Wallix AdminBastion 4.1 - Guide de l’utilisateur
Wallix AdminBastion 4.1 Guide de l’utilisateur
i
Wallix AdminBastion 4.1 - Guide de l’utilisateur Wallix AdminBastion 4.1: Guide de l’utilisateur
ii
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Table des matières 1. Introduction ............................................................................................................................. 1 1.1. 1.1. Préam Préambu bule le ......................................... ............................................................... ............................................. ............................................. ............................... ......... 1 1.2. 1.2. Copyri Copyright ght,, Licence Licencess ................ ....... ................. ................ ................ ................. ................. ................ ................ ................. ................. ................ ............. ..... 1 1.3. 1.3. Lége Légend ndee .......................................... ................................................................ ............................................ ............................................ .................................. ............ 1 1.4. 1.4. À propos propos de ce docume document nt ................. ......... ................ ................ ................. ................. ................ ................ ................ ................. ................. ............ .... 1 2. Principes Généraux ................................................................................................................... 2 3. Uti Utilis lisatio ationn de l’inte l’interfa rface ce Web ................ ........ ................ ................ ................ ................. ................. ................ ................ ................. ................. ................ ............ 3 3.1. 3.1. Mes Préfé Préféren rences ces ................ ........ ................ ................ ................. ................. ................ ................ ................ ................. ................. ................ ................ ............ 4 3.2. Mes Autorisations .......................................................................................................... 5 3.3. 3.3. Authe Authenti ntific ficatio ationn par certif certificat icat X509 X509 ............. ................. ......... ................ ................ ................. ................. ................ ................ ............ 6 4. Connex Connexion ion aux équipem équipement ent cibles cibles ................ ........ ................. ................. ................ ................ ................ ................. ................. ................ ................ ............ .... 8 4.1. 4.1. Généra Généralit lités és ................ ....... ................. ................ ................ ................. ................. ................ ................ ................. ................. ................ ................ ................ ............ 8 4.2. 4.2. Authen Authentif tifica icatio tionn par mot mot de passe passe ou par par clé ................ ........ ................ ................ ................. ................. ................ ................ ............ .... 8 4.2.1. 4.2.1. Géné Générat ration ion d’un d’unee clé sous sous Linu Linuxx ............. ................. ......... ................ ................ ................ ................. ................. ............ .... 8 4.2.2. 4.2.2. Génération d’une clé sous Windows .......................................... ................................................................ ............................ ...... 9 4.3. Authentification Authentification simplifiée en mode mode X509 X509 ................. ........ ................. ................ ................ ................ ................. ................. ............ .... 13 4.4. Connexions SSH depuis un poste de travail Unix/Linux .................................................... 14 4.4.1. Session Session shell ......................... ............................................... ............................................ ............................................ ................................ .......... 14 4.4.2. 4.4.2. Exéc Exécuti ution on de comma commande nde(s) (s) à dista distance nce .............. ................. ......... ................ ................ ................ ................. ............. 14 4.4.3. Transfert Transfert de fichier avec SCP SCP ............................... ..................................................... ............................................ .......................... 15 4.4.4. Transf ert ert de fichier avec SFTP .......................................... ..................... ........................................... .................................. ............ 16 4.4.5. Session X11 ...................................................................................................... 16 4.4.6. Se Se connecter sans connaît connaître re le le nom nom de la cibl ciblee ................ ........ ................. ................. ................ ................ ............. ..... 16 4.4.7. 4.4.7. Se connecter connecter avec avec l’agen l’agentt d’authenti d’authentific ficati ation on ............... ....... ................. ................. ................ ................ ................ ............ 17 4.4.8. Se connecter connecter en activant le transfert d’authentification ......................... ............................................ ................... 17 4.4.9. SCP avec avec le transfert transfert d’authentificat d’authentification ion ........ .... .............................. ............................................ ................................ .......... 18 4.5. Connexions SSH depuis un poste de travail Windows ....................................................... 19 4.5.1. Session shell Session shell avec le logiciel PuTTY ............................... ..................................................... .................................... .............. 19 4.5.2. Transfert de fichier avec PSCP ............................................................................ 20 4.5.3. Transfert Transfert de fichier avec FileZilla ........................................................ ................................... ..................................... ................ 20 4.5.4. Transf ert ert de fichier avec WinSCP .............................................. .......................... .......................................... .......................... .... 21 4.5.5. 4.5.5. Se connecter connecter avec avec l’agen l’agentt d’authenti d’authentific ficati ation on ............... ....... ................. ................. ................ ................ ................ ............ 23 4.5.6. Se connecter connecter avec PuTTY en activant le transfert d’authenti d’authentific ficatio ationn ................ ........ ................ .......... 24 4.6. Connexions RDP .......................................................................................................... 24 4.6.1. Depuis un Depuis un poste de travail Wind travail Windows ows (XP (XP,, Vista, Vista, Seve Seven) n) ................. ......... ................ ................ ................ ........ 24 4.6.2. Depuis un Depuis un poste de travail Linux ..................................... ............... ............................................ .................................... .............. 27 4.7. Connexions HTTPS ...................................................................................................... 30 5. Problèmes de connexio connexionn ............................................ .......................................................... .................................. .......................................... ............................ ...... 32 5.1. Généralités .................................................................................................................. 32 5.2. Spécificités Spécificités SSH SSH ............................................ .................................................................. ............................. ........................................ ................................. 32 5.3. Session SSH muette ...................................................................... ................................................. ........................................... ............................... ......... 33 6. Note Note sur l’enre l’enregis gistre tremen mentt des des sessi sessions ons ................ ........ ................ ................ ................. ................. ................ ................ ................. ................. ............ .... 34 7. Accès au service Support Support ..................................................................... ................................................. .......................................... .................................... .............. 35
iii
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Liste des illustrations 3.1. Écran de connexion Wallix AdminBastion ................................................................................ 3 3.2. Écran après authentification .................................................................................................... 4 3.3. Préférences d’un utilisateur ..................................................................................................... 5 3.4. Autorisations d’un utilisateur ................................................................................................... 6 3.5. Écran de connexion avec certificats ......................................................................................... 7 4.1. PuTTYgen ........................................................................................................................... 10 4.2. PuTTYgen après génération de la clé ..................................................................................... 11 4.3. Pageant ............................................................................................................................... 12 4.4. Paramètres SFTP de Filezilla ................................................................................................. 13 4.5. Configuration de Putty .......................................................................................................... 19 4.6. Configuration de Putty (2/2) .................................................................................................. 20 4.7. Filezilla - Gestionnaire de site ............................................................................................... 21 4.8. Configuration de WinSCP ..................................................................................................... 22 4.9. Configuration des préférences de WinSCP .............................................................................. 23 4.10. Enregistrement d’un fichier .rdp ........................................................................................... 25 4.11. Client Terminal Server ........................................................................................................ 25 4.12. Sélecteur RDP ................................................................................................................... 26 4.13. Paramètres de lancement du client MSTSC sous Windows 7 .................................................... 27 4.14. Mire de connexion RDP ...................................................................................................... 28 4.15. Fenêtre de connexion RDP pré-remplie ................................................................................. 29 4.16. Sélecteur RDP ................................................................................................................... 29 4.17. Page « Ouverture de session HTTPS » .................................................................................. 31 5.1. Désactiver le TTY sous Putty ................................................................................................ 33
iv
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Chapitre 1. Introduction 1.1. Préambule Nous vous remercions d’avoir choisi Wallix AdminBastion, également appelé WAB. WAB est commercialisé sous la forme de serveur dédié prêt à l’emploi ou sous la forme d’une machine virtuelle pour environnements VMWare ESX 4.x et 5.x. Les équipes Wallix ont apporté le plus grand soin à l’élaboration de ce produit et souhaitent qu’il vous apporte entière satisfaction.
1.2. Copyright, Licences Le présent document est la propriété de la société Wallix et ne peut être reproduit sans son accord préalable. Tous les noms de produits ou de sociétés citées dans le présent document sont des marques déposées de leurs propriétaires respectifs. Wallix AdminBastion est soumis au contrat de licence logicielle Wallix. Wallix AdminBastion est basé sur des logiciels libres. La liste et le code source des logiciels sous licence GPL et LGPL utilisés par Wallix AdminBastion sont disponibles auprès de Wallix. Pour les obtenir, il suffit d’en faire une demande par courriel à
[email protected] ou par écrit à l’adresse suivante : Wallix Service Support 118, rue de Tocqueville 75017 Paris France
1.3. Légende prompt $ commande à taper
retour de la commande sur une ou plusieurs lignes prompt $
1.4. À propos de ce document Ce document constitue le Guide de l’utilisateur WAB 4.1. Ce guide vous sera utile si les règles techniques et organisationnelles de votre entreprise vous demandent d’utiliser les services du WAB pour accéder aux équipements que vous administrez (serveurs, équipements réseau, équipements de sécurité, interfaces d’administration Web). Il vous aidera à : • utiliser l’interface Web pour prendre connaissance de vos autorisations d’accès, changer votre mot de passe ou télécharger votre clé SSH publique • utiliser vos outils de connexion habituels d’une manière compatible avec le WAB
1
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Chapitre 2. Principes Généraux Le rôle du WAB consiste à : • relayer vos connexions SSH, HTTP(S) ou RDP vers les équipements cibles • contrôler vos connexions selon les autorisations définies dans votre profil • enregistrer vos actions (option activée par l’administrateur du WAB) Pour que le WAB puisse relayer vos connexions, vous devez vous identifier : • avec votre identifiant et votre mot de passe pour les connexions à l’interface Web du WAB depuis votre navigateur et pour les connexions aux équipements cibles via les proxys RDP et HTTP(S) • avec votre identifiant et votre mot de passe ou votre clé publique pour les connexions par le proxy SSH Vos autorisations définissent : • • • •
les équipements et les comptes cibles auxquels vous pouvez vous connecter les protocoles de connexion que vous pouvez utiliser les plages horaires pendant lesquelles vous pouvez vous connecter aux comptes cibles une adresse IP source restrictive (optionnelle)
Deux modes de connexion aux comptes cibles existent : • mode « auto logon » : la connexion au compte cible est automatique, vous n’avez pas besoin de connaître le mot de passe associé • mode sans « auto logon » : la connexion au compte cible est manuelle, vous devez connaître le mot de passe associé
2
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Chapitre 3. Utilisation de l’interface Web Pour accéder à l’interface Web utilisateur, saisissez l’URL suivante dans votre navigateur : https://adresse_ip_du_wab
Note : Votre navigateur doit être configuré pour accepter les cookies et exécuter le JavaScript. Puis connectez-vous avec les accréditations fournies par l’administrateur du WAB : • Si celui-ci vous a fourni un certificat X509, consultez la section 3.3, « Authentification par certificat X509 », au lieu de procéder comme indiqué ci-dessous. • Sinon, entrez votre identifiant et votre mot de passe puis appuyez sur le bouton « Connexion » (l’identifiant n’est pas sensible à la casse) :
Figure 3.1. Écran de connexion Wallix AdminBastion
Note : La langue affichée sur cette page est le français ou l’anglais, selon les préférences linguistiques définies dans votre navigateur. Une fois connecté, la langue sera celle que vous aurez configuré dans votre compte WAB (voir Section 3.1, « Mes Préférences »). Si la connexion réussit, l’écran suivant est affiché :
3
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Figure 3.2. Écran après authentification Sur la partie gauche de la page, un menu montre les différentes actions possibles. Le menu peut être différent suivant les utilisateurs et en fonction de leurs privilèges.
3.1. Mes Préférences Cette page permet de modifier vos paramètres personnels. Il y est possible de : • • • •
modifier votre mot de passe modifier la langue préférée (pour l’affichage de l’interface Web et des messages sur les proxys) modifier votre adresse e-mail de contact charger une clé publique SSH
Note : Si l’authentification de l’utilisateur est liée à un annuaire d’entreprise, le formulaire de changement de mot de passe ne sera pas accessible. Selon le paramétrage de WAB, il sera parfois nécessaire de modifier votre mot de passe : • lors de l’expiration imminente du mot de passe : un message signalant la future expiration du mot de passe est affiché à l’utilisateur lors de sa connexion à l’interface Web • lors de la modification initiale du mot de passe pour le droit d’accès aux équipements
4
Wallix AdminBastion 4.1 - Guide de l’utilisateur Certains mots de passe peuvent être refusés (paramétrage établi par l’administrateur d’AdminBastion) : • si le mot de passe est dans la liste des mots de passe interdits par l’administrateur du WAB • si le mot de passe est trop court ou ne contient pas assez de caractères spéciaux, chiffres ou majuscules • si le mot de passe est identique à l’identifiant utilisateur • si le mot de passe est identique à l’un des précédents mots de passe
Figure 3.3. Préférences d’un utilisateur
3.2. Mes Autorisations Ce menu permet d’afficher la liste des équipements accessibles. Pour les accès à des cibles via RDP ou SSH, deux icônes sont proposées : • Icône (« Fichier RDP », « Fichier WABPutty » sur Windows ou « Fichier SSH » sur les autres systèmes) : cette icône permet de télécharger un fichier, qui peut être sauvegardé, pour établir une connexion à partir du client Microsoft pour RDP et du client SSH (fichier avec le suffixe .puttywab sur Windows et avec le suffixe .sh sur Linux). • Icône (« Accès unique ») : cette icône permet d’ouvrir le fichier pour établir immédiatement une connexion à partir du client Microsoft pour RDP et Putty pour SSH sans avoir à saisir de mot de passe. Le mot de passe contenu dans le fichier est à usage unique et n’est valable que pendant 30 secondes pour des raisons de sécurité.
5
Wallix AdminBastion 4.1 - Guide de l’utilisateur Pour pouvoir utiliser les fichiers .puttywab sur Windows, il faut auparavant télécharger et installer l’application WABPutty à partir du lien afficher sur cette page. L’installation de WABPutty prend en charge l’association des fichiers afin que l’application soit démarrer automatiquement. L’installation ne nécessite pas de privilèges d’administration ; cependant l’installation est uniquement pour l’utilisateur connecté et non pour l’ensemble des utilisateurs du poste de travail. Concernant les accès à des ressources HTTP/HTTPS, une icône permet d’accéder directement à la ressource via l’interface Web.
Figure 3.4. Autorisations d’un utilisateur
3.3. Authentification par certificat X509 Le WAB permet l’authentification par certificat X509 sur l’interface Web si votre administrateur l’a autorisé pour votre compte utilisateur. Dans ce cas votre administrateur doit vous fournir un certificat, en fichier au format PKCS12 ou sous forme de médium physique (clé USB, carte à puce, etc...). Si votre certificat est stocké sous forme physique, vous devez d’abord insérer le médium (insérer la carte à puce dans le lecteur connecté à votre poste ou connecter la clé USB) pour que le certificat soit disponible dans le système. S’il s’agit d’un fichier, vous devez d’abord importer ce certificat dans le navigateur pour que l’authentification puisse l’utiliser. La manière de procéder dépend du navigateur : • Sous Firefox, sélectionnez le menu « Édition » | « Préférences », ouvrez l’onglet « Avancé » | « Certificats », cliquez sur le bouton « Afficher les certificats », puis dans l’onglet « Vos certificats » cliquez sur le bouton « Importer ». • Sous Chrome, cliquez sur l’icône « Personnaliser et contrôler Chrome » à côté de la barre d’adresse, sélectionnez « Paramètres » dans le menu, en bas de la page cliquez sur « Afficher les paramètres avancés », puis dans la section HTTPS/SSL cliquez sur le bouton « Gérer les certificats » et enfin dans l’onglet « Vos certificats » cliquez sur le bouton « Importer ». • Sous Internet Explorer, cliquez sur « Outils », sélectionnez « Options Internet » dans le menu, allez sur l’onglet « Contenu » et cliquez sur le bouton « Certificats », puis dans l’onglet « Personnel » cliquez sur le bouton « Importer » et suivez les indications de l’assistant. Si le mode d’authentification X509 est activé, la page de connexion est modifiée comme ceci :
6
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Figure 3.5. Écran de connexion avec certificats Vous pouvez alors : • soit entrer un identifiant et un mot de passe puis cliquer sur le bouton « Connexion » de la partie « Authentification par mot de passe », auquel cas la procédure est la même que celle décrite au début du chapitre 3, Utilisation de l’interface Web ; • soit cliquer directement sur le bouton « Connexion » de la partie « Authentification par certificat X509 ». Dans ce cas votre navigateur vous demandera de choisir un certificat (si vous en avez plusieurs et que le navigateur n’a pas précédemment mémorisé votre choix) puis vous demandera si besoin d’entrer le mot de passe de ce certificat. Si le certificat a été associé à un compte du WAB, vous serez immédiatement authentifié et connecté sous cette identité.
Note : Si votre certificat est stocké sous forme physique, le médium doit être présent pendant toute la phase d’authentification. Tant que vous resterez connecté sur l’interface graphique en X509 un mode d’authentification alternatif sera disponible sur les proxys. Veuillez vous référer au chapitre Section 4.3, « Authentification simplifiée en mode X509 ».
7
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Chapitre 4. Connexion aux équipement cibles 4.1. Généralités Entre le WAB et les équipements cibles (zone de confiance), des connexions SSH, RDP, HTTP(S), VNC, Telnet et Rlogin peuvent être établies. Entre les postes de travail et le WAB (zone hostile), seuls les protocoles chiffrés SSH, RDP et HTTPS sont admis. WAB vous permet de continuer à utiliser ses outils habituels : clients SSH en mode texte ou graphique, ou client RDP, sur plate-forme Unix, Windows ou Mac OS X. Toutefois, la forme de la ligne de commande et/ou le paramétrage du client graphique peuvent légèrement différer pour prendre en compte l’indirection introduite par le WAB (voir sections cidessous).
4.2. Authentification par mot de passe ou par clé WAB permet les authentifications SSH de type « local » par mot de passe ou par clé. Dans le cas d’une authentification par clé, aucun mot de passe n’est demandé par le WAB lors d’une connexion SSH. Toutefois, l’utilisateur doit toujours fournir son mot de passe pour les connexions à l’interface Web d’administration du WAB, au proxy HTTPS et vers les équipements RDP.
Note : La clé publique SSH de l’utilisateur doit être entrée soit par l’administrateur via l’interface Web d’administration, soit par l’utilisateur via la page « Mes Préférences » (cf Section 3.1, « Mes Préférences »). Le mécanisme d’authentification par clé SSH permet également l’utilisation d’un agent résident sur le poste client. Celui-ci permet de conserver les paramètres d’authentification et ainsi de ne demander qu’une seule fois le mot de passe de protection des clés, au démarrage de l’agent ou à la première utilisation de la clé. La clé peut alors être réutilisé par la suite sans avoir à re-saisir le mot de passe à chaque fois. L’utilisation de l’agent se fait de manière transparente avec tous les clients qui le supportent. L’utilisation de l’agent d’authentification permet aussi en option de transférer les paramètres d’authentification du client sur le WAB afin qu’il puisse les utiliser pour l’authentification vers les cibles. Cette fonctionnalité permet donc l’utilisation des clés privées du client par le WAB sans qu’il y ait besoin de re-saisir de mot de passe ni que le WAB ait connaissance de ces clés privées. Pour cela il faut la plupart du temps activer explicitement l’option lors du lancement des clients car ceux-ci ne l’activent généralement pas par défaut pour des raisons de sécurité. Certains clients qui supportent l’utilisation d’agents ne supportent pas l’option de transfert d’authentification.
4.2.1. Génération d’une clé sous Linux Pour générer et utiliser une clé de chiffrement avec openSSH sous Linux, vous pouvez appliquer la procédure décrite ci-dessous.
8
Wallix AdminBastion 4.1 - Guide de l’utilisateur Il est également possible d’utiliser le fichier ~/.ssh/id_rsa qui est l’identité utilisée par défaut par toutes les commandes OpenSSH. Dans ce cas, si ce fichier existe déjà vous pouvez ignorer les deux premiers points de cette section et importer le fichier ~/.ssh/id_rsa.pub dans le WAB (cf Section 3.1, « Mes Préférences »). Dans cet exemple l’identité de la clé privée s’appelle wab_rsa2048 mais vous pouvez utiliser n’importe quel autre nom de fichier valide. Il est néanmoins préférable que cette clé soit stockée dans le répertoire .ssh de votre dossier HOME. • Dans un terminal, exécutez la commande suivante pour générer la paire de clés (publique et privée) $ ssh-keygen -t rsa -f ~/.ssh/wab_rsa2048 Generating public/private rsa key pair. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/martin/.ssh/wab_rsa2048. Your public key has been saved in /home/martin/.ssh/wab_rsa2048.pub.
Vous pouvez également utiliser le paramètre -b TAILLE pour modifier la taille de la clé. La taille par défaut d’une clé RSA dans la version actuelle de s sh-keygen est de 2048 bits ce q ui est une valeur raisonnable. Pour un usage au delà de 2030, une clé de 4096 bits est toutefois recommandée. • Importez le fichier ~/.ssh/wab_rsa2048.pub dans le WAB. Reportez-vous pour cela Section 3.1, « Mes Préférences ». • Si vous n’utilisez pas d’agent d’authentification, les commandes ssh, scp et sftp utiliseront directement soit la clé de l’identité par défaut ~/.ssh/id_rsa, soit la clé privée passée en argument avec le paramètre -i CLÉ , par exemple : $ ssh -t -i ~/.ssh/wab_rsa2048 -l root@asterix:martin wab.mycorp.lan Enter passphrase for key '/home/martin/.ssh/wab_rsa2048':
• Si vous utilisez un agent d’authentification, vous devrez importer la clé privée à chaque redémarrage de l’agent. $ ssh-add ~/.ssh/wab_rsa2048 Enter passphrase for /home/martin/.ssh/wab_rsa2048: Identity added: /home/martin/.ssh/wab_rsa2048 (/home/martin/.ssh/wab_rsa2048)
Vous pourrez alors vous connecter au proxy ssh sans avoir besoin d’entrer de nouveau le mot de passe ni de passer le paramètre -i sur la ligne de commande (ssh essaiera automatiquement toutes les identités ajoutées dans l’agent). • Lancez votre connexion SSH comme décrit Section 3.1, « Mes Préférences ».
4.2.2. Génération d’une clé sous Windows Pour générer avec PuTTY et utiliser une clé de chiffrement SSH sous Windows, vous pouvez appliquer la procédure décrite ci-dessous. Dans cet exemple la clé privée s’appelle wab_rsa2048 mais vous pouvez utiliser n’importe quel nom de fichier valide. • Lancez PuTTYgen depuis le menu Démarrer de Windows. • Dans la rubrique « Paramètres », changez les options comme suit pour générer une clé SSH-2 RSA de 2048 bits. (Veuillez noter que pour un usage au delà de 2030, une clé de 4096 bits est recommandée.)
9
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Figure 4.1. PuTTYgen Cliquez sur le bouton « Generate » (Générer) puis bougez la souris de manière aléatoire pour ajouter de l’entropie. • Une fois la clé générée, entrez un mot de passe de votre choix dans le champ « Key passphrase » (Mot de passe de la clé) et une deuxième fois dans le champ « Confirm passphrase » (Confirmation du mot de passe). Vous pouvez également entrer une courte description dans le champ « Key comment ». • Cliquez sur le bouton « Save private key » (Sauvegarder la clé privée) et enregistrez la clé dans votre répertoire utilisateur, par exemple sous Mes documents\wab_rsa2048.ppk. • Sélectionnez le champ situé sous le libellé « Public key for pasting into OpenSSH autorized_keys file » (Clé publique à coller dans le fichier autorized_keys d’OpenSSH), sélectionnez tout le texte du champ (en utilisant l’option « Select All » du menu contextuel appelé par le bouton droit de la souris ou en pressant simultanément les touches Ctrl et A), puis copiez-le dans le presse-papiers (en utilisant l’option « Copy » du menu contextuel ou en pressant simultanément les touches Ctrl et C).
10
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Figure 4.2. PuTTYgen après génération de la clé Créez un document texte vide en ouvrant le Bloc-notes depuis le menu Démarrer. Copiez-y le texte en utilisant le menu contextuel ou en pressant simultanément les touches Ctrl et V. Enregistrez enfin ce document contenant la clé publique, par exemple sous Mes documents\wab_rsa2048.pub.txt, puis fermez PuTTYgen et le Bloc-notes. • Importez ce fichier de clé publique dans le WAB. Reportez-vous Section 3.1, « Mes Préférences ». • Importez la clé privée dans votre client SSH pour l’utiliser lors de la connexion, en utilisant l’une des méthodes suivantes : – Si vous utilisez l’agent d’authentification Pageant : Lancez Pageant depuis le menu Démarrer s’il ne l’est pas déjà, puis double cliquez sur son icône qui apparaît dans la zone de notification de la barre des tâches de Windows. Dans la fenêtre qui s’ouvre cliquez sur le bouton « Add Key » et choisissez le fichier de la clé privée Mes documents\wab_rsa2048.ppk
11
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Figure 4.3. Pageant Vous pouvez alors vous connecter à votre proxy avec PuTTY, PSCP, PSFTP, Filezilla ou WinSCP (si ce dernier n’est pas configuré pour ne pas utiliser l’authentification Pageant). Alternativement pour ajouter la clé vous pouvez simplement double cliquer sur le fichier de la clé privée dans l’Explorateur de fichier. Il faut pour cela que l’extension de fichier « .ppk » ait été associée avec le programme Pageant. – Si vous utilisez PuTTY sans Pageant : Lancez PuTTY depuis le menu Démarrer. Dans l’arborescence des paramètres de configuration choisissez la catégorie « Connection » / « SSH » / « Auth », puis dans la section « Authentication parameters » cliquez sur le bouton « Browse » et choisissez le fichier de la clé privée Mes documents\wab_rsa2048.ppk. N’oubliez pas de sauvegarder les paramètres de configuration de la session si vous voulez les réutiliser. – Si vous utilisez PSCP ou PSFTP sans Pageant : Ajoutez le paramètre -i CLÉ sur la ligne de commande. $ pscp -scp -i "C:\Documents and Settings\martin\Mes documents\wab_rsa2048.ppk" myfile
[email protected]:root@asterix:/tmp Passphrase for key "rsa-key-20120914":
– Si vous utilisez Filezilla sans Pageant : Ouvrez le menu « Édition » / « Paramètres » puis dans la liste sélectionnez la page de la rubrique SFTP. Cliquez sur le bouton « Ajouter une clé privée » et choisissez le fichier de la clé privée Mes documents\wab_rsa2048.ppk
12
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Figure 4.4. Paramètres SFTP de Filezilla – Si vous utilisez WinSCP sans Pageant : Sur la page de configuration de la session (voir plus loin la figure 4.8, « Configuration de WinSCP ») cliquez sur le bouton « ... » dans le champs « Fichier de clé privée » et sélectio nnez le fichier Mes documents\wab_rsa2048.ppk • Lancez votre connexion SSH comme décrit Section 4.5, « Connexions SSH depuis un poste de travail Windows ».
Note : Pour utiliser la fonctionnalité de transfert d’authentification par l’agent SSH il est nécessaire d’utiliser Pagent.
4.3. Authentification simplifiée en mode X509 Le WAB permet l’authentification par certificat X509 sur l’interface Web comme expliqué Section 3.3, « Authentification par certificat X509 ». Si vous êtes connectés de cette manière, un mécanisme d’authentification spécial s’applique aux clients d es proxys qui se connectent depuis la même adresse IP que celle depuis laquelle vous êtes connecté à l’interface Web : le proxy se met en attente pendant qu’une fenêtre de confirmation apparaît dans votre navigateur pour vous demander si vous autorisez la nouvelle connexion. Si vous acceptez, la connexion se fera immédiatement sur le proxy sans avoir besoin d’utiliser de clé ou d’entrer de mot de passe. Si vous refusez ou ne répondez pas dans les 30 secondes, la connexion au proxy sera interrompue.
Avertissement : Avec la plupart des clients, un message vous informera que le proxy attend confirmation de l’interface Web utilisateur. Ce n’est pas le cas quand vous utilisez un client SCP ou SFTP, qui restent en attente silencieusement car ils ne sont pas prévus pour afficher de message du serveur.
13
Wallix AdminBastion 4.1 - Guide de l’utilisateur Si vous désirez revenir au comportement normal d’authentification des proxys, il suffit de vous déconnecter de l’interface Web.
4.4. Connexions SSH depuis un poste de travail Unix/ Linux La suite d’outils openssh est la suite de clients ssh la plus généralement disponible sur Linux et les différentes versions d’Unix, cette section décrit donc l’utilisation du WAB seulement avec celleci. D’autres suites d’outils similaires peuvent être disponibles sur différents parfums d’Unix mais présentent généralement les mêmes fonctionnalités. Veuillez vous référer dans ce cas à la page de manuel correspondante pour vérifier la syntaxe correcte de votre suite particulière. Les exemples qui suivent dans les sections 4.4.1 à 4.4.6 fonctionnent avec une authentification par mot de passe ou par clé, avec ou sans agent d’authentification.
4.4.1. Session shell $ ssh -l root@asterix:OpenSSH:martin wab.mycorp.lan martin's password:
• « martin » désigne un utilisateur déclaré dans WAB et ayant l’autorisation « SSH_SHELL_SESSION ». Cet identifiant n’est pas sensible à la casse. • « wab.mycorp.lan » est le FQDN du WAB. • « root@asterix:OpenSSH » désigne le compte (root), la machine (asterix) et le service cible (OpenSSH). Cette partie est sensible à la casse.
Note : Selon la configuration mise en place par l’administrateur, il est possible qu’une accréditation soit demandée pour le compte root@asterix:OpenSSH. La syntaxe alternative suivante est aussi acceptée pour raison de compatibilité, mais elle est désaprouvée : $ ssh -t
[email protected] root@asterix:OpenSSH martin's password:
Note : L’option « -t » est indispensable dans ce cas. Elle permet l’allocation du pseudo-terminal nécessaire à l’affichage de la session. S’il n’y a qu’un seul service SSH, TELNET ou RLOGIN déclaré sur la machine cible, le nom du service peut être omis : $ ssh -t
[email protected] root@asterix martin's password:
4.4.2. Exécution de commande(s) à distance Avec WAB, il est possible de déclencher l’exécution d’une commande à distance sur une ou plusieurs machines si vous disposez de l’autorisation « SSH_REMOTE_COMMAND » (cf Section 5.2,
14
Wallix AdminBastion 4.1 - Guide de l’utilisateur « Spécificités SSH »). La connexion automatique (« auto logon ») doit également être active sur le compte cible. $ ssh -l root@asterix:OpenSSH:martin wab.mycorp.lan halt martin's password:
ou en utilisant l’ancienne syntaxe désaprouvée $ ssh
[email protected] root@asterix:OpenSSH halt martin's password:
ou s’il n’y a qu’un seul service SSH, TELNET ou RLOGIN sur cette machine $ ssh
[email protected] root@asterix halt martin's password:
Ainsi, la commande « halt » est exécutée sur la machine « asterix », sans ouverture du shell.
4.4.3. Transfert de fichier avec SCP Transfert du client vers la cible : $ scp myfile root@
[email protected]:/tmp martin's password:
• « martin » désigne un utilisateur déclaré dans WAB et ayant l’autorisation « SSH_SCP_UP ». Cet identifiant n’est pas sensible à la casse. • « root@asterix+OpenSSH » désigne le compte (root), la machine (asterix) et le service (OpenSSH). Cette partie est sensible à la casse. La connexion automatique (« auto logon ») doit être active sur ce compte. Transfert de la cible vers le client : $ scp root@
[email protected]:/tmp/myfile /tmp martin's password:
• « martin » désigne un utilisateur déclaré dans WAB et ayant l’autorisation « SSH_SCP_DOWN ». Cet identifiant n’est pas sensible à la casse. • « root@asterix+OpenSSH » désigne le compte (root), la machine (asterix) et le service (OpenSSH). Cette partie est sensible à la casse. La connexion automatique (« auto logon ») doit être active sur ce compte. La syntaxe alternative suivante est aussi acceptée pour raison de compatibilité, mais elle est désaprouvée : $ scp myfile
[email protected]:root@asterix:OpenSSH:/tmp martin's password: $ scp
[email protected]:root@asterix:OpenSSH:/tmp/myfile /tmp martin's password:
S’il n’y a qu’un seul service SSH, TELNET ou RLOGIN déclaré sur la machine cible, le nom du service peut être omis : $ scp myfile
[email protected]:root@asterix:/tmp martin's password:
15
Wallix AdminBastion 4.1 - Guide de l’utilisateur $ scp
[email protected]:root@asterix:/tmp/myfile /tmp martin's password:
4.4.4. Transfert de fichier avec SFTP $ sftp root@asterix:OpenSSH:
[email protected] Connecting to wab.mycorp.lan... martin's password: sftp>
• « martin » désigne un utilisateur déclaré dans WAB et ayant l’autorisation « SFTP_SESSION ». Cet identifiant n’est pas sensible à la casse. • « root@asterix:OpenSSH » désigne le compte (root), la machine (asterix) et le service cible (OpenSSH). Cette partie est sensible à la casse. La connexion automatique (« auto logon ») doit être active sur ce compte. S’il n’y a qu’un seul service SSH, TELNET ou RLOGIN déclaré sur la machine cible, le nom du service peut être omis : $ sftp root@asterix:
[email protected] Connecting to wab.mycorp.lan... martin's password: sftp>
4.4.5. Session X11 $ ssh -X -l root@asterix:OpenSSH:martin wab.mycorp.lan martin's password:
• « martin » désigne un utilisateur déclaré dans WAB et ayant l’autorisation « SSH_X11_SESSION ». Cet identifiant n’est pas sensible à la casse. • « root@asterix:OpenSSH » désigne le compte (root), la machine (asterix) et le service cible (OpenSSH). Cette partie est sensible à la casse. L’option « -X » de la ligne de commande ssh indique au WAB que l’on souhaite initier une session de type « X11 Forwarding » : les applications graphiques lancées sur l’équipement cible dans le cadre de cette session s’afficheront sur le poste de travail. La syntaxe alternative suivante est aussi acceptée pour raison de compatibilité, mais elle est désaprouvée : $ ssh -t -X
[email protected] root@asterix:OpenSSH martin's password:
S’il n’y a qu’un seul service SSH, TELNET ou RLOGIN déclaré sur la machine cible, le nom du service peut être omis : $ ssh -t -X
[email protected] root@asterix martin's password:
4.4.6. Se connecter sans connaître le nom de la cible Le WAB permet de lister les équipements accessibles à un utilisateur. Il suffit pour cela de ne pas préciser la cible dans la commande de connexion. Ceci n’est néanmoins possible qu’avec les sessions interactives (shell ou X11).
16
Wallix AdminBastion 4.1 - Guide de l’utilisateur La liste de ces équipements s’affiche en utilisant la commande suivante : $ ssh -t
[email protected] martin's password: | ID | Site (page 1/1) |----|----------------------------------| 0 | root@centos:ssh_2222 | 1 | root@asterix:OpenSSH Enter h for help, ctrl-D to quit
Sélectionnez alors la cible voulue en entrant son numéro.
4.4.7. Se connecter avec l’agent d’authentification Si vous désirez utiliser l’agent d’authentification, vous devez le démarrer et y ajouter vos paramètres d’authentification avant d’utiliser les commandes de connexion.
Note : Dans certains environnements graphiques, un agent contenant toutes les identités de l’utilisateur est déjà activé lors du login. Les commandes décrites ci-dessous ne sont alors pas nécessaires. C’est généralement le cas sur les distributions à base Debian ou Ubuntu, mais pas sur les distributions à base RedHat. Cela peut toutefois varier selon votre configuration. Lancez d’abord l’agent résident dans votre session shell par la commande suivante ; celle-ci ajoute la déclaration de l’agent dans l’environnement du shell de manière qu’il soit utilisable automatiquement par les programmes compatibles : $ eval $(ssh-agent)
Ajoutez ensuite une ou plusieurs identités à cet agent. $ ssh-add CHEMIN_CLÉ_PRIVÉE Enter passphrase for CHEMIN_CLÉ_PRIVÉE:
• « CHEMIN_CLÉ_PRIVÉE » désigne le chemin de la clé privée de l’identité désirée, généralement stockée dans le répertoire « ~/.ssh », par exemple « ~/.ssh/id_rsa ». Vous pouvez alors utiliser l’une des commandes de connexion décrites dans les sections précédentes (4.4.1 à 4.4.6) sans avoir à re-saisir le mot de passe. Celles-ci utiliseront automatiquement l’agent pour les authentifications par clés tant qu’il sera disponible et déclaré dans l’environnement du shell.
4.4.8. Se connecter en activant le transfert d’authentification Si vous utilisez l’agent d’authentification, vous pouvez activer l’option de transfert d’authentification si celle-ci est également activée dans le WAB sur le compte cible voulu. Ceci n’est possible qu’avec les sessions shell ou commande à distance, en ajoutant l’option « -A » comme ceci : $ ssh -A -t
[email protected]
L’option « -A » de la ligne de commande ssh indique au WAB que l’on souhaite initier une session avec transfert d’authentification : si l’option est également activée dans la déclaration du compte
17
Wallix AdminBastion 4.1 - Guide de l’utilisateur cible demandé, les paramètres d’authentification utilisés pour la connexion au WAB seront réutilisés pour se connecter à la cible.
Avertissement : Le transfert d’authentification n’est pas compatible avec les clés RSA de plus de 2048 bits et ne fonctionne pas si l’agent contient à la fois des identités RSA et DSA.
4.4.9. SCP avec le transfert d’authentification Le client scp d’OpenSSH n’est pas directement compatible avec le transfert d’authentification. Il existe toutefois un moyen de le faire fonctionner au moyen d’un script wrapper et d’un script lanceur qui passent les bonnes options à la commande ssh sous-jacente. Créez, dans un répertoire de votre PATH, le fichier script lanceur nommé « scp-A » et contenant ceci : #!/bin/sh scp -oForwardAgent=yes -S scp-A-wrapper "$@"
Créez ensuite dans le même répertoire le script wrapper « scp-A-wrapper » avec le contenu suivant : #!/usr/bin/perl exec '/usr/bin/ssh', map {($_ =~ /^-oForwardAgent[ =]no$/) || ($_ eq '-a') ? ( ) : $_} @ARGV;
Rendez ces deux fichiers exécutables avec la commande chmod $ chmod +x scp-A scp-A-wrapper
Vous pouvez alors utiliser le script lanceur « scp-A » en lieu et place de la commande scp $ scp-A myfile
[email protected]:root@asterix:/tmp $ scp-A
[email protected]:root@asterix:/tmp/myfile /tmp
18
Wallix AdminBastion 4.1 - Guide de l’utilisateur
4.5. Connexions SSH depuis un poste de travail Win dows 4.5.1. Session shell avec le logiciel PuTTY
Figure 4.5. Configuration de Putty La zone « Specify the destination you want to connect to » avec : • Host Name : FQDN du WAB. • Port : entrer la valeur 22 (port d’écoute du proxy SSH du WAB). Dans le panneau « Connection/Data », entrer le nom du compte cible, de l’équipement, du service cible et l’identifiant de l’utilisateur WAB dans le champ « Auto-login username » (l’identifiant de l’utilisateur WAB n’est pas sensible à la casse, contrairement au reste) :
19
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Figure 4.6. Configuration de Putty (2/2) Putty ne permet pas de sauvegarder le mot de passe de l’utilisateur. Celui-ci vous sera demandé à la connexion si vous utilisez ce mode d’authentification. Si vous désirez utiliser l’authentification par clé sans utiliser l’agent d’authentification, vous pouvez également spécifier le fichier de clé privée dans le cha mp « Private key file for authentication » du panneau « Connection/SSH/Auth ». Cela n’est pas nécessaire si vous utilisez l’agent d’authentification.
Note : Pour utiliser l’agent d’authentification (voir Section 4.5.5, « Se connecter avec l’agent d’authentification ») vous devez vous assurer que l’option « Attempt authentication using Pageant » est bien cochée dans le panneau « Connection/SSH/Auth ».
4.5.2. Transfert de fichier avec PSCP C:\> pscp -scp myfile
[email protected]:root@asterix:OpenSSH:/tmp martin's password :
La commande ci-dessus permet de transférer le fichier « myfile » entre le poste local et le répertoire « /tmp » à l’aide du compte « root » sur l’équipement « asterix ». La connexion automatique (« auto logon ») doit être active sur ce compte.
4.5.3. Transfert de fichier avec FileZilla Entrer les informations suivantes dans le « Gestionnaire de sites » : • Hôte : wab.mycorp.lan est le FQDN du WAB. • Port : 22 est le port d’écoute TCP du proxy ssh . • Type de serveur : choisir « SFTP – SSH File Transfer Procotol »
20
Wallix AdminBastion 4.1 - Guide de l’utilisateur • Type d’authentification : choisir « Normale » • Utilisateur : – « martin » désigne un utilisateur déclaré dans WAB et ayant l’autorisation « SFTP_SESSION ». Cet identifiant n’est pas sensible à la casse. – « root@asterix:OpenSSH » désigne le compte (root), la machine (asterix) et le service cible (OpenSSH). Cette partie est sensible à la casse. La connexion automatique (« auto logon ») doit être active sur ce compte. S’il n’y a qu’un seul service SSH, TELNET ou RLOGIN déclaré sur la machine cible, le nom du service peut être omis comme ceci : « root@asterix » • Mot de passe : mot de passe WAB de l’utilisateur
Figure 4.7. Filezilla - Gestionnaire de site
4.5.4. Transfert de fichier avec WinSCP Entrer les informations suivantes dans l’écran « Session » : • Host name : wab.mycorp.lan est le FQDN du WAB. • Port number : 22 est le port d’écoute TCP du proxy ssh. • User name : – « martin » désigne un utilisateur déclaré dans WAB et ayant l’autorisation « SFTP_SESSION ». Cet identifiant n’est pas sensible à la casse. – « root@asterix:OpenSSH » désigne le compte (root), la machine (asterix) et le service cible (OpenSSH). Cette partie est sensible à la casse. La connexion automatique (« auto logon ») doit être active sur ce compte. S’il n’y a qu’un seul service SSH, TELNET ou RLOGIN déclaré sur la machine cible, le nom du service peut être omis comme ceci : « root@asterix » • File protocol : choisir « SFTP »
21
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Figure 4.8. Configuration de WinSCP Dans l’écran « Preferences », cliquez sur le bouton « Preferences » puis rendez vous sur l’écran « Transfer ».
22
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Figure 4.9. Configuration des préférences de WinSCP Vous devez cocher la case « Ignore permission errors » dans le cadre « Upload options » puis décocher la case « Preserve timestamp » dans le cadre « Common options »
Note : Il faut impérativement effectuer les opérations mentionnées ci-dessus dans cet ordre. La case « Preserve timestamp » une fois décochée empêche toute modification de la case « Ignore permission errors ».
Note : Pour utiliser l’agent d’authentification (voir Section 4.5.5, « Se connecter avec l’agent d’authentification ») vous devez vous assurer que l’option « Essayer l’authentification avec Pageant » est bien cochée dans le panneau « SSH/Authentification » des « Options avancées ».
4.5.5. Se connecter avec l’agent d’authentification Si vous désirez utiliser l’agent d’authentification, vous devez le démarrer et y ajouter vos paramètres d’authentification avant d’utiliser PuTTY, WinSCP ou FileZilla. Lancez d’abord l’agent d’authentification Pageant depuis le menu Démarrer de Windows. Ajoutez ensuite une ou plusieurs identités à cet agent. Cliquez pour cela avec le bouton droit de la souris sur l’icône de Pageant dans la zone de notification de la barre des tâches et sélectionnez « Add key » dans le menu.
23
Wallix AdminBastion 4.1 - Guide de l’utilisateur Vous pouvez alors utiliser l’un des programmes décrits dans les sections précédentes (4.5.1 à 4.5.4) sans avoir à re-saisir le mot de passe. Ceux-ci utiliseront automatiquement l’agent pour les authentifications par clés tant qu’il sera disponible.
4.5.6. Se connecter avec PuTTY en activant le transfert d’authentification Si vous utilisez l’agent d’authentification, vous pouvez utiliser l’option de transfert d’authentification si celle-ci est également activée sur le compte cible voulu. Dans le panneau « Connection/SSH/Auth », cochez l’option « Allow agent forwarding » pour indiquer au WAB que l’on souhaite initier une session avec transfert d’authentification : si l’option est également activée dans la déclaration du compte cible demandé, les paramètres d’authentification utilisés pour la connexion au WAB seront réutilisés pour se connecter à la cible.
Avertissement : Le transfert d’authentification n’est pas compatible avec les clés RSA de plus de 2048 bits et ne fonctionne pas si l’agent contient à la fois des identités RSA et DSA.
4.6. Connexions RDP 4.6.1. Depuis un poste de travail Windows (XP, Vista, Seven) L’ouverture d’une session RDP depuis un poste de travail Windows peut s’opérer selon deux modes : depuis l’interface Web ou directement depuis le client Terminal Server (« Connexion bureau à distance »).
4.6.1.1. Connexion depuis l’interface Web Dans le panneau « Mes autorisations », un clic sur l’icône représentant une disquette (compte cible de type RDP) ouvre une fenêtre qui vous permet : • de vous connecter au proxy RDP du WAB puis, d’accéder à la machine Windows distante • de télécharger sur votre poste de travail le fichier de configuration RDP pour votre client Terminal Server Un clic sur l’icône « disquette » affiche une fenêtre de ce type dans votre navigateur :
24
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Figure 4.10. Enregistrement d’un fichier .rdp Le bouton « Ouvrir » provoque le lancement du client Terminal Server de votre poste de travail.
4.6.1.2. Connexion depuis le client Terminal Server Se connecter au proxy RDP du WAB grâce au client Terminal Server :
Figure 4.11. Client Terminal Server Un clic sur le bouton « Connexion » fait apparaître la mire vue en Figure 4.14, « Mire de connexion RDP ». Le champ « login » doit contenir « administrateur@win2003:BureauDistant:martin » où :
une
expression
de
type
• « martin » désigne un utilisateur déclaré dans le WAB ayant l’autorisation « RDP ». Cet identifiant n’est pas sensible à la casse.
25
Wallix AdminBastion 4.1 - Guide de l’utilisateur • « administrateur@win2003:BureauDistant » désigne le compte (administrateur), la machine (win2003) et le service (BureauDistant) d’une cible déclarée sur le WAB et auquel l’utilisateur « martin » a accès. Cette partie est sensible à la casse. S’il n’y a qu’un seul service RDP ou VNC déclaré sur la machine cible, le nom du service peut être omis comme ceci : « administrateur@win2003 » • le champ « password » doit être renseigné avec le mot de passe WAB de l’utilisateur « martin ». Un clic sur le bouton « OK » établit la connexion avec la machine distante et la session Windows apparaît sur votre poste de travail. Il est également possible d’indiquer uniquement un nom d’utilisateur WAB. On accède alors à une page intermédiaire qui affiche la liste des serveurs accessibles :
Figure 4.12. Sélecteur RDP Le sélecteur montre toutes les ressources accessibles, le groupe auxquelles elles appartiennent, le type de serveur distant (VNC ou RDP) et l’heure à laquelle la connexion sera coupée automatiquement. Si un serveur accessible appartient à différents groupes, plusieurs entrées correspondant à la même ressource distante apparaîtront dans la liste. Si la liste est longue, il est possible d’appliquer un filtre sur le groupe ou le compte pour affiner la recherche. Il suffit alors de sélectionner (ligne en surbrillance) le serveur désiré et de cliquer sur « Connect » pour accéder au serveur distant. Avant la connexion à l’équipement proprement dite, différentes boîtes de dialogue peuvent être affichées et/ou demander confirmation à l’utilisateur. L’utilisateur peut ainsi être prévenu que sa ses-
26
Wallix AdminBastion 4.1 - Guide de l’utilisateur sion est enregistrée, que son mot de passe va bientôt expirer, ou de l’heure à laquelle la connexion sera coupée automatiquement.
Note : Il est également possible de se logger sur la console distante. Pour cela, il faut lancer le client MSTSC à l’aide de l’invite « Exécuter » de Windows (Démarrer → Exécuter) à l’aide de mstsc /admin ou mstsc /console selon vos versions de Windows (le paramètre / admin doit être utilisé à partir de Windows Vista SP3).
Figure 4.13. Paramètres de lancement du client MSTSC sous Windows 7
sur le Device redirection : Le proxy RDP embarqué dans le WAB permet le « device redirection », c’est-à-dire la possibilité de faire apparaître, dans le « Poste de travail » de la session Windows distante, des ressources du poste de travail local : imprimante, répertoire, presse-papier,... Cette fonctionnalité autorise notamment le transfert de fichiers par drag & drop entre les deux machines Windows, à l’intérieur même de la session RDP ou bien encore le copier-coller de texte entre le poste local et la machine distante. Attention, il peut être nécessaire de l’activer depuis l’interface du « Client Terminal Serveur » pour qu’elle soit disponible.
4.6.2. Depuis un poste de travail Linux Sous Linux, vous pouvez utilisez le client RDP rdesktop ou un équivalent. Ce document présente l’utilisation de rdesktop. $ rdesktop wab.mycorp.lan
La commande ci-dessus provoque l’affichage de la fenêtre suivante :
27
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Figure 4.14. Mire de connexion RDP Le champ « login » doit contenir une « administrateur@win2003:BureauDistant:martin » dans laquelle :
expression
de
type
• « martin » désigne un utilisateur déclaré dans le WAB ayant l’autorisation « RDP ». Cet identifiant n’est pas sensible à la casse. • « administrateur@win2003:BureauDistant » désigne le compte (administrateur), la machine (win2003) et le service (BureauDistant) d’une cible déclarée sur le WAB auquel l’utilisateur « martin » a accès. Cette partie est sensible à la casse. S’il n’y a qu’un seul service RDP ou VNC déclaré sur la machine cible, le nom du service peut être omis comme ceci : « administrateur@win2003 » • le champ « password » doit être renseigné avec le mot de passe WAB de l’utilisateur « martin » Un clic sur le bouton « OK » établit la connexion avec la machine distante et la session Windows apparaît sur votre poste de travail. Il est également possible de renseigner le paramètre « login » sur la ligne de commande rdesktop. Ainsi, la ligne de commande $ rdesktop -u administrateur@win2003:BureauDistant:martin wab.mycorp.lan
provoque directement l’affichage de la fenêtre ci-dessous :
28
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Figure 4.15. Fenêtre de connexion RDP pré-remplie Il ne reste plus alors qu’à renseigner le champ « password » et cliquer sur le bouton « OK » pour établir la connexion avec la machine distante. Il est également possible d’indiquer uniquement un nom d’utilisateur WAB. On accède alors à une page intermédiaire qui affiche la liste des serveurs accessibles :
Figure 4.16. Sélecteur RDP
29
Wallix AdminBastion 4.1 - Guide de l’utilisateur Le sélecteur montre toutes les ressources accessibles, le groupe auxquelles elles appartiennent, le type de serveur distant (VNC ou RDP) et l’heure à laquelle la connexion sera coupée automatiquement. Si un serveur accessible appartient à différents groupes, plusieurs entrées correspondant à la même ressource distante apparaîtront dans la liste. Si la liste est longue, il est possible d’appliquer un filtre sur le groupe ou le compte pour affiner la recherche. Il suffit alors de sélectionner (ligne en surbrillance) le serveur désiré et de cliquer sur Connect pour accéder au serveur distant. Avant la connexion à l’équipement proprement dite, différentes boîtes de dialogue peuvent être affichées et/ou demander confirmation à l’utilisateur. L’utilisateur peut ainsi être prévenu que sa session est enregistrée, que son mot de passe va bientôt expirer, où de l’heure où la connexion sera coupée automatiquement.
Note : Voici quelques options utiles pour rdesktop : • -u permet de saisir le login • -g 1024x768 permet de choisir la résolution désirée (remplacez 1024x768 par la taille désirée). • -a 24 permet de choisir la profondeur de couleur (bits par pixel). Les valeurs supportées sont 8, 15, 16 et 24 • -0 permet de se connecter à la console du poste distant
4.7. Connexions HTTPS Les connexions HTTPS se font à travers un client Web (Voir avec votre administrateur pour la liste des clients supportés). Dans le panneau « Mes autorisations », un clic sur l’icône représentant un globe de type HTTP(S)) permet d’ouvrir directement un accès HTTPS vers la cible.
30
(compte cible
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Figure 4.17. Page « Ouverture de session HTTPS » Une fois la session sur le compte cible activée, la navigation sur la ressource HTTP(S) se fait de la même façon que si elle avait été accédée directement.
Note : Une session ouverte sur le proxy HTTPS sera fermée si aucune activité n’a été constatée au bout de 5 min (pas d’accès à la cible).
31
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Chapitre 5. Problèmes de connexion 5.1. Généralités Une connexion vers un compte cible peut échouer pour les raisons suivantes : • • • • • • • • •
le service WAB est indisponible ou non accessible l’identifiant et/ou le mot de passe utilisateur est/sont erroné(s) l’équipement cible est inaccessible le compte cible n’existe pas le mot de passe du compte cible est erroné l’accès au compte cible n’est pas autorisé tentative de connexion en dehors de la plage horaire autorisée le protocole n’est pas autorisé le nombre maximal de connexions simultanées autorisé est atteint (cf : licence)
5.2. Spécificités SSH Le protocole SSH est divisé en sous-systèmes : • • • • • •
SSH_SHELL_SESSION : ouverture d’un shell SSH_SCP_UP : transfert de fichier(s) vers l’équipement cible SSH_SCP_DOWN : transfert de fichier(s) depuis l’équipement cible SFTP_SESSION : transfert de fichier(s) bi-directionnel par SFTP SSH_REMOTE_COMMAND : exécution de commandes à distance SSH_X11_SESSION : affichage d’applications X11 s’exécutant sur un équipement cible
Chacun de ces sous-systèmes fait l’objet d’une autorisation spécifique sur le WAB. L’ouverture d’un shell distant ou le transfert d’un fichier peut vous être refusé si vous ne possédez pas l’autorisation sur le sous-système concerné. Attention, certains clients réclament également l’autorisation SSH_SHELL_SESSION pour effectuer le listing des répertoires quand il sont utilisés en mode SCP. Veuillez aussi remarquer que l’utilisation des sous protocoles SCP et SFTP ne fonctionne que si la connexion automatique (« auto logon ») est activée pour le compte cible utilisé car ces protocoles ne permettent pas d’entrer interactivement le mot de passe secondaire. Exemple de message d’erreur SSH : $ ssh -t root@obelix:
[email protected] martin's password: Unknown account or device Connection to wab.mycorp.lan closed by remote host. Connection to wab.mycorp.lan closed. $
32
Wallix AdminBastion 4.1 - Guide de l’utilisateur
5.3. Session SSH muette Sur certaines plates-formes cibles, il arrive que les caractères émis par l’équipement cible ne s’affichent pas à l’écran et que l’écho des caractères entrés au clavier soit absent. Ce problème a notamment été détecté sur les cibles suivantes : • serveurs Telnet Open Solaris • serveurs Telnet Solaris 8 Il est résolu en supprimant l’allocation d’un pseudo-terminal (tty). Ce qui donne en ligne de commande sous Unix/Linux : $ ssh root@obelix:
[email protected] martin's password:
Sous Windows avec PuTTY, l’option à décocher se trouve dans le sous-menu SSH/TTY
Figure 5.1. Désactiver le TTY sous Putty
33
Wallix AdminBastion 4.1 - Guide de l’utilisateur
Chapitre 6. Note sur l’enregistrement des sessions Comme annoncé à l’ouverture d’une connexion SSH et dans la mire de connexion RDP, le WAB a la capacité d’enregistrer les sessions utilisateurs (sauf les sessions X11). Les commandes que vous entrez depuis votre poste de travail (clavier/souris) ainsi que les réponses de l’équipement cible auquel vous êtes connecté et qui sont affichées sur votre écran peuvent être stockées, puis consultées ultérieurement. Cette fonctionnalité peut être activée et les enregistrements peuvent être visualisés à tout moment par un administrateur du WAB autorisé.
34