

Senha de associação Insira a senha para a conta de DN de associação.

Atributo de pesquisa Insira o atributo de conta que contém o nome de usuário.

Certificado do diretório Para estabelecer conexões SSL seguras, adicione o certificado do servidor dediretório à caixa de texto. No caso de vários servidores, adicione o certificado raizda autoridade de certificação.

Usar STARTTLS Altere o NÃO para SIM para usar STARTTLS.

5 Clique em Salvar.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 85

Page 86: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Gerar metadados SAML do Unified Access GatewayVocê deve gerar os metadados SAML no appliance do Unified Access Gateway e trocar metadados como servidor para estabelecer a confiança mútua necessária para a autenticação de cartão inteligente.

A Security Assertion Markup Language (SAML) é um padrão baseado em XML que é utilizado paradescrever e trocar informações de autenticação e autorização entre domínios de segurança diferentes.SAML passa informações sobre usuários entre fornecedores de identidade e fornecedores de serviço emdocumento chamados de asserções SAML. Neste cenário, o Unified Access Gateway é o fornecedor deidentidade e o servidor no provedor de serviços.

Pré-requisitos

n Configure o relógio (UTC) no appliance doUnified Access Gatewaypara que ele esteja com a horacorreta. Por exemplo, abra uma janela de console na máquina virtual do Unified Access Gateway eutilize os botões de seta para selecionar o fuso horário correto. Verifique também se o horário dohost ESXi está sincronizado com um servidor NTP. Verifique se as VMware Tools, executadas namáquina virtual do appliance, sincronizam o horário na máquina virtual com o horário no host ESXi.

Importante Se o relógio do appliance do Unified Access Gateway não corresponder ao relógio dohost do servidor, a autenticação de cartão inteligente poderá não funcionar.

n Obtenha um certificado de autenticação SAML que possa utilizar para assinar os metadados doUnified Access Gateway.

Observação A VMware recomenda a criação e utilização de um certificado de autenticação SAMLespecífico quando há mais de um appliance doUnified Access Gatewayem sua configuração. Nestecaso, todos os appliances devem estar configurados com o mesmo certificado de autenticação paraque o servidor possa aceitar as asserções de qualquer um dos appliances doUnified Access Gateway. Com um certificado de autenticação SAML específico, os metadados SAMLde todos os appliances são os mesmos.

n Se você ainda não o fez, converta o certificado de autenticação SAML para arquivos de formato PEMe converta os arquivos .pem para o formato de uma linha. Consulte Converter arquivos de certificadopara o formato PEM de uma linha.

Procedimentos

1 Na seção Configurar Manualmente a IU do administrador, clique em Selecionar.

2 Na seção Configurações Avançadas, clique no ícone de engrenagem Configurações do Provedorde Identidade SAML.

3 Selecione a caixa de seleção Fornecer Certificado.

4 Para adicionar um arquivo de Chave privada, clique em Selecionar e navegue até o arquivo dachave privada para o certificado.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 86

Page 87: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

5 Para adicionar o arquivo de Cadeia de certificados, clique em Selecionar e navegue até o arquivo dacadeia de certificados.

6 Clique em Salvar.

7 Na caixa de texto Nome do Host, insira o nome do host e faça o download das configurações doprovedor de identidade.

Criando um autenticador SAML utilizado por outros provedoresde serviçoApós gerar os metadados SAML no appliance do Unified Access Gateway, você pode copiar estes dadospara o provedor de serviços de back-end. Copiar estes dados no provedor de serviços é parte doprocesso de criação de um autenticador SAML para que o Unified Access Gatewaypossa ser utilizadocomo um fornecedor de identidade.

Para um servidor Horizon Air, consulte a documentação do produto para obter instruções específicas.

Copiar metadados SAML do provedor de serviços para oUnified Access GatewayApós criar e ativar o autenticador SAML para que o Unified Access Gatewaypossa ser utilizado como umfornecedor de identidade, você pode gerar metadados SAML nesse sistema de back-end e utilizar osmetadados para criar um provedor de serviços no appliance do Unified Access Gateway. Esta troca dedados estabelece confiança entre o fornecedor de identidade (Unified Access Gateway) e o provedor deserviços de back-end, como o Servidor de Conexão do View.

Pré-requisitos

Verifique se você criou um autenticador SAML para o Unified Access Gateway no servidor do provedorde serviços de back-end.

Procedimentos

1 Recupere os metadados SAML do provedor de serviços, que estão geralmente na forma de umarquivo XML.

Para obter instruções, consulte a documentação para o provedor de serviços.

Provedores de serviços diferentes têm procedimentos diferentes. Por exemplo, você deve abrir umnavegador e digitar uma URL, como: https://connection-server.example.com/SAML/metadata/sp.xml

Você pode então utilizar um comando Salvar como para salvar a página da Web em um arquivoXML. O conteúdo deste arquivo começa com o seguinte texto:

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ...

2 Na seção Configurar Manualmente a IU do administrador do Unified Access Gateway, clique emSelecionar.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 87

Page 88: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

3 Na seção Configurações Avançadas, clique no ícone de engrenagem Configurações do Provedordo Servidor SAML.

4 Na caixa de texto Nome do Provedor de Serviços, insira o nome do provedor de serviços.

5 Na caixa de texto XML de Metadados, cole o arquivo de metadados criado na etapa 1.

6 Clique em Salvar.

O Unified Access Gatewaye o provedor de serviços podem agora trocar informações de autenticação eautorização.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 88

Page 89: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Implantação da resolução deproblemas doUnified Access Gateway 7Você pode usar vários procedimentos para diagnosticar e corrigir problemas encontrados durante aimplantação do Unified Access Gateway em seu ambiente.

Você pode usar os procedimentos de resolução de problemas para investigar as causas de taisproblemas e tentar corrigi-los sozinho, ou você pode obter assistência do Suporte Técnico da VMware.

Este capítulo inclui os seguintes tópicos:

n Monitoramento da integridade dos serviços implantados

n Resolução de erros de implementação

n Solução de problemas com Certificados para Kerberos

n Solução de problemas de conformidade do endpoint

n Resolução de problemas da validação do certificado na IU do administrador

n Resolução de problemas do login raiz

n Coletando logs do appliance do Unified Access Gateway

n Exportar configurações do Unified Access Gateway

Monitoramento da integridade dos serviços implantadosÉ possível observar rapidamente que os serviços implantados estão configurados e operando comsucesso a partir da IU do administrador para as configurações de borda.

Figura 7‑1. Verificação de integridade

É exibido um círculo antes do serviço. O código de cores é o seguinte:

n Um círculo em branco significa que a definição não está configurada.

VMware, Inc. 89

Page 90: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

n Um círculo vermelho significa que o serviço está inoperante.

n Um círculo âmbar significa que o serviço funciona parcialmente.

n Um círculo verde significa que o serviço funciona sem nenhum problema.

Resolução de erros de implementaçãoTalvez você enfrente dificuldades ao implantar o Unified Access Gateway em seu ambiente. Você podeusar vários procedimentos para diagnosticar e corrigir problemas da sua implementação.

Aviso de segurança ao executar scripts baixados da InternetVerifique se o script do PowerShell é o script que você deseja executar e, em seguida, no console doPowerShell, execute o seguinte comando:

unblock-file .\apdeploy.ps1

comando ovftool não encontradoVerifique se você instalou o software OVF Tool no Windows e se ele está instalado no local esperadopelo script.

Rede inválida na netmask1 da propriedaden A mensagem pode indicar netmask0, netmask1 ou netmask2. Verifique se o valor foi definido no

arquivo .INI para cada uma das três redes, como netInternet, netManagementNetwork enetBackendNetwork.

n Verifique se um Perfil do Protocolo de Rede do vSphere foi associado a cada nome de rede dereferência. Isso especifica as configurações de rede, como máscara de sub-rede IPv4, gateway eassim por diante. Verifique se o Perfil do Protocolo de Rede associado tem valores corretos paracada uma das configurações.

Mensagem de aviso sobre o identificador do sistema operacionalnão compatívelA mensagem de aviso exibe se o identificador do sistema operacional especificado SUSE LinuxEnterprise Server 12.0 64-bit (id:85) não é compatível com o host selecionado. Ele é mapeado com oseguinte identificador de SO: Outro Linux (64-bit).

Ignore esta mensagem de aviso. Ele é mapeado automaticamente para um sistema operacionalcompatível.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 90

Page 91: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Configurar a autenticação do RSA SecurID doUnified Access GatewayAdicione as seguintes linhas à seção do Horizon do arquivo .INI.

authMethods=securid-auth && sp-auth

matchWindowsUserName=true

Adicione uma nova seção no final do seu arquivo .INI.

[SecurIDAuth]

serverConfigFile=C:\temp\sdconf.rec

externalHostName=192.168.0.90

internalHostName=192.168.0.90

Os endereços IP devem ser configurados com o endereço IP do Unified Access Gateway. O arquivosdconf.rec é obtido a partir de um Gerenciador de Autenticações RSA que deve estar totalmenteconfigurado. Verifique se você está usando o Access Point 2.5 ou posterior (ou oUnified Access Gateway 3.0 ou posterior) e se o servidor do Gerenciador de Autenticação RSA éacessível na rede do Unified Access Gateway. Execute novamente o comando apdeploy Powershell parareimplantar o Unified Access Gateway configurado para RSA SecurID.

O localizador não se refere a um erro de objetoO erro notifica se o valor de destino que é usado pelo vSphere OVF Tool não está correto para o seuambiente vCenter. Use a tabela listada em https://communities.vmware.com/docs/DOC-30835 para verexemplos de formato de destino usado para consultar um host ou cluster do vCenter. O objeto de nívelsuperior é especificado a seguir:

target=vi://[email protected]:[email protected]/

O objeto agora lista os nomes possíveis a serem usados no próximo nível.

target=vi://[email protected]:[email protected]/Datacenter1/

target=vi://[email protected]:[email protected]/Datacenter1/host

target=vi://[email protected]:[email protected]/Datacenter1/host/Cluster1/

or

target=vi://[email protected]:[email protected]/Datacenter1/host/esxhost1

Os nomes da pasta, nomes do host e nomes do cluster usados no destino diferenciam letras maiúsculase minúsculas.

Mensagem de erro: “Não é possível recuperar o certificado docliente da sessão: sessionId”n Verifique se o certificado de usuário está instalado corretamente no navegador.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 91

Page 92: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

n Verifique se as versões de protocolo TLS padrão 1.1 e 1.2 estão habilitadas no navegador e noUnified Access Gateway.

Não é possível implantar o ova do Unified Access Gateway usandoo VMware vSphere Web Client iniciado no navegador ChromeÉ necessário instalar o plug-in de integração do cliente no navegador que você usa para implantar umarquivo ova no vSphere Web Client. Após instalar o plug-in no navegador Chrome, é exibida umamensagem de erro indicando que o navegador não está instalado e não permitirá que você insira a URLdo arquivo ova na localização de origem. Esse é um problema com o navegador Chrome e não estárelacionado ao ova do Unified Access Gateway. Use um navegador diferente para implantar o ova doUnified Access Gateway.

Solução de problemas com Certificados para KerberosVocê pode enfrentar dificuldades ao configurar o certificado para Kerberos no seu ambiente. Você podeusar vários procedimentos para diagnosticar e corrigir esses problemas.

Erro ao criar contexto do Kerberos: distorção muito grande dorelógioEsta mensagem de erro:

ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-

a8d9-5e288ac800fe]: Error creating kerberos context.

Identity bridging may not work

javax.security.auth.login.LoginException: Clock skew too great"

é exibida quando o horário do Unified Access Gateway e o horário do servidor AD estãosignificativamente fora de sincronia. Redefina o horário no servidor AD para coincidir com a hora UTCexata do Unified Access Gateway.

Erro ao criar contexto do Kerberos: nome ou serviço nãoconhecidoEsta mensagem de erro:

wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context.

Identity bridging may not work

javax.security.auth.login.LoginException: Name or service not known

é exibida quando o Unified Access Gateway não pode acessar o território configurado ou não podeconectar-se ao KDC com os detalhes do usuário no arquivo keytab. Confirme o seguinte:

n o arquivo keytab foi gerado com a senha de conta de usuário SPN correta e foi carregado noUnified Access Gateway

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 92

Page 93: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

n o endereço IP do aplicativo de back-end e o nome do host foram adicionados corretamente nasentradas de host.

Mensagem de erro: não é possível recuperar o certificado docliente da sessão: <sessionId>Se esta mensagem for exibida:

n Verifique as configurações do certificado X.509 e determine se está configurado ou não

n Se o certificado X.509 estiver configurado: verificar o certificado de cliente instalado no navegador dolado do cliente para ver se foi emitido pela mesma CA carregada no campo "Certificados deautoridade de certificação raiz e intermediária" nas configurações do certificado X.509.

Mensagem de erro: Erro interno. Entre em contato com seuadministradorVerifique a mensagem em /opt/vmware/gateway/logs/authbroker.log

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN

failed with "Could not send OCSP request to responder: Connection refused

(Connection refused) , will not attempt CRL validation"

Isso indica que a URL do OCSP configurada no "Certificado X.509" não está acessível ou está incorreta.

Erro quando o certificado do OCSP é inválido"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not

verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt

CRL validation."

é exibido quando for carregado um certificado do OCSP inválido ou se o certificado do OCSP forrevogado.

Erro quando a verificação de resposta do OCSP falhar"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response:

CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26]

WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could

not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will

attempt CRL validation."

é exibido às vezes quando a verificação de resposta do OCSP falha.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 93

Page 94: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Solução de problemas de conformidade do endpointVocê pode enfrentar dificuldades ao implementar o Provedor de verificação de conformidade de endpointno seu ambiente. Você pode usar vários procedimentos para diagnosticar e corrigir problemas da suaimplantação.

Observação O Esmanager.log registra informações sobre o endereço MAC do dispositivo que éusado para a verificação de conformidade. Isso será útil para identificar o endereço MAC usado paraverificação de conformidade de endpoint se o dispositivo tiver mais de um NIC ou alternar entrediferentes redes.

O Unified Access Gateway exibe "credenciais do clienteincorretas"O Unified Access Gateway faz a chamada de API de OPSWAT para validar a chave do cliente e osegredo do cliente fornecidos. Se as credenciais não estão corretas, as configurações não são salvas,resultando num

erro por credenciais do cliente inválidas

.

Verifique se a chave de cliente e o segredo do cliente corretos estão nos campos Nome de Usuário eSenha.

Para gerar as credenciais do cliente, registre seu aplicativo aqui https://gears.opswat.com/o/app/register.

O Unified Access Gateway exibe "DNS não pode resolver o hosthttps://gears.opswat.com ”Use o comando ping para descobrir o endereço IP do gears.opswat.com da sua região.

Em seguida, use o endereço IP do comando ping para criar uma entrada de /etc/hosts parahttps://gears.opswat.com. Navegue até as configurações do Horizon da IU do administrador eforneça o valor nas Entradas de host para o serviço de borda do View.

O Unified Access Gateway exibe "A solicitação atingiu o tempolimite durante a conexão com o host https://gears.opswat.com ”Isso poderá acontecer se a entrada de host do gears.opswat.com estiver configurada incorretamenteno UAG ou o https://gears.opswat.com não aceitar a solicitação de conexão.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 94

Page 95: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Resolução de problemas da validação do certificado naIU do administradorSe você encontrar erros ao validar o formato PEM de um certificado, procure a mensagem de erro paraobter mais informações.

Esta é uma lista de cenários possíveis em que erros são gerados.

Erro Problema

Formato PEM inválido. Pode ser por causa do formato incorretode BEGIN. Consulte o log para obter mais detalhes.

O certificado da chave privada BEGIN é inválido.

Formato PEM inválido. Mensagem de exceção: ---END RSAPRIVATE KEY não encontrado. Consulte o log para obter maisdetalhes.

O certificado de chave privada END é inválido.

Formato PEM inválido. Mensagem de exceção: problema aocriar a chave privada RSA: java.lang.IllegalArgumentException:falha ao construir a sequência de byte []: fluxo corrompido -comprimento fora dos limites encontrado. Consulte o log paraobter mais detalhes.

A chave privada no certificado está corrompida.

Falha ao analisar certificados de cadeia de caracteres PEM.Consulte o log para obter mais detalhes.

O certificado da chave pública BEGIN é inválido.

Foram encontrados dados PEM malformados. Consulte o logpara obter mais detalhes.

O certificado de chave pública END é inválido.

Foram encontrados dados PEM malformados. Consulte o logpara obter mais detalhes.

A chave pública no certificado está corrompida.

Não há nenhum certificado de destino/término para criar oencadeamento.

Não há nenhum certificado de destino/término.

Não é possível criar o caminho da cadeia de certificados, umcertificado intermediário ou raiz pode estar ausente.

Não há nenhuma cadeia de certificados a ser criada.

Erro ambíguo: mais de uma cadeia de certificados encontrada,não há certeza de qual deve ser retornada

Há mais de uma cadeia de certificados.

Resolução de problemas do login raizSe você fizer login como raiz no console do Unified Access Gateway com o nome de usuário e a senhacorretos e obter um erro “Login incorreto”, verifique se há problemas de mapeamento de teclado eredefina a senha raiz.

Existem várias razões pelas quais ocorre um erro de login:

n o teclado utilizado não mapeia corretamente determinados caracteres de senha segundo a definiçãodo teclado do Unified Access Gateway

n a senha expirou. A senha raiz expira 365 dias após a implantação do arquivo ova.

n quando o appliance foi implantado, a senha não foi definida corretamente. Este é um problemaconhecido nas versões anteriores do Unified Access Gateway.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 95

Page 96: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

n a senha foi esquecida.

Para testar se o teclado está mapeando caracteres corretamente, tente inserir a senha em respostaao“Login:” prompt de nome de usuário. Isso permite que você veja cada caractere da senha e possaidentificar onde os caracteres estão sendo mal interpretados.

Para todas as outras causas, redefina a senha raiz do appliance.

Observação Para redefinir a senha raiz, é obrigatório:

n ter acesso de login ao vCenter

n saber a senha de login do vCenter

n ter permissão para acessar o console do appliance

Se você configurou uma senha de menu do carregador de inicialização do Grub 2 para o appliance, seránecessário inserir isso como parte deste procedimento.

Procedimentos

1 Reinicie o appliance do vCenter e conecte-se imediatamente ao console.

2 Assim que o menu de inicialização for exibido, pressione a barra de espaço para desativar a

inicialização automática.

3 Use as setas para destacar SLES12 e, em seguida, digite e para editar os comandos. Se você estáexecutando o Unified Access Gateway 3.1 e tem uma senha do Grub 2 configurada, digite o nome deusuário (“raiz”) e a senha do Grub 2. A senha é definida por padrão e é a mesma que a senha raizque você configurou durante a implantação do Unified Access Gateway.

Se você estiver executando outra versão do Unified Access Gateway, não será solicitado que vocêinsira o nome de usuário e a senha, a menos que você tenha feito login de forma explícita no consolee defina a senha do Grub2. Consulte Sobre a senha do Grub2 para obter mais detalhes.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 96

Page 97: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

4 Mova o cursor para baixo, próximo da parte inferior do texto exibido e, em seguida, para cima demodo que ele fique posicionado após o texto do showopts.

.

5 Insira um caractere espacial seguido de init=/bin/sh

6 Pressione Ctrl-X ou F10 para inicializar o appliance. No prompt de comando, insira

a mount -rw -o remount /

b passwd root

7 Digite duas vezes uma nova senha raiz.

8 No vCenter, reinicie o appliance desligando e ligando-o novamente (reinicialização de energia).

n Após a inicialização do appliance, faça o login como raiz com a senha recém-definida.

Sobre a senha do Grub2Você pode usar a senha do Grub2 para seu login raiz.

A partir do Unified Access Gateway 3.1, a senha de edição do Grub2 será definida por padrão.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 97

Page 98: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

O nome de usuário é raiz e a senha é a mesma que a senha raiz configurada durante a implantação doUnified Access Gateway. Essa senha nunca será redefinida, a menos que você a redefina explicitamenteao efetuar login na máquina.

Observação Alterar manualmente a senha raiz fazendo login na máquina usando qualquer comandonão redefinirá a senha do Grub2. Elas são mutuamente exclusivas. A mesma senha será definida paraambos (com a versão UAG 3.1 e posterior) somente durante a implantação.

Coletando logs do appliance do Unified Access GatewayBaixe o arquivo AP-Log Archive.zip das configurações de suporte da IU do administrador. O arquivo ZIPcontém todos os logs do appliance do Unified Access Gateway.

Configurar o nível de logÉ possível gerenciar as configurações de nível de log na IU do administrador. Vá para a páginaConfigurações de suporte e selecione Configurações de nível de log. Os níveis de log que podem sergerados são INFORMAÇÕES, AVISO, ERRO e DEPURAÇÃO. O nível de log é configurado por padrãocomo INFORMAÇÕES.

Segue seguir uma descrição do tipo de informações que os níveis de log coletam.

Tabela 7‑1. Níveis de log

Nível Tipo de informações coletadas

INFORMAÇÕES O nível INFORMAÇÕES indica as mensagens informativas que destacam o andamento doserviço.

ERRO O nível ERRO indica eventos de erro que ainda podem permitir que o serviço continue sendoexecutado.

AVISO O nível AVISO indica situações potencialmente perigosas, mas normalmente recuperáveis ouque podem ser ignoradas.

DEPURAÇÃO Designa eventos que geralmente serão úteis para depurar problemas, visualizar oumanipular o estado interno do appliance e testar o cenário de implantação em seu ambiente.

Coletar logsBaixe os arquivos ZIP de log da seção de configurações de suporte da IU do administrador.

Estes arquivos de registro são coletados do diretório /opt/vmware/gateway/logs no appliance.

As tabelas a seguir contêm descrições dos vários arquivos inclusos no arquivo ZIP.

Tabela 7‑2. Arquivos que contêm informações de sistema para auxiliar na resolução deproblemas

Nome do Arquivo Descrição Comando Linux (se aplicável)

rpm-version.log Versão do appliance UAG (2.8, 2.9, 3.0 etc).

ipv4-forwardrules Regras de encaminhamento IPv4 configuradas no appliance.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 98

Page 99: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Tabela 7‑2. Arquivos que contêm informações de sistema para auxiliar na resolução deproblemas (Continuação)

Nome do Arquivo Descrição Comando Linux (se aplicável)

df.log Contém informações sobre o uso do espaço em disco noappliance.

df -a -h --total

netstat.log Contém informações sobre portas abertas e conexões TCPexistentes.

netstat -an

netstat-s.log Estatísticas de rede (bytes enviados/recebidos, etc.) a partir domomento da criação do appliance.

netstat -s

netstat-r.log Rotas estáticas criadas no appliance. netstat -r

uag_config.json,

uag_config.ini

Configuração completa do appliance doUnified Access Gateway, mostrando todas as configuraçõescomo um arquivo json e um ini.

ps.log Inclui processos em execução no momento do download delogs.

ps -elf --width 300

ifconfig.log Configuração da interface de rede do appliance. ifconfig -a

free.log Disponibilidade de RAM no momento do download de logs. free

top.log Lista ordenada de processos por uso de memória no momentodo download de logs.

top -b -o %MEM -n 1

Tabela 7‑3. Arquivos de Registro para o Unified Access Gateway

Nome do Arquivo Descrição Comando Linux (se aplicável)

w.log Informações sobre o tempo de atividade do sistema, osusuários que estão atualmente na máquina e seus processos.

w

service.log Lista de serviços que estão em execução no appliance nomomento

service --status-all

supervisord.log Log de supervisor (gerenciador do Edge Service Manager,administrador e um AuthBroker).

esmanager-x.log,

esmanager-std-out.log

Log(s) do Edge Service Manager, mostrando os processos deback-end executados no appliance.

authbroker.log Contém mensagens de log do processo AuthBroker, que lidacom a autenticação Radius e RSA SecurID.

admin.log, admin-std-

out.log

Logs da Interface Gráfica do Usuário (GUI) do administrador.Contém mensagens de registros do processo que fornece a APIREST do Unified Access Gateway na porta 9443.

bsg.log Contém mensagens de registro do Gateway Seguro Blast.

SecurityGateway_xxx.l

og

Contém mensagens de registro do Gateway Seguro PCoIP.

utserver.log Contém mensagens de log do servidor do túnel UDP.

appliance-agent.log Contém mensagens de log do agente do VMware Tunnel (queinicia o servidor e o proxy).

haproxy.conf Contém mensagens de log da configuração de proxy HA para ocompartilhamento de portas do TLS, se configurado.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 99

Page 100: 343o do VMware Unified Access Gateway - Unified Access ... › br › Unified-Access-Gateway › ... · 1 Preparando-se para implantar o VMware Unified Access Gateway 6 Unified Access

Tabela 7‑3. Arquivos de Registro para o Unified Access Gateway (Continuação)

Nome do Arquivo Descrição Comando Linux (se aplicável)

vami.log Contém mensagens de log da execução de comandos vamipara configurar as interfaces de rede durante a implantação.

aw-content-

gateway.log, aw-

content-gateway-

wrapper.log,

aw-0.content-gateway-

YYYY-mm.dd.log.zip

Contém mensagens de log do AirWatch Content Gateway.

admin-zookeeper.log Contém mensagens de registros relacionadas à camada dedados que é utilizada para armazenar a configuração doUnified Access Gateway .

tunnel.log Contém mensagens de registros do processo de túnel que éutilizado como parte do processamento da XML API. Énecessário ter o Tunnel ativado nas configurações do Horizonpara ver esse log.

Os arquivos de registro que terminam em “-std-out.log”-std-out.log” contêm informações escritas parao stdout de vários processos e são normalmente arquivos vazios.

Exportar configurações do Unified Access GatewayExporte as definições de configuração do Unified Access Gateway nos formatos JSON e INI a partir daIU do administrador.

É possível exportar as definições de configuração do Unified Access Gateway e salvá-las no formatoJSON ou INI. Você pode usar o arquivo INI exportado para implementar o Unified Access Gatewayusando scripts do Powershell.

Procedimentos

1 Navegue até Configurações de suporte > Exportar Configurações do Unified Access Gateway.

2 Clique em JSON ou INI para exportar as configurações do Unified Access Gateway no formato quedesejar. Para salvar as configurações em ambos os formatos, clique no botão Arquivo de log.

Os arquivos são salvos por padrão na pasta Downloads.

Implantação e configuração do VMware Unified Access Gateway

VMware, Inc. 100