Professional Documents
Culture Documents
1 - Guide de lutilisateur
ii
iii
iv
Chapitre 1. Introduction
1.1. Prambule
Nous vous remercions davoir choisi Wallix AdminBastion, galement appel WAB.
WAB est commercialis sous la forme de serveur ddi prt lemploi ou sous la forme dune
machine virtuelle pour environnements VMWare ESX 4.x et 5.x.
Les quipes Wallix ont apport le plus grand soin llaboration de ce produit et souhaitent quil
vous apporte entire satisfaction.
1.3. Lgende
prompt $ commande taper <paramtre remplacer>
retour de la commande
sur une ou plusieurs lignes
prompt $
Note :
Votre navigateur doit tre configur pour accepter les cookies et excuter le JavaScript.
Puis connectez-vous avec les accrditations fournies par ladministrateur du WAB :
Si celui-ci vous a fourni un certificat X509, consultez la section 3.3, Authentification par certificat
X509 , au lieu de procder comme indiqu ci-dessous.
Sinon, entrez votre identifiant et votre mot de passe puis appuyez sur le bouton
Connexion (lidentifiant nest pas sensible la casse) :
Note :
La langue affiche sur cette page est le franais ou langlais, selon les prfrences linguistiques dfinies dans votre navigateur. Une fois connect, la langue sera celle que
vous aurez configur dans votre compte WAB (voir Section 3.1, Mes Prfrences ).
Si la connexion russit, lcran suivant est affich :
Note :
Si lauthentification de lutilisateur est lie un annuaire dentreprise, le formulaire de
changement de mot de passe ne sera pas accessible.
Selon le paramtrage de WAB, il sera parfois ncessaire de modifier votre mot de passe :
lors de lexpiration imminente du mot de passe : un message signalant la future expiration du
mot de passe est affich lutilisateur lors de sa connexion linterface Web
lors de la modification initiale du mot de passe pour le droit daccs aux quipements
Note :
Si votre certificat est stock sous forme physique, le mdium doit tre prsent pendant
toute la phase dauthentification.
Tant que vous resterez connect sur linterface graphique en X509 un mode dauthentification
alternatif sera disponible sur les proxys. Veuillez vous rfrer au chapitre Section 4.3, Authentification simplifie en mode X509 .
Note :
La cl publique SSH de lutilisateur doit tre entre soit par ladministrateur via linterface
Web dadministration, soit par lutilisateur via la page Mes Prfrences (cf Section 3.1,
Mes Prfrences ).
Le mcanisme dauthentification par cl SSH permet galement lutilisation dun agent rsident
sur le poste client. Celui-ci permet de conserver les paramtres dauthentification et ainsi de ne
demander quune seule fois le mot de passe de protection des cls, au dmarrage de lagent ou
la premire utilisation de la cl. La cl peut alors tre rutilis par la suite sans avoir re-saisir
le mot de passe chaque fois. Lutilisation de lagent se fait de manire transparente avec tous
les clients qui le supportent.
Lutilisation de lagent dauthentification permet aussi en option de transfrer les paramtres
dauthentification du client sur le WAB afin quil puisse les utiliser pour lauthentification vers les
cibles. Cette fonctionnalit permet donc lutilisation des cls prives du client par le WAB sans quil
y ait besoin de re-saisir de mot de passe ni que le WAB ait connaissance de ces cls prives.
Pour cela il faut la plupart du temps activer explicitement loption lors du lancement des clients car
ceux-ci ne lactivent gnralement pas par dfaut pour des raisons de scurit. Certains clients qui
supportent lutilisation dagents ne supportent pas loption de transfert dauthentification.
Vous pouvez galement utiliser le paramtre -b TAILLE pour modifier la taille de la cl. La taille
par dfaut dune cl RSA dans la version actuelle de ssh-keygen est de 2048 bits ce qui est
une valeur raisonnable. Pour un usage au del de 2030, une cl de 4096 bits est toutefois recommande.
Importez le fichier ~/.ssh/wab_rsa2048.pub dans le WAB. Reportez-vous pour cela Section 3.1, Mes Prfrences .
Si vous nutilisez pas dagent dauthentification, les commandes ssh, scp et sftp utiliseront directement soit la cl de lidentit par dfaut ~/.ssh/id_rsa, soit la cl prive passe en argument
avec le paramtre -i CL, par exemple :
$ ssh -t -i ~/.ssh/wab_rsa2048 -l root@asterix:martin wab.mycorp.lan
Enter passphrase for key '/home/martin/.ssh/wab_rsa2048':
Si vous utilisez un agent dauthentification, vous devrez importer la cl prive chaque redmarrage de lagent.
$ ssh-add ~/.ssh/wab_rsa2048
Enter passphrase for /home/martin/.ssh/wab_rsa2048:
Identity added: /home/martin/.ssh/wab_rsa2048 (/home/martin/.ssh/wab_rsa2048)
Vous pourrez alors vous connecter au proxy ssh sans avoir besoin dentrer de nouveau le mot
de passe ni de passer le paramtre -i sur la ligne de commande (ssh essaiera automatiquement
toutes les identits ajoutes dans lagent).
Lancez votre connexion SSH comme dcrit Section 3.1, Mes Prfrences .
10
11
12
Note :
Pour utiliser la fonctionnalit de transfert dauthentification par lagent SSH il est ncessaire dutiliser Pagent.
Avertissement :
Avec la plupart des clients, un message vous informera que le proxy attend confirmation
de linterface Web utilisateur. Ce nest pas le cas quand vous utilisez un client SCP ou
SFTP, qui restent en attente silencieusement car ils ne sont pas prvus pour afficher de
message du serveur.
13
lautorisation
Note :
Selon la configuration mise en place par ladministrateur, il est possible quune accrditation soit demande pour le compte root@asterix:OpenSSH.
La syntaxe alternative suivante est aussi accepte pour raison de compatibilit, mais elle est dsaprouve :
$ ssh -t martin@wab.mycorp.lan root@asterix:OpenSSH
martin's password:
Note :
Loption -t est indispensable dans ce cas. Elle permet lallocation du pseudo-terminal
ncessaire laffichage de la session.
Sil ny a quun seul service SSH, TELNET ou RLOGIN dclar sur la machine cible, le nom du
service peut tre omis :
$ ssh -t martin@wab.mycorp.lan root@asterix
martin's password:
14
ou sil ny a quun seul service SSH, TELNET ou RLOGIN sur cette machine
$ ssh martin@wab.mycorp.lan root@asterix halt
martin's password:
Ainsi, la commande halt est excute sur la machine asterix , sans ouverture du shell.
Sil ny a quun seul service SSH, TELNET ou RLOGIN dclar sur la machine cible, le nom du
service peut tre omis :
$ scp myfile martin@wab.mycorp.lan:root@asterix:/tmp
martin's password:
15
ayant
lautorisation
Sil ny a quun seul service SSH, TELNET ou RLOGIN dclar sur la machine cible, le nom du
service peut tre omis :
$ ssh -t -X martin@wab.mycorp.lan root@asterix
martin's password:
16
Note :
Dans certains environnements graphiques, un agent contenant toutes les identits de
lutilisateur est dj activ lors du login. Les commandes dcrites ci-dessous ne sont
alors pas ncessaires. Cest gnralement le cas sur les distributions base Debian ou
Ubuntu, mais pas sur les distributions base RedHat. Cela peut toutefois varier selon
votre configuration.
Lancez dabord lagent rsident dans votre session shell par la commande suivante ; celle-ci ajoute
la dclaration de lagent dans lenvironnement du shell de manire quil soit utilisable automatiquement par les programmes compatibles :
$ eval $(ssh-agent)
Loption -A de la ligne de commande ssh indique au WAB que lon souhaite initier une session
avec transfert dauthentification : si loption est galement active dans la dclaration du compte
17
Avertissement :
Le transfert dauthentification nest pas compatible avec les cls RSA de plus de 2048
bits et ne fonctionne pas si lagent contient la fois des identits RSA et DSA.
Crez ensuite dans le mme rpertoire le script wrapper scp-A-wrapper avec le contenu suivant :
#!/usr/bin/perl
exec '/usr/bin/ssh', map {($_ =~ /^-oForwardAgent[ =]no$/) || ($_ eq '-a') ? (
) : $_} @ARGV;
Vous pouvez alors utiliser le script lanceur scp-A en lieu et place de la commande scp
$ scp-A myfile martin@wab.mycorp.lan:root@asterix:/tmp
$ scp-A martin@wab.mycorp.lan:root@asterix:/tmp/myfile /tmp
18
19
Note :
Pour utiliser lagent dauthentification (voir Section 4.5.5, Se connecter avec lagent
dauthentification ) vous devez vous assurer que loption Attempt authentication using
Pageant est bien coche dans le panneau Connection/SSH/Auth .
La commande ci-dessus permet de transfrer le fichier myfile entre le poste local et le rpertoire
/tmp laide du compte root sur lquipement asterix . La connexion automatique ( auto
logon ) doit tre active sur ce compte.
20
21
22
Note :
Il faut imprativement effectuer les oprations mentionnes ci-dessus dans cet ordre. La
case Preserve timestamp une fois dcoche empche toute modification de la case
Ignore permission errors .
Note :
Pour utiliser lagent dauthentification (voir Section 4.5.5, Se connecter avec lagent
dauthentification ) vous devez vous assurer que loption Essayer lauthentification
avec Pageant est bien coche dans le panneau SSH/Authentification des Options
avances .
23
Avertissement :
Le transfert dauthentification nest pas compatible avec les cls RSA de plus de 2048
bits et ne fonctionne pas si lagent contient la fois des identits RSA et DSA.
24
login
doit
contenir
administrateur@win2003:BureauDistant:martin o :
une
expression
de
type
martin dsigne un utilisateur dclar dans le WAB ayant lautorisation RDP . Cet identifiant
nest pas sensible la casse.
25
26
Note :
Il est galement possible de se logger sur la console distante. Pour cela, il faut lancer
le client MSTSC laide de linvite Excuter de Windows (Dmarrer Excuter)
laide de mstsc /admin ou mstsc /console selon vos versions de Windows (le paramtre /
admin doit tre utilis partir de Windows Vista SP3).
27
login
doit
contenir
une
administrateur@win2003:BureauDistant:martin dans laquelle :
expression
de
type
martin dsigne un utilisateur dclar dans le WAB ayant lautorisation RDP . Cet identifiant
nest pas sensible la casse.
administrateur@win2003:BureauDistant dsigne le compte (administrateur), la machine
(win2003) et le service (BureauDistant) dune cible dclare sur le WAB auquel lutilisateur martin a accs. Cette partie est sensible la casse.
Sil ny a quun seul service RDP ou VNC dclar sur la machine cible, le nom du service peut
tre omis comme ceci : administrateur@win2003
le champ password doit tre renseign avec le mot de passe WAB de lutilisateur martin
Un clic sur le bouton OK tablit la connexion avec la machine distante et la session Windows
apparat sur votre poste de travail.
Il est galement possible de renseigner le paramtre login sur la ligne de commande rdesktop.
Ainsi, la ligne de commande
$ rdesktop -u administrateur@win2003:BureauDistant:martin wab.mycorp.lan
28
29
Note :
Voici quelques options utiles pour rdesktop :
-u permet de saisir le login
-g 1024x768 permet de choisir la rsolution dsire (remplacez 1024x768 par la taille
dsire).
-a 24 permet de choisir la profondeur de couleur (bits par pixel). Les valeurs supportes
sont 8, 15, 16 et 24
-0 permet de se connecter la console du poste distant
30
(compte cible
Note :
Une session ouverte sur le proxy HTTPS sera ferme si aucune activit na t constate
au bout de 5 min (pas daccs la cible).
31
32
Sous Windows avec PuTTY, loption dcocher se trouve dans le sous-menu SSH/TTY
33
34
35