VMware Horizon 7: installare lo Unified Access Gateway

horizon-7-unified-access-gateway-01

Normalmente installata nell'area DMZ, lo Unified Access Gateway (UAG) è un'appliance utilizzata per garantire che il traffico in entrata proviene da un utente remoto autenticato.

L'Unified Access Gateway ridirige le richieste di autenticazione al server appropriato e solo per desktop ed applicazioni in cui l'utente ha effettivamente diritto di utilizzo.

 

Unified Access Gateway

L'Unified Access Gateway agisce come host proxy per le connessioni all'interno della propria rete aziendale aggiungendo un ulteriore strato di sicurezza.

L'appliance presenta alcune impostazioni di hardening poichè è pensata specificatamente per la DMZ:

  • Un Linux Kernel aggiornato e patch software
  • Supporto per NIC multipli per il traffico Internet ed intranet
  • SSH disabilitata
  • Servizi FTP, Telnet, Rlogin o Rsh disabilitati
  • Disabilitati i servizi non richiesti

Rispetto alla VPN, l'appliance UAG present alcuni vantaggi:

  • L'UAG è progettato per le performance e la sicurezza.
  • Gli utenti possono accedere ai propri virtual desktop utilizzando solamente il Client Horizon senza la necessità di utilizzare software diversi per connettersi.
  • L'UAG applica le regole di accesso automaticamente richiedendo una gestione minore per mantenere le regole richieste.

    Impostazioni di installazione

    L'Unified Access Gateway può essere installato con diverse configurazioni. E' possibile specificare una configurazione che utilizzi uno, due o tre NIC:

    • 1 NIC - questa è la configurazione più semplice dove tutto il traffico di rete è combinato in una rete singola.
    • 2 NIC - un NIC utilizzato per accessi non autenticati e il traffico autenticato in back-end e il traffico di gestione sono separati nel secondo NIC.
    • 3 NIC - tutto il traffico è separato in reti specifiche.

    Unified Access Gateway 1

     

    Porte del Firewall da aprire

    Per evitare problematiche di connessione nell'infrastruttura Horizon, devono essere aperte le porte opportune nel proprio firewall. La tabella seguente elenca le porte da aprire.

    Unified Access Gateway 2

     

    Installare l'appliance UAG

    Dopo aver scaricato il software UAG in formato OVA, dal vSphere Client effettuare un click con il tasto destro sull'oggetto in cui installare l'appliance e selezionare la voce Deploy OVF Template.

    Unified Access Gateway 3

    Cliccare su Browse e selezionare il file .OVA scaricato da VMware. Cliccare su Next.

    Unified Access Gateway 4

    inserire il Virtual machine name e selezionare una locazione. Cliccare Next.

    Unified Access Gateway 5

    Specificare le risorse computazionali e cliccare su Next.

    Unified Access Gateway 6

    Cliccare Next.

    Unified Access Gateway 7

    Selezionare la Configuration richiesta e cliccare su Next.

    Unified Access Gateway 8

    Selezionare lo Storage in cui salvare l'appliance e cliccare Next.

    Unified Access Gateway 9

    Specificare la Destination Network e cliccare Next.

    Unified Access Gateway 10

    Inserire i parametri di rete e cliccare Next.

    Unified Access Gateway 11

    Cliccare Finish per procedere con l'installazione dell'UAG.

    Unified Access Gateway 12

     

    Configurare l'appliance Unified Access Gateway

    Una volta installato l'UAG, aprire il browser preferito e digitare l'indirizzo https://<IP_UAG>:9443. Inserire le credenziali e cliccare su Login.

    Unified Access Gateway 13

    Cliccare Select nel lato Configure Manually.

    Unified Access Gateway 14

    Abilitare lo switch Edge Service Setting sotto la voce General Settings per configurare l'ambiente Horizon.

    Unified Access Gateway 15

    Cliccare sull'icona Horizon Settings.

    Unified Access Gateway 16

    Inserire il Connection Server URL e il Connection Server URL Thumbprint. Abilitare i protocolli richiesti come PCOIP e Blast e specificare l'URL per i protocolli configurati utilizzati per connettersi con l'infrastruttura Horizon dall'esterno. Cliccare Save quando fatto.

    Unified Access Gateway 17

    Per trovare il corretto Connection Server URL Thumbprint, effettuare un click con il tasto destro sul certificato presente nel browser utilizzato per la connessione con il Connection Server. Nella sezione Details cercare la voce Thumbrint e copiarne il valore. Questo valore deve essere incollato poi nel campo appropriato.

    Unified Access Gateway 18

    Se i parametri inseriti sono corretti e le porte del firewall aperte, tutti i parametri dovrebbero avere un cerchio verde. Se l'Horizon Destination Server è rosso, significa che l'UAG non è in grado di risolvere l'FQDN del Connection Sever. Come soluzione, utilizzare l'indirizzo IP del Connection Server invece dell'FQDN.

    Unified Access Gateway 19

    Nella Console Horizon, accedere all'area Servers sotto la voce Settings e posizionarsi nella sezione Connection Servers. Selezionare il Connection Server e cliccare su Edit.

    Unified Access Gateway 20

    Disabilitare l'HTTP(s) Secure Tunnel ed entrambi i PCoIP e Blast Secure Gateways. Cliccare su OK per salvare la configurazione.

    Unified Access Gateway 21

    Ora accedere alla sezione Gateways e cliccare su Register.

    Unified Access Gateway 22

    Inserire il nome dell'appliance specificata negli Advanced Settings dell'UAG e cliccare su OK.

    Unified Access Gateway 23

    L'appliance è stata registrata correttamente.

    Unified Access Gateway 24

    Sotto Monitor, selezionare Dashboard e cliccare su View.

    Unified Access Gateway 25

    Nella sezione Gateway è possibile trovare l'UAG configurato.

    Unified Access Gateway 26

    Testando la connessione con un VD, il Security Gateway utilizzato da Horizon è l'UAG configurato.

    Unified Access Gateway 27

     

    Esportare la configurazione dell'UAG

    Per esportare la configurazione, nell'interfaccia grafica di configurazione dell'UAG è possibile trovare l'opzione Export Unified Access Gateway Settings sotto la voce Support Settings. E' possibile esportare la configurazione nei formati JSON o INI cliccando sull'opzione appropriata.

    Unified Access Gateway 28

    Le impostazioni sono esportate nel proprio computer. Cliccare OK per salvare.

    Unified Access Gateway 29

    La configurazione dell'Unified Access Gateway è ora completa e l'appliance è pronta per gestire le richieste di connessione.

    signature

    Leave a Reply