Gateway VMware Unified の導入および設定 Access...2 Unified Access Gateway...

VMware Unified AccessGateway の導入および設定Unified Access Gateway 3.2

VMware Unified Access Gateway の導入および設定

VMware, Inc. 2

最新の技術ドキュメントは VMware の Web サイト（https://docs.vmware.com/jp/）にあります

このドキュメントに関するご意見およびご感想がある場合は、[email protected]までお送りください。

Copyright © 2017, 2018 VMware, Inc. 無断転載を禁ず。著作権および商標情報。

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社

105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

https://docs.vmware.com/jp/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

目次

VMware Unified Access Gateway のデプロイと構成 5

1 VMware Unified Access Gateway のデプロイの準備 6

セキュアゲートウェイとしての Unified Access Gateway 6

仮想プライベートネットワークの代わりに Unified Access Gateway を使用する 7

Unified Access Gateway システムとネットワークの要件 7

DMZ ベースの Unified Access Gateway アプライアンスのファイアウォールルール 10

Unified Access Gateway のロードバランスのトポロジ 11

複数のネットワークインターフェイスカードがある Unified Access Gateway の場合の DMZ の設計 13

ダウンタイムなしのアップグレード 16

カスタマエクスペリエンス改善プログラムへの参加または脱退 s 17

2 Unified Access Gateway アプライアンスのデプロイ 19

OVF テンプレートウィザードを使用した Unified Access Gateway のデプロイ 19

OVF テンプレートウィザードによる Unified Access Gateway のデプロイ 20

管理機能の構成ページからの Unified Access Gateway の構成 25

Unified Access Gateway システム設定の構成 26

NIC 設定の変更 27

ユーザーアカウント設定の構成 28

SSL サーバの署名入り証明書の更新 30

3 PowerShell を使用した Unified Access Gateway のデプロイ 32

PowerShell を使用して Unified Access Gateway をデプロイするためのシステム要件 32

PowerShell を使用した Unified Access Gateway アプライアンスのデプロイ 33

4 Unified Access Gateway デプロイの使用事例 36

Horizon および Horizon Cloud with On-Premises Infrastructure を使用したデプロイ 36

Edge Service の詳細設定 40

Horizon 設定の構成 41

Blast TCP および UDP 外部 URL の構成オプション 43

Horizon に対するエンドポイントコンプライアンスチェック 44

リバースプロキシとしてのデプロイ 45

リバースプロキシの構成 47

オンプレミスのレガシー Web アプリケーションへのシングルサインオンアクセスのためのデプロイ 50

ID ブリッジの導入シナリオ 51

ID ブリッジ設定の構成 53

Unified Access Gateway での VMware Tunnel 64

AirWatch の VMware Tunnel 設定の構成 65

VMware, Inc. 3

PowerShell を使用した AirWatch 用の VMware Tunnel のデプロイ 67

TLS ポート共有について 67

Unified Access Gateway のコンテンツゲートウェイ 67

5 TLS/SSL 証明書を使用した Unified Access Gateway の構成 70

Unified Access Gateway アプライアンスの TLS/SSL 証明書の構成 70

正しい証明書タイプの選択 70

証明書ファイルの 1 行 PEM 形式への変換 71

TLS や SSL 通信に使用されるセキュリティプロトコルと暗号化スイートの変更 73

6 DMZ での認証の設定 75

Unified Access Gateway アプライアンスでの証明書またはスマートカード認証の構成 75

Unified Access Gateway での証明書認証の設定 76

証明機関の証明書の取得 77

Unified Access Gateway での RSA SecurID 認証の構成 78

Unified Access Gateway の RADIUS の構成 79

RADIUS 認証の構成 80

Unified Access Gateway での RSA Adaptive Authentication の構成 81

Unified Access Gateway での RSA Adaptive Authentication の構成 82

Unified Access Gateway SAML メタデータの生成 83

その他のサービスプロバイダで使用される SAML 認証子の作成 84

Unified Access Gateway へのサービスプロバイダ SAML メタデータのコピー 85

7 Unified Access Gateway デプロイのトラブルシューティング 86

デプロイされたサービスの健全性の監視 86

デプロイに関する問題のトラブルシューティング 87

Cert-to-Kerberos のトラブルシューティング 89

エンドポイントコンプライアンスのトラブルシューティング 91

管理ユーザーインターフェイスでの証明書の検証のトラブルシューティング 92

root ログインの問題のトラブルシューティング 92

Grub2 パスワードについて 94

Unified Access Gateway アプライアンスからのログの収集 95

Unified Access Gateway 設定のエクスポート 97


VMware, Inc. 4

VMware Unified Access Gateway のデプロイと構成

Unified Access Gateway の導入および設定は、VMware Horizon®、VMware Identity Manager™、および組織の

アプリケーションへの外部アクセスの安全性を確保するために VMware Unified Access Gateway™ を使用するVMware AirWatch® の環境の設計について説明します。これらのアプリケーションは、Windows アプリケーション、サービスとしてのソフトウェア (SaaS) のアプリケーション、およびデスクトップである場合があります。このガイドでは、Unified Access Gateway 仮想アプライアンスをデプロイして、デプロイ後に設定を変更する手順も説明します。

対象読者

本書に記載されている情報は、Unified Access Gateway アプライアンスをデプロイおよび使用するすべての方を対象としています。これらの情報は、仮想マシンテクノロジーおよびデータセンターの運用に精通している経験豊富なLinux および Windows システム管理者向けに記述されています。

VMware, Inc. 5

VMware Unified Access Gateway のデプロイの準備 1Unified Access Gateway は、企業のファイアウォールの外部からリモートデスクトップおよびアプリケーションにアクセスするユーザーのセキュアゲートウェイとして機能します。

注意 VMware Unified Access Gateway® は、以前 VMware Access Point と呼ばれていました。

この章では次のトピックについて説明します。

n セキュアゲートウェイとしての Unified Access Gateway

n 仮想プライベートネットワークの代わりに Unified Access Gateway を使用する

n Unified Access Gatewayシステムとネットワークの要件

n DMZ ベースの Unified Access Gateway アプライアンスのファイアウォールルール

n Unified Access Gateway のロードバランスのトポロジ

n 複数のネットワークインターフェイスカードがある Unified Access Gateway の場合の DMZ の設計

n ダウンタイムなしのアップグレード

n カスタマエクスペリエンス改善プログラムへの参加または脱退 s

セキュアゲートウェイとしての Unified Access GatewayUnified Access Gateway は、非武装地帯 (DMZ) に通常インストールされるアプライアンスです。確実な方法で認証されたリモートユーザーのトラフィックだけを確実に社内のデータセンターに送信するために、Unified Access Gateway は使用されます。

Unified Access Gateway は、認証要求を該当するサーバに送信し、本物であると証明されない要求はすべて破棄します。ユーザーはアクセスが許可されているリソースにのみアクセスできます。

また、Unified Access Gateway は、認証されたユーザーのトラフィックが、ユーザーに資格が実際に付与されたデスクトップやアプリケーションリソースのみに確実に向けられるようにします。この保護レベルでは、アクセスを正確に制御するために、デスクトッププロトコルの独自の調査、頻繁に変更される可能性があるポリシーやネットワークアドレスの調整が実行されます。

Unified Access Gateway は、企業の信頼されるネットワーク内部の接続のためのプロキシホストとして動作します。この設計では、仮想デスクトップ、アプリケーションホスト、およびサーバを外部からアクセス可能なインターネットから保護することで、セキュリティレイヤーがさらに追加されます。

VMware, Inc. 6

Unified Access Gateway は特に DMZ のために設計されています。セキュリティを強化するため、次の設定が実装されています。

n 最新の Linux カーネルとソフトウェアパッチ

n インターネットとイントラネットトラフィックのために複数の NIC をサポート

n SSH を無効に設定

n FTP、Telnet、Rlogin、または Rsh サービスを無効に設定

n 不要なサービスを無効に設定

仮想プライベートネットワークの代わりに Unified Access Gatewayを使用する

Unified Access Gateway と一般的な VPN ソリューションは、確実な方法で認証されたユーザーのためだけに内部ネットワークに確実にトラフィックが転送されるようにする点で似ています。

一般的な VPN よりも Unified Access Gateway は、次の点で優れています。

n アクセスコントロールマネージャ。Unified Access Gateway は、アクセスルールを自動的に適用します。Unified Access Gateway は、内部接続に必要なユーザーの資格とアドレスの設定について認識しています。大半の VPN では管理者が各ユーザーまたは各ユーザーグループにネットワーク接続ルールを設定できるので、VPNでも同じ処理が行われます。最初に、これは VPN では適切に動作しますが、必要なルールを維持するためには相当な管理労力が必要となります。

n ユーザーインターフェイス。Unified Access Gateway では、簡単な Horizon Client ユーザーインターフェイスをそのまま使用できます。Unified Access Gateway では、Horizon Client が起動されると、認証されたユーザーは View 環境に配置され、デスクトップとアプリケーションへのアクセスを制御できます。VPN では、VPNソフトウェアを最初にセットアップして、Horizon Client を起動する前に別々に認証することが求められます。

n パフォーマンス。Unified Access Gateway は、セキュリティとパフォーマンスを最大化できるように設計されています。Unified Access Gateway を使用すると、追加のカプセル化を実行しなくても、PCoIP、HTMLAccess、および WebSocket プロトコルのセキュリティが確保されます。VPN は、SSL VPN として実装されます。この実装は、セキュリティ要件を満たしており、Transport Layer Security (TLS) が有効である場合、安全だと考えられていますが、SSL/TLS におけるバックエンドのプロトコルは、TCP ベースに過ぎません。コネクションレスの UDP ベースの転送を利用する最新のビデオリモーティングプロトコルでは、TCP ベースの転送を強制すると、パフォーマンス上の利点が大幅に損なわれる場合があります。SSL/TLS の代わりに DTLS や IPsecを使用して、ネットワークを運用できる場合、View デスクトッププロトコルを適切に稼動させることができるので、これはすべての VPN テクノロジーで起こるわけではありません。

Unified Access Gateway システムとネットワークの要件Unified Access Gateway アプライアンスをデプロイするには、システムがハードウェアおよびソフトウェアの要件を満たしている必要があります。


VMware, Inc. 7

サポートされる VMware 製品のバージョン

Unified Access Gateway のバージョンごとに、特定のバージョンの VMware 製品を使用する必要があります。互換性の最新情報については、製品のリリースノートおよび http://www.vmware.com/resources/compatibility/sim/interop_matrix.php の VMware 製品の相互運用性マトリックスを参照してください。

ESXi サーバのハードウェア要件

Unified Access Gateway アプライアンスは、VMware 製品でサポートされているバージョンおよび使用しているバージョンと同じバージョンの vSphere にデプロイする必要があります。

vSphere Web Client を使用する場合、クライアント統合プラグインがインストールされていることを確認します。詳細については、vSphere ドキュメントを参照してください。デプロイウィザードを開始する前にこのプラグインをインストールしていないと、プラグインをインストールするように求められます。インストールするには、ブラウ

ザを閉じてウィザードを終了する必要があります。

注意アプライアンスの時刻が正確になるように、Unified Access Gateway アプライアンスの時計 (UTC) を構成します。たとえば、Unified Access Gateway 仮想マシンでコンソールウィンドウを開き、矢印ボタンを使用して正しいタイムゾーンを選択します。また、ESXi ホストの時刻が NTP サーバと同期されていることを確認し、アプライアンス仮想マシンで実行されている VMware Tools が仮想マシンの時刻を ESXi ホストの時刻と同期することを確認します。

仮想アプライアンス要件

Unified Access Gateway アプライアンス用の OVF パッケージは、Unified Access Gateway に必要な仮想マシン構成を自動的に選択します。これらの設定は変更できますが、CPU、メモリ、ディスク領域をデフォルトの OVF 設定より小さい値に変更しないことを推奨します。

n CPU の最小要件は 2,000 MHz です。

n メモリは最低で 4 GB です。

アプライアンスに使用するデータストアに十分な空きディスク容量があり、他のシステム要件を満たしていることを確認します。

n 仮想アプライアンスのダウンロードサイズは 1.4 GB です。

n シンプロビジョニングされるディスクの最小要件は 2.6 GB です。

n シックプロビジョニングされるディスクの最小要件は 20 GB です。

仮想アプライアンスをデプロイするには、次の情報が必要です。

n 固定 IP アドレス（推奨）

n DNS サーバの IP アドレス

n root ユーザーのパスワード

n 管理者ユーザーのパスワード


VMware, Inc. 8

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

n Unified Access Gateway アプライアンスが指定するロードバランサのサーバインスタンスの URL

サポートされるブラウザのバージョン

管理ユーザーインターフェイスの起動でサポートされるブラウザは、Chrome、Firefox および Internet Explorerです。最新バージョンのブラウザを使用してください。

Windows Hyper-V Server を使用する場合のハードウェア要件

Unified Access Gateway を AirWatch アプリケーション単位のトンネルデプロイに使用する場合、Unified Access Gateway アプライアンスを Microsoft Hyper-V Server にインストールすることができます。

サポートされる Microsoft サーバは Windows Server 2012 R2 と Windows Server 2016 です。

ネットワーク構成の要件

1 つ、2 つ、または 3 つのネットワークインターフェイスを使用でき、Unified Access Gateway ではそれぞれについて個別の固定 IP アドレスが必要です。DMZ 実装の多くは、個別のネットワークを使用してさまざまな種類のトラフィックを保護します。デプロイする DMZ のネットワーク設計に従って Unified Access Gateway を構成してください。

n POC（事前検証）またはテストには、1 つのネットワークインターフェイスが適しています。NIC が 1 つの場合、外部、内部、および管理トラフィックがすべて同じサブネットを持ちます。

n ネットワークインターフェイスが 2 つの場合、外部トラフィックが 1 つのサブネットを、内部と管理トラフィックがもう 1 つのサブネットを持ちます。

n ネットワークインターフェイスを 3 つ使用するのが最も安全なオプションです。NIC が 3 つの場合、外部、内部、および管理トラフィックがすべて独自のサブネットを持ちます。

重要 IP プールを各ネットワークに割り当てたことを確認します。これにより、Unified Access Gateway アプライアンスは、デプロイ時にサブネットマスクとゲートウェイの設定を選択できるようになります。ネイティブ vSphereClient を使用している場合、vCenter Server で IP プールを追加するには、データセンターの [IP プール] タブに移動します。vSphere Web Client を使用している場合は、ネットワークプロトコルプロファイルを作成できます。データセンターの [管理] タブに移動し、[ネットワークプロトコルプロファイル] タブを選択します。詳細については、仮想マシンネットワークのプロトコルプロファイルの構成を参照してください。

Unified Access Gateway を IP プールなしでデプロイする場合 (vCenter Server)、デプロイは成功しますが、ブラウザの管理ユーザーインターフェイスを使用して Unified Access Gateway にアクセスしようとしても、管理ユーザーインターフェイスサービスは起動しません。

ログの保持要件

ログファイルは、集約した合計ディスクサイズを下回る一定容量の領域を使用するように、デフォルトで構成されています。Unified Access Gateway のログは、デフォルトでローテーションされます。これらのログエントリを保持するには、syslog を使用する必要があります。「Unified Access Gateway アプライアンスからのログの収集」を参照してください。


VMware, Inc. 9

https://pubs.vmware.com/vsphere-55/topic/com.vmware.vsphere.networking.doc/GUID-4BEEFDA9-E6FF-4D28-B0F3-B02864D8795B.html

DMZ ベースの Unified Access Gateway アプライアンスのファイアウォールルールDMZ ベースの Unified Access Gateway アプライアンスには、フロントエンドファイアウォールとバックエンドファイアウォールに関する特定のファイアウォールルールが必要です。インストール中、Unified Access Gatewayサービスは、デフォルトで特定のネットワークポートをリッスンするように設定されます。

通常、DMZ ベースの Unified Access Gateway アプライアンスのデプロイには、2 つのファイアウォールが含まれます。

n DMZ と内部ネットワークの両方を保護するために、外部ネットワークに接しているフロントエンドファイアウォールが必要です。外部からのネットワークトラフィックが DMZ に到達できるように、このファイアウォールを構成します。

n 2 つ目のセキュリティの層を提供するために、DMZ と内部ネットワークの間のバックエンドファイアウォールが必要です。DMZ 内のサービスから送信されたトラフィックだけを受け入れるように、このファイアウォールを構成します。

ファイアウォールポリシーによって DMZ サービスからのインバウンド通信が厳格に制御されるため、内部ネットワークが侵害されるリスクが大幅に軽減されます。

外部クライアントデバイスが DMZ 内の Unified Access Gateway アプライアンスに接続できるようにするには、フロントエンドファイアウォールで、特定のポートのトラフィックを許可する必要があります。デフォルトでは、外部のクライアントデバイスと外部の Web クライアント (HTML Access) は、DMZ にある Unified Access Gatewayアプライアンスに TCP ポート 443 で接続します。Blast プロトコルを使用する場合、ファイアウォール上でポート8443 を開く必要がありますが、ポート 443 を使用するように Blast を設定することもできます。

表 1‑1. ポートの要件

ポートポータル Source 送信先説明

443 TCP インターネット Unified Access Gateway Web トラフィック、Horizon Client XML - API、Horizon Tunnel、および Blast Extreme の場合

443 UDP インターネット Unified Access Gateway UDP（オプション）

8443 UDP インターネット Unified Access Gateway Blast Extreme（オプション）

8443 TCP インターネット Unified Access Gateway Blast Extreme（オプション）

4172 TCP とUDP

インターネット Unified Access Gateway PCoIP（オプション）

443 TCP Unified Access Gateway Horizon ブローカ Horizon Client XML-API

22443 TCP とUDP

Unified Access Gateway デスクトップと RDS ホスト Blast Extreme

4172 TCP とUDP

Unified Access Gateway デスクトップと RDS ホスト PCoIP（オプション）

32111 TCP Unified Access Gateway デスクトップと RDS ホスト USB リダイレクトのフレームワークチャンネルの場合

9427 TCP Unified Access Gateway デスクトップと RDS ホスト MMR と CDR


VMware, Inc. 10

表 1‑1. ポートの要件 (続き)

ポートポータル Source 送信先説明

9443 TCP 管理ユーザーインターフェイス Unified Access Gateway 管理インターフェイス

注意すべての UDP ポートでは、転送データグラムと応答データグラムを有効にする必要があります。

次の図は、フロントエンドファイアウォールとバックエンドファイアウォールを含む構成の例を示しています。

図 1‑1. DMZ トポロジの Unified Access Gateway

HorizonServer

MicrosoftActive

Directory

実行中の ESXi ホスト仮想デスクトップ

仮想マシン

外部ネットワーク

vCenterManagement

Server

ロードバランサ


クライアントデバイス

DMZ

Unified AccessGateway

アプライアンス

Unified Access Gateway のロードバランスのトポロジDMZ の Unified Access Gateway アプライアンスは、サーバまたはサーバグループの前にあるロードバランサを参照するように構成できます。Unified Access Gateway アプライアンスは、HTTPS 向けに構成された標準的なサードパーティ製ロードバランシングソリューションと連携します。


VMware, Inc. 11

Unified Access Gateway アプライアンスでサーバの前にあるロードバランサを参照する場合、サーバインスタンスは動的に選択されます。たとえば、ロードバランサは可用性、およびロードバランサが把握した各サーバインスタンスの現在のセッション数についての情報に基づいて選択を行う場合があります。企業のファイアウォール内のサー

バインスタンスには、通常、内部アクセスをサポートするためのロードバランサがあります。Unified Access Gatewayを使用して、Unified Access Gateway アプライアンスがすでに頻繁に使用されているのと同じロードバランサを参照するようにできます。

または、1 つ以上の Unified Access Gateway アプライアンスで個々のサーバインスタンスを参照することもできます。どちらの方法でも、DMZ 内の 2 つ以上の Unified Access Gateway アプライアンスに接続されたロードバランサを使用します。

図 1‑2. ロードバランサの背後にある複数の Unified Access Gateway アプライアンス

HorizonClient



DMZ

VMware vSphere

インターネット

Horizon デスクトップおよび RDS ホスト

Horizon接続

サーバ


接続サーバ

接続サーバ

Horizon のプロトコル

Horizon Client ユーザーが Horizon 環境に接続するときには、いくつかの異なるプロトコルが使用されます。最初の接続は、HTTPS を介したプライマリ XML-API プロトコルになります。認証が成功すると、1 つまたは複数のセカンダリプロトコルも作成されます。

n プライマリ Horizon プロトコル


VMware, Inc. 12

ユーザーが Horizon Client でホスト名を入力すると、プライマリ Horizon プロトコルが開始されます。これは、認証、承認、およびセッション管理のための制御プロトコルです。プロトコルは、HTTPS を介した XML 構造化メッセージを使用します。このプロトコルは、Horizon XML-API 制御プロトコルと呼ばれることもあります。ロードバランサの背後に複数の Unified Access Gateway アプライアンスがある上図のようなロードバランス環境では、ロードバランサはこの接続を Unified Access Gateway アプライアンスの 1 つにルーティングします。ロードバランサは通常、最初に可用性に基づいてアプライアンスを選択し、現在のセッションの最小数に基づいてトラフィックを使用可能なアプライアンスにルーティングします。この構成では、使用可能な

Unified Access Gateway アプライアンス全体で、さまざまなクライアントからのトラフィックが均等に分散されます。

n セカンダリ Horizon プロトコル

Horizon Client がいずれかの Unified Access Gateway アプライアンスとの安全な通信を確立したら、ユーザーが認証されます。この認証に成功すると、Horizon Client から 1 つ以上のセカンダリ接続が作成されます。これらのセカンダリ接続には、次のものが含まれます。

n RDP、MMR/CDR、クライアントフレームワークチャネルなどの TCP プロトコルをカプセル化するために使用される HTTPS トンネル。(TCP 443)

n Blast Extreme 表示プロトコル (TCP 443、TCP 8443、UDP 443 および UDP 8443)

n PCoIP 表示プロトコル (TCP 443 および UDP 443)

これらのセカンダリ Horizon プロトコルは、プライマリ Horizon プロトコルがルーティングされた同じUnified Access Gateway アプライアンスにルーティングする必要があります。これで、Unified Access Gatewayは、認証されたユーザーセッションに基づいてセカンダリプロトコルを認証できます。Unified Access Gateway の重要なセキュリティ機能として、Unified Access Gateway は認証されたユーザーのトラフィックのみを企業のデータセンターに転送します。セカンダリプロトコルがプライマリプロトコルアプライアンスとは異なるUnified Access Gateway アプライアンスに不正にルーティングされる場合、ユーザーは承認されず、DMZ で拒否されます。その結果、接続が失敗します。ロードバランサが正しく構成されていない場合、セカンダリプロトコルを不正にルーティングしてしまう問題が多く発生します。

複数のネットワークインターフェイスカードがあるUnified Access Gateway の場合の DMZ の設計Unified Access Gateway を構成するときには、使用する仮想ネットワークインターフェイスカード (NIC) の数を設定します。Unified Access Gateway をデプロイするときは、ネットワークのデプロイ環境の構成を選択します。

1 つ、2 つ、または 3 つの NIC 設定を指定する場合、それぞれ onenic、twonic、または threenic として指定できます。

各仮想 LAN で開いているポート数を減らし、タイプ別にネットワークトラフィックを分離することで、セキュリティを大幅に向上できます。この利点は、主に多層防御としての DMZ セキュリティ設計戦略の一環として、さまざまな種類のネットワークトラフィックを分離し隔離することです。DMZ 内に別々の物理スイッチを実装するか、DMZ内で複数の仮想 LAN を使用するか、VMware NSX で完全に管理される DMZ の一部として、この環境を実現できます。


VMware, Inc. 13

NIC が 1 つの一般的な DMZ のデプロイ環境

Unified Access Gateway の最もシンプルなデプロイ環境では、1 つの NIC が使用され、すべてのネットワークトラフィックが 1 つのネットワークに結合されます。インターネットに接続するファイアウォールからのトラフィックは、利用可能な Unified Access Gateway アプライアンスのいずれかに転送されます。Unified Access Gatewayは、次に、承認されたトラフィックを内部ファイアウォールを介して内部ネットワーク上のリソースに転送します。

Unified Access Gateway は承認されていないトラフィックを破棄します。

図 1‑3. Unified Access Gateway の単一 NIC のオプション

フロントエンド、バックエンドおよび管理トラフィックを組み合わせた単一のNIC Unified Access

Gatewayアプライアンス

単一の結合ネットワーク

Unified Access Gateway アプライアンス

DMZ

内部ネットワーク

内部ファイアウォール

インターネットに接続するファイアウォール



バックエンドトラフィックと管理トラフィックからの承認されていないユーザートラフィックの分離

1 つの NIC のデプロイ環境を強化するには、2 つの NIC を指定します。最初の NIC は引き続きインターネットに接続し、承認されていないアクセスを処理しますが、バックエンドの承認されているトラフィックと管理トラフィック

は別のネットワークに分けられます。


VMware, Inc. 14

図 1‑4. Unified Access Gateway の 2 つの NIC のオプション

管理トラフィックと認証された

バックエンドトラフィックから

認証されていないフロントエンドトラフィックを分離する 2 つの

NIC Unified AccessGateway


フロントエンドネットワーク


バックエンドおよび管理の結合ネットワーク

DMZ






2 つの NIC の環境では、Unified Access Gateway は内部ファイアウォールを通して内部ネットワークに送信されるトラフィックを承認する必要があります。承認されていないトラフィックは、このバックエンドネットワーク上には存在しません。Unified Access Gateway の REST API などの管理トラフィックは、この第 2 ネットワークにのみ存在します

承認されていないフロントエンドネットワーク上のデバイス（ロードバランサなど）のセキュリティが侵害された場合、この 2 つの NIC のデプロイ環境では Unified Access Gateway を迂回するようにデバイスを再構成することはできません。レイヤー 4 のファイアウォールルールとレイヤー 7 の Unified Access Gateway のセキュリティが統合されます。同様に、インターネットに接続するファイアウォールが誤って構成され、トラフィックが TCP ポート9443 を通過するようになった場合でも、Unified Access Gateway の管理 REST API はインターネットユーザーに公開されることはありません。多層防御の基本は、複数レベルの保護を利用し、単一の構成ミスやシステムへの攻撃

によって、システム全体が脆弱にならないようにすることです。

2 つの NIC のデプロイ環境の場合、DNS サーバ、RSA SecurID Authentication Manager サーバなどのインフラストラクチャシステムを DMZ 内のバックエンドネットワークに追加して、これらのサーバがインターネットに接続するネットワークから見えないようにすることができます。インフラストラクチャシステムを DMZ 内に配置することで、セキュリティが侵害されたフロントエンドシステムのインターネットに接続する LAN からのレイヤー 2 攻撃が防止され、攻撃を受ける可能性がある領域を効果的に削減できます。


VMware, Inc. 15

ほとんどの Unified Access Gateway のネットワークトラフィックは、Blast および PCoIP 表示プロトコルです。1つの NIC 環境では、インターネットとの間で通信される表示プロトコルのトラフィックは、バックエンドシステムとの間のトラフィックと結合されます。2 つ以上の NIC を使用する場合、トラフィックはフロントエンドおよびバックエンドの NIC とネットワーク間で分散されます。これにより、1 つの NIC がボトルネックになる潜在的な問題が軽減され、パフォーマンスが向上します。

Unified Access Gateway ではさらに管理トラフィックを特定の管理 LAN に分離することで、トラフィックを分離するがことできます。その場合、ポート 9443 へ HTTPS 管理トラフィックを送信できるのは管理 LAN のみになります。

図 1‑5. Unified Access Gateway の 3 つの NIC のオプション

未認証のフロントエンドトラフィック、認証された

バックエンドトラフィック、および管理トラフィックの

完全な分離を提供する 3 つのNIC Unified Access Gateway


フロントエンドネットワーク


バックエンドネットワーク

DMZ






管理ネットワーク

ダウンタイムなしのアップグレード

アップグレードではダウンタイムが発生しないので、ユーザーの作業を止めずに Unified Access Gateway をアップグレードできます。Unified Access Gateway アプライアンスをアップグレードする前に、Unified Access Gatewayシステム設定ページの静止モードが [いいえ] から [はい] に変更されます。

静止モードの値が [はい] の場合、ロードバランサがアプライアンスの健全性をチェックするときに、Unified Access Gateway アプライアンスは使用不可と表示されます。ロードバランサが受け取った要求は、ロードバランサの背後にある次の Unified Access Gateway アプライアンスに送信されます。

開始する前に

n ロードバランサの背後で構成された 2 つ以上の Unified Access Gateway アプライアンス


VMware, Inc. 16

n Unified Access Gateway アプライアンスの健全性状態をチェックするためにロードバランサが接続する URLを使用して構成された健全性チェック URL の設定

n ロードバランサ内のアプライアンスの健全性をチェックします。REST API コマンド GET

https://mycoUnifiedAccessGateway.com:443/favicon.ico を入力します。

静止モードが [いいえ] に設定されている場合、応答は HTTP/1.1 200 OK になります。[はい] に設定されて

いる場合、応答は HTTP/1.1 503 になります。

注意 GET https://mycoUnifiedAccessGateway.com:443/favicon.ico 以外の URL を使用

しないでください。使用すると、誤ったステータス応答やリソースのリークが発生します。

手順

1 管理ユーザーインターフェイスの [手動設定] セクションで、[選択] をクリックします。

2 [詳細設定] セクションで、[システム構成] ギアアイコンをクリックします。

3 [静止モード] 行で、[はい] を有効にすると Unified Access Gateway アプライアンスは一時停止します。

アプライアンスが停止しても、アプライアンスがその時点で実行しているセッションはその後も 10 時間有効で、それから終了します。

4 [[保存]] をクリックします。

ロードバランサが受け取る新しい要求は、次の Unified Access Gateway アプライアンスに送信されます。

次に進む前に

一時停止した Unified Access Gateway アプライアンスから設定をエクスポートします。新しいバージョンのUnified Access Gateway を展開し、設定をインポートします。新しいバージョンの Unified Access Gateway アプライアンスがロードバランサに追加できます。

カスタマエクスペリエンス改善プログラムへの参加または脱退 sVMware カスタマエクスペリエンス改善プログラム (CEIP) では、製品やサービスの向上、問題の修正、VMware 製品を導入して使用する最適な方法をユーザーにアドバイスするために、VMware が使用する情報を提供します。

この製品は、VMware のカスタマエクスペリエンス改善プログラム（「CEIP」）に参加しています。CEIP を通して収集されるデータおよび VMware のその使用目的に関する詳細は、Trust & Assurance センター(http://www.vmware.com/trustvmware/ceip.html) に記載されています。

この製品の CEIP へは、管理ユーザーインターフェイスからいつでも参加または脱退できます。

手順

1 [詳細設定] > [システム構成] で、[はい] または [いいえ] を選択します。

[はい] を選択すると、[カスタマエクスペリエンス改善プログラム] ダイアログが表示され、プログラムに参加していることを示すチェックボックスがオンになります。

2 ダイアログの情報を確認し、[閉じる] をクリックします。


VMware, Inc. 17

http://www.vmware.com/trustvmware/ceip.html

3 [システム構成] ページで [保存] をクリックし、変更を保存します。


VMware, Inc. 18

Unified Access Gateway アプライアンスのデプロイ 2Unified Access Gateway は OVF としてパッケージ化され、vSphere ESX または ESXi ホストに構成済みの仮想アプライアンスとしてデプロイされます。

vSphere ESX または ESXi ホストに Unified Access Gateway アプライアンスをインストールする場合、2 つの主要な方法を使用できます。Microsoft Server 2012 と 2016 Hyper-V ロールがサポートされます。

n vSphere Client または vSphere Web Client を使用して、Unified Access Gateway OVF テンプレートをデプロイできます。NIC のデプロイ構成、IP アドレス、管理インターフェイスのパスワードなど、基本的な設定を指定するように求められます。OVF をデプロイしたら、Unified Access Gateway の管理ユーザーインターフェイスにログインして Unified Access Gateway システム設定を構成し、さまざまなケースで安全な Edge サービスをセットアップし、DMZ で認証を構成します。「OVF テンプレートウィザードによる Unified Access Gatewayのデプロイ」を参照してください。

n さまざまなケースで、PowerShell スクリプトを使用して、Unified Access Gateway をデプロイし、安全なEdge サービスをセットアップできます。zip ファイルをダウンロードし、お使いの環境に合った PowerShellスクリプトを設定し、スクリプトを実行して Unified Access Gateway をデプロイします。「PowerShell を使用した Unified Access Gateway アプライアンスのデプロイ」を参照してください。

注意 AirWatch Per-app トンネルとプロキシの使用事例の場合は、Unified Access Gateway を ESXi または MicrosoftHYPER-V のいずれかの環境にデプロイできます。


n OVF テンプレートウィザードを使用した Unified Access Gateway のデプロイ

n 管理機能の構成ページからの Unified Access Gateway の構成

n SSL サーバの署名入り証明書の更新

OVF テンプレートウィザードを使用した Unified Access Gateway のデプロイ

Unified Access Gateway をデプロイするには、vSphere Client または vSphere Web Client を使用して OVF テンプレートをデプロイし、アプライアンスをパワーオンして設定を行います。

OVF をデプロイするときは、必要なネットワークインターフェイス (NIC) の数、IP アドレス、および管理者パスワードと root パスワードを設定します。

VMware, Inc. 19

Unified Access Gateway をデプロイしたら、管理ユーザーインターフェイス (UI) に移動してUnified Access Gateway 環境を設定します。管理ユーザーインターフェイスでは、DMZ で使用するためにデスクトップリソースとアプリケーションリソース、および認証方法を設定します。管理ユーザーインターフェイスにログインするには、https://<mycoUnifiedGatewayAppliance>.com:9443/admin/index.html に

移動します。

OVF テンプレートウィザードによる Unified Access Gateway のデプロイvCenter Server にログインして OVF テンプレートのデプロイウィザードを使用することで、Unified Access Gatewayアプライアンスをデプロイできます。

標準の OVA および FIPS バージョンの OVA という、Unified Access Gateway OVA の 2 つのバージョンが利用できます。

OVA の FIPS バージョンでは次の Edge Service がサポートされています。

n Horizon（パススルー認証のみ）

n VMware Per-App トンネル

重要 FIPS 140-2 バージョンは FIPS 認定の暗号とハッシュのセットを使用して実行し、FIPS 認定ライブラリをサポートする制限付きサービスを有効にします。Unified Access Gateway を FIPS モードでデプロイすると、アプライアンスを標準の OVA デプロイモードに変更することはできません。

開始する前に

n ウィザードで使用できるデプロイオプションを確認します。「Unified Access Gatewayシステムとネットワークの要件」を参照してください。

n Unified Access Gateway アプライアンスを構成するためのネットワークインターフェイスと静的 IP アドレスの数を決定します。「ネットワーク構成の要件」を参照してください。

n Unified Access Gateway アプライアンスの .ova インストーラファイルを

https://my.vmware.com/web/vmware/downloads にある VMware Web サイトからダウンロードするか、使用する http://example.com/vapps/euc-access-point-<Y.Y>.0.0-

<xxxxxxx>_OVF10.ova などの URL（<Y.Y> はバージョン番号、<xxxxxxx> はビルド番号）を判断します。

n ネイティブ vSphere クライアントを使用する場合、IP プールを各ネットワークに割り当てたことを確認します。ネイティブ vSphere クライアントを使用して vCenter Server で IP プールを追加するには、データセンターの[IP プール] タブに移動します。vSphere Web Client を使用している場合は、ネットワークプロトコルプロファイルを作成できます。データセンターの [管理] タブに移動し、[ネットワークプロトコルプロファイル] タブを選択します。

手順

1 ネイティブ vSphere Client または vSphere Web Client を使用して vCenter Server インスタンスにログインします。

IPv4 ネットワークの場合、ネイティブ vSphere Client または vSphere Web Client を使用してください。IPv6ネットワークの場合、vSphere Web Client を使用してください。


VMware, Inc. 20

https://my.vmware.com/web/vmware/downloads

2 [OVF テンプレートのデプロイ] ウィザードを開始するためのメニューコマンドを選択します。

オプションメニューコマンド

vSphere Client [ファイル] - [OVF テンプレートのデプロイ] を選択します。

vSphere Web Client データセンター、フォルダ、クラスタ、リソースプール、ホストなど、仮想マシンの有効な親オブジェクトであるインベントリオブジェクトを選択し、[アクション] メニューから [OVFテンプレートのデプロイ] を選択します。

3 [ソースの選択] ページで、ダウンロードした .ova ファイルを参照するか、URL を入力して [次へ] をクリック

します。

製品の詳細、バージョン、およびサイズ要件を確認します。

4 ウィザードの要求に従い、ウィザードを完了したときに次のガイドラインに従うことを考慮に入れます。

オプション説明

名前と場所 Unified Access Gateway 仮想アプライアンスの名前を入力します。この名前は、インベントリフォルダ内で一意である必要があります。名前の大文字と小文字は区別されます。

仮想アプライアンスの場所を選択します。

デプロイの構成 IPv4 ネットワークの場合、1 つ、2 つ、または 3 つのネットワークインターフェイス (NIC)を使用できます。IPv6 ネットワークの場合、3 つの NIC を使用します。Unified Access Gateway では、NIC のそれぞれについて個別の固定 IP アドレスが必要です。DMZ 実装の多くは、個別のネットワークを使用してさまざまな種類のトラフィックを保護します。デプロイする DMZ のネットワーク設計に従って Unified Access Gateway を構成してください。

ホスト/クラスタ仮想アプライアンスを実行するホストまたはクラスタを選択します。

ディスクフォーマット評価およびテスト環境では、シンプロビジョニングフォーマットを選択します。本番環境では、シックプロビジョニングフォーマットを選択します。シックプロビジョニングの EagerZeroed は、フォールトトレランスなどのクラスタ化機能はサポートしますが、他のタイプの仮想ディスクよりも作成するのにかなりの時間がかかるシック仮想ディスクフォーマットのタイプです。


VMware, Inc. 21


ネットワークのセットアップ/ネットワークマッピング

vSphere Web Client を使用している場合は、[ネットワークのセットアップ] ページで、各NIC をネットワークにマッピングしてプロトコル設定を指定できます。

OVF テンプレートで使用されるネットワークをインベントリ内のネットワークにマッピングします。

a [IP プロトコル] ドロップダウンリストから IPv4 または IPv6 を選択します。

b 表の最初の行 [インターネット] を選択してから、下向き矢印をクリックして宛先ネットワークを選択します。IPv6 を IP プロトコルとして選択するには、IPv6 に対応するネットワークを選択する必要があります。

行を選択したら、DNS サーバ、ゲートウェイ、ネットマスクの IP アドレスもウィンドウの下の部分で入力できます。

c 複数の NIC を使用している場合は、次の行 [管理ネットワーク] を選択して宛先ネットワークを選択すると、そのネットワークの DNS サーバとゲートウェイの IP アドレスと、ネットマスクを入力できます。

NIC を 1 つのみ使用している場合、すべての行は同じネットワークにマッピングされます。

d NIC が 3 つある場合は、3 番目の行も選択して設定を完成させます。

NIC を 2 つのみ使用している場合は、この 3 番目の行 [バックエンドネットワーク] には、[管理ネットワーク] に使用したものと同じネットワークを選択します。

vSphere Web Client では、ウィザードの完了後にネットワークプロトコルプロファイルが存在しない場合、自動的に作成されます。

ネイティブ vSphere Client を使用する場合は、[ネットワークのマッピング] ページで各 NICをネットワークにマッピングできます。ただし、DNS サーバ、ゲートウェイ、ネットマスクのアドレスを指定するフィールドはありません。前提条件で説明したように、IP プールを各ネットワークにすでに割り当てたか、ネットワークプロトコルプロファイルをすでに作成している必要があります。


VMware, Inc. 22


ネットワークプロパティのカスタマイズプロパティページのテキストボックスは Unified Access Gateway に固有であり、その他の種類の仮想アプライアンスには不要な場合があります。ウィザードページのテキストは、各設定について説明しています。テキストがウィザードの右側で切り捨てられている場合、

右下からドラッグしてウィンドウのサイズを変更します。

n [IP モード：「STATICV4」または「STATICV6」]。STATICV4 と入力した場合、その NICについては IPv4 アドレスを入力する必要があります。STATICV6 と入力した場合、そのNIC については IPv6 アドレスを入力する必要があります。

n [「{tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu」形式で記載された転送ルールのカンマ区切りリスト]

n [NIC 1 (ETH0) 用 IPv4 アドレス]：NIC モードに STATICV4 と入力した場合、NIC のIPv4 アドレスを入力します。

n [「ipv4-network-address/bits.ipv4-gateway-address」形式で記載された、NIC 1(eth0) 用の IPv4 カスタムルートのカンマ区切りリスト]

n [NIC 1 (eth0) 用 IPv6 アドレス]：NIC モードに STATICV6 と入力した場合、NIC の IPv6アドレスを入力します。

n [NIC 1 (eth0) IPv4 オーバーライド用ネットマスク]：ネットワークプロトコルプロファイル (NPP) から eth0 のデフォルトネットマスクをオーバーライドする NIC の IPv4ネットマスクを入力します。

n [NIC 1 (eth0) IPv6 オーバーライド用プリフィックス]：ネットワークプロトコルプロファイル (NPP) から eth0 のデフォルトプリフィックスをオーバーライドする NIC のIPv6 プリフィックスを入力します。

n [DNS サーバアドレス]：Unified Access Gateway アプライアンスのドメイン名サーバのスペース区切り IPv4 または IPv6 アドレスを入力します。IPv4 の入力例は 192.0.2.1192.0.2.2 です。IPv6 の入力例は fc00:10:112:54::1 です。

n [デフォルトゲートウェイ]：vSphere ネットワークプロトコルプロファイルで設定されたデフォルト値を入力します（注：IP モードが STATICV4/STATICV6 の場合のみ、デフォルトゲートウェイの値を入力します）。











VMware, Inc. 23



n [パスワードオプション]：仮想マシンの root ユーザーのパスワードと、管理コンソールにアクセスし、REST API アクセスを有効にする管理者ユーザーのパスワードを入力します。

n [パスワードオプション]：管理ユーザーインターフェイスにログインしてUnified Access Gateway を設定し、REST API へのアクセスを許可することができる管理者ユーザーのパスワードを入力します。

n [TLS ポート 443 共有]：HA プロキシとのポート 443 共有を有効にするには、このボックスをオンにします。オンにすると、管理ユーザーインターフェイスからこの値を変更することはできません。TLS SNI ルールは、VMware トンネルまたはコンテンツゲートウェイの設定の管理ユーザーインターフェイス内で表示できます。

その他の設定はオプションの設定であるか、デフォルト設定がすでに入力されています。

CEIP に参加 [VMware カスタマエクスペリエンス改善プログラムに参加する] をオンにして CEIP に参加するか、このオプションをオフにして CEIP から脱退します。

5 完了の準備完了ページで [デプロイ後にパワーオン] を選択し、[完了] をクリックします。

OVF テンプレートのデプロイタスクが vCenter Server のステータスエリアに表示され、デプロイを監視できます。仮想マシンでコンソールを開き、システム起動中に表示されるコンソールメッセージを確認することもできます。これらのメッセージのログは、/var/log/boot.msg ファイルにも記録されます。

6 デプロイが完了したら、エンドユーザーがブラウザを開いて次の URL を入力することでアプライアンスに接続できることを確認します。

https://<FQDN-of-UAG-appliance>

この URL で、<FQDN-of-UAG-appliance> は Unified Access Gateway アプライアンスの DNS 解決可能な完全修飾ドメイン名です。

デプロイが成功した場合、Unified Access Gateway が参照しているサーバによって提供される Web ページが表示されます。デプロイが成功しなかった場合、アプライアンス仮想マシンを削除して再びアプライアンスをデ

プロイできます。最も一般的なエラーは、証明書サムプリントを正しく入力していないことです。

Unified Access Gateway アプライアンスがデプロイされ、自動的に起動されます。


VMware, Inc. 24

次に進む前に

Unified Access Gateway の管理ユーザーインターフェイス (UI) にログインし、デスクトップとアプリケーションリソースを設定し、Unified Access Gateway を介したインターネットからのリモートアクセスと、DMZ で使用する認証方法を許可します。管理コンソールの URL の形式は、https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html となりま

す。

注意管理ユーザーインターフェイスのログイン画面にアクセスできない場合は、OVA のインストール中に仮想マシンに IP アドレスが表示されているかどうかを確認してください。IP アドレスが設定されていない場合は、ユーザーインターフェイスで説明した VAMI コマンドを使用して NIC を再設定します。"

cd /opt/vmware/share/vami" としてコマンドを実行し、次にコマンド "./vami_config_net" を実行

します。

管理機能の構成ページからの Unified Access Gateway の構成OVF をデプロイし、Unified Access Gateway アプライアンスをパワーオンしたら、Unified Access Gateway の管理ユーザーインターフェイスにログインして、次の設定を構成します。

注意 Unified Access Gateway 管理コンソールの初回起動時に、アプライアンスをデプロイしたときに設定したパスワードを変更するように求められます。

[全般設定] ページと [詳細設定] ページには以下が含まれます。

n Unified Access Gateway システム構成と TLS サーバ証明書

n Horizon、リバースプロキシ、VMware トンネル、およびコンテンツゲートウェイ（CG とも呼ばれる）の Edgeサービス設定

n RSA SecurID、RADIUS、X.509 証明書、および RSA Adaptive Authentication の認証設定

n SAML ID プロバイダとサービスプロバイダの設定

n ネットワーク設定

n エンドポイントコンプライアンスチェックのプロバイダの設定

n ID ブリッジ設定の構成

n アカウント設定

次のオプションは、[サポート設定] ページからアクセスできます。

n Unified Access Gateway ログファイルをダウンロードします。

n Unified Access Gateway 設定をエクスポートして、設定を取得します。

n ログレベルを設定します。

n Unified Access Gateway 設定をインポートして、全体的な Unified Access Gateway 構成を作成および更新します。


VMware, Inc. 25

Unified Access Gateway システム設定の構成クライアントと Unified Access Gateway アプライアンス間の通信を暗号化するために使用されるセキュリティプロトコルと暗号化アルゴリズムは、管理機能の構成ページで構成できます。

開始する前に

n Unified Access Gateway デプロイのプロパティを確認します。次の設定情報は必須です。

n Unified Access Gateway アプライアンスの固定 IP アドレス

n DNS サーバの IP アドレス

n 管理コンソールのパスワード

n Unified Access Gateway アプライアンスが指定するサーバインスタンスまたはロードバランサの URL

n イベントログファイルを保存する Syslog サーバの URL

手順

1 管理ユーザーインターフェイスの [手動構成] セクションで、[選択] をクリックします。

2 [詳細設定] セクションで、[システム構成] ギアアイコンをクリックします。

3 次の Unified Access Gateway アプライアンスの構成値を編集します。

オプションデフォルト値と説明

UAG 名一意の UAG アプライアンス名。

ロケールエラーメッセージを生成する場合に使用するロケールを指定します。

n 米国英語は en_US。これはデフォルトです。

n 日本語は ja_JP

n フランス語は fr_FR

n ドイツ語は de_DE

n 簡体字中国語は zh_CN

n 繁体字中国語は zh_TW

n 韓国語は ko_KR

n スペイン語は es

n ブラジルポルトガル語は pt_BR

n 英国英語は en_BR

暗号化スイートほとんどの場合、デフォルトの設定は変更する必要はありません。これは、クライアントと

Unified Access Gateway アプライアンス間の通信を暗号化するために使用される暗号化アルゴリズムです。暗号設定は、さまざまなセキュリティプロトコルを有効にするために使用されます。

暗号化の優先順位デフォルトは [いいえ] です。TLS 暗号リストの順位の制御を有効にするには、[はい] を選択します。

TLS 1.0 が有効デフォルトは [いいえ] です。TLS 1.0 セキュリティプロトコルを有効にするには、[はい] を選択します。

TLS 1.1 が有効デフォルトは [はい] です。TLS 1.1 セキュリティプロトコルは有効です。

TLS 1.2 が有効デフォルトは [はい] です。TLS 1.2 セキュリティプロトコルは有効です。


VMware, Inc. 26

オプションデフォルト値と説明

Syslog URL Unified Access Gateway イベントを記録するために使用する Syslog サーバの URL を入力します。この値には、URL またはホスト名または IP アドレスを使用できます。Syslog サーバの URL を設定しないと、イベントは記録されません。「syslog://server.example.com:514」のように入力します。

健全性チェック URL ロードバランサが接続して Unified Access Gateway の健全性をチェックする URL を入力します。

キャッシュされる Cookie Unified Access Gateway がキャッシュする Cookie のセット。デフォルトは [なし] です。

IP モード STATICV4 または STATICV6 のいずれかの固定 IP モードを選択します。

セッションタイムアウトデフォルト値は [36000000] ミリ秒です。

静止モード [はい] にして有効にすると、Unified Access Gateway アプライアンスを一時停止にして、一環した状態で、メンテナンスタスクを実行できます

監視間隔デフォルト値は [60] です。

パスワードの有効期間現在の管理者パスワードが有効な日数。デフォルトは 90 日です。パスワードが無期限の場合、ゼロ (0) に指定します。

要求のタイムアウト要求のタイムアウトを秒単位で指定します。デフォルトは 3000 です。

ボディの受信がタイムアウトになりましたボディの受信タイムアウトを秒単位で指定します。デフォルトは 5000 です。

認証がタイムアウトになりました認証タイムアウトを秒単位で指定します。デフォルトは 300000 です。

CEIP に参加有効にすると、カスタマエクスペリエンス改善プログラム (CEIP) の情報を VMware に送信します。詳細については、「カスタマエクスペリエンス改善プログラムへの参加または脱退s」を参照してください。

4 [保存] をクリックします。

次に進む前に

Unified Access Gateway をデプロイしたコンポーネントの Edge サービス設定を構成します。Edge の設定を構成したら、認証設定を構成します。

NIC 設定の変更管理ユーザーインターフェイスから、構成済み NIC の IP アドレスや IP アドレスの割り当てモードなどの NIC 設定を変更することができます。

NIC 設定を変更した場合は、次の制限に注意してください。

n サポートされる IP モードは IPv4 のみで、IPv6 はサポートされません。

n IP アドレスが管理ネットワーク IP アドレス上で動的に変更されている場合、新しい IP アドレスに対してはブラウザのリダイレクトはサポートされません。

n IP アドレスが変更されると Edge サービスでの現在のすべてのセッションが失われます。

n 管理者インターフェイスで現在使用されている NIC の設定を変更すると、管理ユーザーインターフェイスにアクセスできなくなる可能性を示す警告メッセージが表示されます。

n IP アドレスの更新後に、VAMI コマンドが新しいアドレスの割り当てに失敗することがあります。このようなシナリオでは、新しい IP アドレスが割り当てられていない場合でも、管理ユーザーインターフェイスは成功の通知を表示して新しい IP アドレスにリダイレクトします。ただし、古い IP アドレスがロールバックされ、ユーザーはその古い IP アドレスを介して管理ユーザーインターフェイスにアクセスすることができます。


VMware, Inc. 27

開始する前に

n 管理者権限があることを確認します。

n IP アドレスを固定 IP アドレスに変更する場合は事前にアドレスを知っておく必要があります。

手順


2 [詳細設定] で、[ネットワーク設定] の横のギアアイコンをクリックします。

構成済みの NIC とその設定のリストが表示されます。

3 [ネットワーク設定] ウィンドウで、設定を変更する NIC の横のギアアイコンをクリックして、次の情報を入力します。

[静的ルート]、[ネットマスク]、および [ゲートウェイ] のテキストボックスを変更することはできません。

ラベル説明

IP アドレス NIC の IP アドレス動的 IP アドレスの割り当てを選択する場合、IP アドレスを指定する必要はありません。

IP アドレスの割り当てモード IP アドレスの割り当てが静的に行われるか動的に行われるかを選択します。


設定が正常に変更されると、成功のメッセージが表示されます。NIC 設定を更新できない場合は、エラーメッセージが表示されます。

ユーザーアカウント設定の構成Unified Access Gateway システムへの完全なアクセス権を持つスーパーユーザー管理者は、管理設定ページからユーザーの追加と削除、パスワードの変更、およびユーザーのロールの変更を行うことができます。

権限の低い管理者の詳細を含むアカウント設定をアプライアンスの設定からエクスポートしたり、アプライアンスの

設定にインポートしたりすることはできません。Unified Access Gateway の新しいインスタンスに権限の低い新しいアカウントを設定するには、管理ユーザーインターフェイスから手動で設定します。

権限の低い管理者の追加

読み取り専用の操作やシステムの監視など、制限された数のタスクを実行できる権限の低い管理者を構成して追加で

きるようになりました。

注意現在、Unified Access Gateway のインスタンスに対して権限の低い管理者を 1 人のみ追加できます。

手順


2 詳細設定で、[アカウント設定] ギアアイコンを選択します。

3 [アカウント設定] ウィンドウで、[追加] をクリックします。

ロールは、ROLE_MONITORING に自動的に設定されます。


VMware, Inc. 28

4 [アカウント設定] ウィンドウで、次の情報を入力します。

a ユーザーの一意のユーザー名。

b (オプション) ユーザーを追加した直後にユーザーを有効にする場合は、[有効] ボックスをオンにします。

c ユーザーのパスワードを入力します。パスワードは 8 文字以上で、大文字と小文字が 1 文字以上、数字が 1文字以上、特殊文字（!、@、#、$、%、*、(、)）が 1 文字、含まれている必要があります。

d パスワードを確認します。


追加した管理者が [アカウント設定] に一覧表示されます。

次に進む前に

権限の低い管理者は、システムにログインしてパスワードを変更したり、監視タスクを実行したりできます。

ユーザーアカウントの設定の変更

スーパーユーザー管理者は、ユーザーのパスワードを変更したり、ユーザーを有効または無効にしたりできます。

自分自身のパスワードを変更することもできますが、自分自身のアカウントを無効にすることはできません。

手順


2 [詳細設定] セクションで、[アカウント設定] をクリックします。

ユーザーのリストが表示されます。

3 アカウントを変更するユーザーの横のギアアイコンをクリックします。

4 次の値を編集します。

a ユーザーを有効にするか無効にするかに応じて、[有効] ボックスをオンまたはオフにします。

b ユーザーのパスワードをリセットするには、新しいパスワードを入力し、パスワードを確認します。管理者

としてログインしている場合は、古いパスワードも入力する必要があります。

パスワードは 8 文字以上で、大文字と小文字が 1 文字以上、数字が 1 文字以上、特殊文字（!、@、#、$、%、*、(、)）が 1 文字、含まれている必要があります。


ユーザーの削除

スーパーユーザー管理者の場合は、非 root ユーザーを削除することができます。

root 管理者を削除することはできません。

手順



VMware, Inc. 29

2 詳細設定で、[アカウント設定] ギアアイコンを選択します。

ユーザーのリストが表示されます。

3 削除するユーザーの横の「x」ボタンをクリックします。

注意直ちにユーザーが削除されます。この操作を元に戻すことはできません。

ユーザーアカウントが削除され、メッセージが表示されます。

SSL サーバの署名入り証明書の更新期限切れになった署名入り証明書を交換したり、デフォルトの証明書を CA 署名の証明書で置き換えたりすることができます。

本番環境では、デフォルト証明書をできるだけ早く置き換えることを強くお勧めします。Unified Access Gatewayアプライアンスのデプロイ時に生成されるデフォルトの TLS/SSL サーバ証明書は、信頼された認証局によって署名されていません。

証明書をアップロードするときは、次の点を考慮してください。

n 管理者とユーザーの両方のために、デフォルトの証明書を CA 署名の PEM 証明書で置き換えることができます。

n 管理インターフェイスで CA 署名の証明書をアップロードすると、管理インターフェイス上の SSL コネクタが更新されて再起動し、アップロードされた証明書が有効になります。アップロードされた CA 署名の証明書でコネクタが再起動できない場合は、自己署名証明書が生成されて管理インターフェイスに適用され、前回の証明書の

アップロードが失敗したことがユーザーに通知されます。

開始する前に

n アクセス可能なコンピュータに保存された新しい署名入り証明書とプライベートキー。

n 証明書を PEM 形式のファイルに変換した後、.pem ファイルを 1 行形式に変換します。「証明書ファイルの 1 行

PEM 形式への変換」を参照してください。

手順

1 管理コンソールで、[選択] をクリックします。

2 [詳細設定] セクションで、[SSL サーバ証明書設定] ギアアイコンをクリックします。

3 [管理インターフェイス] または [インターネットインターフェイス] を選択して、証明書をいずれかのインターフェイスに適用します。両方選択して、両方のインターフェイスに証明書を適用することもできます。

4 [PEM] または [PFX] の証明書のタイプを選択します。

5 証明書のタイプが [PEM] の場合：

a [プライベートキー] の行で、[選択] をクリックして、プライベートキーファイルを見つけます。

b [開く] をクリックして、ファイルをアップロードします。

c [証明書チェーン] の行で、[選択] をクリックして、証明書チェーンファイルを見つけます。

d [開く] をクリックして、ファイルをアップロードします。


VMware, Inc. 30

6 証明書のタイプが [PFX] の場合：

a [PFX のアップロード] の行で、[選択] をクリックして、pfx ファイルを見つけます。

b [開く] をクリックして、ファイルをアップロードします。

c PFX 証明書のパスワードを入力します。

d PFX 証明書のエイリアスを入力します。

複数の証明書が存在する場合に、それらを区別するためにエイリアスを使用することができます。


証明書が正常に更新されると、確認メッセージが表示されます。

次に進む前に

n CA 署名の証明書で証明書を更新し、その証明書に署名した CA が不明な場合は、ルート証明書と中間証明書を信頼するようにクライアントを構成します。

n [管理インターフェイス] の CA 署名の証明書をアップロードした場合は、ブラウザを閉じて新しいブラウザウィンドウで管理ユーザーインターフェイスを再度開きます。

n CA 署名の証明書が管理インターフェイス上で有効な状態で、自己署名証明書をアップロードすると、管理ユーザーインターフェイスが期待どおりに動作しない可能性があります。ブラウザキャッシュをクリアして、新しいウィンドウで管理ユーザーインターフェイスを開きます。


VMware, Inc. 31

PowerShell を使用したUnified Access Gateway のデプロイ 3PowerShell スクリプトを使用して、Unified Access Gateway をデプロイできます。PowerShell スクリプトは、サンプルスクリプトとして提供され、お使いの環境のニーズに合わせて調整できます。

PowerShell スクリプトを使用して Unified Access Gateway をデプロイする場合、このスクリプトは OVF Tool コマンドを呼び出し、正しいコマンドライン構文が自動的に構築されるように設定を検証します。また、この方法では、デプロイ時に適用される TLS/SSL サーバ証明書の設定などの詳細設定が可能です。


n PowerShell を使用して Unified Access Gateway をデプロイするためのシステム要件

n PowerShell を使用した Unified Access Gateway アプライアンスのデプロイ

PowerShell を使用して Unified Access Gateway をデプロイするためのシステム要件

PowerShell スクリプトを使用して Unified Access Gateway をデプロイするには、特定のバージョンの VMware製品を使用する必要があります。

n vCenter Server がある vSphere ESX ホスト

n PowerShell スクリプトは、Windows 8.1 以降のマシンまたは Windows Server 2008 R2 以降で実行されます。

また、Windows 上で実行されている vCenter Server または別の Windows マシンを利用できます。

n スクリプトを実行する Windows マシンには、VMware OVF Tool のコマンドをインストールする必要があります。

https://www.vmware.com/support/developer/ovf/ から OVF Tool 4.0.1 以降を入手してインストールする必要があります。

使用する vSphere データストアとネットワークを選択する必要があります。

vSphere ネットワークプロトコルプロファイルを、参照されるすべてのネットワーク名に関連付ける必要があります。このネットワークプロトコルプロファイルは、IPv4 サブネットマスクやゲートウェイなどのネットワーク設定を指定します。Unified Access Gateway のデプロイ環境では、これらの値を使用するので、値が正しいことを確認します。

VMware, Inc. 32

https://www.vmware.com/support/developer/ovf/

PowerShell を使用した Unified Access Gateway アプライアンスのデプロイ

PowerShell スクリプトを使用すると、すべての構成を設定した環境を準備できます。PowerShell スクリプトを実行して Unified Access Gateway をデプロイすると、初めてシステムを起動したときからこのソリューションを本番環境で利用できるようになります。

開始する前に

n システム要件を満たしており、利用可能であることを確認します。

これは、Unified Access Gateway を自社環境にデプロイするためのサンプルスクリプトです。

図 3‑1. サンプルの PowerShell スクリプト

手順

1 My VMware から Windows マシンに Unified Access Gateway OVA をダウンロードします。

2 ap-deploy-XXX.zip ファイルを Windows マシンのフォルダにダウンロードします。

この zip ファイルは、https://communities.vmware.com/docs/DOC-30835 から入手できます。

3 PowerShell スクリプトを開いて、ディレクトリをスクリプトの場所に変更します。


VMware, Inc. 33

https://communities.vmware.com/docs/DOC-30835

4 Unified Access Gateway 仮想アプライアンスの .INI 構成ファイルを作成します。

例：新しい Unified Access Gateway アプライアンス AP1 をデプロイします。構成ファイルの名前は、ap1.iniです。このファイルには、AP1 のすべての設定が含まれます。apdeploy .zip ファイルにある sample.INI ファイルを使用して、.INI ファイルを作成し、設定を適切に変更できます。

注意自社の複数の Unified Access Gateway デプロイ環境には一意の .INI ファイルを関連付けることができます。複数のアプライアンスをデプロイするには、.INI ファイルで IP アドレスと名前のパラメータを適切に変更する必要があります。

変更する .INI ファイルの例。

name=AP1source=C:\APs\euc-access-point-2.8.0.0-000000000_OVF10.ovatarget=vi://[email protected]:[email protected]/Datacenter1/host/esx1.myco.intds=Local Disk 1netInternet=VM NetworknetManagementNetwork=VM NetworknetBackendNetwork=VM Network

[Horizon/WebReverseProxy/AirwatchTunnel]proxyDestinationUrl=https://192.168.0.209

# For IPv4, proxydestinationURL=https://192.168.0.209# For IPv6, proxyDEstinationUrl=[fc00:10:112:54::220]

5 スクリプトが正しく実行されたことを確認するには、PowerShell の set-executionpolicy コマンドを入

力します。

set-executionpolicy -scope currentuser unrestricted

現在制限されている場合にのみ、このコマンドを一度だけ実行する必要があります。

スクリプトの警告が表示される場合、次のコマンドを実行して、警告のブロックを解除します。

unblock-file -path .\apdeploy.ps1

6 このコマンドを実行してデプロイを開始します。.INI ファイルを指定しない場合、スクリプトはデフォルトでap.ini を使用します。

.\apdeploy.ps1 -iniFile ap1.ini

7 確認の画面が表示されたら、認証情報を入力し、スクリプトの実行を完了します。

注意ターゲットマシンのフィンガープリントを追加するように要求されたら、[yes] と入力します。

Unified Access Gateway アプライアンスがデプロイされ、本番環境で利用できるようになります。


VMware, Inc. 34

PowerShell スクリプトの詳細については、https://communities.vmware.com/docs/DOC-30835 を参照してください。


VMware, Inc. 35


Unified Access Gateway デプロイの使用事例 4この章で説明するデプロイのシナリオは、自社環境にデプロイされた Unified Access Gateway を識別して編成するのに役立ちます。

Unified Access Gateway は Horizon、Horizon Cloud with On-Premises Infrastructure（オンプレミス型）、VMware Identity Manager、および VMware AirWatch を使用してデプロイすることができます。


n Horizon および Horizon Cloud with On-Premises Infrastructure を使用したデプロイ

n Horizon に対するエンドポイントコンプライアンスチェック

n リバースプロキシとしてのデプロイ

n オンプレミスのレガシー Web アプリケーションへのシングルサインオンアクセスのためのデプロイ

n Unified Access Gateway での VMware Tunnel

Horizon および Horizon Cloud with On-Premises Infrastructure を使用したデプロイ

Horizon Cloud with On-Premises Infrastructure および Horizon Air クラウドインフラストラクチャを使用してUnified Access Gateway をデプロイできます。Horizon のデプロイでは、Unified Access Gateway アプライアンスが Horizon セキュリティサーバを置き換えます。

導入シナリオ

Unified Access Gateway によって、お客様のデータセンターにあるオンプレミスの仮想デスクトップとアプリケーションに、リモートから安全にアクセスできるようになります。これは、統合管理のための Horizon または Horizon Airのオンプレミスデプロイで動作します。

Unified Access Gateway を使用すると、企業は高精度のユーザーのアイデンティティを提供し、資格が付与されたデスクトップやアプリケーションへのアクセスを細密に制御できるようになります。

Unified Access Gateway 仮想アプライアンスは、通常、ネットワークの非武装地帯 (DMZ) にデプロイされます。DMZ にデプロイすると、確実な方法で認証されたユーザーのトラフィックだけを確実に、データセンターのデスクトップおよびアプリケーションリソースに送信できます。また、Unified Access Gateway 仮想アプライアンスは、認証されたユーザーのトラフィックが、ユーザーに資格が付与されたデスクトップやアプリケーションリソースのみに確実に配信されるようにします。この保護レベルでは、アクセスを正確に制御するために、デスクトッププロトコルの独自の調査、頻繁に変更される可能性があるポリシーやネットワークアドレスの調整が実行されます。

VMware, Inc. 36

Horizon で Unified Access Gateway をシームレスにデプロイするための要件を確認してください。

n Unified Access Gateway アプライアンスが Horizon Server の前にあるロードバランサを参照する場合、HorizonServer インスタンスは動的に選択されます。

n Unified Access Gateway は、Horizon セキュリティサーバの代わりとなります。

n デフォルトで、ポート 8443 が Blast TCP/UDP で利用可能である必要があります。ただし Blast TCP/UDP にはポート 443 も設定することができます。

n Horizon と一緒に Unified Access Gateway がデプロイされている場合、Blast Secure Gateway と PCoIPSecure Gateway が有効である必要があります。これにより、表示プロトコルが Unified Access Gateway を介して自動的にプロキシとして動作するようになります。BlastExternalURL および pcoipExternalURL の設定は、Unified Access Gateway 上の適切なゲートウェイを介してこれらの表示プロトコル接続をルーティングするために Horizon Client が使用する接続アドレスを指定します。これにより、表示プロトコルのトラフィックが、認証されているユーザーの代理として確実に制御されるため、セキュリティが向上します。認証されていない表

示プロトコルのトラフィックは、Unified Access Gateway によって無視されます。

n Horizon 接続サーバインスタンスでセキュアゲートウェイ（Blast Secure Gateway と PCoIP SecureGateway）を無効にし、Unified Access Gateway アプライアンスでこれらのゲートウェイを有効にします。

Horizon セキュリティサーバと Unified Access Gateway アプライアンス間の相違点は次のとおりです。

n 安全なデプロイ環境。Unified Access Gateway は、セキュリティが強化され、ロックダウンされた構成済みのLinux ベースの仮想マシンとして実装されます。

n 優れた拡張性。Unified Access Gateway を個別の Horizon 接続サーバに接続したり、複数の Horizon 接続サーバの前にあるロードバランサを介して接続することにより、高可用性を向上することができます。Horizon Clientとバックエンドの Horizon 接続サーバ間のレイヤーとして動作します。迅速なデプロイが可能なため、環境を素早く拡大または縮小し、急速に変化する企業のニーズを満たすことができます。


VMware, Inc. 37

図 4‑1. ロードバランサを参照する Unified Access Gateway アプライアンス

HorizonServer

MicrosoftActive

Directory

実行中の ESXi ホスト仮想デスクトップ

仮想マシン

外部ネットワーク

vCenterManagement

Server



クライアントデバイス

DMZ



また、個別のサーバインスタンスを参照する 1 台以上の Unified Access Gateway アプライアンスを関連付けることができます。どちらの方法でも、DMZ 内の 2 つ以上の Unified Access Gateway アプライアンスに接続されたロードバランサを使用します。


VMware, Inc. 38

図 4‑2. Horizon Server インスタンスを参照する Unified Access Gateway アプライアンス

Workspace ONE/Identity Manager

MicrosoftActive

Directory


vCenterManagement

Server



WorkspaceONE Client

DMZ



ファイアウォール


企業のゾーン

Workspace ONE Client

DNS/NTPサービス

認証

ユーザー認証は、View セキュリティサーバと似ています。Unified Access Gateway では次のユーザー認証方法がサポートされています。

n Active Directory のユーザー名とパスワード

n キオスクモード。キオスクモードの詳細については、Horizon のドキュメントを参照してください。

n SecurID 向けに RSA によって正式に認定された RSA SecurID の 2 要素認証

n さまざまなサードパーティの 2 要素セキュリティベンダーソリューションを利用した RADIUS

n スマートカード、CAC、または PIV X.509 ユーザー証明書

n SAML


VMware, Inc. 39

これらの認証方法は、View 接続サーバとともにサポートされます。Unified Access Gateway は、Active Directoryと直接やりとりする上で不要です。この通信は、Active Directory に直接アクセスできる View 接続サーバを介するプロキシとして動作します。認証ポリシーに従ってユーザーセッションが認証されると、Unified Access Gatewayは資格情報に関する要求とデスクトップやアプリケーションの起動要求を View 接続サーバに転送できるようになります。また、Unified Access Gateway は承認されているプロトコルトラフィックのみを転送できるようにデスクトップやアプリケーションプロトコルハンドラを管理します。

Unified Access Gateway はスマートカード認証自体を扱います。無効になっている X.509 証明書を確認するためなど、Unified Access Gateway が Online Certificate Status Protocol (OCSP) サーバと通信するオプションも含まれます。

Edge Service の詳細設定Unified Access Gateway では、異なる変数を使用して、Edge Service 、構成された Web プロキシ、およびプロキシ接続先の URL を区別します。

プロキシパターン

Unified Access Gateway はプロキシパターンを使用して、着信 HTTP 要求を Horizon などの正しい Edge Serviceまたは VMware Identity Manager などの構成された Web リバースプロキシインスタンスに転送します。

各 Edge Service には個別のパターンを構成することができます。たとえば、Horizon の Proxy Pattern は

(/|/view-client(.*)|/portal(.*)|/appblast(.*)) として構成でき、VMware Identity Manager

のパターンは (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) として構成できます。

注意プロキシパターンに重複がある場合、View は有効な Web リバースプロキシで動作しません。

プロキシホストパターン

複数の Web リバースプロキシのインスタンスが構成されている場合、プロキシパターンに重複があると、Unified Access Gateway は Proxy Host Pattern を使用してそれらを区別します。Proxy Host Pattern

をリバースプロキシの FQDN として構成します。

たとえば、Sharepoint のホストパターンを <sharepoint.myco.com> として構成し、JIRA のパターンを<jira.myco.com> として構成することができます。

ホストエントリ

このフィールドは、Unified Access Gateway がバックエンドサーバまたはアプリケーションにアクセスできない場合にのみ設定します。バックエンドアプリケーションの IP アドレスとホスト名を [ホストエントリ] に追加すると、その情報が Unified Access Gateway の /etc/hosts ファイルに追加されます。このフィールドは、すべての Edge

Service 設定で共通です。

プロキシ接続先の URL

これは、Unified Access Gateway がプロキシである Edge Service 設定のバックエンドサーバアプリケーションURL です。例：

n View の場合は、接続サーバ URL がプロキシ接続先の URL です。


VMware, Inc. 40

n Web リバースプロキシの場合は、構成された Web リバースプロキシのアプリケーション URL がプロキシ接続先の URL です。

単一のリバースプロキシの構成

Unified Access Gateway が URI を持つ単一の着信要求を受信すると、プロキシパターンが使用され、要求を転送するかドロップするかが決まります。

複数のリバースプロキシの構成

1 Unified Access Gateway がリバースプロキシとして設定され、URI パスを持つ着信要求を受信すると、Unified Access Gateway はプロキシパターンを使用して正しい Web リバースプロキシインスタンスに一致させます。一致する場合は、一致したパターンが使用されます。複数の一致がある場合は、フィルタと一致のプ

ロセスが手順 2 で繰り返されます。一致しない場合は、要求がドロップされ、HTTP 404 がクライアントに送信されます。

2 ステップ 1 ですでにフィルタされたリストをフィルタするためにプロキシホストパターンが使用されます。要求をフィルタし、リバースプロキシインスタンスを検索するために HOST ヘッダーが使用されます。一致する場合は、一致したパターンが使用されます。複数の一致がある場合は、フィルタと一致のプロセスが手順 3 で繰り返されます。

3 手順 2 でフィルタされたリストの最初の一致が使用されます。これが常に正しい Web リバースプロキシインスタンスではないことに注意してください。そのため、Unified Access Gateway に複数のリバースプロキシが設定されている場合は、Web リバースプロキシインスタンスのプロキシパターンとプロキシホストパターンの組み合わせが一意であることを確認してください。また、すべての構成されたリバースプロキシのホスト名は、Unified Access Gateway インスタンスの外部アドレスと同じ IP アドレスに解決される必要があります。

リバースプロキシの構成に関する情報および手順については、「リバースプロキシの構成」を参照してください。

Horizon 設定の構成Horizon Cloud with On-Premises Infrastructure および Horizon Air クラウドインフラストラクチャを使用してUnified Access Gateway をデプロイできます。Horizon のデプロイでは、Unified Access Gateway アプライアンスが Horizon セキュリティサーバを置き換えます。

手順


2 [全般設定] - [Edge サービス設定] で、[表示] をクリックします。

3 [Horizon 設定] のギアアイコンをクリックします。

4 [Horizon の設定] ページで、[いいえ] を [はい] に変更して、Horizon を有効にします。


VMware, Inc. 41

5 Horizon の次の Edge サービス設定リソースを構成します。


識別子デフォルトで Horizon に設定されます。Unified Access Gateway は、Horizon 接続サーバ、Horizon Air、Horizon Cloud with On-Premises Infrastructure などの Horizon XMLプロトコルを使用するサーバと通信できます。

接続サーバ URL Horizon Server またはロードバランサのアドレスを入力します。https://00.00.00.00 のように入力します。

接続サーバ URL のサムプリント Horizon Server のサムプリントのリストを入力します。

サムプリントのリストを指定しない場合、サーバ証明書は信頼された認証局 (CA) によって発行される必要があります。16 進数のサムプリントを入力します。たとえば、sha1= C3 89A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3 のようになります。

6 認証方法のルールや他の詳細設定を構成するには、[詳細表示] をクリックします。


認証方法使用する認証方法を選択します。

デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。

Unified Access Gateway で構成した認証方式は、ドロップダウンメニューに表示されます。

認証を構成するときには、最初の認証が失敗した場合に適用する 2 番目の認証方法を追加します。

a 最初のドロップダウンメニューから認証方法を 1 つ選択します。

b [+] をクリックして、[AND] または [OR] を選択します。

c 3 番目のドロップダウンメニューから 2 番目の認証方法を選択します。

2 つの認証方法を使用してユーザーを認証するように要求するには、ドロップダウンリストで [OR] を [AND] に変更します。

健全性チェック URI パス健全性ステータスの監視のために、Unified Access Gateway が接続する接続サーバの URIパス。

PCOIP を有効にする [いいえ] を [はい] に変更して、PCoIP Secure Gateway を有効にするかどうかを指定します。

PCoIP 外部 URL Unified Access Gateway アプライアンスの外部 URL を入力します。クライアントは、このURL を使用し、PCoIP Secure Gateway を介して安全に接続します。この接続は、PCoIPトラフィック用に使用されます。デフォルトは、Unified Access Gateway の IP アドレスとポート 4172 です。

Blast を有効にする Blast Secure Gateway を使用するには、[いいえ] を [はい] に変更します。

Blast 外部 URL Blast Secure Gateway を介して Web ブラウザから安全に接続するためにエンドユーザーが使用する Unified Access Gateway アプライアンスの FQDN URL を入力します。https://exampleappliance:443 のように入力します。

トンネルを有効にする Horizon セキュアトンネルが使用されている場合、[いいえ] を [はい] に変更します。クライアントは、Horizon Secure Gateway を介してトンネル接続のための外部 URL を使用します。このトンネルは、RDP、USB、およびマルチメディアリダイレクト (MMR) トラフィック用に使用されます。

トンネル外部 URL Unified Access Gateway アプライアンスの外部 URL を入力します。設定しない場合は、デフォルト値が使用されます。

エンドポイントコンプライアンスチェックのプロバイダ

エンドポイントコンプライアンスチェックのプロバイダを選択します。デフォルトは、OPSWAT です。


VMware, Inc. 42


プロキシパターン Horizon Server URL (proxyDestinationUrl) に関連する URI と一致する正規表現を入力します。Horizon 接続サーバの場合、Unified Access Gateway アプライアンスを使用するときに HTML Access Web クライアントにリダイレクトするには、通常スラッシュ (/) が使用されます。

SAML SP Horizon XML API ブローカの SAML サービスプロバイダの名前を入力します。この名前は、構成されているサービスプロバイダのメタデータの名前と一致するか、DEMO という特別な値でなければなりません。

Windows ユーザー名と一致 [いいえ] を [はい] に変更すると、RSA SecurID と Windows ユーザー名が一致されます。[はい] に設定すると、securID-auth が true に設定され、securID と Windows ユーザー名の一致が強制されます。

ゲートウェイの場所接続要求の発生場所。セキュリティサーバと Unified Access Gateway が、ゲートウェイの場所を設定します。場所は、外部または内部のいずれかです。

ホストエントリ /Etc/hosts ファイルに追加する詳細情報を入力します。各エントリには、IP アドレス、

ホスト名、オプションのホスト名エイリアスが順にスペース区切りで含まれています。たと

えば、

10.192.168.1 example1.com, 10.192.168.2 example2.com

example-alias のようになります。複数のホストエントリを追加するには「+」記号を

クリックします。

重要ホストエントリは、[保存] をクリックした後にのみ保存されます。

HTML Access を無効にする [はい] に設定すると、Horizon への Web アクセスが無効にされます。詳細については、GUID-98C68E8F-3781-41DF-8B59-F3B20B4D572D#GUID-98C68E8F-3781-41DF-8B59-F3B20B4D572Dを参照してください。


Blast TCP および UDP 外部 URL の構成オプションBlast Secure Gateway には Blast Extreme Adaptive Transport (BEAT) ネットワークが含まれています。これは、速度の変化やパケット損失などのネットワーク状態に動的に適合します。Unified Access Gateway では、BEAT プロトコルによって使用されるポートを構成することができます。

Blast は標準ポート TCP 8443 および UDP 8443 を使用します。UDP トンネルサーバ経由でデスクトップにアクセスする場合は UDP 443 も使用することができます。ポート構成は Blast 外部 URL プロパティによって設定されます。

表 4‑1. BEAT ポートオプション

Blast 外部 URLクライアントによって使用され

る TCP ポートクライアントによって使用され

る UDP ポート説明

https://ap1.myco.com 8443 8443 このフォームはデフォルトであり、インター

ネットから Unified Access Gateway への接続を可能にするには、TCP 8443 およびオプションで UDP 8443 をファイアウォールで開く必要があります。

https://ap1.myco.com:443 443 8443 TCP 443 または UDP 8443 を開く必要がある場合はこのフォームを使用します。


VMware, Inc. 43

表 4‑1. BEAT ポートオプション (続き)

Blast 外部 URLクライアントによって使用され

る TCP ポートクライアントによって使用され

る UDP ポート説明

https://ap1.myco.com:xxxx xxxx 8443

https://ap1.myco.com:xxxx/?UDPPort=yyyy

xxxx yyyy

デフォルト以外のポートを設定するには、デプロイ時にそれぞれのプロトコル用の内部 IP フォワーディングルールを追加する必要があります。転送ルールは、デプロイ時に OVF テンプレートを使用するか PowerShell コマンドから入力する INI ファイルを使用して指定することができます。

Horizon に対するエンドポイントコンプライアンスチェックUnified Access Gateway のエンドポイントコンプライアンスチェック機能は、Unified Access Gateway で利用可能な他のユーザー認証サービスに加え、Horizon デスクトップにアクセスするための追加のセキュリティ層を提供します。

エンドポイントコンプライアンスチェック機能を使用すると、エンドポイントのウイルス対策ポリシーや暗号化ポリシーなど、さまざまなポリシーを確実に遵守することができます。

エンドポイントの遵守ポリシーは、クラウドまたはオンプレミスで実行されているサービス上で定義されます。

エンドポイントコンプライアンスチェックが有効の場合、Unified Access Gateway は準拠している VDI デスクトップの起動のみを許可し、非準拠のすべてのエンドポイントの起動をブロックします。

開始する前に

1 OPSWAT アカウントにサインアップし、OPSWAT サイトにアプリケーションを登録します。https://go.opswat.com/communityRegistrationを参照してください。

2 クライアントキーおよびクライアントのプライベートキーをメモしておきます。Unified Access Gateway でOPSWAT を構成するにはこれらのキーが必要です。

3 OPSWAT サイトにログインし、エンドポイントの順守ポリシーを設定します。関連する OPSWAT ドキュメントを参照してください。

4 OPSWAT ホームページで、[Metadefender エンドポイント管理の接続] をクリックし、エージェントソフトウェアをダウンロードしてクライアントデバイスにインストールします。

手順

1 管理ユーザーインターフェイスにログインし、[詳細設定] - [エンドポイントコンプライアンスチェックのプロバイダの設定] に移動します。

2 [追加] をクリックして、[クライアントキー] および [クライアントシークレット]（プライベートキー）の詳細を追加します。

[エンドポイントコンプライアンスチェックのプロバイダ] と [ホスト名] フィールドはすでに入力済みです。これらの値は変更しないでください。


VMware, Inc. 44

https://go.opswat.com/communityRegistration

3 管理ユーザーインターフェイスから、Horizon 設定に移動し、[エンドポイントコンプライアンスチェックのプロバイダ] フィールドを見つけ、ドロップダウンメニューから OPSWAT を選択します。


5 エンドポイントコンプライアンスチェックのプロバイダクライアントを使用してリモートデスクトップに接続します。

構成された Horizon View デスクトップが一覧表示され、デスクトップを起動すると、クライアントデバイスが遵守しているかが検証されます。

リバースプロキシとしてのデプロイUnified Access Gateway は、Web リバースプロキシとして使用でき、DMZ で簡易リバースプロキシまたは認証リバースプロキシとして動作させることができます。

導入シナリオ

Unified Access Gateway は、VMware Identity Manager のオンプレミスデプロイのために安全なリモートアクセスを提供します。Unified Access Gateway アプライアンスは、通常、ネットワークの非武装地帯 (DMZ) にデプロイされます。VMware Identity Manager では、Unified Access Gateway アプライアンスは、ユーザーのブラウザとデータセンター内の VMware Identity Manager サービスとの間の Web リバースプロキシとして動作します。Unified Access Gateway は、 Workspace ONE カタログへのリモートアクセスを有効にし、Horizon アプリケーションを起動します。

注意 Unified Access Gateway の単一のインスタンスで最大 15000 の同時 TCP 接続を処理できます。予想される負荷が 15000 を超える場合、ロードバランサの背後に Unified Access Gateway の複数のインスタンスを構成する必要があります。


VMware, Inc. 45

リバースプロキシを構成するときに使用する設定の詳細については「Edge Service の詳細設定」を参照してください。

図 4‑3. VMware Identity Manager を参照する Unified Access Gateway アプライアンス

Workspace ONE/Identity Manager

MicrosoftActive

Directory


vCenterManagement

Server



WorkspaceONE Client

DMZ





企業のゾーン

Workspace ONE Client

DNS/NTPサービス

リバースプロキシについて

Unified Access Gateway は、リモートユーザーがシングルサインオンでリソースにアクセスできるように、アプリケーションポータルへのアクセスを提供します。アプリケーションポータルは Sharepoint、JIRA、または VIDMなどのバックエンドアプリケーションで、Unified Access Gateway がリバースプロキシとして動作しています。

リバースプロキシを有効にして構成する場合は、以下の点に注意してください。

n Edge Service Manager でリバースプロキシの認証を有効にする必要があります。現在、RSA SecurID と RADIUSの認証方法がサポートされています。

n Web リバースプロキシで認証を有効にする前に、ID プロバイダメタデータを生成する必要があります。


VMware, Inc. 46

n Unified Access Gateway によって、ブラウザベースのクライアント認証の有無に関わらず、VMware Identity Manager および Web アプリケーションにリモートからアクセスして、Horizon デスクトップを起動できるようになります。

n リバースプロキシの複数のインスタンスを構成して、構成済みの各インスタンスを削除できます。

図 4‑4. 複数のリバースプロキシの構成

リバースプロキシの構成VMware Identity Manager とともに Unified Access Gateway を使用するように Web リバースプロキシサービスを構成できます。

開始する前に

VMware Identity Manager によるデプロイでは次の要件に注意してください。

n スプリット DNS。スプリット DNS を使用すると、IP が内部か外部かに応じて名前を異なる IP アドレスに解決できます。

n VMware Identity Manager サービスには、ホスト名として完全修飾ドメイン名 (FQDN) が必要です。

n Unified Access Gateway は内部 DNS を使用する必要あります。つまり、プロキシ接続先の URL で FQDN を使用する必要があります。

n Unified Access Gateway インスタンスに複数のリバースプロキシが設定されている場合は、Web リバースプロキシインスタンスのプロキシパターンとプロキシホストパターンの組み合わせは一意である必要があります。

n すべての構成されたリバースプロキシのホスト名は、Unified Access Gateway インスタンスの IP アドレスと同じ IP アドレスに解決される必要があります。

n Edge Service の詳細設定については、「Edge Service の詳細設定」を参照してください。


VMware, Inc. 47

手順



3 [リバースプロキシの設定] のギアアイコンをクリックします。

4 [リバースプロキシの設定] ページで、[追加] をクリックします。

5 [リバースプロキシ設定を有効にする] セクションで、[いいえ] を [はい] に変更して、リバースプロキシを有効にします。

6 次の Edge サービス設定を構成します。


識別子 Edge サービスの識別子は Web リバースプロキシに設定されます。

インスタンス ID Web リバースプロキシのインスタンスを識別し、他のすべての Web リバースプロキシのインスタンスと区別するための一意の名前。

プロキシ接続先の URL Web アプリケーションのアドレスを入力します。

プロキシ接続先の URL サムプリント proxyDestination URL に使用できる SSL サーバ証明書のサムプリントのリストを入

力します。* を指定した場合、すべての証明書が受け入れられます。サムプリントは、

<[alg=]xx:xx> の形式になり、<alg> にはデフォルトの sha1 または [md5] を指定できま

す。<xx> は、16 進数です。「:」区切り文字の代わりにスペースを使用することも、省略することもできます。サムプリントの大文字と小文字の違いは無視されます。例：

sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B

DC 34

sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:

78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

サムプリントを構成しない場合、サーバ証明書は信頼された認証局 (CA) によって発行される必要があります。

プロキシパターン宛先 URL に転送する一致する URI パスを入力します。たとえば、(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) のように入

力します。

注意複数のリバースプロキシを構成するときに、プロキシホストパターンにホスト名を指定します。

7 その他の詳細設定を構成するには、[詳細] をクリックします。


認証方法デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。

Unified Access Gateway で構成した認証方式は、ドロップダウンメニューに表示されます。

健全性チェック URI パス Unified Access Gateway はこの URI パスに接続し、Web アプリケーションの健全性を確認します。

SAML SP Unified Access Gateway を VMware Identity Manager の認証済みリバースプロキシとして構成する場合に必要です。View XML API ブローカの SAML サービスプロバイダの名前を入力します。この名前は、Unified Access Gateway を使用して構成したサービスプロバイダの名前と一致するか、DEMO という特別な値でなければなりません。

Unified Access Gateway を使用して複数のサービスプロバイダが構成されている場合は、その名前は一意である必要があります。


VMware, Inc. 48


プロキシホストパターン受信ホストをチェックし、特定のインスタンスのパターンと一致するかを調べるために使用

される外部ホスト名。Web リバースプロキシインスタンスを構成する場合、ホストパターンはオプションです。



えば、





注意 UnSecure Pattern、Auth Cookie、および Login Redirect URL オプションは

VMware Identity Manager にのみ適用されます。ここで指定する値は、Access Point 2.8 とUnified Access Gateway 2.9 にも適用されます。

注意 authn リバースプロキシの場合、Auth Cookie と UnSecure Pattern プロパティは有効ではありません。認証方法を定義するには Auth Methods プロパティを使用する必要があります。


次に進む前に

ID ブリッジを有効にする方法については、「ID ブリッジ設定の構成」を参照してください。

オンプレミスのレガシー Web アプリケーションへのシングルサインオンアクセスのためのデプロイUnified Access Gateway ID ブリッジ機能は、Kerberos Constrained Delegation (KCD) またはヘッダーベースの認証を使用するレガシー Web アプリケーションへのシングルサインオン (SSO) を提供するように設定できます。

ID ブリッジモードの Unified Access Gateway は、設定済みのレガシーアプリケーションにユーザー認証を渡すサービスプロバイダとして機能します。VMware Identity Manager は ID プロバイダとして機能し、SAML アプリケーションへの SSO を提供します。ユーザーが KCD またはヘッダーベースの認証を必要とするレガシーアプリケーションにアクセスする場合、Identity Manager はそのユーザーを認証します。ユーザー情報を含む SAML アサーションが Unified Access Gateway に送信されます。Unified Access Gateway はこの認証を使用して、ユーザーがアプリケーションにアクセスできるようにします。


VMware, Inc. 50

図 4‑5. Unified Access Gateway ID ブリッジモード

Unified Access Gatewayに対する SAML アサーション

Workspace ONESSO から SAML、モバイルおよびクラウドアプリ

UAG

ロードバランサ/ファイアウォール


Kerberos形式への

変換

ヘッダーベース形式への変換

KCDアプリ

SAMLアプリ

ヘッダーベースのアプリ

DMZ

ID ブリッジの導入シナリオUnified Access Gateway ID ブリッジモードは、クラウドまたはオンプレミス環境の VMware Workspace® ONE®

で動作するように設定できます。

クラウド環境で Workspace ONE Client に Unified Access Gateway ID ブリッジを使用する

ID ブリッジモードは、クラウド内の Workspace ONE と連携してユーザーを認証するように設定できます。ユーザーがレガシーの Web アプリケーションへのアクセスを要求する場合、ID プロバイダは適用可能な認証および承認ポリシーを適用します。


VMware, Inc. 51

ユーザーが検証されると、ID プロバイダは SAML トークンを作成してユーザーに送信します。ユーザーは SAMLトークンを DMZ の Unified Access Gateway に渡します。Unified Access Gateway は SAML トークンを検証し、トークンからユーザープリンシパル名を取得します。

Kerberos 認証の要求の場合、Active Directory サーバとの接続の確立には Kerberos Constrained Delegation が使用されます。Unified Access Gateway はユーザーになりすまして Kerberos トークンを取得し、アプリケーションを認証します。

ヘッダーベース認証の要求の場合、ユーザーのヘッダー名が Web サーバに送信され、アプリケーションの認証を要求します。

アプリケーションは Unified Access Gateway に応答を返します。応答はユーザーに返されます。

図 4‑6. クラウド環境の Workspace ONE との Unified Access Gateway ID ブリッジ

Kerberos形式への

変換ヘッダーベース形式への

変換

Workspace ONE/ブラウザベースのクライアント

認証とアプリケーションの資格

ID プロバイダとしてホストされるWorkspace ONE



KCD アプリ


UAG

オンプレミス環境で Workspace ONE Client に ID ブリッジを使用する

オンプレミス環境で Workspace ONE を使用するユーザーを認証するように ID ブリッジモードが設定されている場合、ユーザーは URL を入力して Unified Access Gateway プロキシ経由でオンプレミスのレガシー Web アプリケーションにアクセスします。Unified Access Gateway は認証のために要求を ID プロバイダにリダイレクトします。ID プロバイダは、認証および承認ポリシーを要求に適用します。ユーザーが検証されると、ID プロバイダは SAMLトークンを作成し、そのトークンをユーザーに送信します。

ユーザーは SAML トークンを Unified Access Gateway に渡します。Unified Access Gateway は SAML トークンを検証し、トークンからユーザープリンシパル名を取得します。

Kerberos 認証の要求の場合、Active Directory サーバとの接続の確立には Kerberos Constrained Delegation が使用されます。Unified Access Gateway はユーザーになりすまして Kerberos トークンを取得し、アプリケーションを認証します。


VMware, Inc. 52

ヘッダーベース認証の要求の場合、ユーザーのヘッダー名が Web サーバに送信され、アプリケーションの認証を要求します。

アプリケーションは Unified Access Gateway に応答を返します。応答はユーザーに返されます。

図 4‑7. オンプレミス環境の Unified Access Gateway ID ブリッジ


Workspace ONE/ブラウザベースのクライアント



KCD アプリ

IDM IDM

DMZ

グリーンゾーン

UAG


Kerberos に対する証明書で ID ブリッジを使用

ID ブリッジを設定して、証明書の検証を使用するオンプレミスのレガシーの非 SAML アプリケーションへのシングルサインオン (SSO) を提供することができます。「ID ブリッジのための Web リバースプロキシの構成（Kerberosに対する証明書）」を参照してください。

ID ブリッジ設定の構成バックエンドアプリケーションで Kerberos が設定されている場合、Unified Access Gateway で ID ブリッジを設定するには、ID プロバイダのメタデータとキータブファイルをアップロードし、KCD レルム設定を構成します。

注意このリリースの ID ブリッジは、単一のドメインセットアップとともにクロスドメインをサポートします。つまり、ユーザーと SPN アカウントが異なるドメインにあることができます。

ヘッダーベースの認証で ID ブリッジを有効にした場合は、キータブ設定と KCD レルムの設定は不要です。

Kerberos 認証の ID ブリッジ設定を構成する前には、以下の状態であることを確認します。

n ID プロバイダが構成され、ID プロバイダの SAML メタデータが保存されている。SAML メタデータファイルはUnified Access Gateway にアップロードされます (SAML シナリオの場合のみ)。

n Kerberos 認証の場合、使用するキー配布センターのレルム名を持つ Kerberos を有効にしたサーバが識別されている。


VMware, Inc. 53

n Kerberos 認証の場合、Kerberos キータブファイルを Unified Access Gateway にアップロードする。キータブファイルには、特定のバックエンドサービスのドメイン内のユーザーのために Kerberos チケットを取得するように設定された Active Directory サービスアカウントの認証情報が含まれています。

レルム設定の構成

ドメインのレルム名、レルムのキー配布センター、および KDC タイムアウトを構成します。

レルムは、認証データを保持する管理エンティティの名前です。Kerberos 認証レルムには分かりやすい名前を選択することが重要です。レルム（ドメイン名とも呼ばれる）および Unified Access Gateway での対応する KDC サービスを構成します。UPN 要求が特定のレルムに到達すると、Unified Access Gateway は内部的に KDC を解決し、Kerberos サービスチケットを使用します。

一般的には、レルム名をドメイン名と同一とし、大文字で指定します。たとえば、レルム名は EXAMPLE.NET のようになります。レルム名は、Kerberos クライアントが DNS 名を生成するために使用します。

Unified Access Gateway バージョン 3.0 以降では、以前に定義されたレルムを削除できます。

重要クロスドメインのセットアップでは、プライマリおよびセカンダリまたはサブドメインと、関連付けられている KDC 情報を含んでいるすべてのレルムの詳細を追加します。レルム間の信頼が有効になっていることを確認します。

開始する前に

使用するキー配布センターのレルム名を持つ Kerberos を有効にしたサーバが識別されます。

手順


2 [詳細設定] - [ID ブリッジの設定] セクションで、[レルム設定] ギアアイコンをクリックします。

3 [追加] をクリックします。

4 フォームを完成させます。

ラベル説明

レルムの名前ドメイン名を使用してレルムを入力します。レルムは大文字で入力します。レルムは Active Directory に設定されているドメイン名と一致する必要があります。

キー配布センターレルムの KDC サーバを入力します。複数のサーバを追加する場合はリストをカンマで区切ります。

KDC タイムアウト (秒単位) KDC の応答を待つ時間を入力します。デフォルトは 3 秒です。


次に進む前に

キータブ設定を構成します。

キータブ設定のアップロード

キータブは、Kerberos プリンシパルと暗号化キーのペアを含むファイルです。シングルサインオンが必要なアプリケーションのためにキータブファイルが作成されます。Unified Access Gateway ID ブリッジはキータブファイルを使用し、パスワードを入力せずに Kerberos を使用してリモートシステムに対する認証を行います。


VMware, Inc. 54

ユーザーが ID プロバイダから Unified Access Gateway に対して認証されると、Unified Access Gateway はKerberos ドメインコントローラから Kerberos チケットを要求してユーザーを認証します。

Unified Access Gateway はキータブファイルを使用してユーザーになりすまし、内部の Active Directory ドメインに対して認証します。Unified Access Gateway は、Active Directory ドメイン上にドメインユーザーサービスアカウントを持っている必要があります。Unified Access Gateway はドメインに直接参加しません。

注意管理者がサービスアカウントのキータブファイルを再生成する場合は、キータブファイルをUnified Access Gateway に再度アップロードする必要があります。

開始する前に

Unified Access Gateway にアップロードする Kerberos キータブファイルにアクセスします。キータブファイルはバイナリファイルです。可能であれば、SCP によるファイル転送または別の安全な方法を使用してコンピュータ間でキータブを転送します。

手順


2 [詳細設定] - [ID ブリッジの設定] セクションで、[キータブ設定のアップロード] ギアアイコンをクリックします。

3 （オプション）[プリンシパル名] テキストボックスに Kerberos プリンシパル名を入力します。

各プリンシパルは常にレルム名で完全修飾されます。レルム名は大文字にする必要があります。

ここで入力するプリンシパル名がキータブファイルにある最初のプリンシパルであることを確認してください。同じプリンシパル名がアップロードされたキータブファイルにない場合、キータブファイルのアップロードは失敗します。

4 [キータブファイルを選択] フィールドで [選択] をクリックし、保存したキータブファイルを参照します。[開く] をクリックします。

プリンシパル名を入力しなかった場合、キータブで見つかった最初のプリンシパルが使用されます。複数のキー

タブを 1 つのファイルにマージすることができます。


次に進む前に

Unified Access Gateway ID ブリッジのための Web リバースプロキシの設定。

ID ブリッジ（Kerberos に対する SAML）のための Web リバースプロキシの構成

ID ブリッジ（Kerberos に対する SAML）のための Web リバースプロキシを構成するには、ID プロバイダのメタデータファイルを Unified Access Gateway に保存しておく必要があります。

管理コンソールで ID ブリッジを有効にし、サービスの外部ホスト名を設定できます。

ID プロバイダメタデータのアップロード

ID ブリッジ機能を構成するには、ID プロバイダの SAML 証明書メタデータ XML ファイルを Unified Access Gatewayにアップロードする必要があります。


VMware, Inc. 55

開始する前に

SAML メタデータ XML ファイルはアクセス可能なコンピュータに保存されている必要があります。

VMware Identity Manager を ID プロバイダとして使用している場合は、VMware Identity Manager 管理コンソールの [カタログ] - [SAML メタデータの設定] - [ID プロバイダ (IdP)] メタデータリンクから、SAML メタデータファイルをダウンロードして保存します。

手順

1 管理コンソールで [手動設定] の [選択] をクリックします。

2 [詳細設定] - [ID ブリッジの設定] セクションで、[ID プロバイダメタデータのアップロード] ギアアイコンをクリックします。

3 [エンティティ ID] テキストボックスに ID プロバイダのエンティティ ID を入力します。

[エンティティ ID] テキストボックスに値を入力しない場合、メタデータファイル内の ID プロバイダ名が解析され、ID プロバイダのエンティティ ID として使用されます。

4 [IDP メタデータ] セクションで [選択] をクリックし、保存したメタデータファイルを参照します。[開く] をクリックします。


次に進む前に

KDC 認証の場合は、レルム設定とキータブ設定を構成します。

ヘッダーベースの認証の場合は、ID ブリッジ機能を構成するときに、ユーザー ID を含む HTTP ヘッダーの名前を使用してユーザーヘッダー名オプションを完成させます。

ID ブリッジ（Kerberos に対する SAML）のための Web リバースプロキシの構成

ID ブリッジを有効にし、サービスの外部ホスト名を設定し、Unified Access Gateway サービスプロバイダのメタデータファイルをダウンロードします。

このメタデータファイルは、VMware Identity Manager サービスの Web アプリケーション構成ページにアップロードされます。

開始する前に

Unified Access Gateway 管理コンソールで、以下の ID ブリッジ設定が構成されている必要があります。[詳細設定]セクションには次の設定項目があります。

n Unified Access Gateway にアップロードされた ID プロバイダのメタデータ。

n 設定された Kerberos プリンシパル名と Unified Access Gateway にアップロードされたキータブファイル。

n レルム名とキー配布センターについての情報。

手順


2 [全般設定] - [Edge Service の設定] の行で、[表示] をクリックします。


VMware, Inc. 56

3 [リバースプロキシの設定] のギアアイコンをクリックします。

4 [リバースプロキシ設定] ページで [追加] をクリックして、新しいプロキシ設定を作成します。

5 [リバースプロキシ設定を有効にする] を [はい] に設定し、次の Edge サービス設定を構成します。


識別子 Edge サービスの識別子は Web リバースプロキシに設定されます。

インスタンス ID Web リバースプロキシインスタンスの一意の名前。

プロキシ接続先の URL Web アプリケーションの内部 URI を指定します。Unified Access Gateway はこの URL を解決してアクセスできる必要があります。

プロキシ接続先の URL サムプリントこのプロキシ設定と一致する URI を入力します。サムプリントは、[alg=]xx:xx の形式になり、alg には sha1 などを指定でき、デフォルトは md5 となります。「xx」は、16 進数です。たとえば、sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3のようになります。

サムプリントを構成しない場合、サーバ証明書は信頼された認証局 (CA) によって発行される必要があります。

プロキシパターン（オプション）ホストパターンを指定します。ホストパターンは、プロキシパターンが一意でない場合に、このプロキシ設定を使用してトラフィックをいつ転送するかを

Unified Access Gateway に示します。これはクライアントの Web ブラウザで使用されるURL を使用して決定されます。たとえば、(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) のように入

力します。

6 [ID ブリッジを有効にする] セクションで、[いいえ] を [はい] に変更します。

7 次の ID ブリッジ設定を構成します。


認証タイプ [SAML] を選択します。

ID プロバイダ使用する ID プロバイダをドロップダウンメニューから選択します。

キータブドロップダウンメニューで、このリバースプロキシに対して設定されたキータブを選択します。

ターゲットサービスプリンシパル名 Kerberos サービスプリンシパル名を入力します。各プリンシパルは常にレルム名で完全修飾されます。たとえば、myco_hostname@MYCOMPANY。レルム名を大文字で入力しま

す。テキストボックスに名前を追加しない場合、サービスプリンシパル名はプロキシ接続先の URL のホスト名から派生します。

サービストップベージアサーションが検証された後に、ユーザーが ID プロバイダでリダイレクトされるページを入力します。デフォルトの設定は / です。

ユーザーヘッダー名ヘッダーベースの認証の場合、アサーションから派生したユーザー ID を含む HTTP ヘッダーの名前を入力します。

8 [SP メタデータのダウンロード] セクションで、[ダウンロード] をクリックします。

サービスプロバイダのメタデータファイルを保存します。



VMware, Inc. 57

次に進む前に

Unified Access Gateway サービスプロバイダのメタデータファイルを、VMware Identity Manager サービスのWeb アプリケーション構成ページに追加します。

メタデータファイルを VMware Identity Manager サービスに追加

ダウンロードした Unified Access Gateway サービスプロバイダのメタデータファイルは、VMware IdentityManager サービスの Web アプリケーション構成ページにアップロードする必要があります。

使用する SSL 証明書は、ロードバランシングされた複数の Unified Access Gateway サーバで使用されているものと同じ証明書である必要があります。

開始する前に

コンピュータに Unified Access Gateway サービスプロバイダのメタデータファイルが保存されている必要があります。

手順

1 VMware Identity Manager 管理コンソールにログインします。

2 [カタログ] タブで、[アプリケーションを追加] をクリックし、[新規作成] を選択します。

3 [アプリケーションの詳細] ページで、[名前] テキストボックスにエンドユーザーフレンドリ名を入力します。

4 [SAML 2.0 POST] 認証プロファイルを選択します。

このアプリケーションの説明とアイコンを追加して、Workspace ONE ポータルのエンドユーザーに表示することもできます。

5 [次へ] をクリックし、[アプリケーション構成] ページで、[次を経由して設定] セクションまでスクロールします。

6 [メタデータ XML] ラジオボタンを選択し、Unified Access Gateway サービスプロバイダのメタデータテキストを [メタデータ XML] テキストボックスに貼り付けます。

7 （オプション）[属性マッピング] セクションで、次の属性名をユーザープロファイル値にマッピングします。FORMAT フィールド値は Basic です。属性名は小文字で入力する必要があります。

名前設定された値

upn userPrincipalName

userid Active Directory ユーザー ID


次に進む前に

このアプリケーションの使用資格をユーザーおよびグループに付与します。

注意 Unified Access Gateway は単一ドメインのユーザーのみをサポートします。ID プロバイダが複数のドメインで設定されている場合、アプリケーションに対する資格は単一ドメイン内のユーザーのみに与えることができます。


VMware, Inc. 58

ID ブリッジのための Web リバースプロキシの構成（Kerberos に対する証明書）

Unified Access Gateway ブリッジ機能を設定して、証明書の検証を使用するオンプレミスのレガシーの非 SAML アプリケーションへのシングルサインオン (SSO) を提供する前に、CA 証明書を取得して使用するように AirWatch コンソールを構成します。

AirWatch コンソールで CA 証明書を取得および使用できるようにする

認証局サーバにユーザーテンプレートを追加し、AirWatch コンソールを設定することで、AirWatch で認証局証明書を取得および使用できるようになります。

1 ユーザーテンプレートを追加

AirWatch で証明書を取得できるようにするには、まず CA サーバにユーザーテンプレートを追加します。

2 コンソールで認証局 (CA) を追加

AirWatch コンソールで認証局を追加します。

3 CA 要求テンプレートを追加

AirWatch コンソールに認証局を追加したら、CA 要求テンプレートを追加します。

4 取得された CA 証明書を使用するようにセキュリティポリシーを更新

取得された CA 証明書を使用するには、AirWatch コンソールでセキュリティポリシーを更新します。

ユーザーテンプレートを追加

AirWatch で証明書を取得できるようにするには、まず CA サーバにユーザーテンプレートを追加します。

手順

1 認証局が構成されているサーバにログインします。

2 [開始] をクリックし、mmc.exe と入力します。

3 [MMC] ウィンドウで、[ファイル] - [スナップインの追加と削除] に移動します。

4 [スナップインの追加と削除] ウィンドウで、[証明書テンプレート] を選択し、[追加] をクリックします。

5 [OK] をクリックします。

6 [証明書テンプレート] ウィンドウを下にスクロールして、[ユーザー] - [テンプレートを複製] を選択します。

7 [新しいテンプレートのプロパティ] ウィンドウで [全般] タブを選択し、[テンプレートの表示名] の名前を入力します。

[テンプレート名] には、この名前がスペースなしで自動的に表示されます。

8 [サブジェクト名] タブを選択し [要求内で指定] を選択します。

9 [適用]、[OK] の順にクリックします。

10 [MMC] ウィンドウで、[ファイル] - [スナップインの追加と削除] に移動します。

11 [スナップインの追加と削除] ウィンドウで、[証明機関] を選択し、[追加] をクリックします。

12 [MMC] ウィンドウで、[証明機関] - [証明書テンプレート] を選択します。


VMware, Inc. 59

13 [証明機関] を右クリックし、[新規作成] - [発行する証明書テンプレート] を選択します。

14 手順 6 で作成したテンプレートを選択します。

次に進む前に

追加したテンプレートがリストに表示されていることを確認します。

AirWatch コンソールにログインし、認証局を追加します。

コンソールで認証局 (CA) を追加

AirWatch コンソールで認証局を追加します。

開始する前に

n CA サーバにユーザーテンプレートが追加されている必要があります。

n 認証局発行者の名前が必要です。Active Directory サーバにログインし、コマンドプロンプトから certutil

コマンドを実行して、CA 発行者の名前を取得します。

n 認証局の <ユーザー名> は、サービスアカウントタイプである必要があります。

手順

1 AirWatch コンソールにログインし、適切な組織グループを選択します。

2 [すべての設定] に移動し、ドロップダウンリストから [エンタープライズ統合] - [認証局] をクリックします。

3 [認証局] タブをクリックし、[追加] をクリックします。

4 認証局について次の情報を入力します。


名前認証局の有効な名前

認証局の種類 Microsoft ADCS

プロトコル ADCS

サーバのホスト名 Active Directory サーバのホスト名

認証局名認証局の発行者名

認証サービスアカウント

ユーザー名 <Domain\username> 形式のサービスアカウントを持つユーザー名。

パスワードユーザー名のパスワード

追加のオプションなし


CA 要求テンプレートを追加

AirWatch コンソールに認証局を追加したら、CA 要求テンプレートを追加します。

開始する前に

1 CA サーバにユーザーテンプレートが追加されている必要があります。


VMware, Inc. 60

2 AirWatch コンソールに認証局が追加されている必要があります。

手順

1 AirWatch コンソールにログインして、[すべての設定] に移動し、ドロップダウンリストから [エンタープライズ統合] - [認証局] をクリックします。

2 [要求テンプレート] タブをクリックし、[追加] をクリックします。

3 テンプレートについて次の情報を入力します。


名前認証局テンプレートの有効な名前

説明 (オプション) テンプレートの説明

認証局以前に追加された認証局

発行するテンプレート CA サーバで作成したユーザーテンプレートの名前

件名サブジェクト名を追加するには、カーソルを値フィールド（デフォルト値「CN=」の後）に置き、[+] ボタンをクリックして適切なメールアドレスを選択します

プライベートキーの長さ 2048

プライベートキーのタイプ <署名> を選択します

SAN タイプ [追加] をクリックし、<ユーザープリンシパル名> を選択します

証明書の自動更新（オプション）

証明書の失効を有効にする（オプション）

プライベートキーを公開（オプション）


取得された CA 証明書を使用するようにセキュリティポリシーを更新

取得された CA 証明書を使用するには、AirWatch コンソールでセキュリティポリシーを更新します。

開始する前に

手順

1 AirWatch コンソールにログインし、[すべての設定] に移動して、ドロップダウンメニューから [アプリケーション] - [セキュリティとポリシー] - [セキュリティポリシー] をクリックします。

2 現在の設定に対して [オーバーライド] を選択します。

3 [統合認証] を有効にします。

a [証明書を使用] を選択します。

b [認証情報の送信元] を [定義された認証局] に設定します。

c 以前に設定した [認証局] と [証明書テンプレート] を指定します。

4 [許可されたサイト] を [*] に設定します。



VMware, Inc. 61

ID ブリッジのための Web リバースプロキシの構成（Kerberos に対する証明書）

Unified Access Gateway ブリッジ機能を設定して、証明書の検証を使用するオンプレミスのレガシーの非 SAML アプリケーションへのシングルサインオン (SSO) を提供します。

開始する前に

構成プロセスを開始する前に、以下のファイルと証明書の準備ができていることを確認します。

n Sharepoint や JIRA などのバックエンドアプリケーションのキータブファイル

n ルート CA 証明書、またはユーザーの中間証明書を含む証明書チェーン全体

n AirWatch コンソールに証明書が追加され、アップロードされている必要があります。「AirWatch コンソールでCA 証明書を取得および使用できるようにする」を参照してください。

非 SAML アプリケーションのルート証明書とユーザー証明書、およびキータブファイルを生成するには、関連製品のドキュメントを参照してください。

手順

1 [認証設定] - [X509 証明書] を選択し、以下を実行します。

a [ルートおよび中間 CA 証明書] で、[選択] をクリックして証明書チェーン全体をアップロードします。

b [証明書の失効を有効にする] で、設定を [はい] に切り替えます。

c [OCSP の失効を有効にする] のチェックボックスをオンにします。


VMware, Inc. 62

d [OCSP URL] テキストボックスに、OCSP レスポンダの URL を入力します。

Unified Access Gateway は、指定された URL に OCSP 要求を送信し、証明書が失効したかどうかを示す情報を含む応答を受信します。

e OCSP 要求をクライアント証明書の OCSP URL に送信するユースケースがある場合にのみ、[証明書の OCSPの URL を使用する] チェックボックスをオンにします。これが有効でない場合は、デフォルトで [OCSP URL]フィールドの値になります。

2 [詳細設定] - [ID ブリッジ設定] - [OSCP 設定] で、[追加] をクリックします。

a [選択] をクリックし、OCSP 署名証明書をアップロードします。

3 [レルム設定] ギアアイコンをクリックし、「レルム設定の構成」の説明に従ってレルム設定を構成します。

4 [全般設定] > [Edge サービス設定] で、[リバースプロキシ設定] ギアアイコンをクリックします。

5 [ID ブリッジ設定を有効にする] を [はい] に設定し、以下の ID ブリッジ設定を行い、[保存] をクリックします。


VMware, Inc. 63


認証タイプドロップダウンメニューから [証明書] を選択します。

キータブドロップダウンメニューで、このリバースプロキシに対して設定されたキータブを選択します。

ターゲットサービスプリンシパル名 Kerberos サービスプリンシパル名を入力します。各プリンシパルは常にレルム名で完全修飾されます。たとえば、myco_hostname@MYCOMPANY。レルム名を大文字で入力しま

す。テキストボックスに名前を追加しない場合、サービスプリンシパル名はプロキシ接続先の URL のホスト名から派生します。

ユーザーヘッダー名ヘッダーベースの認証の場合、アサーションから派生したユーザー ID を含む HTTP ヘッダーの名前を入力するか、デフォルトの AccessPoint-User-ID を使用します。

次に進む前に

VMware Browser を使用してターゲットの Web サイトにアクセスすると、ターゲットの Web サイトはリバースプロキシとして機能します。Unified Access Gateway は、提示された証明書を検証します。証明書が有効な場合は、ブラウザにバックエンドアプリケーションのユーザーインターフェイスページが表示されます。

特定のエラーメッセージおよびトラブルシューティング情報については、「Cert-to-Kerberos のトラブルシューティング」を参照してください。

Unified Access Gateway での VMware TunnelUnified Access Gateway アプライアンスを使用して VMware Tunnel をデプロイすると、個々のアプリケーションが安全で効率的な方法で社内リソースにアクセスできます。Unified Access Gateway 3.0 は、ESXi または MicrosoftHyper-V のいずれかの環境でのデプロイをサポートします。

VMware Tunnel は、トンネルプロキシとアプリケーション単位のトンネルという 2 つの独立したコンポーネントから構成されます。単層または多層のネットワークアーキテクチャモデルを使用して VMware Tunnel をデプロイします。

トンネルプロキシとアプリケーション単位のトンネルのデプロイモデルは両方とも、UAG アプライアンス上の多層ネットワークで使用できます。このデプロイは、DMZ にデプロイされているフロントエンド Unified Access Gatewayサーバと内部ネットワークにデプロイされているバックエンドサーバで構成されます。

トンネルプロキシのコンポーネントは、AirWatch からデプロイされた VMware Browser またはあらゆる AirWatchSDK 対応のアプリケーションを介した、エンドユーザーのデバイスと Web サイト間のネットワークトラフィックのセキュリティを保護します。このモバイルアプリケーションは、トンネルプロキシサーバと安全な HTTPS 接続を確立して、機密データを保護します。AirWatch 管理者コンソールで構成されているように、デバイスは、SDK を介して発行された証明書で、トンネルプロキシに認証されます。通常、このコンポーネントが、内部リソースへのセキュアなアクセスが必要とする管理対象外のデバイスに対して使用されます。

完全に登録されたデバイスの場合は、アプリケーション単位のトンネルコンポーネントにより、デバイスは AirWatchSDK を必要とせずに内部リソースに接続できるようになります。このコンポーネントは、iOS、Android、Windows10、および macOS オペレーティングシステムのネイティブアプリケーション単位の VPN 機能を活用します。これらのプラットフォームと VMware Tunnel コンポーネントの機能の詳細については、https://resources.air-watch.com/view/yr8n5s2b9d6qqbcfjbrw/en で『VMware Tunnel ガイド』を参照してください。


VMware, Inc. 64

https://resources.air-watch.com/view/yr8n5s2b9d6qqbcfjbrw/en


AirWatch 環境用の VMware Tunnel のデプロイでは、最初のハードウェアのセットアップ、AirWatch 管理者コンソールでの VMware Tunnel のホスト名とポート情報の構成、Unified Access Gateway OVF テンプレートのダウンロードとデプロイ、VMware Tunnel の手動構成が行われます。詳細については、「AirWatch の VMware Tunnel設定の構成」を参照してください。

図 4‑8. VMware Tunnel の多層のデプロイ：プロキシトンネルおよびアプリケーション単位のトンネル

内部リソース：-SharePoint-Wiki-イントラネット

VMwareAirWatch

VMware Tunnelバックエンドサーバ

VMware Tunnelフロントエンドサーバ

DMZ


エンドユーザーデバイス

80,443

443

443

2010, 8443

2020, 8443

AirWatch v9.1 以降では、カスケードモードを VMware Tunnel の多層のデプロイモデルとしてサポートされます。カスケードモードでは、インターネットからフロントエンドのトンネルサーバまでのトンネルコンポーネントごとに専用の受信ポートが必要です。フロントエンドサーバとバックエンドサーバの両方が、AirWatch API およびAWCM サーバと通信できる必要があります。VMware Tunnel のカスケードモードは、アプリケーション単位のトンネルコンポーネントの多層アーキテクチャをサポートします。

詳細については、トンネルプロキシのコンポーネントで使用するリレーエンドポイントのデプロイに関する詳細も含めて、https://resources.air-watch.com/view/yr8n5s2b9d6qqbcfjbrw/enにある VMware Tunnel のドキュメントを参照してください。

AirWatch の VMware Tunnel 設定の構成トンネルプロキシのデプロイ環境では、エンドユーザーのデバイスと VMware Browser モバイルアプリケーションを介する Web サイト間のネットワークトラフィックのセキュリティが保護されます。

手順




VMware, Inc. 65


3 [VMware Tunnel 設定] ギアアイコンをクリックします。

4 [いいえ] を [はい] に変更すると、トンネルプロキシが有効になります。

5 次の Edge サービス設定を構成します。


API サーバ URL AirWatch API サーバの URL を入力します。たとえば、<https://example.com:<port>>のように入力します。

API サーバのユーザー名 API サーバにログインするユーザー名を入力します。

API サーバのパスワード API サーバにログインするパスワードを入力します。

組織グループ ID ユーザーの組織を入力します。

トンネルサーバのホスト名 AirWatch 管理者コンソールで設定した VMware Tunnel の外部ホスト名を入力します。

6 その他の詳細設定を構成するには、[詳細] をクリックします。


送信プロキシのホスト送信プロキシがインストールされるホスト名を入力します。

注意これは、トンネルプロキシではありません。

送信プロキシのポート送信プロキシのポート番号を入力します。

送信プロキシのユーザー名送信プロキシにログインするユーザー名を入力します。

送信プロキシのパスワード送信プロキシにログインするパスワードを入力します。

NTLM 認証 [いいえ] を [はい] に変更して、送信プロキシで NTLM 認証を要求することを指定します。

VMware Tunnel プロキシに使用 [いいえ] を [はい] に変更して、このプロキシを VMware Tunnel の送信プロキシとして使用します。有効にしないと、Unified Access Gateway はこのプロキシを最初の API コールに使用して、AirWatch 管理者コンソールから構成情報を取得します。



えば、





TLS SNI ルールこのフィールドは、デプロイ中に TLS ポート 443 共有が有効になっている場合にのみ表示されます。サービスに使用される externalHostName:port を指定します（たとえば、トンネル設定の場合は「aw.uag.myco.com:8443」）。

信頼される証明書トラストストアに追加する信頼される証明書ファイルを選択します。


AirWatch 環境に Unified Access Gateway をデプロイする方法の詳細については、VMware Tunnel のドキュメントを参照してください。


VMware, Inc. 66

PowerShell を使用した AirWatch 用の VMware Tunnel のデプロイPowerShell を使用して、AirWatch 用の VMware トンネルをデプロイすることができます。

PowerShell を使用した VMware Tunnel のデプロイの詳細については、以下のビデオをご覧ください。VMware AirWatch Tunnel PowerShell のデプロイ(http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell)

TLS ポート共有についてポート 443 を Unified Access Gateway のさまざまなコンポーネントと簡単に共有するには、HA プロキシ SNI リダイレクト機能を使用します。

Unified Access Gateway は現在、TCP 上で VMware Tunnel、コンテンツゲートウェイ、Blast、および Web リバースプロキシサービスを実行しています。多くのユーザーはアプライアンスの受信接続にポート 443 を使用することを好みますが、TCP トラフィックは 443 から Unified Access Gateway（ポート 6443）の Edge ServiceManager にルーティングされ、VMware トンネルとコンテンツゲートウェイは外部に対して開く必要がある別のポートで実行するため、ポート 443 では正常に機能しません。

Unified Access Gateway は現在 HA プロキシ SNI リダイレクト機能を使用して、コンポーネント間でのポート 443の共有を許可します。TLS ポート共有はデプロイ時に有効にします。たとえば、認証済みの Web リバースプロキシインスタンスとコンテンツゲートウェイを同じアプライアンス上に配置して、両方のサービスのトラフィックを TCP443 で受信することができます。ただし、コンテンツゲートウェイの受信ホスト名はその TLS SNI ルールで設定されたホスト名と一致する必要があります。

vSphere Web Client で OVF テンプレートを使用してデプロイする場合は、[プロパティ] ページの [HA プロキシでTLS ポート 443 共有を有効にする] をオンにします。または、Powershell でデプロイするときに、[tlsPortSharingEnabled] プロパティを [true] に設定することができます。

注意 TLS ポート共有が有効の場合：

n 後で管理ユーザーインターフェイスからこの設定を変更することはできません。

n このフィールドに別の値を指定して管理ユーザーインターフェイスから UAG 設定をインポートしようとすると、エラーメッセージが表示されます。この場合、ポート共有プロパティは無視されますが、他の UAG 設定は正常にインポートされます。

n TLS SNI ルールを残りの Edge サービス設定と共に指定するオプションがあります。このプロパティは、VMwareTunnel とコンテンツゲートウェイの設定でのみ使用できます。

Unified Access Gateway のコンテンツゲートウェイコンテンツゲートウェイ (CG) は、モバイルデバイス上のオンプレミスのリポジトリコンテンツへの安全なアクセスを提供する、AirWatch コンテンツ管理ソリューションのコンポーネントです。

注意頭字語 CG は Content Gateway（コンテンツゲートウェイ）を表すためにも使用されます。


VMware, Inc. 67

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell

開始する前に

Unified Access Gateway でコンテンツゲートウェイを設定する前に、AirWatch コンソールを使用してコンテンツゲートウェイノードを設定する必要があります。ノードを設定したら、自動生成された<コンテンツゲートウェイの設定 GUID> を書き留めておきます。コンテンツゲートウェイノードを設定する方法については、AirWatch のドキュメントを参照してください。

手順

1 [全般設定] - [Edge サービス設定] - [コンテンツゲートウェイの設定] に移動して、ギアアイコンをクリックします。

2 [はい] を選択してコンテンツゲートウェイの設定を有効にします。

3 次の設定を構成し、[保存] をクリックします。


識別子このサービスが有効であることを示します。

API サーバ URL AirWatch API サーバの URL [http[s]://]hostname[:port]

宛先 URL にはプロトコル、ホスト名または IP アドレス、およびポート番号が含まれている必要があります。例：https://load-

balancer.example.com:8443

Unified Access Gateway は API サーバからコンテンツゲートウェイの構成をプルします。

API サーバのユーザー名 API サーバにログインするユーザー名。

API サーバのパスワード API サーバにログインするパスワード。

コンテンツゲートウェイのホスト名 Edge の設定に使用するホスト名。

コンテンツゲートウェイの構成 GUID AirWatch コンテンツゲートウェイの構成 ID。この ID は、コンテンツゲートウェイが AirWatch コンソール上で構成されるときに自動生成されます。構成 GUIDは、AirWatch コンソールの [設定] - [コンテンツ] - [コンテンツゲートウェイ] にある [コンテンツゲートウェイ] ページに表示されます。

送信プロキシのホスト送信プロキシがインストールされるホスト。Unified Access Gateway は送信プロキシ経由で API サーバに接続します（構成されている場合）。

送信プロキシのポート送信プロキシのポート。

送信プロキシのユーザー名送信プロキシにログインするユーザー名。

送信プロキシのパスワード送信プロキシにログインするパスワード。

NTLM 認証送信プロキシで NTLM 認証を必要とするかどうかを指定します。


VMware, Inc. 68


ホストエントリ /Etc/hosts ファイルに追加する詳細情報を入力します。各エントリには、IP

アドレス、ホスト名、オプションのホスト名エイリアスが順にスペース区切りで含

まれています。たとえば、

10.192.168.1 example1.com, 10.192.168.2

example2.com example-alias のようになります。複数のホストエン

トリを追加するには「+」記号をクリックします。


TLS SNI ルールこのフィールドは、デプロイ中に TLS ポート 443 共有が有効になっている場合にのみ表示されます。サービスに使用される externalHostName:port を指定します（たとえば、コンテンツゲートウェイの場合は「cg.uag.myco.com:10443」）。

注意 n TCP ポート 80 は Edge Service Manager によって使用されているため、コンテンツゲートウェイでは

Unified Access Gateway のポート 80 での HTTP トラフィックは許可されません。

n コンテンツゲートウェイで TLS ポート共有を使用する場合、コンテンツゲートウェイのデフォルトの内部リスニングポートは 10443 です。

n TLS SNI ルールは <CG_hostname>:[10443] にする必要があります。

n AirWatch コンソールで、コンテンツゲートウェイの設定を <CG_hostname>:[443] にする必要があります。CG_hostname が、単にデバイスが接続するために使用する Unified Access Gateway アプライアンスの外部ホスト名であることに注意してください。

コンテンツゲートウェイの詳細については、https://my.air-watch.com/help/9.1/en/Content/Core_Guides/MCM/C/EI_CM_OvV.htm?tocpath=ARCHITECTURE%7CAirWatch%20Content%20Gateway%2C%20RFS%2C%20CRE%7C_____0を参照してください。


VMware, Inc. 69

https://my.air-watch.com/help/9.1/en/Content/Core_Guides/MCM/C/EI_CM_OvV.htm?tocpath=ARCHITECTURE%7CAirWatch%20Content%20Gateway%2C%20RFS%2C%20CRE%7C_____0



TLS/SSL 証明書を使用したUnified Access Gateway の構成 5Unified Access Gateway アプライアンスでは TLS/SSL 証明書を構成する必要があります。

注意 Unified Access Gateway アプライアンスに構成する TLS/SSL 証明書は、Horizon、Horizon Air、Web リバースプロキシのみに適用されます。

Unified Access Gateway アプライアンスの TLS/SSL 証明書の構成クライアントが Unified Access Gateway アプライアンスに接続するには、TLS/SSL が必要です。クライアントに面した Unified Access Gateway アプライアンスと、TLS/SSL 接続を終了させる中間サーバには、TLS/SSL サーバ証明書が必要です。

TLS/SSL サーバ証明書は、認証局 (CA) によって署名されています。CA は、証明書とその作成者の身元を保証する信頼された機関です。証明書が信頼された CA によって署名されている場合は、証明書の検証を求めるメッセージは表示されず、追加の構成をしなくてもシンクライアントデバイスから接続できます。

デフォルトの TLS/SSL サーバ証明書は、Unified Access Gateway アプライアンスのデプロイ時に生成されます。本番環境では、デフォルト証明書をできるだけ早く置き換えることをお勧めします。デフォルト証明書は、信頼された

CA によって署名されていません。デフォルト証明書は、本番環境以外でのみ使用してください。

正しい証明書タイプの選択

Unified Access Gateway では、異なるタイプの TLS/SSL 証明書を使用できます。デプロイに適したタイプの証明書を選択することが重要です。各タイプの証明書は、証明書を使用できるサーバの数に応じてコストが異なります。

どのタイプの証明書を選択した場合でも、証明書の完全修飾ドメイン名 (FQDN) を使用し、VMware のセキュリティに関する推奨事項に従ってください。内部ドメインの範囲内の通信にも、シンプルなサーバ名や IP アドレスは使用しないでください。

単一サーバ名証明書

特定のサーバのサブジェクト名を含む証明書を生成できます。たとえば、dept.example.com のような証明書で

す。

VMware, Inc. 70

このタイプの証明書が役立つのは、たとえば、証明書を必要とする Unified Access Gateway アプライアンスが 1 つのみの場合です。

証明書署名要求を認証局 (CA) に送信するときは、証明書に関連付けるサーバ名を指定します。ユーザーが指定したサーバ名を Unified Access Gateway アプライアンスが解決でき、証明書に関連付けられた名前とそのサーバ名が一致することを確認します。

サブジェクトの別名

サブジェクトの別名 (SAN) は、発行する証明書に追加できる属性です。この属性は、証明書にサブジェクト名 (URL)を追加して、複数のサーバを検証できるようにするために使用します。

たとえば、ロードバランサの背後にある Unified Access Gateway アプライアンスに対して、ap1.example.com、

ap2.example.com、および ap3.example.com という 3 つの証明書が発行されるとします。ロードバランサ

のホスト名を表す Subject Alternative Names (SAN)（この例では、horizon.example.com など）を追加する

ことにより、証明書は、クライアントが指定したホスト名に一致するため、有効になります。

証明書署名要求を認証局 (CA) に送信する場合は、コモンネームおよび SAN 名として外部インターフェイスのロードバランサの仮想 IP アドレス (VIP) を指定します。ユーザーが指定したサーバ名を Unified Access Gateway アプライアンスが解決でき、証明書に関連付けられた名前とそのサーバ名が一致することを確認します。

証明書はポート 443 で使用されます。

ワイルドカード証明書

ワイルドカード証明書は、複数のサービスで使用できるようにするために生成されます。たとえば、*.example.com

のような証明書です。

ワイルドカードは、多数のサーバが証明書を必要とする場合に便利です。Unified Access Gateway アプライアンスの他に、環境内の他のアプリケーションが TLS/SSL 証明書を必要とする場合は、それらのサーバに対してもワイルドカード証明書を使用できます。ただし、他のサービスと共有されるワイルドカード証明書を使用する場合、

VMware Horizon 製品のセキュリティは、それらのサービスのセキュリティにも依存します。

注意ワイルドカード証明書は、単一レベルのドメインでのみ使用できます。たとえば、*.example.com という

サブジェクト名を含むワイルドカード証明書は、サブドメイン dept.example.com では使用できますが、

dept.it.example.com では使用できません。

Unified Access Gateway アプライアンスにインポートする証明書は、クライアントマシンによって信頼される必要があります。また、ワイルドカードまたはサブジェクトの別名 (SAN) 証明書を使用して Unified Access Gateway のすべてのインスタンスと任意のロードバランサに適用できる必要もあります。

証明書ファイルの 1 行 PEM 形式への変換Unified Access Gateway REST API を使用して証明書設定を構成したり、PowerShell スクリプトを使用したりするには、証明書を証明書チェーンおよびプライベートキーの PEM 形式のファイルに変換し、.pem ファイルを埋め込

み改行文字を含む 1 行形式に変換する必要があります。


VMware, Inc. 71

Unified Access Gateway を構成する場合、変換の必要が生じる可能性がある証明書のタイプは 3 つ考えられます。

n 必ず Unified Access Gateway アプライアンス用に TLS/SSL サーバ証明書をインストールして構成する必要があります。

n スマートカード認証を使用する予定の場合、スマートカードに配置する証明書用に信頼された CA が発行する証明書をインストールして構成する必要があります。

n スマートカード認証を使用する予定の場合、Unified Access Gateway アプライアンスにインストールされるSAML サーバ証明書用に CA が署名したルート証明書をインストールして構成することを推奨します。

これらすべての証明書のタイプで、証明書を証明書チェーンが含まれる PEM 形式に変換するために同じ手順を実行します。TLS/SSL サーバ証明書とルート証明書の場合、各ファイルをプライベートキーが含まれる PEM ファイルにも変換します。次に、各 .pem ファイルを JSON 文字列で Unified Access Gateway REST API に渡すことのできる

1 行形式に変換する必要があります。

開始する前に

n 証明書ファイルがあることを確認します。このファイルは PKCS#12（.p12 または .pfx）形式、あるいは Java

JKS または JCEKS 形式にできます。

n 証明書を変換するために使用する openssl コマンドラインツールについて理解しておきます。

https://www.openssl.org/docs/apps/openssl.htmlを参照してください。

n 証明書が Java JKS または JCEKS 形式の場合、.pem ファイルに変換する前に、最初に証明書を .p12 また

は .pks 形式に変換するための Java keytool コマンドラインツールについて理解しておきます。

手順

1 証明書が Java JKS または JCEKS 形式の場合、keytool を使用して証明書を .p12 または .pks 形式に変換し

ます。

重要この変換中、変換元と変換先で同じパスワードを使用します。

2 証明書が PKCS#12（.p12 または .pfx）形式の場合、または証明書を PKCS#12 形式に変換した後には、

openssl を使用して証明書を .pem ファイルに変換します。

たとえば、証明書の名前が mycaservercert.pfx の場合、次のコマンドを使用して証明書を変換します。

openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pemopenssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pemopenssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem

3 mycaservercert.pem を編集し、不要な証明書エントリをすべて削除します。このファイルには、1 つの

SSL サーバ証明書の後に、必要なすべての中間 CA 証明書とルート CA 証明書を含めてください。

4 次の UNIX コマンドを使用して各 .pem ファイルを JSON 文字列で Unified Access Gateway REST API に渡す

ことのできる値に変換します。

awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' <cert-name>.pem


VMware, Inc. 72

https://www.openssl.org/docs/apps/openssl.html

この例で、<cert-name>.pem は証明書ファイルの名前です。証明書はこの例のようになります。

図 5‑1. 単一行の証明書ファイル

この新しい形式では、埋め込み改行文字を含む 1 行に証明書のすべての情報が置かれます。中間証明書がある場合は、中間証明書も 1 行形式に変換し、最初の証明書に追加して両方の証明書が同じ行に存在するようにしてください。

これで、https://communities.vmware.com/docs/DOC-30835のブログ記事「Using PowerShell to DeployVMware Unified Access Gateway」に添付されている PowerShell スクリプトをこれらの .pem ファイルとともに

使用して、Unified Access Gateway の証明書を構成できるようになりました。または、JSON 要求を作成し、これを使用して証明書を構成することもできます。

次に進む前に

CA 署名の証明書で、デフォルトの自己署名証明書を更新できます。「SSL サーバの署名入り証明書の更新」を参照してください。スマートカード認証については、「Unified Access Gateway アプライアンスでの証明書またはスマートカード認証の構成」を参照してください。

TLS や SSL 通信に使用されるセキュリティプロトコルと暗号化スイートの変更ほとんどの場合、デフォルト設定を変更する必要はありませんが、クライアントと Unified Access Gateway アプライアンス間の通信を暗号化するために使用されるセキュリティプロトコルと暗号化アルゴリズムは構成できます。

デフォルト設定では、匿名 DH アルゴリズムを除く 128 ビットまたは 256 ビット AES 暗号化のいずれかを使用する暗号化スイートが含まれており、これらは強度によって並べ替えられます。デフォルトでは、TLS v1.1 と TLS v1.2が有効になっています TLS v1.0 と SSL v3.0 は無効になっています。


VMware, Inc. 73


開始する前に

n Unified Access Gateway REST API について理解しておきます。この API の仕様は、Unified Access Gatewayがインストールされている仮想マシンの次の URL で使用できます：https://<access-point-

appliance.example.com>:9443/rest/swagger.yaml。

n 暗号化スイートとプロトコルを構成するための次に示す特定のプロパティについて理解しておきます。

cipherSuites、ssl30Enabled、tls10Enabled、tls11Enabled、および tls12Enabled。

手順

1 使用するプロトコルと暗号化スイートを指定するための JSON 要求を作成します。

次の例ではデフォルト設定になっています。

{"cipherSuites": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA", "ssl30Enabled": "false", "tls10Enabled": "false", "tls11Enabled": "true", "tls12Enabled": "true"}

2 curl や postman などの REST クライアントを使用し、JSON 要求を使用して Unified Access Gateway REST

API を呼び出し、プロトコルと暗号化スイートを構成します。

この例で、<access-point-appliance.example.com> は Unified Access Gateway アプライアンスの完全修飾ドメイン名です。

curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://<access-point-appliance.example.com>:9443/rest/v1/config/system < ~/<ciphers>.json

<ciphers>.json は前の手順で作成した JSON 要求です。

指定した暗号化スイートとプロトコルが使用されます。


VMware, Inc. 74

DMZ での認証の設定 6Unified Access Gateway を最初にデプロイするときに、Active Directory のパスワード認証がデフォルトとしてセットアップされます。ユーザーが Active Directory のユーザー名とパスワードを入力すると、これらの資格情報が認証のためにバックエンドシステムを介して送信されます。

証明書/スマートカード認証、RSA SecurID 認証、RADIUS 認証、および RSA Adaptive Authentication を実行するように Unified Access Gateway サービスを設定できます。

注意 Active Directory によるパスワード認証は、AirWatch のデプロイ環境で使用できる唯一の認証方法です。


n Unified Access Gateway アプライアンスでの証明書またはスマートカード認証の構成

n Unified Access Gateway での RSA SecurID 認証の構成

n Unified Access Gateway の RADIUS の構成

n Unified Access Gateway での RSA Adaptive Authentication の構成

n Unified Access Gateway SAML メタデータの生成

Unified Access Gateway アプライアンスでの証明書またはスマートカード認証の構成

Unified Access Gateway で X.509 証明書認証を構成すると、クライアントがデスクトップやモバイルデバイス上の証明書や、スマートカードアダプタを使用して認証できます。

証明書による認証は、ユーザーに提供する物（プライベートキーまたはスマートカード）とユーザーに提供する情報（プライベートキーのパスワードまたはスマートカードの PIN）に基づいて行われます。スマートカード認証は、個人が持っているもの（スマートカード）と個人が知っていること (PIN) の両方を検証することによって、2 要素認証を提供します。エンドユーザーは、スマートカードを使用して、リモート側の View デスクトップオペレーティングシステムにログインしたり、スマートカード対応アプリケーションへのアクセス、たとえば、E メール署名用の証明書を使用して送信者の ID を証明する E メールアプリケーションに対して、スマートカードを使用することもできます。

この機能を使用すると、Unified Access Gateway サービスに対してスマートカード証明書の認証が実行されます。Unified Access Gateway は、SAML アサーションを使用してエンドユーザーの X.509 証明書とスマートカードのPIN に関する情報を Horizon Server とやりとりします。

VMware, Inc. 75

証明書失効チェックを構成すると、ユーザー証明書が失効したユーザーは認証されなくなります。証明書は、ユーザー

が組織を離れたとき、スマートカードを紛失したとき、別の部門に異動したときなどに失効します。Online CertificateStatus Protocol (OCSP) による証明書失効チェックがサポートされています。OCSP は、証明書の失効ステータスを取得するために使用される証明書検証プロトコルです。

証明書認証アダプタの構成で OCSP を構成できます。

また、Unified Access Gateway がスマートカード認証を要求するように認証を設定することもできますが、その場合、認証はサーバにもパススルーされるため、Active Directory 認証が必要になる場合があります。

注意 VMware Identity Manager の場合、認証は常に、Unified Access Gateway を介して VMware IdentityManager サービスに渡されます。Unified Access Gateway が Horizon 7 と併用されている場合のみ、Unified Access Gateway アプライアンスでスマートカード認証が実行されるように構成できます。

Unified Access Gateway での証明書認証の設定証明書による認証は、Unified Access Gateway 管理コンソールから有効にして設定します。

開始する前に

n ユーザーから提示された証明書に署名した認証局 (CA) からルート証明書と中間証明書を入手します。「証明機関の証明書の取得」を参照してください。

n Unified Access Gateway の SAML メタデータがサービスプロバイダに追加され、サービスプロバイダの SAMLメタデータが Unified Access Gateway アプライアンスにコピーされていることを確認します。

n （オプション）証明書認証のための有効な証明書ポリシーのオブジェクト識別子 (OID) のリスト。

n 失効チェックの場合、OCSP サーバの URL。

n （オプション）OCSP 応答署名証明書ファイルの場所。

n 認証の前に同意書が表示される場合には、同意書の内容。

手順


2 [全般設定] の [認証設定] セクションで、[表示] をクリックします。

3 X.509 証明書の行でギアアイコンをクリックします。

4 X.509 証明書のフォームを構成します。

アスタリスクは、必須のテキストボックスを示します。他のすべてのテキストボックスはオプションです。


X.509 証明書を有効にする [いいえ] を [はい] に変更すると、証明書認証が有効になります。

*ルートおよび中間 CA 証明書 [選択] をクリックして、アップロードする証明書ファイルを選択します。DER または PEMとしてエンコードされた複数のルート CA および中間 CA 証明書を選択できます。

証明書の失効を有効にする [いいえ] を [はい] に変更すると、証明書の失効チェックが有効になります。失効チェックにより、ユーザー証明書が失効したユーザーは認証されなくなります。


VMware, Inc. 76


OCSP の失効を有効にする証明書検証プロトコルとして Online Certificate Status Protocol (OCSP) を使用して、証明書の失効ステータスを取得するには、このチェックボックスをオンにします。

OCSP Nonce を送信する応答時に、OCSP 要求の一意の ID を送信する場合は、このチェックボックスをオンにします。

OCSP URL OCSP による失効を有効にした場合は、失効チェック用の OCSP サーバアドレスを入力します。

証明書の OCSP の URL を使用する OCSP URL を使用するには、このチェックボックスをオンにします。

認証前に同意書を有効にするユーザーが証明書認証を使用して Workspace ONE ポータルにログインする前に同意書ページを表示するには、このチェックボックスをオンにします。


次に進む前に

X.509 証明書認証を構成し、ロードバランサの背後で Unified Access Gateway アプライアンスがセットアップされている場合、ロードバランサで Unified Access Gateway が SSL パススルーで構成されており、ロードバランサで SSL を終端させないように構成します。この構成では、Unified Access Gateway とクライアント間で SSL ハンドシェークを確実に実行し、Unified Access Gateway に証明書を渡すことができます。

証明機関の証明書の取得

ユーザーまたは管理者が提示したスマートカード上のすべての信頼されたユーザー証明書について、該当するすべての CA（証明機関）の証明書を取得する必要があります。これらの証明書にはルート証明書が含まれ、ユーザーのスマートカード証明書が中間証明機関によって発行された場合には中間証明書が含まれる場合があります。

ユーザーおよび管理者によって提示されたスマートカード上の証明書に署名した CA のルート証明書または中間証明書を持っていない場合、CA が署名したユーザー証明書またはそれを含むスマートカードから証明書をエクスポートできます。「Windows からの CA 証明書の取得」を参照してください。

手順

u CA の証明書は次のいずれかの発行元から取得します。

n Microsoft Certificate Services を実行する Microsoft IIS サーバ。Microsoft IIS のインストール、証明書の発行、および組織内での証明書配布の詳細については、Microsoft TechNet の Web サイトを参照してください。

n 信頼された CA の公開ルート証明書。これは、スマートカードインフラストラクチャがすでに使用されていて、スマートカードの配布および認証方法が標準化されている環境で最もよく利用されるルート証明書の発行元です。

次に進む前に

ルート証明書と中間証明書のいずれかまたは両方をサーバ信頼ストアファイルに追加します。

Windows からの CA 証明書の取得

CA が署名したユーザー証明書またはそれを含むスマートカードがあり、Windows でルート証明書が信頼される場合は、そのルート証明書を Windows からエクスポートできます。ユーザー証明書の発行元が中間証明機関である場合は、その証明書をエクスポートできます。


VMware, Inc. 77

手順

1 ユーザー証明書がスマートカード上にある場合は、そのスマートカードをリーダに挿入して、ユーザー証明書を個人用ストアに追加します。

ユーザー証明書が個人用ストアに表示されない場合は、リーダソフトウェアを使用してユーザー証明書をファイルにエクスポートします。このファイルは、この操作の手順 4 で使用されます。

2 Internet Explorer で [ツール] - [インターネットオプション] を選択します。

3 [コンテンツ] タブで [証明書] をクリックします。

4 [個人] タブで、使用する証明書を選択し、[表示] をクリックします。

ユーザー証明書がリストに表示されない場合は、[インポート] をクリックして手動でファイルからインポートします。証明書がインポートされると、その証明書をリストから選択できます。

5 [証明のパス] タブで、ツリーの最上位にある証明書を選択して [証明書を表示] をクリックします。

ユーザー証明書が信頼階層の一部として署名されている場合は、署名する証明書が別の上位の証明書によって署

名されていることがあります。親証明書（ユーザー証明書に実際に署名した証明書）をルート証明書として選択

してください。場合によっては発行元が中間 CA となります。

6 [詳細] タブで [ファイルにコピー] をクリックします。

[証明書のエクスポートウィザード] が表示されます。

7 [次へ] - [次へ] をクリックし、エクスポートするファイルの名前と場所を入力します。

8 [次へ] をクリックして、指定した場所にファイルをルート証明書として保存します。

次に進む前に

CA 証明書をサーバ信頼ストアファイルに追加します。

Unified Access Gateway での RSA SecurID 認証の構成Unified Access Gateway アプライアンスを RSA SecurID サーバの認証エージェントとして構成したら、Unified Access Gateway アプライアンスに RSA SecurID 構成情報を追加する必要があります。

開始する前に

n RSA Authentication Manager（RSA SecurID サーバ）がインストールされ、正しく構成されていることを確認します。

n 圧縮ファイル sdconf.rec を RSA SecurID サーバからダウンロードし、サーバ構成ファイルを展開します。

手順



3 RSA SecurID の行でギアアイコンをクリックします。


VMware, Inc. 78

4 [RSA SecurID] ページを構成します。

RSA SecurID サーバで使用される情報と生成されるファイルは、[SecurID] ページを構成する際に必要です。

オプションアクション

RSA SecurID を有効にする

[いいえ] を [はい] に変更すると、SecurID 認証が有効になります。

*名前名前は <securid-auth> です。

*反復回数許可される認証試行回数を入力します。これは、RSA SecurID トークンを使用する場合のログイン失敗が許可される最大回数です。デフォルトは、5 回です。

注意複数のディレクトリが構成されており、追加のディレクトリを使用して RSA SecurID 認証を実装するときは、各 RSASecurID と同じ値を [許可されている認証試行回数] に設定します。この値が同一でない場合、SecurID 認証は失敗します。

*外部ホスト名 Unified Access Gateway インスタンスの IP アドレスを入力します。入力する値は、認証エージェントとしてUnified Access Gateway アプライアンスを RSA SecurID サーバに追加するときに使用した値と一致する必要があります。

*内部ホスト名 RSA SecurID サーバの [IP アドレス] プロンプトに割り当てられている値を入力します。

*サーバ構成 [変更] をクリックして、RSA SecurID サーバの構成ファイルをアップロードします。最初に、RSA SecurID サーバから圧縮ファイルをダウンロードしてサーバ構成ファイル（デフォルトの名前は sdconf.rec）を解凍する必要があります。

*名前 ID のサフィックス

nameId には <@somedomain.com> と入力します。ドメイン名などの追加コンテンツを RADIUS サーバまたは RSASecurID サーバに送信するために使用されます。たとえば、ユーザーが <user1> としてログインすると、サーバには<[email protected]> が送信されます。

Unified Access Gateway の RADIUS の構成RADIUS 認証の使用をユーザーに要求するように Unified Access Gateway を構成できます。RADIUS サーバ情報はUnified Access Gateway アプライアンス上で構成します。

RADIUS サポートは、さまざまな代替 2 要素トークンベースの認証オプションを提供します。RADIUS などの二要素認証ソリューションは、別のサーバでインストールされている認証マネージャと連携動作するため、Identity Managerサービスにアクセスできる構成済みの RADIUS サーバが必要となります。

ユーザーがログインするときに RADIUS 認証が有効になっていると、特別なログインダイアログボックスがブラウザに表示されます。ユーザーは RADIUS 認証のユーザー名とパスコードをログインダイアログボックスに入力します。RADIUS サーバがアクセスチャレンジを発行する場合は、Unified Access Gateway によって、2 つ目のパスコードの入力を求めるダイアログボックスが表示されます。RADIUS チャレンジの現在のサポートは、テキスト入力に対するプロンプトの表示に限られます。

ユーザーがダイアログボックスに認証情報を入力したら、ユーザーの携帯電話に対し、コードとともに、RADIUSサーバから SMS テキストメッセージやメールを送信したり、他の何らかのアウトオブバンドメカニズムを使用してテキストを送信したりできます。ユーザーはこのテキストとコードをログインダイアログボックスに入力して、認証を完了できます。

Active Directory からユーザーをインポートできる RADIUS サーバの場合、エンドユーザーは、RADIUS 認証のユーザー名とパスコードの入力を求められる前に、まず Active Directory 認証情報の入力を求められることがあります。


VMware, Inc. 79

RADIUS 認証の構成

Unified Access Gateway アプライアンスでは、RADIUS 認証を有効にして、RADIUS サーバの設定を入力し、認証タイプを RADIUS 認証に変更する必要があります。

開始する前に

n 認証マネージャのサーバとして使用するサーバに RADIUS ソフトウェアがインストールされ構成されていることを確認します。RADIUS サーバをセットアップし、Unified Access Gateway の RADIUS 要求を設定します。RADIUS サーバの設定に関する詳細については、RADIUS ベンダーのセットアップガイドを参照してください。

次の RADIUS サーバ情報は必須です

n RADIUS サーバの IP アドレスまたは DNS 名。

n 認証ポート番号。認証ポートは、通常 1812 です。

n 認証タイプ。認証タイプには、PAP（パスワード認証プロトコル）、CHAP（チャレンジハンドシェイク認証プロトコル）、MSCHAP1 および MSCHAP2（Microsoft チャレンジハンドシェイク認証プロトコル、バージョン1 および 2）があります。

n RADIUS プロトコルメッセージで暗号化および復号化に使用される RADIUS 共有シークレット。

n RADIUS 認証に必要な特定のタイムアウトおよび再試行の値。

手順



3 RADIUS の行でギアアイコンをクリックします。


RADIUS を有効にする

[いいえ] を [はい] に変更すると、RADIUS 認証が有効になります。

名前* 名前は radius-auth です

認証タイプ* RADIUS サーバでサポートされている認証プロトコルを入力します。PAP、CHAP、MSCHAP1、MSCHAP2 のいずれかを入力します。

共有シークレット

*RADIUS 共有シークレットを入力します。

許可されている認

証試行回数*RADIUS を使用してログインする場合のログイン失敗が許可される最大回数を入力します。デフォルトは、3 回です。

RADIUS サーバへの試行回数*

再試行の合計回数を入力します。プライマリサーバが反応しない場合、サービスは決められた時間が経つまで待機してから再試行します。

秒単位のサーバタイムアウト*

RADIUS サーバのタイムアウトを秒単位で入力します。この時間が経過しても RADIUS サーバが応答しない場合には、再試行が送信されます。

RADIUS サーバのホスト名*

RADIUS サーバのホスト名または IP アドレスを入力します。

認証ポート* Radius 認証のポート番号を入力します。ポートは、通常 1812 です。


VMware, Inc. 80


レルムプリフィックス

（オプション）ユーザーアカウントの場所はレルムと呼ばれます。

レルムのプリフィックス文字列を指定すると、ユーザー名が RADIUS サーバに送信されるときに、その文字列が名前の先頭に追加されます。たとえば、jdoe というユーザー名が入力され、レルムのプリフィックスとして DOMAIN-A\ が指定された場合は、DOMAIN-A\jdoe というユーザー名が RADIUS サーバに送信されます。これらのフィールドを構成しない場合は、入力したユーザー名だけが送信されます。

レルムのサフィッ

クス

（オプション）レルムのサフィックスを構成すると、その文字列はユーザー名の末尾に追加されます。たとえば、サフィッ

クスが @myco.com の場合は、[email protected] というユーザー名が RADIUS サーバに送信されます。

名前 ID のサフィックス

NameId には <@somedomain.com> と入力します。ドメイン名などの追加コンテンツを RADIUS サーバまたは RSASecurID サーバに送信するために使用されます。たとえば、ユーザーが <user1> としてログインすると、サーバには<[email protected]> が送信されます。

ログインページのパスフレーズのヒ

ント

正しい RADIUS パスコードの入力をユーザーに促すために、ユーザーログインページに表示するテキスト文字列を入力します。たとえば、このフィールドに [Active Directory パスワード、それから SMS パスコード] と設定すると、ログインページのメッセージでは [Active Directory パスワード、それから SMS パスコードを入力してください] のように表示されます。デフォルトのテキスト文字列は、[RADIUS Passcode] です。

セカンダリサーバを有効にする

[いいえ] を [はい] に変更して、セカンダリ RADIUS サーバを構成し高可用性環境を構築します。セカンダリサーバの情報は、手順 3 の説明に従って構成します。


Unified Access Gateway での RSA Adaptive Authentication の構成RSA Adaptive Authentication は、Active Directory に対するユーザー名とパスワードだけの認証よりも強固な複数要素の認証を実現するよう実装できます。Adaptive Authentication により、リスクレベルとポリシーに基づいて、ユーザーのログイン試行が監視され、認証されます。

Adaptive Authentication が有効になっている場合は、RSA Policy Management アプリケーションでセットアップされるリスクポリシーで指定されたリスク指標、およびアダプティブ認証の Unified Access Gateway 構成を使用して、ユーザー名とパスワードでユーザー認証を行うかどうかや、ユーザー認証に追加情報が必要かどうかが決定

されます。

サポートされている RSA Adaptive Authentication 認証方法

Unified Access Gateway でサポートされている RSA Adaptive Authentication による強固な認証方法は、電話、E メール、または SMS テキストメッセージ経由のアウトオブバンド認証とチャレンジ質問です。サービス上で、提供できる RSA Adaptive Authentication 認証方法を有効にします。RSA Adaptive Authentication ポリシーにより、使用されるセカンダリ認証方法が決まります。

アウトオブバンド認証は、ユーザー名とパスワードに加えて、追加検証の送信を必要とするプロセスです。ユーザー

は RSA Adaptive Authentication サーバに登録する際に、サーバ構成に応じて、メールアドレス、電話番号、またはその両方を提供します。追加検証が必要な場合は、提供されたチャネルを使用して、RSA Adaptive Authenticationサーバからワンタイムパスコードが送信されます。ユーザーは、自身のユーザー名とパスワードに加えて、そのパスコードを入力します。

チャレンジ質問では、ユーザーに対し、RSA Adaptive Authentication サーバに登録する際に一連の質問に回答するよう求めます。登録のために尋ねる質問の数、およびログインページで表示するチャレンジ質問の数は設定可能です。


VMware, Inc. 81

RSA Adaptive Authentication サーバによるユーザーの登録

アダプティブ認証を使用して認証を行うためには、RSA Adaptive Authentication データベースで、ユーザーのプロビジョニングを行う必要があります。ユーザーは、ユーザー名とパスワードで初めてログインしたときに、RSAAdaptive Authentication データベースに追加されます。RSA Adaptive Authentication のサービスでの構成内容に応じて、ユーザーはログインするときにメールアドレス、電話番号、テキストメッセージングサービス番号 (SMS)を提供するよう求められたり、チャレンジ質問に返答するよう求められたりします。

注意 RSA Adaptive Authentication では、ユーザー名での国際文字の使用は許可されていません。ユーザー名でのマルチバイト文字の使用を許可する場合は、RSA サポートに問い合わせて、RSA Adaptive Authentication と RSAAuthentication Manager を構成してください。

Unified Access Gateway での RSA Adaptive Authentication の構成サービス上で RSA Adaptive Authentication を構成するには、RSA Adaptive Authentication を有効にします。有効にするには、適用するアダプティブ認証方法を選択し、Active Directory の接続情報と証明書を追加します。

開始する前に

n セカンダリ認証に使用する認証方法で正しく構成されている RSA Adaptive Authentication。

n SOAP エンドポイントアドレスおよび SOAP ユーザー名についての詳細。

n Active Directory 構成情報および有効な Active Directory SSL 証明書。

手順



3 RSA Adaptive Authentication の行でギアアイコンをクリックします。

4 お使いの環境に適切な設定を選択します。

注意アスタリスクは、必須フィールドを示します。その他のフィールドはオプションです。


RSA AA アダプタを有効にする [いいえ] を [はい] に変更すると、RSA Adaptive Authentication が有効になります。

名前* 名前は rsaaa-auth です。

SOAP エンドポイント* RSA Adaptive Authentication アダプタとサービスを統合する SOAP エンドポイントアドレスを入力します。

SOAP ユーザー名* SOAP メッセージへの署名に使用されるユーザー名とパスワードを入力します。

SOAP パスワード* RSA Adaptive Authentication SOAP API のパスワードを入力します。

RSA ドメイン Adaptive Authentication サーバのドメインアドレスを入力します。

OOB メールを有効にする [はい] を選択すると、メールメッセージを使用してエンドユーザーにワンタイムパスコードを送信するアウトオブバンド認証が有効になります。

OOB SMS を有効にする [はい] を選択すると、SMS のテキストメッセージを使用してエンドユーザーにワンタイムパスコードを送信するアウトオブバンド認証が有効になります。


VMware, Inc. 82


SecurID を有効にする SecurID を有効にするには、[はい] を選択します。ユーザーは、RSA トークンとパスコードの入力を求められます。

秘密の質問を有効にする認証に登録とチャレンジ質問を使用する場合は、[はい] を選択します。

登録のための質問数* ユーザーが Authentication Adapter サーバに登録するときにセットアップする必要がある質問数を入力します。

チャレンジのための質問数* ユーザーがログインするために正しく回答する必要があるチャレンジ質問数を入力します。

許可されている認証試行回数* ログインしようとしているユーザーに対し、チャレンジ質問を表示する回数を入力します。

ユーザーの試行回数がこの回数を超えると、認証失敗になります。

ディレクトリのタイプ* サポートされているディレクトリは、Active Directory だけです。

SSL を使用ディレクトリ接続に SSL を使用する場合、[はい] を選択します。Active Directory SSL 証明書を [ディレクトリ証明書] フィールドに追加します。

サーバのホスト* Active Directory のホスト名を入力します。

サーバポート Active Directory のポート番号を入力します。

DNS サービスロケーションを使用ディレクトリ接続に DNS サービスロケーションを使用する場合は、[はい] を選択します。

ベース DN アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。

バインド DN* ユーザーを検索できるアカウントを入力します。たとえば、

CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。

バインドパスワードバインド DN アカウントのパスワードを入力します。

検索属性ユーザー名を含むアカウント属性を入力します。

ディレクトリ証明書安全な SSL 接続を確立するには、ディレクトリサーバの証明書をテキストボックスに追加します。サーバが複数の場合は、証明機関のルート証明書を追加します。

STARTTLS を使用 STARTTLS を使用するには、[いいえ] を [はい] に変更します。


Unified Access Gateway SAML メタデータの生成SAML メタデータを Unified Access Gateway アプライアンスで生成し、メタデータをサーバと交換して、スマートカード認証に必要な相互信頼を確立する必要があります。

Security Assertion Markup Language (SAML) は、さまざまなセキュリティドメイン間で認証情報および権限情報を記述および交換するための XML ベースの標準です。SAML は、ID プロバイダとサービスプロバイダ間において、SAML アサーションと呼ばれる XML ドキュメントでユーザーに関する情報の受け渡しを行います。このシナリオでは、Unified Access Gateway が ID プロバイダでサーバがサービスプロバイダです。


VMware, Inc. 83

開始する前に

n アプライアンスの時刻が正確になるように、Unified Access Gateway アプライアンスの時計 (UTC) を構成します。たとえば、Unified Access Gateway 仮想マシンでコンソールウィンドウを開き、矢印ボタンを使用して正しいタイムゾーンを選択します。また、ESXi ホストの時刻が NTP サーバと同期されていることを確認し、アプライアンス仮想マシンで実行されている VMware Tools が仮想マシンの時刻を ESXi ホストの時刻と同期することを確認します。

重要 Unified Access Gateway アプライアンスの時計がサーバホストの時計と一致していないと、スマートカード認証が機能しない可能性があります。

n Unified Access Gateway のメタデータに署名するために使用できる SAML 署名証明書を取得します。

注意セットアップに複数の Unified Access Gateway アプライアンスがある場合、特定の SAML 署名証明書を作成して使用することを推奨します。この場合、すべてのアプライアンスを同じ署名証明書で構成し、サーバが

任意の Unified Access Gateway アプライアンスからアサーションを受け入れるようにする必要があります。1つの SAML 署名証明書を使用する場合、すべてのアプライアンスからの SAML メタデータが同じになります。

n まだそのようにしていない場合、SAML 署名証明書を PEM 形式のファイルに変換し、.pem ファイルを 1 行形

式に変換します。「証明書ファイルの 1 行 PEM 形式への変換」を参照してください。

手順

1 管理ユーザーインターフェイスの [手動構成] セクションで、[選択] をクリックします。

2 [詳細設定] セクションで、[SAML ID プロバイダ設定] ギアアイコンをクリックします。

3 [証明書の提供] チェックボックスを選択します。

4 プライベートキーファイルを追加するには、[選択] をクリックして、証明書のプライベートキーファイルを見つけます。

5 証明書チェーンファイルを追加するには、[選択] をクリックして、証明書チェーンファイルを見つけます。


7 [ホスト名] テキストボックスにホスト名を入力し、ID プロバイダの設定をダウンロードします。

その他のサービスプロバイダで使用される SAML 認証子の作成Unified Access Gateway アプライアンスで SAML メタデータを生成したら、そのデータをバックエンドサービスプロバイダにコピーできます。このデータのサービスプロバイダへのコピーは、Unified Access Gateway を ID プロバイダとして使用できるようにするための SAML 認証子の作成手順に含まれます。

Horizon Air サーバの場合は、製品ドキュメントで固有の手順を確認してください。


VMware, Inc. 84

Unified Access Gateway へのサービスプロバイダ SAML メタデータのコピーUnified Access Gateway を ID プロバイダとして使用できるように SAML 認証子を作成して有効にすると、そのバックエンドシステムに SAML メタデータを生成し、メタデータを使用して Unified Access Gateway アプライアンスにサービスプロバイダを作成できます。このデータ交換により、ID プロバイダ (Unified Access Gateway) とバックエンドサービスプロバイダ（View 接続サーバなど）の間で信頼が確立されます。

開始する前に

Unified Access Gateway の SAML 認証子をバックエンドサービスプロバイダのサーバに作成済みであることを確認します。

手順

1 サービスプロバイダ SAML メタデータを取得します。このメタデータは一般に XML ファイル形式です。

手順については、サービスプロバイダのドキュメントを参照してください。

手順はサービスプロバイダごとに異なります。たとえば、ブラウザを開き、https://<connection-server.example.com>/SAML/metadata/sp.xml などの URL を入力する必要があります。

次に、[別名で保存] コマンドを使用して Web ページを XML ファイルに保存できます。このファイルの内容は次のテキストで始まります。

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ...

2 Unified Access Gateway 管理ユーザーインターフェイスの [手動設定] セクションで、[選択] をクリックします。

3 [詳細設定] セクションで、[SAML サーバプロバイダ設定] ギアアイコンをクリックします。

4 [サービスプロバイダ名] テキストボックスに、サービスプロバイダ名を入力します。

5 [メタデータ XML] テキストボックスに、手順 1 で作成したメタデータファイルを貼り付けます。


これで、Unified Access Gateway とサービスプロバイダが認証情報および権限情報を交換できるようになりました。


VMware, Inc. 85

Unified Access Gateway デプロイのトラブルシューティング 7さまざまな手順で、自社環境に Unified Access Gateway をデプロイするときに発生する問題を診断および修正できます。

トラブルシューティングの手順を使用して問題の原因を調べ、解決を試みることも、VMware のテクニカルサポートから支援を受けることもできます。


n デプロイされたサービスの健全性の監視

n デプロイに関する問題のトラブルシューティング

n Cert-to-Kerberos のトラブルシューティング

n エンドポイントコンプライアンスのトラブルシューティング

n 管理ユーザーインターフェイスでの証明書の検証のトラブルシューティング

n root ログインの問題のトラブルシューティング

n Unified Access Gateway アプライアンスからのログの収集

n Unified Access Gateway 設定のエクスポート

デプロイされたサービスの健全性の監視

管理ユーザーインターフェイスの [Edge 設定] から、デプロイされたサービスが設定され、正常に実行していることを素早く確認することができます。

図 7‑1. 健全性チェック

VMware, Inc. 86

サービスの前に丸印が表示されます。色の意味は以下のとおりです。

n 空白の丸印は、設定が構成されていないことを示します。

n 赤色の丸印は、サービスが停止していることを示します。

n 黄色の丸印は、サービスが一部実行されていることを示します。

n 緑色の丸印は、サービスが問題なく実行していることを示します。

デプロイに関する問題のトラブルシューティング

自社環境に Unified Access Gateway をデプロイするときに、問題が発生する場合があります。デプロイに関する問題の診断および修正には、さまざまな手順を使用できます。

インターネットからダウンロードしたスクリプトを実行するときにセキュリティの警告が表示される

この PowerShell スクリプトが、実行しようとしているスクリプトであることを確認してから、PowerShell コンソールで次のコマンドを実行します。

unblock-file .\apdeploy.ps1

ovftool コマンドが見つからない

Windows マシンに OVF Tool ソフトウェアをインストールしていること、またスクリプトが使用する場所にインストールされていることを確認します。

プロパティ netmask1 における無効なネットワークn このメッセージは、netmask0、netmask1 または netmask2 を示す場合があります。netInternet、

netManagementNetwork、および netBackendNetwork など、3 つの各ネットワークの .INI ファイルで値が設定されていることを確認します。

n vSphere ネットワークプロトコルプロファイルが参照されるすべてのネットワーク名に関連付けられていることを確認します。これは、IPv4 サブネットマスク、ゲートウェイなどのネットワーク設定を指定します。関連付けられているネットワークプロトコルプロファイルの各設定値が正しいことを確認します。

サポートされないオペレーティングシステムの識別子という警告メッセージ

SUSE Linux Enterprise Server 12.0 64 ビットの指定されたオペレーティングシステム識別子 (id:85) が、選択されたホストでサポートされないという警告メッセージが表示されます。これは、別の Linux（64 ビット）のオペレーティングシステム識別子にマッピングされます。

この警告メッセージは無視してください。サポートされるオペレーティングシステムに自動的にマッピングされます。


VMware, Inc. 87

RSA SecurID 認証の Unified Access Gateway 構成

.INI ファイルの Horizon のセクションに次の行を追加します。

authMethods=securid-auth && sp-authmatchWindowsUserName=true

.INI ファイルの最後に新しいセクションを追加します。

[SecurIDAuth]serverConfigFile=C:\temp\sdconf.recexternalHostName=192.168.0.90internalHostName=192.168.0.90

両方の IP アドレスを、Unified Access Gateway の IP アドレスに設定する必要があります。sdconf.rec ファイルは、RSA Authentication Manager から入手します。RSA Authentication Manager はすべて構成する必要があります。Access Point 2.5 以降（または Unified Access Gateway 3.0 以降）を使用しており、Unified Access Gatewayからネットワーク上の RSA Authentication Manager サーバにアクセスできることを確認します。RSA SecurID に対して設定された Unified Access Gateway を再デプロイするには、apdeploy Powershell コマンドを再実行します。

ロケータがオブジェクトを参照していない

このエラーは、vSphere OVF Tool が使用する target= の値が vCenter Server 環境で正しくないことを通知しています。vCenter Server のホストやクラスタを参照するために使用される target の形式の例については、https://communities.vmware.com/docs/DOC-30835 にある表を参照してください。トップレベルオブジェクトは次のように指定されます。

target=vi://[email protected]:[email protected]/

オブジェクトには、次のレベルで使用する可能性がある名前が表示されます。

target=vi://[email protected]:[email protected]/Datacenter1/target=vi://[email protected]:[email protected]/Datacenter1/hosttarget=vi://[email protected]:[email protected]/Datacenter1/host/Cluster1/ortarget=vi://[email protected]:[email protected]/Datacenter1/host/esxhost1

target で使用されるフォルダ名、ホスト名、クラスタ名では大文字小文字が区別されます。

エラーメッセージ：「Unable to retrieve client certificate from session: sessionId（セッションからクライアント証明書を取得できません：sessionId）」n ユーザー証明書がブラウザに正しくインストールされていることを確認します。

n デフォルトの TLS プロトコルバージョン 1.1 および 1.2 がブラウザおよび Unified Access Gateway で有効になっていることを確認します。


VMware, Inc. 88


Chrome ブラウザで起動した VMware vSphere Web Client を使用して、Unified Access Gateway ova をデプロイできない

Client Integration Plugin を、vSphere Web Client に ova ファイルをデプロイするために使用するブラウザにインストールする必要があります。Chrome ブラウザにプラグインをインストールした後、ブラウザがインストールされていないことを示すエラーメッセージが表示され、ソースの場所に ova ファイルの URL を入力できなくなります。これは、Chrome ブラウザの問題であり、Unified Access Gateway ova には関係しません。別のブラウザを使用して Unified Access Gateway ova をデプロイしてください。

Cert-to-Kerberos のトラブルシューティング自社環境で Cert-to-Kerberos を構成するときに、問題が発生する場合があります。これらの問題の診断および修正には、さまざまな手順を使用できます。

Kerberos コンテキストの作成エラー：クロックスキューが大きすぎます

次のエラーメッセージ：

ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. Identity bridging may not workjavax.security.auth.login.LoginException: Clock skew too great"

は、Unified Access Gateway の時間と Active Directory サーバの時間の同期が大幅にずれている場合に表示されます。Unified Access Gateway の正確な UTC 時間に一致するように Active Directory サーバ上で時間をリセットします。

Kerberos コンテキストの作成エラー：名前またはサービスが不明です

次のエラーメッセージ：

wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Name or service not known

は、設定したレルムに Unified Access Gateway が到達できないか、キータブファイルのユーザーの詳細を使用して KDC に接続できない場合に表示されます。以下を確認します。

n キータブファイルが正しい SPN ユーザーアカウントパスワードを使用して生成され、Unified Access Gatewayにアップロードされる。

n バックエンドアプリケーションの IP アドレスとホスト名がホストエントリに正しく追加される。


VMware, Inc. 89

エラーメッセージ：Unable to retrieve client certificate from session:<sessionId>（セッションからクライアント証明書を取得できません：<sessionId>）

このメッセージが表示される場合：

n X.509 証明書の設定を確認し、構成されているかどうかを判断します。

n X.509 証明書の設定が構成されている場合：クライアント側のブラウザにインストールされているクライアント証明書をチェックし、X.509 証明書設定の [ルートおよび中間 CA 証明書] フィールドにアップロードされているものと同じ認証局 (CA) によって発行されたものであるかを確認します。

エラーメッセージ：Internal error.Please contact your administrator（内部エラーです。管理者にお問い合わせください。）

/opt/vmware/gateway/logs/authbroker.log でメッセージの詳細を確認します

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN

failed with "Could not send OCSP request to responder: Connection refused

(Connection refused) , will attempt CRL validation"

これは、[X.509 証明書] で構成された OCSP URL にアクセスできない、または正しくない場合に表示されます。

OCSP 証明書が無効の場合のエラー

"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with

"Could not verify signing certificate for OCSP

responder:http://asdkad01/ocsp". will attempt CRL validation."

は、OCSP に対して無効な証明書がアップロードされた場合、または OCSP 証明書が失効した場合に表示されます。

OCSP 応答の検証が失敗した場合のエラー

"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response:

CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-

http--26] WARN revocation.RevocationCheck: OSCP validation of CN=clientCert

failed with "Could not verify signing certificate for OCSP responder:

http://asdkad01/ocsp". will attempt CRL validation."

は、OCSP 応答の検証に失敗すると表示される場合があります。


VMware, Inc. 90

ユーザーの Kerberos トークンの受信エラー: [email protected]、エラー:Kerberos 委譲エラー: メソッド名: gss_acquire_cred_impersonate_name: 不明な GSS 障害。マイナーコードに詳細情報が提供されている可能性があります。

"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name:

Server not found in Kerberos database"

このメッセージが表示される場合は、以下を確認してください。

n ドメイン間の信頼が機能している。

n ターゲット SPN 名が正しく構成されている。

エンドポイントコンプライアンスのトラブルシューティング自社環境でエンドポイントコンプライアンスチェックのプロバイダをデプロイするときに、問題が発生する場合があります。デプロイに関する問題の診断および修正には、さまざまな手順を使用できます。

注意 Esmanager.log は、コンプライアンスチェックに使用されるデバイスの MAC アドレスに関する情報を記

録します。これは、デバイスに複数の NIC がある場合、または異なるネットワークへのスイッチがある場合にエンドポイントコンプライアンスチェックに使用される MAC アドレスを特定するのに便利です。

Unified Access Gateway に「不正なクライアント認証情報」と表示される

Unified Access Gateway は、OPSWAT API を呼び出して、提供されるクライアントキーおよびクライアントシークレットを検証します。認証情報が不正な場合、設定は保存されず、その結果

Bad client credentials（不正なクライアント認証情報）

というエラーが発生します。

[ユーザー名] と [パスワード] フィールドに正しいクライアントキーとクライアントシークレットが入力されていることを確認します。

クライアント認証情報を生成するには、アプリケーションをここ https://gears.opswat.com/o/app/register に登録します。

Unified Access Gateway に「DNS がホスト https://gears.opswat.comを解決できません」と表示される

ping コマンドを使用して、地域の gears.opswat.com の IP アドレスを検出します。

次に、ping コマンドからの IP アドレスを使用して https://gears.opswat.com の /etc/hosts エントリ

を作成します。管理ユーザーインターフェイスから Horizon の設定に移動し、[ホストエントリ] に View EdgeService の値を指定します。


VMware, Inc. 91

Unified Access Gateway に「ホスト https://gears.opswat.com に接続中に要求がタイムアウトしました」と表示される

これは、gears.opswat.com のホストエントリが UAG で正しく構成されていない場合、または

https://gears.opswat.com で接続要求が受け入れられない場合に発生します。

管理ユーザーインターフェイスでの証明書の検証のトラブルシューティング

証明書の PEM 形式を検証する時にエラーが発生した場合は、以下のエラーメッセージで詳細を確認してください。

ここで、エラーを引き起こす可能性のあるシナリオの一覧が示されます。

エラー問題

PEM 形式が無効です。BEGIN 形式が間違っている可能性があります。詳細についてはログを参照してください。

PrivateKey BEGIN 証明書が無効です。

PEM 形式が無効です。例外メッセージ：----END RSA PRIVATE KEY が見つかりません。詳細についてはログを参照してください。

PrivateKey END 証明書が無効です。

PEM 形式が無効です。例外メッセージ：RSA プライベートキーの作成中に問題が発生しました：java.lang.IllegalArgumentException：バイト[] からシーケンスを構築できませんでした：ストリームが破損しています- 範囲外の長さが見つかりました。詳細についてはログを参照してください。

証明書の PrivateKey が破損しています。

PEM 文字列から証明書を解析できませんでした。詳細についてはログを参照してください。

PublicKey BEGIN 証明書が無効です。

不正な形式の PEM データが見つかりました。詳細についてはログを参照してください。

PublicKey END 証明書が無効です。

不正な形式の PEM データが見つかりました。詳細についてはログを参照してください。

証明書の PublicKey が破損しています。

チェーンを構築するためのターゲット/終了証明書がありません。ターゲット/終了証明書がありません。

証明書チェーンのパスを構築できません。すべてのターゲット証明書が無

効です。中間/ルート証明書が欠落している可能性があります。構築する証明書チェーンがありません。

あいまいなエラー：複数の証明書チェーンが見つかり、どのチェーンが返

されるのかが不明です

複数の証明書チェーンがあります。

証明書チェーンのパスを構築できません。CertificateExpiredException:< 20171206054737GMT+00:00> で証明書は期限切れです。詳細についてはログを参照してください。

証明書の期限が切れました。

root ログインの問題のトラブルシューティング正しいユーザー名とパスワードで Unified Access Gateway コンソールに root としてログインして、「不正なログインです (Login incorrect)」というエラーが返される場合は、キーボードマッピングの問題を確認し、root パスワードをリセットします。


VMware, Inc. 92

ログインエラーが発生する場合は、いくつかの原因が考えられます。

n 使用されているキーボードが Unified Access Gateway のキーボード定義に従って特定のパスワード文字を正しくマップしていない。

n パスワードの有効期限が切れている。root パスワードは、ova を展開してから 365 日後に有効期限が切れます。

n アプライアンスのデプロイ時に、パスワードが正しく設定されなかった。これは、Unified Access Gateway の古いバージョンの既知の問題です。

n パスワードを忘れた。

キーボードが文字を正しくマッピングしていることをテストするには、「Login:」ユーザー名プロンプトに対してパスワードを入力します。これで、パスワードの各文字を表示でき、誤って解釈された文字がないかを確認することが

できます。

他の原因が考えられる場合は、アプライアンスの root パスワードをリセットしてください。

注意 root パスワードをリセットするには、以下の条件を満たす必要があります。

n vCenter Server へのログインアクセス権がある。

n vCenter Server のログインパスワードを知っている。

n アプライアンスコンソールへのアクセス権がある。

アプライアンスの Grub 2 ブートローダメニューのパスワードを設定している場合は、この手順の一部としてそのパスワードを入力する必要があります。

手順

1 vCenter Server からアプライアンスを再起動し、すぐにコンソールに接続します。

2 起動メニューが表示されたら、すぐにスペースバーを押し、自動ブートを無効にします。

3 矢印キーを使用して [SLES12] をハイライト表示し、[e] と入力してコマンドを編集します。Unified Access Gateway 3.1 を実行していて、Grub 2 のパスワードを設定した場合は、ユーザー名 (「root」) とGrub 2 パスワードを入力します。パスワードはデフォルトで設定され、Unified Access Gateway をデプロイしたときに設定した root パスワードと同じです。

別のバージョンの Unified Access Gateway を実行している場合は、コンソールに明示的にログインして Grub2パスワードを設定しない限り、ユーザー名とパスワードの入力は求められません。詳細については、「Grub2 パスワードについて」を参照してください。


VMware, Inc. 93

4 カーソルを表示されたテキストの下部に移動し、showopts というテキストの後に配置します。

5 init=/bin/sh の前にスペースを入力します。

6 [Ctrl-X] または [F10] を押してアプライアンスを起動します。コマンドプロンプトで次のように入力します。

a mount -rw -o remount /

b passwd root

7 新しい root パスワードを 2 回入力します。

8 vCenter Server からアプライアンスを一度パワーオフし、もう一度パワーオンして再起動します（電源リセット）。

n アプライアンスの起動後に、新しく設定したパスワードを使用して root としてログインします。

Grub2 パスワードについてroot ログインには Grub2 パスワードを使用できます。

Unified Access Gateway 3.1 以降では、Grub2 編集パスワードがデフォルトで設定されます。


VMware, Inc. 94

ユーザー名は root で、パスワードは、Unified Access Gateway のデプロイ時に設定した root パスワードと同じです。マシンにログインして明示的にリセットしない限り、このパスワードがリセットされることはありません。

注意任意のコマンドを使用してマシンにログインし、root パスワードを手動で変更しても、Grub2 パスワードはリセットされません。これらは、相互に排他的です。デプロイ時のみ、同じパスワードが両方に対して設定されます

（UAG バージョン 3.1 以降）。

Unified Access Gateway アプライアンスからのログの収集管理ユーザーインターフェイスのサポート設定から AP-Log Archive.zip ファイルをダウンロードします。zip ファイルには、Unified Access Gateway アプライアンスからのすべてのログが含まれています。

ログレベルの設定

ログレベル設定は管理ユーザーインターフェイスから管理することができます。[サポート設定] ページに移動して、[ログレベルの設定] を選択します。生成可能なログレベルは INFO、WARNING、ERROR および DEBUG です。ログレベルはデフォルトで INFO に設定されます。

各ログレベルで収集される情報の種類についての説明は以下のとおりです。

表 7‑1. ログレベル

レベル収集される情報の種類

INFO INFO レベルは、サービスの進行状況をハイライトする情報メッセージを示します。

ERROR ERROR レベルは、発生してもサービスをそのまま実行できる場合があるエラーイベントを示します。

WARNING WARNING レベルは潜在的に有害な状況を示します。しかし通常は回復可能か、または無視しても問題ありません。

DEBUG 問題のデバッグ、アプライアンスの内部状態の表示または操作、環境内のデプロイシナリオのテストに一般的に役立つイベントを指定します。

ログの収集

管理ユーザーインターフェイスの [サポート設定] セクションからログの zip ファイルをダウンロードします。

これらのログファイルはアプライアンスの /opt/vmware/gateway/logs ディレクトリから収集されます。

次の表で、ZIP ファイルに含まれるさまざまなファイルについて説明します。

表 7‑2. トラブルシューティングに役立つシステム情報が含まれるファイル

ファイル名説明 Linux コマンド（該当する場合）

rpm-version.log UAG アプライアンスのバージョン（2.8、2.9、3.0 など）。

ipv4-forwardrules アプライアンス上で設定された IPv4 転送ルール。

df.log アプライアンス上のディスク容量の使用量についての情報が含まれていま

す。

df -a -h --total

netstat.log 開いているポートと既存の TCP 接続についての情報が含まれています。 netstat -an


VMware, Inc. 95

表 7‑2. トラブルシューティングに役立つシステム情報が含まれるファイル (続き)


netstat-s.log アプライアンスの作成時からのネットワーク統計情報（送信/受信バイト数など）。

netstat -s

netstat-r.log アプライアンス上に作成された静的ルート。 netstat -r

uag_config.json、

uag_config.ini

すべての設定を json および ini ファイルとして表示する、Unified Access Gateway アプライアンスの全体的な設定。

ps.log ログのダウンロード時に実行中のプロセスが含まれます。 ps -elf --width 300

ifconfig.log アプライアンスのネットワークインターフェイスの設定。 ifconfig -a

free.log ログのダウンロード時の RAM の可用性。 free

top.log ログのダウンロード時のメモリ使用量順に並べ替えられたプロセスのリス

ト。

top -b -o %MEM -n 1

表 7‑3. Unified Access Gateway のログファイル


w.log アップタイム、マシン上の現在のユーザー、およびそのプロセスに関する

情報。

w

service.log 現在アプライアンスで実行されているサービスのリスト。 service --status-all

supervisord.log スーパーバイザ（Edge Service Manager、管理者および AuthBrokerのマネージャ）のログ。

esmanager-x.log、

esmanager-std-

out.log

アプライアンスで実行されるバックエンドプロセスを示す Edge ServiceManager のログ。

authbroker.log Radius および RSA SecurID 認証を処理する AuthBroker プロセスからのログメッセージが含まれています。

admin.log、admin-

std-out.log

管理者 GUI のログ。ポート 9443 で Unified Access Gateway REST APIを提供するプロセスからのログメッセージが含まれます。

bsg.log Blast Secure Gateway からのログメッセージが含まれます。

SecurityGateway_xxx

.log

PCoIP Secure Gateway からのログメッセージが含まれます。

utserver.log UDP トンネルサーバからのログメッセージが含まれます。

appliance-agent.log （サーバとプロキシを起動する）VMware トンネルエージェントからのログメッセージが含まれます。

haproxy.conf 設定されている場合、TLS ポート共有の HA プロキシ設定からのログメッセージが含まれます。

vami.log デプロイ中にネットワークインターフェイスを設定する vami コマンドの実行からのログメッセージが含まれます。


VMware, Inc. 96

表 7‑3. Unified Access Gateway のログファイル (続き)


aw-content-

gateway.log、aw-

content-gateway-

wrapper.log、

aw-0.content-

gateway-YYYY-

mm.dd.log.zip

AirWatch コンテンツゲートウェイからのログメッセージが含まれます。

admin-zookeeper.log Unified Access Gateway 構成を保存するために使用されるデータレイヤに関連したログメッセージが含まれます。

tunnel.log XML API 処理の一部として使用されるトンネルプロセスからのログメッセージが含まれます。このログを表示するには、Horizon 設定でトンネルを有効にする必要があります。

末尾が「-std-out.log」のログファイルには、さまざまなプロセスの stdout に書き込まれる情報が含まれ、

通常は空のファイルです。

Unified Access Gateway 設定のエクスポート管理ユーザーインターフェイスから Unified Access Gateway 構成の設定を JSON 形式と INI 形式の両方でエクスポートします。

Unified Access Gateway 構成の設定をすべてエクスポートし、JSON 形式または INI 形式で保存できます。エクスポートされた INI ファイルを使用し、Powershell スクリプトを使用して Unified Access Gateway をデプロイすることができます。

手順

1 [サポート設定] - [エクスポート]Unified Access Gateway 設定に移動します。

2 [JSON] または [INI] をクリックして Unified Access Gateway 設定をいずれかの形式でエクスポートします。両方の形式で設定を保存するには、[ログアーカイブ] ボタンをクリックします。

ファイルは、デフォルトで [ダウンロード] フォルダに保存されます。


VMware, Inc. 97

Gateway VMware Unified の導入および設定 Access...2 Unified Access Gateway...

Documents

Transcript of Gateway VMware Unified の導入および設定 Access...2 Unified Access Gateway...