Pour rappel pour accéder à Guacamole depuis un navigateur Web aller à l’adresse :

http://IP_SERVER:8080/guacamole

Les identifiants par défaut sont : guacadmin / guacadmin

Une fois connecté, on arrive sur page qui affiche normalement, les dernières connexions utilisées et les connexions que l’utilisateur peut utiliser.

Pour accéder à la configuration de Guacamole, cliquer sur le nom de l’utilisateur 1 pour dérouler le menu et cliquer sur Settings 2.

Pour la prise en main, nous allons voir comment utiliser Guacamole de façon logique et non voire directement son utilisation.

 

Le but pour rappel est de fournir un accès à des prestataires extérieur, nous allons donc baser les groupes sur cette problématique.

Créer un groupe de connexion

La première chose que l’on va voire c’est la création de groupe de connexion.

Dans le menu de navigation aller sur Connection 1

Pour le moment cette vue est vide, on retrouvera par la suite l’ensemble des connexions configurées ainsi que les différents groupes.

Le but va être maintenant de créer une arborescence afin de ranger les connexions des prestataires.

Ce qui est montré ici est à titre d’exemple, libre à vous ensuite d’adapter à vos besoins.

Nous allons d’abord créer un groupe Prestataires, dans lequel je vais ensuite créer des sous-groupes qui va représenter un prestataire.

Cliquer sur le bouton New Group 1.

Nommer le Group 1, Location laisser ROOT 2 et Type laisser Organizational 3. Cliquer sur le bouton Save 4 pour créer le groupe.

Le groupe est créé et visible dans la liste des connexions, si on le déplie, on voit que l’on peut ajouter des connexions et des sous-groupes. Cliquer sur New Group 1.

Comme pour le groupe racine, nommer le groupe 1 (ici le nom du prestataire préfixé de GC), le champ Location est déjà sélectionné et laisser le type Organizational. Cliquer sur Save 2.

Le groupe est ajouté

Pour illustrer le tutoriel, un second groupe de connexions a été ajouté pour simuler plusieurs prestataires.

Créer un groupe utilisateur

Les groupes utilisateurs vont permettre de regrouper les comptes utilisateurs dans un groupe afin de pouvoir leur données les accès plus facilement, à la place de gérer utilisateur par utilisateur.

Aller sur le menu Group 1 et cliquer sur New Group 2.

Nommer le groupe 1, cocher les groupes de connexion lié au prestataire 2 et cliquer sur Save 3.

Il est impératif de cocher les groupes parents, si cela n’est pas fait, l’accès aux connexions ne sera pas possible.

Dans la configuration d’un groupe, il est possible d’ajouter des droits d’administration sur Guacamole.

Le groupe est ajouté.

Ajouter une nouvelle connexion

Avant d’expliquer comment ajouter une connexion, il faut se représenter une connexion comme étant un accès à un équipement avec une configuration particulière. De ce fait, il est normal d’avoir plusieurs connexions avec différents paramètres à un même serveur en fonction des accès et des informations que vous souhaitez donner à votre prestataire.

Aller sur le menu Connections 1, pour ajouter une connexion, plusieurs possibilités, cliquer sur le bouton New Connection 2 ou sur New Connction 2 qui se trouve au niveau des groupes.

Configurer une connexion RDP

La première connexion que l’on va configurer est un accès RDP sur un serveur Windows.

Les paramètres de la connexion étant nombreux, je vais prendre par bloque.

Commencer par nommer 1 la connexion et sélectionner le protocole RDP 2.

Pour ce qui est du champ Location, ayant cliqué sur le New Connect au niveau du groupe, celui-ci est déjà sélectionné

Dans la partie CONCURRENCY LIMITS, il est possible de limiter le nombre de connexions simultanées, dans le cadre d’une connexion RDP où les identifiants sont passés, cela n’aura pas d’impact car un même utilisateur ne pourra pas ouvrir plusieurs fois la même session.

On passe les parties LOAD BALANCING et GUACAMOLE PROXY PARAMETERS (GUACD) qui sont à configurer sur des installations complexes à plusieurs serveurs.

On va maintenant s’intéresser à la partie PARAMETERS, là aussi, nous n’allons pas reprendre toutes les options disponibles, parcourez et vous pourrez voir que l’on peut configurer tous les paramètres du client RDP (Passerelle RDS, Redirection des périphériques, Performances …).

Nous allons nous limiter au minimum et faites vos propres tests au besoin.

Dans la section Network, indiquer le nom ou l’adresse IP de l’hôte 1 ainsi que le port 2 (3389) pour du RDP.

Dans la partie Authentification, on va indiquer directement le compte à utiliser pour se connecter, ce qui évite de donner ces informations au prestataire. Entrer le nom d’utilisateur 1 et le mot de passe 2, sélectionner Any 3 pour le champ Security mode et cocher la case Ignore server certificate 4.

Dernier élément de configuration que nous allons voir et l’enregistrement de la session dans la section Screen Recording. Dans le champ Recording path 1 indiquer l’emplacement où ils seront stockés (/var/guacamole/) et ensuite indiquer le nom de l’enregistrement dans le champ Recording name 2.

Enregistrer la connexion en cliquant sur le bouton Save 1

La connexion est ajoutée et ranger dans le groupe de connexion.

Configurer une connexion SSH

De la même manière que pour la connexion SSH, je vais me limiter au minimum, pour le reste des paramètres je vous laisse regarder.

Nommer la connexion 1 et sélectionner le protocole SSH 2.

Dans la partie Network renseigner l’hôte 1 (IP ou FQDN) et indiquer le port (22) 2.

Dans la section Authentification, indiquer le couple utilisateur et mot de passe 1 en fonction de votre politique.

Dans la section Authentification, indiquer le couple utilisateur et mot de passe 1 en fonction de votre politique.

Pour terminer, cliquer sur Save 1.

La connexion SSH est ajouté et dans le groupe.

Modifier une connexion

Pour modifier une connexion existante, il suffit de cliquer dessus, on arrive ensuite sur le même formulaire que pour ajouter une connexion. Une fois les modifications effectuées, cliquer sur Enregistrer.

Affecter les connexions aux groupes

Cette opération est obligatoire afin que les utilisateurs puissent avoir accès aux connexions.

Retourner dans la gestion des groupes utilisateurs 1 puis cliquer sur le groupe à éditer 2.

Dans la section Connections 1, cocher les connexions créées précédemment 2 et cliquer sur Save 3.

Ajouter un utilisateur (prestataire)

Maintenant, nous allons voir comment ajouter un utilisateur et l’attribuer directement à un groupe.

Aller dans la gestion des utilisateurs 1 et cliquer sur le bouton New User 2.

Comme pour les autres éléments, nous nous concentrerons sur les champs obligatoires.

Saisir l’identifiant du compte 1 et le mot de passe 2 (x2), dans la section GROUPS, cocher le ou les groupes d’appartenance de l’utilisateur 3 et cliquer sur Save 4.

L’utilisateur est ajouté.

Recommencer les manipulations pour les autres comptes et prestataires.

Connexion/Utilisation avec un compte prestataire

Maintenant que nous avons tout configuré, il ne reste plus qu’à tester notre solution « bastion ».

Se connecter avec un compte prestataire :

 

 

Si le compte à une seule connexion de configurer, celle-ci est établie directement.

On arrive sur une page où l’on peut voir les connexions récentes (pour le moment vide) et en dessous la liste des connexions disponibles.

Déplier les connexions et cliquer sur l’une pour se connecter, (commençons avec la connexion RDP).

Patienter pendant la connexion au serveur …

 

 

 

 

 

La connexion est établie en RDP sur le serveur sans avoir besoin de fournir d’identifiant.

Astuce : pendant une session, il est possible de naviguer entre plusieurs connexions ou revenir à la page d’accueil en utilisant un menu « caché », utiliser la combinaison de touche

Ctrl+Alt+Maj pour l’afficher.

Pour la connexion SSH, c’est similaire :

De retour sur la page d’accueil du compte de l’utilisateur, on voit cette fois-ci les dernières connexions utilisées.

Si plusieurs sessions sont ouvertes simultanément, il est possible de changer rapidement en cliquant en bas à gauche de l’écran.

Suivre les sessions

L’intérêt de mettre en place une solution de Bastion est aussi de suivre les sessions, Guacamole nous offre deux solutions.

Les sessions en cours

Il est possible de suivre les sessions en cours depuis l’administration en allant sur le menu Active Sessions.

Depuis cette vue, vous pouvez voir les connexions en cours avec la possibilité de fermer une session et cerise sur le gâteau de suivre en directe et d’interagir en cliquant sur le nom de la connexion.

Ci-après une capture avec le suivi la visualisation en directe d’une connexion :

Historique des sessions

L’historique des sessions est disponible à plusieurs endroits :

  • Dans le menu Hostiry
  • Dans l’édition d’une connexion

Les enregistrements vidéo

Si vous avez activé l’enregistrement des sessions, je vais vous expliquer comment les exploiter.

Pour rappel le stockage a été configuré dans le dossier /var/guacamole.

Voici comment se présente les fichiers :

Par défaut les fichiers ne sont pas exploitables, il faut les convertir en fichier vidéo à l’aide de la commande ci-dessous :

#guacenc -s 1280x720 -r 20000000 -f file-name

Une fois convertie, on a un fichier au format m4v.

Pour 10 minutes, nous avons un fichier de 40Mo

Il ne reste plus qu’à télécharger le fichier et le visionner avec un lecteur type VLC.

 

By Max