Guacamole

Publié le lundi 22 mars 2021, mis à jour le jeudi 25 février 2021, par Mael Villeneuve

GUACAMOLE

  • Contexte

Depuis septembre 2020, GUACAMOLE est utilisé au sein du CEISAM afin de permettre la prise en mains à distance de certains de nos systèmes d’acquisitions scientifiques par des personnels en télétravail. Le projet a forcément été accéléré par la crise sanitaire mais il lui était en réalité antérieur. L’outil n’est pas d’une utilisation aussi fluide et fonctionnelle qu’un accès direct aux OS cibles mais il donne satisfaction. A noter que nous en avons "volontairement" une utilisation assez basique.

  • Présentation du service

GUACAMOLE est une plateforme web (APACHE) qui sert de passerelle, ou qui en quelque sorte "proxyfie" les accès distants sur des OS cibles via la plupart des technos usuelles type rdp, vnc, ssh, telnet (origine du projet) et même Kubernetes. Un des intérêts potentiels mais qui constitue aussi une forme de faille à surveiller est que c’est la passerelle GUACAMOLE qui s’authentifie sur les OS cibles, permettant l’accès à des OS sans divulguer de passwords aux utilisateurs.

L’authentification au service lui-même peut-être basée sur une base locale (texte ou mysql), ou bien reposer sur LDAP, CAS ou RADIUS pour ne citer que les plus usitées dans nos institutions. A noter qu’un module d’authentification double facteur est également disponible.

  • Installation du service

L’installation repose sur un duo APACHE/servlet container (TOMCAT ou NGINX le plus souvent).

Il n’y a plus de paquet GUACAMOLE maintenu sous debian depuis la v10, mais des containers DOCKER sont disponibles.

La doc est plutôt un modèle du genre et la compilation du service en suivant la doc se fait sans trop d’encombres, avec une liste des dépendances en fonction des modules souhaités très explicite.

Le service est peu consommateur de ressources et tient sans souci sur une VM modeste

  • Utilisation du service

L’utilisation est ensuite relativement simple.

Il suffit de créer des profil de connexions et des profils utilisateurs, puis de donner les droits adaptés entre ces deux ensembles via l’interface web.

La vraie limitation vient de l’aspect interface web qui limite l’interaction clavier (raccourcis etc) mais la réactivité est bonne

  • Documentation

La documentation complète officielle est disponible à cette adresse :
https://guacamole.apache.org/doc/gug/users-guide.html