Présentation
Guacamole, proposé par Apache, est une solution open source gratuite que l’on peut mettre en place en tant que bastion d’administration, passerelle d’accès ou encore serveur de rebond.
Il sera utilisé comme point d’entrée unique pour accéder aux serveurs et équipements de l’infrastructure que ce soit via les protocoles RDP, SSH, VNC et Telnet, et même Kubernetes.
Comme le sujet est vaste, je l’ai découpé en 2 partie :
Partie 1 : installation
Partie 2 : Configuration et utilisation.
Créer des utilisateurs
Comme indiqué dans la première partie, il faut
- Créer un nouveau compte administrateur (avec un nom personnalisé)
- Se déconnecter du compte « guacadmin »
- Se reconnecter avec le nouveau compte administrateur
- Supprimer le compte « guacadmin » par défaut (ou à minima changer son mot de passe et le désactiver)
Pour accéder aux paramètres, il faut cliquer sur le nom d’utilisateur en haut à droite puis sur « Paramètres« .
Un petit coup d’œil sur les options dans la section « Restrictions de compte » qui peuvent être utile dans le cas d’une utilisation partagée tout en gardant le contrôle sur les sessions.
- limiter l’accès aux sessions uniquement sur certaines plages horaires
- activer et désactiver le compte à une date spécifique.
Il ne vous reste plus qu’a supprimer le compte ‘guacadmin«
Je vous conseille de dissocié les comptes d’administration, et les comptes d’utilisation.
Pour les comptes d’utilisation, le principe reste le mème, mais on ne coche pas les cases de la partie « Administration » hormis « Modifier un mot de passe«
Les groupes utilisateurs
Personnellement, je préfère créer d’abord des groupes qui me permettront de classifier les utilisateurs.
C’est plus facile après d’accorder les autorisations d’utilisation pour les connexions
Allez dans créer un nouveau groupe, dans le menu Paramètres > Groupes > Nouveau groupe
Connexions
Groupe de connexions
Allez dans créer un nouveau groupe, dans le menu Paramètres > Connexion > Nouveau groupe
Dans cet exemple, je crée un groupe nommé « DNS » positionné sous le lieu « ROOT » qui est la racine de l’arborescence. Le type de groupe « Organizationel » doit être sélectionné pour tous les groupes qui ont pour vocation à organiser les connexions.
Connexions SSH
Allez dans créer un nouveau groupe, dans le menu Paramètres > Connexion > Nouvelle connexion
Je vous laisse découvrir les autres options, notamment celles sur le nombre de connexions simultanées.
J’utilise une clé privée pour me connecter à mes serveurs.
Pour en savoir plus sur la sécurisation de l’accès ssh, lire l’article sur Sécuriser son accès SSH
Pour avoir une clé privée utilisable dans Guacamole, il faut ouvrir votre clé privé ppk dans PuttyGen et d’exporter la clé.
Une fois le fichier exporter, il suffit de l’ouvrir et de la coller dans le champ « Clé privée« .
Gestions des droits
Allez dans créer un nouveau groupe, dans le menu Paramètres > Groupes puis ouvrez le groupes USERS précédemment créer, et cocher les cases des connexions auquel le groupe à droit.
On n’a plus qu’a se connecter en retournant dans le menu « Accueil »
Pour sortir, il suffit de taper exit
Pour les autres types de connexions, le principe reste le même.
La connexion RDP par exemple, le bureau s’affichera dans la fenêtre du navigateur