Wallix AdminBastion 4.1 - Guide d’Administration
Wallix AdminBastion 4.1 Guide d’Administration d’Administration
i
Wallix AdminBastion 4.1 - Guide d’Administration
Wallix AdminBastion 4.1: Guide d’Administration
ii
Wallix AdminBastion 4.1 - Guide d’Administration
Table des matières 1. Introduction ............................................................................................................................. 1 1.1. 1.1. Préam Préambu bule le ......................................... ............................................................... ............................................. ............................................. ............................... ......... 1 1.2. 1.2. Copyri Copyright ght,, Licence Licencess ................ ....... ................. ................ ................ ................. ................. ................ ................ ................. ................. ................ ............. ..... 1 1.3. 1.3. Lége Légend ndee .......................................... ................................................................ ............................................ ............................................ .................................. ............ 1 1.4. 1.4. À propos propos de ce docume document nt ................. ......... ................ ................ ................. ................. ................ ................ ................ ................. ................. ............ .... 1 2. Concepts .......................................................... ................................................................................................................................. ....................................................................... 2 2.1. 2.1. Généra Généralit lités és ................ ....... ................. ................ ................ ................. ................. ................ ................ ................. ................. ................ ................ ................ ............ 2 2.2. Positionnement Positionnement du WAB dans l’infrastru l’infrastructu cture re réseau réseau ................. ........ ................. ................ ................ ................. ................ ....... 2 2.3. Concepts des ACLs du WAB .......................................................................................... 3 2.4. Mise en production production ........................................ .............................................................. ............................................ .......................................... .................... 3 3. Interface d’administration d’administration .................................................... .......................................................................... ............................................ ................................ .......... 5 3.1. Première connexion ........................................................................................................ 5 3.2. Arborescence du menu ........................................................... ....................................... .......................................... ........................................ .................. 6 3.3. 3.3. Mes Préfé Préféren rences ces ................ ........ ................ ................ ................. ................. ................ ................ ................ ................. ................. ................ ................ ............ 8 3.4. Mes Autorisations Autorisations ................................................ ............................. ......................................... ............................................ .................................... .............. 9 3.5. Audit WAB WAB ............................. ................................................ ......................................... ............................................ ........................................... ..................... 10 3.5.1. 3.5.1. Connex Connexion ionss couran courantes tes ................. ......... ................ ................ ................ ................. ................. ................ ................ ................. .............. ..... 10 3.5.2. Visualiser Visualiser les sessions en temps réel .............................. .................................................... ...................................... ................ 11 3.5.3. 3.5.3. Histor Historiqu iquee des des conn connexi exions ons ................ ........ ................ ................ ................. ................. ................ ................ ................. ................. ........ 11 3.5.4. Visualiser Visualiser l’enregistrement des des sessions ................................................................ 13 3.5.5. Historique Historique des authen authentif tificat ication ionss .............. ...... ................ ................ ................ ............. .......................... ................................ ........... 14 3.5.6. 3.5.6. Sta Statis tistiq tiques ues sur sur les les conne connexio xions ns ................ ........ ................ ................ ................. ................. ................ ................ ................. ............. 15 3.6. Audit Système ......................................... ................................................ .......................... ......................................... .......................................... .................... 17 3.6.1. État du système ................................................................................................. 17 3.6.2. Journaux Journaux systèmes ................................... ......................................................... ............................................ .................................... .............. 18 3.7. Utilisateurs ............................... ..................................................... ............................................ ............................................. ....................................... ................ 18 3.7.1. Comptes ........................................................................................................... 18 3.7.2. Groupes Groupes (d’utilisateurs) ........................................... ................................................................. ........................................... ..................... 22 3.7.3. Importer (des utilisateurs) ................................................................................... 25 3.8. Ressources et Comptes ........................... .................................................. ............................................. ............................................ ......................... ... 30 3.8.1. Équipements Équipements ........................ .............................................. ............................................ ............................................. ................................. .......... 30 3.8.2. Comptes cibles .................................................................................................. 33 3.8.3. Accréditations Accréditations admins de l’équipement l’équipement ................................................................ 36 3.8.4. 3.8.4. Groupe Groupess (de (de comptes comptes cibles cibles)) .............. ................ ........ ................ ................. ................. ................ ................ ................ ........ 39 3.8.5. Mécanismes Mécanismes d’authentification ........................................ .............................................................. .................................... .............. 42 3.8.6. Importer Importer (des équipements et des comptes cibl cibles es)) ........................................... .................................................. ....... 43 3.9. Gestion des autorisations ............................................................................................... 45 3.9.1. Ajout d’une autorisation ........................................... ................................................................. .......................................... .................... 46 3.9.2. 3.9.2. Supp Suppres ressio sionn d’une d’une autor autorisat isation ion ................. ........ ................. ................ ................ ................. ................. ................ ................ ............ 47 3.9.3. Import d’autorisations Import d’autorisations via CSV ......................... ............................................... ............................................. ............................ ..... 47 3.10. Profils Utilisateurs ........................... .................................................. ............................................. ............................................ .............................. ........ 48 3.10.1 3.10.1.. Profil Profilss par défaut défaut ................. ........ ................. ................ ................ ................ ................. ................. ................ ................ ................. ............. 48 3.10.2. Ajout d’un profil utilisateur utilisateur ............................................................................... 48 3.10.3 3.10.3.. Éditio Éditionn d’un d’un profil profil util utilisat isateur eur ................ ........ ................ ................ ................. ................. ................ ................ ................. ............. 50 3.10.4. Suppression d’un profil utilisateur ...................................................................... 50 3.11. Configuration Configuration des proxys ............................ ...... ............................................ ............................................ .......................................... .................... 50 3.11.1 3.11.1.. Proxy Proxy RDP ................ ....... ................. ................ ................ ................. ................. ................ ................ ................. ................. ................ ........... ... 50 3.12. Configuration Configuration WAB ................................................... .............................. ........................................... ............................................. ........................... .... 51 3.12.1. Plages Horaires ................................................................................................ 51 3.12.2. Authentifications Authentifications exte extern rnes es ........................................... .................................................................. ...................................... ............... 53 3.12.3. 3.12.3. Domaines Domaines LDAP/AD ........................................................................................ 55
iii
Wallix AdminBastion 4.1 - Guide d’Administration 3.12.4. Notifications .................................................................................................... 55 3.12.5. Politique de mot de passe ................................................................................. 58 3.12.6. Mots de passe secondaires ................................................................................ 59 3.12.7. Paramètres de connexion .................................................................................. 62 3.13. Configuration Système ................................................................................................ 63 3.13.1. Réseau ............................................................................................................ 63 3.13.2. Service de Temps ............................................................................................ 64 3.13.3. Stockage Distant .............................................................................................. 65 3.13.4. Syslog ............................................................................................................ 66 3.13.5. SNMP ............................................................................................................ 67 3.13.6. SMTP ............................................................................................................. 68 3.13.7. Licence ........................................................................................................... 69 3.13.8. Chiffrement ..................................................................................................... 70 3.13.9. Contrôle des services ........................................................................................ 71 3.14. Sauvegarder/ Restaurer ................................................................................................. 73 3.14.1. Restauration des fichiers de configuration ........................................................... 74 4. Gestion des Applications ......................................................................................................... 77 4.1. Pré-requis pour le serveur de rebond .............................................................................. 77 4.2. Pré-requis de l’application ............................................................................................. 78 4.3. Configuration d’une application ..................................................................................... 78 4.4. Grappe de serveurs ....................................................................................................... 79 5. Intégration avec un domaine LDAP ou Active Directory ............................................................. 80 6. Exploitation ........................................................................................................................... 82 6.1. Connexion au WAB en ligne de commande .................................................................... 82 6.2. Vérifier l’intégrité de votre système WAB ...................................................................... 82 6.3. Export des données d’audit ........................................................................................... 83 6.4. Sauvegarder/Restaurer en ligne de commande .................................................................. 83 6.5. Configuration de la sauvegarde automatique .................................................................... 84 6.6. Moteur de droit : contraintes d’exploitation ..................................................................... 84 6.7. Analyse des flux SSH / Détection de pattern ................................................................... 85 6.8. Scénario de connexion TELNET/RLOGIN ...................................................................... 85 6.9. Changement d’identification des serveurs cibles ............................................................... 86 6.9.1. Changement de la clé du serveur cible SSH .......................................................... 86 6.9.2. Changement du certificat TLS du serveur cible RDP .............................................. 86 6.9.3. Changement du certificat SSL du serveur cible HTTPS .......................................... 86 6.10. Configuration cryptographique des services ................................................................... 87 6.10.1. Autorisation de SSLv3 avec 3DES ..................................................................... 87 6.10.2. Protection contre BEAST .................................................................................. 87 6.10.3. Restore default cryptographic settings ................................................................ 88 6.11. Résolution des problèmes courants ............................................................................... 89 6.11.1. Restauration du compte « admin » d’usine .......................................................... 89 6.11.2. Remise à zéro de l’appliance ............................................................................. 89 7. Configuration X509 ................................................................................................................ 90 7.1. Pré-requis .................................................................................................................... 90 7.2. Paramétrages X509 ...................................................................................................... 90 7.2.1. Configuration X509 ........................................................................................... 90 7.2.2. Configuration X509 avec un WAB en mode Haute Disponibilité ............................. 91 7.3. Fonctions d’administration X509 .................................................................................... 92 7.3.1. Authentification des utilisateurs ........................................................................... 92 7.3.2. Gestion de la CRL ............................................................................................. 94 7.4. Authentification X509 .................................................................................................. 95 7.5. Retrait du mode X509 .................................................................................................. 96 7.6. Implémentation technique ............................................................................................. 96
iv
Wallix AdminBastion 4.1 - Guide d’Administration 8. Chiffrement des données ......................................................................................................... 98 9. Haute-Disponibilité ................................................................................................................. 99 9.1. Généralités .................................................................................................................. 99 9.2. Limitations d’exploitation ............................................................................................. 99 9.3. Configuration du cluster ................................................................................................ 99 9.4. Démarrage du cluster .................................................................................................. 100 9.5. Arrêt/Redémarrage du cluster ....................................................................................... 100 9.6. Reprise sur une erreur fatale (WAB HA is locked down) ................................................. 101 9.7. Coupures réseau et Split-Brain ..................................................................................... 101 9.8. Reconfiguration réseau du cluster ................................................................................. 102 9.9. Remplacement d’une machine défectueuse .................................................................... 102 9.10. Récupération d’un volume défectueux ......................................................................... 102 9.11. Tests de bon fonctionnement de la Haute-Disponibilité .................................................. 103 9.11.1. Basculement du Master vers le « Slave » (logiciel) ............................................. 103 9.11.2. Basculement du Master vers le Slave (matérielle) ............................................... 103 9.11.3. Détection d’un défaut sur le Master .................................................................. 103 9.11.4. Détection d’un défaut sur le Slave .................................................................... 104 9.11.5. Perte de la connectivité entre les deux nodes ..................................................... 104 10. Console d’administration ...................................................................................................... 106 10.1. Généralités ............................................................................................................... 106 10.2. Liste des commandes ................................................................................................ 106 10.2.1. Commandes d’ajout (préfixe « add_ ») .............................................................. 106 10.2.2. Commandes de modification (préfixe « change_ ») ............................................. 107 10.2.3. Commandes de suppression (préfixe « del_ ») .................................................... 107 10.2.4. Commandes de consultation (préfixe « list_ ») ................................................... 107 10.2.5. Autres commandes ......................................................................................... 108 10.2.6. Changements depuis la version 3.0 ................................................................... 108 10.3. Détail des commandes ............................................................................................... 108 10.3.1. Commandes d’ajout « add_ » ........................................................................... 108 10.3.2. Commandes de modification « change_ » .......................................................... 113 10.3.3. Commandes de suppression « del_ » ................................................................. 113 10.3.4. Commandes de consultation « list_ » ................................................................ 116 10.3.5. Autres commandes ......................................................................................... 121 10.3.6. Exemple d’utilisation de la console .................................................................. 122 11. WEB Services ..................................................................................................................... 126 11.1. Authentification ........................................................................................................ 126 11.2. API ......................................................................................................................... 126 11.2.1. Pré-requis et conventions ................................................................................ 126 11.2.2. Méthodes fournies .......................................................................................... 126 11.3. Exemple .................................................................................................................. 129 12. Compatibilités ..................................................................................................................... 131 13. Limitations ......................................................................................................................... 132 14. Définitions .......................................................................................................................... 133 Index ....................................................................................................................................... 134
v
Wallix AdminBastion 4.1 - Guide d’Administration
Liste des illustrations 2.1. Wallix AdminBastion dans l’infrastructure réseau ...................................................................... 3 3.1. Écran de connexion du WAB .................................................................................................. 5 3.2. Page d’accueil du WAB (profil administrateur) ......................................................................... 6 3.3. Page « Mes Préférences » ....................................................................................................... 9 3.4. Autorisations d’un utilisateur ................................................................................................... 9 3.5. Coupure de connexion SSH ................................................................................................... 10 3.6. Visualisation de session RDP temps réel ................................................................................. 11 3.7. Historique des connexions ..................................................................................................... 12 3.8. Filtres sur l’historique des connexions .................................................................................... 13 3.9. Visualisation d’un enregistrement RDP avec OCR ................................................................... 14 3.10. Historique des authentifications ............................................................................................ 15 3.11. Statistiques sur les connexions ............................................................................................. 15 3.12. Exemple de graphe statistique .............................................................................................. 16 3.13. État du système .................................................................................................................. 17 3.14. Liste des utilisateurs ........................................................................................................... 19 3.15. Formulaire d’ajout d’un utilisateur ....................................................................................... 20 3.16. Suppression des utilisateurs ................................................................................................. 21 3.17. Liste des équipements accessibles pour un utilisateur .............................................................. 22 3.18. Liste des groupes utilisateurs ............................................................................................... 23 3.19. Formulaire d’ajout d’un groupe utilisateur ............................................................................. 24 3.20. Liste des utilisateurs d’un groupe ......................................................................................... 25 3.21. Page d’importation d’utilisateurs .......................................................................................... 26 3.22. Résumé d’une importation d’utilisateurs depuis un fichier CSV ................................................ 28 3.23. Importation des utilisateurs depuis un annuaire ...................................................................... 30 3.24. Liste des équipements cibles ................................................................................................ 31 3.25. Formulaire d’ajout d’un équipement ..................................................................................... 32 3.26. Liste de tous les comptes cibles d’un équipement ................................................................... 34 3.27. Liste des comptes cibles d’un service ................................................................................... 35 3.28. Formulaire d’ajout d’un compte cible ................................................................................... 36 3.29. Accréditations admins de l’équipement ................................................................................. 37 3.30. Accréditations admin d’un équipement Linux/Unix ................................................................ 38 3.31. Accréditations admin d’un équipement Windows ................................................................... 39 3.32. Accréditations admins d’un équipement Cisco ....................................................................... 39 3.33. Liste des groupes de comptes cibles ..................................................................................... 40 3.34. Formulaire d’ajout d’un groupe de comptes cibles .................................................................. 41 3.35. Mécanismes d’authentification ............................................................................................. 42 3.36. Liste des autorisations ......................................................................................................... 45 3.37. Formulaire d’ajout d’une autorisation ................................................................................... 46 3.38. Formulaire d’ajout d’un profil utilisateur ............................................................................... 49 3.39. Configuration du proxy RDP ............................................................................................... 51 3.40. Liste des plages horaires ..................................................................................................... 52 3.41. Formulaire d’ajout d’une plage horaire ................................................................................. 53 3.42. Formulaire d’ajout d’une authentification .............................................................................. 55 3.43. Formulaire d’ajout d’une notification .................................................................................... 57 3.44. Page « Politique de mot de passe » ....................................................................................... 59 3.45. Page « Mot de passe secondaire » ........................................................................................ 60 3.46. Page « Mot de passe secondaire » ........................................................................................ 62 3.47. Page « Paramètres de connexion » ........................................................................................ 63 3.48. Configuration Réseau .......................................................................................................... 64 3.49. Configuration du service de temps ....................................................................................... 65 3.50. Configuration du stockage distant ......................................................................................... 66
vi
Wallix AdminBastion 4.1 - Guide d’Administration 3.51. Configuration du routage Syslog .......................................................................................... 67 3.52. Configuration de l’agent SNMP ........................................................................................... 68 3.53. Configuration du service SMTP ........................................................................................... 69 3.54. Gestion de la licence .......................................................................................................... 70 3.55. Contrôle des services .......................................................................................................... 71 3.56. Mode legacy ...................................................................................................................... 72 3.57. Page « Sauvegarder/Restaurer » ............................................................................................ 74 4.1. Session applicative ............................................................................................................... 77 4.2. Ajout ou Modification d’une application ................................................................................. 78 7.1. Outil de configuration X509 .................................................................................................. 90 7.2. Outil de configuration X509 .................................................................................................. 91 7.3. Page d’authentification avec lien pour authentification X509 ..................................................... 92 7.4. Ajout d’un utilisateur, nouveau champ « Certificat DN » ........................................................... 93 7.5. Paramètres X509 : Gestion de la liste de révocation ................................................................. 94 7.6. Authentification d’un utilisateur via un certificat SSL ............................................................... 95 7.7. Demande de confirmation d’ouverture de session ..................................................................... 96
vii
Wallix AdminBastion 4.1 - Guide d’Administration
Chapitre 1. Introduction 1.1. Préambule Nous vous remercions d’avoir choisi Wallix AdminBastion, également appelé WAB. WAB est commercialisé sous la forme de serveur dédié prêt à l’emploi ou sous la forme d’une machine virtuelle pour environnements VMWare ESX 4.x et 5.x. Les équipes Wallix ont apporté le plus grand soin à l’élaboration de ce produit et souhaitent qu’il vous apporte entière satisfaction.
1.2. Copyright, Licences Le présent document est la propriété de la société Wallix et ne peut être reproduit sans son accord préalable. Tous les noms de produits ou de sociétés citées dans le présent document sont des marques déposées de leurs propriétaires respectifs. Wallix AdminBastion est soumis au contrat de licence logicielle Wallix. Wallix AdminBastion est basé sur des logiciels libres. La liste et le code source des logiciels sous licence GPL et LGPL utilisés par Wallix AdminBastion sont disponibles auprès de Wallix. Pour les obtenir, il suffit d’en faire une demande par courriel à
[email protected] ou par écrit à l’adresse suivante : Wallix Service Support 118, rue de Tocqueville 75017 Paris France
1.3. Légende prompt $ commande à taper
retour de la commande sur une ou plusieurs lignes prompt $
1.4. À propos de ce document Ce document constitue le guide d’administration de Wallix AdminBastion 4.1. Il vous sera utile pour configurer le WAB avant sa mise en production, mais également dans son administration et son exploitation au quotidien. Il est complété par : • un guide de démarrage rapide • un guide utilisateur
1
Wallix AdminBastion 4.1 - Guide d’Administration
Chapitre 2. Concepts 2.1. Généralités WAB est une solution destinée aux équipes techniques qui administrent les infrastructures informatiques (serveurs, équipements réseau, équipements de sécurité). Il permet de répondre aux besoins de contrôle et de traçabilité des accès des administrateurs. A ces fins, Wallix AdminBastion dispose de fonctionnalités de contrôle d’accès (ACLs) et de traçabilité. Il constitue un sas pour les administrateurs qui souhaitent se connecter aux équipements en : • vérifiant les éléments d’authentification fournis par l’utilisateur • vérifiant ses droits d’accès sur la ressource demandée Il permet également d’automatiser les connexions vers les équipements cibles. Ceci augmente le niveau de sécurisation du système d’information en empêchant la divulgation des accréditations d’authentification des serveurs à administrer. Les protocoles aujourd’hui supportés sont : • • • •
SSH (et ses sous-systèmes) Telnet, Rlogin RDP et VNC dans le domaine utilisateur HTTP et HTTPS
Pour surveiller son activité, superviser les connexions et configurer les différentes entités qui le composent, WAB possède une interface graphique Web qui a été validée sous Firefox, Chrome et Internet Explorer.
2.2. Positionnement du WAB dans l’infrastructure ré seau AdminBastion se positionne entre une zone de confiance faible et une zone de confiance forte. La zone de confiance forte étant représentée par les équipements que l’AdminBastion isole (domaine ressources). Ces équipements et leurs comptes associés sont nommés « comptes cibles » dans la terminologie WAB. La zone de confiance faible est représentée par la population ayant un accès direct au Bastion (domaine utilisateurs) : • population de l’entreprise • zone internet Pour les utilisateurs de la solution, l’accès aux comptes cibles (zone de confiance forte) n’est possible qu’à travers le WAB.
2
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 2.1. Wallix AdminBastion dans l’infrastructure réseau
2.3. Concepts des ACLs du WAB Wallix AdminBastion dispose d’un moteur avancé de gestion de droits pour savoir qui a accès à quoi, quand, et par le biais de quel(s) protocole(s). Ces ACLs sont constituées des objets suivants : • des utilisateurs : correspondant à un utilisateur physique de l’AdminBastion • des groupes d’utilisateurs : regroupant un ensemble d’utilisateurs • des équipements : correspondant à un équipement, physique ou virtualisé, auquel on souhaite accéder à travers l’AdminBastion • des comptes cibles : des comptes déclarés sur un équipement • des groupes de comptes cibles : regroupant un ensemble de comptes cibles Dans le WAB, l’accès à un compte cible par un utilisateur est conditionné par le positionnement d’une autorisation. Ces autorisations sont déclarées entre un groupe d’utilisateurs et un groupe de comptes cibles (ceci nécessite donc que chaque compte cible appartienne à un groupe de comptes cibles, et que chaque utilisateur appartienne à un groupe d’utilisateurs). Cette autorisation permet aux utilisateurs du groupe « X » d’accéder aux comptes cibles du groupe « Y » à travers les protocoles « A », « B » ou « C ». A ces entités primaires sont ajoutées des entités permettant de définir : • • • •
les plages horaires de connexion la criticité de l’accès aux ressources cibles s’il faut enregistrer la session ou non le type de procédure d’authentification de l’utilisateur
Il est également possible de définir différents profils d’administrateur du WAB, dont les droits seront limités, par exemple, à l’audit, à l’ajout d’utilisateurs, à l’administration du système, aux autorisations, etc.
2.4. Mise en production Le WAB possède un ensemble d’outils d’import permettant de faciliter sa mise en production.
3
Wallix AdminBastion 4.1 - Guide d’Administration Cependant, il est conseillé, pour réussir sa mise en production de recenser : • les rôles des utilisateurs qui devront accéder aux comptes cibles • les rôles des utilisateurs qui devront administrer le WAB • les équipements et les comptes cibles qui devront être accessibles à travers la solution Il est nécessaire de pouvoir répondre, pour chaque utilisateur aux questions suivantes : • cet utilisateur a-t-il le droit d’administrer la solution, quels sont les droits qui doivent lui être accordés ? • cet utilisateur a-t-il besoin d’accéder à des comptes cibles ? • quand cet utilisateur a-t-il le droit de se connecter ? • doit-il accéder à des ressources critiques ? Il est nécessaire de pouvoir répondre, pour chaque compte cible ou équipement aux questions suivantes : • ce compte cible ou cet équipement est-il critique ? • faut-il enregistrer les sessions des utilisateurs accédant à ce compte ? • par quel(s) protocole(s) ce compte cible ou cet équipement est-il accessible ?
4
Wallix AdminBastion 4.1 - Guide d’Administration
Chapitre 3. Interface d’administration 3.1. Première connexion Pour accéder à l’interface Web d’administration, saisissez l’URL suivante dans votre navigateur : https://adresse_ip_du_wab
Note : Votre navigateur doit être configuré pour accepter les cookies et exécuter le JavaScript.
Avertissement : Avec certains navigateurs anciens qui ne supportent pas TLS avec AES, par exemple Internet Explorer 8 sous Windows XP, il peut être nécessaire d’abaisser le réglage du niveau de sécurité du serveur web du WAB pour permettre les connexions. Veuillez pour cela consulter la section 6.10.1, « Autorisation de SSLv3 avec 3DES ». Nous vous conseillons néanmoins plutôt d’utiliser un navigateur moderne, comme Firefox ou Chrome, qui permette de conserver un niveau de sécurité satisfaisant. Le WAB est livré, en standard avec un compte « admin » d’usine (son mot de passe est « admin »).
Figure 3.1. Écran de connexion du WAB Une fois l’authentification réussie, la page suivante est affichée.
5
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.2. Page d’accueil du WAB (profil administrateur) Cette page se compose : • d’un en-tête contenant : – la sélection de la langue – le nom de l’utilisateur connecté – le lien de déconnexion • un bas de page contenant les informations de copyright • un menu latéral, où l’ensemble des fonctionnalités d’administration du WAB sont accessibles • une zone utile Lors de la première connexion, à des fins de sécurité, il est recommandé de changer le mot de passe « admin » (cf Section 3.3, « Mes Préférences »).
3.2. Arborescence du menu Mes préférences
Modification des préférences utili- sateurs
Mes autorisations
Affiche les autorisations d’un utilisa- teur et raccourcis d’accès aux res- sources
Audit WAB
Connexions courantes Liste et fermeture des connexions Historique des connexions Liste des connexions terminées Historique des authentifications Historique des authentifications pri- maires
Statistiques sur les connexions Production de graphes statistiques sur les connexions
Audit Système
Utilisateurs
État du système Journaux système
Visualisation de l’état du système
Authentifications système
Contenu du fichier /var/log/auth.log local
Messages de démarrage
Contenu du fichier /var/log/mes- sages local
Comptes
Gestion des utilisateurs WAB
6
Contenu du fichier /var/log/syslog local
Wallix AdminBastion 4.1 - Guide d’Administration
Ressources
Groupes
Gestion des groupes d’utilisateurs WAB
Importer
Import d’utilisateurs (fichier csv et annuaire LDAP)
Équipements Applications Comptes Grappes
Gestion des équipements cibles
Groupes
Gestion des groupes de comptes cibles
Gestion des applications cibles Gestion des comptes cibles Gestion des grappes de serveurs de rebond
Accréditations admin de Gestion du changement de mots de l’équipement passe Mécanismes d’authentification Définition des mécanismes d’authentification
Importer
Import d’équipements et comptes cibles (fichier csv)
Autorisations
Gestion des autorisations
Gestion des autorisations entre les groupes de comptes cibles et les groupes d’utilisateurs Import d’autorisations. (fichier csv)
Profils utilisateurs
Importer Gestion des profils utilisateurs Importer
Configuration des Proxy RDP proxys Configuration WAB Plages horaires Authentifications externes
de
Définition des profils utilisateurs Import des profils utilisateurs (fi- chier csv). Paramètres du proxy RDP Gestion des plages horaires Gestion des méthodes d’authentification externes (LDAP/ LDAPS, Active Directory, Kerberos, Radius)
Domaines LDAP/AD
Intégration des comptes Utilisa- teurs avec des annuaires LDAP ou Active Directory
Notifications
Gestion du mécanisme de notifica- tion
Politique de mots de passe
Gestion de la politique des mots de passe locaux
Mots de passe secondaires
Configuration de la politique de changement automatique des mots de passe distants des ressources.
Paramètres de connexion
Paramètres d’affichage des ban- nières affichées lors de la connexion d’un utilisateur aux proxys
7
Wallix AdminBastion 4.1 - Guide d’Administration Paramètres X509
Configuration des listes de révoca- tion pour l’option d’authentification par certificats X509.
Options d’enregistrement
Gestion des options de stockage des enregistrements de session
Configuration système Réseau
Configuration des paramètres ré- seau
Service de temps
Paramétrage du service de temps (NTP)
Stockage distant
Gestion du stockage distant des en- registrements de sessions
Syslog SNMP Serveur SMTP
Gestion du routage via Syslog
Licence
Affichage et mise à jour de la clé de licence
Chiffrement
Initialisation de la protection crypto- graphique
Contrôle des services
• Assignation des services aux in-
Gestion de l’agent SNMP Configuration du serveur d’envoi de mail
terfaces réseaux
• Arrêt et démarrage des services du WAB
Sauvegarder / Restaurer
Sauvegarde et restauration de la configuration WAB
3.3. Mes Préférences Ce sous-menu contient les paramètres modifiables par un utilisateur. Tous les utilisateurs, quels que soient leurs droits d’administration ont accès à cette page. Elle permet de : • • • •
changer son mot de passe (uniquement si l’utilisateur a été déclaré localement) charger une clé publique SSH modifier son adresse électronique modifier le langage préféré
8
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.3. Page « Mes Préférences »
3.4. Mes Autorisations Ce menu permet d’afficher la liste des équipements accessibles. Pour les accès à des comptes cibles via RDP, une icône permet de télécharger le fichier RDP lié (cela permet d’ouvrir directement le client RDP de Microsoft). Concernant les accès à des ressources HTTP/HTTPS, une icône permet d’accéder directement à la ressource via l’interface Web.
Figure 3.4. Autorisations d’un utilisateur
9
Wallix AdminBastion 4.1 - Guide d’Administration
3.5. Audit WAB 3.5.1. Connexions courantes courantes Cette page liste les connexions initiées et actives à travers le WAB pour les proxys SSH, RDP et HTTPS (les connexions actives sur l’interface Web ne sont pas représentées). Dans le cas du proxy HTTPS, ce sont les sessions actives à travers le WAB qui sont listées.
Note : Dans tout ce qui suit on utilisera le terme générique « connexion » pour désigner les connexions SSH et RDP mais aussi pour parler des sessions HTTPS Pour chacune de ces connexions, les informations suivantes sont précisées : • • • • • •
l’utilisa l’utilisateur teur sous sous la forme forme user@ma user@machin chine(ip e(ip)) le protoc protocole ole sourc sourcee (RDP, (RDP, SSH SSH ou HTTPS HTTPS)) le proto protocol colee de desti destinat nation ion la cible cible accédée accédée (sous la forme forme compte@équip compte@équipement:service ement:service)) l’heure l’heure d’init d’initiali ialisatio sationn de la conn connexio exionn la dur durée ée de de la conne connexio xionn
Il est également possible de terminer une ou plusieurs connexions. Dans le cas des proxys SSH et RDP les utilisateurs sont alors informés que la connexion a été coupée par un administrateur. Dans le cas d’une session HTTPS, la session est fermée.
Figure 3.5. Coupure de connexion SSH
10
Wallix AdminBastion 4.1 - Guide d’Administration
Note : La page affichant les connexions courantes est régulièrement rafraîchie. Une invite, en haut de page, permet d’arrêter ce rafraîchissement. Ceci est particulièrement utile lors de la sélection des connexions actives à terminer.
3.5.2. Visualiser Visualiser les sessions en temps réel En regard des items de la liste des connexions courantes peut apparaître une icône en forme de loupe. Elle ouvre un encart permettant de visualiser en temps réel la session RDP ou SSH. Cliquer une deuxième deuxième fois sur la loupe la loupe permet de fermer cet encart.
Figure 3.6. Visualisation de session RDP temps réel
3.5.3. Historique Historique des connexions Cette page propose l’historique de l’ensemble des connexions effectuées au travers du WAB. Seules les connexions terminées apparaissent dans cette vue (voir Section 3.5.1, « Connexions courantes » pour les connexions courantes).
11
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.7. Historique des connexions Chaque enregistrement fournit : • • • • • • • •
le nom d’utilisateur et l’IP source de connexion (soit nom@ipsource) la cible accédée (sous la forme compte@équipement:service) le protocole source le protocole de destination l’heure de début de connexion l’heure de fin de la connexion la durée de connexion le résultat
Note : Le résultat de la connexion permet de savoir s’il y a eu un problème de connectivité vers le compte cible (mot de passe du compte cible erroné, ressource cible injoignable, etc …). Pour plus de facilité dans les recherches, ces enregistrements peuvent être filtrés. Les possibilités de filtrage sont : • filtrage temporel sur la base : – des N derniers jours – d’une plage de dates • filtrage sur les colonnes par recherche d’occurrence.
12
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.8. Filtres sur l’historique des connexions
Note : Seules les 1000 derniers enregistrements sont affichés dans l’interface Web. Le filtrage par recherche d’occurrences opère sur ces 1000 enregistrements. Seule la définition d’une plage de temps permet de récupérer des sessions plus anciennes.
3.5.4. Visualiser l’enregistrement des sessions En regard des items de la liste de l’historique des connexions peuvent apparaître trois icônes, respectivement en forme de disquette, de document texte et de loupe. L’icône en forme de disquette permet de télécharger l’enregistrement d’une session SSH au format brut (ttyrec). L’icône en forme de fichier texte permet de télécharger le contenu visible d’une session SSH au format texte plat. L’icône en forme de loupe envoie vers la page de visualisation de l’enregistrement des sessions. Dans le cas d’une session RDP, une première page permet de choisir le niveau de qualité de la vidéo et si on veut générer les données d’OCR. Si cette option est activée, sous la vidéo apparaissent les titres des applications détectées dans le film par le module d’OCR. On peut cliquer dans cette liste ou sur les vignettes pour naviguer rapidement dans le film. La page de visualisation RDP contient également une icône en forme de disquette qui permet de télécharger le film entier dans la qualité choisie pour la visualisation.
13
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.9. Visualisation d’un enregistrement RDP avec OCR
3.5.5. Historique des authentifications Cette page liste les tentatives d’authentifications sur les interfaces RDP et SSH du proxy (respectivement, ports 3389 et 22). Les authentifications au proxy HTTPS ne sont pas concernées par cette section Chaque enregistrement fournit : • • • • •
la date de l’événement l’identifiant fourni (nom d’utilisateur WAB) l’adresse IP source le résultat de l’authentification un diagnostique du résultat
Le résultat de l’authentification peut être « SUCCÈS » ou « ÉCHEC », informant que l’authentification sur l’AdminBastion a réussi ou échoué. Une indication plus précise apparaît dans la colonne Diagnostique.
14
Wallix AdminBastion 4.1 - Guide d’Administration Cette page dispose des mêmes filtres que l’historique des connexions. Les mêmes contraintes sur le nombre de résultats affichés s’appliquent également.
Figure 3.10. Historique des authentifications
3.5.6. Statistiques sur les connexions
Figure 3.11. Statistiques sur les connexions
15
Wallix AdminBastion 4.1 - Guide d’Administration Ce module permet d’obtenir des informations statistiques sur les connexions effectuées à travers le WAB sur une période de temps donnée. Cette période peut être une plage calendaire ou un nombre de jours précédant la date courante. Le rapport de statistiques affiche : • • • • • • • •
le nombre de connexions secondaires par équipements le nombre de connexions secondaires par comptes cibles le nombre de connexions primaires par utilisateurs le nombre de connexions secondaires par utilisateurs les connexions secondaires par durées, le temps total de connexions secondaires par utilisateurs les connexions secondaires par dates le nombre maximum de connexions secondaires simultanées par date
Les données de chacun de ces rapports statistiques peuvent être téléchargées sous la forme d’un fichier CSV. Ce rapport statistique peut être envoyé de manière régulière (voir Section 3.12.4, « Notifications »).
Figure 3.12. Exemple de graphe statistique
16
Wallix AdminBastion 4.1 - Guide d’Administration
3.6. Audit Système Sous ce menu sont référencées les informations systèmes du WAB soit : • son état • ses journaux La configuration du système se fait via le menu « Configuration du Système » (voir Section 3.13, « Configuration Système »).
3.6.1. État du système Ce panneau recense les informations générales du système dont : • • • •
le nombre de connexions courantes le taux d’occupation de la RAM le taux d’occupation du SWAP l’espace disponible de la partition /var (où sont stockés les enregistrements de session)
Figure 3.13. État du système
Note : le taux d’occupation de la RAM n’affiche pas les tampons systèmes.
17
Wallix AdminBastion 4.1 - Guide d’Administration
3.6.2. Journaux systèmes systèmes Les journaux systèmes peuvent être vus et sauvegardés à partir de l’interface Web. Le WAB affiche trois journaux système : • le menu « Journaux Journaux Système Système » affiche le le journal « syslog ». Dans ce journal est est recensée la majorité des messages liés au fonctionnement des proxys ou à l’utilisation de l’interface d’administration. • le menu « Authentifications Authentifications Système » affiche le journal d’authentifica d’authentification tion du système système (« auth.log »). On y trouve les connexions directes au WAB en tant que serveur Unix. Les authentifications sur l’interface d’administration d’administration ou sur les proxy n’aboutissent n’aboutissent pas dans ce journal, mais dans « syslog ». • le menu « Message Message de Démarrage Démarrage » affiche affiche le journal journal de démarrage démarrage du système (« dmesg »). »).
3.7. Utilisateurs Ce menu permet de créer/importer les utilisateurs/administrateurs de Wallix AdminBastion. Il permet aussi de définir les groupes utilisateurs sur lesquels les autorisations seront portées (cf Section 3.9, « Gestion des autorisations »).
Note : Les identifiants des comptes utilisateur ne sont pas sensibles à la casse mais celle-ci est préservée lors de la création du compte.
3.7.1. Comptes A travers cette page, il est possible de : • • • •
lister lister les les comptes comptes utilisateu utilisateurs, rs, ajouter/é ajouter/édite diter/sup r/supprim primer er un compte utilisat utilisateur, eur, voir les les équipemen équipements ts accessibl accessibles es par un utilisa utilisateur teur,, filtrer les comptes comptes en affichant les les comptes locaux locaux ou les comptes comptes de domaine domaine liés à des dodomaines LDAP ou ActiveDirectory, • débloquer un compte compte utilisateur utilisateur en cliquant cliquant sur sur le cadenas. Il est possible de filtrer le tableau affiché. Ce filtre agit sur l’ensemble des utilisateurs (et pas seulement sur la page courante affichée).
18
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.14. Liste des ut ilisateurs ilisateurs Par défaut, 10 résultats sont affichés par page. Un menu permet de naviguer parmi les pages et de modifier le nombre de résultats affichés par page.
3.7.1.1. Ajout d’un d’un utilisateur utilisateur À partir partir de la la page page listant les utilisateurs, utilisateurs, un clic sur l’icône l’icône d’accéder à la page d’ajout d’un utilisateur.
« Ajouter Ajouter un utilisateur » permet permet
Le formulaire d’ajout d’un utilisateur ut ilisateur est composé des éléments suivants : • un identifiant, identifiant, celui-ci sera utilisé utilisé par l’utilisateur l’utilisateur pour s’authentifier s’authentifier sur sur l’interface Web Web ainsi que sur les proxys • un nom usuel, usuel, un nom nom permettant permettant d’identifier d’identifier à qui qui appartient appartient l’identifiant l’identifiant • une adre adresse sse élec électro troniq nique ue • une langue langue préférée, préférée, permettant de de sélectionner sélectionner dans quelle quelle langue langue seront affichés affichés les messages messages remontés par les proxys à l’utilisateur, • une adresse adresse IP source, source, permettant de de limiter l’accès l’accès aux proxys proxys et à l’interface l’interface Web à cette adresse IP, • un profil, les les profils permettent permettent de définir les droits d’un utilisateur (voir Section 3.10, « Profils Profils Utilisateurs »), • une liste de groupe, groupe, qui permet de choisir choisir dans quel(s) quel(s) groupe(s) groupe(s) un utilisateur utilisateur doit être être placé. Il est aussi possible d’ajouter un utilisateur utilisat eur dans un groupe dans la page d’ajout/édition d’un groupe (voir Section 3.7.2, « Groupes (d’utilisateurs) (d’utilisateurs) »), • une procédure procédure d’authentification, d’authentification, chaque chaque utilisateur utilisateur peut avoir avoir une procédure procédure d’authentificati d’authentification on différente (voir Section 3.12.2, « Authentifications externes ») et il est possible d’en sélectionner plusieurs pour indiquer les serveurs de secours des authentifications externes (LDAP, RADIUS, etc..) • un champ permettant de de forcer la modification du mot de passe, l’utilisateur l’utilisateur reçoit reçoit alors un message l’informant de la création de son compte et de la nécessité de modifier son mot de passe lors de sa première connexion (voir aussi Section 3.13.6, « SMTP »), • un mot de passe, passe, il peut exister exister des contraintes contraintes sur les mots de passes passes acceptés (voir (voir Section 3.12.5, « Politique de mot de passe »), il n’est pas nécessaire de rentrer ce mot de passe dans le cadre d’une authentification autre que « local », • une clé publi publiqu quee SSH SSH..
19
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.15. Formulaire d’ajout d’un utilisateur
Note : L’identifiant ne peut-être modifié à la suite de son ajout, le mot de passe et la clé publique peuvent être toujours changés par l’utilisateur.
3.7.1.2. Édition d’un d’un utilisateur utilisateur À partir de la page listant les comptes utilisateurs, un clic sur son nom puis sur l’icône « Modifier cet utilisateur » affiche la page permettant d’éditer un utilisateur. La page d’édition d’un utilisateur reprend les mêmes champs que pour l’ajout d’un utilisateur, à une différence près : l’identifiant n’est pas modifiable.
20
Wallix AdminBastion 4.1 - Guide d’Administration
Note : Si le champ « mot de passe » n’est pas modifié, le mot de passe de l’utilisateur n’est pas modifié.
3.7.1.3. Suppression d’un utilisateur À partir de la page listant les comptes utilisateurs, en sélectionnant un ou plusieurs comptes à l’aide de la case à cocher en début de chaque ligne ; un clic sur l’icône permet de supprimer la liste des utilisateurs sélectionnés. Un fenêtre de confirmation est affichée avant la suppression définitive des éléments.
Figure 3.16. Suppression des utilisateurs
3.7.1.4. Comptes accessibles par un utilisateur À partir de la page listant les comptes utilisateurs, un clic sur son nom permet d’afficher la liste des équipements accessibles pour un utilisateur. Chaque ligne représente un accès autorisé. Pour chaque ligne, les informations suivantes sont disponibles : • l’équipement cible • le compte cible • l’adresse réelle du service cible
21
Wallix AdminBastion 4.1 - Guide d’Administration • le/les protocole(s) permettant d’accéder à ce service • la plage horaire liée
Figure 3.17. Liste des équipements accessibles pour un utilisateur
3.7.2. Groupes (d’utilisateurs) A travers cette page, il est possible de : • lister les groupes utilisateurs déclarés • ajouter/éditer/supprimer un(des) groupe(s)
22
Wallix AdminBastion 4.1 - Guide d’Administration • voir qui qui sont les les membres membres de chacun chacun des des groupes groupes
Figure 3.18. Liste des groupes utilisateurs
3.7.2.1. Ajout d’un d’un groupe utilisateur utilisateur À partir de la page listant les groupes utilisateurs, un clic sur l’icône d’accéder à la page d’ajout d’un groupe.
« Ajouter un groupe » permet
Le formulaire de création d’un groupe utilisateur contient les éléments suivants : • • • • •
nom nom du du gro group upee descri descripti ption on : cham champp libre libre la(les) la(les) plage( plage(s) s) horaire horaire(s) (s) à appli appliquer quer une liste liste de sélecti sélection on des utilis utilisateu ateurs rs du groupe groupe une liste d’actions d’actions à appliquer appliquer lors de la détection de certaines certaines chaînes de caractères caractères sur le le flux montant des proxys (voir Section 6.7, « Analyse des flux SSH / Détection de pattern »). • dans le cas cas d’une intégration LDAP/AD telle telle que décrite dans dans le chapitre chapitre 5, Intégration avec un domaine LDAP ou Active Directory , le profil à utiliser pour les membres du groupes et pour chaque lien avec un annuaire, le DN du groupe de l’annuaire.
23
Wallix AdminBastion 4.1 - Guide d’Administration
Note : Si plusieurs plages horaires sont sélectionnées, la plage horaire résultante est l’union des plages horaires.
Avertissement : la détection de chaînes de caractères n’est active que pour les données envoyées par le client vers le serveur et uniquement pour les connexions de type SSH, TELNET ou RLOGIN.
Figure 3.19. Formulaire d’ajout d’un groupe utilisateur
3.7.2.2. Édition d’un d’un groupe utilisateur utilisateur À partir de la page listant les groupes d’utilisateurs, un clic sur son nom puis sur l’icône « Modifier ce groupe » affiche la page permettant d’éditer un groupe d’utilisateurs. La page d’édition d’un groupe d’utilisateurs reprend les mêmes champs que pour l’ajout d’un groupe, à la différence que le nom du groupe n’est pas modifiable.
24
Wallix AdminBastion 4.1 - Guide d’Administration
3.7.2.3. Suppression de groupe(s) d’utilisateurs d’utilisateurs À partir de la page listant les groupes d’utilisateurs, en sélectionnant un ou plusieurs comptes à l’aide de la case à cocher en début de chaque ligne ; un clic sur l’icône permet de supprimer la liste des groupes sélectionnés. Un fenêtre de confirmation est affichée avant la suppression définitive des éléments.
3.7.2.4. Membres d’un d’un groupes d’util d’util isateurs isateurs À partir de la page listant les groupes d’utilisateurs, un clic sur son nom permet d’afficher la liste des utilisateurs de ce groupe.
Figure 3.20. Liste des utilisateurs d’un groupe
3.7.3. Importer (des (des utilisateurs) utilisateurs) Il est possible d’importer des utilisateurs à partir : • d’un d’un fich fichie ierr CSV, CSV, • ou d’un annuaire annuaire d’entreprise d’entreprise (annuaires (annuaires supportés : LDAP/LDAPS LDAP/LDAPS/AD) /AD) si vous ne vous voulez voulez que répliquer un instantané de votre annuaire dans la base de données du WAB. Généralement vous devriez plutôt utiliser la fonctionnalité fonctionnalité d‘intégration à un domaine LDAP qui utilise directement l’annuaire (voir Chapitre 5, Intégration avec un domaine LDAP ou Active Directory ). ).
25
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.21. Page d’importation d’utilisateurs
3.7.3.1. Importation d’utilisateurs via CSV Il est possible de peupler la base utilisateurs du WAB à l’aide d’un fichier CSV. Les séparateurs de champs sont configurables. Le fichier doit commencer par une ligne contenant le marqueur : #wab40
Avertissement : Si ce marqueur n’est pas présent, le fichier doit être au format WAB version 3.0 (non décrit dans ce document). Ceci permet d’assurer la compatibilité avec les fichiers créés pour les précédentes versions du WAB. Chaque ligne suivante doit être formée de la manière suivante : Champ
Identifiant Groupe d’utilisateurs
Type
Texte Texte
R(equis)/ O(ptionnel)
R O
Valeurs Possibles
[aA-zZ], [0-9], '-', '_' [aA-zZ], [0-9], '-', '_'
26
Valeur par défaut
n/a n/a
Wallix AdminBastion 4.1 - Guide d’Administration Champ
Type
R(equis)/ O(ptionnel)
Nom réel IP source Profil Authentification
Texte IP/FQDN Texte Texte
O O R R
Clé publique SSH Mot de passe Adresse email Forcer le changement de mot de passe
Texte Texte Texte Booléen
O R/O R O
Valeurs Possibles
Texte libre [aA-zZ], [0-9], '-', '_' Profils définis Authentifications définies [aA-zZ], [0-9], '-', '_' Texte libre Adresse email True ou False
Valeur par défaut
n/a n/a n/a n/a n/a n/a n/a False
Note : Le mot de passe est requis si l’authentification est définie comme locale (authentification « local »).
Note : si le groupe utilisateur n’existe pas, il est crée avec, comme plage horaire par défaut, la plage « allthetime ». Exemple : #wab40 martin;linuxadmins;Pierre
Martin;;user;local;;jMpdu9/x2z;
[email protected];False
Après l’importation du fichier CSV, un résumé de l’opération semblable à l’exemple ci-dessous s’affiche.
27
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.22. Résumé d’une importation d’utilisateurs depuis un fichier CSV On y trouve : • • • • •
la date et l’heure de l’importation le nombre total de lignes lues dans le fichier le nombre de lignes conformes à la syntaxe le nombre d’utilisateurs effectivement créés dans la base interne du WAB le nombre de lignes rejetées
Pour chaque ligne rejetée, le message d’erreur lié est remonté.
3.7.3.2. Importation d’utilisateurs depuis un annuaire LDAP/LDAPS/AD Il est possible de peupler la base ACL interne du WAB en important des données utilisateurs stockées dans un annuaire distant. Vous pouvez utiliser cette fonctionnalité si vous voulez seulement répliquer un instantané de votre annuaire dans la base de données du WAB. Généralement vous devriez plutôt utiliser la fonctionnalité d‘intégration à un domaine LDAP qui utilise directement l’annuaire et reste donc synchronisée avec les changements effectués dans celui-ci (voir Chapitre 5, Intégration avec un domaine LDAP ou Active Directory ). Pour chaque annuaire, il est nécessaire de connaître : • le type de serveur, son adresse et le port de connexion
28
Wallix AdminBastion 4.1 - Guide d’Administration • le DN de base de l’unité d’organisation • l’attribut identifiant, qui est le nom de l’attribut de l’utilisateur LDAP qui sera utilisée comme identifiant WAB • un utilisateur et son mot de passe si l’accès anonyme à l’annuaire en lecture est interdit (obligatoire pour un AD).
Note : L’identifiant de connexion utilisé doit avoir les droits en lecture sur le chemin où sont stockées les données utilisateurs. Si l’importation réussit, une nouvelle page contenant la liste des utilisateurs extraite de l’annuaire s’ouvre. Chaque utilisateur peut alors être importé et se voir attribuer : • un groupe d’utilisateurs • une authentification • un profil utilisateur
Note : Si vous souhaitez que les utilisateurs importés s’authentifient sur l’annuaire utilisé pour l’importation, il est nécessaire de créer auparavant la méthode d’authentification (voir aussi Section 3.12.2.1, « Ajout d’une authentification externe »).
29
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.23. Importation des utilisateurs depuis un annuaire
3.8. Ressources et Comptes Ce menu permet de créer/importer les équipements et comptes accessibles à travers AdminBastion. Il permet aussi de définir les groupes de comptes cibles.
3.8.1. Équipements Liste l’ensemble des équipements enregistrés. À partir de cette page, il est possible d’ajouter/éditer/supprimer de nouveaux équipements.
30
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.24. Liste des équipements cibles
3.8.1.1. Ajout d’un équipement cible À partir de la page listant les équipements, un clic sur l’icône d’accéder à la page d’ajout d’un équipement.
31
« Ajouter un équipement » permet
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.25. Formulaire d’ajout d’un équipement Le formulaire de création d’un équipement contient les éléments suivants : • le nom de l’équipement, il s’agit du nom qui sera utilisé par les utilisateurs pour accéder à cet équipement. Ce nom peut être sans relation avec le nom DNS de la machine • un alias, ceci équivaut à la possibilité de donner un deuxième nom à un équipement
• • • •
Dans le cas d’une ressource HTTPS, le champs alias permet de spécifier un (autre) nom d’hôte associé à la ressource. Ex : Si jamais la ressource « www.monsite.com » est aussi connue sous le nom « www.monsite.org » on pourra la configurer en mettant le premier nom dans le champs « Ressource » et le deuxième dans le champs « Alias ». une adresse réseau (IP ou FQDN) une empreinte de clé SSH, celle-ci est automatiquement remplie lorsqu’on accède à un équipement en SSH une description la liste des services accessibles sur cet équipement
La liste des services contient les éléments suivants : • le nom du service, il s’agit du nom qui sera utilisé par les utilisateurs pour accéder à ce service. Ce nom peut être sans relation avec le nom du protocole et le numéro de port • un protocole (son port par défaut est indiqué entre parenthèses)
32
Wallix AdminBastion 4.1 - Guide d’Administration • une liste de sous protocoles supportés, pour le protocole SSH • un mécanisme d’authentification, utilisé par HTTP(S), TELNET et RLOGIN Remplissez la ligne de saisie de service puis cliquez sur l’icône service. Cliquez sur l’icône
à sa droite pour ajouter ce
à droite d’une ligne pour supprimer le service correspondant.
Le mécanisme d’authentification est à préciser dans les cas suivants : • accès à un équipement en RLOGIN ou TELNET, choisissez un scénario de connexion que vous avez préalablement défini (voir aussi Section 6.8, « Scénario de connexion TELNET/RLOGIN ») • accès à un équipement HTTP(S) utilisant une authentification HTTP, choisissez le mécanisme HTTP(S)_BASIC ou HTTP(S)_DIGEST selon le mode d’authentification requis par le serveur • accès à un équipement HTTP(S) utilisant une authentification par formulaire HTML, choisissez le mécanisme prédéfini correspondant à votre application cible si elle est supportée ou bien le mécanisme générique HTTP_SIMPLE_FORM si votre application utilise un formulaire simple (contenant seulement les champs Login et Password dans du HTML statique).
3.8.1.2. Édition d’un équipement cible À partir de la page listant les équipements cibles, un clic sur son nom puis sur l’icône « Modifier cet équipement » affiche la page permettant d’éditer un équipement cible. La page d’édition d’un équipement cible reprend les mêmes champs que pour l’ajout d’un équipement, à la différence que le nom de l’équipement n’est pas modifiable.
3.8.1.3. Suppression d’un équipement cible À partir de la page listant les équipements cibles, en sélectionnant un ou plusieurs équipements à l’aide de la case à cocher en début de chaque ligne ; un clic sur l’icône permet de supprimer les éléments sélectionnés. Un fenêtre de confirmation est affichée avant la suppression définitive des éléments.
Note : Il n’est pas possible de supprimer un équipement cible ayant des comptes cibles déclar és.
3.8.2. Comptes cibles À partir de cette page sont listés les équipements déclarés, les services disponibles sur ces équipements et les comptes cibles déclarés sur ces derniers. Un clic sur l’un des liens « Tous les comptes » permet d’afficher la liste de tous les comptes cibles de l’équipement correspondant, tous services confondus.
33
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.26. Liste de tous les comptes cibles d’un équipement Pour chaque équipement, un clic sur le nom d’un service permet d’afficher la liste des comptes de ce service. Il est alors possible d’ajouter ou de modifier un ou plusieurs comptes. Un clic sur le nom d’un compte permet d’accéder à la page de modification de comptes cibles. Un clic sur l’icône « Ajouter un compte » permet d’accéder à la page d’ajout de comptes cibles.
34
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.27. Liste des comptes cibles d’un service
3.8.2.1. Ajout d’un compte cible À partir de la liste des comptes cibles associés à un service, un clic sur l’icône compte » permet d’afficher le formulaire d’ajout d’un compte cible.
« Ajouter un
Ce formulaire est constitué des informations suivantes : • • • • • •
nom du compte : il s’agit du nom d’utilisateur du compte distant une description une case à cocher permettant d’activer ou non la connexion automatique vers l’équipement cible une case à cocher permettant d’activer ou non le transfert d’authentification par l’agent SSH un champ double pour la saisie et la confirmation du mot de passe une case à cocher permettant d’activer ou non le changement automatique du mot de passe
Si la case « Connexion automatique » est décochée, l’utilisateur AdminBastion désirant accéder à ce compte devra en connaître le mot de passe. De plus les sous protocoles SCP et SFTP ne seront pas utilisables avec ce compte. Dans le cas d’un compte défini sur une ressource HTTP(S), la case « Connexion automatique » devra obligatoirement être décochée si on n’utilise pas d’authentification avec ce compte. Si la case « Changement automatique » est cochée, l’AdminBastion va appliquer la politique de mot de passe secondaire à ce compte (voir Section 3.12.6, « Mots de passe secondaires »). Les informations d’accréditation admin de l’équipement doivent être renseignées pour que l’AdminBastion puisse changer le mot de passe (voir Section 3.8.3, « Accréditations admins de l’équipement »).
Note : Voir Chapitre 8, Chiffrement des données pour les informations de sécurité liées au stockage du mot de passe.
35
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.28. Formulaire d’ajout d’un compte cible
3.8.2.2. Édition d’un compte cible Le formulaire d’édition d’un compte cible reprend les mêmes informations que le formulaire d’ajout ; à la différence que le nom du compte ne peut être modifié. Ce formulaire est accessible en cliquant sur le nom d’un compte déclaré.
3.8.2.3. Suppression d’un compte cible Un clic sur l’icône
permet de supprimer un ou plusieurs comptes cibles pré-sélectionnés.
3.8.3. Accréditations admins de l’équipement À partir de cette page, un clic sur l’icône à droite du nom d’un équipement permet d’afficher le formulaire de définition des paramètres d’accréditation du compte administrateur pour le changement de mot de passe des comptes de cet équipement.
36
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.29. Accréditations admins de l’équipement Le contenu du formulaire dépend du type de système sélectionné.
3.8.3.1. Accréditations admins d’un équipement Linux/Unix Ce formulaire est constitué des informations suivantes : • le nom de l’équipement • le type de système, Linux/Unix • les adresses courriel des destinataires du message de notification de changement de mot de passe, ces adresses doivent disposer d’une clé GPG définie dans le WAB (voir Section 3.12.6, « Mots de passe secondaires ») • la taille du mot de passe générés par le WAB, pour se conformer à la politique de mot de passe de la cible. Si le mot de passe est modifié manuellement, le nouveau mot de passe devra être au minimum de cette taille. • une case à cocher autorisant les caractères spéciaux dans le mot de passe générés, pour se conformer à la politique de mot de passe de la cible
37
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.30. Accréditations admin d’un équipement Linux/Unix
3.8.3.2. Accréditations admin d’un équipement Windows Ce formulaire est constitué des informations suivantes : • le nom de l’équipement • le type de système, Windows • le compte cible du WAB utilisé pour la connexion administrateur, ce compte peut être défini dans n’importe quel services d’un équipement disponible (voir Section 3.8.2, « Comptes cibles »), mais doit disposer sur le système cible des droits administrateur nécessaires • les adresses courriel des destinataires du message de notification de changement de mot de passe, ces adresses doivent disposer d’une clé GPG définie dans le WAB (voir Section 3.12.6, « Mots de passe secondaires ») • la taille minimale du mot de passe générés par le WAB, pour se conformer à la politique de mot de passe de la cible • une case à cocher autorisant les caractères spéciaux dans le mot de passe générés, pour se conformer à la politique de mot de passe de la cible
38
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.31. Accréditations admin d’un équipement Windows
3.8.3.3. Accréditations admin d’un équipement Cisco Ce formulaire est constitué des informations suivantes : • • • •
le nom de l’équipement le type de système, Cisco le mot de passe pour l’élévation de privilège les adresses courriel des destinataires du message de notification de changement de mot de passe, ces adresses doivent disposer d’une clé GPG définie dans le WAB (voir Section 3.12.6, « Mots de passe secondaires ») • la taille minimale du mot de passe générés par le WAB, pour se conformer à la politique de mot de passe de la cible • une case à cocher autorisant les caractères spéciaux dans le mot de passe générés, pour se conformer à la politique de mot de passe de la cible
Figure 3.32. Accréditations admins d’un équipement Cisco
3.8.4. Groupes (de comptes cibles) A travers cette page, il est possible de :
39
Wallix AdminBastion 4.1 - Guide d’Administration • lister les groupes de comptes cibles déclarés • ajouter/éditer/supprimer un(des) groupe(s) • voir quels sont les comptes cibles inclus dans chacun des groupes
Figure 3.33. Liste des groupes de comptes cibles
3.8.4.1. Ajout d’un groupe de comptes cibles À partir de la page listant les groupes de comptes cibles, un clic sur l’icône permet d’afficher le formulaire d’ajout d’un groupe de comptes cibles.
40
« Ajouter un groupe »
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.34. Formulaire d’ajout d’un groupe de comptes cibles Le formulaire d’ajout de groupe de comptes cibles permet de définir les informations suivantes : • • • •
l’identifiant du groupe de comptes cibles une description éventuelle du groupe les comptes cibles appartenant au groupe les équipements sur lesquels la correspondance de comptes est autorisée. La correspondance de comptes permet, à un utilisateur, de s’authentifier sur la machine cible avec ces accréditations primaires. Ceci est particulièrement utile lorsque le compte utilisateur est déclaré sur un annuaire
41
Wallix AdminBastion 4.1 - Guide d’Administration d’entreprise et qu’il possède des accès sur la ressource cible. Les accréditations primaires de l’utilisateur sont alors rejouées sur l’équipement cible. • une liste d’actions à appliquer lors de la détection de certaines chaînes de caractères sur le flux montant des proxys (similaire à ce qui est présent sur la page des groupes d’utilisateur, voir Section 6.7, « Analyse des flux SSH / Détection de pattern »).
3.8.4.2. Édition d’un groupe de comptes cibles Le formulaire d’édition d’un groupe de comptes cibles reprend les mêmes informations que le formulaire d’ajout ; à la différence que le nom du groupe ne peut être modifié. Ce formulaire est accessible en cliquant sur le nom d’un groupe déclaré.
3.8.4.3. Suppression d’un groupe de comptes cibles Un clic sur l’icône tionnés.
permet de supprimer un ou plusieurs groupes de comptes cibles pré-sélec-
Note : La suppression d’un groupe de comptes cibles est impossible si le compte a des autorisations attachées (voir Section 3.9, « Gestion des autorisations ») et/ou si des comptes cibles sont attachés à ce groupe.
3.8.5. Mécanismes d’authentification Cette page présente la liste de tous les mécanismes d’authentification disponibles dans le WAB. Les mécanismes disponibles pour les protocoles HTTP et HTTPS sont prédéfinis et ne peuvent être ni supprimés ni modifiés. Des mécanismes peuvent être ajoutés, édités ou supprimés pour les protocoles TELNET et RLOGIN.
Figure 3.35. Mécanismes d’authentification
42
Wallix AdminBastion 4.1 - Guide d’Administration
3.8.5.1. Ajout d’un mécanisme d’authentification pour TELNET et RLOGIN À partir de la page listant les mécanismes d’authentification, un clic sur l’icône « Ajouter un mécanisme d’authentification » puis sélectionner « TELNET » ou « RLOGIN » dans la liste déroulante des protocoles génériques associés permet d’afficher le formulaire d’ajout d’un mécanisme d’authentification pour le protocole TELNET ou respectivement RLOGIN. Ce formulaire permet de définir les informations suivantes : • l’identifiant du mécanisme d’authentification • un script de connexion, (voir Section 6.8, « Scénario de connexion TELNET/RLOGIN »)
3.8.5.2. Édition d’un mécanisme d’authentification Le formulaire d’édition d’un mécanisme d’authentification reprend les mêmes informations que le formulaire d’ajout ; à la différence que le nom du mécanisme ne peut être modifié. Ce formulaire est accessible en cliquant sur le nom d’un mécanisme déclaré dans la liste.
3.8.5.3. Suppression d’un mécanisme d’authentification Un clic sur l’icône sélectionnés.
permet de supprimer un ou plusieurs mécanismes d’authentification pré-
Note : La suppression des mécanismes d’authentification prédéfinis est impossible.
3.8.6. Importer (des équipements et des comptes cibles) Via cette page, il est possible d’importer des équipements et des comptes cibles préalablement stockés sous forme d’un fichier CSV. Les descriptions d’équipements et de comptes sont contenues dans deux fichiers distincts dont chaque ligne suit un format spécifique. Chaque ligne de ces fichiers décrit un équipement ou un compte cible.
Note : L’importation doit se faire en deux temps : d’abord les équipements puis les comptes cibles (en effet, l’équipement associé à un compte cible doit exister au préalable). Chaque fichier doit commencer par une ligne contenant le marqueur : #wab40
Avertissement : Si ce marqueur n’est pas présent, le fichier doit être au format WAB version 3.0 (non décrit dans ce document). Ceci permet d’assurer la compatibilité avec les fichiers créés pour les précédentes versions du WAB. Les lignes décrivant un équipement doivent respecter le format suivant :
43
Wallix AdminBastion 4.1 - Guide d’Administration Champ
Nom de l’équipement Alias Description Adresse réseau Service / Protocole / Port / Sous Protocole / Mécanisme d’authentification
Type
Texte
R(equis)/ Valeurs Possibles O(ptionnel) R [aA-zZ], [0-9], '-', '_'
n/a
Texte Texte IP/FQDN Texte
O O R R
n/a n/a n/a n/a
[aA-zZ], [0-9], '-', '_' Texte libre [aA-zZ], [0-9], '-', '_' NOM/PROTOCOLE/N*/ SOUSPROTOCOLE*/MECAAUTH*
Valeur par défaut
NOM : Texte libre PROTOCOLE : Nom de protocole (voir ci-dessous) N* : Numéro de port optionnel SOUSPROTOCOLE* : Nom de sous protocole optionnel (voir ci-dessous) MECAAUTH* : Nom de mécanisme d’authentification optionnel
PROTOCOLE : l’une des valeurs suivantes : SSH, TELNET, RLOGIN, RDP, VNC, HTTP, HTTPS. SOUSPROTOCOLE : Pour SSH, l’une des valeurs suivantes : SSH_SHELL_SESSION, SSH_REMOTE_COMMAND, SSH_SCP_UP, SSH_SCP_DOWN, SSH_X11_SESSION, SFTP_SESSION. Si SOUSPROTOCOLE n’est pas spécifiés, tous les sous protocoles sont ajoutés. Pour les autres protocoles, la valeur est identique à PROTOCOLE et peut être omise. Le champ « Service/Protocole/Port/Sous Protocole/Mécanisme d’authentification » peut contenir plusieurs valeurs séparées par un espace. Exemple : #wab40 asterix;intranet;"Intranet server";192.168.0.10;ssh_22/SSH/22/SSH_SHELL_SESSION obelix;mail1;"Exchange server";192.168.0.11;telnet_23/TELNET/23 rdp_1/RDP/3389
Les lignes décrivant un compte cible doivent respecter le format suivant : Champ
Nom du compte Nom du groupe Description Mot de passe
Type
Texte Texte Texte IP/FQDN
R(equis)/ O(ptionnel)
R R O R
Valeurs Possibles
[aA-zZ], [0-9], '-', '_' [aA-zZ], [0-9], '-', '_' Texte libre [aA-zZ], [0-9], '-', '_'
44
Valeur par défaut
n/a n/a n/a n/a
Wallix AdminBastion 4.1 - Guide d’Administration
Note : Il n’est pas possible à ce jour de créer des comptes cibles avec la fonction « connexion secondaire automatisée » désactivée. Exemple : #wab40 root@asterix:ssh_22;linux;"Root account";SecurePassword adminlinux@asterix;linux;"Compte pour la connexion sans droits";plO@56zZ
3.9. Gestion des autorisations Les autorisations déterminent avec quels comptes cibles et à l’aide de quels protocoles les utilisateurs peuvent accéder aux équipements. Les autorisations sont appliquées sur les groupes utilisateurs liés à des groupes de comptes cibles. Tous les utilisateurs appartenant à un même groupe héritent des mêmes autorisations. Ce menu permet de lister, ajouter ou supprimer des autorisations.
Figure 3.36. Liste des autorisations
45
Wallix AdminBastion 4.1 - Guide d’Administration
3.9.1. Ajout d’une autorisation À partir de la page listant les autorisations, un clic sur l’icône d’ajout d’une nouvelle autorisation.
permet d’afficher le formulaire
Une autorisation est un lien créé entre un groupe d’utilisateurs et un groupe de comptes cibles. Le formulaire contient donc les informations suivantes : • • • • •
le groupe d’utilisateurs le groupe de comptes cibles une description une liste de protocoles autorisés une case à cocher permettant d’indiquer si les sessions permises par cette autorisation sont critiques ou non (une notification peut être envoyée à chaque accès à un équipement critique) • une case à cocher permettant d’activer/désactiver l’enregistrement des sessions. Les type d’enregistrements réalisés dépendent du protocole d’accès à l’équipement.
Figure 3.37. Formulaire d’ajout d’une autorisation
46
Wallix AdminBastion 4.1 - Guide d’Administration
Note : Dans le cas du RDP, l’enregistrement correspond à la fois à une vidéo et à une reconnaissance automatique (par OCR) des applications exécutées sur la machine distante par détection des barres de titre. Attention ! l’algorithme utilisé pour la détection du contenu des barres de titre est très rapide de manière à pouvoir être exécuté en temps réel, mais il est aussi très sensible à la configuration. Il fonctionne uniquement avec le style de fenêtre « Windows Standard » et la taille de polices par défaut de 96PPP avec une profondeur de couleur supérieure ou égale à 15 bits (15, 16, 24 ou 32 bits, donc pas en mode 8 bits). Dans sa version actuelle, tout changement du style des barres de titre, même à première vue visuellement proche, par exemple un passage à « Windows classique », ou encore un changement de couleur de la barre de titre, du style ou de la taille de la police ou de la résolution de rendu rendra la fonction OCR inopérante. L’OCR est, de plus, configuré de manière à détecter uniquement les barres de titre d’application terminées par les trois icônes fermer, minimiser, maximiser. Si la barre de titre contient une icône, celle-ci sera généralement remplacée par des points d’interrogation précédant le texte reconnu. Le formulaire permet, pour un groupe d’utilisateurs et un groupe de comptes cibles donné de sélectionner plusieurs protocoles. Ceci permet la création de plusieurs autorisations entre ces deux groupes.
3.9.2. Suppression d’une autorisation Un clic sur l’icône
permet de supprimer une ou plusieurs autorisations pré-sélectionnées.
3.9.3. Import d’autorisations via CSV Il est possible de peupler la base d’autorisation du WAB à l’aide d’un fichier CSV. Les séparateurs de champs sont configurables. Le fichier doit commencer par une ligne contenant le marqueur : #wab40
Avertissement : Si ce marqueur n’est pas présent, le fichier doit être au format WAB version 3.0 (non décrit dans ce document). Ceci permet d’assurer la compatibilité avec les fichiers créés pour les précédentes versions du WAB. Chaque ligne suivante doit être formée de la manière suivante : Champ
Groupe d’utilisateurs Groupe d’équipements Protocole
Type
Texte
R(equis)/ Valeurs Possibles O(ptionnel) R [aA-zZ], [0-9], '-', '_'
n/a
Texte
R
[aA-zZ], [0-9], '-', '_'
n/a
Texte
R
SSH_SHELL_SESSION, SSH_REMOTE_COMMAND,
n/a
47
Valeur par défaut
Wallix AdminBastion 4.1 - Guide d’Administration Champ
Critique Enregistré
Type
R(equis)/ O(ptionnel)
Booléen O Booléen O
Valeurs Possibles
Valeur par défaut
SSH_SCP_UP, SSH_SCP_DOWN, SSH_X11_SESSION, TELNET, RLOGIN, RDP, VNC, HTTP, HTTPS True ou False False True ou False False
Exemple : #wab40 group_users1;group_devices1;SSH_SHELL_SESSION
Après l’importation du fichier CSV, un résumé de l’opération s’affiche.
3.10. Profils Utilisateurs À partir de cette page il est possible de lister, ajouter, éditer ou supprimer des profils utilisateurs. Les profils utilisateurs permettent de définir des habilitations d’audit ou d’administration sur la solution. Chaque classe d’habilitation reflète le menu latéral situé à gauche de l’interface principale.
3.10.1. Profils par défaut Le WAB est livré avec plusieurs profils utilisateurs par défaut. Ceux-ci p euvent être édités ou modifiés comme tout autre profils. Ces profils sont : • « user » : aucun droit d’administration mais peut accéder aux équipements cibles • « auditor » : peut consulter les données d’audit WAB (cf Section 3.5, « Audit WAB »), ne peut pas accéder aux équipements • « WAB_Administrator », possède tous les droits d’administration et peut se connecter aux équipements cibles • « system_administrator », peut accéder à l’onglet « configuration du système », ne dispose pas d’accès aux équipements cibles • « disabled », profil ne disposant d’aucun droit.
Note : L’utilisateur « admin » d’usine est fourni avec le profil « WAB_Administrator »
3.10.2. Ajout d’un profil utilisateur À partir de la page listant les profils utilisateurs, un clic sur l’icône d’ajout d’un nouveau profil. Cette page est constituée : • d’un champ pour l’identifiant du profil
48
permet d’afficher le formulaire
Wallix AdminBastion 4.1 - Guide d’Administration • d’une série de cases à cocher permettant de définir les droits Ces cases à cocher sont divisées en deux séries : • les fonctionnalités de l’interface graphique • les fonctions de connectivité au proxy, limitation d’usage Pour chaque fonctionnalité de l’interface graphique, il existe une série de droits : • • • •
aucun : pas de droit ouvert : le menu n’apparaîtra pas lors de la connexion de l’utilisateur consulter : possibilité de consulter les objets créés mais pas de les modifier modifier : possibilité de consulter et de modifier des objets exécuter (uniquement pour la sauvegarde/restauration) : possibilité de lancer une sauvegarde ou une restauration du système (cf Section 3.14, « Sauvegarder/Restaurer »)
Deux autres cases à cocher permettent de : • activer/désactiver la connexion aux équipements cibles • limiter l’usage de certains droits d’administration sur des groupes La limitation sur les groupes permet d’ajouter des utilisateurs ou des comptes cibles uniquement dans les groupes sur lesquels le profil est habilité à intervenir.
Figure 3.38. Formulaire d’ajout d’un profil utilisateur
49
Wallix AdminBastion 4.1 - Guide d’Administration
3.10.3. Édition d’un profil utilisateur Le formulaire d’édition d’un profil utilisateur reprend les mêmes informations que le formulaire d’ajout ; à la différence que le nom du profil utilisateur ne peut être modifié. Ce formulaire est accessible en cliquant sur le nom d’un profil utilisateur déclaré.
3.10.4. Suppression d’un profil utilisateur Un clic sur l’icône
permet de supprimer un ou plusieurs profils utilisateurs pré-sélectionnés.
3.11. Configuration des proxys Ce menu permet de régler les paramètres des proxys.
3.11.1. Proxy RDP Cette page permet de paramétrer le mode transparent pour le proxy RDP et les options pour les connexions RDP.
3.11.1.1. Mode transparent Ce mode permet au proxy d’intercepter le trafic réseau destiné à une cible sans que l’utilisateur ait précisé l’adresse du proxy à la place de celle de la cible. Pour mettre en œuvre le mode transparent, il faut que le réseau soit configuré afin d’envoyer le flux RDP destiné aux cibles vers les interfaces réseaux utilisateurs du WAB. Ceci peut être fait au moyen de routes IP. Le WAB est alors similaire à une passerelle. Le proxy intercepte le trafic envoyé vers le port TCP 3389. Si du trafic arrive vers le WAB sans lui être destiné avec un port différent de 3389, ce trafic est perdu. Le proxy choisit automatiquement la cible en fonction de l’adresse IP destination de la connexion; dans le cas où une seule cible correspond à cette adresse, la connexion se fait automatiquement sans que le sélecteur soit affiché. Sinon, le sélecteur affiche la liste des cibles possibles correspondant à cette adresse. De plus, lors d’une utilisation du WAB en mode transparent, il est possible de définir un ensemble de ressources cibles appartenant à un sous-réseau. Il suffit de cela de préciser le sous-réseau à la place de l’adresse IP de l’hôte cible lors de la création de la ressource en utilisant la notation CIDR (
/) Une fois le mode RDP transparent du proxy activé, plusieurs paramètres permettent de contrôler le comportement du proxy. La délégation d’authentification permet d’éviter que le WAB procède à une authentification lorsque le proxy reçoit une demande de connexion. La demande d’authentification est alors transmise directement à la cible ; le WAB autorise la connexion si l’authentification par la cible est un succès. Cela permet de déployer le WAB dans un environnement où seule la cible connaît le mot de passe ; c’est le cas de certaines configurations de VMware Horizon View par exemple. Il est aussi possible de préciser un utilisateur WAB différent de l’identité RDP. Dans ce cas, les sessions et leurs enregistrements seront associée à cet utilisateur WAB. Les informations d’identification RDP sont enregistrées dans le champ cible quand elles sont disponibles.
50
Wallix AdminBastion 4.1 - Guide d’Administration
3.11.1.2. Options de connexion RDP Les options suivantes sont utilisées lors de la génération de fichiers .rdp de session : • largeur du bureau (en pixels) • hauteur du bureau (en pixels) • profondeur de couleur (en bits par pixel): 8 = 256 couleurs, 16 = 65536 couleurs, 32 = 4 millions de couleurs
Figure 3.39. Configuration du proxy RDP
3.12. Configuration WAB Ce menu permet de configurer : • • • •
les plages horaires des utilisateurs les procédures d’authentification des utilisateurs les notifications la politique des mots de passe (pour les utilisateurs inscrits dans le WAB),
3.12.1. Plages Horaires À partir de cette page, il est possible d’ajouter, éditer ou supprimer les plages horaires. Par défaut, le WAB fournit une plage horaire nommée « allthetime ». Elle autorise la connexion des utilisateurs vers les équipements cibles à toutes heures, tous les jours. Cette plage ne peut être supprimée.
51
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.40. Liste des plages horaires
3.12.1.1. Ajout d’une plage horaire À partir de la page listant les plages horaires, un clic sur l’icône d’ajout d’une nouvelle plage horaire.
permet d’afficher le formulaire
Le formulaire d’ajout d’une plage horaire est composé des éléments suivants : • un champ pour le nom de la plage • une description • une case à cocher qui permet de désactiver la coupure de connexion automatique à la fin de la plage horaire • un sous formulaire permettant d’ajouter une ou plusieurs périodes Chaque période est une période calendaire permettant aux utilisateurs de se connecter : • de telle date à telle date • tels jours de la semaine • de telle heure à telle heure chaque jour autorisé
52
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.41. Formulaire d’ajout d’une plage horaire
Note : Le référentiel de temps utilisé est l’heure locale du WAB.
3.12.1.2. Édition d’une plage horaire Le formulaire d’édition d’une plage horaire reprend les mêmes informations que le formulaire d’ajout ; à la différence que le nom de la plage horaire ne peut être modifié. Ce formulaire est accessible en cliquant sur le nom d’une plage horaire déclarée.
3.12.1.3. Suppression d’une plage horaire Un clic sur l’icône
permet de supprimer une ou plusieurs plages horaires pré-sélectionnées.
3.12.2. Authentifications externes Le WAB permet de définir des authentifications externes. Ces méthodes d’authentifications sont utilisées pour authentifier un utilisateur sur le WAB. Par défaut, le WAB livre l’authentification « local » permettant aux utilisateurs de s’authentifier via le moteur de données interne au produit. À partir de cette page, il est possible de lister, ajouter, éditer ou supprimer des procédures d’authentifications externes. WAB supporte les méthodes d’authentifications suivantes : • LDAP/LDAPS • Active Directory
53
Wallix AdminBastion 4.1 - Guide d’Administration • Kerberos • Radius
3.12.2.1. Ajout d’une authentification externe À partir de la page listant les authentifications externes, un clic sur l’icône formulaire d’ajout d’une nouvelle authentification.
permet d’afficher le
Le formulaire d’ajout est constitué des champs suivants : • • • • •
un type d’authentification, la sélection fait apparaître les champs nécessaires à l’authentification un nom de l’authentification une description adresse du serveur (IP ou FQDN) un port de connexion
Pour les authentifications LDAP/LDAPS, le nom unique (« Distinguished Name ») de l’unité d’organisation doit être renseigné (dans le champ DN de base) ainsi que l’attribut identifiant. L’attribut identifiant est le nom de l’attribut LDAP où est stocké l’identifiant de l’utilisateur du WAB. Il est également possible de préciser un nom d’utilisateur et un mot de passe à utiliser pour rechercher l’identifiant dans l’annuaire si l’accès anonyme est désactivé sur le serveur LDAP.
Note : L’utilisateur doit avoir les droits de lecture sur le DN de base utilisé. Pour les authentifications LDAP-AD/LDAPS-AD, l’identifiant est sAMAccountName et le DN de base correspond normalement au nom de domaine. Par exemple pour le domaine « mycorp.lan », le DN de base devrait être « dc=mycorp,dc=lan ». De plus, l’accès anonyme à un annuaire Active Directory étant impossible, il est nécessaire de disposer d’un compte administrateur du domaine pour la recherche de l’identifiant de l’utilisateur du WAB dans l’annuaire. La valeur à préciser dans le champ Utilisateur doit être le DN de cet administrateur (ex : cn=admin,dc=mycorp,dc=lan). Pour les authentifications KERBEROS, il est nécessaire de disposer : • du nom du domaine (REALM), • du/des fichiers keytab nécessaires afin d’établir les connexions. Chaque fichier keytab chargé est fusionné avec les fichiers chargés précédemment. La présence d’un service de type HTTP dans un keytab active le support de Kerberos pour s’authentifier auprès du GUI; il faut pour cela utiliser le préfixe iwab dans l’url ("https:///iwab"). Les services de type HOST sont utilisés pour l’authentification Kerberos auprès du proxy SSH. Il est alors possible d’utiliser un ticket "forwardable" pour se connecter en Account Mapping (cf Ajout d’un groupe de cibles) à une cible au sein du même domaine Kerberos. Pour les authentifications RADIUS, il est nécessaire de disposer de la clé de chiffrement (secret) des paquets.
54
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.42. Formulaire d’ajout d’une authentification
3.12.2.2. Édition d’une authentification externe Le formulaire d’édition d’une authentification externe reprend les mêmes informations que le formulaire d’ajout ; à la différence que le nom de l’ authentification externe ne peut être modifié. Ce formulaire est accessible en cliquant sur le nom d’une authentification externe déclarée.
3.12.2.3. Suppression d’une authentification externe Un clic sur l’icône tionnées.
permet de supprimer une ou plusieurs authentifications externes pré-sélec-
3.12.3. Domaines LDAP/AD Le WAB peut utiliser directement des utilisateurs définis dans des annuaires LDAP/AD sans avoir besoin de les créer localement dans le WAB. Les principes et la mise en œuvre d’une telle intégration est décrite dans le chapitre 5, Intégration avec un domaine LDAP ou Active Directory .
3.12.4. Notifications Le WAB permet de définir des notifications. Ces notifications sont déclenchées sur la détection d’un des événements suivants : • authentification primaire erronée • connexion à un équipement critique • nouvel enregistrement d’une empreinte d’un serveur SSH
55
Wallix AdminBastion 4.1 - Guide d’Administration • • • • • • • •
détection d’une mauvaise empreinte SSH erreur RAID connexion secondaire échouée détection d’une occurrence lors de l’analyse du flux montant SSH erreur de licence alertes d’expiration des mots de passe alertes sur l’espace disque disponible rapports journaliers
3.12.4.1. Ajout d’une notification À partir de la page listant les notifications, un clic sur l’icône d’une nouvelle notification.
permet d’afficher le formulaire d’ajout
Le formulaire d’ajout est constitué des champs suivants : • • • •
un nom pour la notification des cases à cocher pour activer l’envoi de notifications sur les événements précédemment cités l’e-mail de l’expéditeur l’e-mail du destinataire
56
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.43. Formulaire d’ajout d’une notification
Note : Les paramètres d’envoi des mails sont à configurer dans « Configuration Système » / SMTP (Section 3.13.6, « SMTP »).
3.12.4.2. Édition d’une notification Le formulaire d’édition d’une notification reprend les mêmes informations que le formulaire d’ajout ; à la différence que le nom de la notification ne peut être modifié. Ce formulaire est accessible en cliquant sur le nom d’une notification déclarée.
3.12.4.3. Suppression d’une notification Un clic sur l’icône
permet de supprimer une ou plusieurs notifications pré-sélectionnées.
57
Wallix AdminBastion 4.1 - Guide d’Administration
3.12.5. Politique de mot de passe La politique de mot de passe permet d’établir des règles relatives au stockage des mots de passe locaux. Par défaut, la taille minimale d’un mot de passe est définie à 6 caractères, les 4 derniers mots de passe utilisés ne peuvent être réutilisés, et il n’est pas possible d’utiliser un mot de passe similaire au nom de l’utilisateur. De plus, une liste de mots de passe interdits, car triviaux est insérée par défaut. A travers cette page, il est également possible de définir la durée de vie des mots de passe. Le formulaire est composé des champs suivants : • la durée de validité du mot de passe, en jours. Passée cette durée, l’utilisateur ne pourra plus se connecter avec son mot de passe ; un administrateur devra lui définir une nouvelle accréditation. Il est recommandé que cette valeur soit inférieure à un an. • l’échéance avant le premier avertissement, en jours, permet à l’utilisateur de savoir que son mot de passe va bientôt expirer • la taille minimale du mot de passe. Cette taille doit être supérieure à la somme des autres contraintes de nombre de caractères. • le nombre minimal de caractères en majuscule dans le mot de passe. Il est recommandé de mettre ce paramètre au moins à 2. • le nombre minimal de chiffres dans le mot de passe. Il est recommandé de mettre ce paramètre au moins à 2. • le nombre minimal de caractères spéciaux dans le mot de passe. Il est recommandé de mettre ce paramètre au moins à 2. • le nombre de mots de passe précédents non réutilisables. Il est recommandé de mettre ce paramètre au moins à 5. • une case à cocher permettant d’autoriser un mots de passe similaire à l’identifiant de l’utilisateur. Il est recommandé de ne pas le permettre. • un fichier permettant de définir une liste de mot de passe interdits
Note : La liste des mots de passe interdits doit être fournie dans un fichier formaté en UTF-8
58
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.44. Page « Politique de mot de passe »
3.12.6. Mots de passe secondaires Le WAB vous permet de changer à distance les mots de passe des comptes cibles des équipements Windows et UNIX.
Note : Les systèmes suivants sont supportés par les procédures de changement des mots de passe : • Les comptes locaux des systèmes UNIX gérés par la commande passwd. • Les comptes locaux des machines Windows de type serveur : Windows Server 2003 et Windows Server 2008 • Les comptes des annuaires Active Directory. Le bouton "Changer maintenant" permet de changer tous les mots de passe secondaires avec un mot de passe généré automatiquement.
59
Wallix AdminBastion 4.1 - Guide d’Administration
Avertissement : Tous les mots de passe pour lesquels un changement automatique a été configuré, comme décrit par la section 3.8.2.1, « Ajout d’un compte cible », vont être affectés. Il est donc important de vérifier que les courriels contenant les nouveaux mots de passe sont bien reçus et déchiffrables. Il est conseiller de tester le processus sur un seul compte non administrateur. Pour configurer la procédure de changement des mots de passe des comptes cibles, trois étapes sont nécessaires : 1. Dans la page Configuration WAB > Politique des mots de passe secondaires (voir Figure 3.45, « Page « Mot de passe secondaire » ») : • Définir la périodicité pour déclencher les changements : horaires, quotidiennes, hebdomadaires, mensuel, ou désactiver. • Charger les clés publiques GPG/PGP des administrateurs qui vont recevoir les nouveaux mots de passe par des e-mails chiffrés. Uniquement les clés publiques GPG/PGP qui ont servi a définir les crédences des administrateurs seront affichées dans le panneau : "Clé(s) publique(s) gpg utilisée(s) pour l’envoi des mots de passe".
Figure 3.45. Page « Mot de passe secondaire » 2. Dans la page Équipements & Comptes > Accréditations Admin de l’équipement > cliquer sur la clé pour chaque équipement (voir Figure 3.29, « Accréditations admins de l’équipement ») : a. Pour un équipement Windows : • Renseigner le compte WAB qui correspond à l’administrateur du domaine pour (les comptes de domaine et les comptes locaux) ou l’administrateur local juste pour les comptes locaux. Le compte WAB est sous la forme « nom_de_compte_wab@nom_de_ressource_wab »
60
Wallix AdminBastion 4.1 - Guide d’Administration
Note : Le compte administrateur de domaine doit correspondre à un compte déjà existant au niveau du WAB, sinon une erreur est retournée et les accréditations ne sont pas sauvegardées. • Mot de passe de l’administrateur (local ou sur le DC). b. Pour un équipement Cisco : • Renseigner le Mot de passe d’élévation de privilèges. c. Pour tous les équipements (Linux/UNIX, Windows et Cisco) : • Remplir les adresses e-mail des destinataires des nouveaux mots de passe générés (leurs clés GPG/PGP doivent avoir été précédemment importées). • La taille minimale souhaitée des mots de passe générés. • Cocher la case pour autoriser les caractères spéciaux dans les mots de passe générés suivant la politique de solidité des mots de passe en place sur l’équipement. 3. Activer le changement des mots de passe au niveau de chaque compte sur chaque équipement (voir Figure 3.46, « Page « Mot de passe secondaire » ») : • Dans la page Équipements & Comptes > Comptes > cliquer sur l’équipement > cliquer sur la clé pour chaque compte. • Cochez la case pour activer le changement automatique sur ce compte. • Si le changement automatique n’est pas activé, vous pouvez entrer un mot de passe manuellement. À chaque changement de mot de passe, un e-mail sera envoyé aux destinataires définis indiquant si le changement du nouveau mot de passe a bien eu lieu (e-mail chiffrés) ou s’il a échoué en précisant la raison d’échec).
Avertissement : • Pour que le processus de changement de mot de passe fonctionne sur les machines Windows appartenant à un domaine, il est impératif de configurer correctement l’adresse IP du contrôleur de domaine. • Si la configuration du serveur SMTP n’est pas effectuée, le changement des mots de passe ne sera pas réalisé. • Si une clé GPG/PGP est absente parmi la liste des destinataires, le changement des mots de passe ne sera pas exécuté. • Pour réaliser les changements de mots de passe pour les machines UNIX, le WAB doit toujours avoir les mots de passe des comptes à gérer. À aucun moment les mots de passe ne doivent être modifiés sans les remettre dans le WAB sinon les changements ne pourront plus être réalisés.
61
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.46. Page « Mot de passe secondaire »
3.12.7. Paramètres de connexion Permet de définir la langue par défaut qui sera utilisée pour afficher les messages utilisateurs.
62
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.47. Page « Paramètres de connexion » Ces messages sont également modifiables par l’administrateur.
3.12.7.1. Options d’enregistrements Cette page permet de demander ou non le chiffrement et la signature par le WAB des enregistrements de sessions permettant la visualisation des historiques de connexion (voir Section 3.5.3, « Historique des connexions »). Lorsque les enregistrements sont chiffrées, ils ne peuvent être relus que par le WAB qui les a créé. L’algorithme de chiffrement utilisé est AES 256 CBC. La signature est effectuée en calculant une empreinte HMAC SHA 256. L’empreinte est vérifiée lors une demande de visualisation.
3.13. Configuration Système A travers ce menu, il est possible d’entrer les informations de configuration système de l’AdminBastion.
3.13.1. Réseau Cette page remonte les informations réseau de l’appliance. Il est possible de modifier : • le nom d’hôte
63
Wallix AdminBastion 4.1 - Guide d’Administration • le nom de domaine • la passerelle • la configuration des interfaces réseaux Il est possible d’ajouter : • des routes • des entrées dans le fichier « hosts » • des serveurs DNS
Figure 3.48. Configuration Réseau
Avertissement : Avant de changer l’adresse IP du WAB utilisée pour communiquer avec le serveur de fichier sur lequel se trouve un stockage distant, il recommandé de désactiver le stockage distant et le réactiver après le changement d’adresse. Voir Section 3.13.3, « Stockage Distant »
3.13.2. Service de Temps Il est possible à travers cette page de configurer le service de temps. Ceci est particulièrement important car :
64
Wallix AdminBastion 4.1 - Guide d’Administration • le WAB doit être synchronisé en date et en heure avec les serveurs d’authentification Kerberos • le WAB est le référentiel de temps pour les informations d’audit remontées et la gestion des plages horaires Par défaut, le service de temps est activé et la synchronisation est effectuée sur les serveurs de temps du projet Debian
Figure 3.49. Configuration du service de temps
3.13.3. Stockage Distant Il est possible à travers cette page de déporter les enregistrements vidéos vers un système de fichiers externe. Attention : sur un WAB ayant déjà réalisé des enregistrements, l’activation du stockage distant masquera les anciennes sessions (celles-ci seront de nouveau visibles lorsque le stockage sera désactivé). Les systèmes de fichiers supportés sont CIFS et NFS. Pour chacun de ces systèmes il sera nécessaire de préciser : • l’adresse IP ou le FQDN du serveur de fichiers, • le numéro de port du service distant,
65
Wallix AdminBastion 4.1 - Guide d’Administration • le répertoire distant où seront stockés les enregistrements. Pour CIFS il sera également nécessaire de préciser : • le nom d’utilisateur pour se connecter sur le service distant, • son mot de passe. Le bouton « Monter » permettra de monter le système de fichier. Une icône statut permet d’afficher si le système de fichiers est bien monté.
Figure 3.50. Configuration du stockage distant
3.13.4. Syslog A travers cette page, il est possible de paramétrer le routage des journaux syslog vers un ou plusieurs autres équipements réseau. Les logs seront alors envoyés à l’adresse IP, au port et au protocole choisis et également stockés sur le système de fichier local, afin d’être toujours disponibles à la lecture à travers l’onglet Audit Système. Vous pouvez choisir entre le format de date usuel RFC 3164 et le format ISO ( AAAA-MM JJ THH :MM :SS±TZ). Ce dernier contient en plus l’année et le fuseau horaire.
66
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.51. Configuration du routage Syslog
3.13.5. SNMP WAB embarque un agent SNMP disposant des caractéristiques suivantes : • • • • •
Version du protocole supporté : 2c MIB implémentée : MIB 2 pas de mécanismes d’alertes (traps), ni de notifications pas d’ACL sur l’adresse IP source commande SNMP disponible : « get », « getbulk »
La Configuration usine est la suivante : • • • •
sysName : WAB v2 sysContact : root@yourdomain sysLocation : yourlocation communauté : vide par défaut; le nom de la communauté utilisée pour se connecter au WAB
Par défaut, l’agent est désactivé.
67
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 3.52. Configuration de l’agent SNMP
Note : L’activation de l’agent SNMP se fait via l’interface Web uniquement. Exemples d’utilisation : $ snmpget -v2c -c WALLIXdefault 192.168.0.5 system.sysDescr.0 SNMPv2-MIB::sysDescr.0 = STRING: "Wallix AdminBastion Version 4.1" $ snmpget -v2c -c WALLIXdefault 192.168.0.5 system.sysUpTime.0 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (65833) 0:10:58.33 $ snmpget -v2c -c WALLIXdefault 192.168.0.5 IF-MIB::ifHCOutOctets.1 IF-MIB::ifHCOutOctets.1 = Counter64: 255823831
3.13.6. SMTP Cette entrée permet de configurer (ou modifier la configuration) du serveur mail à utiliser pour l’envoi des notifications. Les informations à remplir sont : • Le protocole utilisé (par défaut : SMTP) • Le nom du serveur
68
Wallix AdminBastion 4.1 - Guide d’Administration • le port du serveur (par défaut : 25 en SMTP, 465 en SMTPS et 587 en SMTP+STARTTLS) • le nom de l’expéditeur (par défaut : wab) • un nom d’utilisateur et un mot de passe si nécessaire, Les paramètres peuvent être testés, en entrant une ou plusieurs adresses de destination dans une zone de texte libre et en cliquant sur le bouton « TESTER ».
Figure 3.53. Configuration du service SMTP
3.13.7. Licence A travers cette page, il est possible d’afficher les informations de licence, et de modifier sa clé de licence. L’utilisation du WAB est contrôlé par cette clé de licence. Les informations vérifiées sont : • • • •
le nombre d’équipement cibles pouvant être déclarés le nombre maximal de connexions primaires uniques simultanées le nombre maximal de connexions secondaires simultanées la date d’expiration de la licence
La clé de licence, qui contient les valeurs prévues au contrat commercial et qui est fournie par Wallix, est entrée dans le WAB par le client, via l’interface Web. Pour obtenir une licence, le numéro de série de l’appliance, ainsi que l’ensemble des adresses mac des cartes réseaux doivent être communiqués à Wallix. La clé de licence peut également être gérée via la ligne de commande (en root). Pour afficher les informations de licence : wab2:~# WABGetLicence
69
Wallix AdminBastion 4.1 - Guide d’Administration Pour introduire un nouveau numéro de licence : wab2:~# WABSetLicence
Pour supprimer l’ancienne clé de licence : wab2:~# WABDropLicence
Figure 3.54. Gestion de la licence
3.13.8. Chiffrement Le Chiffrement du WAB sécurise vos données sensibles (mots de passe des comptes cibles, etc...) en les chiffrant par un algorithme cryptographique fort. Cet algorithme utilise une clé de chiffrement confidentielle et unique à votre WAB. • Si vous ne spécifiez pas de mot de passe, les données sensibles seront susceptibles d’être décryptées par n’importe qui ayant accès au contenu du disque dur du WAB car il pourra récupérer la clé et l’utiliser directement. En contrepartie le WAB pourra s’initialiser complètement sans intervention humaine lors d’un redémarrage du système. • Si vous spécifiez un mot de passe, à chaque redémarrage du système le service de connexion automatique des proxys du WAB sera inutilisable tant que le mot de passe de la clé ne sera pas entré par un administrateur dans l’Interface Web d’Administration. Dans le même temps seules certaines actions d’administration seront possibles. Néanmoins ceci renforce la sécurité de vos
70
Wallix AdminBastion 4.1 - Guide d’Administration données en les rendant difficilement exploitables par une personne malveillante ne possédant pas le mot de passe de votre clé. Après initialisation du chiffrement, il est conseillé d’effectuer au moins une sauvegarde de votre WAB afin de conserver une copie de cette clé en lieu sûr. Sinon vous risquez de ne plus pouvoir utiliser les données stockées sur les stockages distants si votre clé est perdue.
3.13.9. Contrôle des services Le contrôle des services permet de choisir, d’une part, l’affectation des services pour chacune des interfaces réseaux et, d’autre part, l’activation des services.
Figure 3.55. Contrôle des services
3.13.9.1. Affectation des services L’administrateur peut choisir l’affectation des services par interface réseau. Ainsi il est possible de restreindre les opérations d’administration à une seule interface pour améliorer la sécurité du WAB. Les services sont groupés en fonctionnalités « Utilisateur et auditeur » , « Administration » et « Haute-Disponibilité ». Les fonctionnalités du groupe de services « Utilisateur et auditeur » sont l’accès aux cibles ainsi qu’aux historiques et enregistrements de sessions. Ces fonctionnalités ne sont pas accessibles par défaut sur l’interface d’administration. Il est cependant possible d’en débloquer l’accès en utilisant les cases à cocher correspondantes. Les interfaces doivent auparavant avoir été configurées comme indiqué dans la section Configuration Réseau. Chaque interface doit appartenir à un sous-réseau différent.
71
Wallix AdminBastion 4.1 - Guide d’Administration L’interface eth1 (port 2 sur les appliances) est dédiée, si elle est présente, à l’interconnection de la haute-disponibilité (HA). Aucun autre service ne peut y être affecté et le service HA ne peut pas être déplacé vers une autre interface. Le service HA n’est donc pas disponible si cette interface n’est pas présente (sauf en mode Legacy, voir la note ci-dessous). Le WAB possède également un pare-feu. Celui-ci permet, en autre, de le protéger des attaques DDoS. Il est possible de limiter le nombre de connexions IP acceptées en parallèle.
Note : Après une migration depuis une version antérieure à la 4.1, le WAB est gardé en mode « Legacy », c’est à dire que son fonctionnement reste le même que dans les versions précédentes : la HA utilise dans ce cas l’interface eth0 (port 1) alors que les autres services utilisent toutes les interfaces de manière indifférenciée. L’administrateur peut à n’importe quel moment passer dans le nouveau mode avec affectation des services en cliquant sur le bouton « Activer Split » . Il faudra alors impérativement connecter le câble d’interconnection HA sur le port 2. Attention, il n’est pas possible de revenir ensuite en mode Legacy.
Figure 3.56. Mode legacy
3.13.9.2. Activation des services Les services sont contrôlés automatiquement par le WAB. En particulier, les proxys sont démarrés quand une ressource correspondante est ajoutée à la configuration. Par exemple, l’ajout d’un équipement avec un service RDP va initier le démarrage du service RDP. Il est cependant possible de stopper temporairement un service jusqu’à la prochaine modification de la configuration. Voici la liste des services configurables : • • • • • •
GUI : l’interface web d’administration du WAB (port 443) SSHADMIN : l’interface ligne de commande d’administration du WAB (port 2242) WEBSERVICE : l’interface soap d’administration du WAB (port 7080) RDP : le proxy rdp/vnc (port 3389) SSH : le proxy ssh/sftp/telnet/rlogin (port 22) HTTPS : le proxy http/https (port 8080)
A l’installation d’un WAB, par défaut, les services activés sont : • GUI • SSHADMIN • WEBSERVICE
72
Wallix AdminBastion 4.1 - Guide d’Administration Puis en fonction des services configurés dans les cibles des proxys, le WAB active le service correspondant (et démarre le serveur) automatiquement. Ainsi l’administrateur n’a pas à se soucier de la configuration des services pour pouvoir utiliser le WAB.
Note : Par mesure de sécurité, pour désactiver la console d’administration sshadmin (port 2242), l’outil doit être appelé depuis la console physique (soit directement sur le boîtier, soit à distance avec l’interface iDrac). Dans le cadre d’une configuration HA, le service d’administration sshadmin (port 2242) doit être activé et il le sera automatiquement lors de l’installation de la HA. Il est aussi possible de configurer les services à l’aide d’un outil en ligne de commande (sur la console ou via l’interface en ligne de commande ssh (port 2242) : $ sudo -i WABServices ################################# # Wab Services Status # ################################# gui : ENABLED https : DISABLED rdp : DISABLED ssh : DISABLED sshadmin : ENABLED webservice : ENABLED
Sans paramètre l’outil présent l’état actuel de la configuration des services. Le paramètre --help permet d’avoir l’usage complet : $ sudo -i WABServices --help usage: /opt/wab/bin/WABServices action [service's name] Configure WAB Services actions: list enable disable
list services status enable a service disable a service
Ainsi pour désactiver la GUI, l’administrateur doit saisir cette commande : $ sudo -i WABServices disable gui Configuration applied
Puis pour la ré-activer, l’administrateur doit saisir cette commande : $ sudo -i WABServices enable gui Configuration applied
3.14. Sauvegarder/Restaurer Cette page permet d’effectuer ou de restaurer une copie de sauvegarde de la configuration du WAB.
73
Wallix AdminBastion 4.1 - Guide d’Administration Chaque sauvegarde est chiffrée à l’aide d’une clé de 16 caractères. Il sera nécessaire de connaître la clé d’une sauvegarde avant sa restauration.
Avertissement : • seules les sauvegardes créées avec la version 3.1 du WAB ou ultérieure peuvent être restaurées. • les données d’audit ne sont pas sauvegardées à l’aide de cet outil, • toutes les données modifiées ou ajoutées après une sauvegarde seront perdues si cette sauvegarde est restaurée. • l’administrateur sera déconnecté. Il devra se reconnecter avec un des comptes présents dans la sauvegarde, qui peuvent être différents de ceux présents avant. • si une sauvegarde est restaurée sur une autre machine que celle sur laquelle elle a été générée, les données chiffrées présentes avant la restauration pourront devenir indéchiffrables.
Figure 3.57. Page « Sauvegarder/Restaurer »
3.14.1. Restauration des fichiers de configuration Certains éléments tels que les fichiers de configuration de certains services, les clés et les certificats sont restaurés à côté de la configuration actuelle qui n’est pas écrasée. Pour les utiliser il faut
74
Wallix AdminBastion 4.1 - Guide d’Administration supprimer les fichiers de la configuration actuelle et renommer à la place ceux restaurés par le backup, qui portent comme extension additionnelle le nom du fichier backup suivit d’un timestamp qui correspond à la date de restauration. Ces fichiers sont tous situés sous /etc/opt/wab/ : • Clé du proxy SSH : /etc/opt/wab/ssh/server_rsa.key.YOURBACKUPNAMEANDTIMESTAMP
• Configuration xinetd pour le proxy HTTPS : /etc/opt/wab/xinetd.d/wab.YOURBACKUPNAMEANDTIMESTAMP
• Clés et certificat du proxy RDP : /etc/opt/wab/rdp/dh512.pem.YOURBACKUPNAMEANDTIMESTAMP /etc/opt/wab/rdp/dh1024.pem.YOURBACKUPNAMEANDTIMESTAMP /etc/opt/wab/rdp/dh2048.pem.YOURBACKUPNAMEANDTIMESTAMP /etc/opt/wab/rdp/rdpproxy.key.YOURBACKUPNAMEANDTIMESTAMP /etc/opt/wab/rdp/rdpproxy.crt.YOURBACKUPNAMEANDTIMESTAMP
• Configuration du proxy RDP : /etc/opt/wab/rdp/rdpproxy.ini.YOURBACKUPNAMEANDTIMESTAMP
• Configuration MySQL : /etc/opt/wab/mysql/my.cnf.squeeze.YOURBACKUPNAMEANDTIMESTAMP
• Configuration du serveur Apache : /etc/opt/wab/apache2/apache2.conf.squeeze.YOURBACKUPNAMEANDTIMESTAMP /etc/opt/wab/apache2/httpd.conf.squeeze.YOURBACKUPNAMEANDTIMESTAMP /etc/opt/wab/apache2/restfcgiserver.apache.conf.YOURBACKUPNAMEANDTIMESTAMP /etc/opt/wab/apache2/restvirtualhost.apache.conf.YOURBACKUPNAMEANDTIMESTAMP
• Clés, certificats et CRL du serveur Apache : /etc/opt/wab/apache2/dh2048.pem.YOURBACKUPNAMEANDTIMESTAMP /etc/opt/wab/apache2/ssl.crt/ca.crt.YOURBACKUPNAMEANDTIMESTAMP /etc/opt/wab/apache2/ssl.crt/crl.pem.YOURBACKUPNAMEANDTIMESTAMP /etc/opt/wab/apache2/ssl.crt/server.pem.YOURBACKUPNAMEANDTIMESTAMP /etc/opt/wab/apache2/ssl.crt/server.key.YOURBACKUPNAMEANDTIMESTAMP
• Configuration X509 du WAB :
75
Wallix AdminBastion 4.1 - Guide d’Administration /etc/opt/wab/apache2/ssl.crt/x509_ready.YOURBACKUPNAMEANDTIMESTAMP
• Clés et certificats du proxy HTTPS : /etc/opt/wab/http/certificate/ca-cert.pem.YOURBACKUPNAMEANDTIMESTAMP /etc/opt/wab/http/certificate/ca-key.pem.YOURBACKUPNAMEANDTIMESTAMP /etc/opt/wab/http/certificate/http-cert.pem.YOURBACKUPNAMEANDTIMESTAMP /etc/opt/wab/http/certificate/http-key.pem.YOURBACKUPNAMEANDTIMESTAMP
• Configuration du proxy HTTPS : /etc/opt/wab/http/http.conf.YOURBACKUPNAMEANDTIMESTAMP
Après avoir renommé les fichier en supprimant l’extension additionelle, vous devez redémarrer les services correspondants. # $ $ $
/etc/init.d/wabgui restart /etc/init.d/wabcore restart /etc/init.d/mysql restart /etc/init.d/xinetd restart
76
Wallix AdminBastion 4.1 - Guide d’Administration
Chapitre 4. Gestion des Applications Le WAB offre la possibilité de gérer des sessions d’application en plus des sessions d’équipement. Pour cela, le WAB utilise un serveur de rebond, sur lequel est installée l’application. Comme illustrée par la figure 4.1, « Session applicative », l’utilisateur se connecte au WAB et choisit une application dans le sélecteur. Le WAB initie alors une session RDP et lance automatiquement l’application en lui fournissant les informations de compte nécessaires (identifiant, mot de passe). La session application est alors enregistrée comme une session RDP.
Figure 4.1. Session applicative
4.1. Pré-requis pour le serveur de rebond Le serveur de rebond doit être un serveur Windows Server 2003, 2003 R2, 2008 ou 2008 R2. A partir de la version 2008, le rôle "Services Teminal Server" ou "Bureau à Distance" doit être installé. Attention, après une période de grâce de 120 jours, il faut installer des Client Access Licences (CAL) pour pouvoir continuer à utiliser ces services. Il faut également permettre à l’utilisateur d’avoir le droit de lancer l’application. Cela peut se faire en permettant l’accès aux programmes non répertoriés ou en ajoutant l’application aux programmes autorisés : • Permettre l’accès aux programmes non répertoriés : Depuis le Menu Démarrer / Programmes / Outils d’administration / Services Bureau à distance, ouvrir l’application "Gestionnaire RemoteApp". Dans le cadre "Vue d’ensemble", cliquer sur changer les paramètres Terminal Server. Dans l’onglet "Terminal Server", dans le cadre "Accès aux programmes non répertoriés", choisir "Autorisés les utilisateurs à démarrer les programmes répertoriés et non". • Ajouter l’application aux programmes autorisés : Depuis le Menu Démarrer / Programmes / Outils d’administration / Services Bureau à distance, ouvrir l’application "Gestionnaire RemoteApp". Dans le cadre "Actions" à droite, cliquer sur "Ajouter des programmes RemoteApp". Choisir l’application dans les applications affichées en cliquant dans le carré de sélection et éditer les propriétés de l’application afin de permettre l’utilisation de tous les arguments de la ligne de commande. Il est recommandé de mettre une valeur la plus petite possible au délai maximal pendant lequel une session utilisateur déconnectée est gardée active sur le serveur Terminal Server. L’application "Configuration d’hôte de session Bureau à distance" accessible depuis le Menu Démarrer / Pro-
77
Wallix AdminBastion 4.1 - Guide d’Administration grammes / Outils d’administration / Services Bureau à distance permet d’abaisser le délai maximale à 1 minute. Pour cela, cliquer sur la connexion nommée "RDP-Tcp" dans le cadre "Connexions" et dans l’onglet "Sessions", sélectionner "Replacer les paramètres de l’utilisateur" et choisir 1 minute pour la fin d’une session déconnectée. Il est aussi possible d’utiliser les politiques de groupe pour gérer ce paramètre. Il est possible de permettre plusieurs connexions avec le même compte cible sur un serveur de rebond. Pour un serveur Windows Server 2008 ou une version plus récente, il faut utiliser l’application "Configuration d’hôte de session Bureau à distance" accessible depuis le Menu Démarrer / Programmes / Outils d’administration / Services Bureau à distance et dans le cadre "Modifier les paramètres", dans le groupe Général, double-cliquer sur "Restreindre les utilisateurs à une session unique" et déselectionner la case à cocher. Alternativement, il est possible d’utiliser le paramètre correspondant avec une stratégie de compte. A partir de Windows Server 2012, un paramétrage supplémentaire est nécessaire pour permettre l’accès d’un client qui n’utilise pas l’authentification au niveau du réseau. Ce paramétrage s’effectue de la manière suivante : • Ouvrir le "Gestionnaire de Serveur" et sélectionner "Services Bureau à distance" • Sélectionner la collection voulue dans "Collections". La collection par défaut se nomme "Quick Session Collections". • Dans le panneau "Propriétés", sélectionner la tâche "Modifier les propriétés" • Dans la section "Sécurité, décocher l’option "Autoriser les connexions uniquement pour les ordinateur exécutant les service Bureau à distance avec authentification au niveau du réseau"
4.2. Pré-requis de l’application Pour pouvoir gérer la connexion à une application avec le WAB, il faut que celle-ci supporte de recevoir le nom et le mot de passe à utiliser pour la connexion en tant qu’argument de la ligne de commande.
4.3. Configuration d’une application Pour gérer les applications, il faut utiliser la page "Applications" du menu "Ressources et comptes". Le nom de l’application est interne au WAB. La description est optionnelle. Le champ "Paramètres" permet de définir les arguments de la ligne de commande. Ils sont concaténés au chemin du programme. Afin d’insérer le nom du compte et le mot de passe à utiliser, la notation ${USER} ou ${PASSWORD} permet d’indiquer l’emplacement de la substitution. Le Wab la fera automatiquement avec les informations du compte sélectionné par l’utilisateur.
Figure 4.2. Ajout ou Modification d’une application
78
Wallix AdminBastion 4.1 - Guide d’Administration Il faut également définir le chemin de l’exécutable du programme ainsi que le répertoire d’exécution. Dans le cas d’une grappe, il faut fournir ces valeurs pour chaque équipement. Les grappes sont décrites par la section 4.4, « Grappe de serveurs ». Afin de pouvoir se connecter à l’application, il faut maintenant lui associer des comptes comme décrit par la section 3.8.2, « Comptes cibles ». La gestion des droits d’accès se fait au moyen des autorisations de la même manière que les équipements. Il faut alors autoriser le protocole RDP.
4.4. Grappe de serveurs Une grappe est un groupe de serveurs de rebond. L’utilisation d’une grappe à la place d’un équipement unique permet de mettre en place de la répartition de charge et de la haute disponibilité pour une application. La sélection du serveur de rebond à utiliser pour exécuter une application se fait en deux étapes. Le WAB trie les serveurs en commençant par celui avec le moins de sessions ouvertes, puis essaie de se connecter à chacun jusqu’à la première tentative qui réussit. La gestion des grappes se fait à partir de la page "Grappe" du menu "Ressources et comptes". Il suffit d’ajouter à une grappe les équipements qui la composent.
79
Wallix AdminBastion 4.1 - Guide d’Administration
Chapitre 5. Intégration avec un domaine LDAP ou Active Directory La gestion des comptes utilisateurs du WAB peut être intégrée avec un ou plusieurs annuaires LDAP ou Active Directory (AD). Lorsqu’une telle intégration est mise en place, les comptes utilisateurs ne sont plus présents localement dans la configuration du WAB; les informations relatives à un compte sont retrouvées dans l’annuaire à chaque fois qu’un utilisateur se connecte à un des services du WAB. Pour configurer une intégration, il faut d’abord ajouter les authentifications externes (LDAP, LDAPS, LDAP-AD, LDAPS-AD) permettant la connexion aux annuaires (voir Section 3.12.2, « Authentifications externes »). Dans le menu Configuration WAB, la page « Domaines LDAP/AD » permet d’ajouter un nouveau domaine. La création d’un nouveau domaine commence par la sélection des authentifications externes à utiliser. La sélection se fait en choisissant un type de d’authentification LDAP externe. Il est alors possible de choisir des authentifications dans la liste des authentifications du type choisi. Si plusieurs authentifications sont sélectionnées, elles sont utilisées une après l’autre, lors de la connexion d’un utilisateur, jusqu’à la première authentification qui réussit. Cela permet de redonder les annuaires. Un domaine décrit les attributs du schéma de l’annuaire à utiliser pour trouver les attributs nécessaire pour un compte WAB. Ces attributs sont : • Identifiant : L’attribut du schéma est indiqué par le champ « Attribut identifiant » de l’authentification externe. Par défaut, le WAB utilise « sAMAccountName » avec AD ou « uid » avec LDAP, • Attribut groupe : Il s’agit de l’attribut décrivant l’appartenance à un groupe. Par défaut, il s’agit de « memberOf » avec AD. Avec LDAP, la valeur par défaut est "(&(ObjectClass=posixGroup)(memberUid=${uid}))". Il s’agit d’une requête LDAP qui permet de trouver les groupes qui contiennent l’utilisateur défini par son uid. En effet, certains serveurs ne supportent par défaut de maintenir au niveau de chaque compte la liste des groupes auxquels il appartient. Il faut donc utiliser une requête supplémentaire. La syntaxe ${uid} est propre au WAB; uid peut être remplacé par n’importe quel attribut de l’utilisateur. Dans le cas où le serveur LDAP supporte le champ « memberOf », son utilisation est recommandé. C’est le cas des serveurs OpenLDAP configurées avec l’overlay « memberOf ». • Attribut nom usuel : Il s’agit normalement de l’attribut « displayName » pour AD et de « cn » pour LDAP. • Attribut Email : Il s’agit attribut de l’adresse mail de l’utilisateur (AD et LDAP). • Attribut langue : Il s’agit normalement de attribut « preferredLanguage » (AD et LDAP). Le domaine permet également de fournir des valeurs par défaut pour certains attributs si ceux-ci ne sont pas retrouvés dans l’annuaire : • Langue par défaut : Langue par défaut des membres du domaines si la langue n’est pas définie dans l’annuaire. • Domaine par défaut du mail : L’adresse du mail est construite en préfixant le domaine avec l’identifiant et « @ ». Il faut maintenant associer les groupes de l’annuaire avec les groupes du WAB. Pour cela il faut ajouter des correspondance d’authentification LDAP. Une correspondance permet de lier un groupe du WAB à un groupe de l’annuaire en précisant la valeur correspondante de l’attribut groupe défini
80
Wallix AdminBastion 4.1 - Guide d’Administration au dessus (par exemple son DN complet pour « memberOf »). Si le groupe WAB n’était pas déjà lié par une correspondance , il faut également sélectionner le profil WAB pour les membres du groupes. Dans le cas où aucune correspondance n’est trouvée quand un utilisateur se connecte, il est possible de demander à le placer dans un groupe par défaut. Cela se fait en sélectionnant l’option « Groupe par défaut pour les utilisateurs sans correspondance ». Cette option permet un accès au WAB à n’importe quel utilisateur défini dans l’annuaire. Les correspondances sont également éditables via la page des groupes d’utilisateurs (voir Section 3.7.2, « Groupes (d’utilisateurs) »).
81
Wallix AdminBastion 4.1 - Guide d’Administration
Chapitre 6. Exploitation 6.1. Connexion au WAB en ligne de commande Un démon ssh est en écoute sur le port 2242 permettant de se connecter à un shell d’administration. Les accréditations par défaut sont : Identifiant : wabadmin Mot de Passe : SecureWabAdmin
Note : Il vous sera demandé de modifier le mot de passe du compte wabadmin lors de la première connexion. Veuillez bien retenir votre nouveau mot de passe car celui-ci est le seul moyen de se connecter par la suite. Cet utilisateur est inscrit dans la liste des « sudoers ». Il est alors possible de passer root à l’aide de la commande « sudo » en utilisant le même mot de passe. Une fois root, un ensemble de scripts permet d’exploiter le WAB au quotidien.
6.2. Vérifier l’intégrité de votre système WAB Un petit programme (téléchargeable depuis le site web de Wallix, dans zone dédiée aux clients WAB enregistrés) permet de vérifier l’intégrité de votre système WAB. L’emplacement de ce fichier est : https://updates.wallix.com/beta/systemcheck12345.sh
où 12345 représente le numéro de build du WAB.
Note : Pour connaître le numéro de build de votre WAB, vous pouvez lancer la commande suivante : wab2:~$ WABVersion Wallix AdminBastion v4.1 build 12345 (wab2-4.1.0-wallix1)
Téléchargez la version correspondant au numéro build de votre WAB et transférez le fichier du programme sur celui-ci. Pour lancer la vérification d’intégrité, tapez alors la commande suivante en changeant 12345 par le numéro de build de votre WAB : wab2:~$ ./systemcheck12345.sh
Un diagnostique s’affichera en cas de problème.
82
Wallix AdminBastion 4.1 - Guide d’Administration
6.3. Export des données d’audit Les données d’audit (voir Section 3.5.3, « Historique des connexions ») peuvent être exportées à l’aide du script WABSessionLogExport wab2:~# /opt/wab/bin/WABSessionLogExport -h Usage: WABSessionLogExport [options] Options: -h, --help show this help message and exit -s START_DATE, --start_date=START_DATE Should be like this: YYYY-MM-DD -e END_DATE, --end_date=END_DATE Should be like this: YYYY-MM-DD -p, --nopurge do not remove traces -a, --noarchive do not create archive file
Cette commande permet de créer un fichier zip, sauvegardé dans /var/wab/recorded/export_sessions, et contenant pour la période définie : • l’ensemble des sessions SSH et RDP • un fichier, au format CSV, contenant l’export des données visualisées dans l’historique des connexions
6.4. Sauvegarder/Restaurer en ligne de commande Il est possible d’effectuer les actions de sauvegarde et de restauration (voir Section 3.14, « Sauvegarder/Restaurer ») à l’aide des scripts wallix-config-backup.py et wallix-config-restore-.py wab2:~# /usr/bin/wallix-config-backup.py -h Usage: wallix-config-backup.py [options] Options: -h, --help show this help message and exit -d DIRECTORY, --directory=DIRECTORY Directory where you want to store your backup. -s, --sdcard Set this option to store the Backup in the sdcard. -a, --aes Set this option force use of AES256 instead of Gpg symmetric cipher. -b, --blowfish Set this option force use of Blowfish instead of Gpg symmetric cipher.
DIRECTORY est le chemin du répertoire dans lequel sera créé le fichier de sauvegarde. L’option -s peut être utilisée pour créer une copie sur un support externe (sdcard ou clé USB). Les options -a et -b ne doivent normalement pas être utilisées. Sans ces options le fichier est chiffré avec gpg. wab2:~# /usr/bin/wallix-config-restore.py -h Usage: wallix-config-restore.py [options] Options: -h, --help show this help message and exit -f FILENAME, --file=FILENAME
83
Wallix AdminBastion 4.1 - Guide d’Administration
-s, --sdcard -a, --aes -b, --blowfish
Provide full path of Backup file (.wbk). Enter in interactive mode to select file on SDcard. Set this option force use of AES256 instead of Gpg symmetric cipher. Set this option force use of Blowfish instead of Gpg symmetric cipher.
FILENAME est le chemin du fichier de sauvegarde. L’option -s peut être utilisée pour restaurer depuis le support externe (sdcard ou clé USB). Les options -a et -b ne doivent normalement pas être utilisées. Sans ces options le fichier est déchiffré avec gpg. Après restauration de la configuration par wallix-config-restore.py, il est nécessaire de redémarrer les services du WAB avec la commande : wab2:~# /etc/init.d/wabsystemconfiguration restart; /etc/init.d/wabengine restart; /etc/init.d/wabcore restart; /etc/init.d/wabgui restart; /etc/init.d/wabwebservice restart
6.5. Configuration de la sauvegarde automatique Le WAB effectue une sauvegarde automatique configurée dans une tâche cron. Par défaut celle-ci est effectuée tous les jours à 18h50 et les fichiers sont stockés dans le répertoire /var/wab/backups Vous pouvez changer l’heure et la fréquence de sauvegarde dans le fichier /etc/cron.d/wabcore en modifiant la ligne qui lance la commande WABExcuteBackup. Les champs sont ceux d’une crontab, à savoir MINUTE, HEURE, JOUR_DU_MOIS, MOIS et JOUR_DE_LA_SEMAINE. Les valeurs permises pour chaque champ sont : • • • • •
MINUTE : de 0 à 59 HEURE : de 0 à 23 JOUR_DU_MOIS : de 1 à 31 MOIS : de 1 à 12 JOUR_DE_LA_SEMAINE : de 0 à 7 (0 ou 7 pour le dimanche)
Chaque champ peut aussi prendre pour valeur un astérisque « * » qui correspond à toutes les valeurs possibles. Les listes sont également permises en séparant les valeurs par des virgules et les intervalles en séparant les bornes par un trait d’union, par exemple « 1,2,5-9,12-15,21 ». Vous pouvez changer également modifier le chemin et la valeur de la clé utilisée en éditant le fichier /opt/wab/bin/WABExcuteBackup et en modifiant les valeur DIR et KEY au début du fichier.
6.6. Moteur de droit : contraintes d’exploitation Le moteur de droit livré implique quelques contraintes d’exploitation. Ainsi : • il n’est pas possible de supprimer un groupe d’utilisateurs si des utilisateurs appartiennent à ce groupe • il n’est pas possible de supprimer une authentification si au moins un utilisateur possède cette authentification
84
Wallix AdminBastion 4.1 - Guide d’Administration • il n’est pas possible de supprimer un profil utilisateur si au moins un utilisateur est lié à ce profil • il n’est pas possible de supprimer une plage horaire si un groupe d’utilisateurs est lié à cette plage horaire • il n’est pas possible de supprimer un groupe d’utilisateurs si des autorisations impliquent ce groupe d’utilisateurs • il n’est pas possible de supprimer un équipement si des comptes cibles sont attachés à cet équipement • il n’est pas possible de supprimer des groupes de comptes cibles si le groupe n’est pas vide
6.7. Analyse des flux SSH / Détection de pattern Il est possible, lors de la création/édition des groupes, d’activer/désactiver la détection de "pattern" dans le flux montant SSH (les données analysées sont celles entrées par l’utilisateur). La liste des "pattern" appliqués est la somme de ceux présents dans le groupe d’utilisateurs et le groupe de comptes cibles. L’action liée est la plus restrictive (si l’un des groupes porte l’action « TUER », c’est cette action qui sera choisie). Les actions sont à rentrer sous la forme d’expressions régulières, à raison d’une expression par ligne. Exemple : pour empêcher la suppression de fichiers, les expressions à rentrer sont : unlink\s+.* rm\s+.*
6.8. Scénario de connexion TELNET/RLOGIN Lors de la création d’un équipement cible (voir Section 3.8.1.2, « Édition d’un équipement cible »), il est possible de déclarer un scénario de connexion. Ce scénario permet d’interpréter les ordres envoyés par un shell interactif et d’automatiser la connexion. Il s’agit d’un pseudo langage dont la syntaxe comprend les éléments suivants : • • • • •
SEND : envoi d’une chaîne de caractères EXPECT : s’attend à recevoir une chaîne de caractères au cours des 10 prochaines secondes (?i) : ignore la casse $login : envoi d’un identifiant $password : envoi d’un mot de passe
Ainsi, le scénario suivant (testé sur un switch 3Com Superstack accessible via Telnet) : SEND:\r\n EXPECT:(?i)login: SEND:$login\r\n EXPECT:(?i)Password: SEND:$password\r\n
S’interprète de la manière suivante : • envoi d’un retour chariot • attendre la réception de la chaîne « login » (en ignorant la casse)
85
Wallix AdminBastion 4.1 - Guide d’Administration • envoyer l’identifiant suivi d’un retour chariot • attendre la réception de la chaîne « Password » (en ignorant la casse) • envoyer le mot de passe suivi d’un retour chariot Ce scénario doit aussi fonctionner pour les serveurs Telnet fonctionnant sous Windows. Pour les serveurs Telnet fonctionnant sous Unix ou Linux, utilisez plutôt le scénario suivant: EXPECT:(?i)login: SEND:$login\n EXPECT:(?i)Password: SEND:$password\n
Pour les équipements Rlogin, seul le mot de passe est attendu, ainsi le scénario de connexion suivant est fonctionnel pour une connectivité, en Rlogin, vers un système sous Debian 5.0 lenny : EXPECT:(?i)Password: SEND:$password\n
Note : En règle générale, l’identifiant est déjà fourni pour les connexions Rlogin. Il est nécessaire de le fournir dans le scénario uniquement pour les connexions Telnet.
6.9. Changement d’identification des serveurs cibles Lors de la connexion à un serveur cible par un protocole sécurisé (comme SSH, HTTPS ou dans certaines configurations RDP), le WAB vérifie que le certificat ou la clé qui est présenté au proxy par le serveur correspond bien à celui connu de lui pour ce serveur. Si ce certificat ou cette clé est différent, le proxy du WAB fermera la connexion car il peut s’agir d’une attaque. Il est donc nécessaire d’informer le WAB du changement si celui-ci est légitime.
6.9.1. Changement de la clé du serveur cible SSH L’empreinte de la clé SSH du serveur est accessible dans la page de configuration de l’équipement (voir Section 3.8.1, « Équipements »). Cette valeur peut soit être remplacée directement par l’empreinte de la nouvelle clé si elle est connue, soit être laissée vide pour être automatiquement remplie lors du prochain accès à l’équipement par le proxy SSH.
6.9.2. Changement du certificat TLS du serveur cible RDP Les certificats X509 des cibles sont stockés au format PEM dans le répertoire /var/wab/etc/cert/rdp/. Vous pouvez soit remplacer directement le fichier du certificat de la cible par le nouveau, soit le supprimer pour qu’il soit automatiquement récupéré lors du prochain accès à l’équipement par le proxy RDP.
6.9.3. Changement du certificat SSL du serveur cible HTTPS Les certificats X509 des cibles sont stockés au format PEM dans le répertoire /var/wab/etc/cert/ https/.
86
Wallix AdminBastion 4.1 - Guide d’Administration Vous pouvez soit remplacer directement le fichier du certificat de la cible par le nouveau, soit le supprimer pour qu’il soit automatiquement récupéré lors du prochain accès à l’équipement par le proxy HTTPS.
6.10. Configuration cryptographique des services 6.10.1. Autorisation de SSLv3 avec 3DES Avec les clients anciens qui ne supportent pas TLS avec chiffrement AES, comme par exemple le navigateur Internet Explorer 8 sous Windows XP, il peut être nécessaire d’autoriser le protocole SSLv3 avec chiffrement 3DES pour permettre les connexions. Nous vous conseillons néanmoins plutôt d’utiliser un client moderne, comme les navigateurs Firefox ou Chrome, pour permettre de conserver un niveau de sécurité satisfaisant.
Avertissement : Cette procédure va baisser le niveau de sécurité des services du WAB. En effet 3DES est un algorithme cryptographique obsolète. • Pour modifier les réglages du serveur Web GUI, éditer le fichier /etc/apache2/sites-enabled/httpd.conf.squeeze
et y décommenter les lignes suivantes : SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:-MEDIUM
Commenter toutes les autres lignes portant les mêmes clés ou la clé • Pour modifier les réglage du proxy HTTPS, éditer le fichier
SSLHonorCipherOrder.
/etc/opt/wab/http/http.conf
et y décommenter les lignes suivantes : sslprotocol=-ALL +SSLv3 +TLSv1 cipher_list=ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:-MEDIUM
Commenter toutes les autres lignes portant les mêmes clés. • Pour modifier les réglages du Web service SOAP, éditer le fichier /var/wab/etc/wabwebservice.conf
et y décommenter les lignes suivantes : ssl_protocols="-ALL +SSLv3 +TLSv1" cipher_suites="ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:-MEDIUM"
Commenter toutes les autres lignes portant les mêmes clés.
6.10.2. Protection contre BEAST La configuration par défaut du serveur web du WAB autorise les protocoles SSLv3 et TLSv1.0 qui sont vulnérables à l’attaque BEAST. La procédure suivante permet de sécuriser le WAB contre cette attaque.
87
Wallix AdminBastion 4.1 - Guide d’Administration
Avertissement : Cette procédure va interdire certains protocoles et algorithmes cryptographiques faibles au profit d’autre plus sûrs mais qui ne sont supportés que par les clients les plus récents. Il se peut donc que vous ne puissiez plus vous connecter au serveur si votre client est trop ancien. • Pour modifier les réglages du serveur Web GUI, éditer le fichier /etc/apache2/sites-enabled/httpd.conf.squeeze
et y décommenter les lignes suivantes : SSLProtocol TLSv1.2 SSLHonorCipherOrder On SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!EDH
Commenter toutes les autres lignes portant les mêmes clés. • Pour modifier les réglage du proxy HTTPS, éditer le fichier /etc/opt/wab/http/http.conf
et y décommenter les lignes suivantes : sslprotocol=TLSv1.2 cipher_list=ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!EDH
Commenter toutes les autres lignes portant les mêmes clés. • Pour modifier les réglages du Web service SOAP, éditer le fichier /var/wab/etc/wabwebservice.conf
et y décommenter les lignes suivantes : ssl_protocols="TLSv1.2" cipher_suites="ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!EDH"
Commenter toutes les autres lignes portant les mêmes clés.
6.10.3. Restore default cryptographic settings • Pour modifier les réglages du serveur Web GUI, éditer le fichier /etc/apache2/sites-enabled/httpd.conf.squeeze
et y décommenter les lignes suivantes : SSLProtocol ALL -SSLv2 SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:-3DES:-MEDIUM
Commenter toutes les autres lignes portant les mêmes clés ou la clé • Pour modifier les réglage du proxy HTTPS, éditer le fichier
SSLHonorCipherOrder.
/etc/opt/wab/http/http.conf
et y commenter toutes les lignes portant les clés
88
sslprotocol ou cipher_list.
Wallix AdminBastion 4.1 - Guide d’Administration • Pour modifier les réglages du Web service SOAP, éditer le fichier /var/wab/etc/wabwebservice.conf
et y commenter toutes les lignes portant les clés
ssl_protocols ou cipher_suites.
6.11. Résolution des problèmes courants 6.11.1. Restauration du compte « admin » d’usine Le compte « admin » peut être restauré en exécutant la commande suivante (en root) : wab2:~# WABRestoreDefaultAdmin
6.11.2. Remise à zéro de l’appliance L’appliance peut être remise à zéro en exécutant la commande suivante (en root) : wab2:~# /opt/wab/bin/.tools/WABResetConfig
Note : Cette commande supprime également toutes les données d’audit (enregistrements de sessions, historiques des connexions, etc...).
89
Wallix AdminBastion 4.1 - Guide d’Administration
Chapitre 7. Configuration X509 7.1. Pré-requis Avant de mettre en place l’authentification via X.509, il est nécessaire de disposer : • d’un certificat au format PEM pour le serveur Web du WAB • de la clé privée au format PEM correspondant à ce certificat du serveur • de la clé publique de l’autorité de certification ayant délivré ce certificat du serveur. Il peut s’agir d’un certificat auto-signé ou délivré par une autorité reconnue. Il faut ensuite ouvrir un shell d’administration sur le WAB à l’aide d’un client SSH avec le login « wabadmin » et s’assurer d’avoir accès au port 8082 du WAB.
7.2. Paramétrages X509 7.2.1. Configuration X509 Une fois authentifié sur un shell, il faut prendre les droits « root » : $ sudo -i
Une fois root, exécuter la commande suivante : # WABX509Setup
Note : Votre WAB doit disposer d’une licence valide avec l’option X509 pour que vous puissiez exécuter cette commande. Aller sur l’interface Web du WAB, sur le port 8082 (attention, cette dernière est accessible via HTTPS) : https://adresse_ip_du_wab:8082/
L’interface de configuration X509 apparaît.
Figure 7.1. Outil de configuration X509 Cliquer sur « Start » Les étapes suivantes seront réalisées : • arrêt de l’interface Web du WAB • téléchargement du certificat du CA (contenant sa clé publique) au format PEM
90
Wallix AdminBastion 4.1 - Guide d’Administration • • • •
téléchargement de la clé privé du serveur Web au format PEM téléchargement du certificat du serveur Web (contenant sa clé publique) au format PEM redémarrage de l’interface Web du WAB fin de la configuration et affichage du journal d’apache. Celui-ci ne doit pas contenir de logs « error » • redémarrage de l’interface Web du WAB et redirection sur celle-ci quand vous cliquez sur « Close ». Si la page n’apparaît pas immédiatement, veuillez la rafraîchir une fois.
Note : L’interface Web du WAB est indisponible pendant la durée de ces opérations. Les proxys, eux, ne sont pas impactés.
7.2.2. Configuration X509 avec un WAB en mode Haute Disponibili té Connectez-vous via un shell sur votre WAB « master ». Une fois authentifié sur un shell, il faut prendre les droits « root » : $ sudo -i
Puis exécutez la commande suivante : # WABX509Setup
Note : Votre WAB doit disposer d’une licence valide avec l’option X509 pour que vous puissiez exécuter cette commande. Aller sur l’interface Web du WAB, en utilisant l’adresse IP de votre master, sur le port 8082 (attention, cette dernière est accessible via HTTPS) : https://adresse_ip_du_master:8082/
L’interface de configuration X509 apparaît.
Figure 7.2. Outil de configuration X509 Cliquer sur « Start » Les étapes suivantes seront réalisées : • • • •
arrêt de l’interface Web du WAB téléchargement du certificat du CA (contenant sa clé publique) au format PEM téléchargement de la clé privé du serveur Web au format PEM téléchargement du certificat du serveur Web (contenant sa clé publique) au format PEM
91
Wallix AdminBastion 4.1 - Guide d’Administration • redémarrage de l’interface Web du WAB • fin de la configuration et affichage du journal d’apache. Celui ne doit pas contenir de logs « error » • redémarrage de l’interface Web du WAB et redirection sur celle-ci quand vous cliquez sur « Close ». Si la page n’apparaît pas immédiatement, veuillez la rafraîchir une fois.
Note : L’interface Web et les proxys du WAB sont indisponibles pendant la durée de ces opérations.
7.3. Fonctions d’administration X509
Figure 7.3. Page d’authentification avec lien pour authentification X509 Une fois l’interface Web relancée, la page d’authentification du WAB fait apparaître un nouveau lien permettant de s’authentifier via un certificat SSL. C’est par ce biais que les utilisateurs/administrateurs pourront s’authentifier à l’aide d’un certificat stocké soit directement dans le navigateur, soit dans un token.
7.3.1. Authentification des utilisateurs Pour chaque utilisateur, dans le formulaire d’ajout/édition, un nouveau champ apparaît, nommé « Certificat DN ». Ce champ doit être rempli en fournissant le nom canonique du certificat.
92
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 7.4. Ajout d’un utilisateur, nouveau champ « Certificat DN » Exemple : pour un certificat dont l’empreinte est : CN=Lucas Martin,O=MyCorp,L=PARIS,ST=IDF,C=FR
l’empreinte à rentrer dans le champ est : /C=FR/ST=IDF/L=PARIS/O=MyCorp/CN=Lucas Martin
Ceci permet d’associer l’utilisateur qui doit être « ajouté/édité » à ce certificat. Lorsque l’on utilisera ce certificat, l’utilisateur lié sera authentifié sur le WAB.
Note : Les certificats doivent être signés par la même autorité de certification que celui du serveur Web.
Note : Certains certificats ont un champ « emailAddress » noté, dans l’empreinte du certificat « E =... ». Ce champ doit être remplacé par « /emailAddress =... » dans le champ réservé.
93
Wallix AdminBastion 4.1 - Guide d’Administration
Note : Le jeu de caractères Unicode est supporté dans les empreintes de certificats si le certificat est encodé en UTF-8 selon la RFC2253, sinon seul le jeu de caractères ASCII standard est supporté. La longueur maximale du DN supportée est de 1024 octets (le nombre exact de caractères peut être inférieur selon la longueur de l’encodage UTF-8).
7.3.2. Gestion de la CRL Dans le menu Configuration WAB / Paramètres X509 apparaît une nouvelle entrée permettant de fournir une CRL (liste de révocation).
Figure 7.5. Paramètres X509 : Gestion de la liste de révocation
Note : Une fois la CRL téléchargée, il est nécessaire de redémarrer l’interface Web du WAB via la commande # /etc/init.d/wabgui restart
94
Wallix AdminBastion 4.1 - Guide d’Administration
7.4. Authentification X509 Un utilisateur peut continuer à s’authentifier sur l’interface Web soit par mot de passe, soit par certificat. S’il s’authentifie à l’aide d’un certificat, l’utilisation des proxys se retrouve modifiée et peut être résumée ainsi : • l’utilisateur ouvre sa connexion vers un équipement cible (via son client RDP ou SSH) • le proxy interroge le mode d’authentification de l’utilisateur sur l’interface Web • si l’utilisateur a été authentifié en X509, une confirmation de session est ouverte sur son interface Web • s’il clique sur « ouvrir la session », il est automatiquement authentifié sur l’équipement cible
Note : Dans le cas de la correspondance de compte, il devra entrer son mot de passe sur l’équipement cible.
Figure 7.6. Authentification d’un utilisateur via un certificat SSL
95
Wallix AdminBastion 4.1 - Guide d’Administration
Figure 7.7. Demande de confirmation d’ouverture de session
Note : L’authentification X509 n’est pas disponible pour les transferts SFTP.
7.5. Retrait du mode X509 Le mode X509 peut être retiré en exécutant la commande # WABX509Unset
De nouveaux certificats auto-signés sont alors générés et il n’est plus possible pour les utilisateurs de s’authentifier via leurs certificats.
7.6. Implémentation technique Le support des certificats X509 est réalisé via l’extension mod_ssl d’Apache. Les clés de configuration utilisées sont les suivantes : SSLEngine on SSLOptions +StdEnvVars -ExportCertData
96
Wallix AdminBastion 4.1 - Guide d’Administration SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:-3DES:-MEDIUM SSLCACertificateFile SSLCACertificatePath SSLCertificateFile SSLCertificateKeyFile SSLCARevocationFile SSLVerifyClient optional SSLVerifyDepth 5
97
Wallix AdminBastion 4.1 - Guide d’Administration
Chapitre 8. Chiffrement des données Plusieurs types de données sensibles sont susceptibles d’être stockés dans le WAB. Notamment : • • • •
les informations d’authentifications primaires les informations d’authentifications secondaires les mots de passe d’accès aux services d’authentification les sauvegardes des données du WAB
De plus, les accès aux différents services (HTTP/RDP/SSH) nécessite la mise en place de données cryptographiques permettant de chiffrer le trafic. Voici un tableau récapitulatif des moyens cryptographiques mis en œuvre : Données Mot de passe des utilisateurs locaux Login et mot de passe des comptes cibles Données d’authentification annuaires externes Paramètres SNMP Paramètres d’authentification sur les serveurs de stockage distant Sauvegarde Clé de connexion à l’interface Web Clé de connexion au proxy SSH Connexion au proxy RDP
98
Cryptographie Empreinte SSHA1 Chiffrement symétrique AES 256 Chiffrement symétrique AES 256 Chiffrement symétrique AES 256 Chiffrement symétrique AES 256
Chiffrement symétrique AES 256 Clé RSA 2048 bits + AES 256 Clé RSA 2048 bits + AES 256 Clé RSA 1024 bits + RC4 128 bits
Wallix AdminBastion 4.1 - Guide d’Administration
Chapitre 9. Haute-Disponibilité 9.1. Généralités La fonctionnalité H.A. (« High Availability » ou « Haute Disponibilité ») du WAB 4.1 apporte, par l’intermédiaire d’un cluster bi-appliances de type « failover » (ou « actif/passif »), une continuité du service WAB (accès aux équipements cibles et à la console Web, enregistrement des sessions) en cas d’indisponibilité des services sur l’appliance de production (le « Master »). Cette reprise automatique des services par le second nœud du cluster (le « Slave ») est obtenue par : • le partage d’une adresse IP virtuelle par les deux WAB du cluster, les adresses IP réelles étant inconnues des utilisateurs. • la réplication sur le second nœud du cluster des informations de configuration, des journaux de connexions et des fichiers contenant les enregistrements de sessions ainsi que les fichiers de configuration WAB par le mécanisme de réplication DRBD. • un mécanisme de notification par e-mail avise l’administrateur du WAB en cas de : – bascule du service en mode « dégradé » (le nœud « Slave » a pris le relais) – indisponibilité du nœud « Slave » – détection d’une anomalie (service indisponible...) – synchronisation des disques terminée
9.2. Limitations d’exploitation Le cluster WAB 4.1 H.A de type actif/passif, ne possède pas de fonctionnalité de « load balancing ». Le « Master » et le « Slave » doivent appartenir au même subnet IP et doivent être tous deux configurés en IP statique. La configuration système (en particulier les fichiers /etc/hosts et /etc/network/interfaces) doit être effectuée via l’interface Web ou le script WABHASetup pour éviter toute désynchronisation avec les fichiers de configuration du système de fichiers répliqué. Les deux nœuds du cluster doivent être exactement au même niveau de version et de patch.
9.3. Configuration du cluster 1. Vérifier que les deux appliances sont reliées directement entre elles par un câble croisé branché sur le port RJ45 numéroté « 2 ». 2. Démarrer les deux machines du cluster en commençant indifféremment par l’une ou l’autre. Les appliances livrées sont pré-installées mais la fonctionnalité cluster n’est pas configurée. 3. Prendre l’identité du super-utilisateur via la commande : sudo -i 4. Vérifier que les horloges des deux nœuds du cluster sont bien synchronisées via la commande Linux « date » ou par synchronisation sur un serveur NTP comme expliqué dans la section 5.2.4, « Configuration du service de temps » du Guide de démarrage rapide . 5. Vérifier qu’un serveur SMTP est configuré et fonctionnel en effectuant le test d’envoi de notification comme expliqué dans la section 5.2.5, « Configuration du serveur SMTP » du Guide de Démarrage Rapide .
99
Wallix AdminBastion 4.1 - Guide d’Administration 6. Vérifier que les deux appliances sont configurées en IP statique, que leurs interfaces « eth1 » sont actives et qu’elles ont des noms de machines différents. Si non, utiliser l’interface Web pour effectuer les réglages nécessaires. Noter l’adresse IP de l’interface « eth1 » du « Slave » qui est celle qu’il faudra utiliser pour répondre à la question « Slave IP: » dans la commande WABHASetup ci-dessous. 7. Se connecter directement sur la console de l’appliance définie comme « Master », par l’intermédiaire du compte « wabadmin ». Ne pas utiliser SSH car l'opération risquerait d’être interrompue avant son terme en cas de coupure du réseau. Attention, les données du « Slave » seront irrémédiablement effacées. 8. Exécuter la commande « sudo -i WABHASetup » et suivre les instructions : $ sudo -i WABHASetup Slave IP: HA Virtual IP: HA Virtual netmask: HA Notification mail address: ...
9. Le cluster WAB est maintenant configuré et activé.
9.4. Démarrage du cluster Le cluster est maintenant accessible sur l’adresse IP virtuelle. Seule cette adresse doit être communiquée à vos utilisateurs. Le mail suivant est envoyé à l’adresse indiquée à l’issue de la configuration HA du WAB. Sujet: [WAB] - The WAB HA have been configured This notification sums up your HA configuration. Initial MASTER node: ... Initial SLAVE node: ... HA Virtual ip: ...
9.5. Arrêt/Redémarrage du cluster Pour contrôler le fonctionnement du cluster, l’administrateur peut utiliser les commandes de maintenance ci-dessous. A noter que « start » et « stop » ne s’appliqueront qu’au nœud local. # sudo /etc/init.d/wabha stop # sudo /etc/init.d/wabha start
Avertissement : Pour éviter une bascule involontaire, il recommandé d’arrêter le « Slave » avant le « Master », et de démarrer le « Slave » après le « Master ». Pour vérifier l’état actuel d’un nœud, l’administrateur peut utiliser la commande ci-dessous. # sudo /etc/init.d/wabha status
100
Wallix AdminBastion 4.1 - Guide d’Administration
9.6. Reprise sur une erreur fatale (WAB HA is locked down) Lorsque la HA détecte un dysfonctionnement et qu’elle n’arrive pas à le résoudre automatiquement (en redémarrant le service concerné) alors la procédure de basculement se bloque. Après avoir émis une notification concernant la détection d’une erreur fatale, elle créé le fichier de lock et s’éteint. La présence de ce fichier empêche la HA de démarrer et évite ainsi qu’elle essaye indéfiniment de résoudre le défaut. Après avoir résolu le dysfonctionnement, il vous faut supprimer manuellement ce fichier de lock : affected_node# rm /etc/opt/wab/ha/fatal_error
9.7. Coupures réseau et Split-Brain Si les nœuds sont toujours connectés au réseau mais ne sont plus connectés ensemble (câble réseau débranché entre deux switch, ...), le nœud passif va passer en « Master » (procédure standard le « Master » n’étant plus actif de son point de vue). Nous sommes donc dans une configuration avec deux nœuds « Master » et les données du volume partagé vont commencer à diverger. Lors de la restauration de la connectivité, la couche DRBD du volume partagé va détecter la divergence (appelée Split-Brain) et le cluster ne fonctionnera plus. En effet, les deux machines ayant continué de fonctionner indépendemment, leurs données sont incompatibles et une intervention manuelle est requise. Comme précisé dans la notification, c’est à l’administrateur de résoudre la divergence en sélectionnant le nœud le plus à jour. La notification contient la liste des derniers fichiers modifiés sur les deux WABS. Trois possibilités : 1. L’interruption a été courte et les nœuds n’ont pas été utilisés (pas de sessions créées, pas de comptes ajoutés, ...), alors l’administrateur peut choisir n’importe quel nœud comme étant le « Master » de référence. 2. L’interruption fut courte et/ou un seul des nœuds n’a été vraiment utilisé (symbolisé par la présence de fichiers de sessions et de dates de modifications plus récentes sur un seul des nœuds). L’administrateur doit alors choisir ce nœud comme nouveau « Master » de référence. 3. L’interruption a été complexe et les deux nœuds ont été utilisés en parallèle (cas improbable, lié à un grave dysfonctionnement réseau). L’administrateur doit alors choisir un nœud comme nouveau « Master » de référence (celui avec le plus de modifications à son actif) et sauvegarder les données de l’autre nœud. Enfin, il restera à les importer manuellement dans le nouveau « Master ». Une fois le « Master » de référence choisi, voici la procédure à suivre pour restaurer le cluster : outdated_node# drbdadm secondary wab ref_master# drbdadm primary wab outdated_node# drbdadm invalidate wab outdated_node# drbdadm connect wab ref_master# /etc/init.d/wabha start outdated_node# /etc/init.d/wabha start
101
Wallix AdminBastion 4.1 - Guide d’Administration
9.8. Reconfiguration réseau du cluster Avertissement : Toutes les opérations de maintenance du cluster doivent être réalisées sur le nœud « Master ». Lorsque les WAB sont configurés en mode HA, les changements réseaux comme les adresses IP ne peuvent plus se faire via l’interface Web. Les deux machines ayant leurs disques synchronisés par le réseau, il est nécessaire de se connecter sur le nœud « Master » en ssh et procéder comme suit : # screen -- sudo -i WABHASetup --reconfigure_hosts ...
9.9. Remplacement d’une machine défectueuse Avertissement : Toutes les opérations de maintenance sur le cluster doivent être réalisées sur le nœud « Master » Dans le cas du remplacement d’un nœud, il faut tout d’abord déconnecter le matériel défectueux et démarrer le WAB de remplacement. Il convient ensuite de le configurer avec la même IP statique que le nœud manquant, puis entrer la commande suivante sur le nœud fonctionnel : # WABHASetup --configure_new_slave ...
9.10. Récupération d’un volume défectueux Avertissement : Toutes les opérations de maintenance sur le cluster doivent être réalisées sur le nœud « Master » Dans le cas d’erreur d’intégrité du système de fichier, détectable via les messages du noyau (ie : « File system is now read-only due to the potential of on-disk corruption. Please run fsck.ocfs2 once the file system is unmounted. »), voici la procédure à suivre : 1. Éteindre la HA sur les deux nœuds en commençant par le « Slave » en tapant : sudo -i WABHAInitd --force stop 2. Vérifier que le système de fichier partagé est bien démonté sur les deux nœuds : sudo -i umount /var/wab 3. Désactiver drbd sur le nœud « Slave » : sudo -i drbdadm secondary wab 4. Activer drbd sur le nœud « Master » : sudo -i drbdadm primary wab 5. Exécuter sur le nœud « Master » : sudo -i fsck.ocfs2 -y -f /dev/drbd1 slave_node# WABHAInitd --force stop master_node# WABHAInitd --force stop
102
Wallix AdminBastion 4.1 - Guide d’Administration
9.11. Tests de bon fonctionnement de la Haute-Dispo nibilité Afin de vérifier les différentes reprises sur erreurs gérées par la fonctionnalité HA, voici les tests qu’il est conseillé de réaliser avant de mettre la solution en production. Nous nommerons WabA le nœud actuellement « Master » et WabB le nœud « Slave ».
9.11.1. Basculement du Master vers le « Slave » (logiciel) Action : Éteindre la HA sur le « Master » WabA# /etc/init.d/wabha stop WabA# /etc/init.d/ssh stop
Conséquence : le « Slave » va détecter l’anomalie Notification : [WAB] - WAB HA « Master » WabA error detected by the WabB! (HA_MASTER_FAULT) Reason: Service unreachable on master node! Résultat : le « Slave » prend la main Notification : the [WAB] - WAB HA « Master » WabB is online Résolution complète : relancez la HA sur le « Master » et il deviendra le nouveau « Slave » WabA# /etc/init.d/ssh start WabA# /etc/init.d/wabha start
Notification : The [WAB] - WAB HA « Slave » WabA is online
9.11.2. Basculement du Master vers le Slave (matérielle) Action : éteindre physiquement le « Master » (retrait du câble d’alimentation) Conséquence : le « Slave » va détecter l’anomalie Notification : [WAB] - WAB HA master WabA error detected by the WabB! (HA_MASTER_FAULT) Reason: Host does not respond to ping... Résultat : le « Slave » prend la main Notification : The [WAB] - WAB HA master WabB is online Résolution complète : rallumez le « Master » et il deviendra le nouveau « Slave » Notification : The [WAB] - WAB HA slave WabA is online
9.11.3. Détection d’un défaut sur le Master Action : injection d’un défaut sur le « Master » (i.e. : service ssh désactivé) : WabA# mv /etc/ssh/sshd_config /etc/ssh/sshd_config.tmp WabA# /etc/init.d/ssh stop
Conséquence : Les deux nodes vont détecter le dysfonctionnement (ssh non accessible)
103
Wallix AdminBastion 4.1 - Guide d’Administration Notifications : [WAB] - WAB HA master WabA error detected by WabA Reason: Service ssh isn't responding and we couldn't restart it! Notifications : [WAB] - WAB HA master WabA error detected by WabB Reason: Host respond to ping but ssh service is down, will try to switch to master... Résultat : le « Slave » va prendre la main et le « Master » va se downgrader « Slave » Notification : The [WAB] - WAB HA master WabB is online Notification : The [WAB] - WAB HA slave WabA is online Résolution complète : réparer le défaut afin que le WabA soit à nouveau capable de devenir « Master » WabA# mv /etc/ssh/sshd_config.tmp /etc/ssh/sshd_config WabA# /etc/init.d/ssh start
9.11.4. Détection d’un défaut sur le Slave Action : éteindre physiquement le « Slave » (retrait du câble d’alimentation) Conséquence : le « Master » va détecter le dysfonctionnement Notification : [WAB] - The WAB HA slave WabB isn't connected to master WabA anymore! Master data replication isn't working. Résultat : la réplication des données est interrompue mais le volume est encore fonctionnel (en mode dégradé) Résolution complète : rallumez le « Slave » Notification : [WAB] - The WAB HA slave WabB is online Note : Si le volume de données écrit sur le « Master » dégradé est négligeable, (ex : pas de nouvelle session) la synchronisation est instantanée. Dans le cas contraire, une notification est envoyée. Notification : [WAB] - The WAB HA cluster synchronization completed! Both nodes data are now fully synchronized.
9.11.5. Perte de la connectivité entre les deux nodes Action : déconnecter un des nœuds du réseau ou faire en sorte que les deux WABS ne puissent plus communiquer entre eux. ex : avec iptables : WabA# iptables -A INPUT -s IpWabB -j DROP; iptables -A OUTPUT -d IpWabB -j DROP WabB# iptables -A INPUT -s IpWabA -j DROP; iptables -A OUTPUT -d IpWabA -j DROP
Conséquence : les deux nodes vont détecter le dysfonctionnement. Le master va continuer de fonctionner en mode dégradé. Notification : [WAB] - The WAB HA slave WabB isn't connected to master WabA anymore! Master data replication isn't working. Notification : [WAB] - The WAB HA master WabA error detected by sparewab2.ifr.lan Reason: Host does not respond to ping... Conséquence : le « Slave » va supposer que le master est éteint et il va donc basculer en « Master » et fonctionner en mode dégradé à son tour.
104
Wallix AdminBastion 4.1 - Guide d’Administration Notification : [WAB] - The WAB HA master WabB is online Notification : [WAB] - The WAB HA slave WabA isn't connected to master WabB anymore! Master data replication isn't working. Résultat : le volume partagé va diverger entre les deux nodes. Le cas le plus probable est qu’un des nœud ne soit plus sur le réseau, dans ce cas la résolution est triviale : Reconnecter les deux wab ou si vous avez utilisé iptables : WabA# iptables -F WabB# iptables -F
Notification : [WAB] - The WAB HA disks diverged (split brain detected) The WAB HA drbd shared volume is now disconnected. Both peers had lost connexion to each other and both switched to master... Now data couldn't be synced cleanly, you'll have to manually discard one node changes. Once you figure out which node is really out of date, you'll have to type on a root shell: failing_node # drbdadm secondary wab recent_node # drbdadm primary wab failing_node # drbdadm invalidate wab failing_node # drbdadm connect wab recent_node # /etc/init.d/wabha start failing_node # /etc/ init.d/wabha start Résolution complète : procéder comme indiqué dans le mail : WabB# WabA# WabB# WabB# WabA# WabB#
drbdadm secondary wab drbdadm primary wab drbdadm invalidate wab drbdadm connect wab /etc/init.d/wabha start /etc/init.d/wabha start
Notification : [WAB] - The WAB HA master WabA is online Notification : [WAB] - The WAB HA slave WabB is online
105
Wallix AdminBastion 4.1 - Guide d’Administration
Chapitre 10. Console d’administration 10.1. Généralités WAB V4.1 fournit une console d’administration de type « lignes de commande » permettant de gérer les équipements, leurs comptes cibles associés et les utilisateurs du WAB mais aussi d’établir des sessions SSH et de visionner des enregistrements. On accède à la console en se connectant au WAB à l’aide d’un client ssh de la façon suivante : $ ssh -t [email protected] console [email protected] password: wab> help
Le jeu de commandes accessibles dépend du profil de l’utilisateur et de l’interface par laquelle il se connecte (voir Section 3.13.9.1, « Affectation des services »). S’ils se connectent depuis une interface d’administration, les utilisateurs disposant d’un profil permettant l’administration via la console auront accès à l’ensemble des commandes qui ne sont pas marquée par une lettre entre parenthèses dans la suite de ce chapitre. Tous les utilisateurs qui se connectent sur une interface utilisateur et auditeur disposeront des commandes marquées par un « (u) ». S’ils disposent d’un profile de type auditeur ils auront aussi accès aux commandes marquées par un « (a) » et s’ils disposent des droits de connexion aux ressources ils auront aussi accès aux commandes marquées par un « (d) ». Pour obtenir la liste des commandes, il suffit de taper
help à
l’invite de la console.
Chaque commande dispose d’une aide en tapant soit
help commande,
soit commande
-h.
Un mécanisme de complétion automatique, activé par la touche , offre une aide à la saisie des commandes.
10.2. Liste des commandes La liste des commandes disponibles est la suivante.
10.2.1. Commandes d’ajout (préfixe « add_ ») • • • • • • • • • • • • •
add_account add_acl add_authentication add_habilitation_rights add_notification add_target add_target_group add_target_in_target_group add_timeframe add_timeframe_in_user_group add_timeframe_period add_user add_user_group
106
Wallix AdminBastion 4.1 - Guide d’Administration • add_user_in_user_group
10.2.2. Commandes de modification (préfixe « change_ ») • change_password (u) • change_user_password
10.2.3. Commandes de suppression (préfixe « del_ ») • • • • • • • • • • • • • •
del_acl del_authentication del_current_connection (a) del_habilitation_rights del_notification del_target del_target_group del_target_in_target_group del_timeframe del_timeframe_in_user_group del_timeframe_period del_user del_user_group del_user_in_user_group
10.2.4. Commandes de consultation (préfixe « list_ ») • • • • • • • • • • • • • • • • •
list_acl list_authentication list_current_connections (a) list_dev_protocol list_device list_device_access (d) list_habilitation_rights list_notification list_notification_type list_protocol list_target list_target_group list_target_in_target_group list_timeframe list_timeframe_period list_user list_user_from_group
107
Wallix AdminBastion 4.1 - Guide d’Administration • list_user_group
10.2.5. Autres commandes • import_ldap_users • user_rights • watch_session (a)
10.2.6. Changements depuis la version 3.0 Si vous voulez utiliser un script écrit pour une version 3.0 ou précédente avec votre WAB 4.1, vous devrez d’abord corriger ce script pour tenir compte des changements introduits par les versions 3.1 et 4.0. Suite à l’introduction des services, certaines commandes ont en effet été remplacées et la syntaxe des certaines autres commandes a également pu être modifiée. Les commandes suivantes ont été remplacées par add_target : • add_device • add_dev_protocol • add_dev_auth Les commandes suivantes ont été remplacées par del_target : • del_device • del_dev_protocol • del_dev_auth La commande suivante a été remplacée par list_target : • list_dev_auth La commande suivante a été remplacée par add_target_in_target_group : • add_dev_auth_in_dev_auth_group La commande suivante a été remplacée par del_target_in_target_group : • del_dev_auth_in_dev_auth_group La commande suivante a été remplacée par list_target_in_target_group : • list_dev_auth_in_dev_auth_group
10.3. Détail des commandes 10.3.1. Commandes d’ajout « add_ » 10.3.1.1. add_account Ajoute un compte sur un équipement existant ou une application existante.
108
Wallix AdminBastion 4.1 - Guide d’Administration Usage : add_account -n [-d -F] [-x ]
-F : active le transfert d’authentification par l’agent SSH wab> add_account -n martin@asterix:SSH_22 -x M@rt!n22 *** Success ***
10.3.1.2. add_acl Autorise l’accès d’un groupe d’utilisateurs à un groupe de comptes cibles pour un protocole donné. Usage : add_acl -g -t -p [-c -r -d ]
-c : autorisation critique -r : activer l’enregistrement des sessions est
les valeurs suivantes : • • • • • • • • • •
une liste séparée par des virgules dont les éléments peuvent prendre
SSH_SHELL_SESSION SSH_X11_SESSION SSH_REMOTE_COMMAND SSH_SCP_UP SSH_SCP_DOWN SFTP_SESSION RDP TELNET RLOGIN VNC
wab> add_acl -g linux-admin -t linux-server -p SSH_SHELL_SESSION,SFTP_SESSION -r *** Success ***
10.3.1.3. add_authentication Ajout d’une procédure d’authentification primaire. Usage: add_authentication -n -t -p -i [-K ] | [-s ] | [-b [[-a] | [ -l w ]]] peut prendre les valeurs suivantes :
• • • •
KERBEROS LDAP LDAP-AD (Active Directory) LDAPS
109
Wallix AdminBastion 4.1 - Guide d’Administration • LDAPS-AD (Active Directory en LDAPS) • RADIUS -a : accès anonyme wab> add_authentication -t LDAPS -n MyLdaps -b "ou=Users,dc=mycorp,dc=lan" -i ldaps.mycorp.lan -p 636 -a *** Success ***
10.3.1.4. add_habilitation_rights Ajout d’un profil utilisateur. Usage : add_habilitation_rights -n -l [-d ] se
• • • • • • • • • • • •
rapporte aux valeurs suivantes ou la somme de plusieurs d’entre elles :
1 : se connecter aux comptes cibles 2 : consulter les enregistrements de session 4 : consulter les utilisateurs 8 : gérer les utilisateurs 16 : consulter les équipements 32 : gérer les équipements 64 : consulter les autorisations 128 : gérer les autorisations 256 : consulter la configuration 512 : gérer la configuration 1024 : sauvegarder/restaurer la configuration 2048 : administrer l’appliance
wab> add_habilitation_rights -n full_system_admin -l 3072 -d "Sauvegarder/restaurer la configuration et administrer l’appliance" *** Success ***
10.3.1.5. add_notification Ajout d’une notification. Usage : add_notification -n -v -r [-e -d ]
-v : liste des événements séparés par des virgules déclenchant la notification. Les valeurs acceptées sont retournées par la commande list_notification_type . -e : active la notification wab> add_notification -n sec_conn_failures -d "Notification des échecs de connexion secondaire" -r [email protected] -v "Secondary connection failure" *** Success ***
10.3.1.6. add_target Ajout d’une cible.
110
Wallix AdminBastion 4.1 - Guide d’Administration Usage : add_target -n [-d -f -P [-a [-D
-i -H ] -S -p ] -F] -x
-F : active le transfert d’authentification par l’agent SSH wab> add_target -n martin@asterix:SSH_22 -i 192.168.0.10 -d RHEL5 -H asterix.mycorp.lan -P SSH -S SSH_SHELL_SESSION,SSH_REMOTE_COMMAND -p 22 -x M@rt!n22 *** Success ***
10.3.1.7. add_target_group Création d’un groupe de comptes cibles. Usage : add_target_group -n [-d ] wab> add_target_group -n linux-server -d "Linux servers group" *** Success ***
10.3.1.8. add_target_in_target_group Ajout d’un compte cible à un groupe de comptes cibles. Usage : add_target_in_target_group -g -n wab> add_target_in_target_group -g linux-server -n root@asterix:SSH_22 *** Success ***
10.3.1.9. add_timeframe Ajout d’une plage horaire. Usage : add_timeframe -n [-d -o]
-o : Désactive la déconnexion automatique. wab> add_timeframe -n presta -d "Plage horaire prestataires externes" *** Success ***
10.3.1.10. add_timeframe_in_user_group Ajout d’une plage horaire à un groupe d’utilisateurs. Usage : add_timeframe_in_user_group -t -g wab> add_timeframe_to_user_group -t presta -g groupe_des_prestas *** Success ***
10.3.1.11. add_timeframe_period Ajout d’une période à une plage horaire. Usage : add_timeframe_period -t
111
Wallix AdminBastion 4.1 - Guide d’Administration -s -e -x -y -w
-s et -e sont des dates sous forme AAAA-MM-JJ -x et -y sont des heures sous forme HH:MM -w est un masque de jours de semaine sous forme YYYYYNN où « Y » représente un jour autorisé et « N » ou jour interdit. wab> add_timeframe_period -t presta -s 2010-06-01 -e 2010-06-30 -x 14:00 -y 19:00 -w YYYYYNN *** Success ***
10.3.1.12. add_user Création d’un utilisateur. Usage : add_user -n -m [-r -k -i
-a -l -s -p -g -f]
-s : la langue affichée à l’utilisateur : « en » (par défaut) ou « fr ». -a : nom de la procédure d’authentification à associer à l’utilisateur, « local » si authentification WAB. -l : nom du profil à associer à l’utilisateur. -k : clé publique de l’utilisateur pour les connexions SSH. -g : liste de groupes séparés par des virgules -i : adresse IP source restrictive -f : force l’utilisateur à changer son mot de passe wab> add_user -n martin -r "Pierre Martin" -m [email protected] -p jk_Uyz5=36 -l user -a local -g linux-admin -i 192.168.10.35 *** Success ***
10.3.1.13. add_user_group Création d’un groupe d’utilisateurs. Usage : add_user_group -n [-t -d ] wab> add_user_group -n linux-admin -d "Administrateurs Linux" -t allthetime *** Success ***
10.3.1.14. add_user_in_user_group Ajout d’un utilisateur dans un groupe d’utilisateurs.
112
Wallix AdminBastion 4.1 - Guide d’Administration Usage : add_user_in_user_group -u -g wab> add_user_in_user_group -u martin -g linux-admin *** Success ***
10.3.2. Commandes de modification « change_ » 10.3.2.1. change_password (u) Change le mot de passe de l’utilisateur courant. Usage : change_password wab> change_password Old Password : New Password : New Password (for verification) : *** Success ***
Pour des raisons de confidentialité, les caractères entrés au clavier ne s’affichent pas.
Note : Il est impossible de changer le mot de passe du compte « admin » avec cette commande.
10.3.2.2. change_user_password Change le mot de passe d’un utilisateur. Usage : change_user_password -u [-p ] wab> change_user_password -u martin New Password: New Password (again): *** Success ***
Pour des raisons de confidentialité, les caractères entrés au clavier ne s’affichent pas.
10.3.3. Commandes de suppression « del_ » 10.3.3.1. del_acl Suppression d’une autorisation d’accès d’un groupe d’utilisateurs. Usage : del_acl -g -t wab> del_acl -g linux-admin -t linux-server *** Success ***
10.3.3.2. del_authentication Suppression d’une procédure d’authentification. Usage : del_authentication -n
113
Wallix AdminBastion 4.1 - Guide d’Administration wab> del_authentication -n MyLdaps *** Success ***
10.3.3.3. del_current_connection (a) Suppression d’une connexion active. Cette commande provoque la déconnexion de l’utilisateur avec un message l’informant que la connexion a été interrompue. Usage : del_current_connection -i wab> del_current_connection -i 1453 *** Success ***
10.3.3.4. del_habilitation_rights Suppression d’un profil. Usage : del_habilitation_rights -n wab> del_habilitation_rights -n full_system_admin *** Success ***
10.3.3.5. del_notification Suppression d’une notification. Usage : del_notification -n wab> del_notification -n sec_conn_failures *** Success ***
10.3.3.6. del_target Suppression d’un compte cible d’un service d’un équipement. Usage : del_target -n wab> del_target -n root@asterix:SSH_22 *** Success ***
10.3.3.7. del_target_group Suppression d’un groupe de comptes cibles. Usage : del_target_group -n wab> del_target_group -n linux-server *** Success ***
10.3.3.8. del_target_in_target_group Suppression d’un compte cible d’un groupe de comptes cibles. Usage : del_target_in_target_group -g -n wab> del_target_in_target_group -g linux-server -n root@asterix:SSH_22
114
Wallix AdminBastion 4.1 - Guide d’Administration *** Success ***
10.3.3.9. del_timeframe Suppression d’une plage horaire. La plage ne doit être attachée à aucun groupe d’utilisateurs. Usage : del_timeframe -n wab> del_timeframe -n presta *** Success ***
10.3.3.10. del_timeframe_in_user_group Suppression d’une plage horaire d’un groupe d’utilisateurs. Usage : del_timeframe_in_user_group -t -g wab> del_timeframe_in_user_group -t presta -g groupe_des_prestas *** Success ***
10.3.3.11. del_timeframe_period Suppression d’une période d’une plage horaire. La période est désignée par son « id » que l’on obtient par la commande list_timeframe_period . Usage : del_timeframe_period -i -t wab> del_timeframe_period -i 1 -t presta *** Success ***
10.3.3.12. del_user Suppression d’un utilisateur. Usage : del_user -n wab> del_user -n martin *** Success ***
10.3.3.13. del_user_group Suppression d’un groupe d’utilisateurs. Usage : del_user_group -n wab> del_user_group -n groupe_des_prestas *** Success ***
10.3.3.14. del_user_in_user_group Suppression d’un utilisateur d’un groupe d’utilisateurs. Usage : del_user_in_user_group -u -g wab> del_user_in_user_group -u martin -g linux-admin *** Success ***
115
Wallix AdminBastion 4.1 - Guide d’Administration
10.3.4. Commandes de consultation « list_ » 10.3.4.1. list_acl Liste les protocoles autorisés pour chaque groupe d’utilisateurs. Usage : list_acl wab> list_acl Users group : linux-admin ------------------------------------------------------------------------------ linux-server SSH_SHELL_SESSION,SSH_REMOTE_COMMAND,SSH_SCP_UP,SSH_SCP_DOWN, SSH_X11_SESSION,SFTP_SESSION,TELNET Users group : windows-admin ------------------------------------------------------------------------------windows-server - RDP *** Success ***
10.3.4.2. list_authentication Liste des procédures d’authentification utilisateurs Usage : list_authentication wab> list_authentication Name | Type | Host | Port | Base | Kerber... | Anonymous | Login -------------------------------------------------------------------------------local | 0 | localhost | 389 | ou=WAB... | None | TRUE | ldap-corp | 1 | ldap.i... | 389 | ou=Peo... | | TRUE | -------------------------------------------------------------------------------*** Success ***
10.3.4.3. list_current_connections (a) Liste les connexions courantes Usage : list_current_connections wab> list_current_connections Id | User Name | Target | Started | Src Protocol | Dst Protocol -------------------------------------------------------------------------------1453 | admin@myh.... | admin@WAB | 1342195736.24 | SSH | WABConsole -------------------------------------------------------------------------------*** Success ***
10.3.4.4. list_dev_protocol Liste des protocoles par équipement. Usage : list_dev_protocol wab> list_dev_protocol asterix ------------------------------------------------------------------------------* SSH_SHELL_SESSION / 22 * SSH_REMOTE_COMMAND / 22
116
Wallix AdminBastion 4.1 - Guide d’Administration * * * * *
SSH_SCP_UP / 22 SSH_SCP_DOWN / 22 SSH_X11_SESSION / 22 SFTP_SESSION / 22 TELNET / 22
obelix ------------------------------------------------------------------------------* SSH_SHELL_SESSION / 22 win2003 ------------------------------------------------------------------------------* RDP / 3389 *** Success ***
10.3.4.5. list_device Liste des équipements et de leurs caractéristiques. Usage : list_device wab> list_device Name | IP | Alias | Description | SSH Fingerprint -------------------------------------------------------------------------------asterix | 192.168.0.10 | | Intranet server | None obelix | 192.168.0.11 | | | 54:ca:e9:f1:... win2003 | exchange.mycor... | | Mail Server | None -------------------------------------------------------------------------------*** Success ***
10.3.4.6. list_device_access (d) Liste des comptes cibles et des plage horaires autorisées pour l’utilisateur courant. Usage : list_device_access wab> list_device_access wabadmin@obelix from 00:00 to 23:59 root@asterix from 00:00 to 23:59 administrateur@win2003 from 00:00 to 23:59 *** Success ***
10.3.4.7. list_habilitation_rights Liste des profils utilisateurs. Pour les valeurs de la colonne « Flag », voir la commande add_habilitation_rights . Usage : list_habilitation_rights wab> list_habilitation_rights Name | Flag -------------------------------------------------------------------------------user | 1 auditor | 2 WAB_administrator | 26623 system_administrator | 2048
117
Wallix AdminBastion 4.1 - Guide d’Administration disabled | 0 full_system_admin | 28671 -------------------------------------------------------------------------------*** Success ***
10.3.4.8. list_notification Liste des notifications définies. Usage : list_notification wab> list_notification Name | Description | Recipients -------------------------------------------------------------------------------critical_cnx | Echecs de connexions secondaires | [email protected] raid_failures | Panne disque dur | [email protected] -------------------------------------------------------------------------------*** Success ***
10.3.4.9. list_notification_type Liste des types de notifications disponibles. Usage : list_notification_type wab> list_notification_type WAB authentication failure Critical device account connection New SSH key fingerprint saved Bad SSH key fingerprint detected HA error RAID error Secondary connection failure Integrity Error Password expired Pattern(s) matched in RDP flow Pattern(s) matched in SSH flow No available space on external storage No space to record session Ask password target device License warning Daily reporting *** Success ***
10.3.4.10. list_protocol Liste des protocoles disponibles. Usage : list_protocol wab> list_protocol SSH RDP VNC HTTP HTTPS RLOGIN
118
Wallix AdminBastion 4.1 - Guide d’Administration TELNET *** Success ***
10.3.4.11. list_target Liste des comptes cibles définis. Usage : list_target wab> list_target Name | Login | Device | Service | -------------------------------------------------------------------------------root@asterix:SSH_22 | root | asterix | SSH_22 | wabadmin@obelix:SSH_2242 | wabadmin | obelix | SSH_2242 | administrateur@win2003:RD... | administrateur | win2003 | RDP_3389 | -------------------------------------------------------------------------------*** Success ***
10.3.4.12. list_target_group Liste des groupes de comptes cibles et de leurs caractéristiques. Usage : list_target_group wab> list_target_group Name | Description | ------------------------------------------------------------------------------linux-server | | windows-server | | ------------------------------------------------------------------------------*** Success ***
10.3.4.13. list_target_in_target_group Liste des comptes d’un groupe de comptes cibles. Usage : list_target_in_target_group -g wab> list_target_in_target_group windows-server ------------------------------------------------------------------------------administrateur@win2003 *** Success ***
10.3.4.14. list_timeframe Liste des plages horaires définies. Les périodes composant la plage horaire ne sont pas affichées. Il faut pour cela utiliser la commande list_timeframe_period . Usage : list_timeframe wab> list_timeframe Name | Description | Attached Period -------------------------------------------------------------------------------allthetime | | YES presta | | YES
119
Wallix AdminBastion 4.1 - Guide d’Administration -------------------------------------------------------------------------------*** Success ***
10.3.4.15. list_timeframe_period Liste des plages horaires définies et de leurs périodes. L’ID d’une période est nécessaire à la commande del_timeframe_period . Usage : list_timeframe_period wab> list_timeframe_period allthetime -------------------------------------------------------------------------------ID | Start Date | End Date | Start Time | End Time | Week Mask -------------------------------------------------------------------------------1 | 2010-01-01 | 2099-12-30 | 00:00 | 23:59 | YYYYYYY ------------------------------------------------------------------------------- presta -------------------------------------------------------------------------------ID | Start Date | End Date | Start Time | End Time | Week Mask -------------------------------------------------------------------------------1 | 2010-06-01 | 2010-06-30 | 14:00 | 19:00 | YYYYYNN -------------------------------------------------------------------------------*** Success ***
10.3.4.16. list_user Liste des utilisateurs du WAB. Usage : list_user wab> list_user Name | Real Name | Authentication | Profile | Groups ------------------------------------------------------------------------------robert | Jacques Robert | local | user | linux-admin, w... | martin | Pierre Martin | local | user | linux-admin, w... | ------------------------------------------------------------------------------*** Success ***
10.3.4.17. list_user_from_group Liste des utilisateurs d’un groupe d’utilisateurs. Usage : list_user_from_group -g wab> list_user_from_group -g windows-admin Name | Real Name | Authentication | Profile | Groups ------------------------------------------------------------------------------robert | Jacques Robert| local | user | windows-admin, l... | martin | Pierre Martin | local | user | linux-admin, w... | ------------------------------------------------------------------------------*** Success ***
10.3.4.18. list_user_group Liste des groupes d’utilisateurs.
120
Wallix AdminBastion 4.1 - Guide d’Administration Usage : list_user_group wab> list_user_group Name | Description | Timeframes ------------------------------------------------------------------------------linux-admin | Administrateurs Linux | allthetime windows-admin | Administrateurs Windows | allthetime groupe-des-prestas | Prestataires externes | presta ------------------------------------------------------------------------------*** Success ***
10.3.5. Autres commandes 10.3.5.1. import_ldap_users Importe des utilisateurs depuis un annuaire LDAP. Usage : import_ldap_users -H -p -b -a -g -t -l [-D -w -c -A -e]
-c : mode test, aucune importation n’est réalisée. -A : importe l’intégralité de l’annuaire. -e : mode mise à jour, les utilisateurs existants sont mis à jour. wab> import_ldap_users -H ldaps.mycorp.lan -p 636 -b "ou=linuxadm,dc=mycorp,dc=lan" -a uid -g linux-admins -t MyLdaps -l user *** Success ***
10.3.5.2. user_rights Liste les comptes cibles autorisés pour un ou tous les utilisateurs. Usage : user_rights [-u ] wab> user_rights -u martin User Name: martin ------------------------------------------------------------------------------wabadmin@obelix:SSH_22 (SSH_SHELL_SESSION,SSH_REMOTE_COMMAND,SSH_SCP_UP,SSH_...) root@asterix:SSH_22 (SSH_SHELL_SESSION,SSH_REMOTE_COMMAND,SSH_SCP_UP,SSH_SCP...) administrateur@win2003:RDP_3389 (RDP) *** Success ***
10.3.5.3. watch_session (a) Visionnage d’enregistrements de sessions Shell Usage : watch_session [-u -d
121
Wallix AdminBastion 4.1 - Guide d’Administration -i -p -s ]
-i : numéro de la session à visionner -p : nom du fichier correspondant à l’enregistrement à visionner -s : règle la vitesse d’affichage Cette commande permet de : • lister tous les enregistrements de sessions disponibles. • lister seulement certains enregistrements grâce aux filtres -u et -d • lancer le visionnage d’un enregistrement en le désignant par le fichier correspondant (option -p ) ou par son numéro de session (option -i ). Exemples : watch_session : liste tous les enregistrements disponibles. wab> watch_session ID | Start Time | Duration | Wab User | IP Source | Destination -------------------------------------------------------------------------------29 | 2010-05-27 13:31:00 | 0:03:14 | robert | 127.0.0.1 | root@asterix 28 | 2010-05-27 11:58:11 | 0:00:06 | martin | 127.0.0.1 | root@asterix 27 | 2010-05-27 11:57:57 | 0:00:05 | martin | 127.0.0.1 | wabadmin@obelix *** Success ***
watch_session -d *@asterix : liste les enregistrements associés à l’équipement « asterix ». wab> watch_session -d *@asterix ID | Start Time | Duration | Wab User | IP Source | Destination -------------------------------------------------------------------------------29 | 2010-05-27 13:31:00 | 0:03:14 | robert | 127.0.0.1 | root@asterix 28 | 2010-05-27 11:58:11 | 0:00:06 | martin | 127.0.0.1 | root@asterix *** Success ***
watch_session -u martin : liste les enregistrements associés à l’utilisateur « martin ». wab> watch_session -u martin ID | Start Time | Duration | Wab User | IP Source | Destination -------------------------------------------------------------------------------28 | 2010-05-27 11:58:11 | 0:00:06 | martin | 127.0.0.1 | root@asterix 27 | 2010-05-27 11:57:57 | 0:00:05 | martin | 127.0.0.1 | wabadmin@obelix *** Success ***
Note : Plus la valeur du paramètre « speed » est élevée, plus l’affichage est lent.
10.3.6. Exemple d’utilisation de la console Voici une découverte rapide de ces commandes à travers un exemple concret d’utilisation. Nous disposons de cinq machines : • 2 machines Windows nommées « winxp » et « win2008 »
122
Wallix AdminBastion 4.1 - Guide d’Administration • 2 machines Unix nommées «jupiter» et «saturne» • 1 machine Linux nommée «asterix» Voici la liste des comptes disponibles pour l’ensemble de ces machines : winxp
administrateur
win2008 jupiter
sam administrateur root
saturne
oracle root eddy db2 root
asterix Et les protocoles disponibles : • • • •
win2008 est accessible en RDP et Telnet winxp est accessible en RDP saturne est accessible en rlogin jupiter et asterix sont accessibles en SSH
Les équipements et les services sont créées implicitement grâce à la commande add_target qui sert à ajouter les comptes cibles : wab> add_target -n administrateur@winxp:RDP_3389 -i 192.168.0.15 -d "Windows XP Salle 1" -P RDP -S RDP -p 3389 -x "45_=%%iop/AAzP" -D "Compte admin" *** Success *** wab> add_target -n root@asterix:SSH_22 -i 192.168.0.10 -d "Serveur Linux" -P SSH -S SSH_SHELL_SESSION -p 22 -x "A9%!I_mEA?zQ" -D "Compte root" *** Success *** wab> ... wab> list_device Name |IP |Alias |Description |SSH Fingerprint ------------------------------------------------------------------------------asterix |192.168.0.10 | |Serveur Linux | jupiter |192.168.0.12 | |Serveur Solaris | saturne |192.168.0.13 | |Serveur AIX | win2008 |192.168.0.14 | |Serveur Windows 2008| winxp |192.168.0.15 | |Windows XP Salle 1 | wab> list_target Name | Login | Device | Service -----------------------------------------------------------------------------root@asterix:SSH_22 | root | asterix | SSH_22 oracle@jupiter:SSH_22 | oracle | jupiter | SSH_22 root@jupiter:SSH_22 | root | jupiter | SSH_22 db2@saturne:RLOGIN_513 | db2 | saturne | RLOGIN_513 eddy@saturne:RLOGIN_513 | eddy | saturne | RLOGIN_513 root@saturne:RLOGIN_513 | root | saturne | RLOGIN_513 administrateur@win2008:RD... | administrateur | win2008 | RDP_3389
123
Wallix AdminBastion 4.1 - Guide d’Administration administrateur@win2008:TE... | administrateur | win2008 administrateur@winxp:RDP_... | administrateur | winxp sam@winxp:RDP_3389 | sam | winxp
| TELNET_23 | RDP_3389 | RDP_3389
Il est ensuite nécessaire de placer les comptes cibles dans des groupes de comptes cibles. Les comptes cibles disponibles sur les équipements correspondent aux attributions suivantes : • administrateur système • administrateur base de données • utilisateur D’où la nécessité de créer trois groupes de comptes cibles : • sys_admin : administrateur@winxp:RDP_3389, administrateur@win2008:RDP_3389, administrateur@win2008:TELNET_23, root@jupiter:SSH_22, root@saturne:RLOGIN_513, root@asterix:SSH_22 • db_admin : oracle@jupiter:SSH_22, db2@saturne:RLOGIN_513 • user : sam@winxp:RDP_3389, eddy@saturne:RLOGIN_513 Ces groupes de comptes cibles sont créés à l’aide de la commande add_target_group : wab> add_target_group -n sys_admin -d "Administrateurs systèmes" wab> add_target_group -n db_admin -d "Administrateurs BdD" wab> add_target_group -n user -d "Utilisateurs"
On ajoute ensuite chaque compte cible aux groupes à l’aide de la commande add_target_in_target_group : wab> wab> wab> wab> wab> wab> wab> wab> wab> wab>
add_target_in_target_group add_target_in_target_group add_target_in_target_group add_target_in_target_group add_target_in_target_group add_target_in_target_group add_target_in_target_group add_target_in_target_group add_target_in_target_group add_target_in_target_group
-g -g -g -g -g -g -g -g -g -g
sys_admin -n root@jupiter:SSH_22 sys_admin -n root@saturne:RLOGIN_513 sys_admin -n root@asterix:SSH_22 sys_admin -n administrateur@win2008:RDP_3389 sys_admin -n administrateur@win2008:TELNET_23 sys_admin -n administrateur@winxp:RDP_3389 db_admin -n db2@saturne:RLOGIN_513 db_admin -n oracle@jupiter:SSH_22 user -n eddy@saturne:RLOGIN_513 user -n sam@winxp:RDP_3389
Les groupes de comptes cibles sont maintenant créés et les comptes cibles sont disponibles. Côté utilisateurs, on autorise les comptes suivants : • • • •
ace : est le
« super utilisateur », il doit avoir accès à tous les comptes. sbz : doit avoir accès aux comptes permettant d’administrer les bases de données. sam : doit avoir accès au compte « sam » en RDP eddy : doit avoir accès au compte « eddy » sur la machine « jupiter » en SSH
Créons tout d’abord les trois groupes d’utilisateurs correspondant à la politique d’autorisations définie ci-dessus : • user_group • dba_group
124
Wallix AdminBastion 4.1 - Guide d’Administration • admsys_group Les groupes d’utilisateurs sont créés à l’aide de la commande add_user_group : wab> add_user_group -n user_group "Groupe Utilisateurs" -t allthetime wab> add_user_group -n dba_group "Groupe DBA" -t allthetime wab> add_user_group -n admsys_group "Groupe admin systèmes" -t allthetime
Note : Lors de la création d’un groupe, il est nécessaire de lui associer une plage horaire (timeframe). Les plages horaires sont créées avec la commande « add_timeframe ». La plage « allthetime » est la valeur par défaut. Créons et ajoutons ensuite les utilisateurs dans les groupes à l’aide de la commande add_user : wab> wab> wab> wab> wab> wab>
add_user -n sbz -a local -l user -p hjYuuY_45 -g dba_group add_user -n sam -a local -l user -p KK_-++0Zz -g user_group add_user -n eddy -a local -l user -p %%456-z{3 -g user_group add_user -n ace -a local -l admsys -p Mu4uU9&2C -g user_group add_user_in_user_group -u ace -g dba_group add_user_in_user_group -u ace -g admsys_group
Une fois les utilisateurs créés et placés dans les groupes, on y ajoute les autorisations d’accès aux groupes de comptes cibles. Ceci est réalisé à l’aide de la commande add_acl : wab> add_acl -g admsys_group -d sys_admin -p SSH_SHELL_SESSION,TELNET,RLOGIN -r -c wab> add_acl -g dba_group -t db_admin -p SSH_SHELL_SESSION -r wab> add_acl -g user -t user -p SSH_SELL_SESSION,RDP -r
L’option -c permet d’indiquer si une connexion à un des comptes autorisés par l’autorisation doit être considérée comme « critique », c’est-à-dire déclenchant l’émission d’une notification par email. L’option -r indique que les sessions ouvertes sur ces comptes seront enregistrées. Enfin, il est nécessaire de définir une notification pour être prévenu en cas d’ouverture de session sur un compte critique (comptes sys_admin) à l’aide de la commande add_notification : wab> add_notification -n connexions_critiques -d "Notification des connexions critiques" -r [email protected] -v CRITICAL_ACCESS
125
Wallix AdminBastion 4.1 - Guide d’Administration
Chapitre 11. WEB Services Le wab possède une API afin de permettre l’automatisation de la gestion des utilisateurs, de leurs groupes, de cibles et de leurs groupes et des autorisations. Cette API utilise la technologie SOAP 1.1 et HTTPS. Le WSDL est disponible sur un WAB avec l’URL suivante : https://:7080/wws?wsdl. Un script, /etc/init.d/wabwebservice, permet de lancer et d’arrêter le service. Celui-ci est lancé au démarrage du WAB.
11.1. Authentification L’authentification Basic http est utilisée. Le header doit être présent dans chaque requête. L’username et le password correspondent à un utilisateur déclaré du WAB. Cet utilisateur doit bénéficier des droits nécessaires à l’administration du WAB, comme si les actions étaient effectuées au travers de l’interface utilisateur.
11.2. API 11.2.1. Pré-requis et conventions Tous les arguments sont de types chaîne unicode, les listes sont représentées par une chaîne d’éléments séparés par des ','. C’est à l’utilisateur d’utiliser des noms valides pour les énumérations du WAB, en particulier : • • • •
les profils d’utilisateurs, les mécanismes d’authentification, les noms de protocoles/sous-protocoles, les mécanismes d’authentification proxy
Les méthodes add/edit/del retournent None si l’action s’est déroulée correctement, sinon une exception. Les méthodes list retournent la liste des CN (user_name/target_name/ authorization_groups...) présents en base et parfois d’autres informations.
11.2.2. Méthodes fournies • user_add / user_edit( – user_name, – user_mail, – user_profile, – user_password, – user_lang, – user_realname, – user_ip, – user_groups (list), – user_auths (list),
126
Wallix AdminBastion 4.1 - Guide d’Administration – user_changepwd, – user_pubkey ) Ajoute ou édite un utilisateur • user_del( – user_name ) Supprime un utilisateur • users_list() Liste les utilisateurs • target_add / user_edit( – target_name ("account@equipement:service"), – target_groups (list), – device_host, – service_protocol, – service_subprotocols (list), – service_port, – account_password, – device_fingerprint, – device_description, – service_authmechanism, – account_description, – device_alias, – account_isAgentForwardable ) Ajoute ou édite une cible • target_del( – target_name ) Supprime une cible • targets_list() Liste les cibles • devices_list() Liste les équipements • user_group_del( – group_name )
127
Wallix AdminBastion 4.1 - Guide d’Administration Supprime un groupe d’utilisateurs • user_groups_list() Liste les groupes d’utilisateurs • target_group_del( – group_name ) Supprime un groupe de cibles • target_groups_list() Liste les groupes de cibles • authorization_add / authorization_edit( – user_group, – target_group, – authorization_desc, – authorization_subprotocols, – authorization_isCritical, – authorization_isRecorded ) Ajoute ou édite une autorisation • authorization_del( – user_group, – target_group ) Supprime une autorisation • authorizations_list() Liste les autorisations • resource_am_add / resource_am_edit( – – – – – – – – – –
resource_name, am_groups, device_host, service_protocol, service_subprotocols, service_port, device_fingerprint, device_description, service_authmechanism, device_alias )
128
Wallix AdminBastion 4.1 - Guide d’Administration Ajoute ou édite une ressource, accédée par account mapping (correspondance de compte) dans un groupe. Le groupe est créé s’il n’existe pas. • resource_am_del( – resource_name, – groupe_name ) Retire la ressource du groupe group_name si un groupe est précisé sinon supprime la ressource
11.3. Exemple Cet exemple affiche la liste des utilisateurs, cibles et autorisations d’un WAB dont l’adresse IP est fournie en paramètre. #!/usr/bin/python -O # -*- coding: utf-8 -*# # Copyright (c) 2011 WALLIX, SARL. All rights reserved. # """ Global tests for the wabwebservice.* modules """ from ZSI.ServiceProxy import ServiceProxy from ZSI.auth import AUTH from M2Crypto import SSL SSL.Connection.clientPostConnectionCheck = None def main(wab_ip = "192.168.0.5", user = u"admin", password = u"admin"): url = "https://%s:7080/wws" % wab_ip service = ServiceProxy("%s/?wsdl" % url, url = url, force = True, auth = (AUTH.httpbasic, user, password)) print "== Listing ==" print "Users:" print service.users_list() print "Targets:" print service.targets_list() print "Authorizations:" print service.authorizations_list() print print "== Adds ==" print "jdoe user add (password = jdoe_password):" print service.user_add( user_name = u"jdoe", user_realname = u'John Doe', user_profile = u"user", user_groups = u"test_grp,users_linux", user_password = u" jdoe_password ", user_auths = u'local' ) print "Target add (localhost wabadmin):"
129
Wallix AdminBastion 4.1 - Guide d’Administration
print service.target_add( target_name = u"wabadmin@local:mon_ssh", target_groups = u"test_grp,machines_linux", device_host = u"127.0.0.1", service_protocol = u"SSH", service_subprotocols = u"SSH_SHELL_SESSION", service_port = u"2242", account_password = u"SecureWabAdmin" ) print "Authorization add:" print service.authorization_add( user_group = u"users_linux", target_group = u"machines_linux", authorization_subprotocols = u"SSH_SHELL_SESSION", authorization_isRecorded = u"True", ) print "Done!" if __name__ == "__main__": import sys if len(sys.argv) != 4: print "usage: %s wab_ip wab_user wab_password" % sys.argv[0] sys.exit(1) main(*sys.argv[1:])
130
Wallix AdminBastion 4.1 - Guide d’Administration
Chapitre 12. Compatibilités Veuillez vous référer au document Release Notes pour vérifier la compatibilité de WAB 4.1 avec différents clients ou cibles.
131
Wallix AdminBastion 4.1 - Guide d’Administration
Chapitre 13. Limitations Veuillez vous référer au document Release Notes pour vérifier la liste des limitations, fonctions manquantes et bogues connus de WAB 4.1.
132
Wallix AdminBastion 4.1 - Guide d’Administration
Chapitre 14. Définitions ACLs Connexion primaire Connexion secondaire Authentification locale Authentification externe Domaine ressources Domaine utilisateurs Scénario de connexion
Acronyme pour « Access Control List » (liste de contrôle d’accès). Se dit d’un système permettant de gérer de manière fine les accès à une ressource (que celle-ci soit un équipement, un fichier, etc...). Connexion initiée entre un utilisateur et le WAB. Connexion initiée entre le WAB et un compte cible. Authentification pilotée par le WAB, par mot de passe, par certificat X509 ou par clé SSH. Authentification pilotée par un annuaire externe au WAB. Zone de confiance forte (zone sécurisée où l’accès aux équipements se fait à travers le WAB). Zone de confiance faible (accès ouvert vers l’internet …). Scénario permettant d’automatiser une connexion vers un équipement ne proposant pas de protocoles supportant l’envoi automatisé des accréditations (SSH, RDP).
133
Wallix AdminBastion 4.1 - Guide d’Administration
Index
État du système, 17
G Grappe, 79 Groupe de comptes cibles, 3, 39 d’utilisateurs, 3, 22 GUI, 72
Symboles ${PASSWORD}, 78 ${USER}, 78
A Account Mapping (voir Correspondance de comptes) Accréditations admin, 36 ACLs, 3 Audit Système, 17 WAB, 10 Authentification externe, 53, 133 Authentification locale, 133 authorizations_list, 128 authorization_add, 128 authorization_del, 128 authorization_edit, 128 Autorisations, 3, 9, 45
C
H Haute-Disponibilité, 99 High Availability (voir Haute-Disponibilité) Historique authentifications, 14 connexions, 11 HTTP, 2, 44 HTTPS, 2, 10, 44, 72
I Importer annuaires, 28 équipements et comptes cibles, 43 utilisateurs, 25
Chiffrement, 63, 70 Cible compte (voir Compte cible) ressource (voir Ressource) Cisco, 39 Clé de licence (voir Licence) Cluster (voir Grappe) Compte cible, 2, 3, 30, 33 Configuration proxys, 50 Système, 63 WAB, 51 Connexion primaire, 133 Connexion secondaire, 133 Correspondance de comptes, 41, 129 Criticité, 3 (voir aussi Autorisations) (voir aussi Notifications)
J
D
Notifications, 55
Domaine ressources, 2, 133 Domaine utilisateurs, 2, 133 Domaines LDAP/AD, 55
O
E
P
Enregistrement de session, 13, 63 (voir aussi Autorisations) Équipement, 3, 30
Paramètres de connexion, 62 Plage horaire, 3, 51 Politique de mot de passe, 58
Journaux, 17, 18
K Kerberos, 54 keytab Kerberos, 54
L Langue, 8 Licence, 69
M Master, 99 Mécanisme d’authentification, 43 Mots de passe secondaires, 59
N
Options d’enregistrements, 63
134