WAB Admin Guide FR [PDF]
Wallix AdminBastion 5.0.4 – Guide d’Administration Guide d’Administration Wallix AdminBastion 5.0.4 Copyright © 2017 W
38 0 6MB
Papiere empfehlen
![WAB Admin Guide FR [PDF]](https://vdoc.tips/img/200x200/wab-admin-guide-fr.jpg)
- Author / Uploaded
- Ben Badji
Datei wird geladen, bitte warten...
Zitiervorschau
Wallix AdminBastion 5.0.4 – Guide d’Administration
Guide d’Administration Wallix AdminBastion 5.0.4
Copyright © 2017 Wallix https://doc.wallix.com/fr/wab/5.0/WAB-admin-guide
Wallix AdminBastion 5.0.4 – Guide d’Administration
Table des matières 1. Introduction .......................................................................................................................... 12 1.1. Préambule ................................................................................................................. 12 1.2. Copyright, Licences ................................................................................................... 12 1.3. Légende .................................................................................................................... 12 1.4. À propos de ce document ......................................................................................... 12 2. Compatibilités et limitations .................................................................................................. 13 3. Concepts .............................................................................................................................. 14 3.1. Généralités ................................................................................................................ 14 3.2. Positionnement de WAB dans l’infrastructure réseau ................................................ 14 3.3. WAB Session Manager ............................................................................................. 15 3.4. WAB Password Manager .......................................................................................... 15 3.5. Concepts des ACL de WAB ...................................................................................... 16 3.6. Mise en production ................................................................................................... 16 3.7. Chiffrement des données .......................................................................................... 17 3.8. Haute Disponibilité .................................................................................................... 18 4. Glossaire .............................................................................................................................. 19 5. Premiers pas avec WAB ...................................................................................................... 21 5.1. Connexion au WAB en ligne de commande .............................................................. 21 5.2. Parcourir l'arborescence du menu ............................................................................. 22 5.3. Fonctionnalités spécifiques ....................................................................................... 28 5.3.1. Gestion des sessions ..................................................................................... 28 5.3.2. Gestion des mots de passe ........................................................................... 28 6. Première connexion ............................................................................................................. 29 6.1. Accès à l'interface d'administration ........................................................................... 29 6.2. Paramétrer les préférences utilisateur ....................................................................... 30 7. Configuration de la machine ................................................................................................ 32 7.1. Options de configuration ........................................................................................... 32 7.1.1. Configuration du mode transparent pour les proxys RDP et SSH ................... 33 7.2. Licence ...................................................................................................................... 34 7.2.1. Gérer la clé de licence via la ligne de commande .......................................... 34 7.3. Chiffrement ................................................................................................................ 35 7.4. Statut du système ..................................................................................................... 35 7.5. Journaux et logs système ......................................................................................... 36 7.6. Réseau ...................................................................................................................... 36 7.7. Service de temps ...................................................................................................... 37 7.8. Stockage distant ....................................................................................................... 38 7.9. Intégration SIEM ....................................................................................................... 39 7.10. SNMP ...................................................................................................................... 40 7.11. Contrôle des services ............................................................................................. 41 7.11.1. Mappage des services ................................................................................. 42 7.11.2. Activation des services ................................................................................. 43 7.12. Serveur SMTP ........................................................................................................ 44 7.13. Sauvegarde et restauration ..................................................................................... 44 7.13.1. Restauration des fichiers de configuration .................................................... 45 7.13.2. Sauvegarde/Restauration en ligne de commande ........................................ 46 7.13.3. Configuration de la sauvegarde automatique ............................................... 48 7.14. Haute Disponibilité .................................................................................................. 49 7.14.1. Limitations d’exploitation .............................................................................. 49 7.14.2. Configuration du cluster ............................................................................... 49 7.14.3. Démarrage du cluster ................................................................................... 50 7.14.4. Arrêt/Redémarrage du cluster ...................................................................... 50
2
Wallix AdminBastion 5.0.4 – Guide d’Administration 7.14.5. Reprise sur une erreur fatale (WAB HA is locked down) ............................... 50 7.14.6. Coupures réseau et Split-Brain .................................................................... 51 7.14.7. Reconfiguration réseau du cluster ................................................................ 51 7.14.8. Remplacement d’une machine défectueuse ................................................. 52 7.14.9. Récupération d’un volume défectueux .......................................................... 52 7.14.10. Tests de bon fonctionnement de la Haute Disponibilité ............................... 52 8. Utilisateurs ........................................................................................................................... 56 8.1. Comptes utilisateurs .................................................................................................. 56 8.1.1. Ajouter un utilisateur ...................................................................................... 57 8.1.2. Modifier un utilisateur ..................................................................................... 59 8.1.3. Supprimer un utilisateur ................................................................................. 59 8.1.4. Visualiser les droits d'un utilisateur sur l'interface Web ................................... 59 8.1.5. Visualiser les équipements, applications et comptes cibles accessibles par un utilisateur ............................................................................................................. 59 8.1.6. Importer des utilisateurs ................................................................................. 59 8.2. Groupes utilisateurs .................................................................................................. 65 8.2.1. Ajouter un groupe utilisateurs ......................................................................... 65 8.2.2. Modifier un groupe utilisateurs ....................................................................... 66 8.2.3. Supprimer un groupe utilisateurs .................................................................... 67 8.2.4. Visualiser les membres d’un groupe utilisateurs ............................................. 67 8.2.5. Importer des groupes utilisateurs ................................................................... 67 8.3. Profils utilisateurs ...................................................................................................... 68 8.3.1. Profils par défaut ............................................................................................ 68 8.3.2. Ajouter un profil utilisateur .............................................................................. 69 8.3.3. Modifier un profil utilisateur ............................................................................ 70 8.3.4. Supprimer un profil utilisateur ......................................................................... 70 8.4. Configuration des notifications .................................................................................. 70 8.4.1. Ajouter une notification ................................................................................... 71 8.4.2. Modifier une notification ................................................................................. 72 8.4.3. Supprimer une notification .............................................................................. 72 8.5. Configuration de la politique de mot de passe local .................................................. 72 8.6. Configuration de l'authentification X509 .................................................................... 74 8.6.1. Pré-requis ....................................................................................................... 74 8.6.2. Paramétrages X509 ....................................................................................... 74 8.6.3. Fonctions d’administration X509 ..................................................................... 76 8.6.4. Authentification X509 ..................................................................................... 78 8.6.5. Retrait du mode X509 .................................................................................... 79 8.6.6. Implémentation technique pour les certificats X509 ........................................ 80 8.7. Configuration des authentifications externes ............................................................. 80 8.7.1. Ajouter une authentification externe ............................................................... 81 8.7.2. Modifier une authentification externe .............................................................. 82 8.7.3. Supprimer une authentification externe .......................................................... 83 8.8. Configuration de l'intégration avec un domaine LDAP ou Active Directory ................. 83 9. Ressources .......................................................................................................................... 86 9.1. Domaines .................................................................................................................. 86 9.1.1. Ajouter un domaine global ............................................................................. 86 9.1.2. Modifier un domaine global ou local ............................................................... 87 9.1.3. Supprimer un domaine global ........................................................................ 87 9.1.4. Importer des domaines globaux ..................................................................... 87 9.1.5. Importer des domaines locaux ....................................................................... 89 9.1.6. Changer les mots de passe de tous les comptes d'un domaine global ............ 91 9.2. Équipements ............................................................................................................. 91 9.2.1. Ajouter un équipement cible ........................................................................... 92
3
Wallix AdminBastion 5.0.4 – Guide d’Administration 9.2.2. Modifier un équipement cible ......................................................................... 93 9.2.3. Supprimer un équipement cible ...................................................................... 93 9.2.4. Ajouter un compte sur un équipement ........................................................... 93 9.2.5. Gérer les associations de ressources avec l'équipement ................................ 94 9.2.6. Supprimer les certificats sur l'équipement ...................................................... 94 9.2.7. Importer des équipements .............................................................................. 94 9.2.8. Options spécifiques du protocole SSH ........................................................... 97 9.2.9. Options spécifiques du protocole RDP ........................................................... 97 9.2.10. Scénario de connexion TELNET/RLOGIN sur un équipement cible .............. 98 9.3. Applications ............................................................................................................... 99 9.3.1. Configuration du serveur de rebond ............................................................. 100 9.3.2. Ajouter une application ................................................................................. 101 9.3.3. Modifier une application ............................................................................... 102 9.3.4. Supprimer une application ............................................................................ 102 9.3.5. Ajouter un compte sur une application ......................................................... 102 9.3.6. Gérer les associations de ressources avec l'application ............................... 103 9.3.7. Importer des applications ............................................................................. 103 9.4. Comptes cibles ....................................................................................................... 105 9.4.1. Ajouter un compte cible ............................................................................... 105 9.4.2. Modifier un compte cible .............................................................................. 106 9.4.3. Supprimer un compte cible .......................................................................... 106 9.4.4. Importer des comptes cibles ........................................................................ 107 9.4.5. Changer manuellement le mot de passe d'un compte cible donné ................ 109 9.4.6. Lancer le changement automatique du mot de passe pour un ou plusieurs comptes .................................................................................................................. 109 9.5. Groupes de comptes cibles ..................................................................................... 110 9.5.1. Ajouter un groupe de comptes cibles ........................................................... 110 9.5.2. Modifier un groupe de comptes cibles .......................................................... 111 9.5.3. Configurer un groupe de comptes cibles pour la gestion de session ............. 111 9.5.4. Configurer un groupe de comptes cibles pour le mappage de compte .......... 112 9.5.5. Configurer un groupe de comptes cibles pour la connexion interactive ......... 113 9.5.6. Configurer un groupe de comptes cibles pour la gestion de mot de passe .... 113 9.5.7. Supprimer un groupe de comptes cibles ...................................................... 114 9.5.8. Importer des groupes de comptes cibles ...................................................... 114 9.5.9. Analyse des flux SSH / Détection de motifs (ou « patterns ») ....................... 116 9.5.10. Analyse des flux RDP / Détection de motifs (ou « patterns ») ..................... 119 9.5.11. Importer des règles restrictives pour les groupes de comptes cibles et les groupes utilisateurs ................................................................................................ 120 9.6. Clusters ................................................................................................................... 120 9.6.1. Ajouter un cluster ......................................................................................... 121 9.6.2. Modifier un cluster ........................................................................................ 122 9.6.3. Supprimer un cluster .................................................................................... 122 9.6.4. Importer des clusters .................................................................................... 122 9.7. Politiques d'emprunt du mot de passe .................................................................... 124 9.7.1. Ajouter une politique d'emprunt du mot de passe ......................................... 125 9.7.2. Modifier une politique d'emprunt du mot de passe ........................................ 125 9.7.3. Supprimer une politique d'emprunt du mot de passe .................................... 125 10. Gestion des mots de passe ............................................................................................. 127 10.1. Autorisations de l'utilisateur sur les mots de passe ............................................... 127 10.2. Plugins de changement des mots de passe .......................................................... 128 10.2.1. Plugin Windows .......................................................................................... 128 10.2.2. Plugin Cisco ............................................................................................... 129 10.2.3. Plugin Unix ................................................................................................. 129
4
Wallix AdminBastion 5.0.4 – Guide d’Administration 10.2.4. Plugin Oracle .............................................................................................. 130 10.3. Politiques de changement des mots de passe ...................................................... 130 10.3.1. Ajouter une politique de changement des mots de passe ........................... 131 10.3.2. Modifier une politique de changement des mots de passe .......................... 131 10.3.3. Supprimer une politique de changement des mots de passe ...................... 132 11. Gestion des sessions ....................................................................................................... 133 11.1. Autorisations de l'utilisateur sur les sessions ......................................................... 133 11.2. Options sur les login primaires pour les protocoles SCP et SFTP via SSH ............. 134 11.3. Données d'audit .................................................................................................... 135 11.3.1. Sessions courantes .................................................................................... 135 11.3.2. Sessions courantes en temps réel ............................................................. 136 11.3.3. Historique des sessions ............................................................................. 136 11.3.4. Enregistrements des sessions .................................................................... 137 11.3.5. Historique des comptes .............................................................................. 138 11.3.6. Historique des approbations ....................................................................... 139 11.3.7. Historique des authentifications .................................................................. 140 11.3.8. Statistiques sur les connexions .................................................................. 141 11.4. Options des enregistrements de session ............................................................... 143 11.5. Politiques de connexion ........................................................................................ 144 11.5.1. Ajouter une politique de connexion ............................................................ 144 11.5.2. Modifier une politique de connexion ........................................................... 145 11.5.3. Supprimer une politique de connexion ....................................................... 146 11.6. Règle de transformation ........................................................................................ 146 11.7. Session probe ....................................................................................................... 146 11.7.1. Pré-requis ................................................................................................... 147 11.7.2. Mode de fonctionnement par défaut ........................................................... 147 11.7.3. Configuration .............................................................................................. 148 11.8. Paramètres de connexion ..................................................................................... 150 12. Gestion des autorisations ................................................................................................. 151 12.1. Ajouter une autorisation ........................................................................................ 151 12.2. Modifier une autorisation ....................................................................................... 153 12.3. Supprimer une autorisation ................................................................................... 153 12.4. Importer des autorisations ..................................................................................... 153 12.5. Visualiser les approbations en cours ..................................................................... 156 12.6. Visualiser l'historique des approbations ................................................................. 157 12.7. Procédure d'approbation ....................................................................................... 159 12.7.1. Configuration de la procédure .................................................................... 159 12.7.2. Étapes de la procédure .............................................................................. 160 12.8. Configuration des plages horaires ......................................................................... 160 12.8.1. Ajouter une plage horaire ........................................................................... 161 12.8.2. Modifier une plage horaire .......................................................................... 161 12.8.3. Supprimer une plage horaire ...................................................................... 161 13. Commandes spécifiques .................................................................................................. 163 13.1. Connexion au WAB en ligne de commande .......................................................... 163 13.2. Vérifier l'intégrité de WAB ..................................................................................... 163 13.3. Export des données d'audit ................................................................................... 163 13.4. Changement d’identification des serveurs cibles ................................................... 164 13.5. Changer les certificats auto-signés des services ................................................... 164 13.5.1. Changer le certificat de l'interface Web ...................................................... 164 13.5.2. Changer le certificat du proxy RDP ............................................................ 165 13.5.3. Changer la clé serveur du proxy SSH ........................................................ 165 13.6. Configuration cryptographique des services .......................................................... 166
5
Wallix AdminBastion 5.0.4 – Guide d’Administration 13.6.1. Autoriser le protocole TLSv1 pour le navigateur Internet Explorer 8 sous Windows XP ........................................................................................................... 166 13.6.2. Autoriser le protocole TLSv1.2 pour le navigateur Internet Explorer 8 sous Windows 7 ............................................................................................................. 166 13.6.3. Abaisser le niveau de sécurité pour permettre la compatibilité du protocole RDP ........................................................................................................................ 166 13.6.4. Restaurer les paramètres de cryptographie par défaut ............................... 167 13.7. Mise à jour de la liste de révocation CRL (Certificate Revocation List) ................... 167 13.8. Réactivation d'algorithmes pour autoriser le changement de mot de passe avec les plugins Cisco et Unix ............................................................................................... 167 13.9. Résolution des problèmes courants ...................................................................... 168 13.9.1. Restaurer le compte « admin » d'usine ...................................................... 168 14. Console WAB ................................................................................................................... 169 15. Web Services ................................................................................................................... 170 16. Contacter le Support Wallix AdminBastion ....................................................................... 171 A. Export des données pour l'intégration SIEM ...................................................................... 172 A.1. Journal d'audit de WAB .......................................................................................... 172 A.1.1. Authentification ............................................................................................. 172 A.1.2. Logs de session .......................................................................................... 172 A.1.3. Configuration ................................................................................................ 173 A.2. Session SSH .......................................................................................................... 173 A.2.1. Ouverture de session réussie ...................................................................... 173 A.2.2. Échec de l'ouverture de session .................................................................. 173 A.2.3. Déconnexion de la session .......................................................................... 174 A.2.4. Création de canal ........................................................................................ 174 A.2.5. Détection de motif sur un shell ou une commande à distance ...................... 174 A.2.6. Détection de commande sur des équipements Cisco ................................... 174 A.2.7. Actions SFTP ............................................................................................... 175 A.2.8. Restriction de taille de fichier sur SFTP ....................................................... 175 A.2.9. Début de transfert de fichier sur SFTP ........................................................ 175 A.2.10. Fin de transfert de fichier sur SFTP avec taille et hachage du fichier .......... 175 A.2.11. Restriction de taille de fichier sur SCP ....................................................... 175 A.2.12. Début de transfert de fichier sur SCP ........................................................ 176 A.2.13. Fin de transfert de fichier sur SCP avec taille et hachage du fichier ............ 176 A.2.14. Entrée saisie au clavier par l’utilisateur ...................................................... 176 A.3. Session RDP .......................................................................................................... 176 A.3.1. Ouverture de session réussie ...................................................................... 176 A.3.2. Transfert via clipboard ................................................................................. 176 A.3.3. Téléchargement via clipboard ...................................................................... 176 A.3.4. Lecture d'un fichier du poste de travail depuis le serveur ............................. 177 A.3.5. Écriture d'un fichier du poste de travail par le serveur .................................. 177 A.3.6. Déconnexion de la session par la cible ........................................................ 177 A.3.7. Session terminée par le proxy ..................................................................... 177 A.3.8. Barres de titre des fenêtres telles que détectées par le mode « session probe » ................................................................................................................... 177 A.3.9. Barres de titre des fenêtres telles que détectées par l'OCR ......................... 177 A.3.10. Saisies clavier de l'utilisateur traduites dans la langue d'utilisation actuelle ................................................................................................................... 178 A.3.11. Clic sur un bouton dans une fenêtre .......................................................... 178 A.3.12. Modification du texte dans un champ textuel d'une fenêtre ......................... 178 A.3.13. Focus sur et en dehors d'un champ de mot de passe ................................ 178 A.3.14. Nouvelles fenêtres activées telles que détectées par le mode « session probe » ................................................................................................................... 178
6
Wallix AdminBastion 5.0.4 – Guide d’Administration A.3.15. Changement de disposition du clavier ....................................................... 178 A.3.16. Création d'un nouveau processus .............................................................. 179 A.3.17. Fin d'un processus ..................................................................................... 179 A.3.18. Démarrage d'une session VNC .................................................................. 179 A.3.19. Fin d'une session VNC .............................................................................. 179 A.3.20. Affichage de l'invite UAC ........................................................................... 179 A.3.21. Correspondance du certificat X509 du serveur ........................................... 179 A.3.22. Connexion au serveur autorisée ................................................................ 179 A.3.23. Nouveau certificat X509 créé ..................................................................... 180 A.3.24. Échec de correspondance du certificat X509 du serveur ............................ 180 A.3.25. Erreur interne du certificat X509 ................................................................ 180 Index ...................................................................................................................................... 181
7
Wallix AdminBastion 5.0.4 – Guide d’Administration
Liste des illustrations 3.1. Wallix AdminBastion dans l’infrastructure réseau .............................................................. 15 6.1. Écran de connexion WAB ................................................................................................. 29 6.2. Page d’accueil WAB (affichée pour un profil administrateur) ............................................. 30 6.3. Page « Mes préférences » ................................................................................................ 31 7.1. Page « Options de configuration » pour le proxy SSH avec les descriptions des champs ..................................................................................................................................... 33 7.2. Page « Statut » ................................................................................................................. 36 7.3. Page « Réseau » .............................................................................................................. 37 7.4. Page « Service de temps » ............................................................................................... 38 7.5. Page « Stockage distant » ................................................................................................ 39 7.6. Page « Intégration SIEM » ................................................................................................ 40 7.7. Page « SNMP » avec configuration de l'agent .................................................................. 41 7.8. Page « Contrôle des services » ........................................................................................ 41 7.9. Page « Serveur SMTP » ................................................................................................... 44 7.10. Page « Sauvegarde/Restauration » ................................................................................. 45 8.1. Page « Comptes » ............................................................................................................ 57 8.2. Page « Comptes » en mode création ............................................................................... 58 8.3. Page « CSV » - case « Utilisateurs » cochée .................................................................... 63 8.4. Page « Utilisateurs depuis LDAP » ................................................................................... 64 8.5. Page « Groupes » ............................................................................................................. 65 8.6. Page « Groupes » en mode création ................................................................................ 66 8.7. Page « Groupes » - Affichage des information sur le groupe ............................................ 67 8.8. Page « Profils » en mode création .................................................................................... 70 8.9. Page « Notifications » en mode création ........................................................................... 72 8.10. Page « Politique mots de passe locaux » en mode modification ...................................... 74 8.11. Page de configuration ..................................................................................................... 75 8.12. Page de configuration ..................................................................................................... 75 8.13. Écran de connexion WAB avec authentification X509 ..................................................... 76 8.14. Page « Comptes » en mode modification avec le champ « Certificat DN » ...................... 77 8.15. Page « Paramètres X509 » ............................................................................................. 78 8.16. Authentification d’un utilisateur via un certificat SSL ........................................................ 79 8.17. Demande de confirmation d’ouverture de session ........................................................... 79 8.18. Page « Authentifications externes » en mode création pour l'authentification KERBEROS ............................................................................................................................. 82 8.19. Page « Domaines LDAP/AP » en mode création ............................................................ 85 9.1. Page « Domaines » en mode création .............................................................................. 87 9.2. Page « CSV » - case « Domaines globaux » cochée ........................................................ 89 9.3. Page « Équipements » en mode création ......................................................................... 93 9.4. Page « CSV » - case « Équipements » cochée ................................................................. 96 9.5. Flux d'une session applicative .......................................................................................... 99 9.6. Page « Applications » en mode modification ................................................................... 102 9.7. Page « CSV » - case « Applications » cochée ................................................................ 104 9.8. Page « Comptes » en mode création .............................................................................. 106 9.9. Page « CSV » - case « Comptes » cochée ..................................................................... 109 9.10. Page « Comptes » - Page du changement de mot de passe ......................................... 109 9.11. Page « Groupes » en mode création ............................................................................. 111 9.12. Page « CSV » - case « Groupes de ressources » cochée ............................................. 116 9.13. Page « Clusters » en mode création ............................................................................. 122 9.14. Page « CSV » - case « Clusters » cochée .................................................................... 124 9.15. Page « Politiques d'emprunt » en mode création .......................................................... 125 10.1. Menu « Mes autorisations » - Page « Mots de passe » ................................................. 128
8
Wallix AdminBastion 5.0.4 – Guide d’Administration 10.2. Page « Plugins de changement des mots de passe » ................................................... 128 10.3. Page « Politiques de changement des mots de passe » en mode création .................... 131 11.1. Menu « Mes autorisations » - Page « Sessions » ......................................................... 134 11.2. Coupure de connexion SSH initiée par l'administrateur ................................................. 136 11.3. Page « Historique des sessions » ................................................................................. 137 11.4. Page « Historique des comptes » ................................................................................. 139 11.5. Page « Historique des approbations » .......................................................................... 140 11.6. Page « Historique des authentifications » ..................................................................... 141 11.7. Page « Statistiques sur les connexions » ...................................................................... 142 11.8. Exemple d'un rapport statistique ................................................................................... 143 11.9. Page « Options d'enregistrement » ............................................................................... 144 11.10. Page « Politiques de connexion » ............................................................................... 144 11.11. Page « Politiques de connexion » en mode création pour le protocole RLOGIN ........... 145 11.12. Page « Paramètres de connexion » ............................................................................ 150 12.1. Page « Gestion des autorisations » .............................................................................. 151 12.2. Page « Gestion des autorisations » en mode création .................................................. 153 12.3. Page « Mes approbations en cours » ............................................................................ 156 12.4. « Mes approbations en cours » - Page du détail de la demande d'approbation .............. 157 12.5. Page « Mon historique d'approbations » ....................................................................... 158 12.6. « Mon historique d'approbations » - Page du détail de l'historique de la demande d'approbation .......................................................................................................................... 158 12.7. Page « Plages horaires » en mode création ................................................................. 161
9
Wallix AdminBastion 5.0.4 – Guide d’Administration
Liste des tableaux 9.1. Échelle ............................................................................................................................ 117 9.2. Détection Cisco IOS avec liste blanche .......................................................................... 118 9.3. Détection Cisco IOS avec liste noire ............................................................................... 118
10
Wallix AdminBastion 5.0.4 – Guide d’Administration
Liste des exemples 11.1. Exemples de règles de transformation : ........................................................................ 146
11
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 1. Introduction 1.1. Préambule Nous vous remercions d'avoir choisi Wallix AdminBastion, également appelé WAB. WAB est commercialisé sous la forme de serveur dédié prêt à l'emploi ou sous la forme d'une machine virtuelle pour environnements VMWare ESX 4.x et 5.x. Les équipes Wallix ont apporté le plus grand soin à l'élaboration de ce produit et souhaitent qu'il vous apporte entière satisfaction.
1.2. Copyright, Licences Le présent document est la propriété de la société Wallix et ne peut être reproduit sans son accord préalable. Tous les noms de produits ou de sociétés citées dans le présent document sont des marques déposées de leurs propriétaires respectifs. Wallix AdminBastion est soumis au contrat de licence logicielle Wallix. Wallix AdminBastion est basé sur des logiciels libres. La liste et le code source des logiciels sous licence GPL et LGPL utilisés par Wallix AdminBastion sont disponibles auprès de Wallix. Pour les obtenir, il suffit d'en faire une demande par internet en créant une requête à l'adresse https:// support.wallix.com ou par écrit à l'adresse suivante : WALLIX Service Support 250 bis, Rue du Faubourg Saint-Honoré 75008 PARIS FRANCE
1.3. Légende prompt $ commande à taper retour de la commande sur une ou plusieurs lignes prompt $
1.4. À propos de ce document Ce document constitue le Guide d’administration de Wallix AdminBastion 5.0. Il vous sera utile pour configurer WAB avant sa mise en production, mais également dans son administration et son exploitation au quotidien. Wallix fournit également en complément les document suivants : • un Guide de Démarrage Rapide • un Guide Utilisateur
12
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 2. Compatibilités et limitations Veuillez vous référer au document Release Notes pour vérifier la compatibilité de WAB 5.0 avec différents clients ou cibles et également obtenir la liste des limitations, fonctions manquantes et bogues connus. Il n'est pas recommandé de modifier la configuration de votre système ou d'installer un autre logiciel car cette action pourrait nuire au bon fonctionnement de votre WAB. Toute installation d'outil ou de programme doit uniquement être effectuée sur les instructions de l'équipe Support. Pour plus d'informations, voir Chapitre 16, Contacter le Support Wallix AdminBastion.
13
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 3. Concepts 3.1. Généralités WAB est une solution destinée aux équipes techniques qui administrent les infrastructures informatiques (serveurs, équipements réseau, équipements de sécurité, etc.). Cette solution permet de répondre aux besoins de contrôle et de traçabilité des accès des administrateurs. A ces fins, WAB intègre des fonctionnalités de contrôle d’accès (ACLs) et de traçabilité. Il constitue un sas pour les administrateurs qui souhaitent se connecter aux équipements en : • vérifiant les éléments d’authentification fournis par l’utilisateur, • vérifiant ses droits d’accès sur la ressource demandée, • gérant les mots de passe des comptes cibles. WAB permet également d’automatiser les connexions vers les équipements cibles. Ceci augmente le niveau de sécurisation du système d’information en empêchant la divulgation des accréditations d’authentification des serveurs à administrer. Les protocoles aujourd’hui supportés sont : • SSH (et ses sous-systèmes) • TELNET, RLOGIN • RDP et VNC Pour surveiller son activité, superviser les connexions et configurer les différentes entités qui le composent, WAB possède une interface graphique Web, également appelée « GUI » (« Graphical User Interface »), compatible avec Internet Explorer, Chrome et Firefox.
3.2. Positionnement de WAB dans l’infrastructure réseau WAB se positionne entre une zone de confiance faible et une zone de confiance forte. La zone de confiance forte étant représentée par l'ensemble des équipements que WAB isole Ces équipements et leurs comptes associés sont nommés « comptes cibles » dans la terminologie WAB. La zone de confiance faible est représentée par la population ayant un accès direct à WAB : • le personnel de l’entreprise • la zone internet Pour les utilisateurs de la solution, l’accès aux comptes cibles (dans la zone de confiance forte) n’est possible qu’à travers WAB.
14
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 3.1. Wallix AdminBastion dans l’infrastructure réseau
3.3. WAB Session Manager Cette fonctionnalité spécifique de WAB 5.0 est accessible selon les termes de votre contrat de licence logicielle. Elle permet à l'administrateur notamment : • d'identifier les utilisateurs connectés à des équipements donnés et de surveiller leur activité : les sessions peuvent être visualisées via l'interface d'administration de WAB ou téléchargées pour être visionnées en local sur le poste de travail de l'administrateur. Les sessions RDP peuvent être visionnées en temps réel. • de visionner les enregistrements vidéo des actions effectuées lors des session des utilisateurs à privilèges • d'obtenir un accès direct à la ressource en utilisant des clients natifs tels que PuTTY, WinSCP, MSTC ou OpenSSH. • de définir et configurer des politiques de connexion au moyen de mécanismes disponibles pour les protocoles RDP, VNC, SSH, TELNET et RLOGIN Pour plus d'informations, voir Chapitre 11, Gestion des sessions.
3.4. WAB Password Manager Cette fonctionnalité spécifique de WAB 5.0 est accessible selon les termes de votre contrat de licence logicielle. Elle permet à l'administrateur notamment de : • sécuriser les mots de passe des comptes cibles et des clés SSH, • gérer les opérations d'emprunt et de restitution des mots de passe des comptes cibles, • changer ou générer les mots de passe des comptes cibles,
15
Wallix AdminBastion 5.0.4 – Guide d’Administration • définir une politique de changement des mots de passe pouvant être sélectionnée lors de la création/modification d'un domaine global, • sélectionner un plugin de changement des mots de passe parmi la liste configurée au sein de WAB lors de la création/modification d'un domaine local ou global. Pour plus d'informations, voir Chapitre 10, Gestion des mots de passe.
3.5. Concepts des ACL de WAB WAB dispose d’un moteur avancé de gestion de droits implémentant des ACL pour savoir qui a accès à quoi, quand, et par le biais de quel(s) protocole(s). Ces ACL sont constituées des objets suivants : • des utilisateurs : correspondant à des utilisateurs physiques de WAB d'un annuaire utilisateur interne et/ou externe, • des groupes d’utilisateurs : regroupant un ensemble d’utilisateurs, • des équipements : correspondant à un équipement, physique ou virtualisé, auquel on souhaite accéder via WAB, • des comptes cibles : des comptes déclarés sur un équipement ou une application, • des groupes de comptes cibles : regroupant un ensemble de comptes cibles, • des applications : tout type d’application et de services fonctionnant sur un équipement ou un ensemble d'équipements. Une autorisation doit être définie dans WAB pour permettre à l'utilisateur d'accéder à un compte cible . Ces autorisations sont déclarées entre un groupe d’utilisateurs et un groupe de comptes cibles (ceci nécessite donc que chaque compte cible appartienne à un groupe de comptes cibles, et que chaque utilisateur appartienne à un groupe d’utilisateurs). Cette autorisation permet aux utilisateurs du groupe « X » d’accéder aux comptes cibles du groupe « Y » à travers les protocoles « A », « B » ou « C ». A ces entités primaires sont ajoutées des entités permettant de définir : • les plages horaires de connexion • la criticité de l’accès aux ressources cibles • s’il faut enregistrer la session ou non • le type de procédure d’authentification de l’utilisateur Il est également possible de définir différents profils d’administrateur WAB avec soit un accès total à toutes les fonctionnalités de WAB soit des droits limités à certaines fonctionnalités. Par exemple, il est possible de définir uniquement l'accès aux données d'audit pour les auditeurs WAB ou encore d'autoriser les administrateurs WAB à ajouter/modifier des utilisateurs, configurer l'administration du système, gérer les autorisations, etc.
3.6. Mise en production WAB possède un ensemble d’outils d’import permettant de faciliter sa mise en production. Cependant, il est conseillé, pour réussir sa mise en production de recenser : • les rôles des utilisateurs qui devront accéder aux comptes cibles,
16
Wallix AdminBastion 5.0.4 – Guide d’Administration • les rôles des utilisateurs qui devront administrer WAB, • les équipements et les comptes cibles qui devront être accessibles à travers la solution. Il est nécessaire de pouvoir répondre, pour chaque utilisateur aux questions suivantes : • cet utilisateur a-t-il le droit d’administrer la solution, et le cas échéant, quels sont les droits qui doivent lui être accordés ? • cet utilisateur a-t-il besoin d’accéder à des comptes cibles ? • quand cet utilisateur a-t-il le droit de se connecter ? • doit-il accéder à des ressources critiques ? Il est nécessaire de pouvoir répondre, pour chaque compte cible ou équipement aux questions suivantes : • ce compte cible ou cet équipement est-il critique ? • faut-il enregistrer les sessions des utilisateurs accédant à ce compte ? • par quel(s) protocole(s) ce compte cible ou cet équipement est-il accessible ?
3.7. Chiffrement des données Plusieurs types de données sensibles sont susceptibles d’être stockés dans WAB et notamment : • les informations d’authentifications primaires, c'est-à-dire les informations liées aux connexions à WAB, • les informations d’authentifications secondaires, c'est-à-dire les informations liées aux connexions aux cibles, • les mots de passe d’accès aux services d’authentification, • les sauvegardes des données de WAB. Toutes les données sensibles sont chiffrées pour garantir la sécurité. L'accès aux cibles via les différents services (RDP ou SSH) génère des données également chiffrées. Le tableau ci-dessous récapitule les moyens cryptographiques mis en œuvre : Données
Cryptographie
Mots de passe des utilisateurs locaux
PBKDF2 avec salage
Login et mots de passe des comptes cibles
Chiffrement symétrique AES 256
Données d’authentification annuaires externes
Chiffrement symétrique AES 256
Paramètres SNMP
Chiffrement symétrique AES 256
Paramètres d’authentification sur les serveurs Chiffrement symétrique AES 256 de stockage distant Sauvegarde
Chiffrement symétrique AES 256
Clé de connexion à l’interface Web
Clé RSA 2048 bits + AES 256
Clé de connexion au proxy SSH
Clé RSA 2048 bits + AES 256
Connexion au proxy RDP
Clé RSA 1024 bits + RC4 128 bits
17
Wallix AdminBastion 5.0.4 – Guide d’Administration
3.8. Haute Disponibilité La fonctionnalité « Haute Disponibilité », également appelée « High-Availability » ou « HA » de WAB 5.0 apporte, par l’intermédiaire d’un cluster bi-appliances de type « failover » (ou « actif/passif »), une continuité du service WAB (accès aux équipements cibles et à la console Web, enregistrement des sessions) en cas d’indisponibilité des services sur la machine de production (le « Master »). Cette reprise automatique des services par le second nœud du cluster (le « Slave ») est obtenue par : • le partage d’une adresse IP virtuelle par les deux WAB du cluster, les adresses IP réelles étant inconnues des utilisateurs. • la réplication sur le second nœud du cluster des informations de configuration, des journaux de connexions et des fichiers contenant les enregistrements de sessions ainsi que les fichiers de configuration WAB par le mécanisme de réplication DRBD. • un mécanisme de notification par e-mail avise l’administrateur du WAB en cas de : – bascule du service en mode « dégradé » (le nœud « Slave » a pris le relais) – indisponibilité du nœud « Slave » – détection d’une anomalie (service indisponible, etc.) – synchronisation des disques terminée Pour plus d'informations, voir Section 7.14, « Haute Disponibilité ».
18
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 4. Glossaire Au cours de votre utilisation de WAB et au fur et à mesure que vous avancerez dans la lecture de ce document, vous allez être amené(e) à rencontrer les termes techniques suivants. Cette liste n'est pas exhaustive. ACL
Acronyme pour « Access Control List » (liste de contrôle d’accès). Se dit d’un système permettant de gérer de manière fine les accès à une ressource (que celle-ci soit un équipement, un fichier, etc...).
Authentification externe
Authentification pilotée par un annuaire externe au WAB.
Authentification locale
Authentification pilotée par WAB.
Cible
Un compte cible est caractérisé par l'association des entités suivantes : un équipement et un service et un compte. Une application cible est caractérisée par l'association des entités suivantes : une application et un compte.
Coffre-fort à mot de passe
Structure gérant des comptes. La définition de politiques permet de configurer cette structure et de renforcer l'utilisation du compte.
Coffre-fort à mot de passe externe
Structure externe gérant des comptes.
Compte
Entité (gérée par WAB ou un coffre-fort à mot de passe externe) permettant à un utilisateur de s'authentifier sur un système et de se voir attribuer un niveau d'autorisation défini pour accéder aux ressources de ce système, à des fins de gestion. Un compte appartient à un domaine.
Connexion à une cible (également appelée « Connexion secondaire »)
Connexion initiée entre WAB et un compte cible.
Connexion interactive
Mécanisme permettant à l'utilisateur de saisir dynamiquement son identifiant et le mot de passe secondaire sur le sélecteur du client proxy (RDP ou SSH) pour accéder à une ressource. Les informations d'identification renseignées par l'utilisateur sur ce sélecteur sont alors utilisées par le proxy pour authentifier la session sur la ressource distante. Une ressource peut être un service spécifique sur un équipement, ou une application (fonctionnant sur un serveur de rebond ou un cluster). Au préalable, l'accès à cette ressource par authentification interactive doit être autorisé pour cet utilisateur et un compte avec les mêmes identifiant et mot de passe doit exister sur cette ressource.
Connexion primaire
Voir Connexion WAB.
Connexion secondaire
Voir Connexion à une cible.
Connexion WAB (également appelée « Connexion primaire »)
Connexion initiée entre un utilisateur et WAB.
Domaine global
Entité de gestion regroupant une multitude de comptes cibles pouvant être utilisés pour l'authentification sur une multitude
19
Wallix AdminBastion 5.0.4 – Guide d’Administration d'équipements. Un processus de changement du mot de passe (politique et plugin de changement) peut être déployé sur tous les comptes du domaine global. Domaine local
Entité de gestion regroupant une multitude de comptes cibles pouvant être utilisés pour l'authentification sur un seul et unique équipement. Un processus de changement du mot de passe (politique et plugin de changement) peut être déployé sur tous les comptes du domaine local.
Équipement
Équipement physique ou virtuel pour lequel WAB gère l'accès aux sessions ou mots de passe.
Emprunt
Opération consistant à récupérer et afficher le mot de passe d'un compte donné. Le verrouillage du compte peut être paramétré lors de cette opération afin d'empêcher une utilisation concomitante par plusieurs utilisateurs.
Mappage de compte (ou « Account mapping »)
Mécanisme permettant à un utilisateur de se connecter à une ressource en utilisant ses informations d'identification (identifiant et mot de passe). Ceci est particulièrement utile lorsque le compte utilisateur est déclaré sur un annuaire d’entreprise et qu’il possède des accès sur la ressource cible. Les accréditations primaires (identifiant et mot de passe) sont alors utilisées par un client RDP ou SSH pour authentifier une session sur la ressource distante. Une ressource peut être un service spécifique sur un équipement, ou une application (fonctionnant sur un serveur de rebond ou un cluster). Au préalable, l'accès à cette ressource par mappage de compte doit être autorisé pour cet utilisateur et un compte avec les mêmes identifiant et mot de passe doit exister sur cette ressource.
Mot de passe
Mot de passe, clé SSH, ticket Kerberos ou toute autre donnée secrète permettant d'authentifier un compte sur un système.
Ressource
Les entités suivantes constituent les ressources : un équipement (association d'un équipement et d'un service dans le contexte de mappage de compte), une cible ou un compte.
Restitution
Opération consistant à restituer le mot de passe d'un compte donné. Cette action est complémentaire à l'opération d'emprunt du mot de passe. Si le verrouillage du compte a été paramétré lors de l'emprunt du mot de passe, le déverrouillage est effectué lors de la restitution du compte.
Scénario de connexion
Scénario permettant d’automatiser une connexion vers un équipement ne proposant pas de protocoles supportant l’envoi automatisé des informations d'identification (SSH ou RDP).
Verrouillage
Mécanisme visant à empêcher une utilisation concomitante d'un compte par plusieurs utilisateurs.
20
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 5. Premiers pas avec WAB 5.1. Connexion au WAB en ligne de commande Un démon SSH est en écoute sur le port 2242 permettant de se connecter à un shell d’administration. Pour des raisons de sécurité, tous les mots de passe du système doivent être changés dès la première connexion.
Important : Veuillez bien retenir votre nouveau mot de passe car celui-ci est le seul moyen de se connecter par la suite. Lors de l'installation de WAB, un mode graphique affiche des boîtes de dialogue pour vous guider pas à pas dans les étapes de la configuration. La procédure ci-dessous détaille les principales étapes de la configuration de la connexion à WAB. 1. Première étape : choisir la langue de disposition du clavier que vous souhaitez utiliser 2. Seconde étape : définir le mot de passe de l'utilisateur « wabadmin » Les informations d'identification configurées par défaut sont les suivantes : • Mot de passe : SecureWabAdmin Vous êtes invité(e) à changer le mot de passe par défaut de l'utilisateur « wabadmin ». Saisissez et confirmez le nouveau mot de passe. Par défaut, l'utilisateur « wabadmin » est configuré avec des privilèges restreints. Suivez la prochaine étape pour configurer l'utilisateur « wabsuper » afin d'accéder à des privilèges étendus. 3. Troisième étape : définir le mot de passe de l'utilisateur « wabsuper » Lorsque le nouveau mot de passe de l'utilisateur « wabadmin » a été confirmé, vous êtes invité(e) à saisir et confirmer le nouveau mot de passe de l'utilisateur « wabsuper ». Le mot de passe de l'utilisateur « wabsuper » peut être passé avec la commande « super » pour obtenir des privilèges étendus, et notamment l'acquisition des privilèges « root » à l'aide de la commande « sudo » qui utilise le même mot de passe. Une fois connecté avec les privilèges « root », vous pouvez utiliser un ensemble de scripts pour exploiter WAB au quotidien. 4. Quatrième étape : définir le mot de passe de l'utilisateur « GRUB » Lorsque le nouveau mot de passe de l'utilisateur « wabsuper » a été confirmé, vous êtes invité(e) à changer le mot de passe par défaut de l'utilisateur « GRUB ». Vous avez alors la possibilité d'utiliser le même mot de passe que celui renseigné précédemment pour l'utilisateur « wabsuper » ou de définir un nouveau mot de passe.
Important : Seuls les caractères ASCII sont supportés. Si le mot de passe renseigné pour l'utilisateur « wabsuper » contient des caractères non ASCII , alors il n'est pas
21
Wallix AdminBastion 5.0.4 – Guide d’Administration possible d'utiliser ce même mot de passe pour l'utilisateur « GRUB » : vous devez définir un mot de passe différent.
Avertissement : Sous VMware, une fois l'installation initiale terminée et après le redémarrage du système, la saisie du mot de passe de l'utilisateur « GRUB » répond par défaut à la disposition du clavier QWERTY. Les informations d'identification configurées par défaut sont les suivantes : • Identifiant : wabbootadmin. L'utilisateur disposant d'un clavier AZERTY doit taper « zqbbootqd,in » pour saisir « wabbootadmin ». • Mot de passe : SecureWabBoot (ce mot de passe par défaut est normalement modifié au cours de cette étape). Utilisez la commande suivante si vous souhaitez changer ce mot de passe ultérieurement : wabsuper@wab$ WABChangeGrub
Attention aux caractères spéciaux et fautes de frappe car il n'est pas possible de corriger la saisie. Cependant, la touche « Esc » permet d'effacer toute la saisie. 5. Cinquième et dernière : définir la configuration réseau Lorsque le mot de passe de l'utilisateur « GRUB » a été défini, vous êtes invité(e) à effectuer la configuration réseau.
5.2. Parcourir l'arborescence du menu Mes préférences
Modifier les préférences utilisateurs Voir Section 6.2, « Paramétrer les préférences utilisateur »
Mes autorisations
Sessions
Afficher les autorisations de l'utilisateur sur les sessions et accéder aux cibles Voir Section 11.1, « Autorisations de l'utilisateur sur les sessions »
Mots de passe
Afficher les autorisations de l'utilisateur sur les mots de passe et gérer les mots de passe des cibles Voir Section 10.1, « Autorisations de l'utilisateur sur les mots de passe »
Audit
Sessions courantes
22
Lister et fermer les connexions
Wallix AdminBastion 5.0.4 – Guide d’Administration Voir Section 11.3.1, « Sessions courantes » Historique des sessions
Lister les connexions terminées et afficher les enregistrements de sessions Voir Section 11.3.3, « Historique des sessions »
Historique des comptes
Lister les activités des comptes Voir Section 11.3.5, « Historique des comptes »
Historique des approbations Lister les demandes d'approbation en cours et dépassées Voir Section 11.3.6, « Historique des approbations » Historique des authentifications
Lister les authentifications primaires Voir Section 11.3.7, « Historique des authentifications »
Statistiques sur les connexions
Générer les graphiques de statistiques sur les connexions Voir Section 11.3.8, « Statistiques sur les connexions »
Utilisateurs
Comptes
Gérer et importer (fichier .csv et annuaire LDAP) les utilisateurs WAB Voir Section 8.1, « Comptes utilisateurs »
Groupes
Gérer et importer (fichier .csv) les groupes d'utilisateurs WAB Voir Section 8.2, « Groupes utilisateurs »
Profils
Gérer les profils utilisateurs WAB Voir Section 8.3, « Profils utilisateurs »
Ressources
Domaines
Gérer et importer (fichier .csv) les domaines globaux et locaux Voir Section 9.1, « Domaines »
23
Wallix AdminBastion 5.0.4 – Guide d’Administration Équipements
Gérer et importer (fichier .csv) les équipements cibles Voir Section 9.2, « Équipements »
Applications
Gérer et importer (fichier .csv) les applications cibles Voir Section 9.3, « Applications »
Comptes
Gérer et importer (fichier .csv) les comptes cibles Voir Section 9.4, « Comptes cibles »
Clusters
Gérer et importer (fichier .csv) les clusters de serveurs de rebond Voir Section 9.6, « Clusters »
Groupes
Gérer et importer (fichier .csv) les groupes de comptes cibles Voir Section 9.5, « Groupes de comptes cibles »
Politiques d'emprunt
Gérer les politiques d'emprunt du mot de passe Voir Section 9.7, « Politiques d'emprunt du mot de passe »
Gestion des mots de passe
Plugins chgt mot de passe
Afficher la liste des plugins disponibles pour le changement de mot de passe Voir Section 10.2, « Plugins de changement des mots de passe »
Politiques chgt mot de passe Gérer les politiques de changement de mot de passe Voir Section 10.3, « Politiques de changement des mots de passe » Gestion des sessions
Options d'enregistrement
Gérer les options de stockage des enregistrements de session Voir Section 11.4, « Options des enregistrements de session »
Politiques de connexion
24
Gérer les mécanismes d'authentification pour les
Wallix AdminBastion 5.0.4 – Guide d’Administration proxys (RDP, VNC, SSH, TELNET et RLOGIN) Voir Section 11.5, « Politiques de connexion » Autorisations
Gestion des autorisations
Gérer et importer (fichier .csv) les autorisations entre les groupes de comptes cibles et les groupes d'utilisateurs Voir Chapitre 12, Gestion des autorisations
Mes approbations en cours
Gérer les demandes d'approbation en cours et fournir une réponse Voir Section 12.5, « Visualiser les approbations en cours »
Mon historique d'approbations
Lister les demandes d'approbation en cours et dépassées Voir Section 12.6, « Visualiser l'historique des approbations »
Configuration
Plages horaires
Gérer les plages horaires Voir Section 12.8, « Configuration des plages horaires »
Authentifications externes
Gérer les méthodes d'authentification externe (LDAP/LDAPS, Active Directory, Kerberos, Radius) Voir Section 8.7, « Configuration des authentifications externes »
Domaines LDAP/AD
Intégrer des comptes utilisateurs via LDAP ou Active Directory Voir Section 8.8, « Configuration de l'intégration avec un domaine LDAP ou Active Directory »
Notifications
Gérer le mécanisme de notification Voir Section 8.4, « Configuration des notifications »
Politique mots de passe locaux
25
Gérer les politiques des mots de passe locaux
Wallix AdminBastion 5.0.4 – Guide d’Administration Voir Section 8.5, « Configuration de la politique de mot de passe local » Paramètres de connexion
Configurer les bannières affichées lors de la connexion de l'utilisateur aux proxys Voir Section 11.8, « Paramètres de connexion »
Paramètres X509
Configurer les listes de révocation pour l'authentification par certificat X509 Voir Section 8.6.3.1, « Authentification des utilisateurs »
Options de configuration
Configurer des aspects spécifiques de WAB (ex. : loggeur, GUI, proxy RDP, WAB Engine, etc.) Voir Section 7.1, « Options de configuration »
Licence
Afficher et mettre à jour la clé de licence Voir Section 7.2, « Licence »
Chiffrement
Définir la protection cryptographique Voir Section 7.3, « Chiffrement »
Logs audit
Afficher le contenu du fichier « wablog » Voir Section 7.5, « Journaux et logs système »
Système
Statut
Afficher les informations générales sur le statut du système Voir Section 7.4, « Statut du système »
Réseau
Configurer les paramètres réseau Voir Section 7.6, « Réseau »
Service de temps
Configurer les paramètres du service de temps (NTP) Voir Section 7.7, « Service de temps »
26
Wallix AdminBastion 5.0.4 – Guide d’Administration Stockage distant
Gérer le stockage distant des enregistrements de session Voir Section 7.8, « Stockage distant »
Intégration SIEM
Gérer le routage des logs vers d'autres périphériques du réseau Voir Section 7.9, « Intégration SIEM »
SNMP
Gérer l'agent SNMP Voir Section 7.10, « SNMP »
Serveur SMTP
Configurer le serveur de mail pour l'envoi des notifications Voir Section 7.12, « Serveur SMTP »
Contrôle des services
Définir le mappage des services avec les interfaces réseau et les services WAB à activer/désactiver Voir Section 7.11, « Contrôle des services »
Syslog
Afficher le contenu du fichier « syslog » Voir Section 7.5, « Journaux et logs système »
Messages au démarrage
Afficher le contenu du fichier « dmesg » Voir Section 7.5, « Journaux et logs système »
Sauvegarde/Restauration
Sauvegarde et restauration de la configuration WAB Voir Section 7.13, « Sauvegarde et restauration »
Import/Export
CSV
Importer des données depuis un fichier .csv Exporter des données sous la forme d'un fichier .csv, une archive .zip ou .tar.gz Voir Section 8.1, « Comptes utilisateurs », Section 8.2, « Groupes utilisateurs », Section 9.1, « Domaines », Section 9.2,
27
Wallix AdminBastion 5.0.4 – Guide d’Administration « Équipements »,Section 9.3, « Applications », Section 9.4, « Comptes cibles », Section 9.6, « Clusters », Section 9.5, « Groupes de comptes cibles », Section 12.1, « Ajouter une autorisation » Utilisateurs depuis LDAP
Importer des utilisateurs depuis un annuaire LDAP/LDAPS/AD Voir Section 8.1, « Comptes utilisateurs »
5.3. Fonctionnalités spécifiques 5.3.1. Gestion des sessions Le menu « Gestion des sessions » et l'entrée « Sessions » du menu « Mes autorisations » peuvent uniquement être administrés si la fonctionnalité WAB Session Manager est associée à votre clé de licence.
5.3.2. Gestion des mots de passe Le menu « Gestion des mots de passe » et l'entrée « Mots de passe » du menu « Mes autorisations » peuvent uniquement être administrés si la fonctionnalité WAB Password Manager est associée à votre clé de licence.
28
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 6. Première connexion 6.1. Accès à l'interface d'administration Pour accéder à l’interface Web d’administration, saisissez l’URL suivante dans la barre d'adresse de votre navigateur : https://adresse_ip_de_wab ou https://
Avertissement : Votre navigateur doit être configuré pour accepter les cookies et exécuter le JavaScript. Avec certains navigateurs anciens, il peut être nécessaire d’abaisser le réglage du niveau de sécurité du serveur Web de WAB pour permettre les connexions. Veuillez pour cela consulter Section 13.6, « Configuration cryptographique des services ». Nous vous conseillons néanmoins plutôt d’utiliser un navigateur moderne, comme Firefox ou Chrome, afin de conserver un niveau de sécurité satisfaisant. WAB est livré en standard avec un compte administrateur d’usine dont les informations d'identification sont les suivantes : • Identifiant : admin • Mot de passe : admin Pour des raisons de sécurité, il est fortement recommandé de changer le mot de passe du compte administrateur lors de la première connexion. Pour plus d’informations, voir Section 6.2, « Paramétrer les préférences utilisateur ».
Figure 6.1. Écran de connexion WAB Une fois l’authentification réussie, la page suivante est affichée :
29
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 6.2. Page d’accueil WAB (affichée pour un profil administrateur) Cette page se compose : • d’un en-tête contenant : – le nom de l’utilisateur connecté, – l'icône de déconnexion, • un menu latéral, sur la gauche, à partir duquel l’ensemble des fonctionnalités d’administration de WAB sont accessibles, • une zone utile sur laquelle le message de bienvenue est affiché.
6.2. Paramétrer les préférences utilisateur Depuis le menu « Mes préférences », vous accédez à la page contenant les paramètres modifiables par un utilisateur. Tous les utilisateurs ont accès à cette page, quels que soient leurs droits d’administration. Elle permet notamment de : • changer son mot de passe (uniquement si l’utilisateur a été déclaré localement) • modifier son adresse électronique, • importer ou saisir manuellement une clé publique SSH,
Avertissement : Cette clé doit être au format OpenSSH. Sinon, un message d'erreur s'affiche. Si vous utilisez PuTTYgen pour générer la clé, vous devez enregistrer dans un fichier texte la clé publique affichée au format Open SSH lors de la génération. A titre d'exemple, cette clé est libellée comme suit : « ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEA0yR9lBQov6[.....]c3xu9p/xNjw== rsakey-20151204 » Vous pouvez alors charger cette clé dans la zone « Clé publique SSH » sur cette page. Si une clé existe déjà, vous pouvez charger une clé privée en utilisant PuTTYgen pour générer la clé publique correspondante au bon format. • charger une clé GPG.
30
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 6.3. Page « Mes préférences »
31
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 7. Configuration de la machine 7.1. Options de configuration La page « Options de configuration » du menu « Configuration » permet une configuration avancée des paramètres globaux de WAB. Cliquer sur l'option souhaitée dans la liste pour afficher les paramètres concernés qui peuvent être configurés sur la page dédiée pour : • le coffre-fort à mot de passe externe • l'interface Web • le loggeur • l'OEM • le proxy RDP • le proxy RDP sesman • le proxy SSH • le WAB Engine • le WAB Watchdog Sur chacune de ces pages, une description utile peut être affichée pour tous les champs en cochant la case du champ « Aide sur les options » en haut à droite de la page. Cette description mentionne le format approprié à prendre en compte dans le champ concerné.
Avertissement : Les options affichées en cochant la case du champ « Options avancées » en haut à droite de la page doivent UNIQUEMENT être modifiées sur demande de l'Equipe Support Wallix ! Un point d’exclamation orange est affiché en regard des champs concernés.
32
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 7.1. Page « Options de configuration » pour le proxy SSH avec les descriptions des champs
7.1.1. Configuration du mode transparent pour les proxys RDP et SSH Ce mode permet au proxy d’intercepter le trafic réseau destiné à une cible même lorsque l’utilisateur a précisé l’adresse de la cible à la place de l'adresse de WAB. Ce mode peut être activé en cochant la case du champ « Enable transparent mode » sur les pages de configuration dédiées aux proxys RDP et SSH. Ces pages sont accessibles depuis la page « Options de configuration » du menu « Configuration ». Pour utiliser le mode transparent, il faut que le réseau soit configuré afin d’envoyer le flux RDP ou SSH destiné aux cibles vers les interfaces réseaux utilisateurs de WAB. Ceci peut être fait au moyen de routes IP. WAB agit alors comme une passerelle. Le proxy intercepte le trafic envoyé vers le port TCP 3389 (pour les protocoles RDP et VNC). Le trafic arrivant vers WAB sans lui être destiné mais intercepté par ce dernier ou un autre port (différent du port 3389) est perdu. Le proxy choisit automatiquement la cible en fonction de l’adresse IP destination de la connexion. Lorsqu'une seule cible correspond à cette adresse, la connexion se fait automatiquement sans que le sélecteur soit affiché. Sinon, le sélecteur affiche la liste des cibles possibles correspondant à cette adresse. De plus, lors d’une utilisation du WAB en mode transparent, il est possible de définir un ensemble de ressources cibles appartenant à un sous-réseau. Il suffit pour cela de préciser le sous-réseau à
33
Wallix AdminBastion 5.0.4 – Guide d’Administration la place de l’adresse IP de l’hôte cible dans le champ « Hôte de l'équipement » lors de la création de l'équipement, depuis la page « Équipements », en utilisant la notation CIDR (/ ). Pour plus d'information sur cette configuration, voir Section 9.2.1, « Ajouter un équipement cible ». Une fois le mode transparent activé pour RDP ou SSH, plusieurs paramètres permettent de contrôler le comportement du proxy. La délégation d’authentification permet d’éviter que WAB procède à une authentification lorsque le proxy reçoit une demande de connexion. La demande d’authentification est alors transmise directement à la cible et WAB autorise la connexion si l’authentification par la cible est établie. Cela permet de déployer WAB dans un environnement où seule la cible connaît le mot de passe comme c’est le cas, par exemple, pour certaines configurations de VMware Horizon View. Il est aussi possible de préciser un utilisateur WAB différent de l’identité RDP ou SSH. Dans ce cas, les sessions et leurs enregistrements seront associées à cet utilisateur WAB. Les informations d’identification RDP ou SSH sont enregistrées dans le champ cible quand elles sont disponibles.
7.2. Licence L’utilisation de WAB est contrôlée par une clé de licence. Le mécanisme de la licence vérifie : • le type de licence : votre clé de licence est associée soit avec WAB Session Manager soit avec WAB Password Manager ou les deux • la date d'expiration de la licence • le nombre maximum d'équipements et d'applications pouvant être déclarés • le nombre maximum de connexions primaires simultanées (c'est-à-dire les connexions au WAB) • si la clé de licence est associée à WAB Session Manager: – le nombre maximum de connexions secondaires simultanées (c'est-à-dire les connexions aux cibles) La clé de licence contient les éléments inclus dans les termes du contrat commercial et est fournie par la société Wallix. Elle est renseignée dans WAB par le client via l'interface utilisateur Web. Sur la page « Licence » du menu « Configuration », vous pouvez visualiser les caractéristiques de la licence et mettre à jour la clé de licence. Pour obtenir une licence, le fichier de contexte doit être envoyé à la société Wallix. Pour générer et télécharger ce fichier de contexte, cliquez sur « Télécharger le fichier de contexte ». Ce fichier peut alors être envoyé à la société Wallix pour obtenir une mise à jour de la clé de licence. Pour mettre à jour la clé de licence, copiez la clé reçue dans un fichier puis, téléchargez celui-ci dans le champ « Mettre à jour le fichier » et cliquez sur le bouton « Mettre à jour la licence ».
7.2.1. Gérer la clé de licence via la ligne de commande La clé de licence peut également être gérée via la ligne de commande une fois connecté(e) avec les privilèges « root ». Pour afficher les informations de licence : wab2:~# WABGetLicenseInfo
34
Wallix AdminBastion 5.0.4 – Guide d’Administration Pour générer le fichier de contexte de licence : wab2:~# WABSetLicense -c -f
Pour importer une nouvelle licence : wab2:~# WABSetLicense -u -f
Pour supprimer la licence : wab2:~# WABSetLicense -d
7.3. Chiffrement Le chiffrement de WAB sécurise vos données sensibles (telles que les mots de passe des comptes cibles, les mots de passe des utilisateurs locaux, les connexions à l'interface utilisateur Web, les connexions aux proxys RDP et SSH, etc.) en les chiffrant par un algorithme cryptographique fort. Cet algorithme utilise une clé de chiffrement confidentielle et propre à votre WAB. La définition de la phrase de chiffrement rend l'accès à WAB plus difficile et renforce ainsi la sécurité de vos données. En effet, toute personne malveillante ne possédant pas la phrase de chiffrement ne pourra accéder à votre produit. De plus, à chaque redémarrage du système, les services de connexion des proxys de WAB seront inutilisables tant que la phrase de chiffrement de la clé ne sera pas saisie par un administrateur dans l’interface Web d’administration et seules certaines actions d’administration seront possibles. Après initialisation du chiffrement, il est conseillé d’effectuer au moins une sauvegarde de WAB afin de conserver une copie de cette clé en lieu sûr. Si vous n'effectuez pas de sauvegarde et que votre clé est perdue, vous ne serez plus en mesure d’accéder aux données sur les stockages distants. Sur la page « Chiffrement » du menu « Configuration », vous pouvez vérifier si le système de chiffrement a été initialisé pour votre WAB.
7.4. Statut du système Sur la page « Statut » du menu « Système », vous pouvez notamment visualiser les informations générales suivantes liées concernant le système : • le nombre de connexions courantes, • le taux d'occupation de la RAM, • le taux d'occupation du SWAP, • l'espace disponible de la partition /var (sur laquelle les enregistrements des sessions sont sauvegardés)
35
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 7.2. Page « Statut »
Note : Le taux d’occupation de la RAM n’affiche pas les tampons systèmes..
7.5. Journaux et logs système Vous pouvez visualiser et sauvegarder les journaux depuis l'interface utilisateur Web.
Note : Tous les fichiers de ces journaux peuvent être téléchargés en cliquant sur l'icône dédiée dans la partie droite de la page concernée. WAB recense les journaux système suivants : • « syslog » affiché sur la page « Syslog » du menu « Système ». Ce journal affiche la majorité des messages liés au fonctionnement des proxys ou à l'utilisation de l'interface d'administration. • « dmesg » affiché sur la page « Messages au démarrage » du menu « Système ». Ce journal affiche le journal de démarrage du système. • « wablog » affiché sur la page « Logs audit » du menu « Configuration ». Ce journal affiche les connexions et les opérations effectuées par les auditeurs et les administrateurs.
7.6. Réseau Sur la page « Réseau » du menu « Système », vous pouvez notamment définir/modifier la configuration réseau de la machine. Vous pouvez modifier notamment : • le nom d’hôte,
36
Wallix AdminBastion 5.0.4 – Guide d’Administration • le nom de domaine, • la passerelle, • la configuration des interfaces réseaux. Vous pouvez ajouter : • des routes, • des entrées dans le fichier « hosts », • des serveurs DNS.
Avertissement : Avant de changer l’adresse IP du WAB utilisée pour communiquer avec le serveur de fichier sur lequel se trouve un stockage distant, nous vous recommandons de désactiver le stockage distant et de le réactiver après le changement d’adresse. Pour plus d'informations, voir Section 7.8, « Stockage distant ».
Figure 7.3. Page « Réseau »
7.7. Service de temps Sur la page « Service de temps » du menu « Système », vous pouvez définir le fuseau horaire de WAB. Ce paramétrage est particulièrement important car :
37
Wallix AdminBastion 5.0.4 – Guide d’Administration • WAB doit être synchronisé en date et en heure avec les serveurs d’authentification Kerberos, • WAB est le référentiel de temps pour les informations d’audit remontées et la gestion des plages horaires.
Note : Par défaut, le service de temps est activé et la synchronisation est effectuée sur les serveurs de temps du projet Debian.
Figure 7.4. Page « Service de temps »
7.8. Stockage distant Sur la page « Stockage distant » du menu « Système », vous pouvez déporter les enregistrements vidéos vers un système de fichiers externe. Les systèmes de fichiers supportés sont CIFS et NFS. Pour chacun de ces systèmes, vous devez préciser : • l’adresse IP ou le FQDN du serveur de fichiers, • le numéro de port du service distant, • le répertoire distant où seront stockés les enregistrements. Pour CIFS, vous devez également indiquer : • le nom d’utilisateur pour se connecter sur le service distant, • son mot de passe. Le bouton « Activer » permet d'activer la configuration.
Avertissement : Si des enregistrements ont déjà été réalisés depuis WAB, l’activation du stockage distant masquera les anciennes sessions (celles-ci seront de nouveau visibles lorsque le stockage sera désactivé).
38
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 7.5. Page « Stockage distant »
7.9. Intégration SIEM Sur la page « Intégration SIEM » du menu « Système », vous pouvez paramétrer le routage des informations suivantes vers un ou plusieurs autres équipements réseau via des solutions SIEM : • le journal d'audit de WAB (c'est-à-dire « wablog »), • les méta-données des sessions SSH, • les méta-données des sessions RDP. Les journaux et logs seront alors envoyés à l’adresse IP, au port et au protocole sélectionnés et également stockés sur le système de fichier local, afin d’être toujours disponibles à la lecture sur la page « Logs audit » du menu « Configuration ». Pour plus d'informations sur ce journal, voir Section 7.5, « Journaux et logs système ». Pour plus d'informations sur l'export des données, voir Annexe A, Export des données pour l'intégration SIEM. Vous pouvez choisir le format d'horodatage entre le format de date usuel RFC 3164 et le format ISO (AAAA-MM-JJTHH:MM:SS±TZ). Ce dernier contient en plus l’année et le fuseau horaire.
39
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 7.6. Page « Intégration SIEM »
7.10. SNMP WAB embarque un agent SNMP disposant des caractéristiques suivantes : • version du protocole supporté : 2c, • MIB implémentée : MIB 2, • pas de mécanismes d’alertes (« traps »), ni de notifications, • pas d’ACL sur l’adresse IP source. Sur la page « SNMP » du menu « Système », vous pouvez configurer cet agent. La configuration usine est la suivante : • SysName : WAB v2, • SysContact : root@yourdomain, • SysLocation : yourlocation, • Communauté : vide par défaut. Le nom de la communauté utilisée pour se connecter à WAB.
Avertissement : Par défaut, l’agent est désactivé. L’activation de l’agent SNMP se fait uniquement via l’interface utilisateur Web. Exemples d’utilisation : $ snmpget -v2c -c WALLIXdefault 192.168.0.5 system.sysDescr.0 SNMPv2-MIB::sysDescr.0 = STRING: "Wallix AdminBastion Version 5.0" $ snmpget -v2c -c WALLIXdefault 192.168.0.5 system.sysUpTime.0 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (65833) 0:10:58.33 $ snmpget -v2c -c WALLIXdefault 192.168.0.5 IF-MIB::ifHCOutOctets.1 IF-MIB::ifHCOutOctets.1 = Counter64: 255823831
40
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 7.7. Page « SNMP » avec configuration de l'agent
7.11. Contrôle des services Sur la page « Contrôle des services » du menu « Système », vous pouvez définir le mappage des services pour chacune des interfaces réseaux et sélectionner les services à activer/désactiver. Pour plus d'informations, voir Section 7.11.1, « Mappage des services » et Section 7.11.2, « Activation des services ».
Figure 7.8. Page « Contrôle des services »
41
Wallix AdminBastion 5.0.4 – Guide d’Administration
7.11.1. Mappage des services L’administrateur peut choisir l’affectation des services par interface réseau sur le cadre « Mappage des services ». Ainsi, il est possible de restreindre les opérations d’administration à une seule interface pour améliorer la sécurité de WAB. Les services sont regroupés selon les fonctionnalités suivantes : • « Fonctionnalités utilisateur et auditeur », • « Fonctionnalités d'administration », et • « Haute Disponibilité ». Le groupe de services « Fonctionnalités utilisateur et auditeur » recense notamment l’accès aux cibles, les données des historiques ainsi que les enregistrements de sessions. Afin de pouvoir sélectionner les services souhaités, les interfaces doivent être configurées au préalable sur la page « Réseau ». Chaque interface doit appartenir à un sous-réseau différent. Pour plus d'informations, voir Section 7.6, « Réseau ». L’interface eth1 (port 2 sur la machine) est dédiée, si elle est présente, à l’interconnexion de la Haute Disponibilité (également appelée « High-Availability » ou « HA »). Aucun autre service ne peut y être affecté et le service « Haute Disponibilité » ne peut pas être déplacé vers une autre interface. Le service « Haute Disponibilité » n’est donc pas sélectionnable si cette interface n’est pas présente. Par défaut, les fonctionnalités propres aux utilisateurs (notamment le droit d'accès aux équipements) et aux auditeurs (notamment le droit d'audit) ne sont pas accessibles sur l’interface d’administration mais il est cependant possible d'en débloquer l'accès en cochant les cases suivantes : « Fonctionnalités utilisateur (droits d'accès comptes cibles) » et « Fonctionnalités auditeur (droits audit sessions) ». WAB possède également un pare-feu. Celui-ci permet, entre autres, de le protéger des attaques DDoS. Il est possible de limiter les connexions IP acceptées en parallèle à un nombre pré-défini. Pour cela, il est nécessaire de cocher la case du champ « Limiter le nombre de connexions par IP » et d'indiquer le nombre correspondant dans le champ « Nombre de connexions ». L'option « Activer le filtrage de chemin inverse » est uniquement interprétée lorsque WAB dispose de deux interfaces sans Haute Disponibilité configurées avec deux sous-réseaux (ou « subnets ») différents (c'est-à-dire eth0 avec le subnet X et eth2 avec le subnet Y) et le chemin par défaut est paramétré sur l'une des deux interfaces (c'est-à-dire eth0). Par défaut, lorsqu'un paquet avec une adresse IP source n'appartenant pas au subnet Y entre via l'interface eth2, WAB ne répond pas (aucun paquet ne sort via les deux interfaces sans Haute Disponibilité). Cela est dû à la configuration du filtrage de chemin inverse paramétré avec le kernel grsec. Pour plus d'informations sur le filtrage de chemin inverse, voir http://tldp.org/HOWTO/AdvRouting-HOWTO/lartc.kernel.rpf.html. Si WAB doit répondre au paquet entrant (via l'interface eth2), alors le filtrage de chemin inverse doit être désactivé. Lorsque la case de l'option « Activer le filtrage de chemin inverse » est cochée, il n'y a aucune réponse de WAB (sur les paquets en provenance d'un subnet différent de l'interface d'entrée). Lorsque la case de l'option « Activer le filtrage de chemin inverse » est décochée (par défaut), WAB répond à tous les paquets entrants (via l'interface d'entrée).
42
Wallix AdminBastion 5.0.4 – Guide d’Administration
7.11.2. Activation des services L'administrateur peut choisir les services à activer ou désactiver sur le cadre « Activation des services ». WAB contrôle automatiquement les services. Les proxys sont notamment démarrés quand une ressource correspondante est ajoutée à la configuration. Par exemple, l’ajout d’un équipement avec un service RDP va initier le démarrage du service RDP. Il est cependant possible de stopper temporairement un service jusqu’à la prochaine modification de la configuration. Les services configurables sont les suivants : • GUI : l’interface Web d’administration de WAB (port 443) • SSHADMIN : l’interface ligne de commande d’administration du WAB (port 2242) • RDP : le proxy RDP/VNC (port 3389) • SSH : le proxy SSH/SFTP/TELNET/RLOGIN (port 22) A l’installation de WAB, les services suivants sont activés par défaut : • GUI • SSHADMIN Puis en fonction des services configurés dans les cibles des proxys, WAB activera automatiquement le service correspondant (et démarrera le serveur) automatiquement. Ainsi l’administrateur n’a pas à se soucier de la configuration des services pour pouvoir utiliser WAB.
Note : Par mesure de sécurité, la commande doit être appelée depuis la console physique (soit directement sur le boîtier, soit à distance avec l’interface iDrac) pour désactiver la console d’administration « sshadmin » (port 2242). Dans le cadre d’une configuration Haute Disponibilité, le service d’administration « sshadmin » (port 2242) doit être activé et le sera automatiquement lors de l’installation de la Haute Disponibilité. Dans le cas d'une utilisation restreinte de WAB, l'administrateur peut activer/désactiver les services à l’aide d’un outil en ligne de commande sur la console ou via l’interface en ligne de commande "ssh" (port 2242) : wabsuper$ sudo -i WABServices ################################# # Wab Services Status # ################################# gui : ENABLED https : DISABLED rdp : DISABLED ssh : DISABLED sshadmin : ENABLED webservice : ENABLED
Sans paramètre, l’outil présente l’état actuel de la configuration des services. Le paramètre --help permet d’afficher l’usage complet : wabsuper$ sudo -i WABServices --help usage: /opt/wab/bin/WABServices action [service's name] Configure WAB Services
43
Wallix AdminBastion 5.0.4 – Guide d’Administration actions: list enable disable
list services status enable a service disable a service
L’administrateur doit saisir la commande suivante pour désactiver la GUI : wabsuper$ sudo -i WABServices disable gui Configuration applied
Puis, l’administrateur doit saisir cette commande pour la réactiver : wabsuper$ sudo -i WABServices enable gui Configuration applied
7.12. Serveur SMTP Sur la page « Serveur SMTP » du menu « Système », vous pouvez définir/modifier la configuration du serveur mail à utiliser pour l’envoi des notifications. Vous pouvez définir : • le protocole utilisé (par défaut : SMTP) • le nom du serveur • le port du serveur (par défaut : 25 en SMTP, 465 en SMTPS et 587 en SMTP+STARTTLS) • le nom de l’expéditeur (par défaut : WAB) • éventuellement, un nom d’utilisateur et un mot de passe Pour tester la configuration, saisissez une ou plusieurs adresses de destination dans le champ « Emails des destinataires pour le test puis, cliquez sur le bouton « Tester ».
Figure 7.9. Page « Serveur SMTP »
7.13. Sauvegarde et restauration Sur la page « Sauvegarde/Restauration» du menu « Système », vous pouvez effectuer ou restaurer une copie de sauvegarde de la configuration du WAB.
44
Wallix AdminBastion 5.0.4 – Guide d’Administration Chaque sauvegarde est chiffrée avec une clé de 16 caractères. Vous devez connaître la clé d’une sauvegarde avant sa restauration.
Avertissement : • Seules les sauvegardes créées à partir de la version 4.2.3 de WAB ou ultérieure peuvent être restaurées. • Les données d’audit ne sont pas sauvegardées lors de la sauvegarde/restauration. • Toutes les données modifiées ou ajoutées après une sauvegarde seront perdues si cette sauvegarde est restaurée. • L’administrateur sera déconnecté. Il devra se reconnecter avec un des comptes présents dans la sauvegarde, qui peuvent être différents de ceux présents avant l'opération de sauvegarde/restauration. • Si une sauvegarde est restaurée sur une autre machine que celle sur laquelle elle a été générée, les données chiffrées présentes avant la restauration pourront devenir indéchiffrables.
Figure 7.10. Page « Sauvegarde/Restauration »
7.13.1. Restauration des fichiers de configuration Certains éléments tels que les fichiers de configuration de certains services, les clés et les certificats sont restaurés à côté de la configuration actuelle qui n’est pas écrasée. Pour les utiliser, vous devez supprimer les fichiers de la configuration actuelle et renommer à la place ceux restaurés par la sauvegarde, qui portent comme extension additionnelle le nom du fichier de sauvegarde suivi d’un timestamp qui correspond à la date de restauration. Ces fichiers sont tous situés sous /var/wab/etc/ : • Clé du proxy SSH :
45
Wallix AdminBastion 5.0.4 – Guide d’Administration /var/wab/etc/ssh/server_rsa.key.YOURBACKUPNAMEANDTIMESTAMP
• Clés et certificat du proxy RDP : /var/wab/etc/rdp/dh512.pem.YOURBACKUPNAMEANDTIMESTAMP /var/wab/etc/rdp/dh1024.pem.YOURBACKUPNAMEANDTIMESTAMP /var/wab/etc/rdp/dh2048.pem.YOURBACKUPNAMEANDTIMESTAMP /var/wab/etc/rdp/rdpproxy.key.YOURBACKUPNAMEANDTIMESTAMP /var/wab/etc/rdp/rdpproxy.crt.YOURBACKUPNAMEANDTIMESTAMP
• Configuration du proxy RDP : /var/wab/etc/rdp/rdpproxy.ini.YOURBACKUPNAMEANDTIMESTAMP
• Configuration MySQL : /var/wab/etc/mysql/my.cnf.YOURBACKUPNAMEANDTIMESTAMP
• Configuration du serveur Apache : /var/wab/apache2/apache2.conf.YOURBACKUPNAMEANDTIMESTAMP /var/wab/apache2/httpd.conf.YOURBACKUPNAMEANDTIMESTAMP /var/wab/apache2/restvirtualhost.apache.conf.YOURBACKUPNAMEANDTIMESTAMP
• Clés, certificats et CRL du serveur Apache : /var/wab/etc/rdp/dh2048.pem.YOURBACKUPNAMEANDTIMESTAMP /var/wab/apache2/ssl.crt/ca.crt.YOURBACKUPNAMEANDTIMESTAMP /var/wab/apache2/ssl.crt/crl.pem.YOURBACKUPNAMEANDTIMESTAMP /var/wab/apache2/ssl.crt/server.pem.YOURBACKUPNAMEANDTIMESTAMP /var/wab/apache2/ssl.crt/server.key.YOURBACKUPNAMEANDTIMESTAMP
• Configuration X509 du WAB : /var/wab/apache2/ssl.crt/x509_ready.YOURBACKUPNAMEANDTIMESTAMP
Après avoir renommé les fichiers en supprimant l’extension additionnelle, vous devez redémarrer les services correspondants à l'aide des commandes suivantes : # systemctl restart wabgui $ systemctl restart wabcore $ systemctl restart mysql
7.13.2. Sauvegarde/Restauration en ligne de commande Il est possible d’effectuer les opérations de sauvegarde et de restauration (voir Section 7.13, « Sauvegarde et restauration ») à l’aide de scripts spécifiques.
46
Wallix AdminBastion 5.0.4 – Guide d’Administration
7.13.2.1. Script pour la sauvegarde wab2:~# /usr/bin/wallix-config-backup.py -h Usage: wallix-config-backup.py [options] Options: -h, --help show this help message and exit -d DIRECTORY, --directory=DIRECTORY Directory where you want to store your backup. -s, --sdcard Set this option to store the Backup in the sdcard. -a, --aes Set this option force use of AES256 instead of Gpg symmetric cipher. -b, --blowfish Set this option force use of Blowfish instead of Gpg symmetric cipher.
DIRECTORY est le chemin du répertoire dans lequel sera créé le fichier de sauvegarde. L’option -s peut être utilisée pour créer une copie sur un support externe (carte SD ou clé USB). Les options -a et -b ne doivent normalement pas être utilisées. Sans ces options, le fichier est chiffré avec GPG.
7.13.2.2. Script pour la restauration wab2:~# /usr/bin/wallix-config-restore.py -h Usage: wallix-config-restore.py [options] -f FILENAME wallix-config-restore.py [options] -s Options: -h, --help show this help message and exit -f FILENAME, --file=FILENAME Provide the full path of the Backup file (.wbk). Conflicts with -s -s, --sdcard Enter in interactive mode to select file on SDcard. Conflicts with -f -a, --aes Set this option to force use of AES256 instead of GPG symmetric cipher. -b, --blowfish Set this option to force use of Blowfish instead of GPG symmetric cipher. Overridden by -a -S, --nosystem Set this option to not restore any system settings. -N, --nonetwork Set this option to never restore network and HA settings. Overridden by -S --forcenetwork Set this option to force restoration of network and HA settings. (Not recommended). Overridden by -S
FILENAME est le chemin du fichier de sauvegarde. L’option -s peut être utilisée pour restaurer depuis le support externe (carte SD ou clé USB). Les options -a et -b ne doivent normalement pas être utilisées. Sans ces options, le fichier est déchiffré avec GPG. L’option -S peut être utilisée pour ne pas restaurer la partie de la configuration des paramètres du système (définis dans le menu « Système »). Dans ce cas, seules les données métier seront restaurées. L’option -N peut être utilisée pour ne pas restaurer seulement la partie de la configuration réseau (définie sur la page « Réseau » du menu « Système ») et aux adresses réseau du pair et du cluster lorsque la Haute Disponibilité est opérationnelle.
47
Wallix AdminBastion 5.0.4 – Guide d’Administration L’option --forcenetwork, dont l’usage n’est pas recommandé, peut être utilisée pour forcer la restauration de la partie de la configuration réseau (définie sur la page « Réseau » du menu « Système ») lorsque la restauration s’effectue sur une machine différente ou dans un mode Haute Disponibilité/standalone différent. Dans ce cas, les fichiers non présents initialement dans /var/wab/config comme le fichier ha.py ou les fichiers correspondants à l’adresse MAC de la machine seront restaurés en y accolant le nom de la sauvegarde sans extension. Par exemple, si l’archive wab-4.2.0.myhost_2015-01-01_00-00-00.wbk contient le fichier MAC 01_02_03_04_05_06.py mais que l’adresse MAC 01:02:03:04:05:06 n’est pas présente sur la machine, le fichier sera renommé 01_02_03_04_05_06.py.wab-4.2.0.myhost_2015-01-01_00-00-00. Vous pouvez supprimer ces fichiers ou utiliser les informations qu’ils contiennent pour mettre à jour les fichiers correspondants de votre système avant de redémarrer les services. Les fichiers contenus dans /var/wab/etc ne sont normalement pas écrasés s’ils diffèrent de ceux présents dans l’archive. Dans ce cas, le fichier de l’archive est renommé comme indiqué ci-dessus pour l’option forcenetwork. Vous pouvez supprimer ces fichiers ou utiliser les informations qu’ils contiennent pour mettre à jour les fichiers correspondants de votre système avant de redémarrer les services. Par exemple, vous pouvez les supprimer automatiquement après restauration du backup wab-4.2.0.myhost_2015-01-01_00-00-00.wbk en exécutant la commande suivante : wab2:~# find /var/wab/etc -name '*.wab-4.2.0.myhost_2015-01-01_00-00-00' -exec rm {} \;
Après avoir restauré la configuration à l'aide du script wallix-config-restore.py, vous devez redémarrer les services du WAB à l'aide de la commande suivante : wab2:~# systemctl systemctl systemctl systemctl systemctl
restart restart restart restart restart
wabsystemconfiguration wabengine wabcore wabgui wabrestapi
7.13.3. Configuration de la sauvegarde automatique WAB effectue une sauvegarde automatique configurée dans une tâche Cron. Par défaut, celle-ci est effectuée tous les jours à 18:50 dans le fuseau horaire de WAB, défini sur la page « Service de temps » du menu « Système ». Pour plus d'informations, voir Section 7.7, « Service de temps ». Les fichiers sont stockés dans le répertoire /var/wab/backups. Vous pouvez changer l’heure et la fréquence de sauvegarde dans le fichier /etc/cron.d/ wabcore en modifiant la ligne qui lance la commande WABExecuteBackup. Les champs sont ceux d’une crontab, à savoir MINUTE, HEURE, JOUR_DU_MOIS, MOIS et JOUR_DE_LA_SEMAINE. Les valeurs autorisées pour chaque champ sont les suivantes : • MINUTE : de 0 à 59 • HEURE : de 0 à 23 • JOUR_DU_MOIS : de 1 à 31 • MOIS : de 1 à 12 • JOUR_DE_LA_SEMAINE : de 0 à 7 (0 ou 7 pour le dimanche)
48
Wallix AdminBastion 5.0.4 – Guide d’Administration Chaque champ peut aussi prendre pour valeur un astérisque « * » qui correspond à toutes les valeurs possibles. Les listes sont également permises en séparant les valeurs par des virgules et les intervalles en séparant les bornes par un trait d’union, par exemple « 1,2,5-9,12-15,21 ». Vous pouvez également modifier le chemin et la valeur de la clé utilisée en éditant le fichier /opt/ wab/bin/WABExecuteBackup et en modifiant les valeur DIR et KEY au début du fichier.
7.14. Haute Disponibilité 7.14.1. Limitations d’exploitation Le cluster Haute Disponibilité de type actif/passif de WAB 5.0 ne possède pas de fonctionnalité de répartition de charge (ou « load balancing »). Les nœuds « Master » et « Slave » doivent appartenir au même sous-réseau IP et doivent être tous deux configurés en IP statique. La configuration système (et notamment les fichiers/etc/hosts et /etc/network/ interfaces) doit être effectuée via l’interface Web ou le script WABHASetup pour éviter toute désynchronisation avec les fichiers de configuration du système de fichiers répliqué. Les deux nœuds du cluster doivent être exactement au même niveau de version et de patch.
7.14.2. Configuration du cluster 1. Vérifier que les deux appareils sont reliées directement entre elles par un câble croisé branché sur le port RJ45 numéroté « 2 ». 2. Démarrer les deux machines du cluster en commençant indifféremment par l’une ou par l’autre. Les appareils livrés sont pré-installés mais la fonctionnalité cluster n’est pas configurée. 3. Se connecter en super-utilisateur avec la commande « super » puis la commande « sudo -i ». 4. Vérifier que les horloges des deux nœuds du cluster sont bien synchronisées via la commande Linux « date » ou par synchronisation sur un serveur NTP comme expliqué dans la section 5.2.4, « Configuration du service de temps » du Guide de Démarrage Rapide. 5. Vérifier qu’un serveur SMTP est configuré et fonctionnel en effectuant le test d’envoi de notification comme expliqué dans la section 5.2.5, « Configuration du serveur SMTP » du Guide de Démarrage Rapide. 6. Vérifier que les deux machines sont configurées en IP statique, que leurs interfaces « eth1 » sont actives et qu’elles ont des noms de machines différents. Sinon, utiliser l’interface Web pour effectuer les réglages nécessaires. Noter l’adresse IP de l’interface « eth1 » du nœud « Slave » qui est celle qu’il faudra utiliser pour répondre à la question « Slave IP: » lors de l’exécution de la commande « WABHASetup » décrite à l’étape 8. 7. Se connecter directement sur la console de la machine définie comme « Master » par l’intermédiaire du compte « wabadmin ». 8. Exécuter la commande « sudo -i WABHASetup » et suivre les instructions : $ sudo -i WABHASetup Slave IP: HA Virtual IP:
49
Wallix AdminBastion 5.0.4 – Guide d’Administration HA Virtual netmask: HA Notification mail address: ...
9. Le cluster WAB est maintenant configuré et activé.
7.14.3. Démarrage du cluster Le cluster est maintenant accessible sur l’adresse IP virtuelle. Seule cette adresse doit être communiquée à vos utilisateurs. Le mail suivant est envoyé à l’adresse indiquée à l’issue de la configuration de la Haute Disponibilité de WAB. Sujet: [WAB] - The WAB HA have been configured This notification sums up your HA configuration. Initial MASTER node: ... Initial SLAVE node: ... HA Virtual ip: ...
7.14.4. Arrêt/Redémarrage du cluster Pour contrôler le fonctionnement du cluster, l’administrateur peut utiliser les commandes de maintenance ci-dessous. Il est A noter que les commandes « start » et « stop » ne s’appliqueront qu’au nœud local. # sudo systemctl stop wabha # sudo systemctl start wabha
Avertissement : Pour éviter une bascule involontaire, il recommandé d’arrêter le nœud « Slave » avant le « Master », et de démarrer le nœud « Slave » après le « Master ». Pour vérifier l’état actuel d’un nœud, l’administrateur peut utiliser la commande suivante : # sudo /opt/wab/sbin/WABHAStatus
7.14.5. Reprise sur une erreur fatale (WAB HA is locked down) Lorsque la Haute Disponibilité de WAB détecte un dysfonctionnement et qu’elle n’arrive pas à le résoudre automatiquement (en redémarrant le service concerné), alors la procédure de basculement se bloque. Après avoir émis une notification concernant la détection d’une erreur fatale, elle crée le fichier de lock et s’arrête. La présence de ce fichier empêche la Haute Disponibilité de redémarrer et évite ainsi qu’elle essaye indéfiniment de résoudre le problème. Après avoir résolu le dysfonctionnement, ce fichier de lock doit être supprimé manuellement avec la commande suivante : affected_node# rm /var/wab/etc/ha/fatal_error
50
Wallix AdminBastion 5.0.4 – Guide d’Administration
7.14.6. Coupures réseau et Split-Brain Si les nœuds sont toujours connectés au réseau mais ne sont plus connectés ensemble (câble réseau débranché entre deux switch,etc.), le nœud passif va passer en « Master » (procédure standard le « Master » n’étant plus actif de son point de vue). Nous sommes donc dans une configuration avec deux nœuds « Master » et les données du volume partagé vont commencer à diverger. Lors de la restauration de la connectivité, la couche DRBD du volume partagé va détecter la divergence (également appelée « Split-Brain ») et le cluster ne fonctionnera plus. En effet, les deux machines ayant continué de fonctionner indépendamment, leurs données sont incompatibles et une intervention manuelle est requise. Comme précisé dans la notification, c’est à l’administrateur de résoudre la divergence en sélectionnant le nœud le plus à jour. La notification contient la liste des derniers fichiers modifiés sur les deux WAB. Trois possibilités peuvent se présenter : 1. L’interruption a été courte et les nœuds n’ont pas été utilisés (pas de sessions créées, pas de comptes ajoutés, etc.), alors l’administrateur peut choisir n’importe quel nœud comme étant le « Master » de référence. 2. L’interruption fut courte et/ou un seul des nœuds n’a été vraiment utilisé (symbolisé par la présence de fichiers de sessions et de dates de modifications plus récentes sur un seul des nœuds). L’administrateur doit alors choisir ce nœud comme nouveau « Master » de référence. 3. L’interruption a été complexe et les deux nœuds ont été utilisés en parallèle (cas improbable, lié à un grave dysfonctionnement réseau). L’administrateur doit alors choisir un nœud comme nouveau « Master » de référence (celui avec le plus de modifications à son actif) et sauvegarder les données de l’autre nœud. Enfin, il restera à les importer manuellement dans le nouveau « Master ». Une fois le « Master » de référence choisi, la procédure suivante doit être appliquée pour restaurer le cluster : outdated_node# drbdadm secondary wab ref_master# drbdadm primary wab outdated_node# drbdadm invalidate wab ref_master# (drbdadm cstate wab | grep -q StandAlone) && drbdadm connect wab outdated_node# (drbdadm cstate wab | grep -q StandAlone) && drbdadm connect wab ref_master# systemctl start wabha outdated_node# systemctl start wabha
7.14.7. Reconfiguration réseau du cluster Avertissement : Toutes les opérations de maintenance du cluster doivent être réalisées sur le nœud « Master ». Lorsque les WAB sont configurés en mode Haute Disponibilité, les changements réseaux comme les adresses IP ne peuvent plus se faire via l’interface Web. Les deux machines ayant leurs disques synchronisés par le réseau, il est nécessaire de se connecter sur le nœud « Master » en SSH et procéder comme suit : # sudo -i WABHASetup --reconfigure_hosts
51
Wallix AdminBastion 5.0.4 – Guide d’Administration ...
7.14.8. Remplacement d’une machine défectueuse Avertissement : Toutes les opérations de maintenance sur le cluster doivent être réalisées sur le nœud « Master ». Dans le cas du remplacement d’un nœud, il faut tout d’abord déconnecter le matériel défectueux et démarrer une instance WAB de remplacement. Il convient ensuite de le configurer avec la même IP statique que le nœud manquant, puis entrer la commande suivante sur le nœud fonctionnel : # sudo -i WABHASetup --configure_new_slave ...
7.14.9. Récupération d’un volume défectueux Avertissement : Toutes les opérations de maintenance sur le cluster doivent être réalisées sur le nœud « Master ». Dans le cas d’erreur d’intégrité du système de fichier, détectable via les messages du noyau (ie : « File system is now read-only due to the potential of on-disk corruption. Please run fsck.ext4 once the file system is unmounted. »), suivre la procédure ci-dessous : 1. Éteindre la Haute Disponibilité sur les deux nœuds en commençant par le « Slave » en tapant la commande « sudo -i WABHAInitd --force stop ». 2. Vérifier que le système de fichier partagé est bien démonté sur les deux nœuds en tapant la commande « sudo -i umount /var/wab ». 3. Désactiver DRBD sur le nœud « Slave » en tapant la commande « sudo -i drbdadm secondary wab ». 4. Activer DRBD sur le nœud « Master » en tapant la commande « sudo -i drbdadm primary wab ». 5. Sur le nœud « Master », exécuter la commande « sudo -i fsck.ext4 -y -f /dev/drbd1 ». slave_node# WABHAInitd --force stop master_node# WABHAInitd --force stop
7.14.10. Tests de bon fonctionnement de la Haute Disponibilité Afin de vérifier les différentes reprises sur erreurs gérées par la fonctionnalité Haute Disponibilité de WAB, il est conseillé de réaliser les tests qui suivent avant de mettre la solution en production. Dans les sections suivantes, nous nommerons « WabA » le nœud actuellement « Master », et « WabB » le nœud « Slave ».
7.14.10.1. Basculement du « Master » vers le « Slave » (logiciel) Action : éteindre la Haute Disponibilité sur le « Master »
52
Wallix AdminBastion 5.0.4 – Guide d’Administration WabA# systemctl stop wabha
Conséquence : le « Slave » va détecter le dysfonctionnement Notification : [WAB] - WAB HA « Master » WabA error detected by the WabB! (HA_MASTER_FAULT) Reason: Service unreachable on master node! Résultat : le « Slave » prend la main. Notification : the [WAB] - WAB HA « Master » WabB is online Résolution complète : Relancez la Haute Disponibilité sur le « Master » et il deviendra le nouveau « Slave ».WabA# systemctl start wabha WabA# /etc/init.d/wabha start
Notification : The [WAB] - WAB HA « Slave » WabA is online
7.14.10.2. Basculement du « Master » vers le « Slave » (matérielle) Action : éteindre physiquement le « Master » (retrait du câble d’alimentation) Conséquence : le « Slave » va détecter le dysfonctionnement Notification : [WAB] - WAB HA master WabA error detected by the WabB! (HA_MASTER_FAULT) Reason: Host does not respond to ping... Résultat : le « Slave » prend la main Notification : The [WAB] - WAB HA master WabB is online Résolution complète : rallumez le « Master » et il deviendra le nouveau « Slave » Notification : The [WAB] - WAB HA slave WabA is online
7.14.10.3. Détection d’un dysfonctionnement sur le « Master » Action : injection d’un dysfonctionnement sur le « Master » (service ssh désactivé) WabA# mv /etc/ssh/sshd_config /etc/ssh/sshd_config.tmp WabA# systemctl stop ssh
Conséquence : les deux nodes vont détecter le dysfonctionnement (ssh non accessible) Notifications : [WAB] - WAB HA master WabA error detected by WabA Reason: Service ssh isn't responding and we couldn't restart it! Notifications : [WAB] - WAB HA master WabA error detected by WabB Reason: Host respond to ping but ssh service is down, will try to switch to master... Résultat : le « Slave » va prendre la main et le « Master » va se downgrader « Slave » Notification : The [WAB] - WAB HA master WabB is online Notification : The [WAB] - WAB HA slave WabA is online Résolution complète : réparer le dysfonctionnement afin que WabA soit à nouveau capable de devenir « Master » WabA# mv /etc/ssh/sshd_config.tmp /etc/ssh/sshd_config
53
Wallix AdminBastion 5.0.4 – Guide d’Administration WabA# systemctl start ssh
7.14.10.4. Détection d’un dysfonctionnement sur le « Slave » Action : éteindre physiquement le « Slave » (retrait du câble d’alimentation) Conséquence : le « Master » va détecter le dysfonctionnement Notification : [WAB] - The WAB HA slave WabB isn't connected to master WabA anymore! Master data replication isn't working. Résultat : la réplication des données est interrompue mais le volume est encore fonctionnel (en mode dégradé) Résolution complète : rallumez le « Slave » Notification : [WAB] - The WAB HA slave WabB is online Note : Si le volume de données écrit sur le « Master » dégradé est négligeable, (ex : pas de nouvelle session) la synchronisation est instantanée. Dans le cas contraire, une notification est envoyée. Notification : [WAB] - The WAB HA cluster synchronization completed! Both nodes data are now fully synchronized.
7.14.10.5. Perte de la connectivité entre les deux nodes Action : déconnecter un des nœuds du réseau ou faire en sorte que les deux WABs ne puissent plus communiquer entre eux, ex : avec iptables WabA# iptables -A INPUT -s IpWabB -j DROP; iptables -A OUTPUT -d IpWabB -j DROP WabB# iptables -A INPUT -s IpWabA -j DROP; iptables -A OUTPUT -d IpWabA -j DROP
Conséquence : les deux nodes vont détecter le dysfonctionnement. Le master va continuer de fonctionner en mode dégradé. Notification : [WAB] - The WAB HA slave WabB isn't connected to master WabA anymore! Master data replication isn't working. Notification : [WAB] - The WAB HA master WabA error detected by sparewab2.ifr.lan Reason: Host does not respond to ping... Conséquence : le « Slave » va supposer que le master est éteint et il va donc basculer en « Master » et fonctionner en mode dégradé à son tour. Notification : [WAB] - The WAB HA master WabB is online Notification : [WAB] - The WAB HA slave WabA isn't connected to master WabB anymore! Master data replication isn't working. Résultat : le volume partagé va diverger entre les deux nodes. Le cas le plus probable est qu’un des nœud ne soit plus sur le réseau, dans ce cas la résolution est triviale : Reconnecter les deux wab ou si vous avez utilisé iptables : WabA# iptables -F WabB# iptables -F
Notification: [WAB] - The WAB HA disks diverged (split brain detected) The WAB HA drbd shared volume is now disconnected. Both peers had lost connection to each other and both switched to master... Now data couldn't be synced cleanly, you'll have to manually discard one node changes.
54
Wallix AdminBastion 5.0.4 – Guide d’Administration Une fois le nœud identifié, suivre les instructions mentionnées dans l'e-mail : failing_node# drbdadm secondary wab recent_node# drbdadm primary wab failing_node# drbdadm invalidate wab failing_node# drbdadm connect wab recent_node# systemctl start wabha failing_node# systemctl start wabha
Pour une résolution complète, suivre les instructions mentionnées dans l'e-mail : WabB# WabA# WabB# WabB# WabA# WabB#
drbdadm secondary wab drbdadm primary wab drbdadm invalidate wab drbdadm connect wab systemctl start wabha systemctl start wabha
Notification: [WAB] - The WAB HA master WabA is online Notification: [WAB] - The WAB HA slave WabB is online
55
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 8. Utilisateurs Le menu « Utilisateurs » vous permet de créer et gérer les utilisateurs/administrateurs WAB. Il permet aussi de configurer les groupes utilisateurs sur lesquels les autorisations seront portées. Pour plus d'informations, voir Chapitre 12, Gestion des autorisations ).
Note : Les identifiants des comptes utilisateur ne sont pas sensibles à la casse mais celle-ci est préservée lors de la création du compte.
8.1. Comptes utilisateurs Sur la page « Comptes », vous pouvez : • lister les comptes utilisateurs selon un filtre d'affichage sur les comptes locaux ou les comptes de domaine liés à des domaines LDAP ou ActiveDirectory, • ajouter/modifier/supprimer un compte utilisateur, • identifier les utilisateurs pour lesquels le droit de récupération des accréditations est activé au niveau de leur profil : une icône en forme de clé est alors affichée dans la colonne « Profil » sur la ligne concernée. Ces utilisateurs reçoivent un e-mail contenant les accréditations des cibles en cas de changement du mot de passe. Pour plus d'informations sur les profils utilisateurs, voir Section 8.3, « Profils utilisateurs ». • accéder au détail du compte pour visualiser les droits de l’utilisateur sur l'interface Web mais aussi ses autorisations sur les équipements, les applications et les comptes cibles, • débloquer un compte utilisateur verrouillé en cliquant sur l'icône en forme de cadenas, • importer des utilisateurs à partir d'un fichier .csv afin d'alimenter la base de données WAB avec des comptes utilisateurs. Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des résultats (et pas uniquement sur la page active). Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à travers les pages et modifier le nombre d'éléments affichés par page.
56
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 8.1. Page « Comptes »
8.1.1. Ajouter un utilisateur Sur la page « Comptes », cliquez sur « Ajouter un utilisateur » pour afficher la page de création du compte utilisateur. Cette page recense les champs suivants : • un identifiant, celui-ci sera utilisé par l’utilisateur pour s’authentifier sur l’interface Web ainsi que sur les proxys. L'identifiant n'est pas modifiable une fois sauvegardé. • un nom usuel, un nom permettant d’identifier à qui appartient l’identifiant, • une adresse électronique, pouvant être modifiée ultérieurement par l'utilisateur • un champ permettant de charger une clé publique GPG : l'utilisateur recevra le nouveau mot de passe dans un e-mail crypté. Cette clé pourra être modifiée ultérieurement par l'utilisateur. • une langue préférée, permettant de sélectionner dans quelle langue seront affichés les messages remontés par les proxys à l’utilisateur. Ce choix pourra être modifié ultérieurement par l'utilisateur. • un profil, permettant de définir les droits et les limitations de l’utilisateur (voir Section 8.3, « Profils utilisateurs »), • un champ contenant un calendrier (affiché par un clic-droit) afin de sélectionner, si nécessaire, la date d'expiration du compte • une liste de groupes, qui permet de choisir dans quel(s) groupe(s) l'utilisateur doit être placé. Il est aussi possible d’ajouter un utilisateur dans un groupe dans la page d’ajout/édition d’un groupe (voir Section 8.2, « Groupes utilisateurs »), • une procédure d’authentification propre à chaque utilisateur (voir Section 8.7, « Configuration des authentifications externes »). Il est possible d’en sélectionner plusieurs pour indiquer les serveurs de secours des authentifications externes (LDAP, RADIUS, etc.), • lorsque la méthode d'authentification choisie est « local » : – un champ permettant de saisir et confirmer un mot de passe, il peut exister des contraintes sur les mots de passes acceptés (voir Section 8.5, « Configuration de la politique de mot de passe local »). Ce mot de passe pourra être modifié ultérieurement par l'utilisateur.
57
Wallix AdminBastion 5.0.4 – Guide d’Administration – un champ permettant de forcer la modification du mot de passe, l’utilisateur reçoit alors un message l’informant de la création de son compte et de la nécessité de modifier son mot de passe lors de sa première connexion (voir aussi Section 7.12, « Serveur SMTP »), – un champ permettant d'importer ou de saisir manuellement une clé publique SSH. Cette clé pourra être modifiée ultérieurement par l'utilisateur.
Avertissement : Cette clé doit être au format OpenSSH. Sinon, un message d'’erreur s’affiche. Si vous utilisez PuTTYgen pour générer la clé, vous devez enregistrer dans un fichier texte la clé publique affichée au format Open SSH lors de la génération. A titre d'exemple, cette clé est libellée comme suit : « ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEA0yR9lBQov6[.....]c3xu9p/xNjw== rsa-key-20151204 » Vous pouvez alors charger cette clé dans la zone « Clé publique SSH » sur cette page. Si une clé existe déjà, vous pouvez charger une clé privée en utilisant PuTTYgen pour générer la clé publique correspondante au bon format. • une adresse IP/subnet source ou une plage d’adresses, permettant de limiter l’accès aux proxys et à l’interface Web à cette adresse ou plage d'adresses IP.
Figure 8.2. Page « Comptes » en mode création
58
Wallix AdminBastion 5.0.4 – Guide d’Administration
8.1.2. Modifier un utilisateur Sur la page « Comptes », cliquez sur un identifiant d'utilisateur puis sur « Modifier cet utilisateur » pour afficher la page de modification du compte. Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de l'utilisateur, excepté l’identifiant affiché dans le champ « Nom d'utilisateur » qui n’est pas modifiable.
Note : Si le champ « Mot de passe » n’est pas modifié, le mot de passe de l’utilisateur n’est pas modifié.
8.1.3. Supprimer un utilisateur Sur la page « Comptes », sélectionnez un ou plusieurs comptes à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
8.1.4. Visualiser les droits d'un utilisateur sur l'interface Web Sur la page « Comptes », cliquez sur un compte pour afficher les données de l'utilisateur et étendre la zone « Droits sur la GUI » pour visualiser les données correspondantes pour cet utilisateur.
8.1.5. Visualiser les équipements, applications et comptes cibles accessibles par un utilisateur Sur la page « Comptes », cliquez sur un compte pour afficher les données de l'utilisateur et étendre les zones suivantes pour visualiser les autorisations correspondantes : • « Autorisations sur les équipements » : cette zone affiche la liste des équipements accessibles par cet utilisateur, Cliquez sur l'icône au début de la ligne afin de télécharger un fichier de configuration pour établir une connexion. • « Autorisations sur les applications » : cette zone affiche la liste des applications accessibles par cet utilisateur, Cliquez sur l'icône au début de la ligne afin de télécharger un fichier de configuration pour établir une connexion. • « Autorisations sur les comptes » : cette zone affiche la liste des comptes cibles accessibles par cet utilisateur.
8.1.6. Importer des utilisateurs Vous pouvez importer des utilisateurs à partir : • d’un fichier CSV, • ou d’un annuaire d’entreprise (LDAP, LDAPS ou Active Directory) si vous ne vous voulez que répliquer un instantané de votre annuaire dans la base de données de WAB. Vous pouvez avoir
59
Wallix AdminBastion 5.0.4 – Guide d’Administration recours à la fonctionnalité d’intégration à un domaine LDAP qui utilise directement l’annuaire (voir Section 8.8, « Configuration de l'intégration avec un domaine LDAP ou Active Directory »).
8.1.6.1. Importer des utilisateurs depuis un fichier .csv Vous pouvez alimenter la base utilisateurs de WAB à partir d’un fichier .csv : • soit depuis la page « CSV » du menu « Import/Export ». Vous pouvez alors cocher la case « Utilisateurs » pour importer les données. Les séparateurs de champs et de listes sont également configurables. • soit depuis la page « Comptes » du menu « Utilisateurs ». Vous pouvez cliquer sur l'icône « Importer depuis un fichier CSV » en haut à droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case « Utilisateurs » est déjà cochée pour l'import des données. Les séparateurs de champs et de listes sont également configurables. Le fichier doit commencer par une ligne contenant le marqueur : #wab504 user
Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 : #wab50 user
Important : Les données relatives au mot de passe, à la clé SSH ou encore au certificat X509 des utilisateurs ne sont pas indiquées dans le fichier .csv lors de l'export. Celles-ci doivent donc être renseignées dans le fichier .csv avant l'import. Chaque ligne suivante doit être formée comme indiqué ci-dessous : Champ Identifiant
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Valeur par défaut
Texte
R
[aA-zZ], [0-9], '-', '_'
N/A
Groupe d’utilisateurs Texte
O
[aA-zZ], [0-9], '-', '_'
N/A
Plusieurs groupes peuvent exister pour le même utilisateur. Si le groupe d'utilisateurs n'existe pas, il est créé avec la plage horaire par défaut « allthetime ». Nom réel
Texte
O
Texte libre
N/A
IP source
IP/FQDN
O
[aA-zZ], [0-9], '-', '_'
N/A
Peut être soit une adresse, soit un domaine ou encore une plage d'IP (ex. : « 10.10.10.11-10.10.10.42 »). Profil
Texte
R
Profils définis
N/A
Date expiration
Date et heure
O
AAAA-MM-JJ et HH:MM
N/A
60
Wallix AdminBastion 5.0.4 – Guide d’Administration Champ
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Valeur par défaut
Date et heure auxquelles le compte expirera. Authentification
Texte
R
Authentifications définies
N/A
Plusieurs authentifications peuvent exister pour le même utilisateur. Clé publique SSH
Texte
O/R
[aA-zZ], [0-9], '-', '_'
N/A
Lorsque l'authentification est « local », au moins l'un des champs suivants est requis : Mot de passe, clé publique SSH ou X509. Cette donnée n'est pas indiquée dans le fichier .csv lors de l'export des utilisateurs. Elle doit donc être renseignée dans le fichier .csv avant l'import. Mot de passe
Texte
R/O
Texte libre
Lorsque Doit être conforme à l'authentification la politique de mot de est « local », passe actuelle (nombre de au moins l'un caractères spéciaux, etc.). des champs suivants est requis : Mot de passe, clé publique SSH ou X509.
61
N/A
Wallix AdminBastion 5.0.4 – Guide d’Administration Champ
Adresse e-mail
Type
Texte
R(equis)/ O(ptionnel) Cette donnée n'est pas indiquée dans le fichier .csv lors de l'export des utilisateurs. Elle doit donc être renseignée dans le fichier .csv avant l'import.
Valeurs possibles
Valeur par défaut
R
Adresse e-mail
N/A
Forcer le Booléen changement de mot de passe
R
Vrai ou Faux
Faux
Compteur d’échecs Entier d’authentification
O
Entier positif, verrouillera 0 l’utilisateur si supérieur ou égal à la valeur du nombre maximum d’échecs d’authentification par utilisateur spécifiée dans la politique de mots de passe.
Date de dernière Texte connexion
O
Ignoré
N/A
Langue préférée
O
« de » pour Allemand
« en »
Texte
« en » pour Anglais « fr » pour Français « ru » pour Russe DN X509
Texte
O/R
Une empreinte de N/A certificat comme indiqué Lorsque dans la section 8.6.3.1, l'authentification « Authentification des est « local », utilisateurs » au moins l'un des champs suivants est requis : Mot de passe, clé publique SSH ou X509.
62
Wallix AdminBastion 5.0.4 – Guide d’Administration Champ
Type
R(equis)/ O(ptionnel) Cette donnée n'est pas indiquée dans le fichier .csv lors de l'export des utilisateurs. Elle doit donc être renseignée dans le fichier .csv avant l'import.
Valeurs possibles
Valeur par défaut
Exemple de syntaxe d'import : #wab504 user martin;linuxadmins;Pierre Martin;;user;;local;;jMpdu9/ x2z;[email protected];False
Après l’importation du fichier .csv, un résumé de l’opération s’affiche. Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est indiquée.
Figure 8.3. Page « CSV » - case « Utilisateurs » cochée
63
Wallix AdminBastion 5.0.4 – Guide d’Administration
8.1.6.2. Importer des utilisateurs depuis un annuaire LDAP/LDAPS/AD Depuis la page « Utilisateurs depuis LDAP » du menu « Import/Export », vous pouvez importer les données utilisateurs stockées dans un annuaire distant pour alimenter la base ACL interne de WAB. Vous pouvez avoir recours à la fonctionnalité d’intégration à un domaine LDAP qui utilise directement l’annuaire et reste donc synchronisée avec les changements effectués dans celui-ci (voir Section 8.8, « Configuration de l'intégration avec un domaine LDAP ou Active Directory »). Pour chaque annuaire, il est nécessaire de connaître : • le type de serveur, son adresse et le port de connexion • le DN de base de l’unité d’organisation • l’attribut identifiant, qui est le nom de l’attribut de l’utilisateur LDAP qui sera utilisée comme identifiant WAB • un utilisateur et son mot de passe si l’accès anonyme à l’annuaire en lecture est interdit (obligatoire pour un AD).
Note : L’identifiant et le mot de passe de connexion utilisés doivent avoir les droits en lecture sur le chemin où sont stockées les données utilisateurs. Si l’importation réussit, une page contenant la liste des utilisateurs extraite de l’annuaire s'affiche. Chaque utilisateur peut alors être importé et se voir attribuer : • un groupe d’utilisateurs, • une authentification, • un profil utilisateur.
Note : Si vous souhaitez que les utilisateurs importés s’authentifient sur l’annuaire utilisé pour l’importation, il est nécessaire de créer auparavant la méthode d’authentification (voir aussi Section 8.7.1, « Ajouter une authentification externe »).
Figure 8.4. Page « Utilisateurs depuis LDAP »
64
Wallix AdminBastion 5.0.4 – Guide d’Administration
8.2. Groupes utilisateurs Sur la page « Groupes », vous pouvez : • lister les groupes utilisateurs enregistrés, • ajouter/modifier/supprimer un ou plusieurs groupes, • voir qui sont les membres de chacun des groupes, • importer des groupes utilisateurs à partir d'un fichier .csv afin d'alimenter la base utilisateurs de WAB. Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des résultats (et pas uniquement sur la page active). Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à travers les pages et modifier le nombre d'éléments affichés par page.
Figure 8.5. Page « Groupes »
8.2.1. Ajouter un groupe utilisateurs Sur la page « Groupes », cliquez sur « Ajouter un groupe » pour afficher la page de création du groupe utilisateur. Cette page recense les champs suivants : • le nom du groupe, • une description, • la(les) plage(s) horaire(s) à appliquer,
Note : Si plusieurs plages horaires sont sélectionnées, la plage horaire appliquée associe toutes ces plages horaires. • une liste de sélection des utilisateurs du groupe, • une liste d’actions à appliquer lors de la détection de certaines chaînes de caractères sur le flux montant des proxys (voir Section 9.5.9, « Analyse des flux SSH / Détection de motifs (ou « patterns ») » et Section 9.5.10, « Analyse des flux RDP / Détection de motifs (ou « patterns ») »),
65
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement : La détection de chaînes de caractères n’est active que pour les données envoyées par le client vers le serveur et uniquement pour les connexions de type SSH, TELNET ou RLOGIN. • dans le cas d’une intégration LDAP/AD telle que décrite dans la section 8.8, « Configuration de l'intégration avec un domaine LDAP ou Active Directory », les champs du cadre « Correspondance d'authentification LDAP » permettent de définir le profil à utiliser pour les membres du groupe et pour chaque lien avec un annuaire, le DN du groupe de l’annuaire.
Avertissement : Si aucun domaine LDAP/AD n'est configuré au sein de WAB, alors le cadre « Correspondance d'authentification LDAP » n'est pas affiché sur cette page.
Figure 8.6. Page « Groupes » en mode création
8.2.2. Modifier un groupe utilisateurs Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour afficher la page de modification du groupe.
66
Wallix AdminBastion 5.0.4 – Guide d’Administration Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du groupe, excepté le champ « Nom du groupe » qui n’est pas modifiable.
8.2.3. Supprimer un groupe utilisateurs Sur la page « Groupes », sélectionnez un ou plusieurs groupes à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
Avertissement : Vous ne pouvez pas supprimer un groupe lorsque des utilisateurs sont rattachés à ce groupe. Vous ne pouvez pas supprimer un groupe lié à des autorisations actives (voir Chapitre 12, Gestion des autorisations ).
8.2.4. Visualiser les membres d’un groupe utilisateurs Sur la page « Groupes », cliquez sur un nom de groupe pour afficher les informations sur ce groupe : le champ « Utilisateurs » contient la liste des utilisateurs de ce groupe.
Figure 8.7. Page « Groupes » - Affichage des information sur le groupe
8.2.5. Importer des groupes utilisateurs Sur la page « Groupes », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case « Groupes utilisateurs » est déjà cochée pour l'import des données. Les séparateurs de champs et de listes sont également configurables. Le fichier doit commencer par une ligne contenant le marqueur : #wab504 usergroup
Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 : #wab50 usergroup
Chaque ligne suivante doit être formée comme indiqué ci-dessous : Champ Nom
Type Texte
R(equis)/ O(ptionnel) R
Valeurs possibles [aA-zZ], [0-9], '-', '_'
67
Valeur par défaut N/A
Wallix AdminBastion 5.0.4 – Guide d’Administration Champ
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Valeur par défaut
Description
Texte
O
Texte libre
N/A
Profil
Texte
O
Profils définis
N/A
Plage horaire
Texte
R
Plages définies
horaires N/A
Plusieurs plages horaires peuvent exister pour le même groupe utilisateurs. Utilisateurs
Texte
O
Utilisateurs définis
N/A
Il peut n'y avoir aucun utilisateur ou un ou plusieurs utilisateurs définis. Après l’importation du fichier .csv, un résumé de l’opération s’affiche. Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est indiquée.
8.3. Profils utilisateurs Sur la page « Profils », vous pouvez : • lister les profils utilisateurs, • ajouter/modifier/supprimer un ou plusieurs profils utilisateurs, • définir les droits et les limitations d'administration sur WAB pour un profil. Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des résultats (et pas uniquement sur la page active). Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à travers les pages et modifier le nombre d'éléments affichés par page.
8.3.1. Profils par défaut Plusieurs profils utilisateurs sont configurés par défaut dans WAB. Ces profils prédéfinis affichés sur la page « Profils » sont les suivants : • « user » (« utilisateur ») : ce profil n'a aucun droit d’administration mais peut accéder aux comptes cibles, • « auditor » (« auditeur ») : ce profil peut consulter les données d’audit de WAB (voir Section 11.3, « Données d'audit ») mais ne peut pas accéder aux comptes cibles, • « WAB_administrator » (« administrateur_WAB ») : ce profil possède tous les droits d’administration et peut se connecter aux comptes cibles, • « system_administrator » (« administrateur_système ») : ce profil peut accéder au menu « Système » mais ne dispose pas d'un accès aux comptes cibles,
68
Wallix AdminBastion 5.0.4 – Guide d’Administration • « approver » (« approbateur ») : ce profil peut accepter/rejeter des demandes d'approbations pour accéder aux comptes cibles, • « disabled » (« désactivé ») : ce profil ne dispose d’aucun droit.
Note : La configuration d'usine pour l'utilisateur « admin » est le profil « WAB_administrator ».
8.3.2. Ajouter un profil utilisateur Sur la page « Profils », cliquez sur « Ajouter un profil » pour afficher la page de création du profil utilisateur. Cette page recense les éléments suivants : • un champ pour la saisie du nom du profil, • une zone permettant de définir les droits du profil, • une zone permettant de renseigner des limitations pour le profil. La zone « Droits » permet de sélectionner des actions visant à définir les autorisations du profil pour les fonctionnalités principales de l'interface Web, affichées depuis le menu de WAB : • « Aucun » : pas de droit ouvert : le menu lié à la fonctionnalité n’apparaîtra pas lors de la connexion de l’utilisateur, • « Afficher » : l'utilisateur peut consulter les éléments créés mais ne peut pas les modifier, • « Modifier » : l'utilisateur peut consulter et modifier des éléments, • « Exécuter » (uniquement pour la sauvegarde et la restauration) : l'utilisateur peut lancer une sauvegarde ou une restauration du système (voir Section 7.13, « Sauvegarde et restauration »). Une autre option est disponible pour activer/désactiver l'accès aux comptes cibles. Sur la partie « Autres fonctionnalités », vous pouvez définir des limitations pour les fonctions de connectivité au proxy et des limitations sur l'usage de certains droits d’administration sur des groupes de comptes cibles et des groupes utilisateurs. La limitation des droits sur les groupes permet d’ajouter des utilisateurs ou des comptes cibles uniquement dans les groupes sur lesquels le profil est habilité à intervenir. La limitation sur les groupes permet d’ajouter des utilisateurs ou des comptes cibles uniquement dans les groupes sur lesquels le profil est habilité à intervenir.
69
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 8.8. Page « Profils » en mode création
8.3.3. Modifier un profil utilisateur Sur la page « Profils », cliquez sur un nom de profil pour afficher la page de modification du profil. Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du profil, excepté le champ « Nom du profil » qui n’est pas modifiable.
Avertissement : Un profil prédéfini ne peut être ni supprimé ni modifié.
8.3.4. Supprimer un profil utilisateur Sur la page « Profils », sélectionnez un ou plusieurs profils à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
Avertissement : Un profil prédéfini ne peut être ni supprimé ni modifié. Vous ne pouvez pas supprimer un profil utilisateur lorsqu'au moins un utilisateur est rattaché à ce profil.
8.4. Configuration des notifications WAB vous permet de définir des notifications. Ces notifications sont déclenchées et envoyées à l'utilisateur lors de la détection d’événements tels que :
70
Wallix AdminBastion 5.0.4 – Guide d’Administration • une erreur lors de l'authentification primaire, c'est-à-dire un échec de l'authentification d'un utilisateur sur WAB, • une erreur lors d'une connexion secondaire, c'est-à-dire un échec de la connexion à une cible, • une connexion ou une emprunt de mot de passe sur une cible critique, • une nouvelle empreinte de clé SSH enregistrée, • une mauvaise empreinte de clé SSH détectée , • une erreur RAID, • la détection d’une occurrence lors de l’analyse du flux montant SSH ou RDP, • un avertissement de licence, • une alerte sur l’expiration des mots de passe, • une alerte sur l’espace disque disponible. Sur la page « Notifications » du menu « Configuration », vous pouvez ajouter, modifier ou supprimer des notifications. Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des résultats (et pas uniquement sur la page active). Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à travers les pages et modifier le nombre d'éléments affichés par page.
8.4.1. Ajouter une notification Sur la page « Notifications » du menu « Configuration », cliquez sur « Ajouter une notification » pour afficher la page de création de la notification. Cette page recense les champs suivants : • un champ pour la saisie du nom de la notification, • des cases à cocher pour activer l’envoi de notifications sur les événements précédemment cités, • l’e-mail du destinataire, • la langue dans laquelle la notification sera libellée.
71
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 8.9. Page « Notifications » en mode création
Note : Vous pouvez configurer les paramètres d’envoi des mails sur le page « Serveur SMTP » du menu « Système » (Section 7.12, « Serveur SMTP »).
8.4.2. Modifier une notification Sur la page « Notifications », cliquez sur un nom de notification pour afficher la page de modification de la notification. Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la notification, excepté le champ « Nom de notification » qui n’est pas modifiable.
8.4.3. Supprimer une notification Sur la page « Notifications », sélectionnez une ou plusieurs notifications à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
8.5. Configuration de la politique de mot de passe local La politique de mot de passe permet d’établir des règles relatives au stockage des mots de passe locaux. Ces règles définissent notamment le niveau de complexité du mot de passe.
72
Wallix AdminBastion 5.0.4 – Guide d’Administration Par défaut, la taille minimale d’un mot de passe est définie à 6 caractères, les 4 derniers mots de passe utilisés ne peuvent être réutilisés, et il n’est pas possible d’utiliser un mot de passe similaire au nom de l’utilisateur. De plus, une liste de mots de passe interdits, car triviaux est insérée par défaut. Sur la page « Politique mots de passe locaux » du menu « Configuration », vous pouvez définir la politique de mot de passe et également configurer la durée de vie des mots de passe. Pour cela, cliquez sur « Modifier cette politique » pour afficher la page de modification de la politique du mot de passe local. Cette page recense les champs suivants : • la durée de validité du mot de passe, en jours. Passée cette durée, l’utilisateur ne pourra plus se connecter avec son mot de passe ; un administrateur devra lui définir une nouvelle accréditation. Il est recommandé que cette valeur soit inférieure à un an. • l’échéance avant le premier avertissement, en jours, permet à l’utilisateur de savoir que son mot de passe va bientôt expirer • la longueur minimale du mot de passe. Cette taille doit être supérieure à la somme des autres contraintes de nombre de caractères. • le nombre maximum d'échecs d'authentification autorisés par utilisateur. Il est recommandé de mettre ce paramètre au moins à 5. • le nombre minimal de caractères spéciaux dans le mot de passe. Il est recommandé de mettre ce paramètre au moins à 2. • le nombre minimal de lettres majuscules dans le mot de passe. Il est recommandé de mettre ce paramètre au moins à 2. • le nombre minimal de caractères numériques dans le mot de passe. Il est recommandé de mettre ce paramètre au moins à 2. • le nombre de mots de passe précédents non réutilisables. Il est recommandé de mettre ce paramètre au moins à 5. • une case à cocher permettant d’autoriser un mot de passe similaire à l’identifiant de l’utilisateur. Il est recommandé de ne pas le permettre. • un fichier permettant de définir une liste de mot de passe interdits
Note : La liste des mots de passe interdits doit être fournie dans un fichier au format UTF-8.
73
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 8.10. Page « Politique mots de passe locaux » en mode modification
8.6. Configuration de l'authentification X509 8.6.1. Pré-requis Avant de mettre en place l’authentification via X509, il est nécessaire de disposer : • d’un certificat au format PEM pour le serveur Web de WAB • de la clé privée au format PEM correspondant à ce certificat du serveur • de la clé publique de l’autorité de certification ayant délivré ce certificat du serveur. Il peut s’agir d’un certificat auto-signé ou délivré par une autorité reconnue. Il faut ensuite ouvrir un shell d’administration depuis WAB à l’aide d’un client SSH avec le compte « wabadmin » et s’assurer d’avoir accès au port 8082 de WAB.
8.6.2. Paramétrages X509 8.6.2.1. Configuration X509 Une fois authentifié sur un shell, vous devez acquérir les privilèges « root » : wabsuper$ sudo -i
Exécutez la commande suivante : # WABX509Setup
Allez sur l’interface Web de WAB, sur le port 8082 (attention, cette dernière est accessible via HTTPS) : https://adresse_ip_de_wab:8082/
L’interface de configuration X509 apparaît.
74
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 8.11. Page de configuration Cliquez sur le bouton « Start ». Puis, réalisez les étapes suivantes : • arrêt de l’interface Web de WAB, • téléchargement du certificat du CA (contenant sa clé publique) au format PEM, • téléchargement de la clé privée du serveur Web au format PEM, • téléchargement du certificat du serveur Web (contenant sa clé publique) au format PEM, • redémarrage de l’interface Web de WAB, • fin de la configuration et affichage du journal d’Apache. Celui-ci ne doit pas contenir de logs « error », • redémarrage de l’interface Web de WAB redirection sur celle-ci en cliquant sur le bouton « Close ». Si la page n’apparaît pas immédiatement, veuillez la rafraîchir une fois.
Note : L’interface Web de WAB est indisponible pendant la durée de ces opérations. Cependant, il n'y a pas de répercussion sur les proxys.
8.6.2.2. Configuration X509 avec WAB en mode Haute Disponibilité Connectez-vous via un shell sur votre WAB « Master ». Une fois authentifié sur un shell, vous devez acquérir les privilèges « root » : wabsuper$ sudo -i
Exécutez la commande suivante : # WABX509Setup
Aller sur l’interface Web de WAB, en utilisant l’adresse IP de votre master, sur le port 8082 (attention, cette dernière est accessible via HTTPS) : https://adresse_ip_du_master:8082/
L’interface de configuration X509 apparaît.
Figure 8.12. Page de configuration
75
Wallix AdminBastion 5.0.4 – Guide d’Administration Cliquez sur le bouton « Start ». Puis, réalisez les étapes suivantes : • arrêt de l’interface Web de WAB, • téléchargement du certificat du CA (contenant sa clé publique) au format PEM, • téléchargement de la clé privée du serveur Web au format PEM, • téléchargement du certificat du serveur Web (contenant sa clé publique) au format PEM, • redémarrage de l’interface Web de WAB, • fin de la configuration et affichage du journal d’Apache. Celui-ci ne doit pas contenir de logs « error », • redémarrage de l’interface Web de WAB redirection sur celle-ci en cliquant sur le bouton « Close ». Si la page n’apparaît pas immédiatement, veuillez la rafraîchir une fois.
Note : L’interface Web et les proxys de WAB sont indisponibles pendant la durée de ces opérations.
8.6.3. Fonctions d’administration X509
Figure 8.13. Écran de connexion WAB avec authentification X509 Une fois l’interface Web relancée, la page d’authentification du WAB affiche un nouveau lien permettant de s’authentifier via un certificat SSL. Les utilisateurs et les administrateurs peuvent ainsi s’authentifier à l’aide d’un certificat stocké soit directement dans le navigateur, soit dans un token.
8.6.3.1. Authentification des utilisateurs Le champ « Certificat DN » apparaît sur la page « Comptes » lors de l'ajout ou de la modification d'un utilisateur (voir Section 8.1, « Comptes utilisateurs »). Le nom canonique du certificat doit être renseigné dans ce champ. Par exemple, pour un certificat dont l’empreinte est la suivante : CN=Lucas Martin,O=MyCorp,L=PARIS,ST=IDF,C=FR
76
Wallix AdminBastion 5.0.4 – Guide d’Administration Pour associer l’utilisateur qui doit être « ajouté/édité » à ce certificat, la valeur à saisir dans le champ « Certificat DN » doit respecter l'empreinte du certificat : CN=Lucas Martin,O=MyCorp,L=PARIS,ST=IDF,C=FR Lorsque ce certificat sera utilisé, l’utilisateur lié sera authentifié sur WAB.
Note : Les certificats doivent être signés par la même autorité de certification que celui du serveur Web. Certains certificats ont un champ « emailAddress » noté, dans l’empreinte du certificat « E =... ». Ce champ doit être remplacé par « /emailAddress =... » dans le champ réservé. Les caractères Unicode sont supportés dans les empreintes de certificats si le certificat est encodé en UTF-8 selon la RFC2253, sinon seuls les caractères ASCII standard sont supportés. La longueur maximale du DN supportée est de 1024 octets (le nombre exact de caractères peut être inférieur selon la longueur de l’encodage UTF-8).
Figure 8.14. Page « Comptes » en mode modification avec le champ « Certificat DN »
77
Wallix AdminBastion 5.0.4 – Guide d’Administration
8.6.3.2. Gestion de la CRL Sur la page « Paramètres X509 » du menu « Configuration », vous pouvez importer une CRL (liste de révocation).
Note : Une fois la CRL téléchargée, il est nécessaire de redémarrer l’interface Web de WAB avec la commande suivante : # systemctl restart wabgui
Figure 8.15. Page « Paramètres X509 »
8.6.4. Authentification X509 Un utilisateur peut continuer à s’authentifier sur l’interface Web soit par mot de passe, soit par certificat. S’il s’authentifie à l’aide d’un certificat, l’utilisation des proxys se retrouve modifiée et peut être résumée ainsi : • l’utilisateur ouvre sa connexion vers un équipement cible (via son client RDP ou SSH), • le proxy interroge le mode d’authentification de l’utilisateur sur l’interface Web, • si l’utilisateur a été authentifié en X509, une demande de confirmation d'ouverture de session s'affiche sur son interface Web, • si l'utilisateur confirme cette demande, il est automatiquement authentifié sur la cible.
Note : En cas d'authentification par mappage de compte, l'utilisateur devra entrer son mot de passe sur la cible.
78
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 8.16. Authentification d’un utilisateur via un certificat SSL
Figure 8.17. Demande de confirmation d’ouverture de session
8.6.5. Retrait du mode X509 Le mode X509 peut être retiré en exécutant la commande suivante : # WABX509Unset
De nouveaux certificats auto-signés sont alors générés et il n’est plus possible pour les utilisateurs de s’authentifier via leurs certificats.
79
Wallix AdminBastion 5.0.4 – Guide d’Administration
8.6.6. Implémentation technique pour les certificats X509 Le support des certificats X509 est réalisé via l’extension mod_ssl d’Apache. Les clés de configuration utilisées sont les suivantes : SSLEngine on SSLOptions +StdEnvVars -ExportCertData SSLProtocol TLSv1.2 SSLHonorCipherOrder On SSLCipherSuite EDH
ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!
SSLCACertificateFile SSLCACertificatePath SSLCertificateFile SSLCertificateKeyFile SSLCARevocationFile SSLVerifyClient optional SSLVerifyDepth 5
8.7. Configuration des authentifications externes Les méthodes d’authentification externes définissables au sein de WAB permettent de configurer l'authentification d'un utilisateur sur l'application. Une méthode d'authentification externe est associée à un compte utilisateur lors de la création ou la modification du compte. Pour plus d'informations, voir Section 8.1.1, « Ajouter un utilisateur ». WAB supporte les méthodes d’authentifications suivantes : • LDAP/LDAPS, • Active Directory, • Kerberos, • Radius. Sur la page « Authentifications externes » du menu « Configuration », vous pouvez ajouter, modifier ou supprimer des procédures d’authentifications externes. Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des résultats (et pas uniquement sur la page active). Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à travers les pages et modifier le nombre d'éléments affichés par page.
80
Wallix AdminBastion 5.0.4 – Guide d’Administration
Note : Par défaut, WAB est configuré avec l’authentification « local » permettant aux utilisateurs de s’authentifier via le moteur de données interne au produit.
8.7.1. Ajouter une authentification externe Sur la page « Authentifications externes » du menu « Configuration », cliquez sur « Ajouter une authentification » pour afficher la page de création de l'authentification externe. Cette page recense les champs suivants : • un type d’authentification : sélectionner le type souhaité pour afficher les champs requis pour la définition de l’authentification, • un nom pour l’authentification, • une description, • l'adresse du serveur (IP ou FQDN), • un port de connexion. Pour les authentifications LDAP/LDAPS, les champs requis doivent être renseignés comme cidessous : • « Base DN » : le nom unique (« Distinguished Name ») de l’unité d’organisation doit être renseigné. • « Attribut identifiant » : l’attribut identifiant doit être renseigné. L’attribut identifiant doit correspondre au nom de l’attribut LDAP où est stocké l’identifiant de l’utilisateur WAB. • « Utilisateur » et « Mot de passe » : il est nécessaire de renseigner un nom d’utilisateur et un mot de passe à utiliser pour rechercher l’identifiant dans l’annuaire si l’accès anonyme est désactivé sur le serveur LDAP.
Note : L’utilisateur doit avoir les droits de lecture sur le DN de base utilisé. Pour les authentifications LDAP-AD/LDAPS-AD, les champs requis doivent être renseignés comme ci-dessous : • « Base DN » : dépend du nom de domaine. Par exemple pour le domaine « mycorp.lan », le DN de base devrait être « dc=mycorp,dc=lan ». • « Attribut identifiant » : l'identifiant de connexion est « sAMAccountName ». • « Utilisateur » : l’accès anonyme à un annuaire Active Directory étant impossible, il est nécessaire de disposer d’un compte administrateur du domaine pour la recherche de l’identifiant de l’utilisateur WAB dans l’annuaire. La valeur à préciser dans ce champ doit être le DN de cet administrateur (ex.: « cn=admin,dc=mycorp,dc=lan »). Pour les authentifications Kerberos, il est nécessaire de s'assurer dans un premier temps que l'infrastructure Kerberos, le navigateur et le client proxy SSH sont correctement configurés pour permettre l'authentification. Les champs requis doivent être renseignés comme ci-dessous :
81
Wallix AdminBastion 5.0.4 – Guide d’Administration • « Nom de domaine » : le nom de domaine (REALM) doit être renseigné, • « Fichier keytab » : vous pouvez importer les fichier keytab nécessaires afin d’établir les connexions. Chaque fichier keytab chargé est fusionné avec les fichiers chargés précédemment.. La présence d’un service de type HTTP dans un keytab active le support de Kerberos pour s’authentifier sur la GUI ; il faut pour cela utiliser le préfixe iwab dans l’url (https:// adresse_ip_de_wab/iwab ou https:///iwab). Les services de type HOST sont utilisés pour l’authentification Kerberos auprès du proxy SSH. Il est alors possible d’utiliser un ticket « forwardable » pour se connecter à une cible au sein du même domaine Kerberos en utilisant le mappage de compte (voir Section 9.4.1, « Ajouter un compte cible »). Pour qu’un utilisateur authentifié Kerberos (via la GUI ou le proxy SSH) soit reconu par WAB, une des deux conditions suivantes est nécessaire: • l’utilisateur est défini localement (sur WAB) et une authentification Kerberos est configurée pour cet utilisateur ; • l’utilisateur est un utilisateur LDAP ayant un groupe WAB associé. Dans ce cas, au moins l' une des configurations suivantes est requise: – il y a une association locale définie pour le domaine LDAP de l’utilisateur et le nom du domaine Kerberos est égal au nom du domaine LDAP (non sensible à la casse) ; – il y a un domaine LDAP par défaut défini sur WAB. Pour les authentifications RADIUS, il est nécessaire de renseigner la clé de chiffrement des paquets dans le champ « Secret ».
Figure 8.18. Page « Authentifications externes » en mode création pour l'authentification KERBEROS
8.7.2. Modifier une authentification externe Sur la page « Authentifications externes », cliquez sur un nom d'authentification puis sur « Modifier cette authentification » pour afficher la page de modification de l'authentification. Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de l'authentification, excepté le champ « Nom de l'authentification » qui n’est pas modifiable.
82
Wallix AdminBastion 5.0.4 – Guide d’Administration
8.7.3. Supprimer une authentification externe Sur la page « Authentifications externes », sélectionnez une ou plusieurs authentifications à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
Avertissement : Vous ne pouvez pas supprimer une authentification externe lorsqu'au moins un utilisateur est rattaché à cette authentification.
8.8. Configuration de l'intégration avec un domaine LDAP ou Active Directory WAB peut intégrer directement des utilisateurs à partir d'annuaires LDAP ou Active Directory (AD) afin de vous éviter de les créer localement au sein de l'application. La gestion des comptes utilisateurs du WAB peut être intégrée avec un ou plusieurs annuaires LDAP ou AD. Lorsqu’une telle intégration est mise en place, les comptes utilisateurs ne sont plus présents localement dans la configuration de WAB et les informations relatives à un compte sont retrouvées dans l’annuaire à chaque fois qu’un utilisateur se connecte à l'un des services de WAB. Pour configurer une intégration, il faut d’abord ajouter les authentifications externes (LDAP, LDAPS, LDAP-AD, LDAPS-AD) permettant la connexion aux annuaires (voir Section 8.7, « Configuration des authentifications externes »). Sur la page « Domaines LDAP/AD » du menu « Configuration », vous pouvez définir et configurer un nouveau domaine. Cliquez sur « Ajouter un domaine » pour afficher la page de création du domaine LDAP/AD. La création d’un nouveau domaine commence par la sélection des authentifications externes à utiliser. La sélection se fait en choisissant un type d’authentification LDAP externe dans la liste du champ "LDAP externe". Il est alors possible de choisir des authentifications dans la liste des authentifications du type choisi. Si plusieurs authentifications sont sélectionnées, elles sont utilisées une après l’autre, lors de la connexion d’un utilisateur, jusqu’à la première authentification qui réussit. Cela permet de redonder les annuaires. Un domaine décrit les attributs du schéma de l’annuaire à utiliser pour trouver les attributs nécessaire pour un compte WAB. Ces attributs sont recensés dans les éléments suivants: • un nom pour le domaine WAB, • une description, • l'option du domaine par défaut : cette case peut être cochée pour permettre la suppression de la nomenclature du domaine (c'est-à-dire @domain) de l'identifiant de l'utilisateur lors de l'authentification sur WAB. Ainsi une correspondance peut être établie entre les utilisateurs locaux WAB-AM et les utilisateurs du domaine WAB. • un nom pour le domaine LDAP/AD, • dans le cadre d'une authentification par certificat X509, une option permettant de sélectionner la vérification de l'e-mail SAN et, le cas échéant, le nom du domaine pour la vérification de cet e-mail,
83
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement : Si cette option est cochée, alors les utilisateurs peuvent uniquement s'authentifier sur le domaine LDAP/AD en utilisant la méthode d'authentification X509. • la sélection du type d’authentification LDAP externe à utiliser dans la liste de valeurs présente dans le cadre « Authentifications disponibles » puis, le choix des authentifications parmi celles proposées pour le type choisi. Si plusieurs authentifications sont sélectionnées, elles sont utilisées successivement, l'une après l’autre, lors de la connexion d’un utilisateur jusqu’à la première authentification qui réussit. Cela permet de redonder les annuaires. • l'identifiant : l’attribut du schéma est indiqué dans le champ « Attribut identifiant » sur la page « Authentifications externes » (voir Section 8.7.1, « Ajouter une authentification externe »). Par défaut, WAB utilise « sAMAccountName » avec AD ou « uid » avec LDAP. • l'attribut groupe : il s’agit de l’attribut décrivant l’appartenance à un groupe. Par défaut, il s’agit de « memberOf » avec AD. Avec LDAP, la valeur par défaut est « (&(ObjectClass=posixGroup) (memberUid=${uid})) ». Il s’agit d’une requête LDAP qui permet de trouver les groupes qui contiennent l’utilisateur défini par son uid. En effet, certains serveurs ne supportent par défaut de maintenir au niveau de chaque compte la liste des groupes auxquels il appartient. Il faut donc utiliser une requête supplémentaire. La syntaxe ${uid} est propre à WAB; uid peut être remplacé par n’importe quel attribut de l’utilisateur. Dans le cas où le serveur LDAP supporte le champ « memberOf », son utilisation est recommandée. C’est le cas des serveurs OpenLDAP configurés avec l’overlay « memberOf ». Il est possible avec AD de prendre en compte des groupes récursifs. Pour cela, il faut remplacer la valeur par défaut par la requête suivante: (&(ObjectClass=group)(member:1.2.840.113556.1.4.1941:=${distinguishedName}))
Cette requête peut être plus lente que la requête par défaut. • l'attribut nom usuel : généralement, il s'agit de l’attribut « displayName » pour AD et de « cn » pour LDAP. • l'attribut e-mail : attribut de l’adresse mail de l’utilisateur (AD et LDAP). • l'attribut langue : généralement, il s'agit de l'attribut « preferredLanguage » (AD et LDAP). Le domaine permet également de fournir des valeurs par défaut pour certains attributs si ceux-ci ne sont pas retrouvés dans l’annuaire : • la langue par défaut : langue par défaut des membres du domaine si la langue n’est pas définie dans l’annuaire. • le domaine par défaut du mail : l’adresse du mail est construite en préfixant le domaine avec l’identifiant : « identifiant@domaine ». Il faut ensuite associer les groupes de l’annuaire LDAP avec les groupes utilisateurs de WAB. Pour cela, il faut ajouter des correspondances d’authentification LDAP en renseignant les champs dans l'encart « Correspondance d'authentification LDAP », dans le bas de la page. Une correspondance permet de lier le groupe utilisateurs de WAB renseigné dans le champ « Groupe utilisateurs » à un groupe de l’annuaire en précisant la valeur correspondante de l’attribut groupe défini au dessus (par exemple, son DN complet pour « memberOf ») dans le champ « Groupe LDAP ». Si le groupe WAB n’était pas déjà lié par une correspondance, il faut également sélectionner le profil WAB pour les membres du groupe dans le champ « Profil ».
84
Wallix AdminBastion 5.0.4 – Guide d’Administration Dans le cas où aucune correspondance n’est trouvée quand un utilisateur se connecte, il est possible de demander à le placer dans un groupe par défaut, en cochant la case de l’option « Groupe par défaut pour les utilisateurs sans groupe dans ce domaine », disponible sur la gauche de la ligne. Ainsi, n’importe quel utilisateur défini dans l’annuaire peut accéder à WAB. Les correspondances sont également modifiables depuis la page de modification du groupe utilisateurs (voir Section 8.2, « Groupes utilisateurs »).
Figure 8.19. Page « Domaines LDAP/AP » en mode création
85
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 9. Ressources Le menu « Ressources » vous permet de créer et gérer des domaines, équipements, applications et des comptes accessibles depuis WAB. Il permet aussi de définir des groupes de comptes cibles.
9.1. Domaines Sur la page « Domaines », vous pouvez : • lister les domaines globaux ou locaux selon un filtre d'affichage sur le type de domaine, • ajouter/modifier/supprimer un domaine global, • modifier un domaine local, • importer des domaines globaux ou locaux à partir d'un fichier .csv afin d'alimenter la base ressources de WAB, • changer les mots de passe de tous les comptes sur le domaine global. Un domaine global représente une entité de gestion regroupant une multitude de comptes cibles pouvant être utilisés pour l'authentification sur une multitude d'équipements. L'avantage significatif de cette entité réside dans le déploiement et la synchronisation du changement de mot de passe en une seule fois sur tous les comptes des équipements associés au domaine. Un domaine local représente une entité de gestion regroupant une multitude de comptes cibles pouvant être utilisés pour l'authentification sur un seul et unique équipement. L'avantage significatif de cette entité réside dans le déploiement et la synchronisation du changement de mot de passe en une seule fois sur tous les comptes associés au domaine. Les domaines locaux sont créés lors de l'association à un équipement ou un compte cible. Pour plus d'informations, voir Section 9.2, « Équipements » et Section 9.4, « Comptes cibles ». Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des résultats (et pas uniquement sur la page active). Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à travers les pages et modifier le nombre d'éléments affichés par page.
9.1.1. Ajouter un domaine global Sur la page « Domaines », cliquez sur « Ajouter un domaine global » pour afficher la page de création du domaine global.
Avertissement : Veuillez vous assurer d'avoir sélectionné la valeur « Global » dans le champ « Afficher le type de domaine » en haut de la page. Cette page recense les champs suivants : • le nom du domaine : une représentation du domaine propre à l'application et utilisée pour afficher les comptes et les cibles sur l'interface Web ou lors des sessions RDP/SSH. • le nom réel du domaine : le nom du domaine externe si le domaine créé représente une correspondance d'un domaine externe (AD, LDAP, NIS). Le nom réel du domaine est ignoré lorsque le changement de mot de passe est effectué sur des cibles sous un environnement Linux. • une description,
86
Wallix AdminBastion 5.0.4 – Guide d’Administration • une option permettant d'activer le changement de mot de passe pour les comptes de ce domaine et, le cas échéant : – la politique de changement de mot de passe à sélectionner pour ce domaine. Pour plus d'informations, voir Section 10.3, « Politiques de changement des mots de passe ». – le plugin de changement de mot de passe à sélectionner pour ce domaine ainsi que des champs supplémentaires à renseigner en fonction du plugin choisi. Pour plus d'informations, voir Section 10.2, « Plugins de changement des mots de passe ».
Figure 9.1. Page « Domaines » en mode création
9.1.2. Modifier un domaine global ou local Sur la page « Domaines », sélectionnez « Global » ou « Local à l'équipement » ou « Local à l'application » dans le champ « Afficher le type de domaine » en haut de la page en fonction du type de domaine que vous souhaitez modifier. Ensuite, cliquez sur un domaine puis sur « Modifier ce domaine global » ou « Modifier ce domaine local » pour afficher la page de modification correspondante. Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du domaine. Le champ « Compte administrateur » vous permet de sélectionner le compte cible qui sera utilisé pour changer le mot de passe sur un autre compte cible en cas de non-concordance entre WAB et l'équipement.
9.1.3. Supprimer un domaine global Sur la page « Domaines », veuillez vous assurer d'avoir sélectionné « Global » dans le champ « Afficher le type de domaine » en haut de la page. Ensuite, sélectionnez un ou plusieurs domaines à l’aide de la case à cocher au début de la ligne puis cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
9.1.4. Importer des domaines globaux Sur la page « Domaines », veuillez vous assurer d'avoir sélectionné « Global » dans le champ « Afficher le type de domaine » en haut de la page. Ensuite, cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case « Domaines globaux » est déjà cochée pour l'import des données. Les séparateurs de champs et de listes sont également configurables.
87
Wallix AdminBastion 5.0.4 – Guide d’Administration Le fichier doit commencer par une ligne contenant le marqueur : #wab504 globaldomain
Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 : #wab50 globaldomain
Chaque ligne suivante doit être formée comme indiqué ci-dessous : Champ
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Valeur par défaut
Nom
Texte
R
[aA-zZ], [0-9], '-', '_'
N/A
Nom réel
Texte
R
Texte libre
N/A
Description
Texte
O
Texte libre
N/A
Compte admin
Texte
O
Un compte existant sur N/A le domaine Ce champ est uniquement pris en compte lorsque le domaine existe et le compte a été créé sur ce domaine.
Politique de Texte changement de mot de passe
O/R
Plugin de Texte changement de mot de passe
O/R
Paramètres plugin
O/R
du Texte
Politique de N/A changement de mot de Requis lorsque le passe définie changement de mot de passe est activé (un des 4 derniers champs est renseigné) Requis lorsque le changement de mot de passe est activé (un des 4 derniers champs est renseigné)
Plugin de changement N/A de mot de passe défini
Tous les arguments N/A nécessaires pour le Requis pour plugin certains types de plugins Requis pour certains plugins Format : clé1=valeur1 clé2=valeur2 Cisco : hôte (requis), motdepasse_enable (requis), port (optionnel)
88
Wallix AdminBastion 5.0.4 – Guide d’Administration Champ
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Valeur par défaut
Windows : adresse_controleur_domaine (requis) Unix : hôte (requis), port (optionnel), motdepasse_root (optionnel - le mot de passe root peut uniquement être défini si un compte_admin a été sélectionné au préalable) Oracle : hôte (requis), port (requis), nom_service (requis) Après l’importation du fichier .csv, un résumé de l’opération s’affiche. Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est indiquée.
Figure 9.2. Page « CSV » - case « Domaines globaux » cochée
9.1.5. Importer des domaines locaux Sur la page « Domaines », veuillez vous assurer d'avoir sélectionné « Local à l'équipement » ou « Local à l'application » dans le champ « Afficher le type de domaine » en haut de la page. Ensuite, cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case
89
Wallix AdminBastion 5.0.4 – Guide d’Administration « Domaines locaux » est déjà cochée pour l'import des données. Les séparateurs de champs et de listes sont également configurables. Le fichier doit commencer par une ligne contenant le marqueur : #wab504 localdomain
Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 : #wab50 localdomain
Chaque ligne suivante doit être formée comme indiqué ci-dessous : Champ
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Valeur par défaut
Nom
Texte
R
[aA-zZ], [0-9], '-', '_'
N/A
Description
Texte
O
Texte libre
N/A
Équipement
Texte
R/O
Au moins un équipement N/A ou une application doit être défini.
Application
Texte
R/O
Au moins un équipement N/A ou une application doit être défini.
Compte admin
Texte
O
Un compte existant sur le N/A domaine Ce champ est uniquement pris en compte lorsque le domaine existe et le compte a été créé sur ce domaine.
Politique de Texte changement de mot de passe
O/R
Plugin de Texte changement de mot de passe
O/R
Paramètres plugin
O/R
du Texte
Requis lorsque le changement de mot de passe est activé (un des 4 derniers champs est renseigné) Requis lorsque le changement de mot de passe est activé (un des 4 derniers champs est renseigné)
Politique de changement N/A de mot de passe définie
Plugin de changement N/A de mot de passe défini
Tous les arguments N/A nécessaires pour le Requis pour plugin certains types de plugins Requis pour certains plugins
90
Wallix AdminBastion 5.0.4 – Guide d’Administration Champ
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Valeur par défaut
Format : clé1=valeur1 clé2=valeur2 Cisco : motdepasse_enable (requis), port (optionnel) Windows : pas de paramètre spécifique à renseigner Unix : port (optionnel), motdepasse_root (optionnel) Oracle : port (requis), nom_service (requis) Pour les applications: Oracle : hôte (requis), port (requis), nom_service (requis) Après l’importation du fichier .csv, un résumé de l’opération s’affiche. Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est indiquée.
9.1.6. Changer les mots de passe de tous les comptes d'un domaine global Sur la page « Domaines », veuillez vous assurer d'avoir sélectionné « Global » dans le champ « Afficher le type de domaine » en haut de la page. Sélectionnez un domaine global pour lequel le changement de mot de passe est activé pour afficher les données correspondantes. Vous pouvez déployer la zone « Comptes du domaine » pour visualiser la liste des comptes existants sur ce domaine global. En suite, cliquez sur le bouton « Changer les mots de passe » sur la droite de la page pour changer instantanément les mots de passe de tous les comptes de ce domaine. WAB affiche une fenêtre demandant une confirmation avant d'effectuer cette action.
Note : Les mots de passe sont changés en conformité avec la politique de changement de mot de passe sélectionnée pour ce domaine global. Pour plus d'informations, voir Section 10.3, « Politiques de changement des mots de passe ».
9.2. Équipements Sur la page « Équipements », vous pouvez :
91
Wallix AdminBastion 5.0.4 – Guide d’Administration • lister les équipements, • ajouter/modifier/supprimer un équipement, • importer des équipements à partir d'un fichier .csv afin d'alimenter la base ressources de WAB. Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des résultats (et pas uniquement sur la page active). Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à travers les pages et modifier le nombre d'éléments affichés par page.
9.2.1. Ajouter un équipement cible Sur la page « Équipements », cliquez sur « Ajouter un équipement » pour afficher la page de création de l'équipement. Cette page recense les champs suivants : • le nom de l’équipement : il s’agit du nom qui sera utilisé par les utilisateurs pour accéder à cet équipement. Ce nom peut être sans relation avec le nom DNS de la machine. • un alias : ceci permet de donner un deuxième nom à un équipement, • l'hôte de l'équipement : il s'agit d'une adresse réseau (IP ou FQDN), Lorsque WAB fonctionne en mode transparent, il est possible de définir un ensemble de cibles appartenant à un sous-réseau (ou « subnet »). Il convient pour cela de renseigner un subnet à la place de l'adresse IP lors de la création de l'équipement en utilisant une notation CIDR (/). Pour plus d'informations, voir Section 7.1.1, « Configuration du mode transparent pour les proxys RDP et SSH ». • une description, • le nom du ou des domaines locaux, • la possibilité de définir des services accessibles sur cet équipement en cliquant sur les options dédiées dans le bas de la page. La liste des services contient les éléments suivants : • le nom du service : il s’agit du nom qui sera utilisé par les utilisateurs pour accéder à ce service. Ce nom peut être sans relation avec le nom du protocole et le numéro de port, • le port par défaut, • un liste d'options propres au proxy pour les connexions RDP et SSH. Pour plus d'informations, voir Section 9.2.8, « Options spécifiques du protocole SSH » et Section 9.2.9, « Options spécifiques du protocole RDP ». • une politique de connexion définissant le mécanisme d'authentification pour le service sur cet équipement, • la liste des domaines globaux. Si vous souhaitez renseigner plusieurs services sous le même protocoles, vous pouvez cliquer autant de fois que nécessaire sur l'option concernée. Le nom du nouveau service sera automatiquement incrémenté. Si vous cochez la case de l'option « Supprimer » à la fin d'une ligne donnée, le service correspondant est alors instantanément supprimé. Vous pouvez déclarer un scénario de connexion lors de la création ou modification d'un équipement cible afin d’interpréter les ordres envoyés par un shell interactif et d’automatiser la connexion.
92
Wallix AdminBastion 5.0.4 – Guide d’Administration Pour plus d'informations, voir Section 9.2.10, « Scénario de connexion TELNET/RLOGIN sur un équipement cible ».
Figure 9.3. Page « Équipements » en mode création
9.2.2. Modifier un équipement cible Sur la page « Équipements », cliquez sur un nom d’équipement puis sur « Modifier cet équipement » pour afficher la page de modification de l'équipement. Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de l'authentification, excepté le champ « Nom de l'équipement » qui n’est pas modifiable. Vous pouvez déclarer un scénario de connexion lors de la création ou modification d'un équipement cible afin d’interpréter les ordres envoyés par un shell interactif et d’automatiser la connexion. Pour plus d'informations, voir Section 9.2.10, « Scénario de connexion TELNET/RLOGIN sur un équipement cible ».
9.2.3. Supprimer un équipement cible Sur la page « Équipements », sélectionnez un ou plusieurs équipements à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
Avertissement : Vous ne pouvez pas supprimer un équipement cible sur lequel des comptes cibles sont déclarés.
9.2.4. Ajouter un compte sur un équipement Sur la page « Équipements », cliquez sur un nom d’équipement afin d 'afficher les données correspondantes puis déployez la zone « Comptes de l'équipement » pour visualiser la liste des comptes existants sur cet équipement. Cliquez sur « Ajouter un compte » pour créer un compte sur cet équipement : vous accédez alors à la page de création du compte. Pour plus d'informations, voir Section 9.4.1, « Ajouter un compte cible ».
93
Wallix AdminBastion 5.0.4 – Guide d’Administration
9.2.5. Gérer les associations de ressources avec l'équipement Sur la page « Équipements », cliquez sur un nom d’équipement afin d'afficher les données correspondantes puis déployez la zone « Comptes associés » pour visualiser la liste des ressources associées à l'équipement. Chaque ligne représente une association et recense les champs suivants : • le nom du compte cible, • le nom du domaine, • le service, • les utilisateurs autorisés. Cliquez sur « Gérer l'association » pour gérer l'association des ressources : vous accédez alors à une page listant la ou les ressources disponibles et la ou les ressources sélectionnées pour l'équipement. Déplacez une ressource depuis le cadre « Comptes disponibles » vers le cadre « Comptes sélectionnés » pour effectuer l'association. Et inversement, déplacez une ressource depuis le cadre « Comptes sélectionnés » vers le cadre « Comptes disponibles » pour supprimer l'association.
Note : Des comptes cibles et des services doivent être définis pour l'équipement pour pouvoir gérer l'association des ressources.
9.2.6. Supprimer les certificats sur l'équipement Sur la page « Équipements », cliquez sur un nom d’équipement afin d 'afficher les données correspondantes puis déployez la zone « Certificats sur l'équipement » pour visualiser la liste des certificats sur cet équipement. Ensuite, sélectionnez un ou plusieurs certificats à l’aide de la case à cocher au début de la ligne puis cliquez sur l'icône corbeille pour supprimer la sélection.
Avertissement : Un utilisateur est autorisé à visualiser les certificats sur l'équipement lorsque le droit « Afficher » pour la fonctionnalité « Ressources & comptes » est paramétré au niveau de son profil (voir Section 8.3, « Profils utilisateurs »). Un utilisateur est autorisé à supprimer les certificats sur l'équipement lorsque le droit « Modifier » pour la fonctionnalité « Ressources & comptes » est paramétré au niveau de son profil (voir Section 8.3, « Profils utilisateurs »).
9.2.7. Importer des équipements Sur la page « Équipements », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case « Équipements » est déjà cochée pour l'import des données. Les séparateurs de champs et de listes sont également configurables. Le fichier doit commencer par une ligne contenant le marqueur :
94
Wallix AdminBastion 5.0.4 – Guide d’Administration #wab504 device
Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 : #wab50 device
Chaque ligne suivante doit être formée comme indiqué ci-dessous : Champ Nom l'équipement
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Valeur par défaut
de Texte
R
[aA-zZ], [0-9], '-', '_'
N/A
Alias
Texte
O
Texte libre
N/A
Description
Texte
O
Texte libre
N/A
Adresse réseau
IP/FQDN/ R Subnet
[aA-zZ], [0-9], '-', '/', '.'
N/A
Texte
Domaines locaux créés via N/A une association avec un équipement ou un compte cible
Domaine local
O
par exemple, pour subnet : 1.1.1.0/24
un
Il peut n'y avoir aucun domaine local ou un ou plusieurs domaines locaux (créés sur cet équipement). Service/Protocole/ Texte Port/Politique de connexion/Sousprotocole
O
Pour mentionner un domaine N/A global pour un sousprotocole : nom/PROTOCOLE/port/politique_connexion/ mon_domaine_global/sousprotocole1|sous-protocole2 Important : s'il n'y a pas de domaine global, la syntaxe suivante doit être respectée : nom/PROTOCOLE/port/ politique_connexion//sousprotocole1|sous-protocole2 nom: Texte libre (1)
PROTOCOLE : Nom de protocole : voir ci-dessous port : Numéro (optionnel)
de
port
politique_connexion : Nom de la politique de connexion
95
Wallix AdminBastion 5.0.4 – Guide d’Administration Champ
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Valeur par défaut
(2)
sous-protocole : Nom de sous-protocole (optionnel) : voir ci-dessous (1)
PROTOCOLE : une des valeurs suivantes : SSH, TELNET, RLOGIN, RDP, VNC.
(2)
sous-protocole pour SSH : une des valeurs suivantes : SSH_SHELL_SESSION, SSH_REMOTE_COMMAND, SSH_SCP_UP,SSH_SCP_DOWN, SSH_X11, SFTP_SESSION, SSH_DIRECT_TCPIP, SSH_REVERSE_TCPIP, SSH_AUTH_AGENT. Pour plus d'informations, voir Section 9.2.8, « Options spécifiques du protocole SSH ». sous-protocole pour RDP : une des valeurs suivantes : RDP_CLIPBOARD_UP, RDP_CLIPBOARD_DOWN, RDP_PRINTER,RDP_COM_PORT, RDP_DRIVE, RDP_SMARTCARD, RDP_CLIPBOARD_FILE. Pour plus d'informations, voir Section 9.2.9, « Options spécifiques du protocole RDP ». Si sous-protocole n'est pas mentionné, alors tous les sous-protocoles sont ajoutés. La valeur des autres protocoles est identique à PROTOCOL et peut être omise. Pour mentionner plusieurs sous-protocoles au sein d'un même protocole, il n'est pas nécessaire de reprendre toute la structure : les sous-protocoles peuvent être séparés par une barre verticale (ou « pipe ») : « | » comme illustré dans l'exemple ci-dessous : rdp/RDP/3389/RDP//RDP_CLIPBOARD_UP|RDP_CLIPBOARD_DOWN|RDP_PRINTER|RDP_COM_PORT| RDP_DRIVE|RDP_SMARTCARD
Après l’importation du fichier .csv, un résumé de l’opération s’affiche. Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est indiquée.
Figure 9.4. Page « CSV » - case « Équipements » cochée
96
Wallix AdminBastion 5.0.4 – Guide d’Administration
9.2.8. Options spécifiques du protocole SSH Le protocole SSH est divisé en sous-protocoles déterminant principalement les types de canaux que la session est autorisée à ouvrir. Ceux-ci sont les suivants : • SSH_SHELL_SESSION : autorise le démarrage des sessions shell, • SSH_REMOTE_COMMAND : autorise l'exécution de commandes à distance, • SSH_SCP_UP : autorise le transfert de fichiers vers l'équipement cible (transfert SCP depuis le client vers le serveur), • SSH_SCP_DOWN : autorise le transfert de fichiers depuis l'équipement cible (transfert SCP depuis le serveur vers le client), • SSH_X11 : autorise l'affichage d'applications X11 s'exécutant sur un équipement cible, • SFTP_SESSION : autorise le transfert de fichiers bi-directionnel via SFTP (session SFTP), • SSH_DIRECT_TCPIP : autorise la redirection directe de port TCP/IP (depuis le client vers le serveur), • SSH_REVERSE_TCPIP : autorise la redirection inverse de port TCP/IP (depuis le serveur vers le client), • SSH_AUTH_AGENT : autorise le transfert d'authentification par agent (auth-agent multi-hops), Chacun de ces sous-systèmes fait l'objet d'une autorisation spécifique sur WAB. L'ouverture d'un shell distant ou le transfert d'un fichier peut vous être refusé si vous ne possédez pas l'autorisation sur le sous-système concerné.
Note : Certains clients réclament également l'autorisation SSH_SHELL_SESSION pour effectuer le listing des répertoires quand il sont utilisés en mode SCP. Certaines autorisations doivent être associées à d'autres pour fonctionner correctement : - l'autorisation SSH_X11 doit être associée à SSH_SHELL_SESSION SSH_REMOTE_COMMAND (au moins à l'une des deux),
ou
- l'autorisation SSH_AUTH_AGENT doit être associée à SSH_SHELL_SESSION ou SSH_REMOTE_COMMAND (au moins à l'une des deux), - l'autorisation SSH_REVERSE_TCPIP doit être associée à SSH_SHELL_SESSION.
9.2.9. Options spécifiques du protocole RDP Le protocole RDP est divisé en sous-protocoles déterminant principalement les actions autorisées pour la session. Ceux-ci sont les suivants : • RDP_CLIPBOARD_UP : autorise le transfert de données via le presse-papiers depuis le client vers la session RDP, • RDP_CLIPBOARD_DOWN : autorise le transfert de données via le presse-papiers depuis la session vers le client RDP, • RDP_CLIPBOARD_FILE : autorise le transfert de fichier via le presse-papiers, • RDP_PRINTER : autorise l'utilisation d'imprimantes locales lors de la session à distance, • RDP_COM_PORT : autorise l'utilisation de ports locaux série et parallèle lors de la session à distance,
97
Wallix AdminBastion 5.0.4 – Guide d’Administration • RDP_DRIVE : autorise l'utilisation de disques locaux lors de la session à distance, • RDP_SMARTCARD : autorise l'utilisation des cartes à puces locales lors de la session à distance. Chacun de ces sous-systèmes fait l'objet d'une autorisation spécifique sur WAB. Le transfert de données via le presse-papiers ou l'utilisation de votre disque local lors de la session à distance peut vous être refusé si vous ne possédez pas l'autorisation sur le sous-système concerné.
Note : Certaines autorisations doivent être associées à d'autres pour fonctionner correctement : - l'autorisation RDP_CLIPBOARD_FILE doit être associée à RDP_CLIPBOARD_UP pour transférer un fichier via le presse-papiers depuis le client vers la session RDP, - l'autorisation RDP_CLIPBOARD_FILE doit être associée à RDP_CLIPBOARD_DOWN pour transférer un fichier via le presse-papiers depuis la session vers le client RDP.
9.2.10. Scénario de connexion TELNET/RLOGIN sur un équipement cible Vous pouvez déclarer un scénario de connexion lors de la création ou modification d'un équipement cible (voir Section 9.2.1, « Ajouter un équipement cible » et Section 9.2.2, « Modifier un équipement cible »).. Ce scénario permet d’interpréter les ordres envoyés par un shell interactif et d’automatiser la connexion. Il s’agit d’un pseudo langage dont la syntaxe comprend les éléments suivants : • SEND : envoi d’une chaîne de caractères • EXPECT : s’attend à recevoir une chaîne de caractères au cours des 10 prochaines secondes • (?i) : ignore la casse • $login : envoi d’un identifiant • $password : envoi d’un mot de passe Ainsi, le scénario suivant (testé sur un switch 3Com Superstack accessible via TELNET) : SEND:\r\n EXPECT:(?i)login: SEND:$login\r\n EXPECT:(?i)Password: SEND:$password\r\n
S’interprète de la manière suivante : • envoi d’un retour chariot, • attendre la réception de la chaîne « login » (en ignorant la casse), • envoyer l’identifiant suivi d’un retour chariot, • attendre la réception de la chaîne « password » (en ignorant la casse), • envoyer le mot de passe suivi d’un retour chariot. Ce scénario doit aussi fonctionner pour les serveurs TELNET sous Windows. Pour les serveurs TELNET fonctionnant sous Unix ou Linux, utilisez plutôt le scénario suivant: EXPECT:(?i)login:
98
Wallix AdminBastion 5.0.4 – Guide d’Administration SEND:$login\n EXPECT:(?i)Password: SEND:$password\n
Pour les équipements RLOGIN, seul le mot de passe est attendu, ainsi le scénario de connexion suivant est fonctionnel pour une connectivité en RLOGIN, vers un système sous Debian 5.0 lenny : EXPECT:(?i)Password: SEND:$password\n
Note : En règle générale, l’identifiant est déjà fourni pour les connexions SSH (en mode clavier interactif) et RLOGIN. Il est nécessaire de le fournir dans le scénario uniquement pour les connexions TELNET.
9.3. Applications WAB vous permet de gérer des sessions d’application en utilisant un serveur de rebond, sur lequel est installée l’application. L’utilisateur se connecte au WAB et choisit une application dans le sélecteur (voir la figure 9.5, « Flux d'une session applicative »). WAB initie alors une session RDP et lance automatiquement l’application en lui fournissant les informations de compte nécessaires (identifiant, mot de passe). La session application est alors enregistrée comme une session RDP.
Important : Il n'est pas possible de lancer une application associée à une cible fonctionnant sous un système d'exploitation Windows 10 car le service Bureau à distance ne supporte la fonction « alternate shell ».
Avertissement : Afin de permettre à WAB de gérer les connexions à une application, cette dernière doit être en mesure de recevoir le nom du compte et le mot de passe à utiliser pour la connexion comme arguments de la ligne de commande.
Figure 9.5. Flux d'une session applicative Sur la page « Applications », vous pouvez : • lister les applications,
99
Wallix AdminBastion 5.0.4 – Guide d’Administration • ajouter/modifier/supprimer une application, • importer des applications à partir d'un fichier .csv afin d'alimenter la base ressources de WAB. Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des résultats (et pas uniquement sur la page active). Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à travers les pages et modifier le nombre d'éléments affichés par page.
9.3.1. Configuration du serveur de rebond Le serveur de rebond doit être un serveur Windows Server 2003, 2003 R2, 2008 ou 2008 R2. A partir de la version 2008, le rôle « Services Terminal Server » ou « Bureau à Distance » doit être installé.
Avertissement : Après une période de grâce de 120 jours, il faut installer des Client Access Licences (CAL) pour pouvoir continuer à utiliser ces services. Il faut permettre à l’utilisateur d’avoir le droit de lancer l’application. Cela peut se faire en permettant l’accès aux programmes non répertoriés ou en ajoutant l’application aux programmes autorisés, comme décrit ci-dessous. En cas d'utilisation du mode « session probe », il est nécessaire de publier l'invite de commande (cmd.exe) en tant que programme RemoteApp. Pour plus d'informations sur ce mode et sa configuration, nous vous recommandons fortement de consulter Section 11.7, « Session probe ». • Permettre l’accès aux programmes non répertoriés : 1. Cliquer sur le menu « Démarrer ». 2. Sélectionner « Programmes » > « Outils d’administration » > « Services Bureau à distance » puis ouvrir l’application « Gestionnaire RemoteApp ». 3. Dans le cadre « Vue d’ensemble », cliquer sur « Changer les paramètres Terminal Server ». 4. Sur l’onglet « Terminal Server », dans le cadre « Accès aux programmes non répertoriés », choisir « Autoriser les utilisateurs à démarrer les programmes répertoriés et non ». • Ajouter l’application aux programmes autorisés : 1. Cliquer sur le menu « Démarrer ». 2. Sélectionner « Programmes » > « Outils d’administration » > « Services Bureau à distance » puis ouvrir l’application « Gestionnaire RemoteApp ». 3. Dans le cadre « Actions », cliquer sur « Ajouter des programmes RemoteApp ». 4. Choisir l’application dans la liste affichée en cochant la case correspondante et éditer les propriétés de l’application afin de permettre l’utilisation de tous les arguments de la ligne de commande. Il est recommandé de mettre une valeur la plus petite possible au délai maximal pendant lequel une session utilisateur déconnectée est gardée active sur le serveur Terminal Server. Pour cela, suivre la procédure ci-dessous. 1. Cliquer sur le menu « Démarrer ». 2. Sélectionner « Programmes » > « Outils d’administration » > « Services Bureau à distance » puis ouvrir l’application « Configuration d’hôte de session Bureau à distance » pour abaisser le délai maximal à 1 minute. Pour cela :
100
Wallix AdminBastion 5.0.4 – Guide d’Administration • dans le cadre « Connexions », sélectionner la connexion nommée « RDP-Tcp », • sur l’onglet « Sessions », sélectionner « Remplacer les paramètres de l’utilisateur » et paramétrer la valeur du champ « Fin d’une session déconnectée » à 1 minute. 3. Dans le cadre « Actions », cliquer sur « Ajouter des programmes RemoteApp ». 4. Choisir l’application dans la liste affichée en cochant la case correspondante et éditer les propriétés de l’application afin de permettre l’utilisation de tous les arguments de la ligne de commande. Il est également possible d’utiliser les politiques de groupe pour gérer ce paramètre. Il est possible de permettre plusieurs connexions avec le même compte cible sur un serveur de rebond. Pour un serveur Windows Server 2008 ou une version plus récente : 1. Cliquer sur le menu « Démarrer ». 2. Sélectionner « Programmes » > « Outils d’administration » > « Services Bureau à distance » puis ouvrir l’application « Configuration d’hôte de session Bureau à distance ». 3. Dans le cadre « Modifier les paramètres », dans le groupe « Général », double-cliquer sur « Restreindre les utilisateurs à une session unique » et décocher la case. Alternativement, il est possible d’utiliser le paramètre correspondant avec une stratégie de compte. A partir de Windows Server 2012, un paramétrage supplémentaire est nécessaire pour permettre l’accès d’un client qui n’utilise pas l’authentification au niveau du réseau. Ce paramétrage s’effectue de la manière suivante : 1. Ouvrir le « Gestionnaire de Serveur » et sélectionner « Services Bureau à distance ». 2. Sélectionner la collection voulue dans « Collections ». La collection par défaut se nomme « Quick Session Collections ». 3. Dans le cadre « Propriétés », sélectionner « Modifier les propriétés ». 4. Dans la section « Sécurité », décocher l’option « Autoriser les connexions uniquement pour les ordinateur exécutant les service Bureau à distance avec authentification au niveau du réseau ».
9.3.2. Ajouter une application Sur la page « Applications », cliquez sur « Ajouter une application » pour afficher la page de création de l'application. Cette page recense les champs suivants : • le nom de l’application. Il s'agit d'une donnée interne. • une description, • les paramètres, c'est-à-dire les arguments de la ligne de commande. Ils sont concaténés au chemin du programme. Afin d’insérer le nom du compte et le mot de passe à utiliser, la notation ${USER} ou ${PASSWORD} permet d’indiquer l’emplacement de la substitution. WAB la fera automatiquement avec les informations du compte sélectionné par l’utilisateur. • le chemin de l’exécutable du programme ainsi que le répertoire d’exécution. Dans le cas d’un cluster, il faut fournir ces valeurs pour chaque équipement. Pour plus d'informations, voir la section 9.6, « Clusters ». Pour permettre aux utilisateurs de se connecter à l'application, il faut maintenant lui associer des comptes comme décrit dans Section 9.4, « Comptes cibles ». La gestion des droits d’accès se
101
Wallix AdminBastion 5.0.4 – Guide d’Administration fait au moyen des autorisations de la même manière que les équipements. Il faut alors utiliser le protocole RDP.
Figure 9.6. Page « Applications » en mode modification
9.3.3. Modifier une application Sur la page « Applications », cliquez sur un nom d’application puis sur « Modifier cette application » pour afficher la page de modification de l'application. Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de l'application, excepté le champ « Nom de l'application » qui n’est pas modifiable.
9.3.4. Supprimer une application Sur la page « Applications », sélectionnez une ou plusieurs applications à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
Avertissement : Vous ne pouvez pas supprimer une application sur laquelle des comptes cibles sont déclarés.
9.3.5. Ajouter un compte sur une application Sur la page « Applications », cliquez sur un nom d’application afin d 'afficher les données correspondantes puis déployez la zone « Comptes de l'application » pour visualiser la liste des comptes existants sur cette application. Cliquez sur « Ajouter un compte » pour créer un compte sur cet équipement : vous accédez alors à la page de création du compte. Pour plus d'informations, voir Section 9.4.1, « Ajouter un compte cible ».
102
Wallix AdminBastion 5.0.4 – Guide d’Administration
9.3.6. Gérer les associations de ressources avec l'application Sur la page « Applications », cliquez sur un nom d’application afin d'afficher les données correspondantes puis déployez la zone « Comptes associés » pour visualiser la liste des ressources associées à l’application. Chaque ligne représente une association et recense les champs suivants : • le nom du compte cible, • le nom du domaine, • le service, • les utilisateurs autorisés. Cliquez sur « Gérer l'association » pour gérer l'association des ressources : vous accédez alors à une page listant la ou les ressources disponibles et la ou les ressources sélectionnées pour l'application. Déplacez une ressource depuis le cadre « Comptes disponibles » vers le cadre « Comptes sélectionnés » pour effectuer l'association. Et inversement, déplacez une ressource depuis le cadre « Comptes sélectionnés » vers le cadre « Comptes disponibles » pour supprimer l'association.
9.3.7. Importer des applications Sur la page « Applications », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case « Applications » est déjà cochée pour l'import des données. Les séparateurs de champs et de listes sont également configurables. Le fichier doit commencer par une ligne contenant le marqueur : #wab504 application
Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 : #wab50 application
Chaque ligne suivante doit être formée comme indiqué ci-dessous : Champ
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Valeur par défaut
Nom
Texte
R
[aA-zZ], [0-9], '-', '_'
N/A
Description
Texte
O
Texte libre
N/A
Domaine local
Texte
O
Il peut n'y avoir aucun N/A domaine local ou un ou plusieurs domaines locaux créés sur cette application.
Domaine global
Texte
O
Il peut n'y avoir aucun N/A domaine global ou un ou plusieurs domaines définis.
Cible
Texte
R
Format pour une application N/A sur un équipement : compte@domaine@mon_ équipement:rdp, rdp étant
103
Wallix AdminBastion 5.0.4 – Guide d’Administration Champ
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Valeur par défaut
le nom du protocole défini sur l'équipement Format pour une application sur un cluster : nom du cluster Paramètres
Texte
O
N/A
Chemin
Texte
R
Pour une application sur N/A un équipement : chemin de l'application Pour une application sur un cluster : cible1= 'chemin1' cible2='chemin2', pour chaque cible du cluster, avec cible1 au format compte@domaine@mon_ équipement:rdp
Répertoire démarrage
de Texte
O
Pour une application sur un cluster : cible1='rdem1' ciblet2='rdem2'
Après l’importation du fichier .csv, un résumé de l’opération s’affiche. Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est indiquée.
Figure 9.7. Page « CSV » - case « Applications » cochée
104
Wallix AdminBastion 5.0.4 – Guide d’Administration
9.4. Comptes cibles Sur la page « Comptes », vous pouvez : • lister les équipements déclarés, les services disponibles sur ces équipements et les comptes cibles déclarés sur ces derniers, • ajouter/modifier/supprimer un compte, • importer des comptes partir d'un fichier .csv afin d'alimenter la base ressources de WAB, • changer manuellement le mot de passe d'un compte donné, • lancer le changement automatique du mot passe pour un ou plusieurs comptes. Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des résultats (et pas uniquement sur la page active). Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à travers les pages et modifier le nombre d'éléments affichés par page.
9.4.1. Ajouter un compte cible Sur la page « Comptes », cliquez sur « Ajouter un compte » pour afficher la page de création de compte. Cette page recense les champs suivants : • un filtre pour sélectionner le type de compte : – Domaine global : le compte est défini sur un domaine global et est utilisé pour accéder aux services sur des équipements rattachés à ce domaine. Si vous choisissez cette option, sélectionnez le domaine global souhaité dans le champ « Domaine global » et les ressources disponibles dans les valeurs de la liste en bas de la page. – Équipement : le compte est défini sur un équipement et utilisé uniquement pour accéder à un service sur cet équipement. Si vous choisissez cette option, sélectionnez l'équipement approprié (dans le champ « Équipement »), le domaine local (dans le champ « Domaine local ») et les ressources disponibles dans les valeurs de la liste en bas de la page. Il est également possible de renseigner un nouveau domaine local. Pour cela, sélectionnez la première entrée « - - - » du champ « Domaine local » : le champ « Nouveau domaine local » s'affiche et vous pouvez renseigner le nom de ce nouveau domaine. – Application : le compte est défini uniquement pour une application (un compte pour accéder au serveur de rebond – l'équipement cible sur lequel l'application s'exécute - peut s'avérer nécessaire). Si vous choisissez cette option, sélectionnez l'application appropriée (dans le champ « Application ») et le domaine local (dans le champ « Domaine local »). Il est également possible de renseigner un nouveau domaine local. Pour cela, sélectionnez la première entrée « - - - » du champ « Domaine local » : le champ « Nouveau domaine local » s'affiche et vous pouvez renseigner le nom de ce nouveau domaine. • le nom du compte : il s'agit d'une représentation interne du compte. Cette information est affichée sur les sélecteurs de session et la page d'emprunt du mot de passe du compte sur l'interface Web. Ce nom doit être unique sur le domaine WAB. • l'identifiant du compte : il s'agit de l'identifiant du compte distant. Cette information n'est pas affichée sur les sélecteurs de session et la page d'emprunt du mot de passe du compte sur l'interface Web. • une description, • une case à cocher pour indiquer si le compte est géré par un coffre-fort externe ou non
105
Wallix AdminBastion 5.0.4 – Guide d’Administration • si le compte n'est pas géré par un coffre-fort externe : – des champs pour saisir et confirmer le mot de passe du compte, – une case à cocher pour activer ou désactiver le changement automatique du mot de passe pour ce compte. Voir Section 3.7, « Chiffrement des données » pour plus d'informations sur le chiffrement des données relatif au stockage du mot de passe. – un champ pour sélectionner la politique d'emprunt à associer au compte, – des champs pour définir la clé privée pour la connexion SSH : un chemin pour charger le fichier contenant la clé (au format OpenSSH ou Putty) et la phrase de chiffrement de la clé (si définie).
Figure 9.8. Page « Comptes » en mode création
9.4.2. Modifier un compte cible Sur la page « Comptes », cliquez sur un nom de compte puis sur « Modifier ce compte » pour afficher la page de modification du compte. Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du compte, excepté le champ « Nom du compte » qui n’est pas modifiable. Si une clé privée a été définie pour ce compte, une ligne avec le type et la longueur de la clé est affichée sur la page de modification du compte. Deux actions peuvent alors être effectuées au niveau de la clé privée : la supprimer ou la remplacer en chargeant une nouvelle clé privée. Lorsqu'une clé privée a été définie pour ce compte, il est possible de télécharger la clé publique correspondante au format OpenSSH ou ssh.com sur la page récapitulative du compte, au niveau du champ « Clé publique du compte ».
9.4.3. Supprimer un compte cible Sur la page « Comptes », sélectionnez un ou plusieurs comptes cibles à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
106
Wallix AdminBastion 5.0.4 – Guide d’Administration
9.4.4. Importer des comptes cibles Sur la page « Comptes », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case « Comptes » est déjà cochée pour l'import des données. Les séparateurs de champs et de listes sont également configurables. Le fichier doit commencer par une ligne contenant le marqueur : #wab504 account
Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 : #wab50 account
Chaque ligne suivante doit être formée comme indiqué ci-dessous : Champ
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Valeur par défaut
Nom
Texte
R
[aA-zZ], [0-9], '-', '_'
N/A
Identifiant
Texte
R
Texte libre
N/A
Description
Texte
O
Texte libre
N/A
Coffre-fort externe Booléen
R
Vrai ou Faux
Faux
Mot de passe
O
Texte libre
Texte
L'authentification peut être effectuée soit par mot de passe, soit par une clé privée ou les deux ou aucun des deux. Clé privée
O
L'authentification peut être effectuée soit par mot de passe, soit par une clé privée ou les deux ou aucun des deux.
Changement auto Booléen mot de passe
R
Vrai ou Faux
Politique d'emprunt
Texte
R
Politique d'emprunt définie
Domaine
Texte
O
Pour un compte sur un N/A équipement :
Équipement Application Ressources
Texte
- domaine : domaine local de l'équipement - équipement : nom de l'équipement - ressources : services concernés (optionnel et doivent exister sur l'équipement)
107
Faux
Wallix AdminBastion 5.0.4 – Guide d’Administration Champ
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Valeur par défaut
Pour un compte sur une application : - domaine : domaine local de l'application - application l'application
:
nom
de
Pour un compte sur un domaine global : - domaine : nom du domaine global - ressources : équipement sur le domaine représenté par la syntaxe équipement:protocole (optionnel) Exemple de syntaxe d'import pour un équipement, un domaine et une application : #wab504 account my_device_user;device_user_login;description;False;P4sSw0rD;;False;default; local_domain_1;my_device;;my_domain_user;domain_user_login;description;True; P4sSw0rD;;False;default;my_global_domain;;;device_on_domain:rdpmy_app_user; app_user_login;description;False;P4sSw0rD;;True;default;local_domain_1;;my_application;
Après l’importation du fichier .csv, un résumé de l’opération s’affiche. Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est indiquée.
108
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 9.9. Page « CSV » - case « Comptes » cochée
9.4.5. Changer manuellement le mot de passe d'un compte cible donné Sur la page « Comptes », cliquez sur l'icône clé dans la colonne « Action » pour afficher la page permettant le changement de mot de passe du compte correspondant. Saisissez et confirmez le nouveau mot de passe de ce compte. Cliquez sur le bouton « Appliquer » sur la droite de la page pour changer le nouveau mot de passe sur WAB et le diffuser sur la cible. WAB affiche un message d'information à la suite à cette action.
Figure 9.10. Page « Comptes » - Page du changement de mot de passe
9.4.6. Lancer le changement automatique du mot de passe pour un ou plusieurs comptes Sur la page « Comptes », sélectionnez un ou plusieurs comptes cibles à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône clé dans l'en-tête de la première colonne (près de
109
Wallix AdminBastion 5.0.4 – Guide d’Administration l'icône corbeille) afin de lancer le changement automatique du mot de passe pour le(s) compte(s) sélectionné(s). WAB affiche une fenêtre demandant une confirmation avant d'effectuer cette action.
Note : Les mots de passe sont changés en conformité avec la politique de changement de mot de passe sélectionnée pour ce domaine. Pour plus d'informations, voir Section 10.3, « Politiques de changement des mots de passe ».
9.5. Groupes de comptes cibles Sur la page « Groupes », vous pouvez : • lister les groupes de comptes cibles déclarés, • ajouter/modifier/supprimer un groupe, • visualiser les comptes cibles inclus dans chaque groupe, • configurer un groupe pour la gestion des sessions, le mappage de compte, la connexion interactive et la gestion de mot passe, • importer des groupes de comptes cibles à partir d'un fichier .csv afin d'alimenter la base ressources de WAB. Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des résultats (et pas uniquement sur la page active). Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à travers les pages et modifier le nombre d'éléments affichés par page.
9.5.1. Ajouter un groupe de comptes cibles Sur la page « Groupes », cliquez sur « Ajouter un groupe » pour afficher la page de création de groupe. Cette page recense les champs suivants : • le nom du groupe de comptes cibles, • une description, • les cibles pouvant être sélectionnées pour appartenir au groupe : – cliquez sur le bouton souhaité pour gérer l'association du groupe : par exemple, cliquez sur « Mappage de compte » pour afficher la ou les cibles disponibles pour le mappage de compte. Déplacez une cible depuis le cadre « Cibles en mappage de compte disponibles » vers le cadre « Cibles en mappage de compte sélectionnées » pour choisir la cible. Et inversement, déplacez une cible depuis le cadre « Cibles en mappage de compte sélectionnées » vers le cadre « Cibles en mappage de compte disponibles » pour supprimer l'association. Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans la zone dédiée au niveau de l'icône loupe. Vous pouvez effectuer une sélection multiple dans la liste des cadres. – répétez l'étape ci-dessus pour ajouter autant de cibles que nécessaire pour le groupe. • les cibles sélectionnées,
110
Wallix AdminBastion 5.0.4 – Guide d’Administration • une liste d’actions à appliquer lors de la détection de certaines chaînes de caractères sur le flux montant des proxys (voir Section 9.5.9, « Analyse des flux SSH / Détection de motifs (ou « patterns ») » et Section 9.5.10, « Analyse des flux RDP / Détection de motifs (ou « patterns ») »).
Avertissement : La détection de chaînes de caractères n’est active que pour les données envoyées par le client vers le serveur et uniquement pour les connexions de type SSH, TELNET ou RLOGIN.
Figure 9.11. Page « Groupes » en mode création
9.5.2. Modifier un groupe de comptes cibles Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour afficher la page de modification du groupe. Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du groupe, excepté le champ « Nom du groupe » qui n’est pas affiché.
9.5.3. Configurer un groupe de comptes cibles pour la gestion de session La procédure suivante consiste à définir, au sein d'un groupe donné, les comptes cibles qui seront accessibles à distance à partir d'un client RDP ou SSH.
111
Wallix AdminBastion 5.0.4 – Guide d’Administration 1. Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour afficher la page de modification du groupe. 2. Sur la zone « Cibles », cliquez sur le bouton « Compte » sous « Gestion des sessions » afin d'afficher les comptes disponibles. Double-cliquez sur un compte pour le déplacer depuis le cadre « Comptes cibles disponibles » vers le cadre « Comptes cibles sélectionnés » pour choisir la cible. Le compte cible sélectionné est alors listé dans le champ « Compte » de la zone « Cibles sélectionnées » / « Gestion des sessions » située sous les cadres. Répétez cette étape pour choisir autant de comptes que nécessaire. 3. Dans le bas de cette page, vous pouvez définir des actions à appliquer lors de la détection de certaines chaînes de caractères sur le flux montant des proxys (voir Section 9.5.9, « Analyse des flux SSH / Détection de motifs (ou « patterns ») » et Section 9.5.10, « Analyse des flux RDP / Détection de motifs (ou « patterns ») »). 4. Cliquez sur le bouton « Appliquer » en bas à droite de la page. Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans la zone dédiée au niveau de l'icône loupe. Vous pouvez effectuer une sélection multiple dans la liste des cadres.
9.5.4. Configurer un groupe de comptes cibles pour le mappage de compte La procédure suivante consiste à définir, au sein d'un groupe donné, les cibles qui seront accessibles par le biais du mappage de compte. Une cible définie en mappage de compte représente une ressource (équipement+service ou application) automatiquement créée lorsqu'un service est sauvegardé sur un équipement ou une application.
Note : La méthode d'authentification PASSWORD_MAPPING doit être sélectionnée au niveau de la politique de connexion associée à la cible pour pouvoir se connecter à celle-ci via le mappage de compte (pour plus d'informations, voir Section 11.5, « Politiques de connexion »). 1. Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour afficher la page de modification du groupe. 2. Sur la zone « Cibles », cliquez sur le bouton « Mappage de compte » sous « Gestion des sessions » afin d'afficher les cibles disponibles en mappage de compte. Double-cliquez sur une cible pour la déplacer depuis le cadre « Cibles en mappage de compte disponibles » vers le cadre « Cibles en mappage de compte sélectionnées » pour choisir la cible. La cible sélectionnée en mappage de compte est alors listée dans le champ « Mappage de compte » de la zone « Cibles sélectionnées » / « Gestion des sessions » située sous les cadres. Répétez cette étape pour choisir autant de cibles que nécessaire. 3. Dans le bas de cette page, vous pouvez définir des actions à appliquer lors de la détection de certaines chaînes de caractères sur le flux montant des proxys (voir Section 9.5.9, « Analyse des flux SSH / Détection de motifs (ou « patterns ») » et Section 9.5.10, « Analyse des flux RDP / Détection de motifs (ou « patterns ») »). 4. Cliquez sur le bouton « Appliquer » en bas à droite de la page.
112
Wallix AdminBastion 5.0.4 – Guide d’Administration Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans la zone dédiée au niveau de l'icône loupe. Vous pouvez effectuer une sélection multiple dans la liste des cadres.
9.5.5. Configurer un groupe de comptes cibles pour la connexion interactive La procédure suivante consiste à définir, au sein d'un groupe donné, les cibles qui seront accessibles par le biais de la connexion interactive. Une cible définie en connexion interactive représente une ressource (équipement+service ou application) automatiquement créée lorsqu'un service est sauvegardé sur un équipement ou une application.
Note : La méthode d'authentification PASSWORD_INTERACTIVE doit être sélectionnée au niveau de la politique de connexion associée à la cible pour pouvoir se connecter à celleci via la connexion interactive (pour plus d'informations, voir Section 11.5, « Politiques de connexion »). 1. Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour afficher la page de modification du groupe. 2. Sur la zone « Cibles », cliquez sur le bouton « Connexion interactive » sous « Gestion des sessions » afin d'afficher les cibles disponibles en connexion interactive. Double-cliquez sur une cible pour la déplacer depuis le cadre « Cibles en connexion interactive disponibles » vers le cadre « Cibles en connexion interactive sélectionnées » pour choisir la cible. La cible sélectionnée en connexion interactive est alors listée dans le champ « Connexion interactive » de la zone « Cibles sélectionnées » / « Gestion des sessions » située sous les cadres. Répétez cette étape pour choisir autant de cibles que nécessaire. 3. Dans le bas de cette page, vous pouvez définir des actions à appliquer lors de la détection de certaines chaînes de caractères sur le flux montant des proxys (voir Section 9.5.9, « Analyse des flux SSH / Détection de motifs (ou « patterns ») » et Section 9.5.10, « Analyse des flux RDP / Détection de motifs (ou « patterns ») »). 4. Cliquez sur le bouton « Appliquer » en bas à droite de la page. Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans la zone dédiée au niveau de l'icône loupe. Vous pouvez effectuer une sélection multiple dans la liste des cadres.
9.5.6. Configurer un groupe de comptes cibles pour la gestion de mot de passe La procédure suivante consiste à définir, au sein d'un groupe donné, les comptes cibles pour lesquels la visualisation ou l'emprunt du mot de passe sera autorisé. 1. Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour afficher la page de modification du groupe. 2. Sur la zone « Cibles », cliquez sur le bouton « Compte » sous « Gestion des mots de passe » afin d'afficher les comptes disponibles. Double-cliquez sur un compte pour le déplacer depuis
113
Wallix AdminBastion 5.0.4 – Guide d’Administration le cadre « Comptes disponibles » vers le cadre « Comptes sélectionnés » pour choisir la cible. Le compte sélectionné est alors listé dans le champ « Compte » de la zone « Cibles sélectionnées » / « Gestion des mots de passe » située sous les cadres. Répétez cette étape pour choisir autant de comptes que nécessaire. 3. Dans le bas de cette page, vous pouvez définir des actions à appliquer lors de la détection de certaines chaînes de caractères sur le flux montant des proxys (voir Section 9.5.9, « Analyse des flux SSH / Détection de motifs (ou « patterns ») » et Section 9.5.10, « Analyse des flux RDP / Détection de motifs (ou « patterns ») »). 4. Cliquez sur le bouton « Appliquer » en bas à droite de la page. Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans la zone dédiée au niveau de l'icône loupe. Vous pouvez effectuer une sélection multiple dans la liste des cadres.
9.5.7. Supprimer un groupe de comptes cibles Sur la page « Groupes », sélectionnez un ou plusieurs groupes de comptes cibles à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
Avertissement : Vous ne pouvez pas supprimer un groupe de comptes cibles lorsque des autorisations actives (voir Chapitre 12, Gestion des autorisations ) et/ou des comptes cibles sont rattachés à ce groupe.
9.5.8. Importer des groupes de comptes cibles Sur la page « Groupes », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case « Groupes de ressources » est déjà cochée pour l'import des données. Les séparateurs de champs et de listes sont également configurables. Le fichier doit commencer par une ligne contenant le marqueur : #wab504 targetgroup
Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 : #wab50 targetgroup
Chaque ligne suivante doit être formée comme indiqué ci-dessous : Champ Nom
Type Texte
R(equis)/ O(ptionnel) R
Valeurs possibles [aA-zZ], [0-9], '-', '_' Le nom du groupe est unique.
114
Valeur par défaut N/A
Wallix AdminBastion 5.0.4 – Guide d’Administration Champ
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Description
Texte
O
Texte libre
Compte cible
Texte
O
Compte sélectionné
Valeur par défaut N/A
cible N/A
Il peut n'y avoir aucun compte cible ou un ou plusieurs comptes cibles dans chaque catégorie ou dans toutes les catégories en même temps. Un compte cible peut être défini sur un domaine global (et non local). Format pour les comptes cibles : compte@domaine@équipe-ment:protocole Mappage de compte
Texte
O
Cible en mappage de N/A compte sélectionnée Format pour les cibles en mappage de compte : équipement:protocole
Connexion interactive
Texte
O
Cible en connexion N/A interactive sélectionnée Format pour les cibles en connexion interactive : équipement:protocole
Emprunt du mot de Texte passe
O
Compte sélectionné
cible N/A
Format pour les comptes cibles : compte@domaine@équipe-ment:protocole Après l’importation du fichier .csv, un résumé de l’opération s’affiche. Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est indiquée.
115
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 9.12. Page « CSV » - case « Groupes de ressources » cochée
9.5.9. Analyse des flux SSH / Détection de motifs (ou « patterns ») Lors de la création/modification des groupes, il est possible de définir une liste d’actions à appliquer lors de la détection de certaines chaînes de caractères sur le flux montant du proxy SSH en activant/ désactivant la détection de motifs, également appelés « patterns ». Les données analysées sont celles saisies par l’utilisateur.
Avertissement : La détection de chaînes de caractères n’est active que pour les données envoyées par le client vers le serveur. La liste des motifs appliqués est la somme de ceux présents dans le groupe d’utilisateurs et le groupe de comptes cibles. L’action liée est la plus restrictive : si l’un des groupes porte l’action « Kill » (ou « Fermer »), c’est cette action qui sera choisie. Les règles sont à rentrer sous la forme d’expressions régulières, à raison d’une expression par ligne. Exemple : pour empêcher la suppression de fichiers, les expressions à rentrer dans le champ « Règles » sont : unlink\s+.* rm\s+.*
9.5.9.1. Avertissement pour les actions « Kill » (ou « Fermer ») Par défaut, les actions « Kill » (ou « Fermer ») coupent la session à la première détection. Il est néanmoins possible de définir un nombre de détections avec blocage et avertissement avant coupure de la session.
116
Wallix AdminBastion 5.0.4 – Guide d’Administration Pour cela, il est nécessaire de paramétrer une option globale du proxy SSH : sur la page « Options de configuration » du menu « Configuration », sélectionnez « SSH proxy » dans la liste pour accéder à la page de configuration du proxy SSH, puis entrez un nombre entier positif dans le champ « Warning count ». Cette valeur est par défaut à « 0 ». Par exemple, une valeur de « 5 » avertira cinq fois l’utilisateur d’une détection (tout en bloquant l’exécution de la commande) avant de couper la session à la sixième détection.
9.5.9.2. Transferts de fichiers Pour les sous-protocoles SFTP_SESSION, SSH_SCP_UP et SSH_SCP, il est possible de créer une expression basée sur la taille des fichiers dans le but de détecter le transfert de fichiers volumineux. La syntaxe est la suivante: $filesize:>X
X est une taille en octets. Une lettre finale (telle que « m », « k », « g ») peut être mentionnée pour indiquer une échelle, comme indiqué dans le tableau ci-dessous : Lettre
Echelle
k
1 000
m
1 000 000
g
1 000 000 000
K
1024 (2 )
M
1 048 576 (2 )
G
1 073 741 824 (2 )
10
20
30
Tableau 9.1. Échelle
9.5.9.3. Détections de commandes Cisco IOS Les routeurs CISCO sous IOS sont des systèmes assez restreints pour la saisie des commandes mais supportent l’auto-complétion et la saisie partielle lorsque les préfixes de commandes sont non-ambigüs. Il est donc nécessaire d’avoir une extension particulière de la syntaxe des règles pour interdire ou autoriser certaines commandes de la manière la plus complète possible sur un système cible de ce type.
Avertissement : Une cible ayant ce type règles de détection sera considérée comme un équipement CISCO IOS. Il ne faut donc pas l’utiliser pour un autre type de cible comme Linux/Unix sous peine de dysfonctionnement. Cette extension de syntaxe est utilisable avec les sous-protocoles SSH_SHELL_SESSION, RLOGIN ou TELNET (selon le type de connexion), pour n’importe quel type d’action. Deux modes sont disponibles : • Liste blanche de commandes : seules les commandes listées sont autorisées. Dans le champ « Règles », saisir : $acmd:[liste de commandes]
117
Wallix AdminBastion 5.0.4 – Guide d’Administration • Liste noire de commandes : toutes les commandes sont autorisées sauf celles listées. Dans le champ « Règles », saisir : $cmd:[liste de commandes] La liste de commande est délimitée par des crochets, chaque commande est séparée par une virgule. Par exemple : [enable, show kerberos, access-template, configure terminal] Une commande peut contenir un séparateur « : » qui indique la fin du préfixe non-ambigü. La commande en elle-même ne peut pas contenir de caractère « : ». Par exemple pour les commandes « en[able] », « sh[ow] kerb[eros] », « access-t[emplate] », et « conf[igure] t[erminal] » la liste serait : [en:able, sh:ow kerb:eros, access-t:emplate, conf:igure t:erminal] Exemple de liste blanche : $acmd:[en:able, sh:ow kerb:eros, access-t:emplate, conf:igure t:erminal] $acmd:[sh:ow]
Exemple de liste noire : $cmd:[en:able, sh:ow]
En cas de déclarations multiples, toutes les listes du même type sont fusionnées. Si des listes blanches et noires sont déclarés en même temps, la détection se fera par la liste blanche dans laquelle on aura enlevé les commandes de la liste noire. Par défaut, et de manière implicite, les commandes « alias » et « prompt » seront ajoutées à une liste noire et la commande « exit » sera ajoutée à une liste blanche. Exemple de détection utilisant la liste blanche : [w:here, sh:ow ke:rberos, co:nnect] Saisie
Détection
show
Oui
show kerb
Non
sh ke c
Non
show kron schedule
Oui
show ip arp
Oui
config t
Oui
where
Non
w
Non
alias show montrer
Oui
exit
Non
Tableau 9.2. Détection Cisco IOS avec liste blanche Exemple de détection utilisant la liste noire : [w:here, sh:ow ke:rberos, co:nnect] Saisie
Détection
show
Non
show kerb
Oui
sh ke c
Oui
show kron schedule
Non
118
Wallix AdminBastion 5.0.4 – Guide d’Administration Saisie
Détection
show ip arp
Non
config t
Non
where
Oui
w
Oui
alias show montrer
Oui
exit
Non
Tableau 9.3. Détection Cisco IOS avec liste noire
9.5.10. Analyse des flux RDP / Détection de motifs (ou « patterns ») Lors de la création/modification des groupes, il est possible de définir une liste d’actions à appliquer lors de la détection de certaines chaînes de caractères dans le flux clavier du proxy RDP (les données analysées sont celles tapées par l’utilisateur) et/ou dans les barres de titre des fenêtres (les données analysées sont celles affichées à l’écran). Cela se fait en activant/désactivant la détection de motifs, également appelés « patterns ».
Avertissement : La détection de chaînes de caractères n’est active que pour les données envoyées par le client vers le serveur. La liste des motifs appliqués est la somme de ceux présents dans le groupe d’utilisateurs et le groupe de comptes cibles. L’action liée est la plus restrictive : si l’un des groupes porte l’action « Kill » (ou « Fermer »), c’est cette action qui sera choisie. Les actions sont à rentrer sous la forme d’expressions régulières, à raison d’une expression par ligne. Une expression préfixée par « $kbd: » s’appliquera uniquement aux flux clavier. Une expression préfixée par « $ocr: » ou sans préfixe s’appliquera uniquement aux titres des fenêtres. Enfin, une expression préfixée par « $kbd-ocr: » ou « $ocr-kbd: » s’appliquera aux deux. Exemples : pour empêcher la suppression de fichiers depuis l’Invite de commande (cmd.exe), les expressions à rentrer sont les suivantes : $kbd:del\s+.* $kbd:erase\s+.*
Pour empêcher l’ouverture de l’invite de commande elle-même : $ocr:Invite de commande $ocr:.*\\cmd.exe
Avertissement : Si vous choisissez de fermer la session quand une barre de titre de fenêtre spécifique est affichée, les utilisateurs ne pourrons pas se reconnecter tant que cette fenêtre n’aura
119
Wallix AdminBastion 5.0.4 – Guide d’Administration pas été fermée ou son titre changé car leurs sessions seront de nouveau fermées immédiatement.
9.5.11. Importer des règles restrictives pour les groupes de comptes cibles et les groupes utilisateurs Vous pouvez importez des règles restrictives permettant de définir des actions à appliquer lors de la détection de certaines chaînes de caractères sur le flux montant des proxys (voir Section 9.5.9, « Analyse des flux SSH / Détection de motifs (ou « patterns ») » et Section 9.5.10, « Analyse des flux RDP / Détection de motifs (ou « patterns ») »). Ces règles se définissent dans le champ « Règles ». Sur la page « CSV » du menu « Import/Export », cochez la case « Restrictions » pour importer les données. Les séparateurs de champs et de listes sont également configurables. Le fichier doit commencer par une ligne contenant le marqueur : #wab504 restriction
Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 : #wab50 restriction
Chaque ligne suivante doit être formée comme indiqué ci-dessous : Champ Nom
Type Texte
R(equis)/ O(ptionnel) R
Valeurs possibles
Valeur par défaut
[aA-zZ], [0-9], '-', '_' Le nom unique.
du
groupe
N/A est
Type
Texte
R
Cible / Utilisateur
N/A
Action
Texte
R
« Kill » (ou « Fermer ») / « Notify » (ou « Notifier »)
Règles
Texte
R
Expressions régulières, à N/A raison d’une expression par ligne Il peut y avoir des règles définies à la fois sur les groupes de comptes cibles et sur les groupes utilisateurs au sein du même fichier.
Sous-protocole
Texte
R
Nom du sous-protocole
N/A
Après l’importation du fichier .csv, un résumé de l’opération s’affiche. Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est indiquée.
9.6. Clusters Un cluster est un groupe de serveurs de rebond. L’utilisation d’un cluster à la place d’un équipement unique permet de mettre en place de la répartition de charge et de la Haute Disponibilité pour une
120
Wallix AdminBastion 5.0.4 – Guide d’Administration application. La sélection du serveur de rebond à utiliser pour exécuter une application se fait en deux étapes. WAB trie les serveurs en commençant par celui avec le moins de sessions ouvertes, puis essaie de se connecter à chacun jusqu’à la première tentative qui réussit. La gestion des clusters se fait à partir de la page « Clusters » du menu « Ressources et comptes ». Il suffit d’ajouter à un cluster les équipements qui le composent. Sur la page « Clusters », vous pouvez : • lister les clusters et les comptes cibles déclarés sur chacun des groupes, • ajouter/modifier/supprimer un cluster, • importer des clusters à partir d'un fichier .csv afin d'alimenter la base ressources de WAB. Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des résultats (et pas uniquement sur la page active). Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à travers les pages et modifier le nombre d'éléments affichés par page.
9.6.1. Ajouter un cluster Sur la page « Clusters », cliquez sur « Ajouter un cluster » pour afficher la page de création du cluster. Cette page recense les champs suivants : • un champ pour la saisie du nom du cluster, • une description, • les cibles pouvant être sélectionnées pour appartenir au cluster : déplacez une cible depuis le cadre « Cibles disponibles » vers le cadre « Cibles sélectionnées » pour choisir la cible. Et inversement, déplacez une cible depuis le cadre « Cibles sélectionnées » vers le cadre « Cibles disponibles » pour supprimer l'association. Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans la zone dédiée au niveau de l'icône loupe. Vous pouvez effectuer une sélection multiple dans la liste des cadres.
121
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 9.13. Page « Clusters » en mode création
9.6.2. Modifier un cluster Sur la page « Clusters », cliquez sur un nom de cluster puis sur « Modifier ce cluster » pour afficher la page de modification du cluster. Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du cluster, excepté le champ « Nom du cluster » qui n’est pas modifiable.
9.6.3. Supprimer un cluster Sur la page « Clusters », sélectionnez un ou plusieurs clusters à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
9.6.4. Importer des clusters Sur la page « Clusters », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case « Clusters » est déjà cochée pour l'import des données. Les séparateurs de champs et de listes sont également configurables. Le fichier doit commencer par une ligne contenant le marqueur : #wab504 cluster
Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 : #wab50 cluster
Chaque ligne suivante doit être formée comme indiqué ci-dessous :
122
Wallix AdminBastion 5.0.4 – Guide d’Administration Champ
Type
R(equis)/O(ptionnel)
Valeurs possibles
Valeur par défaut
Nom
TexteR
[aA-zZ], [0-9], '-', '_'
N/A
Description
TexteO
Texte libre
N/A
Compte cible
TexteR/O
Comptes cibles définis N/A Il doit y avoir au moins un compte cible existant ou une cible existante en mappage de compte ou encore une cible existante en connexion interactive. Il peut n'y avoir aucune cible ou une ou plusieurs cibles dans chaque catégorie ou dans toutes les catégories pour le cluster.
Mappage de compte
TexteR/O
Cibles en mappage de N/A compte définies Il doit y avoir au moins un compte cible existant ou une cible existante en mappage de compte ou encore une cible existante en connexion interactive. Il peut n'y avoir aucune cible ou une ou plusieurs cibles dans chaque catégorie ou dans toutes les catégories pour le cluster.
Connexion interactive TexteR/O
Cible en connexion N/A interactive définies Il doit y avoir au moins un compte cible existant ou une cible existante en mappage de compte ou encore une cible existante en connexion interactive. Il peut n'y avoir aucune cible ou une ou plusieurs cibles
123
Wallix AdminBastion 5.0.4 – Guide d’Administration Champ
Type
R(equis)/O(ptionnel)
Valeurs possibles
Valeur par défaut
dans chaque catégorie ou dans toutes les catégories pour le cluster. Après l’importation du fichier .csv, un résumé de l’opération s’affiche. Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est indiquée.
Figure 9.14. Page « CSV » - case « Clusters » cochée
9.7. Politiques d'emprunt du mot de passe La politique d'emprunt définit les paramètres relatif au processus d'emprunt du mot de passe du compte. Sur la page « Politiques d'emprunt », vous pouvez : • lister les politiques, • ajouter/modifier/supprimer une politique d'emprunt. Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des résultats (et pas uniquement sur la page active). Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à travers les pages et modifier le nombre d'éléments affichés par page.
124
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement : Une politique d'emprunt par défaut appelée « default » est configurée au sein de WAB. Vous pouvez modifier cette politique mais vous ne pouvez pas la supprimer.
9.7.1. Ajouter une politique d'emprunt du mot de passe Sur la page « Politiques d'emprunt », cliquez sur « Ajouter une politique d'emprunt » pour afficher la page de création de la politique. Cette page recense les champs suivants : • un champ pour la saisie du nom de la politique, • une description, • une case à cocher pour activer le verrouillage du compte durant le processus d'emprunt du mot de passe afin d'éviter une utilisation simultanée par plusieurs utilisateurs. • si le verrouillage est activé : • – la durée d'emprunt exprimée en heures et en minutes (par exemple, saisir « 1h20 » pour une heure et vingt minutes ou « 5 » pour cinq minutes). Cette durée doit être renseignée. – l'extension de la durée d'emprunt exprimée en heures et en minutes (par exemple, saisir « 1h20 » pour une heure et vingt minutes ou « 5 » pour cinq minutes), – la durée maximum d'emprunt exprimée en heures et en minutes (par exemple, saisir « 1h20 » pour une heure et vingt minutes ou « 5 » pour cinq minutes), – une case à cocher pour paramétrer le changement du mot de passe lors de la restitution.
Figure 9.15. Page « Politiques d'emprunt » en mode création
9.7.2. Modifier une politique d'emprunt du mot de passe Sur la page « Politiques d'emprunt », cliquez sur un nom de politique puis sur « Modifier cette politique d'emprunt » pour afficher la page de modification de la politique. Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la politique.
9.7.3. Supprimer une politique d'emprunt du mot de passe Sur la page « Politiques d'emprunt », sélectionnez une ou plusieurs politiques à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection.
125
Wallix AdminBastion 5.0.4 – Guide d’Administration WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
Avertissement : Vous ne pouvez pas supprimer une politique d'emprunt du mot de passe lorsque celleci est associée à au moins un compte cible.
126
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 10. Gestion des mots de passe Avertissement : Le menu « Gestion des mots de passe » et l'entrée « Mots de passe » du menu « Mes autorisations » peuvent être utilisés lorsque la fonctionnalité WAB Password Manager est associée à votre clé de licence (voir Section 3.4, « WAB Password Manager »).
10.1. Autorisations de l'utilisateur sur les mots de passe Sur la page « Mots de passe » du menu « Mes autorisations », l'utilisateur peut visualiser la liste des comptes cibles pour lesquels il/elle est autorisé(e) à visualiser/emprunter le mot de passe. L'utilisateur est donc autorisée à visualiser les accréditations des comptes (identifiant, mot de passe et clé SSH). Sur chaque ligne, l'utilisateur peut : • soit visualiser le mot de passe du compte en cliquant sur « Afficher » au début de la ligne. Dans ce cas, le verrouillage du compte a été désactivé au niveau de la politique d'emprunt associée à ce compte cible, • soit emprunter le mot de passe du compte en cliquant sur « Emprunter » au début de la ligne. Dans ce cas, le verrouillage du compte a été activé au niveau de la politique d'emprunt associée à ce compte-cible. Pour plus d'informations, voir Section 9.7, « Politiques d'emprunt du mot de passe ». Dans la fenêtre permettant d'afficher le mot de passe, il est alors nécessaire de cliquer sur le bouton « Restitution » pour restituer le compte avant la fin de la durée d'emprunt. Néanmoins, le compte sera automatiquement restitué à la fin de cette durée. La durée d'emprunt a été définie au niveau de la politique d'emprunt. Si une procédure d'approbation a été définie pour autoriser l'accès au mot de passe de la cible, l'utilisateur peut notifier les approbateurs et obtenir l'accès au mot de passe de la cible en cliquant sur « Demande » dans la colonne « Approbation ». La page « Demande d'approbation » s'affiche alors et une date et une heure de début ainsi qu'une durée doivent être renseignées. Un commentaire pour saisir un motif concernant la demande d'approbation ainsi qu'une référence peuvent être renseignés respectivement dans les champs « Commentaire » et « Référence du ticket », si les options correspondantes ont été activées lors de la définition de l'autorisation. Dans le cas contraire, ces deux champs ne sont pas affichés. Pour plus d'informations, voir Section 12.7, « Procédure d'approbation ». Lorsque la requête est formulée, l'utilisateur est redirigé sur la page « Mots de passe » et il/elle peut visualiser le statut des demandes d'approbation envoyées dans le tableau en bas de la page. Chaque ligne présente les informations suivantes : • la cible pour laquelle la demande est formulée, • la date et l'heure de début de la demande, • la durée de la demande, • la référence du ticket associé à la demande, • le quorum actuel,
127
Wallix AdminBastion 5.0.4 – Guide d’Administration • le statut de la demande, • les réponses des approbateurs. L'utilisateur peut cliquer sur l'icône bloc-notes au début de la ligne pour obtenir une vue détaillée de la demande. Le bouton « Annuler la demande » sur la page permet d'annuler les demandes encore valides.
Figure 10.1. Menu « Mes autorisations » - Page « Mots de passe »
10.2. Plugins de changement des mots de passe Sur la page « Plugins chgt mot de passe » du menu « Gestion des mots de passe », vous pouvez visualiser la liste des plugins configurés au sein de WAB. Un plugin de changement de mot de passe peut être sélectionné lors de la création/modification d'un domaine global ou local (voir Section 9.1, « Domaines » et plusieurs paramètres peuvent être définis en fonction du plugin choisi.
Figure 10.2. Page « Plugins de changement des mots de passe »
10.2.1. Plugin Windows Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine global ou local (voir Section 9.1, « Domaines ») sont les suivants : • Adresse du contrôleur de domaine : adresse Active Directory. Ce paramètre est requis pour un domaine global.
128
Wallix AdminBastion 5.0.4 – Guide d’Administration • Identifiant administrateur et mot de passe administrateur : identifiant et mot de passe d'un compte à privilèges autorisé à changer les mots de passe d'autres comptes. Ces paramètres sont optionnels mais veuillez noter que WAB ne pourra pas définir le nouveau mot de passe d'un compte si l'ancien n'existe pas. Ces paramètres correspondent aux accréditations du compte renseigné dans le champ « Compte administrateur » (voir Section 9.1, « Domaines ») au niveau du domaine et sont utilisés pour la mise en place de la réconciliation.
Avertissement : Afin de permettre le bon déroulement du changement automatique de mot de passe au sein de WAB, nous vous recommandons vivement de modifier la valeur définie par défaut pour la durée de vie minimale du mot de passe, au niveau des paramètres de la politique de mot de passe de Windows. Cette valeur devrait être paramétrée à « 0 ». Pour les comptes de domaines, la durée de vie minimale du mot de passe peut être changée dans les paramètres de sécurité de Windows, au niveau des stratégies de groupe. Pour les comptes locaux, la durée de vie minimale du mot de passe peut être changée dans les paramètres de sécurité de Windows, au niveau de la politique locale.
10.2.2. Plugin Cisco Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine global ou local (voir Section 9.1, « Domaines ») sont les suivants : • Hôte : nom d'hôte ou IP du serveur SSH. Ce paramètre est requis. • Port : numéro du port du serveur SSH, • Mot de passe de enable : mot de passe d'élévation de privilèges pour la commande « enable ». Ce paramètre est requis.
Avertissement : Depuis OpenSSH 7.0, des algorithmes faibles ont été désactivés au niveau de la configuration par défaut, même si ceux-ci étaient les seuls à être supportés par des anciens serveurs. De ce fait, le changement de mot passe effectué avec le plugin Cisco peut échouer. Il est donc nécessaire d'activer l’algorithme d'échange de clés « diffie-hellman-group1sha1 »et l'algorithme de clé d'hôte « ssh-dss » en ajoutant les lignes suivantes dans le fichier /etc/ssh/ssh_config : KexAlgorithms +diffie-hellman-group1-sha1 HostKeyAlgorithms +ssh-dss
10.2.3. Plugin Unix Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine global ou local (voir Section 9.1, « Domaines ») sont les suivants : • Hôte : nom d'hôte ou IP du serveur SSH. Ce paramètre est requis.
129
Wallix AdminBastion 5.0.4 – Guide d’Administration • Port : numéro du port du serveur SSH, • Mot de passe root : mot de passe pour la connexion avec les privilèges « root ».
Avertissement : Depuis OpenSSH 7.0, des algorithmes faibles ont été désactivés au niveau de la configuration par défaut, même si ceux-ci étaient les seuls à être supportés par des anciens serveurs. De ce fait, le changement de mot passe effectué avec le plugin Unix peut échouer. Il est donc nécessaire d'activer l’algorithme d'échange de clés « diffie-hellman-group1sha1 »et l'algorithme de clé d'hôte « ssh-dss » en ajoutant les lignes suivantes dans le fichier /etc/ssh/ssh_config : KexAlgorithms +diffie-hellman-group1-sha1 HostKeyAlgorithms +ssh-dss
10.2.4. Plugin Oracle Ce plugin permet le changement du mot de passe de la base de donneés Oracle. Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine global ou local (voir Section 9.1, « Domaines ») sont les suivants : • Hôte : Adresse de la base de données. Ce paramètre est requis. • Port : numéro du port, • Nom du service : Nom du service de la base de données (SID). Ce paramètre est requis.
10.3. Politiques de changement des mots de passe Une politique de changement des mots de passe détermine les paramètres du changement des mots de passe et peut être sélectionnée lors de la création/modification d'un domaine global.
Avertissement : Tous les mots de passe pour lesquels le changement automatique est configuré comme indiqué Section 9.4.1, « Ajouter un compte cible » seront remplacés. Il vous appartient de vérifier que les e-mails contenant les nouveaux mots de passe ont bien été reçus et qu’ils peuvent être déchiffrés. Nous vous recommandons d'effectuer un test du processus en vous basant sur un compte administrateur unique. Sur la page « Politiques chgt mot de passe » du menu « Gestion des mots de passe », vous pouvez lister, ajouter, modifier ou supprimer des politiques de changement des mots de passe. Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des résultats (et pas uniquement sur la page active). Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à travers les pages et modifier le nombre d'éléments affichés par page.
130
Wallix AdminBastion 5.0.4 – Guide d’Administration
10.3.1. Ajouter une politique de changement des mots de passe Sur la page « Politiques chgt mot de passe », cliquez sur « Ajouter une politique de changement des mots de passe » pour afficher la page de création de la politique. Cette page recense les champs suivants : • un champ pour la saisie du nom de la politique, • une description, • la longueur du mot de passe, c'est-à-dire le nombre de caractères que le mot de passe doit contenir, • le nombre minimal de caractères ASCII non alphanumériques (ou caractères spéciaux) que le mot de passe doit contenir, • le nombre minimal de caractères alphabétiques en minuscules que le mot de passe doit contenir, • le nombre minimal de caractères alphabétiques en majuscules que le mot de passe doit contenir, • le nombre minimal de chiffres que le mot de passe doit contenir, • les caractères interdits dans le mot de passe, • la périodicité du changement, c'est-à-dire à la fréquence à laquelle le changement des mots de passe est automatiquement déclenché. Cette fréquence peut être toutes les heures, quotidienne, hebdomadaire ou désactivée.
Figure 10.3. Page « Politiques de changement des mots de passe » en mode création
10.3.2. Modifier une politique de changement des mots de passe Sur la page « Politiques chgt mot de passe », cliquez sur un nom de politique puis sur « Modifier cette politique de changement des mots de passe » pour afficher la page de modification de la politique. Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la politique.
131
Wallix AdminBastion 5.0.4 – Guide d’Administration
10.3.3. Supprimer une politique de changement des mots de passe Sur la page « Politiques chgt mot de passe », sélectionnez une ou plusieurs politiques à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
132
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 11. Gestion des sessions Avertissement : Le menu « Gestion des sessions » et l'entrée « Sessions » du menu « Mes autorisations » peuvent être utilisés lorsque la fonctionnalité WAB Session Manager est associée à votre clé de licence (voir Section 3.3, « WAB Session Manager »).
11.1. Autorisations de l'utilisateur sur les sessions Sur la page « Sessions » du menu « Mes autorisations », l'utilisateur peut visualiser la liste des cibles auxquelles il/elle est autorisé(e) à se connecter. Sur chaque ligne, l'utilisateur peut accéder à la cible en cliquant sur l'une des icônes suivantes : •
: cette icône permet à l'utilisateur de télécharger un fichier de configuration (RDP, WABPutty sous Windows ou SSH sous d'autres systèmes) qu'il/elle peut sauvegarder pour établir une connexion depuis un client RDP ou SSH (suffixe du nom de fichier .puttywab sous Windows et .sh sous Linux). Dans ce cas, le mot de passe WAB est requis pour la connexion.
•
: (« Accès immédiat (mot de passe valable une fois, limité dans le temps) ») : cette icône permet à l'utilisateur d'ouvrir le fichier pour établir une connexion immédiate depuis un client RDP (suffixe du nom de fichier .rdp sous Windows et .sh sous Linux). Dans ce cas, aucun mot de passe n'est requis mais l'accès est autorisé pour une durée limitée. Cette icône est également affichée pour une connexion à une application.
•
: (« Accès immédiat avec WABPutty (mot de passe valable une fois, limité dans le temps) ») : cette icône permet à l'utilisateur d'ouvrir le fichier pour établir une connexion immédiate depuis un client SSH (suffixe du nom de fichier .puttywab sous Windows et .sh sous Linux). Dans ce cas, aucun mot de passe n'est requis mais l'accès est autorisé pour une durée limitée. Veuillez voir également Section 11.2, « Options sur les login primaires pour les protocoles SCP et SFTP via SSH » pour l'authentification SSH.
Pour pouvoir utiliser les fichiers .puttywab sous Windows, il faut auparavant télécharger et installer l'application WABPutty à partir du lien « Télécharger WABPutty » affiché dans le haut de cette page. L'installation prend en charge l'association des fichiers afin que l'application soit démarrée automatiquement. L'installation ne nécessite pas de privilèges d'administration. Cependant l'installation est uniquement fonctionnelle pour l'utilisateur connecté et non pour l'ensemble des utilisateurs du poste de travail. Si une procédure d'approbation a été définie pour autoriser la connexion à la cible, l'utilisateur peut notifier les approbateurs et obtenir l'accès à la cible en cliquant sur « Demande » dans la colonne « Approbation ». La page « Demande d'approbation » s'affiche alors et une date et une heure de début ainsi qu'une durée doivent être renseignées. Un commentaire pour saisir un motif concernant la demande d'approbation ainsi qu'une référence peuvent être renseignés respectivement dans les champs « Commentaire » et « Référence du ticket », si les options correspondantes ont été activées lors de la définition de l'autorisation. Dans le cas contraire, ces deux champs ne sont pas affichés. Pour plus d'informations, voir Section 12.7, « Procédure d'approbation ». Lorsque la requête est formulée, l'utilisateur est redirigé sur la page « Sessions » et il/elle peut visualiser le statut des demandes d'approbation envoyées dans le tableau en bas de la page.
133
Wallix AdminBastion 5.0.4 – Guide d’Administration Chaque ligne présente les informations suivantes : • la cible pour laquelle la demande est formulée, • la date et l'heure de début de la demande, • la durée de la demande, • la référence du ticket associé à la demande, • le quorum actuel, • le statut de la demande, • les réponses des approbateurs. L'utilisateur peut cliquer sur l'icône bloc-notes au début de la ligne pour obtenir une vue détaillée de la demande. Le bouton « Annuler la demande » sur la page permet d'annuler les demandes encore valides.
Figure 11.1. Menu « Mes autorisations » - Page « Sessions »
11.2. Options sur les login primaires pour les protocoles SCP et SFTP via SSH Les protocoles SCP et SFTP ne permettant pas l'authentification en mode interactif sur un compte secondaire, il est alors nécessaire de rajouter des options spécifiques au niveau de la connexion primaire pour obtenir des invites sur la cible secondaire en utilisant le clavier interactif primaire. Ceci suppose que le client supporte la méthode d'authentification par le clavier interactif. Le point d'interrogation « ? » est un caractère interdit dans le login de l'utilisateur primaire mais il peut être utilisé comme séparateur pour indiquer des options (à droite) demandant explicitement une invite pour saisir un login et/ou mot de passe pour la cible. L'option « p » demande un mot de passe secondaire. L'option « l » demande un login secondaire. Le point d'interrogation « ? » sans option demande par défaut un mot de passe secondaire. Exemples:
134
Wallix AdminBastion 5.0.4 – Guide d’Administration login: “wabuser” : pas d'invite supplémentaire login: “wabuser?” : invite de saisie du mot de passe secondaire login: “wabuser?p” : invite de saisie du mot de passe secondaire login : “wabuser?l” : invite de saisie du login secondaire login : “wabuser?lp” : invite de saisie du login secondaire en premier, puis invite de saisie du mot de passe secondaire. Le mot de passe est requis lorsque la méthode d'authentification PASSWORD_INTERACTIVE a été sélectionnée au niveau de la politique de connexion associée à la cible (pour plus d'informations, voir Section 11.5, « Politiques de connexion »).
11.3. Données d'audit Le menu « Audit » vous permet de visualiser les données d'audit de WAB et notamment les historiques des connexions.
11.3.1. Sessions courantes Sur la page « Sessions courantes » du menu « Audit », vous pouvez visualiser la liste des connexions actives et initiées depuis WAB pour les sessions RDP et SSH (les connexions actives sur l’interface Web ne sont pas représentées).
Note : Le terme générique « connexion » sera utilisé dans cette section pour désigner indifféremment les connexions SSH et RDP. Dans le haut de la page, vous pouvez choisir d'activer/désactiver le rafraîchissement automatique des données affichant les connexions courantes. Lorsque l'option correspondante est activée, il est possible de déterminer la fréquence de ce rafraîchissement. Ceci peut notamment s'avérer utile lors de la sélection des connexions actives à interrompre. Chaque ligne présente les informations suivantes : • l’utilisateur (désigné sous la forme : identifiant@machine(ip)), • le protocole source (RDP ou SSH), • le protocole de destination, • la cible accédée (désignée sous la forme : compte@équipement:service), • l’heure d’initialisation de la connexion, • la durée de la connexion. Sur cette page, vous pouvez également interrompre une ou plusieurs connexions : sélectionnez une ou plusieurs connexions à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône rouge, dans l'en-tête de colonne, pour fermer les sessions correspondantes. WAB affiche une fenêtre demandant une confirmation avant l'interruption des connexions. Les utilisateurs connectés via RDP ou SSH sont alors informés que la connexion a été interrompue par l'administrateur, comme illustré ci-dessous :
135
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 11.2. Coupure de connexion SSH initiée par l'administrateur
11.3.2. Sessions courantes en temps réel Sur la page « Sessions courantes » du menu « Audit », vous pouvez visualiser les sessions courantes RDP ou SSH en temps réel lorsque l'enregistrement de session a été activé au niveau de l'autorisation définie pour le groupe utilisateurs et le groupe de comptes cibles. Pour plus d'informations, voir Chapitre 12, Gestion des autorisations . Cliquez sur l'icône de la loupe située au début de la ligne concernée dans la liste pour ouvrir une fenêtre vous permettant de visualiser la session en temps réel. Cliquez une deuxième fois sur l'icône pour fermer la fenêtre.
11.3.3. Historique des sessions Sur la page « Historique des sessions » du menu « Audit », vous pouvez visualiser l’historique de l’ensemble des connexions effectuées depuis WAB.
Avertissement : Cette page affiche uniquement les connexions terminées. Pour obtenir une vue des connexions actives, voir Section 11.3.1, « Sessions courantes ».
136
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 11.3. Page « Historique des sessions » Chaque ligne présente les informations suivantes : • l'utilisateur et l’IP source de connexion (désigné sous la forme : identifiant@ipsource), • la cible accédée (désignée sous la forme : compte@équipement:service), • le protocole source, • le protocole de destination, • l’heure d’initialisation de la connexion, • l’heure de fin de la connexion, • la durée de la connexion, • le résultat de la connexion. En cas d'échec, cliquez sur l'icône pour obtenir des informations sur le problème de connectivité (par exemple, mot de passe du compte erroné, ressource injoignable, etc.). Vous pouvez modifier cette description si nécessaire. En cas de succès, vous pouvez cliquer sur l'icône pour ajouter une description si nécessaire. Des filtres peuvent être définis dans le haut de la page pour faciliter la recherche et restreindre l'affichage aux données pertinentes. Ces filtres sont les suivants : • un tri sur l'affichage de toutes les données ou tous les équipements existants ou encore, toutes les applications existantes, • la définition d'une plage de dates, • la définition des N derniers jours, semaines ou mois, • un recherche par occurrence dans les colonnes.
Note : Seuls les 1000 derniers enregistrements sont affichés dans l’interface utilisateur Web. Le filtrage par recherche d’occurrences opère sur ces 1000 enregistrements. Seule la définition d’une plage de dates permet de récupérer des sessions plus anciennes. Toutes les données sur cette page sont téléchargeables sous la forme d'un fichier .csv.
11.3.4. Enregistrements des sessions Sur la page « Historique des sessions » du menu « Audit », vous pouvez visualiser les enregistrements des sessions.
137
Wallix AdminBastion 5.0.4 – Guide d’Administration Des icônes peuvent être affichées au début des lignes : • Cliquez sur l'icône de la disquette pour télécharger l’enregistrement de la session SSH au format brut (ttyrec). • Cliquez sur l'icône du fichier texte permet de télécharger le contenu visible de la session SSH au format texte plat (txt). • Cliquez sur l'icône de la loupe : la page de visualisation de l’enregistrement des sessions s'affiche. Un visualiseur vous permet alors de parcourir la vidéo de la session. Les informations de la session sont affichées dans le haut de la page. Cliquez sur l'icône de la disquette pour télécharger le film entier. Si l'option OCR est activée, les titres des applications détectées dans le film par le module d’OCR sont indexés et affichés dans la zone « Données de la session ». Cliquez sur les entrées de la liste pour naviguer rapidement dans le film à partir du visualiseur. L'icône de la flèche descendante vous permet de télécharger les données de la session. Vous pouvez également cliquer sur les vignettes de la zone « Liste des captures d'écran » pour naviguer rapidement dans le film. • Cliquez sur l'icône du pouce levé pour afficher le détail de la demande d'approbation (avec les réponses et commentaires des approbateurs). Cette icône s'affiche sur la ligne si la session correspondante a fait l'objet d'une procédure d'approbation. Pour plus d'informations, voir Section 12.7, « Procédure d'approbation ».
11.3.5. Historique des comptes Sur la page « Historique des comptes » du menu « Audit », l'auditeur peut : • vérifier l'activité sur les comptes, • visualiser l'historique des changements du mot de passe, • forcer le déblocage d'un compte verrouillé. Dans la colonne « Activité », l'auditeur peut cliquer sur « Afficher » pour visualiser l'historique des activités pour le compte sur une page dédiée. Cette page affiche un tableau listant les activités enregistrées pour une date et une heure données. Dans la colonne « Historique », l'auditeur peut cliquer sur « Afficher » pour visualiser l'historique des changements du mot de passe du compte sur une page dédiée. Cette page affiche les informations liées aux changements du mot de passe du compte pour une date et une heure données. Il est également possible d'afficher le nouveau mot de passe. Dans la colonne « Actions », l'option « Forcer le déblocage » est disponible pour les comptes empruntés par les utilisateurs. L’auditeur peut cliquer sur cette option pour restituer le mot de passe du compte.
138
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 11.4. Page « Historique des comptes »
11.3.6. Historique des approbations Sur la page « Historique des approbations » du menu « Audit », vous pouvez visualiser toutes les demandes d'approbation (en cours ou expirées) formulées pour accéder aux sessions. Pour plus d'informations sur les approbations, voir Section 12.7, « Procédure d'approbation ». Des filtres peuvent être définis dans le haut de la page pour faciliter la recherche et restreindre l'affichage aux données pertinentes. Ces filtres sont les suivants : • la définition d'une plage de dates, • la définition des N derniers jours, semaines ou mois, • un recherche par occurrence dans les colonnes.
Note : Seuls les 1000 derniers enregistrements sont affichés dans l’interface utilisateur Web. Le filtrage par recherche d’occurrences opère sur ces 1000 enregistrements. Seule la définition d’une plage de dates permet de récupérer des sessions plus anciennes. Chaque ligne présente les informations suivantes : • le statut de la demande, • le quorum actuel, • la référence du ticket associé à la demande, • l’utilisateur qui a formulé la demande, • la cible pour laquelle la demande est formulée, • la date et l'heure de début de la demande, • la date et l'heure de fin de la demande, • la durée de la demande, • les réponses des approbateurs. Cliquez sur l'icône bloc-notes au début de la ligne pour obtenir une vue détaillée de la demande. Toutes les données sur cette page sont téléchargeables sous la forme d'un fichier .csv.
139
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 11.5. Page « Historique des approbations »
11.3.7. Historique des authentifications Sur la page « Historique des authentifications » du menu « Audit », vous pouvez visualiser les tentatives d’authentifications sur les interfaces des proxys RDP et SSH (respectivement sur les ports 3389 et 22). Des filtres peuvent être définis dans le haut de la page pour faciliter la recherche et restreindre l'affichage aux données pertinentes. Ces filtres sont les suivants : • la définition d'une plage de dates, • la définition des N derniers jours, semaines ou mois, • un recherche par occurrence dans les colonnes.
Note : Seuls les 1000 derniers enregistrements sont affichés dans l’interface utilisateur Web. Le filtrage par recherche d’occurrences opère sur ces 1000 enregistrements. Seule la définition d’une plage de dates permet de récupérer des sessions plus anciennes. Chaque ligne présente les informations suivantes : • la date de l’événement, • l’identifiant fourni (nom d’utilisateur WAB), • l’adresse IP source, • le résultat de l’authentification symbolisé par une icône représentant un succès ou un échec, • un diagnostic du résultat fournissant une indication plus précise sur le résultat de l'authentification. Toutes les données sur cette page sont téléchargeables sous la forme d'un fichier .csv.
140
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 11.6. Page « Historique des authentifications »
11.3.8. Statistiques sur les connexions Sur la page « Statistiques sur les connexions » du menu « Audit », vous pouvez visualiser les informations statistiques sur les connexions effectuées à travers WAB sur une période de temps donnée. Cette période peut être une plage calendaire ou un nombre de jours précédant la date courante. Un filtre vous permet le type d'informations statistiques que vous souhaitez visualiser dans le coin supérieur gauche de la page : dans la liste de valeurs, vous pouvez sélectionner soit « Statistiques » soit « Ressources inutilisées ». Si vous choisissez « Statistiques » (sélectionné par défaut), l'affichage peut être restreint aux événements les plus/moins fréquents (connexions aux cibles par équipement ou par utilisateur ou par date, etc.) : 35 éléments maximum peuvent être affichés. Les options suivantes peuvent être sélectionnées pour la génération du rapport statistique : • le nombre de connexions aux cibles par équipement, • le nombre de connexions aux cibles par compte cible, • le nombre de connexions à WAB par utilisateur, • le nombre de connexions aux cibles par utilisateur, • les connexions aux cibles par durée, • le temps total de connexions aux cibles par utilisateur, • les connexions aux cibles par date, • le nombre maximum de connexions aux cibles simultanées par date. Des filtres peuvent être définis dans le bas de la page pour faciliter la recherche et restreindre l'affichage aux données pertinentes. Ces filtres sont basés sur une sélection parmi des utilisateurs WAB et/ou des équipements et/ou des comptes cibles. Une fois les diagrammes générés, vous pouvez cliquer sur les rapports concernant les connexions WAB et les connexions aux comptes cibles pour en visualiser le détail sur les pages « Historique des authentifications » (voir Section 11.3.7, « Historique des authentifications ») ou « Historique des sessions » (voir Section 11.3.3, « Historique des sessions »). Un tableau dans l'en-tête des diagrammes générés récapitule les filtres sélectionnés et un bouton sous les graphiques vous permet de télécharger chacun de ces rapports statistiques sous la forme d’un fichier .csv.
141
Wallix AdminBastion 5.0.4 – Guide d’Administration Si vous choisissez « Ressources inutilisées », vous pouvez visualiser les utilisateurs ou les comptes cibles inactifs sur une période de temps donnée. Cette période peut être une plage calendaire ou un nombre de jours précédant la date courante. Les données peuvent être affichées directement sous forme de liste sur la page active ou encore téléchargées sous la forme d’un fichier .csv.
Figure 11.7. Page « Statistiques sur les connexions »
142
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 11.8. Exemple d'un rapport statistique
11.4. Options des enregistrements de session Sur la page « Options d'enregistrement » du menu « Gestion des sessions », vous pouvez choisir d'activer ou non le chiffrement et la signature pour les enregistrements de session. Ces enregistrements sont visualisables sur la page « Historique des sessions » du menu « Audit ». Pour plus d'informations, voir Section 11.3.3, « Historique des sessions ». Les enregistrements chiffrés peuvent être relus uniquement par l'instance WAB qui les a créés. L’algorithme de chiffrement utilisé est AES 256 CBC. La signature est effectuée en calculant une empreinte HMAC SHA 256. L’empreinte est vérifiée lors d'une demande de visualisation.
143
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 11.9. Page « Options d'enregistrement »
11.5. Politiques de connexion Sur la page « Politiques de connexion » du menu « Gestion des sessions », vous pouvez ajouter, modifier ou supprimer les mécanismes d'authentification existants au sein de WAB. Les mécanismes disponibles pour les protocoles RDP, VNC, SSH, TELNET et RLOGIN sont prédéfinis dans l'application et ne peuvent être ni supprimés ni modifiés. Sur chaque page, une description utile peut être affichée pour tous les champs en sélectionnant la case du champ « Aide sur les options » sur la droite. Cette description inclut le format à respecter lors de la saisie des données dans le champ.
Avertissement : Les options spécifiques affichées lorsque la case du champ « Options avancées » sur la droite est cochée doivent être UNIQUEMENT modifiées sur les instructions de l’Équipe Support Wallix ! Une icône représentant un point d'exclamation sur fond orange est affichée en marge des champs concernés. Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des résultats (et pas uniquement sur la page active). Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à travers les pages et modifier le nombre d'éléments affichés par page.
Figure 11.10. Page « Politiques de connexion »
11.5.1. Ajouter une politique de connexion Sur la page « Politiques de connexion », vous pouvez ajouter une politique de connexion :
144
Wallix AdminBastion 5.0.4 – Guide d’Administration • en cliquant sur « Ajouter une politique de connexion » pour afficher la page de création de la politique, • en dupliquant une politique existante afin d’utiliser ses paramètres : cliquez sur l'icône dans la colonne « Action » sur la droite de la ligne souhaitée dans le tableau pour afficher la page de création de la politique avec les paramètres hérités de la politique choisie. Dans ce cas, seuls les champs « Nom de la politique » et « Description » ne sont pas hérités de la politique choisie et sont vides. Cette page recense les champs suivants : • le nom de la politique de connexion, • une description, • la sélection du protocole souhaité (automatiquement renseigné si vous créez une politique en utilisant les paramètres d'une politique existante), • la sélection des méthodes d'authentification et des paramètres propres au protocole choisi, • la définition d'une règle de transformation du login secondaire. Pour plus d’informations, voir Section 11.6, « Règle de transformation ». Un script de connexion peut être renseigné dans le champ « Scenario » pour les politiques de connexion définies sur les protocoles TELNET et RLOGIN. Pour plus d'informations, voir Section 9.2.10, « Scénario de connexion TELNET/RLOGIN sur un équipement cible ». Le mode « session probe » peut être activé pour les politiques de connexion définies sur le protocole RDP. Pour plus d'informations, voir Section 11.7, « Session probe ».
Figure 11.11. Page « Politiques de connexion » en mode création pour le protocole RLOGIN
11.5.2. Modifier une politique de connexion Sur la page « Politiques de connexion », cliquez sur un nom de politique puis sur « Modifier cette politique de connexion » pour afficher la page de modification de la politique.
145
Wallix AdminBastion 5.0.4 – Guide d’Administration Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la politique, excepté les champs « Nom de la politique » et « Protocole » qui ne sont pas modifiables.
11.5.3. Supprimer une politique de connexion Sur la page « Politiques de connexion », sélectionnez une ou plusieurs politiques à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
Avertissement : Vous ne pouvez pas supprimer une politique de connexion lorsque celle-ci est associée à un équipement (au niveau du service sur la page « Équipements »). Pour plus d'informations sur l'association d'une politique de connexion à un équipement, voir Section 9.2.1, « Ajouter un équipement cible ».
11.6. Règle de transformation Une règle de transformation correspond à une chaîne de caractères définissant la structure du login secondaire. Cette chaîne de caractère inclut : • le champ requis ${LOGIN}, • le champ optionnel ${DOMAIN}
Exemple 11.1. Exemples de règles de transformation : '${DOMAIN}WIN2k3\${LOGIN}' : ajout d'un suffixe au niveau du domaine '${LOGIN}': forçage du login sans aucun domaine '${LOGIN}@QA': utilisation d'un domaine différent La règle de transformation renvoie la chaîne de caractères et remplace les champs ${LOGIN} et ${DOMAIN} avec le valeurs appropriées (à savoir : le login et le domaine).
11.7. Session probe Le mode « session probe » permet de collecter des ensembles riches de méta-données de session liées à l'activité des utilisateurs. Ces informations peuvent être redirigées vers un logiciel de type SIEM afin d'identifier des événements significatifs. Ce mode peut être activé en sélectionnant l'option « Enable session probe » sur les pages de configuration des politiques de connexion définies sur le protocole RDP, accessibles depuis la page « Politiques de connexion » du menu « Gestion des sessions ». Ce mode ne nécessite pas de déploiement spécifique. Il s'exécute dans la session RDP de l'utilisateur en fonction des privilèges de ce dernier. De ce fait, il n’entraîne pas d'augmentation de la surface d'attaque du système d’information. Les méta-données sont collectées par le mode « session probe » lors des événements suivants : • changement de fenêtre active,
146
Wallix AdminBastion 5.0.4 – Guide d’Administration • activation d'un bouton dans une fenêtre, • sélection d'un bouton radio ou d'une case à cocher dans une fenêtre, • changement de contenu dans un champ de texte dans une fenêtre, • changement de disposition des touches clavier, • début et fin d'un processus, • échange de fichiers via presse-papier, • échanges de fichiers via des disques locaux redirigés. Le mode « session probe » peut également bloquer les connexions TCP par rebond. Une connexion par rebond consiste à passer par une cible WAB pour accéder à une autre machine sur le réseau interne. Ce mode peut alors détecter et interrompre ce type de connexion. Le mode « session probe » contribue à la protection des mots de passes saisis dans la session en détectant l’entrée du curseur dans des champs de saisie de mot de passe ou dans une fenêtre UAC (User Account Control). Quand un tel événement se produit dans la session, WAB reçoit alors l'information afin de mettre en pause la collecte des données saisies au clavier.
11.7.1. Pré-requis Le mode « session probe » fonctionne sous un système d'exploitation Windows avec le service Bureau à distance supportant la fonction « alternate shell ». A partir de Windows Server 2008, il est nécessaire de publier l'invite de commande (cmd.exe) en tant que programme RemoteApp. Pour plus d'informations, voir https://technet.microsoft.com/fr-fr/ library/cc753788.aspx. A partir de Windows Server 2012, il est nécessaire d'autoriser tous les paramètres de ligne de commande en sélectionnant le bouton radio « Allow any command-line parameters » dans la boîte de dialogue « Remote Desktop Connection Program properties ». Pour plus d'informations, voir https://blogs.technet.microsoft.com/infratalks/2013/02/06/publishing-remoteapps-and-remotesession-in-remote-desktop-services-2012/.
11.7.2. Mode de fonctionnement par défaut Le mode « session probe » est activé par défaut sur les pages de configuration des politiques de connexion définies sur le protocole RDP, accessibles depuis la page « Politiques de connexion » du menu « Gestion des sessions ». En cas d'échec au démarrage, WAB peut être configuré pour retenter une nouvelle connexion sans ce mode. Ce mécanisme de rattrapage garantit au maximum l'accès à une session RDP utilisable mais rallonge le temps nécessaire à l'établissement de la connexion. Ce mode est conçu pour la phase de mise au point des paramètres et ne doit pas être utilisé pour la production. Si le mode « session probe » s'arrête pour une raison quelconque, WAB interrompra la session en cours. Comme pour une session RDP classique, si l'utilisateur se déconnecte sans fermer une session sous le mode « session probe », celle-ci continuera à fonctionner via le service Bureau à distance (pour une durée prédéterminée). Pendant ce laps de temps, l'utilisateur a la possibilité de reprendre la session là ou il l'a laissé. Afin de garantir un niveau satisfaisant de sécurité, ce mode dispose d'un mécanisme visant à empêcher la reprise de la session de l'utilisateur par une autre incompatible. Les incompatibilités qui empêchent la reprise d'une session par une autre peuvent être les suivantes :
147
Wallix AdminBastion 5.0.4 – Guide d’Administration • une différence au niveau du compte primaire, • une différence au niveau du type de cible (« équipement » ou « application »), • une différence de cible d'application. Si WAB constate une impossibilité de reprise de la session RDP, la connexion en cours est interrompue et une nouvelle prend le relais de façon transparente pour l'utilisateur.
11.7.3. Configuration La configuration du mode « session probe » peut être effectuée sur les pages de configuration des politiques de connexion définies sur le protocole RDP, accessibles depuis la page « Politiques de connexion » du menu « Gestion des sessions ». Champ « Enable session probe » Cochez/décochez la case pour activer/désactiver le mode « session probe ». Champ « Use smart launcher » Cochez/décochez la case pour activer/désactiver l'utilisation de « smart launcher » au démarrage du mode « session probe ».
Avertissement : Seuls les serveurs à partir de Windows Server 2008 ou plus récents sont supportés ! Il n'est pas nécessaire de publier l'invite de commande (cmd.exe) en tant que programme RemoteApp pour utiliser « smart launcher ». La redirection du presse-papiers doit être autorisée par Terminal Services pour utiliser « smart launcher » (ce qui est le cas par défaut). Champ « Enable launch mask » Le mode « session probe » est chargé par un script de commandes. Sans l'intervention de WAB, ce dernier affiche une fenêtre de console de couleur noire peu esthétique dans la session RDP. De plus, l'utilisateur peut interagir avec cette fenêtre et perturber le bon déroulement du chargement. Le masquage permet de bloquer l'affichage et les saisies souris et clavier pendant la phase du chargement du mode « session probe » et, de ce fait, rendre invisible la fenêtre de la console. Les données affichées dans la fenêtre de la console sont utiles pour diagnostiquer d'éventuels problèmes de chargement du mode « session probe », c'est pourquoi l'utilisateur a la possibilité de désactiver le masquage.
Avertissement : Ce champ est affiché lorsque la case du champ « Options avancées » sur la droite de la page est cochée et doit être UNIQUEMENT modifié sur les instructions de l’Équipe Support Wallix ! Champ « On launch failure » Sélectionnez le comportement souhaité dans l'éventualité d'un échec de démarrage du mode « session probe ». L'option « 0: ignore failure and continue » peut ne pas fonctionner correctement sous certaines versions de Windows.
148
Wallix AdminBastion 5.0.4 – Guide d’Administration Champ « Launch timeout » Ce champ est utilisé lorsque le comportement sélectionné dans le champ « On launch failure » correspond à l'option « 1: disconnect user ». Il permet de renseigner le temps d'attente (exprimé en millisecondes) avant que WAB considère l'échec de démarrage du mode « session probe ».
Avertissement : Ce champ est affiché lorsque la case du champ « Options avancées » sur la droite de la page est cochée et doit être UNIQUEMENT modifié sur les instructions de l’Équipe Support Wallix ! Champ « Launch fallback timeout » Ce champ est utilisé lorsque le comportement sélectionné dans le champ « On launch failure » correspond à l'option « 0: ignore failure and continue » ou « 2: reconnect without Session Probe ». Il permet de renseigner le temps d'attente (exprimé en millisecondes) avant que WAB considère l'échec de démarrage du mode « session probe ».
Avertissement : Ce champ est affiché lorsque la case du champ « Options avancées » sur la droite de la page est cochée et doit être UNIQUEMENT modifié sur les instructions de l’Équipe Support Wallix ! Champ « Start launch timeout timer only after logon » Cochez la case pour optimiser le démarrage du mode « session probe ».
Avertissement : Seuls les serveurs à partir de Windows Server 2008 ou plus récents sont supportés ! Champ « Keepalive timeout » Ce champ permet de renseigner le temps d'attente (exprimé en millisecondes) entre l'émission par WAB d'une requête de KeepAlive vers le mode « session probe » et la réception de la réponse correspondante. WAB envoie régulièrement des message KeepAlive à destination du mode « session probe ». Sans une réponse de la part de ce dernier et à l'expiration du délai, WAB conclura que le mode « session probe » n'est plus actif et coupera la connexion. WAB peut également couper la connexion si l'option « On keepalive timeout disconnect user » est activée.
Avertissement : Ce champ est affiché lorsque la case du champ « Options avancées » sur la droite de la page est cochée et doit être UNIQUEMENT modifié sur les instructions de l’Équipe Support Wallix ! Champ « On keepalive timeout disconnect user » Si cette case est cochée et qu'une perte de réponse au message KeepAlive est détectée, alors la session courante sera déconnectée.
149
Wallix AdminBastion 5.0.4 – Guide d’Administration Champ « End disconnected session » Si cette case est cochée, alors les sessions déconnectées seront automatiquement fermées par le mode « session probe ».
Avertissement : Une coupure réseau peut provoquer la déconnexion des sessions RDP en cours. Si cette option est activée, toutes les données non sauvegardées seront définitivement perdues. Champ « Outbound connection blocking rules » Ce champ permet de renseigner les règles de blocage des connexions TCP par rebond. Les règles doivent être séparées les unes des autres par des virgules (« , »). Par exemple, pour interdire toutes les connexions RDP par rebond, on peut utiliser la règle « 0.0.0.0/0:3389 ».
11.8. Paramètres de connexion Sur la page « Paramètres de connexion » du menu « Configuration », vous pouvez modifier les messages des bannières affichées à l'utilisateur lors de la connexion aux proxys, en fonction de sa langue d'affichage préférée.
Figure 11.12. Page « Paramètres de connexion »
150
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 12. Gestion des autorisations WAB permet de définir des autorisations. Celle-ci déterminent les comptes cibles et les protocoles qui peuvent être utilisés par l'utilisateur pour se connecter aux équipements. Les autorisations s'appliquent à des groupes utilisateurs rattachés à des groupes de comptes cibles. Tous les utilisateurs appartenant à un même groupe héritent des mêmes autorisations. Sur la page « Gestion des autorisations » du menu « Autorisations », vous pouvez : • lister les autorisations déclarées, • ajouter/modifier/supprimer une autorisation, • importer des autorisations à partir d'un fichier .csv afin d'alimenter la base autorisations de WAB. Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des résultats (et pas uniquement sur la page active). Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à travers les pages et modifier le nombre d'éléments affichés par page.
Figure 12.1. Page « Gestion des autorisations »
12.1. Ajouter une autorisation Sur la page « Gestion des autorisations », cliquez sur « Ajouter une autorisation » pour afficher la page de création de l'autorisation. Une autorisation représente un lien créé entre un groupe utilisateurs et un groupe de comptes cibles. Plusieurs autorisations peuvent être créées entre ces deux groupes. Cette page recense les champs suivants : • un groupe utilisateurs, • un groupe de comptes cibles, • un champ pour la saisie du nom de l'autorisation, • une description, • une case à cocher pour indiquer si les cibles concernées par l'autorisation sont critiques ou non (une notification peut être envoyée à chaque fois qu'un accès a lieu sur une cible critique), • une case à cocher pour activer ou désactiver les sessions à distance. Si cette case est cochée, alors les sessions sont autorisées pour cette autorisation. Dans ce cas, vous pouvez sélectionner
151
Wallix AdminBastion 5.0.4 – Guide d’Administration dans la liste du cadre inférieur les protocoles pouvant être associés avec un groupe utilisateurs et un groupe de comptes cibles donnés. Déplacez un protocole depuis le cadre « Protocoles/ Sous-protocoles disponibles » vers le cadre « Protocoles/Sous-protocoles sélectionnés » pour choisir le protocole. Et inversement, déplacez un protocole depuis le cadre « Protocoles/ Sous-protocoles sélectionnés » vers le cadre « Protocoles/Sous-protocoles disponibles » pour supprimer l'association. • une case à cocher pour activer ou désactiver l'enregistrement de session. Les types d’enregistrements réalisés dépendent du protocole d’accès à l’équipement.
Avertissement : L'enregistrement d'une session basée sur le protocole RDP inclut à la fois la vidéo et la reconnaissance automatique par OCR des applications exécutées sur la machine distante par détection des barres de titre. L’algorithme utilisé pour la détection du contenu des barres de titre est très rapide de manière à pouvoir être exécuté en temps réel. Cependant, il fonctionne uniquement avec le style de fenêtre « Windows Standard » et la taille de polices par défaut de 96PPP avec une profondeur de couleur supérieure ou égale à 15 bits (15, 16, 24 ou 32 bits, donc pas en mode 8 bits). Dans sa version actuelle, tout changement du style des barres de titre, même à première vue visuellement proche, par exemple un passage à « Windows classique », ou encore un changement de couleur de la barre de titre, du style ou de la taille de la police ou de la résolution de rendu rendra la fonction OCR inopérante. L’OCR est, de plus, configuré de manière à détecter uniquement les barres de titre d’application terminées par les trois icônes fermer, minimiser, maximiser. Si la barre de titre contient une icône, celle-ci sera généralement remplacée par des points d’interrogation précédant le texte reconnu. • une case à cocher pour activer ou désactiver l'emprunt de mot de passe • une case à cocher pour activer ou désactiver une procédure d'approbation pour l'autorisation. Pour plus d’informations, voir Section 12.7, « Procédure d'approbation ».
152
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 12.2. Page « Gestion des autorisations » en mode création
12.2. Modifier une autorisation Sur la page « Gestion des autorisations », cliquez sur l'icône bloc-notes au début de la ligne souhaitée pour afficher la page de modification de l'autorisation. Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de l'autorisation, excepté les champs « Groupe utilisateurs » et « Groupe de ressources » qui ne sont pas modifiables.
12.3. Supprimer une autorisation Sur la page « Gestion des autorisations », sélectionnez une ou plusieurs autorisations à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
12.4. Importer des autorisations Sur la page « Gestion des autorisations », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV »
153
Wallix AdminBastion 5.0.4 – Guide d’Administration du menu « Import/Export » : la case « Autorisations » est déjà cochée pour l'import des données. Les séparateurs de champs et de listes sont également configurables. Le fichier doit commencer par une ligne contenant le marqueur : #wab504 authorization
Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 : #wab50 authorization
Chaque ligne suivante doit être formée comme indiqué ci-dessous : Champ
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Valeur par défaut
Nom
Texte
R
Nom de l'autorisation WAB 5.0.0 : N/A créée WAB 5.0.2 : Nom de l'autorisation
Groupe utilisateurs
Texte
R
Groupe défini
de Texte
R
Groupe de cibles défini N/A
Groupe cibles
Sous-protocole Texte
utilisateurs N/A
R si Autoriser les Nom de sous- N/A (1) sessions = Vrai protocole : voir cidessous Il peut y avoir un ou plusieurs protocoles
Est critique
Booléen R
Vrai ou Faux
Faux
Est enregistré
Booléen R
Vrai ou Faux
Faux
Autoriser Booléen R l'emprunt de mot de passe
Vrai ou Faux
Faux
Autoriser sessions
Vrai ou Faux
Faux
Texte libre
N/A
les Booléen R
Description
Texte
O
Approbation requise
Booléen R
Vrai ou Faux
Faux
Avec commentaire
Booléen R
Vrai ou Faux
Faux Faux si Approbation requise = Faux Vrai si Commentaire obligatoire = Vrai
Commentaire obligatoire
Booléen R
Avec ticket
Booléen R
Vrai ou Faux
Faux Faux si Approbation requise = Faux
Vrai ou Faux
154
Faux
Wallix AdminBastion 5.0.4 – Guide d’Administration Champ
Type
R(equis)/ O(ptionnel)
Valeurs possibles
Valeur par défaut Faux si Approbation requise = Faux Vrai si Ticket obligatoire = Vrai
Ticket obligatoire
Booléen R
Vrai ou Faux
Faux Faux si Approbation requise = Faux
Groupes Texte d'approbateurs
R si Approbation Groupes requise = Vrai d'approbateurs définis
Quorum actif
R
Entier
N/A
Vide si Approbation Il peut y avoir un requise = Faux ou plusieurs groupes d'approbateurs Nombre entier entre "0" 0 et le nombre d’approbateurs dans les groupes Au moins un quorum (actif ou inactif) doit être défini et doit être supérieur à 0
Quorum inactif Entier
R
Nombre entier entre "0" 0 et le nombre d’approbateurs dans les groupes Au moins un quorum (actif ou inactif) doit être défini et doit être supérieur à 0
(1)
Sous-protocole : une des valeurs suivantes : SSH_SHELL_SESSION, SSH_REMOTE_COMMAND, SSH_SCP_UP, SSH_SCP_DOWN, SSH_X11, SFTP_SESSION, RDP, VNC, TELNET, RLOGIN, SSH_DIRECT_TCPIP, SSH_REVERSE_TCPIP, SSH_AUTH_AGENT, RDP_CLIPBOARD_UP, RDP_CLIPBOARD_DOWN, RDP_PRINTER, RDP_COM_PORT, RDP_DRIVE, RDP_SMARTCARD, RDP_CLIPBOARD_FILE. Pour plus d'informations, voir Section 9.2.8, « Options spécifiques du protocole SSH » et Section 9.2.9, « Options spécifiques du protocole RDP ». Exemple de syntaxe d'import : #wab504 authorization Group_users1;target_group1;SSH_SHELL_SESSION SFTP_SESSION;False;False;True;True; description;False;False;False;False;False;group_approvers;1;2
Après l’importation du fichier .csv, un résumé de l’opération s’affiche. Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est indiquée.
155
Wallix AdminBastion 5.0.4 – Guide d’Administration
12.5. Visualiser les approbations en cours Sur la page « Mes approbations en cours », l'approbateur peut visualiser toutes les demandes d 'approbation en cours envoyées par les utilisateurs pour accéder aux cibles ou aux mots de passe des cibles et pour lesquelles il/elle doit formuler une réponse. Chaque ligne présente les informations suivantes : • le statut de la demande, • le quorum actuel, • la référence du ticket associé à la demande, • l’utilisateur qui a formulé la demande, • la cible pour laquelle la demande est formulée, • la date et l'heure de début de la demande, • la date et l'heure de fin de la demande, • la durée de la demande, • les réponses des approbateurs.
Figure 12.3. Page « Mes approbations en cours » Dans le haut de la page, l'approbateur peut choisir d'activer/désactiver le rafraîchissement automatique des données sur les demandes d'approbation en cours. Lorsque l'option correspondante est activée, il est possible de déterminer la fréquence de ce rafraîchissement. En cliquant sur l'icône du bloc-notes au début de la ligne, l'approbateur est redirigé sur une page affichant le détail de la demande d'approbation.
156
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 12.4. « Mes approbations en cours » Page du détail de la demande d'approbation Sur cette page, l'approbateur peut : • cliquer sur le bouton « Notifier les approbateurs » pour notifier à nouveau les approbateurs, • visualiser les réponses des autres approbateurs, • indiquer dans la zone « Commentaire » le motif de son approbation/rejet de la demande, • réduire la durée de la demande en modifiant la valeur dans le champ « Durée », • cliquer sur le bouton « Annuler », « Rejeter » ou « Approuver » pour effectuer l'action correspondante. Étant donné qu'il est toujours possible d'ouvrir une session ou d'accéder au mot de passe d'une cible tant que la durée d'une demande acceptée n'est pas dépassée, l'approbateur peut annuler la demande avant son expiration pour interdire à l'utilisateur d'accéder de nouveau à la cible en cliquant sur le bouton « Annuler ». Pour plus d'informations, voir Section 12.7, « Procédure d'approbation ».
12.6. Visualiser l'historique des approbations Sur la page « Mon historique d'approbations », l'approbateur peut visualiser toutes les demandes qui ne sont plus en attente d'approbation. Des filtres peuvent être définis dans le haut de la page pour faciliter la recherche et restreindre l'affichage aux données pertinentes. Ces filtres sont les suivants : • la définition d'une plage de dates, • la définition des N derniers jours, semaines ou mois, • un recherche par occurrence dans les colonnes.
Note : Seuls les 1000 derniers enregistrements sont affichés dans l’interface utilisateur Web. Le filtrage par recherche d’occurrences opère sur ces 1000 enregistrements. Seule la définition d’une plage de dates permet de récupérer des sessions plus anciennes.
157
Wallix AdminBastion 5.0.4 – Guide d’Administration Chaque ligne présente les informations suivantes : • le statut de la demande, • le quorum actuel, • la référence du ticket associé à la demande, • l’utilisateur qui a formulé la demande, • la cible pour laquelle la demande est formulée, • la date et l'heure de début de la demande, • la date et l'heure de fin de la demande, • la durée de la demande, • les réponses des approbateurs.
Figure 12.5. Page « Mon historique d'approbations » En cliquant sur l'icône du bloc-notes au début de la ligne, l'approbateur est redirigé sur une page affichant le détail des réponses à la demande d'approbation. Étant donné qu'il est toujours possible d'ouvrir une session ou d'accéder au mot de passe d'une cible tant que la durée d'une demande acceptée n'est pas dépassée, l'approbateur peut annuler la demande avant son expiration pour interdire à l'utilisateur d'accéder de nouveau à la cible en cliquant sur le bouton « Annuler la demande ». Toutes les données sur cette page sont téléchargeables sous la forme d'un fichier .csv. Pour plus d'informations, voir Section 12.7, « Procédure d'approbation ».
Figure 12.6. « Mon historique d'approbations » - Page du détail de l'historique de la demande d'approbation
158
Wallix AdminBastion 5.0.4 – Guide d’Administration
12.7. Procédure d'approbation WAB prend en charge les autorisations dynamiques à l’aide de procédure d’approbation. Ce mécanisme repose sur les plages horaires d’accès aux cibles ou aux mots de passe des cibles. Cette procédure permet aux administrateurs d’affiner l’accès aux ressources sensibles et d’accepter la demande l’accès en dehors des plages définies. Lorsqu’un utilisateur souhaite démarrer une nouvelle session sur une cible ou encore accéder au mot de passe d'une cible, une demande est d’abord envoyée aux approbateurs. Un approbateur est un utilisateur qui a été désigné par un administrateur WAB avec le droit d’approbation : le droit « Modifier » pour la fonctionnalité « Gestion des approbations » est paramétré au niveau du profil de l'approbateur (voir Section 8.3, « Profils utilisateurs »). Les approbateurs peuvent décider d’autoriser ou rejeter l’ouverture d’une session ou l'accès au mot de passe de la cible. Une demande est approuvée lorsque le quorum a été atteint. Le quorum est le nombre minimum de réponses favorables requises pour une autorisation particulière.
12.7.1. Configuration de la procédure Les procédures d’approbation sont définies sur les autorisations. Pour plus d'informations, voir Section 12.1, « Ajouter une autorisation ». Si la case du champ « Activer la procédure d'approbation » est cochée au cours de la définition de l'autorisation, alors un utilisateur devra formuler une demande d'approbation pour obtenir l’accès à la cible ou encore au mot de passe de la cible. Les approbateurs sont désignés pour répondre aux demandes pour une autorisation en sélectionnant des groupes d’utilisateurs appropriés : pour cela, déplacez les groupes d'utilisateurs depuis le cadre « Groupes d'approbateurs disponibles » vers le cadre « Groupes d'approbateurs sélectionnés » pour choisir les groupes. Et inversement, déplacez un groupe d'utilisateurs depuis le cadre « Groupes d'approbateurs sélectionnés » vers le cadre « Groupes d'approbateurs disponibles » pour supprimer l'association. Le droit « Modifier » pour la fonctionnalité « Gestion des approbations » doit être paramétré au niveau du profil utilisateur de tous les utilisateurs des groupes sélectionnés. Lors d’une demande d’approbation formulée par un utilisateur qui souhaite se connecter à une cible ou accéder au mot de passe d'une cible concernée par une autorisation, tous les approbateurs des groupes sélectionnés en sont informés par courrier électronique. Celui-ci contient un lien qui redirige l’approbateur sur la « Mes approbations en cours » du menu « Autorisations » et sur laquelle il peut répondre à la demande. Cette fonctionnalité est accessible par les approbateurs via l’interface dédiée au groupe de services « Fonctionnalités utilisateur et auditeur ». Pour plus d'informations, voir Section 7.11.1, « Mappage des services »). Une demande pour une cible est définie par au moins la date et l’heure de début ainsi que la durée prévue de la session, mais elle possède aussi des attributs facultatifs tels qu'une référence de ticket et un commentaire. Pour une autorisation spécifique, ces attributs peuvent être demandés, systématiquement ou jamais, selon les options sélectionnées dans les champs « Commentaire » et « Ticket » lors de la configuration de l'autorisation. Il est possible de définir le nombre d’approbateurs requis pour accepter une demande. Ce paramètre est configuré en définissant un quorum. Le quorum doit être égal ou inférieur au nombre d’approbateurs disponibles. Lors de la configuration de l'autorisation, un quorum peut être défini : • pour les périodes d’activité, en renseignant une valeur dans le champ « Quorum dans les plages horaires autorisées ». Un quorum pour les périodes d’activité égal à 0 signifie que les approbations ne sont pas exigées pour les périodes d’activité.
159
Wallix AdminBastion 5.0.4 – Guide d’Administration • pour les périodes d’activité, en renseignant une valeur dans le champ « Quorum en dehors des plages horaires autorisées ». Un quorum pour les périodes inactives égal à 0 signifie qu’aucune connexion n’est possible pendant les périodes d’inactivité.
12.7.2. Étapes de la procédure Un utilisateur formule une demande d'approbation à partir du menu « Mes autorisations » sur l’interface graphique de WAB (pour un accès immédiat ou ultérieur) ou lors de la connexion à un client RDP ou SSH (pour un accès immédiat). Tous les approbateurs sont notifiés par courrier électronique. Les approbateurs ont ensuite la possibilité d'accepter ou rejeter la demande via l’interface graphique de WAB. Une demande valide (dont la durée n’est pas encore expirée) peut être dans l'un des statuts suivants: • une demande est au statut « accepté » lorsque le quorum a été atteint, • une demande est au statut « rejeté » et par la suite invalidée dès qu’un approbateur la rejette. L’utilisateur est alors notifié par courrier électronique du refus et du motif du rejet. • une demande est au statut « en cours » tant que le quorum n'a pas été atteint et qu’elle n’a pas été rejetée. Si la demande n’est plus valide, elle est alors au statut « fermé » et il n’est plus possible pour un approbateur de répondre à la demande. De même, il n’est pas possible de répondre aux demandes qui ont été acceptées ou rejetées. Chaque approbateur a la possibilité de réduire la durée d’une requête. La durée est diminuée au fur et à mesure des réponses : en répondant à la même demande, l'approbateur suivant voit la durée réduite et non pas la durée initiale. Les utilisateurs peuvent voir les statuts de leurs demandes d’approbation sur le menu « Mes autorisations ». Lorsque le quorum est atteint, l’utilisateur est averti par courrier électronique. L'utilisateur peut alors démarrer la session ou accéder au mot de passe de la cible pour la durée allouée. Si la session est déconnectée avant la fin de la durée, l’utilisateur peut démarrer une nouvelle session sans une nouvelle approbation aussi longtemps que la fin de la période définie par la durée de l’approbation d’origine n’est pas écoulée. Afin d’empêcher un utilisateur de se reconnecter après la première séance, les approbateurs ont la possibilité d'annuler une demande.
12.8. Configuration des plages horaires Les plages horaires définissables au sein de WAB permettent de configurer les périodes durant lesquelles un utilisateur est autorisé à se connecter aux cibles. Une plage horaire est associée à un ou plusieurs groupes utilisateurs. Pour plus d'informations, voir Section 8.2, « Groupes utilisateurs ». Sur la page « Plages horaires » du menu « Configuration », vous pouvez ajouter, modifier ou supprimer des plages horaires.
Avertissement : Une plage horaire dénommée « allthetime » est configurée par défaut au sein de WAB. Elle autorise la connexion des utilisateurs à toutes les heures et tous les jours. Vous ne pouvez pas supprimer cette plage horaire.
160
Wallix AdminBastion 5.0.4 – Guide d’Administration Le référentiel de temps utilisé est l'heure locale de WAB.
12.8.1. Ajouter une plage horaire Sur la page « Plages horaires », cliquez sur « Ajouter une plage horaire » pour afficher la page de création de la plage horaire. Cette page recense les champs suivants : • le nom de la plage horaire, • une description, • une case à cocher pour désactiver la déconnexion automatique à l'issue de la période de temps, • une zone extensible pour ajouter une ou plusieurs périodes. Chaque période correspond à une période calendaire permettant aux utilisateurs de se connecter : • entre des dates précises, • sur des jours de la semaine déterminés, • sur une plage horaire délimitée pendant les jours autorisés.
Figure 12.7. Page « Plages horaires » en mode création
12.8.2. Modifier une plage horaire Sur la page « Plages horaires », cliquez un nom de plage horaire pour afficher la page de modification de la plage horaire. Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la page horaire, excepté le champ « Nom de la plage horaire » qui n’est pas modifiable.
12.8.3. Supprimer une plage horaire Sur la page « Plages horaires », sélectionnez une ou plusieurs plages horaires à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
161
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement : Vous ne pouvez pas supprimer une plage horaire lorsque celle-ci est associée à un groupe utilisateurs.
162
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 13. Commandes spécifiques 13.1. Connexion au WAB en ligne de commande Pour plus d'informations, voir Section 5.1, « Connexion au WAB en ligne de commande ».
13.2. Vérifier l'intégrité de WAB Un petit programme permet de vérifier l’intégrité du système WAB (ceci peut être utile, par exemple, lorsqu'une panne électrique est survenue). Il est téléchargeable depuis le site support de Wallix, dans la zone de téléchargements dédiée aux clients WAB enregistrés. Connectez-vous à l'adresse suivante et entrez vos identifiants : https://support.wallix.com
Cliquez sur l’onglet « Downloads » et téléchargez le fichier « syscheck » du « Script de vérification d’intégrité du système » de la version appropriée. Le nom du fichier enregistré sera systemcheck-5.0.12345.sh où 12345 est remplacé par le numéro de build du WAB.
Note : Pour connaître la version et le numéro de build de votre WAB, vous pouvez lancer la commande suivante : wab2:~$ WABVersion Wallix AdminBastion v5.0.4 build 12345 (wab-5.0.4.0-wallix1)
Transférez ce fichier de programme sur WAB. Pour lancer la vérification d’intégrité, tapez alors la commande suivante en changeant 12345 par le numéro de build de votre WAB : wab2:~$ ./systemcheck-5.0.12345.sh
A l'issue du processus de vérification d'intégrité, un diagnostic affiche le résultat et vous informe si l'intégrité de votre WAB est maintenue ou compromise.
Avertissement : Un WAB sur lequel des patchs ont été appliqués sera détecté comme ayant été altéré.
13.3. Export des données d'audit Les données d’audit peuvent être exportées à l’aide du script WABSessionLogExport : wab2:~# /opt/wab/bin/WABSessionLogExport -h Usage: WABSessionLogExport [options]
163
Wallix AdminBastion 5.0.4 – Guide d’Administration Options: -h, --help show this help message and exit -s START_DATE, --start_date=START_DATE Should be like this: YYYY-MM-DD -e END_DATE, --end_date=END_DATE Should be like this: YYYY-MM-DD -E, --termination-date use termination date instead of initiation date -p, --nopurge do not remove traces -a, --noarchive do not create archive file -w, --wrongonly only care for traces in wrong status and corresponding sessions, ignore correct traces and sessions. The default is to not archive but keep trace files in wrong status but still purge all sessions anyway.
Cette commande permet de créer un fichier zip, sauvegardé dans /var/wab/recorded/ export_sessions et contenant pour la période définie : • l’ensemble des sessions RDP et SSH, • un fichier au format .csv contenant l’export des données visualisables sur la page « Historique des sessions » (voir Section 11.3.3, « Historique des sessions »). Cette commande supprimera également toutes les sessions pour la période définie, sauf si l’option -p est spécifiée. Il est possible d'archiver et/ou purger uniquement les sessions corrompues en utilisant l’option -w.
13.4. Changement d’identification des serveurs cibles Lors de la connexion à un serveur cible via un protocole sécurisé (tel que RDP ou SSH), WAB vérifie que le certificat ou la clé présenté(e) au proxy par le serveur correspond bien à celui/celle connu(e) du système pour ce serveur. Si ce certificat ou cette clé est différent(e), le proxy de WAB fermera la connexion car il peut s’agir d’une attaque. Il est donc nécessaire d’informer WAB de tout changement de certificat ou de clé. Pour cela, vous pouvez supprimer le certificat ou la clé déclaré(e) sur l'équipement et le nouveau certificat ou la nouvelle clé sera automatiquement récupéré(e) et sauvegardé(e) lors du prochain accès à l’équipement par le proxy RDP ou SSH. Pour plus d'informations, voir Section 9.2.6, « Supprimer les certificats sur l'équipement ».
13.5. Changer les certificats auto-signés des services 13.5.1. Changer le certificat de l'interface Web Remplacez les fichiers de certification suivants dans le répertoire /var/wab/apache2/ssl.crt : • ca.crt (le certificat d'autorité racine), • server.pem (la clé publique), • server.key (la clé privée) et,
164
Wallix AdminBastion 5.0.4 – Guide d’Administration • éventuellement crl.pem (la liste de révocation). S'il n'est pas nécessaire de révoquer un site, alors le fichier crl.pem par défaut ne doit pas être remplacé Une fois les fichiers remplacés, redémarrez l'interface Web avec la commande suivante : # /etc/init.d/wabgui restart
Note : Ces fichiers sont également modifiés lors de l'application de la procédure de configuration de l'authentification X509. Pour plus d'informations, voir Section 8.6, « Configuration de l'authentification X509 ». Si la Haute Disponibilité est configurée, le répertoire dans lequel les certificats sont regroupés est partagés entre les nœuds. La procédure doit s'appliquer uniquement sur le nœud actif. Vous pourrez par la suite regénérer un certificat auto-signé avec la commande suivante : # WABGuiCertificate selfsign -f
13.5.2. Changer le certificat du proxy RDP Pour installer votre certificat, copiez-le au format PEM avec sa clé privée sur WAB. Ensuite, exécutez la commande suivante sur la console SSH (2242) en remplaçant les paramètres par les chemins complets des fichiers correspondants : # rdpcert --key --inkey=./.key --x509 --inx509=./.pem -force
Une fois les fichiers remplacés, redémarrer le proxy RDP avec la commande suivante : # /etc/init.d/wabcore restart
Note : Vous pourrez par la suite regénérer un certificat auto-signé avec la commande suivante : # rdpcert /etc/opt/wab/rdp/ --key --force
13.5.3. Changer la clé serveur du proxy SSH Pour installer votre clé serveur, copiez-la au format RSA+PEM sur WAB dans le répertoire /var/ wab/etc/ssh/server_rsa.key location. La clé serveur doit être au format RSA format et une taille minimale de 4096 bits est recommandée.
Note : Vous pouvez générer un clé serveur pour le proxy SSH sur WAB en supprimant la clé serveur actuelle et en exécutant le script générateur avec la commande suivante : # rm /var/wab/etc/ssh/server_rsa.key # WABSshServerGenRsaKey.sh
165
Wallix AdminBastion 5.0.4 – Guide d’Administration
13.6. Configuration cryptographique des services 13.6.1. Autoriser le protocole TLSv1 pour le navigateur Internet Explorer 8 sous Windows XP Si vous utilisez le navigateur Internet Explorer 8 sous Windows XP, il peut s'avérer nécessaire d'autoriser le protocole TLSv1 pour permettre les connexions. Nous vous conseillons néanmoins d'utiliser un navigateur moderne, comme Firefox ou Chrome, afin de conserver un niveau de sécurité satisfaisant.
Avertissement : Cette procédure abaissera le niveau de sécurité des services de WAB. Pour modifier les réglages du serveur Web GUI, éditez le fichier suivant comme indiqué ci-dessous : # vim.tiny /etc/apache2/sites-enabled/wab-httpd.conf
1. Décommentez les lignes suivantes : SSLProtocol ALL SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:-MEDIUM
2. Commenter toutes les autres lignes portant les mêmes clés ou la clé SSLHonorCipherOrder. 3. Redémarrez le serveur Apache en lançant la commande suivante : # systemctl restart apache2
4. Redémarrez la GUI en lançant la commande suivante : # systemctl restart wabgui
13.6.2. Autoriser le protocole TLSv1.2 pour le navigateur Internet Explorer 8 sous Windows 7 Si vous utilisez le navigateur Internet Explorer 8 sous Windows 7, il peut s'avérer nécessaire d'autoriser le protocole TLSv1.2 pour permettre les connexions. Nous vous conseillons néanmoins d'utiliser un navigateur moderne, comme Firefox ou Chrome, afin de conserver un niveau de sécurité satisfaisant. Dans le navigateur, sélectionnez le menu « Outils » > « Options Internet » puis, cliquer sur l'onglet « Avancé » et sous la rubrique « Sécurité », cocher la case « Utiliser TLS 1.2 ».
13.6.3. Abaisser le niveau de sécurité pour permettre la compatibilité du protocole RDP Les anciens clients peuvent ne pas être compatibles par défaut avec WAB. Nous vous conseillons néanmoins d'utiliser un client moderne, comme MSTSC pour Windows 2008 R2 (au minimum), afin de conserver un niveau de sécurité satisfaisant. Pour restaurer la compatibilité, il est nécessaire d'effectuer les actions suivantes au niveau de la configuration du proxy sur la page « Options de configuration » du menu « Configuration » :
166
Wallix AdminBastion 5.0.4 – Guide d’Administration • pour les clients sous Windows 2000 et inférieur : cochez la case de l'option « Tls fallback legacy », • pour les clients supportant TLS à partir de Windows XP : affichez les « Options avancées » en cochant la case de l'option correspondante puis videz la valeur du champ « Ssl cipher list ».
13.6.4. Restaurer les paramètres de cryptographie par défaut Pour modifier les réglages du serveur Web GUI, éditez le fichier suivant comme indiqué ci-dessous : # vim.tiny /etc/apache2/sites-enabled/wab-httpd.conf
1. Décommentez les lignes suivantes : SSLProtocol TLSv1.2 SSLHonorCipherOrder On SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!EDH
2. Commenter toutes les autres lignes portant les mêmes clés.
13.7. Mise à jour de la liste de révocation CRL (Certificate Revocation List) Pour mettre à jour le certificat CRL, vous pouvez : • soit copier le fichier au sein de WAB au format PEM ou DER. Puis, lancez la commande suivante : # WABGuiAddCRL -f CRL_FILE
• ou depuis la console SSH (port 2242), exécuter la commande suivante en remplaçant les paramètres par les données correspondantes et le chemin complet du fichier CRL local : client$ nc -l -p A_LOCAL_PORT -c "cat MY_LOCAL_CRL_FILE" & client$ ssh -p 2242 -R A_WAB_PORT:localhost:LOCAL_PORT_ABOVE wabadmin@wab wabadmin@wab$ super wabsuper@wab$ nc localhost WAB_PORT_ABOVE|sudo /opt/wab/bin/WABGuiAddCRL [-n NAME]
Exemple : client$ nc -l -p 43210 -c "cat wallix_crls/2016/wallix-2016-04-05.crl" & client$ ssh -p 2242 -R 54321:localhost:43210 wabadmin@wab wabadmin@wab$ super wabsuper@wab$ nc localhost 54321|sudo /opt/wab/bin/WABGuiAddCRL -n wallix-2016-04-05.crl
13.8. Réactivation d'algorithmes pour autoriser le changement de mot de passe avec les plugins Cisco et Unix Depuis OpenSSH 7.0, des algorithmes faibles ont été désactivés au niveau de la configuration par défaut, même si ceux-ci étaient les seuls à être supportés par des anciens serveurs. De ce fait, le changement de mot passe effectué avec les plugins Cisco et Unix peut échouer.
167
Wallix AdminBastion 5.0.4 – Guide d’Administration Il est donc nécessaire d'activer l’algorithme d'échange de clés « diffie-hellman-group1-sha1 »et l'algorithme de clé d'hôte « ssh-dss » en ajoutant les lignes suivantes dans le fichier /etc/ssh/ ssh_config : KexAlgorithms +diffie-hellman-group1-sha1 HostKeyAlgorithms +ssh-dss
13.9. Résolution des problèmes courants 13.9.1. Restaurer le compte « admin » d'usine Vous pouvez exécuter la commande suivante connecté(e) avec les privilèges « root » pour restaurer le compte « admin » : WABRestoreDefaultAdmin
168
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 14. Console WAB WAB 5.0 fournit une interface de type « lignes de commande » permettant à l'administrateur de générer les clés d'authentification utilisées par l'API REST (pour plus d'informations, voir Chapitre 15, Web Services) et à un utilisateur de changer son mot de passe. Pour accéder à la console, connectez-vous à WAB à l’aide d’un client SSH de la façon suivante : $ ssh -t [email protected] console [email protected] password: wab> help
Le jeu de commandes accessibles dépend du profil de l’utilisateur. Pour obtenir la liste des commandes, il suffit de taper help à l’invite de la console. Chaque commande dispose d’une aide en tapant soit help soit -h. Les commandes actuellement disponibles pour un utilisateur avec le profil « WAB_Administrator » sont les suivantes : • add_api_key • del_api_key • list_api_key • change_user_password Les commandes actuellement disponibles pour un utilisateur standard est : change_password.
169
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 15. Web Services WAB possède une API utilisable pour fournir un accès aux ressources de WAB et effectuer également des opérations basiques (telles que de la création, modification ou suppression de données). Cette API utilise un protocole REST basé sur JSON. La documentation de la dernière version du service est disponible en ligne à l’adresse suivante : https://adresse_ip_de_wab/api/doc
La documentation de la version précédente du service est disponible en ligne à l’adresse suivante : https://adresse_ip_de_wab/api/v2.0/doc
170
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 16. Contacter le Support Wallix AdminBastion Le support technique de Wallix AdminBastion est joignable pour vous apporter son assistance du lundi au vendredi (sauf jours fériés) de 09:00 à 19:00 CET, par les moyens suivants: Internet à: https://support.wallix.com Téléphone: 01 70 36 37 50 (depuis la France) / +33 1 70 36 37 50 (depuis l'étranger)
171
Wallix AdminBastion 5.0.4 – Guide d’Administration
Annexe A. Export des données pour l'intégration SIEM WAB 5.0 utilise les messages syslog pour l'envoi de données vers les solutions SIEM depuis le journal d'audit de WAB (c'est-à-dire « wablog »), les méta-données des sessions RDP et SSH. Les sections suivantes répertorient les données exportées.
A.1. Journal d'audit de WAB Le format des messages est le suivant : [wabaudit] action=”[ACTION]” user=”[WHO]” infos=”[INFOS]”
type=”[OBJTYPE]”
object=”[UID/CN/NAME]”
A.1.1. Authentification La chaîne fournit des messages pour les authentifications, et notamment des informations spécifiques concernant : • les restrictions d'adresses IP, • le certificat X509, • l'authentification par token / « one-time password » (accès par mot de passe unique et limité dans le temps) • l'opérateur, • GSSAPI/Kerberos, • la clé API REST. Exemple: [wabaudit] action="authentify" user="admin" client_ip="192.168.140.1" status="success" infos="diagnostic ['local' -password- authentication succeeded]"
A.1.2. Logs de session La chaîne fournit des messages pour l'audit des sessions, et notamment des informations spécifiques concernant : • la liste des logs de session (avec/sans champ de recherche) • les session terminées par l'administrateur • la visualisation et le téléchargement des sessions • la visualisation des sessions en temps réel Exemples: [wabaudit] action="list" type="sessionlog" client_ip="192.168.140.1" infos="Search 'win2k16'" [wabaudit] action="view" object="150fc97a1a07e596000c29812e63"
172
user="admin" type="session" user="admin"
Wallix AdminBastion 5.0.4 – Guide d’Administration client_ip="192.168.140.1" infos="Username ['admin'], Secondary ['[email protected]@win2k16.acme.net'], Protocol ['RDP'], ClientIP ['192.168.140.1']"
A.1.3. Configuration La chaîne fournit des messages pour l'édition des types d'objets suivants : • Utilisateurs (enregistrement/édition/suppression), • Groupes (enregistrement/suppression), • Profils (enregistrement/édition/suppression), • Domaines (enregistrement/édition), • Équipements (création/édition/suppression), • Ressources (édition/suppression), • Services (création/édition), • Comptes (création/édition/suppression), • Clusters (création/édition/suppression), • Politiques d'emprunt (création/édition), • Politiques de connexion (création/édition), • Détail de la politique de connexion (création/suppression), • Autorisations (création/édition/suppression), • Plages horaires (création/édition/suppression), • Périodes (création/édition/suppression), • Authentifications externes (création/édition/suppression), • Domaines LDAP/AD (création/édition/suppression), • Notifications (création/édition/suppression), • Politiques des mots de passe (édition), • Fichiers de configuration (édition), • Politique de changement de mot de passe (création/édition/suppression). Exemple: [wabaudit] action="edit" type="User" object="jdoe" user="admin" client_ip="192.168.140.1" infos="UserAuths [Add < win2k16.acme.net >]"
A.2. Session SSH A.2.1. Ouverture de session réussie [SSH Session] type='SESSION_ESTABLISHED_SUCCESSFULLY' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin'
A.2.2. Échec de l'ouverture de session [SSH Session] type='CONNECTION_FAILED' session_id='002ac1d68450742e1928b88df3ca15385d710b33'
173
Wallix AdminBastion 5.0.4 – Guide d’Administration client_ip='192.168.1.10' target_ip='192.168.1.200' device='debian' service='ssh' account='admin'
user='maint'
A.2.3. Déconnexion de la session [SSH Session] type='SESSION_DISCONNECTION' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin' duration='12:12:12'
A.2.4. Création de canal [SSH Session] type='CHANNEL_EVENT' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin' data='Channel Open X11 Success' [SSH Session] type='CHANNEL_EVENT' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin' data='AuthAgent Open Success'
A.2.5. Détection de motif sur un shell ou une commande à distance [SSH Session] type='NOTIFY_PATTERN_DETECTED' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin' pattern='tail' [SSH Session] type='KILL_PATTERN_DETECTED' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin' pattern='rm' [SSH Session] type='WARNING_PATTERN_DETECTED' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin' pattern='tail'
A.2.6. Détection de commande sur des équipements Cisco [SSH Session] type='NOTIFY_COMMAND_DETECTED' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.210' user='maint' device='cisco' service='ssh' account='admin' command='access-template' [SSH Session] type='KILL_COMMAND_DETECTED' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.210' user='maint' device='cisco' service='ssh' account='admin' command='configure terminal'
174
Wallix AdminBastion 5.0.4 – Guide d’Administration [SSH Session] type='WARNING_COMMAND_DETECTED' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.210' user='maint' device='cisco' service='ssh' account='admin' command='access-template'
A.2.7. Actions SFTP Ces actions sont : stat, lstat, opendir, remove, mkdir, rmdir, rename, readlink, symlink, link, status. [SSH Session] type='SFTP_EVENT' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin' data='lstat /home/admin/'
A.2.8. Restriction de taille de fichier sur SFTP [SSH Session] type='KILL_SIZELIMIT_DETECTED' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin' data='Restriction: /var/ log/syslog file too big' [SSH Session] type='NOTIFY_SIZELIMIT_DETECTED' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin' data='Restriction: /var/ log/syslog file too big'
A.2.9. Début de transfert de fichier sur SFTP [SSH Session] type='SFTP_EVENT' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin' data='get /var/log/syslog begin'
A.2.10. Fin de transfert de fichier sur SFTP avec taille et hachage du fichier [SSH Session] type='SFTP_EVENT' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin' data='get / var/log/syslog done, length= 338079, sha256 = 711cf730055826274d76ebb0505e13973f69d1b55d81199385362f5f319e9453'
A.2.11. Restriction de taille de fichier sur SCP [SSH Session] type='KILL_SIZELIMIT_DETECTED' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin' data='Restriction: /var/ log/syslog file too big'
175
Wallix AdminBastion 5.0.4 – Guide d’Administration [SSH Session] type='SCP Event' session_id='sssss' user='uuuuu' device='ddddd' service='SSSSS' account='aaaaa' data='Kill Restriction: file too big'
A.2.12. Début de transfert de fichier sur SCP [SSH Session] type='SCP_EVENT' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin' data='get /var/log/syslog begin'
A.2.13. Fin de transfert de fichier sur SCP avec taille et hachage du fichier [SSH Session] type='SCP_EVENT' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin' data='get / var/log/syslog done, length= 338079, sha256 = 711cf730055826274d76ebb0505e13973f69d1b55d81199385362f5f319e9453'
A.2.14. Entrée saisie au clavier par l’utilisateur [SSH Session] type='KBD_INPUT' session_id='002ac1d68450742e1928b88df3ca15385d710b33' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='debian' service='ssh' account='admin' data='ls -al'
A.3. Session RDP A.3.1. Ouverture de session réussie [RDP Session] type='SESSION_ESTABLISHED_SUCCESSFULLY' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance'
A.3.2. Transfert via clipboard [RDP Session] type='CB_COPYING_PASTING_FILE_TO_REMOTE_SESSION' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' file_name='20160725-183530_659.log' size='42816744'
A.3.3. Téléchargement via clipboard [RDP Session] type='CB_COPYING_PASTING_FILE_FROM_REMOTE_SESSION' session_id='SESSIONID-0000' client_ip='192.168.1.10'
176
Wallix AdminBastion 5.0.4 – Guide d’Administration target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' file_name='20160725-183530_659.log' size='42816744'
A.3.4. Lecture d'un fichier du poste de travail depuis le serveur [RDP Session] type='DRIVE_REDIRECTION_READ' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' file_name='home/ out.txt'
A.3.5. Écriture d'un fichier du poste de travail par le serveur [RDP Session] type='DRIVE_REDIRECTION_WRITE' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' file_name='home/ out.txt'
A.3.6. Déconnexion de la session par la cible [RDP Session] type='SESSION_DISCONNECTION' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' duration='12:12:12'
A.3.7. Session terminée par le proxy [RDP Session] type='SESSION_DISCONNECTION' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' duration='12:12:12'
A.3.8. Barres de titre des fenêtres telles que détectées par le mode « session probe » Les données peuvent contenir le titre et la ligne de commande du processus. [RDP Session] type='TITLE_BAR' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' source='Probe' window='Sans titre - Bloc-notes'
A.3.9. Barres de titre des fenêtres telles que détectées par l'OCR [RDP Session] type='TITLE_BAR' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' source='OCR' window='out.txt - Bloc-notes'
177
Wallix AdminBastion 5.0.4 – Guide d’Administration
A.3.10. Saisies clavier de l'utilisateur traduites dans la langue d'utilisation actuelle [RDP Session] type='KBD_INPUT' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' data=' to connect to remote TCP host. '
A.3.11. Clic sur un bouton dans une fenêtre Le message contient le titre de la fenêtre et le nom du bouton. [RDP Session] type='BUTTON_CLICKED' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' windows='"Blocnotes","",""' button='Ne pas en®istrer'
A.3.12. Modification du texte dans un champ textuel d'une fenêtre Le message contient le titre de la fenêtre et le nom du champ. [RDP Session] type='EDIT_CHANGED' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' windows='"Propriétés de : id.txt","Général"' edit='Nom du fichier :'
A.3.13. Focus sur et en dehors d'un champ de mot de passe [RDP Session] type='PASSWORD_TEXT_BOX_GET_FOCUS' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' status='yes'
A.3.14. Nouvelles fenêtres activées telles que détectées par le mode « session probe » Le message contient le titre de la fenêtre, le nom de la classe de la fenêtre et la ligne de commande du processus. [RDP Session] type='FOREGROUND_WINDOW_CHANGED' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' text='PuTTY Configuration' class_name='PuTTYConfigBox' command_line='"C:\Users\Maintenance\Desktop \putty.exe" '
A.3.15. Changement de disposition du clavier Le message contient le nom de la langue.
178
Wallix AdminBastion 5.0.4 – Guide d’Administration [RDP Session] type='INPUT_LANGUAGE' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' identifier='0x040C' display_name='French (France)'
A.3.16. Création d'un nouveau processus [RDP Session] type='NEW_PROCESS' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' command_line='C: \Windows\system32\DllHost.exe /Processid:{49F171DDB51A-40D3-9A6C-52D674CC729D}'
A.3.17. Fin d'un processus [RDP Session] type='COMPLETED_PROCESS' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' command_line='C: \Windows\system32\TSTheme.exe -Embedding'
A.3.18. Démarrage d'une session VNC [VNC Session] type='SESSION_ESTABLISHED_SUCCESSFULLY' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.210' user='maint' device='win2k3' service='vnc' account='vncuser'
A.3.19. Fin d'une session VNC [VNC Session] type='SESSION_DISCONNECTION' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.210' user='maint' device='win2k3' service='vnc' account='vncuser' duration='12:12:12'
A.3.20. Affichage de l'invite UAC [RDP Session] type='UAC_PROMPT_BECOME_VISIBLE' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' status='yes'
A.3.21. Correspondance du certificat X509 du serveur [RDP Session] type='SERVER_CERTIFICATE_MATCH_SUCCESS' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' description='X.509 server certificate match'
A.3.22. Connexion au serveur autorisée [RDP Session] session_id='SESSIONID-0000'
type='CERTIFICATE_CHECK_SUCCESS' client_ip='192.168.1.10'
179
Wallix AdminBastion 5.0.4 – Guide d’Administration target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' description='Connexion to server allowed'
A.3.23. Nouveau certificat X509 créé [RDP Session] type='SERVER_CERTIFICATE_NEW' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' description='New X.509 certificate created'
A.3.24. Échec de correspondance du certificat X509 du serveur [RDP Session] type='SERVER_CERTIFICATE_MATCH_FAILURE' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' description='X.509 server certificate match failure'
A.3.25. Erreur interne du certificat X509 [RDP Session] type='SERVER_CERTIFICATE_ERROR' session_id='SESSIONID-0000' client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp' account='Maintenance' description='X.509 server certificate internal error: "No such file or directory"'
180
Wallix AdminBastion 5.0.4 – Guide d’Administration
Index A
ACL présentation, 16 Activation des services, 43 Applications, 99 ajouter, 101 ajouter un compte, 102 configuration du serveur de rebond, 100 gérer les associations de ressources, 103 importer, 103 menu, 99 modifier, 102 supprimer, 102 Arborescence du menu WAB présentation, 22 Audit enregistrements des sessions, 137 gestion des sessions, 135 historique des approbations, 139 historique des authentifications, 140 historique des comptes, 138 historique des sessions, 136 recording options, 143 sessions courantes, 135 sessions courantes en temps réel, 136 statistiques sur les connexions, 141 Authentification X509, 74 Authentifications externes, 80 ajouter, 81 menu, 80 modifier, 82 supprimer, 83 Autorisations, 151 ajouter, 151 importer, 153 modifier, 153 procédure d'approbation, 159 supprimer, 153 visualiser l'historique des approbations, 157 visualiser les approbations en cours, 156
C
Chiffrement, 35 menu, 35 présentation, 17 CIDR, 92 notation, 34 Clé de licence (voir Licence)
Clusters, 120 ajouter, 121 importer, 122 menu, 120 modifier, 122 supprimer, 122 Commandes, 163 Commandes spécifiques, 163 Comptes (ressources) menu, 105 Comptes (utilisateur) menu, 56 Comptes cibles, 105 ajouter, 105 changer manuellement le mot de passe, 109 importer, 107 lancer le changement automatique du mot de passe, 109 modifier, 106 supprimer, 106 Comptes utilisateurs, 56 Concepts généraux, 14 Configuration activation des services, 43 applications, 99 authentifications externes, 80 autorisations, 151 chiffrement, 35 clusters, 120 comptes cibles, 105 comptes utilisateurs, 56 contrôle des services, 41 domaine LDAP/Active Directory, 83 domaines, 86 équipements, 91 groupes de comptes cibles, 110 groupes utilisateurs, 65 haute disponibilité, 49 intégration SIEM, 39 licence, 34 mappage des services, 42 mode transparent, 33 notifications, 70 options de configuration, 32 paramètres de connexion, 150 plages horaires, 160 politique de mot de passe, 72 politique mot de passe local, 72 politiques d'emprunt, 124 Politiques d'emprunt du mot de passe, 124 politiques de connexion, 144 préférences, 30 profils utilisateurs, 68
181
Wallix AdminBastion 5.0.4 – Guide d’Administration
G
réseau, 36 restauration, 44 sauvegarde, 44 serveur de rebond, 100 serveur SMTP, 44 service de temps, 37 session probe, 148 SNMP, 40 stockage distant, 38 X509, 74 Connexion, 29 Connexion interactive configurer les groupes de comptes cibles, 113 Console WAB présentation, 169 Contrôle des services, 41 activation des services, 43 mappage des services, 42 menu, 41
D
Domaines, 86 ajouter, 86 changer les mots de passe de tous les comptes, 91 importer, 87, 89 menu, 86 modifier, 87 supprimer, 87 Domaines LDAP/Active Directory, 83 menu, 83 Données d'audit, 135
E
Emprunt du mot de passe ajouter une politique, 125 modifier une politique, 125 supprimer une politique, 125 Enregistrements de session, 143 Enregistrements des sessions audit, 137 Équipements, 91 ajouter, 92 ajouter un compte, 93 gérer les associations de ressources, 94 importer, 94 menu, 91 modifier, 93 options spécifiques RDP, 97 options spécifiques SSH, 97 scénario de connexion TELNET/RLOGIN, 98 supprimer, 93 supprimer les certificats, 94
Gestion de mot de passe configurer les groupes de comptes cibles, 113 Gestion de session configurer les groupes de comptes cibles, 111 Gestion des autorisations menu, 151 Gestion des mots de passe, 127 autorisations de l'utilisateur, 127 Gestion des mots de passe modifier, 131 supprimer, 132 plugins de changement des mots de passe, 128 politiques de changement des mots de passe, 130 ajouter, 131 Gestion des sessions autorisations de l'utilisateur, 133 données d'audit, 135 enregistrements des sessions, 137 historique des approbations, 139 historique des authentifications, 140 historique des comptes, 138 historique des sessions, 136 options d'enregistrement, 143 options sur les login primaires, 134 paramètres de connexion, 150 politiques de connexion, 144 sessions courantes, 135 sessions courantes en temps réel, 136 Statistiques sur les connexions, 141 Glossaire, 19 Groupes (ressources) menu, 110 Groupes (utilisateurs) menu, 65 Groupes de comptes cibles, 110 ajouter, 110 configurer pour la connexion interactive, 113 configurer pour la gestion de mot de passe, 113 configurer pour la gestion de session, 111 configurer pour le mappage de compte, 112 détection de motifs (ou « patterns ») sur le flux RDP, 119 détection de motifs (ou « patterns ») sur le flux SSH, 116 importer, 114 importer des règles, 120 modifier, 111 supprimer, 114 Groupes utilisateurs, 65
182
Wallix AdminBastion 5.0.4 – Guide d’Administration
H
Haute Disponibilité, 49 configuration, 49 présentation, 18 Historique des approbations audit, 139 menu, 139, 157 Historique des authentifications audit, 140 menu, 140 Historique des comptes audit, 138 menu, 138 Historique des sessions audit, 136 menu, 136, 137
I
Infrastructure réseau positionnement de WAB, 14 Intégration SIEM, 39 export des données, 172 export des données de la session RDP, 176 export des données de la session SSH, 173 export des données du journal d'audit de WAB, 172 menu, 39 Interface accès, 29 Interface Web d'administration accès, 29
J
Journaux logs audit, 36 messages au démarrage, 36 syslog, 36 Journaux système, 36
L
Licence, 34 menu, 34 Logs audit journaux, 36 menu, 36 Logs système, 36
M
Mappage de compte configurer les groupes de comptes cibles, 112 Mappage des services, 42 Menu
applications), 99 authentifications externes, 80 chiffrement, 35 clusters), 120 comptes (ressources), 105 comptes (utilisateur), 56 contrôle des services, 41 domaines, 86 domaines LDAP/Active Directory, 83 équipements), 91 gestion des autorisations, 151 groupes (ressources), 110 groupes (utilisateurs), 65 historique des approbations, 139, 157 historique des authentifications, 140 historique des comptes, 138 historique des sessions, 136, 137 intégration SIEM, 39 licence, 34 logs audit, 36 mes approbations en cours, 156 mes préférences, 30 messages au démarrage, 36 notifications, 70 options d'enregistrement, 143 options de configuration, 32 paramètres de connexion, 150 Paramètres X509, 74 plages horaires, 160 politique mots de passe locaux, 72 politiques d'emprunt), 124 politiques de connexion, 144 profils (utilisateurs), 68 réseau, 36 sauvegarde/restauration, 44 serveur SMTP, 44 service de temps, 37 sessions courantes, 135, 136 SNMP, 40 statistiques sur les connexions, 141 statut du système, 35 stockage distant, 38 syslog, 36 Mes approbations en cours menu, 156 Mes préférences menu, 30 Messages au démarrage journaux, 36 menu, 36 Mode transparent configuration, 33 Mot de passe
183
Wallix AdminBastion 5.0.4 – Guide d’Administration ajouter une politique d'emprunt, 125 ajouter une politique de changement, 131 modifier une politique d'emprunt, 125 modifier une politique de changement, 131 plugins de changement des mot de passe, 128 politiques d'emprunt, 124 politiques de changement, 130 supprimer une politique d'emprunt, 125 supprimer une politique de changement, 132
N
Notifications, 70 ajouter, 71 menu, 70 modifier, 72 supprimer, 72
O
Options d'enregistrement audit, 143 menu, 143 Options de configuration, 32 menu, 32 mode transparent, 33 Options proxy RDP, 97 SSH, 97
P
Paramètres de connexion menu, 150 Paramètres X509 menu, 74 Plages horaires, 160 ajouter, 161 menu, 160 modifier, 161 supprimer, 161 Politique de mot de passe, 72 Politique de mot de passe local, 72 Politique mots de passe locaux menu, 72 Politiques d'emprunt, 124 ajouter, 125 menu, 124 modifier, 125 supprimer, 125 Politiques d'emprunt du mot de passe ajouter, 125 modifier, 125 supprimer, 125 Politiques de changement des mots de passe ajouter, 131
modifier, 131 supprimer, 132 Politiques de connexion ajouter, 144 menu, 144 modifier, 145 règle de transformation, 146 session probe, 146 supprimer, 146 Première connexion, 29 Procédure d'approbation, 159 configuration, 159 étapes, 160 Profils (utilisateurs) menu, 68 Profils utilisateurs, 68 Protocole RDP options spécifiques, 97 Protocole SSH options spécifiques, 97 Proxy RDP options spécifiques, 97 Proxy SSH options spécifiques, 97
R
Règle de transformation politiques de connexion, 146 Règles importer, 120 Réseau, 36 menu, 36 Ressources applications, 99 ajouter, 101 ajouter un compte, 102 configuration du serveur de rebond, 100 gérer les associations de ressources, 103 importer, 103 modifier, 102 supprimer, 102 clusters, 120 ajouter, 121 importer, 122 modifier, 122 supprimer, 122 comptes cibles, 105 ajouter, 105 changer manuellement le mot de passe, 109 importer, 107 lancer le changement automatique du mot de passe, 109 modifier, 106
184
Wallix AdminBastion 5.0.4 – Guide d’Administration supprimer, 106 domaines, 86 ajouter, 86 changer les mots de passe de tous les comptes, 91 importer, 87, 89 modifier, 87 supprimer, 87 équipements, 91 ajouter, 92 ajouter un compte, 93 gérer les associations de ressources, 94 importer, 94 modifier, 93 options spécifiques RDP, 97 options spécifiques SSH, 97 scénario de connexion TELNET/RLOGIN, 98 supprimer, 93 supprimer les certificats, 94 groupes de comptes cibles, 110 ajouter, 110 configurer pour la connexion interactive, 113 configurer pour la gestion de mot de passe, 113 configurer pour la gestion de session, 111 configurer pour le mappage de compte, 112 détection de motifs (ou « patterns ») sur le flux RDP, 119 détection de motifs (ou « patterns ») sur le flux SSH, 116 importer, 114 importer des règles, 120 modifier, 111 supprimer, 114 politiques d'emprunt du mot de passe, 124 ajouter, 125 modifier, 125 supprimer, 125 Restauration, 44, 46
S
Sauvegarde, 44, 46, 48 sauvegarde automatique, 48 Sauvegarde automatique configuration, 48 Sauvegarde/restauration ligne de commande, 46 menu, 44 sauvegarde automatique, 48 Scénario TELNET/RLOGIN, 98 Scénario de connexion TELNET/RLOGIN, 98
Serveur de rebond configuration, 100 Serveur SMTP , 44 menu, 44 Service de temps, 37 menu, 37 Services WAB, 41 Session probe configuration, 148 mode de fonctionnement par défaut, 147 politiques de connexion, 146 pré-requis, 147 Sessions courantes audit, 135 menu, 135, 136 temps réel, 136 Sessions courantes en temps réel audit, 136 SMTP, 44 SNMP, 40 menu, 40 Sous-réseau, 33 SSH, 43 Statistiques sur les connexions audit, 141 menu, 141 Statut du système, 35 menu, 35 Stockage distant, 38 menu, 38 Subnet, 92 Syslog journaux, 36 menu, 36 Système contrôle des services, 41 intégration SIEM, 39 journaux, 36 réseau, 36 restauration, 44 sauvegarde, 44 serveur SMTP, 44 service de temps, 37 SNMP, 40 statut, 35 stockage distant, 38
T
Terminologie, 19 Terminologie WAB, 19
U
Utilisateurs
185
Wallix AdminBastion 5.0.4 – Guide d’Administration comptes utilisateurs, 56 ajouter, 57 importer, 59 importer depuis un annuaire LDAP/LDAPS/ AD, 64 importer depuis un fichier .csv, 60 modifier, 59 supprimer, 59 visualiser les applications accessibles, 59 visualiser les comptes cibles accessibles, 59 visualiser les droits sur l'interface Web, 59 visualiser les équipements accessibles, 59 groupes utilisateurs, 65 ajouter, 65 importer, 67 importer des règles, 120 modifier, 66 supprimer, 67 visualiser les membres, 67 profils utilisateurs, 68 ajouter, 69 modifier, 70 profils par défaut, 68 supprimer, 70
W
WAB Password Manager gestion des mots de passe, 127 management, 28 présentation, 15 WAB Session Manager gestion des sessions, 133 management, 28 présentation, 15
X
X509, 74
186