WAB Admin Guide FR

Wallix AdminBastion 4.
1 - Guide dAdministration
Wallix AdminBastion 4.1

Guide dAdministration
Wallix AdminBastion 4.1 - Guide dAdministration
Wallix AdminBastion 4.1: Guide dAdministration
ii
Table des matires

1. Introduction ............................................................................................................................. 1
1.1. Prambule ..................................................................................................................... 1
1.2. Copyright, Licences ....................................................................................................... 1
1.3. Lgende ........................................................................................................................ 1
1.4. propos de ce document ............................................................................................... 1
2. Concepts ................................................................................................................................. 2
2.1. Gnralits .................................................................................................................... 2
2.2. Positionnement du WAB dans linfrastructure rseau ......................................................... 2
2.3. Concepts des ACLs du WAB .......................................................................................... 3
2.4. Mise en production ........................................................................................................ 3
3. Interface dadministration .......................................................................................................... 5
3.1. Premire connexion ........................................................................................................ 5
3.2. Arborescence du menu ................................................................................................... 6
3.3. Mes Prfrences ............................................................................................................ 8
3.4. Mes Autorisations .......................................................................................................... 9
3.5. Audit WAB ................................................................................................................. 10
3.5.1. Connexions courantes ........................................................................................ 10
3.5.2. Visualiser les sessions en temps rel .................................................................... 11
3.5.3. Historique des connexions .................................................................................. 11
3.5.4. Visualiser lenregistrement des sessions ................................................................ 13
3.5.5. Historique des authentifications ........................................................................... 14
3.5.6. Statistiques sur les connexions ............................................................................ 15
3.6. Audit Systme ............................................................................................................. 17
3.6.1. tat du systme ................................................................................................. 17
3.6.2. Journaux systmes ............................................................................................. 18
3.7. Utilisateurs .................................................................................................................. 18
3.7.1. Comptes ........................................................................................................... 18
3.7.2. Groupes (dutilisateurs) ...................................................................................... 22
3.7.3. Importer (des utilisateurs) ................................................................................... 25
3.8. Ressources et Comptes ................................................................................................. 30
3.8.1. quipements ..................................................................................................... 30
3.8.2. Comptes cibles .................................................................................................. 33
3.8.3. Accrditations admins de lquipement ................................................................ 36
3.8.4. Groupes (de comptes cibles) ............................................................................... 39
3.8.5. Mcanismes dauthentification ............................................................................ 42
3.8.6. Importer (des quipements et des comptes cibles) .................................................. 43
3.9. Gestion des autorisations ............................................................................................... 45
3.9.1. Ajout dune autorisation ..................................................................................... 46
3.9.2. Suppression dune autorisation ............................................................................ 47
3.9.3. Import dautorisations via CSV ........................................................................... 47
3.10. Profils Utilisateurs ...................................................................................................... 48
3.10.1. Profils par dfaut ............................................................................................. 48
3.10.2. Ajout dun profil utilisateur ............................................................................... 48
3.10.3. dition dun profil utilisateur ............................................................................ 50
3.10.4. Suppression dun profil utilisateur ...................................................................... 50
3.11. Configuration des proxys ............................................................................................ 50
3.11.1. Proxy RDP ..................................................................................................... 50
3.12. Configuration WAB .................................................................................................... 51
3.12.1. Plages Horaires ................................................................................................ 51
3.12.2. Authentifications externes ................................................................................. 53
3.12.3. Domaines LDAP/AD ........................................................................................ 55
iii
4.
5.
6.
7.
3.12.4. Notifications ....................................................................................................

3.12.5. Politique de mot de passe .................................................................................
3.12.6. Mots de passe secondaires ................................................................................
3.12.7. Paramtres de connexion ..................................................................................
3.13. Configuration Systme ................................................................................................
3.13.1. Rseau ............................................................................................................
3.13.2. Service de Temps ............................................................................................
3.13.3. Stockage Distant ..............................................................................................
3.13.4. Syslog ............................................................................................................
3.13.5. SNMP ............................................................................................................
3.13.6. SMTP .............................................................................................................
3.13.7. Licence ...........................................................................................................
3.13.8. Chiffrement .....................................................................................................
3.13.9. Contrle des services ........................................................................................
3.14. Sauvegarder/Restaurer .................................................................................................
3.14.1. Restauration des fichiers de configuration ...........................................................
Gestion des Applications .........................................................................................................
4.1. Pr-requis pour le serveur de rebond ..............................................................................
4.2. Pr-requis de lapplication .............................................................................................
4.3. Configuration dune application .....................................................................................
4.4. Grappe de serveurs .......................................................................................................
Intgration avec un domaine LDAP ou Active Directory .............................................................
Exploitation ...........................................................................................................................
6.1. Connexion au WAB en ligne de commande ....................................................................
6.2. Vrifier lintgrit de votre systme WAB ......................................................................
6.3. Export des donnes daudit ...........................................................................................
6.4. Sauvegarder/Restaurer en ligne de commande ..................................................................
6.5. Configuration de la sauvegarde automatique ....................................................................
6.6. Moteur de droit : contraintes dexploitation .....................................................................
6.7. Analyse des flux SSH / Dtection de pattern ...................................................................
6.8. Scnario de connexion TELNET/RLOGIN ......................................................................
6.9. Changement didentification des serveurs cibles ...............................................................
6.9.1. Changement de la cl du serveur cible SSH ..........................................................
6.9.2. Changement du certificat TLS du serveur cible RDP ..............................................
6.9.3. Changement du certificat SSL du serveur cible HTTPS ..........................................
6.10. Configuration cryptographique des services ...................................................................
6.10.1. Autorisation de SSLv3 avec 3DES .....................................................................
6.10.2. Protection contre BEAST ..................................................................................
6.10.3. Restore default cryptographic settings ................................................................
6.11. Rsolution des problmes courants ...............................................................................
6.11.1. Restauration du compte admin dusine ..........................................................
6.11.2. Remise zro de lappliance .............................................................................
Configuration X509 ................................................................................................................
7.1. Pr-requis ....................................................................................................................
7.2. Paramtrages X509 ......................................................................................................
7.2.1. Configuration X509 ...........................................................................................
7.2.2. Configuration X509 avec un WAB en mode Haute Disponibilit .............................
7.3. Fonctions dadministration X509 ....................................................................................
7.3.1. Authentification des utilisateurs ...........................................................................
7.3.2. Gestion de la CRL .............................................................................................
7.4. Authentification X509 ..................................................................................................
7.5. Retrait du mode X509 ..................................................................................................
7.6. Implmentation technique .............................................................................................
iv
55
58
59
62
63
63
64
65
66
67
68
69
70
71
73
74
77
77
78
78
79
80
82
82
82
83
83
84
84
85
85
86
86
86
86
87
87
87
88
89
89
89
90
90
90
90
91
92
92
94
95
96
96

8. Chiffrement des donnes ......................................................................................................... 98
9. Haute-Disponibilit ................................................................................................................. 99
9.1. Gnralits .................................................................................................................. 99
9.2. Limitations dexploitation ............................................................................................. 99
9.3. Configuration du cluster ................................................................................................ 99
9.4. Dmarrage du cluster .................................................................................................. 100
9.5. Arrt/Redmarrage du cluster ....................................................................................... 100
9.6. Reprise sur une erreur fatale (WAB HA is locked down) ................................................. 101
9.7. Coupures rseau et Split-Brain ..................................................................................... 101
9.8. Reconfiguration rseau du cluster ................................................................................. 102
9.9. Remplacement dune machine dfectueuse .................................................................... 102
9.10. Rcupration dun volume dfectueux ......................................................................... 102
9.11. Tests de bon fonctionnement de la Haute-Disponibilit .................................................. 103
9.11.1. Basculement du Master vers le Slave (logiciel) ............................................. 103
9.11.2. Basculement du Master vers le Slave (matrielle) ............................................... 103
9.11.3. Dtection dun dfaut sur le Master .................................................................. 103
9.11.4. Dtection dun dfaut sur le Slave .................................................................... 104
9.11.5. Perte de la connectivit entre les deux nodes ..................................................... 104
10. Console dadministration ...................................................................................................... 106
10.1. Gnralits ............................................................................................................... 106
10.2. Liste des commandes ................................................................................................ 106
10.2.1. Commandes dajout (prfixe add_ ) .............................................................. 106
10.2.2. Commandes de modification (prfixe change_ ) ............................................. 107
10.2.3. Commandes de suppression (prfixe del_ ) .................................................... 107
10.2.4. Commandes de consultation (prfixe list_ ) ................................................... 107
10.2.5. Autres commandes ......................................................................................... 108
10.2.6. Changements depuis la version 3.0 ................................................................... 108
10.3. Dtail des commandes ............................................................................................... 108
10.3.1. Commandes dajout add_ ........................................................................... 108
10.3.2. Commandes de modification change_ .......................................................... 113
10.3.3. Commandes de suppression del_ ................................................................. 113
10.3.4. Commandes de consultation list_ ................................................................ 116
10.3.5. Autres commandes ......................................................................................... 121
10.3.6. Exemple dutilisation de la console .................................................................. 122
11. WEB Services ..................................................................................................................... 126
11.1. Authentification ........................................................................................................ 126
11.2. API ......................................................................................................................... 126
11.2.1. Pr-requis et conventions ................................................................................ 126
11.2.2. Mthodes fournies .......................................................................................... 126
11.3. Exemple .................................................................................................................. 129
12. Compatibilits ..................................................................................................................... 131
13. Limitations ......................................................................................................................... 132
14. Dfinitions .......................................................................................................................... 133
Index ....................................................................................................................................... 134
Liste des illustrations

2.1. Wallix AdminBastion dans linfrastructure rseau ...................................................................... 3
3.1. cran de connexion du WAB .................................................................................................. 5
3.2. Page daccueil du WAB (profil administrateur) ......................................................................... 6
3.3. Page Mes Prfrences ....................................................................................................... 9
3.4. Autorisations dun utilisateur ................................................................................................... 9
3.5. Coupure de connexion SSH ................................................................................................... 10
3.6. Visualisation de session RDP temps rel ................................................................................. 11
3.7. Historique des connexions ..................................................................................................... 12
3.8. Filtres sur lhistorique des connexions .................................................................................... 13
3.9. Visualisation dun enregistrement RDP avec OCR ................................................................... 14
3.10. Historique des authentifications ............................................................................................ 15
3.11. Statistiques sur les connexions ............................................................................................. 15
3.12. Exemple de graphe statistique .............................................................................................. 16
3.13. tat du systme .................................................................................................................. 17
3.14. Liste des utilisateurs ........................................................................................................... 19
3.15. Formulaire dajout dun utilisateur ....................................................................................... 20
3.16. Suppression des utilisateurs ................................................................................................. 21
3.17. Liste des quipements accessibles pour un utilisateur .............................................................. 22
3.18. Liste des groupes utilisateurs ............................................................................................... 23
3.19. Formulaire dajout dun groupe utilisateur ............................................................................. 24
3.20. Liste des utilisateurs dun groupe ......................................................................................... 25
3.21. Page dimportation dutilisateurs .......................................................................................... 26
3.22. Rsum dune importation dutilisateurs depuis un fichier CSV ................................................ 28
3.23. Importation des utilisateurs depuis un annuaire ...................................................................... 30
3.24. Liste des quipements cibles ................................................................................................ 31
3.25. Formulaire dajout dun quipement ..................................................................................... 32
3.26. Liste de tous les comptes cibles dun quipement ................................................................... 34
3.27. Liste des comptes cibles dun service ................................................................................... 35
3.28. Formulaire dajout dun compte cible ................................................................................... 36
3.29. Accrditations admins de lquipement ................................................................................. 37
3.30. Accrditations admin dun quipement Linux/Unix ................................................................ 38
3.31. Accrditations admin dun quipement Windows ................................................................... 39
3.32. Accrditations admins dun quipement Cisco ....................................................................... 39
3.33. Liste des groupes de comptes cibles ..................................................................................... 40
3.34. Formulaire dajout dun groupe de comptes cibles .................................................................. 41
3.35. Mcanismes dauthentification ............................................................................................. 42
3.36. Liste des autorisations ......................................................................................................... 45
3.37. Formulaire dajout dune autorisation ................................................................................... 46
3.38. Formulaire dajout dun profil utilisateur ............................................................................... 49
3.39. Configuration du proxy RDP ............................................................................................... 51
3.40. Liste des plages horaires ..................................................................................................... 52
3.41. Formulaire dajout dune plage horaire ................................................................................. 53
3.42. Formulaire dajout dune authentification .............................................................................. 55
3.43. Formulaire dajout dune notification .................................................................................... 57
3.44. Page Politique de mot de passe ....................................................................................... 59
3.45. Page Mot de passe secondaire ........................................................................................ 60
3.46. Page Mot de passe secondaire ........................................................................................ 62
3.47. Page Paramtres de connexion ........................................................................................ 63
3.48. Configuration Rseau .......................................................................................................... 64
3.49. Configuration du service de temps ....................................................................................... 65
3.50. Configuration du stockage distant ......................................................................................... 66
vi

3.51. Configuration du routage Syslog .......................................................................................... 67
3.52. Configuration de lagent SNMP ........................................................................................... 68
3.53. Configuration du service SMTP ........................................................................................... 69
3.54. Gestion de la licence .......................................................................................................... 70
3.55. Contrle des services .......................................................................................................... 71
3.56. Mode legacy ...................................................................................................................... 72
3.57. Page Sauvegarder/Restaurer ............................................................................................ 74
4.1. Session applicative ............................................................................................................... 77
4.2. Ajout ou Modification dune application ................................................................................. 78
7.1. Outil de configuration X509 .................................................................................................. 90
7.2. Outil de configuration X509 .................................................................................................. 91
7.3. Page dauthentification avec lien pour authentification X509 ..................................................... 92
7.4. Ajout dun utilisateur, nouveau champ Certificat DN ........................................................... 93
7.5. Paramtres X509 : Gestion de la liste de rvocation ................................................................. 94
7.6. Authentification dun utilisateur via un certificat SSL ............................................................... 95
7.7. Demande de confirmation douverture de session ..................................................................... 96
vii
Chapitre 1. Introduction
1.1. Prambule
Nous vous remercions davoir choisi Wallix AdminBastion, galement appel WAB.
WAB est commercialis sous la forme de serveur ddi prt lemploi ou sous la forme dune
machine virtuelle pour environnements VMWare ESX 4.x et 5.x.
Les quipes Wallix ont apport le plus grand soin llaboration de ce produit et souhaitent quil
vous apporte entire satisfaction.
1.2. Copyright, Licences

Le prsent document est la proprit de la socit Wallix et ne peut tre reproduit sans son accord
pralable.
Tous les noms de produits ou de socits cites dans le prsent document sont des marques
dposes de leurs propritaires respectifs.
Wallix AdminBastion est soumis au contrat de licence logicielle Wallix.
Wallix AdminBastion est bas sur des logiciels libres. La liste et le code source des logiciels sous
licence GPL et LGPL utiliss par Wallix AdminBastion sont disponibles auprs de Wallix. Pour les
obtenir, il suffit den faire une demande par courriel wabsupport@rt.wallix.com ou par crit
ladresse suivante :
Wallix
Service Support
118, rue de Tocqueville
75017 Paris
France
1.3. Lgende
prompt $ commande taper <paramtre remplacer>
retour de la commande
sur une ou plusieurs lignes
prompt $
1.4. propos de ce document

Ce document constitue le guide dadministration de Wallix AdminBastion 4.1. Il vous sera utile pour
configurer le WAB avant sa mise en production, mais galement dans son administration et son
exploitation au quotidien.
Il est complt par :
un guide de dmarrage rapide
un guide utilisateur
Chapitre 2. Concepts
2.1. Gnralits
WAB est une solution destine aux quipes techniques qui administrent les infrastructures informatiques (serveurs, quipements rseau, quipements de scurit). Il permet de rpondre aux besoins de contrle et de traabilit des accs des administrateurs.
A ces fins, Wallix AdminBastion dispose de fonctionnalits de contrle daccs (ACLs) et de traabilit. Il constitue un sas pour les administrateurs qui souhaitent se connecter aux quipements en :
vrifiant les lments dauthentification fournis par lutilisateur
vrifiant ses droits daccs sur la ressource demande
Il permet galement dautomatiser les connexions vers les quipements cibles. Ceci augmente le
niveau de scurisation du systme dinformation en empchant la divulgation des accrditations
dauthentification des serveurs administrer.
Les protocoles aujourdhui supports sont :
SSH (et ses sous-systmes)
Telnet, Rlogin
RDP et VNC dans le domaine utilisateur
HTTP et HTTPS
Pour surveiller son activit, superviser les connexions et configurer les diffrentes entits qui le
composent, WAB possde une interface graphique Web qui a t valide sous Firefox, Chrome
et Internet Explorer.
2.2. Positionnement du WAB dans linfrastructure rseau

AdminBastion se positionne entre une zone de confiance faible et une zone de confiance forte.
La zone de confiance forte tant reprsente par les quipements que lAdminBastion isole (domaine ressources).
Ces quipements et leurs comptes associs sont nomms comptes cibles dans la terminologie
WAB.
La zone de confiance faible est reprsente par la population ayant un accs direct au Bastion
(domaine utilisateurs) :
population de lentreprise
zone internet
Pour les utilisateurs de la solution, laccs aux comptes cibles (zone de confiance forte) nest possible qu travers le WAB.
Figure 2.1. Wallix AdminBastion dans linfrastructure rseau
2.3. Concepts des ACLs du WAB

Wallix AdminBastion dispose dun moteur avanc de gestion de droits pour savoir qui a accs
quoi, quand, et par le biais de quel(s) protocole(s).
Ces ACLs sont constitues des objets suivants :
des utilisateurs : correspondant un utilisateur physique de lAdminBastion
des groupes dutilisateurs : regroupant un ensemble dutilisateurs
des quipements : correspondant un quipement, physique ou virtualis, auquel on souhaite
accder travers lAdminBastion
des comptes cibles : des comptes dclars sur un quipement
des groupes de comptes cibles : regroupant un ensemble de comptes cibles
Dans le WAB, laccs un compte cible par un utilisateur est conditionn par le positionnement
dune autorisation. Ces autorisations sont dclares entre un groupe dutilisateurs et un groupe de
comptes cibles (ceci ncessite donc que chaque compte cible appartienne un groupe de comptes
cibles, et que chaque utilisateur appartienne un groupe dutilisateurs).
Cette autorisation permet aux utilisateurs du groupe X daccder aux comptes cibles du groupe
Y travers les protocoles A , B ou C .
A ces entits primaires sont ajoutes des entits permettant de dfinir :
les plages horaires de connexion
la criticit de laccs aux ressources cibles
sil faut enregistrer la session ou non
le type de procdure dauthentification de lutilisateur
Il est galement possible de dfinir diffrents profils dadministrateur du WAB, dont les droits seront
limits, par exemple, laudit, lajout dutilisateurs, ladministration du systme, aux autorisations, etc.
2.4. Mise en production

Le WAB possde un ensemble doutils dimport permettant de faciliter sa mise en production.

Cependant, il est conseill, pour russir sa mise en production de recenser :
les rles des utilisateurs qui devront accder aux comptes cibles
les rles des utilisateurs qui devront administrer le WAB
les quipements et les comptes cibles qui devront tre accessibles travers la solution
Il est ncessaire de pouvoir rpondre, pour chaque utilisateur aux questions suivantes :
cet utilisateur a-t-il le droit dadministrer la solution, quels sont les droits qui doivent lui tre accords ?
cet utilisateur a-t-il besoin daccder des comptes cibles ?
quand cet utilisateur a-t-il le droit de se connecter ?
doit-il accder des ressources critiques ?
Il est ncessaire de pouvoir rpondre, pour chaque compte cible ou quipement aux questions
suivantes :
ce compte cible ou cet quipement est-il critique ?
faut-il enregistrer les sessions des utilisateurs accdant ce compte ?
par quel(s) protocole(s) ce compte cible ou cet quipement est-il accessible ?
Chapitre 3. Interface dadministration

3.1. Premire connexion
Pour accder linterface Web dadministration, saisissez lURL suivante dans votre navigateur :
https://adresse_ip_du_wab
Note :
Votre navigateur doit tre configur pour accepter les cookies et excuter le JavaScript.
Avertissement :
Avec certains navigateurs anciens qui ne supportent pas TLS avec AES, par exemple
Internet Explorer 8 sous Windows XP, il peut tre ncessaire dabaisser le rglage du
niveau de scurit du serveur web du WAB pour permettre les connexions. Veuillez
pour cela consulter la section 6.10.1, Autorisation de SSLv3 avec 3DES . Nous
vous conseillons nanmoins plutt dutiliser un navigateur moderne, comme Firefox ou
Chrome, qui permette de conserver un niveau de scurit satisfaisant.
Le WAB est livr, en standard avec un compte admin dusine (son mot de passe est admin ).
Figure 3.1. cran de connexion du WAB

Une fois lauthentification russie, la page suivante est affiche.
Figure 3.2. Page daccueil du WAB (profil administrateur)

Cette page se compose :
dun en-tte contenant :
la slection de la langue
le nom de lutilisateur connect
le lien de dconnexion
un bas de page contenant les informations de copyright
un menu latral, o lensemble des fonctionnalits dadministration du WAB sont accessibles
une zone utile
Lors de la premire connexion, des fins de scurit, il est recommand de changer le mot de
passe admin (cf Section 3.3, Mes Prfrences ).
3.2. Arborescence du menu

Mes prfrences
Modification des prfrences utilisateurs
Mes autorisations
Affiche les autorisations dun utilisateur et raccourcis daccs aux ressources
Audit WAB
Connexions courantes
Liste et fermeture des connexions
Historique des connexions
Liste des connexions termines
Historique des authentifications Historique des authentifications primaires

Statistiques sur les connexions Production de graphes statistiques
sur les connexions
Audit Systme
Utilisateurs
tat du systme
Visualisation de ltat du systme
Journaux systme
Contenu du fichier /var/log/syslog

local
Authentifications systme
Contenu du fichier /var/log/auth.log

local
Messages de dmarrage
Contenu du fichier /var/log/messages local
Comptes
Gestion des utilisateurs WAB
Ressources
Groupes
Gestion des groupes dutilisateurs

WAB
Importer
Import dutilisateurs (fichier csv et

annuaire LDAP)
quipements
Gestion des quipements cibles
Applications
Gestion des applications cibles
Comptes
Gestion des comptes cibles
Grappes
Gestion des grappes de serveurs

de rebond
Groupes
Gestion des groupes de comptes

cibles
Accrditations
lquipement
Autorisations
Profils utilisateurs
Configuration
proxys
admin
Mcanismes dauthentification
Dfinition
des
dauthentification
Importer
Import dquipements et
comptes cibles (fichier csv)
Gestion des autorisations
Gestion des autorisations entre les

groupes de comptes cibles et les
groupes dutilisateurs
Importer
Import dautorisations. (fichier csv)
Gestion des profils utilisateurs
Dfinition des profils utilisateurs
Importer
Import des profils utilisateurs (fichier csv).
des Proxy RDP
Configuration WAB
de Gestion du changement de mots de

passe
mcanismes
de
Paramtres du proxy RDP
Plages horaires
Gestion des plages horaires
Authentifications externes
Gestion
des
mthodes
dauthentification externes (LDAP/
LDAPS, Active Directory, Kerberos,
Radius)
Domaines LDAP/AD
Intgration des comptes Utilisateurs avec des annuaires LDAP ou

Active Directory
Notifications
Gestion du mcanisme de notification
Politique de mots de passe
Gestion de la politique des mots de

passe locaux
Mots de passe secondaires
Configuration de la politique de
changement automatique des mots
de passe distants des ressources.
Paramtres de connexion
Paramtres daffichage des bannires affiches lors de la

connexion dun utilisateur aux
proxys
Paramtres X509
Configuration des listes de rvocation pour loption dauthentification

par certificats X509.
Options denregistrement
Gestion des options de stockage

des enregistrements de session
Configuration systme Rseau
Configuration des paramtres rseau
Service de temps
Paramtrage du service de temps

(NTP)
Stockage distant
Gestion du stockage distant des enregistrements de sessions
Syslog
Gestion du routage via Syslog
SNMP
Gestion de lagent SNMP
Serveur SMTP
Configuration du serveur denvoi de

mail
Licence
Affichage et mise jour de la cl de

licence
Chiffrement
Initialisation de la protection cryptographique
Contrle des services
Assignation des services aux interfaces rseaux

Arrt et dmarrage des services
du WAB
Sauvegarder / Restaurer
Sauvegarde et restauration de la
configuration WAB
3.3. Mes Prfrences

Ce sous-menu contient les paramtres modifiables par un utilisateur. Tous les utilisateurs, quels
que soient leurs droits dadministration ont accs cette page. Elle permet de :
changer son mot de passe (uniquement si lutilisateur a t dclar localement)
charger une cl publique SSH
modifier son adresse lectronique
modifier le langage prfr
Figure 3.3. Page Mes Prfrences
3.4. Mes Autorisations

Ce menu permet dafficher la liste des quipements accessibles. Pour les accs des comptes
cibles via RDP, une icne permet de tlcharger le fichier RDP li (cela permet douvrir directement
le client RDP de Microsoft). Concernant les accs des ressources HTTP/HTTPS, une icne permet daccder directement la ressource via linterface Web.
Figure 3.4. Autorisations dun utilisateur
3.5. Audit WAB

3.5.1. Connexions courantes
Cette page liste les connexions inities et actives travers le WAB pour les proxys SSH, RDP et
HTTPS (les connexions actives sur linterface Web ne sont pas reprsentes).
Dans le cas du proxy HTTPS, ce sont les sessions actives travers le WAB qui sont listes.
Note :
Dans tout ce qui suit on utilisera le terme gnrique connexion pour dsigner les
connexions SSH et RDP mais aussi pour parler des sessions HTTPS
Pour chacune de ces connexions, les informations suivantes sont prcises :
lutilisateur sous la forme user@machine(ip)
le protocole source (RDP, SSH ou HTTPS)
le protocole de destination
la cible accde (sous la forme compte@quipement:service)
lheure dinitialisation de la connexion
la dure de la connexion
Il est galement possible de terminer une ou plusieurs connexions. Dans le cas des proxys SSH
et RDP les utilisateurs sont alors informs que la connexion a t coupe par un administrateur.
Dans le cas dune session HTTPS, la session est ferme.
Figure 3.5. Coupure de connexion SSH
10
Note :
La page affichant les connexions courantes est rgulirement rafrachie. Une invite, en
haut de page, permet darrter ce rafrachissement. Ceci est particulirement utile lors
de la slection des connexions actives terminer.
3.5.2. Visualiser les sessions en temps rel

En regard des items de la liste des connexions courantes peut apparatre une icne en forme de
loupe. Elle ouvre un encart permettant de visualiser en temps rel la session RDP ou SSH. Cliquer
une deuxime fois sur la loupe permet de fermer cet encart.
Figure 3.6. Visualisation de session RDP temps rel
3.5.3. Historique des connexions

Cette page propose lhistorique de lensemble des connexions effectues au travers du WAB.
Seules les connexions termines apparaissent dans cette vue (voir Section 3.5.1, Connexions
courantes pour les connexions courantes).
11
Figure 3.7. Historique des connexions

Chaque enregistrement fournit :
le nom dutilisateur et lIP source de connexion (soit nom@ipsource)
la cible accde (sous la forme compte@quipement:service)
le protocole source
le protocole de destination
lheure de dbut de connexion
lheure de fin de la connexion
la dure de connexion
le rsultat
Note :
Le rsultat de la connexion permet de savoir sil y a eu un problme de connectivit vers
le compte cible (mot de passe du compte cible erron, ressource cible injoignable, etc ).
Pour plus de facilit dans les recherches, ces enregistrements peuvent tre filtrs. Les possibilits
de filtrage sont :
filtrage temporel sur la base :
des N derniers jours
dune plage de dates
filtrage sur les colonnes par recherche doccurrence.
12
Figure 3.8. Filtres sur lhistorique des connexions
Note :
Seules les 1000 derniers enregistrements sont affichs dans linterface Web. Le filtrage
par recherche doccurrences opre sur ces 1000 enregistrements. Seule la dfinition
dune plage de temps permet de rcuprer des sessions plus anciennes.
3.5.4. Visualiser lenregistrement des sessions

En regard des items de la liste de lhistorique des connexions peuvent apparatre trois icnes,
respectivement en forme de disquette, de document texte et de loupe.
Licne en forme de disquette permet de tlcharger lenregistrement dune session SSH au format
brut (ttyrec).
Licne en forme de fichier texte permet de tlcharger le contenu visible dune session SSH au
format texte plat.
Licne en forme de loupe envoie vers la page de visualisation de lenregistrement des sessions.
Dans le cas dune session RDP, une premire page permet de choisir le niveau de qualit de la vido et si on veut gnrer les donnes dOCR. Si cette option est active, sous la vido apparaissent
les titres des applications dtectes dans le film par le module dOCR. On peut cliquer dans cette
liste ou sur les vignettes pour naviguer rapidement dans le film.
La page de visualisation RDP contient galement une icne en forme de disquette qui permet de
tlcharger le film entier dans la qualit choisie pour la visualisation.
13
Figure 3.9. Visualisation dun enregistrement RDP avec OCR
3.5.5. Historique des authentifications

Cette page liste les tentatives dauthentifications sur les interfaces RDP et SSH du proxy (respectivement, ports 3389 et 22).
Les authentifications au proxy HTTPS ne sont pas concernes par cette section
Chaque enregistrement fournit :
la date de lvnement
lidentifiant fourni (nom dutilisateur WAB)
ladresse IP source
le rsultat de lauthentification
un diagnostique du rsultat
Le rsultat de lauthentification peut tre SUCCS ou CHEC , informant que
lauthentification sur lAdminBastion a russi ou chou. Une indication plus prcise apparat dans
la colonne Diagnostique.
14

Cette page dispose des mmes filtres que lhistorique des connexions. Les mmes contraintes sur
le nombre de rsultats affichs sappliquent galement.
Figure 3.10. Historique des authentifications
3.5.6. Statistiques sur les connexions
Figure 3.11. Statistiques sur les connexions
15

Ce module permet dobtenir des informations statistiques sur les connexions effectues travers
le WAB sur une priode de temps donne.
Cette priode peut tre une plage calendaire ou un nombre de jours prcdant la date courante.
Le rapport de statistiques affiche :
le nombre de connexions secondaires par quipements
le nombre de connexions secondaires par comptes cibles
le nombre de connexions primaires par utilisateurs
le nombre de connexions secondaires par utilisateurs
les connexions secondaires par dures,
le temps total de connexions secondaires par utilisateurs
les connexions secondaires par dates
le nombre maximum de connexions secondaires simultanes par date
Les donnes de chacun de ces rapports statistiques peuvent tre tlcharges sous la forme dun
fichier CSV.
Ce rapport statistique peut tre envoy de manire rgulire (voir Section 3.12.4, Notifications ).
Figure 3.12. Exemple de graphe statistique
16
3.6. Audit Systme

Sous ce menu sont rfrences les informations systmes du WAB soit :
son tat
ses journaux
La configuration du systme se fait via le menu Configuration du Systme (voir Section 3.13,
Configuration Systme ).
3.6.1. tat du systme

Ce panneau recense les informations gnrales du systme dont :
le nombre de connexions courantes
le taux doccupation de la RAM
le taux doccupation du SWAP
lespace disponible de la partition /var (o sont stocks les enregistrements de session)
Figure 3.13. tat du systme
Note :
le taux doccupation de la RAM naffiche pas les tampons systmes.
17
3.6.2. Journaux systmes

Les journaux systmes peuvent tre vus et sauvegards partir de linterface Web. Le WAB affiche
trois journaux systme :
le menu Journaux Systme affiche le journal syslog . Dans ce journal est recense
la majorit des messages lis au fonctionnement des proxys ou lutilisation de linterface
dadministration.
le menu Authentifications Systme affiche le journal dauthentification du systme
( auth.log ). On y trouve les connexions directes au WAB en tant que serveur Unix. Les authentifications sur linterface dadministration ou sur les proxy naboutissent pas dans ce journal,
mais dans syslog .
le menu Message de Dmarrage affiche le journal de dmarrage du systme ( dmesg ).
3.7. Utilisateurs
Ce menu permet de crer/importer les utilisateurs/administrateurs de Wallix AdminBastion.
Il permet aussi de dfinir les groupes utilisateurs sur lesquels les autorisations seront portes (cf
Section 3.9, Gestion des autorisations ).
Note :
Les identifiants des comptes utilisateur ne sont pas sensibles la casse mais celle-ci est
prserve lors de la cration du compte.
3.7.1. Comptes
A travers cette page, il est possible de :
lister les comptes utilisateurs,
ajouter/diter/supprimer un compte utilisateur,
voir les quipements accessibles par un utilisateur,
filtrer les comptes en affichant les comptes locaux ou les comptes de domaine lis des domaines LDAP ou ActiveDirectory,
dbloquer un compte utilisateur en cliquant sur le cadenas.
Il est possible de filtrer le tableau affich. Ce filtre agit sur lensemble des utilisateurs (et pas seulement sur la page courante affiche).
18
Figure 3.14. Liste des utilisateurs

Par dfaut, 10 rsultats sont affichs par page. Un menu permet de naviguer parmi les pages et
de modifier le nombre de rsultats affichs par page.
3.7.1.1. Ajout dun utilisateur

partir de la page listant les utilisateurs, un clic sur licne
daccder la page dajout dun utilisateur.
Ajouter un utilisateur permet
Le formulaire dajout dun utilisateur est compos des lments suivants :

un identifiant, celui-ci sera utilis par lutilisateur pour sauthentifier sur linterface Web ainsi que
sur les proxys
un nom usuel, un nom permettant didentifier qui appartient lidentifiant
une adresse lectronique
une langue prfre, permettant de slectionner dans quelle langue seront affichs les messages
remonts par les proxys lutilisateur,
une adresse IP source, permettant de limiter laccs aux proxys et linterface Web cette
adresse IP,
un profil, les profils permettent de dfinir les droits dun utilisateur (voir Section 3.10, Profils
Utilisateurs ),
une liste de groupe, qui permet de choisir dans quel(s) groupe(s) un utilisateur doit tre plac. Il
est aussi possible dajouter un utilisateur dans un groupe dans la page dajout/dition dun groupe
(voir Section 3.7.2, Groupes (dutilisateurs) ),
une procdure dauthentification, chaque utilisateur peut avoir une procdure dauthentification
diffrente (voir Section 3.12.2, Authentifications externes ) et il est possible den slectionner
plusieurs pour indiquer les serveurs de secours des authentifications externes (LDAP, RADIUS,
etc..)
un champ permettant de forcer la modification du mot de passe, lutilisateur reoit alors un message linformant de la cration de son compte et de la ncessit de modifier son mot de passe
lors de sa premire connexion (voir aussi Section 3.13.6, SMTP ),
un mot de passe, il peut exister des contraintes sur les mots de passes accepts (voir Section 3.12.5, Politique de mot de passe ), il nest pas ncessaire de rentrer ce mot de passe
dans le cadre dune authentification autre que local ,
une cl publique SSH.
19
Figure 3.15. Formulaire dajout dun utilisateur
Note :
Lidentifiant ne peut-tre modifi la suite de son ajout, le mot de passe et la cl publique
peuvent tre toujours changs par lutilisateur.
3.7.1.2. dition dun utilisateur

partir de la page listant les comptes utilisateurs, un clic sur son nom puis sur licne Modifier
cet utilisateur affiche la page permettant dditer un utilisateur.
La page ddition dun utilisateur reprend les mmes champs que pour lajout dun utilisateur, une
diffrence prs : lidentifiant nest pas modifiable.
20
Note :
Si le champ mot de passe nest pas modifi, le mot de passe de lutilisateur nest
pas modifi.
3.7.1.3. Suppression dun utilisateur

partir de la page listant les comptes utilisateurs, en slectionnant un ou plusieurs comptes
laide de la case cocher en dbut de chaque ligne ; un clic sur licne
permet de supprimer
la liste des utilisateurs slectionns. Un fentre de confirmation est affiche avant la suppression
dfinitive des lments.
Figure 3.16. Suppression des utilisateurs
3.7.1.4. Comptes accessibles par un utilisateur

partir de la page listant les comptes utilisateurs, un clic sur son nom permet dafficher la liste des
quipements accessibles pour un utilisateur.
Chaque ligne reprsente un accs autoris. Pour chaque ligne, les informations suivantes sont
disponibles :
lquipement cible
le compte cible
ladresse relle du service cible
21

le/les protocole(s) permettant daccder ce service
la plage horaire lie
Figure 3.17. Liste des quipements accessibles pour un utilisateur
3.7.2. Groupes (dutilisateurs)

lister les groupes utilisateurs dclars
ajouter/diter/supprimer un(des) groupe(s)
22

voir qui sont les membres de chacun des groupes
Figure 3.18. Liste des groupes utilisateurs
3.7.2.1. Ajout dun groupe utilisateur

partir de la page listant les groupes utilisateurs, un clic sur licne
daccder la page dajout dun groupe.
Ajouter un groupe permet
Le formulaire de cration dun groupe utilisateur contient les lments suivants :

nom du groupe
description : champ libre
la(les) plage(s) horaire(s) appliquer
une liste de slection des utilisateurs du groupe
une liste dactions appliquer lors de la dtection de certaines chanes de caractres sur le flux
montant des proxys (voir Section 6.7, Analyse des flux SSH / Dtection de pattern ).
dans le cas dune intgration LDAP/AD telle que dcrite dans le chapitre 5, Intgration avec
un domaine LDAP ou Active Directory, le profil utiliser pour les membres du groupes et pour
chaque lien avec un annuaire, le DN du groupe de lannuaire.
23
Note :
Si plusieurs plages horaires sont slectionnes, la plage horaire rsultante est lunion
des plages horaires.
Avertissement :
la dtection de chanes de caractres nest active que pour les donnes envoyes par
le client vers le serveur et uniquement pour les connexions de type SSH, TELNET ou
RLOGIN.
Figure 3.19. Formulaire dajout dun groupe utilisateur
3.7.2.2. dition dun groupe utilisateur

partir de la page listant les groupes dutilisateurs, un clic sur son nom puis sur licne Modifier
ce groupe affiche la page permettant dditer un groupe dutilisateurs.
La page ddition dun groupe dutilisateurs reprend les mmes champs que pour lajout dun
groupe, la diffrence que le nom du groupe nest pas modifiable.
24
3.7.2.3. Suppression de groupe(s) dutilisateurs

partir de la page listant les groupes dutilisateurs, en slectionnant un ou plusieurs comptes
permet de supprimer
la liste des groupes slectionns. Un fentre de confirmation est affiche avant la suppression
dfinitive des lments.
3.7.2.4. Membres dun groupes dutilisateurs

partir de la page listant les groupes dutilisateurs, un clic sur son nom permet dafficher la liste
des utilisateurs de ce groupe.
Figure 3.20. Liste des utilisateurs dun groupe
3.7.3. Importer (des utilisateurs)

Il est possible dimporter des utilisateurs partir :
dun fichier CSV,
ou dun annuaire dentreprise (annuaires supports : LDAP/LDAPS/AD) si vous ne vous voulez
que rpliquer un instantan de votre annuaire dans la base de donnes du WAB. Gnralement
vous devriez plutt utiliser la fonctionnalit dintgration un domaine LDAP qui utilise directement lannuaire (voir Chapitre 5, Intgration avec un domaine LDAP ou Active Directory).
25
Figure 3.21. Page dimportation dutilisateurs
3.7.3.1. Importation dutilisateurs via CSV

Il est possible de peupler la base utilisateurs du WAB laide dun fichier CSV. Les sparateurs
de champs sont configurables.
Le fichier doit commencer par une ligne contenant le marqueur :
#wab40
Avertissement :
Si ce marqueur nest pas prsent, le fichier doit tre au format WAB version 3.0 (non
dcrit dans ce document). Ceci permet dassurer la compatibilit avec les fichiers crs
pour les prcdentes versions du WAB.
Chaque ligne suivante doit tre forme de la manire suivante :
Champ
Type
R(equis)/
O(ptionnel)
Valeurs Possibles
Valeur par dfaut
Identifiant
Texte
[aA-zZ], [0-9], '-', '_'
n/a
Groupe
dutilisateurs
Texte
[aA-zZ], [0-9], '-', '_'
n/a
26
Champ
Type
R(equis)/
O(ptionnel)
Valeurs Possibles
Valeur par dfaut
Nom rel
Texte
Texte libre
n/a
IP source
IP/FQDN
[aA-zZ], [0-9], '-', '_'
n/a
Profil
Texte
Profils dfinis
n/a
Authentification
Texte
Authentifications dfi- n/a

nies
Cl publique SSH Texte
[aA-zZ], [0-9], '-', '_'
n/a
Mot de passe
Texte
R/O
Texte libre
n/a
Adresse email
Texte
Adresse email
n/a
True ou False
False
Forcer le change- Boolen

ment de mot de
passe
Note :
Le mot de passe est requis si lauthentification est dfinie comme locale (authentification
local ).
Note :
si le groupe utilisateur nexiste pas, il est cre avec, comme plage horaire par dfaut, la
plage allthetime .
Exemple :
#wab40
martin;linuxadmins;Pierre Martin;;user;local;;jMpdu9/x2z;martin@wallix.com;False
Aprs limportation du fichier CSV, un rsum de lopration semblable lexemple ci-dessous

saffiche.
27
Figure 3.22. Rsum dune importation dutilisateurs depuis un fichier CSV

On y trouve :
la date et lheure de limportation
le nombre total de lignes lues dans le fichier
le nombre de lignes conformes la syntaxe
le nombre dutilisateurs effectivement crs dans la base interne du WAB
le nombre de lignes rejetes
Pour chaque ligne rejete, le message derreur li est remont.
3.7.3.2. Importation dutilisateurs depuis un annuaire LDAP/LDAPS/AD

Il est possible de peupler la base ACL interne du WAB en important des donnes utilisateurs stockes dans un annuaire distant. Vous pouvez utiliser cette fonctionnalit si vous voulez seulement rpliquer un instantan de votre annuaire dans la base de donnes du WAB. Gnralement
vous devriez plutt utiliser la fonctionnalit dintgration un domaine LDAP qui utilise directement
lannuaire et reste donc synchronise avec les changements effectus dans celui-ci (voir Chapitre 5,
Intgration avec un domaine LDAP ou Active Directory).
Pour chaque annuaire, il est ncessaire de connatre :
le type de serveur, son adresse et le port de connexion
28

le DN de base de lunit dorganisation
lattribut identifiant, qui est le nom de lattribut de lutilisateur LDAP qui sera utilise comme identifiant WAB
un utilisateur et son mot de passe si laccs anonyme lannuaire en lecture est interdit (obligatoire pour un AD).
Note :
Lidentifiant de connexion utilis doit avoir les droits en lecture sur le chemin o sont
stockes les donnes utilisateurs.
Si limportation russit, une nouvelle page contenant la liste des utilisateurs extraite de lannuaire
souvre.
Chaque utilisateur peut alors tre import et se voir attribuer :
un groupe dutilisateurs
une authentification
un profil utilisateur
Note :
Si vous souhaitez que les utilisateurs imports sauthentifient sur lannuaire utilis pour
limportation, il est ncessaire de crer auparavant la mthode dauthentification (voir
aussi Section 3.12.2.1, Ajout dune authentification externe ).
29
Figure 3.23. Importation des utilisateurs depuis un annuaire
3.8. Ressources et Comptes

Ce menu permet de crer/importer les quipements et comptes accessibles travers AdminBastion.
Il permet aussi de dfinir les groupes de comptes cibles.
3.8.1. quipements
Liste lensemble des quipements enregistrs. partir de cette page, il est possible dajouter/diter/supprimer de nouveaux quipements.
30
Figure 3.24. Liste des quipements cibles
3.8.1.1. Ajout dun quipement cible

partir de la page listant les quipements, un clic sur licne
daccder la page dajout dun quipement.
31
Ajouter un quipement permet
Figure 3.25. Formulaire dajout dun quipement

Le formulaire de cration dun quipement contient les lments suivants :
le nom de lquipement, il sagit du nom qui sera utilis par les utilisateurs pour accder cet
quipement. Ce nom peut tre sans relation avec le nom DNS de la machine
un alias, ceci quivaut la possibilit de donner un deuxime nom un quipement
Dans le cas dune ressource HTTPS, le champs alias permet de spcifier un (autre) nom dhte
associ la ressource. Ex : Si jamais la ressource www.monsite.com est aussi connue sous
le nom www.monsite.org on pourra la configurer en mettant le premier nom dans le champs
Ressource et le deuxime dans le champs Alias .
une adresse rseau (IP ou FQDN)
une empreinte de cl SSH, celle-ci est automatiquement remplie lorsquon accde un quipement en SSH
une description
la liste des services accessibles sur cet quipement
La liste des services contient les lments suivants :
le nom du service, il sagit du nom qui sera utilis par les utilisateurs pour accder ce service.
Ce nom peut tre sans relation avec le nom du protocole et le numro de port
un protocole (son port par dfaut est indiqu entre parenthses)
32

une liste de sous protocoles supports, pour le protocole SSH
un mcanisme dauthentification, utilis par HTTP(S), TELNET et RLOGIN
Remplissez la ligne de saisie de service puis cliquez sur licne
service.
Cliquez sur licne
sa droite pour ajouter ce
droite dune ligne pour supprimer le service correspondant.
Le mcanisme dauthentification est prciser dans les cas suivants :

accs un quipement en RLOGIN ou TELNET, choisissez un scnario de connexion que vous
avez pralablement dfini (voir aussi Section 6.8, Scnario de connexion TELNET/RLOGIN )
accs un quipement HTTP(S) utilisant une authentification HTTP, choisissez le mcanisme
HTTP(S)_BASIC ou HTTP(S)_DIGEST selon le mode dauthentification requis par le serveur
accs un quipement HTTP(S) utilisant une authentification par formulaire HTML, choisissez
le mcanisme prdfini correspondant votre application cible si elle est supporte ou bien le
mcanisme gnrique HTTP_SIMPLE_FORM si votre application utilise un formulaire simple
(contenant seulement les champs Login et Password dans du HTML statique).
3.8.1.2. dition dun quipement cible

partir de la page listant les quipements cibles, un clic sur son nom puis sur licne Modifier cet
quipement affiche la page permettant dditer un quipement cible.
La page ddition dun quipement cible reprend les mmes champs que pour lajout dun quipement, la diffrence que le nom de lquipement nest pas modifiable.
3.8.1.3. Suppression dun quipement cible

partir de la page listant les quipements cibles, en slectionnant un ou plusieurs quipements
permet de supprimer
les lments slectionns. Un fentre de confirmation est affiche avant la suppression dfinitive
des lments.
Note :
Il nest pas possible de supprimer un quipement cible ayant des comptes cibles dclars.
3.8.2. Comptes cibles

partir de cette page sont lists les quipements dclars, les services disponibles sur ces quipements et les comptes cibles dclars sur ces derniers. Un clic sur lun des liens Tous les
comptes permet dafficher la liste de tous les comptes cibles de lquipement correspondant, tous
services confondus.
33
Figure 3.26. Liste de tous les comptes cibles dun quipement

Pour chaque quipement, un clic sur le nom dun service permet dafficher la liste des comptes de
ce service. Il est alors possible dajouter ou de modifier un ou plusieurs comptes.
Un clic sur le nom dun compte permet daccder la page de modification de comptes cibles. Un
clic sur licne
Ajouter un compte permet daccder la page dajout de comptes cibles.
34
Figure 3.27. Liste des comptes cibles dun service
3.8.2.1. Ajout dun compte cible

partir de la liste des comptes cibles associs un service, un clic sur licne
compte permet dafficher le formulaire dajout dun compte cible.
Ajouter un
Ce formulaire est constitu des informations suivantes :

nom du compte : il sagit du nom dutilisateur du compte distant
une description
une case cocher permettant dactiver ou non la connexion automatique vers lquipement cible
une case cocher permettant dactiver ou non le transfert dauthentification par lagent SSH
un champ double pour la saisie et la confirmation du mot de passe
une case cocher permettant dactiver ou non le changement automatique du mot de passe
Si la case Connexion automatique est dcoche, lutilisateur AdminBastion dsirant accder
ce compte devra en connatre le mot de passe. De plus les sous protocoles SCP et SFTP ne
seront pas utilisables avec ce compte.
Dans le cas dun compte dfini sur une ressource HTTP(S), la case Connexion automatique
devra obligatoirement tre dcoche si on nutilise pas dauthentification avec ce compte.
Si la case Changement automatique est coche, lAdminBastion va appliquer la politique de mot
de passe secondaire ce compte (voir Section 3.12.6, Mots de passe secondaires ). Les informations daccrditation admin de lquipement doivent tre renseignes pour que lAdminBastion
puisse changer le mot de passe (voir Section 3.8.3, Accrditations admins de lquipement ).
Note :
Voir Chapitre 8, Chiffrement des donnes pour les informations de scurit lies au stockage du mot de passe.
35
Figure 3.28. Formulaire dajout dun compte cible
3.8.2.2. dition dun compte cible

Le formulaire ddition dun compte cible reprend les mmes informations que le formulaire dajout ;
la diffrence que le nom du compte ne peut tre modifi. Ce formulaire est accessible en cliquant
sur le nom dun compte dclar.
3.8.2.3. Suppression dun compte cible

Un clic sur licne
permet de supprimer un ou plusieurs comptes cibles pr-slectionns.
3.8.3. Accrditations admins de lquipement

partir de cette page, un clic sur licne
droite du nom dun quipement permet dafficher le
formulaire de dfinition des paramtres daccrditation du compte administrateur pour le changement de mot de passe des comptes de cet quipement.
36
Figure 3.29. Accrditations admins de lquipement

Le contenu du formulaire dpend du type de systme slectionn.
3.8.3.1. Accrditations admins dun quipement Linux/Unix

le nom de lquipement
le type de systme, Linux/Unix
les adresses courriel des destinataires du message de notification de changement de mot de
passe, ces adresses doivent disposer dune cl GPG dfinie dans le WAB (voir Section 3.12.6,
Mots de passe secondaires )
la taille du mot de passe gnrs par le WAB, pour se conformer la politique de mot de passe
de la cible. Si le mot de passe est modifi manuellement, le nouveau mot de passe devra tre
au minimum de cette taille.
une case cocher autorisant les caractres spciaux dans le mot de passe gnrs, pour se
conformer la politique de mot de passe de la cible
37
Figure 3.30. Accrditations admin dun quipement Linux/Unix
3.8.3.2. Accrditations admin dun quipement Windows

le type de systme, Windows
le compte cible du WAB utilis pour la connexion administrateur, ce compte peut tre dfini dans
nimporte quel services dun quipement disponible (voir Section 3.8.2, Comptes cibles ), mais
doit disposer sur le systme cible des droits administrateur ncessaires
la taille minimale du mot de passe gnrs par le WAB, pour se conformer la politique de mot
de passe de la cible
38
Figure 3.31. Accrditations admin dun quipement Windows
3.8.3.3. Accrditations admin dun quipement Cisco

le type de systme, Cisco
le mot de passe pour llvation de privilge
la taille minimale du mot de passe gnrs par le WAB, pour se conformer la politique de mot
de passe de la cible
Figure 3.32. Accrditations admins dun quipement Cisco
3.8.4. Groupes (de comptes cibles)

39

lister les groupes de comptes cibles dclars
ajouter/diter/supprimer un(des) groupe(s)
voir quels sont les comptes cibles inclus dans chacun des groupes
Figure 3.33. Liste des groupes de comptes cibles
3.8.4.1. Ajout dun groupe de comptes cibles

partir de la page listant les groupes de comptes cibles, un clic sur licne
permet dafficher le formulaire dajout dun groupe de comptes cibles.
40
Ajouter un groupe
Figure 3.34. Formulaire dajout dun groupe de comptes cibles

Le formulaire dajout de groupe de comptes cibles permet de dfinir les informations suivantes :
lidentifiant du groupe de comptes cibles
une description ventuelle du groupe
les comptes cibles appartenant au groupe
les quipements sur lesquels la correspondance de comptes est autorise. La correspondance
de comptes permet, un utilisateur, de sauthentifier sur la machine cible avec ces accrditations
primaires. Ceci est particulirement utile lorsque le compte utilisateur est dclar sur un annuaire
41

dentreprise et quil possde des accs sur la ressource cible. Les accrditations primaires de
lutilisateur sont alors rejoues sur lquipement cible.
une liste dactions appliquer lors de la dtection de certaines chanes de caractres sur le flux
montant des proxys (similaire ce qui est prsent sur la page des groupes dutilisateur, voir
Section 6.7, Analyse des flux SSH / Dtection de pattern ).
3.8.4.2. dition dun groupe de comptes cibles

Le formulaire ddition dun groupe de comptes cibles reprend les mmes informations que le formulaire dajout ; la diffrence que le nom du groupe ne peut tre modifi. Ce formulaire est accessible en cliquant sur le nom dun groupe dclar.
3.8.4.3. Suppression dun groupe de comptes cibles

Un clic sur licne
tionns.
permet de supprimer un ou plusieurs groupes de comptes cibles pr-slec-
Note :
La suppression dun groupe de comptes cibles est impossible si le compte a des autorisations attaches (voir Section 3.9, Gestion des autorisations ) et/ou si des comptes
cibles sont attachs ce groupe.
3.8.5. Mcanismes dauthentification

Cette page prsente la liste de tous les mcanismes dauthentification disponibles dans le WAB.
Les mcanismes disponibles pour les protocoles HTTP et HTTPS sont prdfinis et ne peuvent
tre ni supprims ni modifis.
Des mcanismes peuvent tre ajouts, dits ou supprims pour les protocoles TELNET et
RLOGIN.
Figure 3.35. Mcanismes dauthentification
42
3.8.5.1. Ajout dun mcanisme dauthentification pour TELNET et RLOGIN

partir de la page listant les mcanismes dauthentification, un clic sur licne
Ajouter un
mcanisme dauthentification puis slectionner TELNET ou RLOGIN dans la liste droulante des protocoles gnriques associs permet dafficher le formulaire dajout dun mcanisme
dauthentification pour le protocole TELNET ou respectivement RLOGIN.
Ce formulaire permet de dfinir les informations suivantes :
lidentifiant du mcanisme dauthentification
un script de connexion, (voir Section 6.8, Scnario de connexion TELNET/RLOGIN )
3.8.5.2. dition dun mcanisme dauthentification

Le formulaire ddition dun mcanisme dauthentification reprend les mmes informations que le
formulaire dajout ; la diffrence que le nom du mcanisme ne peut tre modifi. Ce formulaire
est accessible en cliquant sur le nom dun mcanisme dclar dans la liste.
3.8.5.3. Suppression dun mcanisme dauthentification

Un clic sur licne
slectionns.
permet de supprimer un ou plusieurs mcanismes dauthentification pr-
Note :
La suppression des mcanismes dauthentification prdfinis est impossible.
3.8.6. Importer (des quipements et des comptes cibles)

Via cette page, il est possible dimporter des quipements et des comptes cibles pralablement
stocks sous forme dun fichier CSV.
Les descriptions dquipements et de comptes sont contenues dans deux fichiers distincts dont
chaque ligne suit un format spcifique. Chaque ligne de ces fichiers dcrit un quipement ou un
compte cible.
Note :
Limportation doit se faire en deux temps : dabord les quipements puis les comptes
cibles (en effet, lquipement associ un compte cible doit exister au pralable).
Chaque fichier doit commencer par une ligne contenant le marqueur :
#wab40
Avertissement :
Les lignes dcrivant un quipement doivent respecter le format suivant :
43
Champ
Nom
lquipement
Type
R(equis)/
O(ptionnel)
Valeurs Possibles
Valeur par dfaut
de Texte
[aA-zZ], [0-9], '-', '_'
n/a
Alias
Texte
[aA-zZ], [0-9], '-', '_'
n/a
Description
Texte
Texte libre
n/a
Adresse rseau
IP/FQDN
[aA-zZ], [0-9], '-', '_'
n/a
NOM/PROTOCOLE/N*/
SOUSPROTOCOLE*/MECAAUTH*
n/a
Service / Proto- Texte

cole / Port / Sous
Protocole / Mcanisme
dauthentification
NOM : Texte libre

PROTOCOLE : Nom de protocole (voir ci-dessous)
N* : Numro de port optionnel
SOUSPROTOCOLE* : Nom
de sous protocole optionnel
(voir ci-dessous)
MECAAUTH* : Nom de mcanisme dauthentification
optionnel
PROTOCOLE : lune des valeurs suivantes : SSH, TELNET, RLOGIN, RDP, VNC, HTTP, HTTPS.
SOUSPROTOCOLE : Pour SSH, lune des valeurs suivantes : SSH_SHELL_SESSION,
SSH_REMOTE_COMMAND,
SSH_SCP_UP,
SSH_SCP_DOWN,
SSH_X11_SESSION,
SFTP_SESSION. Si SOUSPROTOCOLE nest pas spcifis, tous les sous protocoles sont ajouts. Pour les autres protocoles, la valeur est identique PROTOCOLE et peut tre omise.
Le champ Service/Protocole/Port/Sous Protocole/Mcanisme dauthentification peut contenir
plusieurs valeurs spares par un espace.
Exemple :
#wab40
asterix;intranet;"Intranet server";192.168.0.10;ssh_22/SSH/22/SSH_SHELL_SESSION
obelix;mail1;"Exchange server";192.168.0.11;telnet_23/TELNET/23 rdp_1/RDP/3389
Les lignes dcrivant un compte cible doivent respecter le format suivant :

Champ
Type
R(equis)/
O(ptionnel)
Valeurs Possibles
Valeur par dfaut
Nom du compte
Texte
[aA-zZ], [0-9], '-', '_'
n/a
Nom du groupe
Texte
[aA-zZ], [0-9], '-', '_'
n/a
Description
Texte
Texte libre
n/a
Mot de passe
IP/FQDN
[aA-zZ], [0-9], '-', '_'
n/a
44
Note :
Il nest pas possible ce jour de crer des comptes cibles avec la fonction connexion
secondaire automatise dsactive.
Exemple :
#wab40
root@asterix:ssh_22;linux;"Root account";SecurePassword
adminlinux@asterix;linux;"Compte pour la connexion sans droits";plO@56zZ
3.9. Gestion des autorisations

Les autorisations dterminent avec quels comptes cibles et laide de quels protocoles les utilisateurs peuvent accder aux quipements.
Les autorisations sont appliques sur les groupes utilisateurs lis des groupes de comptes cibles.
Tous les utilisateurs appartenant un mme groupe hritent des mmes autorisations.
Ce menu permet de lister, ajouter ou supprimer des autorisations.
Figure 3.36. Liste des autorisations
45
3.9.1. Ajout dune autorisation

partir de la page listant les autorisations, un clic sur licne
dajout dune nouvelle autorisation.
permet dafficher le formulaire
Une autorisation est un lien cr entre un groupe dutilisateurs et un groupe de comptes cibles. Le
formulaire contient donc les informations suivantes :
le groupe dutilisateurs
le groupe de comptes cibles
une description
une liste de protocoles autoriss
une case cocher permettant dindiquer si les sessions permises par cette autorisation sont
critiques ou non (une notification peut tre envoye chaque accs un quipement critique)
une case cocher permettant dactiver/dsactiver lenregistrement des sessions. Les type
denregistrements raliss dpendent du protocole daccs lquipement.
Figure 3.37. Formulaire dajout dune autorisation
46
Note :
Dans le cas du RDP, lenregistrement correspond la fois une vido et une reconnaissance automatique (par OCR) des applications excutes sur la machine distante
par dtection des barres de titre.
Attention ! lalgorithme utilis pour la dtection du contenu des barres de titre est trs
rapide de manire pouvoir tre excut en temps rel, mais il est aussi trs sensible
la configuration. Il fonctionne uniquement avec le style de fentre Windows Standard
et la taille de polices par dfaut de 96PPP avec une profondeur de couleur suprieure
ou gale 15 bits (15, 16, 24 ou 32 bits, donc pas en mode 8 bits). Dans sa version
actuelle, tout changement du style des barres de titre, mme premire vue visuellement
proche, par exemple un passage Windows classique , ou encore un changement
de couleur de la barre de titre, du style ou de la taille de la police ou de la rsolution de
rendu rendra la fonction OCR inoprante. LOCR est, de plus, configur de manire
dtecter uniquement les barres de titre dapplication termines par les trois icnes fermer,
minimiser, maximiser. Si la barre de titre contient une icne, celle-ci sera gnralement
remplace par des points dinterrogation prcdant le texte reconnu.
Le formulaire permet, pour un groupe dutilisateurs et un groupe de comptes cibles donn de slectionner plusieurs protocoles. Ceci permet la cration de plusieurs autorisations entre ces deux
groupes.
3.9.2. Suppression dune autorisation

Un clic sur licne
permet de supprimer une ou plusieurs autorisations pr-slectionnes.
3.9.3. Import dautorisations via CSV

Il est possible de peupler la base dautorisation du WAB laide dun fichier CSV. Les sparateurs
de champs sont configurables.
Le fichier doit commencer par une ligne contenant le marqueur :
#wab40
Avertissement :
Chaque ligne suivante doit tre forme de la manire suivante :
Champ
Type
R(equis)/
O(ptionnel)
Valeurs Possibles
Valeur par dfaut
Groupe
dutilisateurs
Texte
[aA-zZ], [0-9], '-', '_'
n/a
Groupe
dquipements
Texte
[aA-zZ], [0-9], '-', '_'
n/a
Protocole
Texte
SSH_SHELL_SESSION,
SSH_REMOTE_COMMAND,
n/a
47
Champ
Type
R(equis)/
O(ptionnel)
Valeurs Possibles
Valeur par dfaut
SSH_SCP_UP,
SSH_SCP_DOWN,
SSH_X11_SESSION, TELNET,
RLOGIN, RDP, VNC, HTTP,
HTTPS
Critique
Boolen
True ou False
False
Enregistr
Boolen
True ou False
False
Exemple :
#wab40
group_users1;group_devices1;SSH_SHELL_SESSION
Aprs limportation du fichier CSV, un rsum de lopration saffiche.
3.10. Profils Utilisateurs

partir de cette page il est possible de lister, ajouter, diter ou supprimer des profils utilisateurs.
Les profils utilisateurs permettent de dfinir des habilitations daudit ou dadministration sur la solution.
Chaque classe dhabilitation reflte le menu latral situ gauche de linterface principale.
3.10.1. Profils par dfaut

Le WAB est livr avec plusieurs profils utilisateurs par dfaut. Ceux-ci peuvent tre dits ou modifis comme tout autre profils. Ces profils sont :
user : aucun droit dadministration mais peut accder aux quipements cibles
auditor : peut consulter les donnes daudit WAB (cf Section 3.5, Audit WAB ), ne peut
pas accder aux quipements
WAB_Administrator , possde tous les droits dadministration et peut se connecter aux quipements cibles
system_administrator , peut accder longlet configuration du systme , ne dispose pas
daccs aux quipements cibles
disabled , profil ne disposant daucun droit.
Note :
Lutilisateur admin dusine est fourni avec le profil WAB_Administrator
3.10.2. Ajout dun profil utilisateur

partir de la page listant les profils utilisateurs, un clic sur licne
dajout dun nouveau profil.
Cette page est constitue :
dun champ pour lidentifiant du profil
48

dune srie de cases cocher permettant de dfinir les droits
Ces cases cocher sont divises en deux sries :
les fonctionnalits de linterface graphique
les fonctions de connectivit au proxy, limitation dusage
Pour chaque fonctionnalit de linterface graphique, il existe une srie de droits :
aucun : pas de droit ouvert : le menu napparatra pas lors de la connexion de lutilisateur
consulter : possibilit de consulter les objets crs mais pas de les modifier
modifier : possibilit de consulter et de modifier des objets
excuter (uniquement pour la sauvegarde/restauration) : possibilit de lancer une sauvegarde
ou une restauration du systme (cf Section 3.14, Sauvegarder/Restaurer )
Deux autres cases cocher permettent de :
activer/dsactiver la connexion aux quipements cibles
limiter lusage de certains droits dadministration sur des groupes
La limitation sur les groupes permet dajouter des utilisateurs ou des comptes cibles uniquement
dans les groupes sur lesquels le profil est habilit intervenir.
Figure 3.38. Formulaire dajout dun profil utilisateur
49
3.10.3. dition dun profil utilisateur

Le formulaire ddition dun profil utilisateur reprend les mmes informations que le formulaire
dajout ; la diffrence que le nom du profil utilisateur ne peut tre modifi. Ce formulaire est accessible en cliquant sur le nom dun profil utilisateur dclar.
3.10.4. Suppression dun profil utilisateur

Un clic sur licne
permet de supprimer un ou plusieurs profils utilisateurs pr-slectionns.
3.11. Configuration des proxys

Ce menu permet de rgler les paramtres des proxys.
3.11.1. Proxy RDP

Cette page permet de paramtrer le mode transparent pour le proxy RDP et les options pour les
connexions RDP.
3.11.1.1. Mode transparent

Ce mode permet au proxy dintercepter le trafic rseau destin une cible sans que lutilisateur ait
prcis ladresse du proxy la place de celle de la cible.
Pour mettre en uvre le mode transparent, il faut que le rseau soit configur afin denvoyer le
flux RDP destin aux cibles vers les interfaces rseaux utilisateurs du WAB. Ceci peut tre fait au
moyen de routes IP. Le WAB est alors similaire une passerelle.
Le proxy intercepte le trafic envoy vers le port TCP 3389. Si du trafic arrive vers le WAB sans lui
tre destin avec un port diffrent de 3389, ce trafic est perdu.
Le proxy choisit automatiquement la cible en fonction de ladresse IP destination de la connexion;
dans le cas o une seule cible correspond cette adresse, la connexion se fait automatiquement
sans que le slecteur soit affich. Sinon, le slecteur affiche la liste des cibles possibles correspondant cette adresse.
De plus, lors dune utilisation du WAB en mode transparent, il est possible de dfinir un ensemble
de ressources cibles appartenant un sous-rseau. Il suffit de cela de prciser le sous-rseau la
place de ladresse IP de lhte cible lors de la cration de la ressource en utilisant la notation CIDR
(<adresse de rseau>/<nombre de bits de masque>)
Une fois le mode RDP transparent du proxy activ, plusieurs paramtres permettent de contrler
le comportement du proxy.
La dlgation dauthentification permet dviter que le WAB procde une authentification lorsque
le proxy reoit une demande de connexion. La demande dauthentification est alors transmise directement la cible ; le WAB autorise la connexion si lauthentification par la cible est un succs.
Cela permet de dployer le WAB dans un environnement o seule la cible connat le mot de passe ;
cest le cas de certaines configurations de VMware Horizon View par exemple.
Il est aussi possible de prciser un utilisateur WAB diffrent de lidentit RDP. Dans ce cas,
les sessions et leurs enregistrements seront associe cet utilisateur WAB. Les informations
didentification RDP sont enregistres dans le champ cible quand elles sont disponibles.
50
3.11.1.2. Options de connexion RDP

Les options suivantes sont utilises lors de la gnration de fichiers .rdp de session :
largeur du bureau (en pixels)
hauteur du bureau (en pixels)
profondeur de couleur (en bits par pixel): 8 = 256 couleurs, 16 = 65536 couleurs, 32 = 4 millions
de couleurs
Figure 3.39. Configuration du proxy RDP
3.12. Configuration WAB

Ce menu permet de configurer :
les plages horaires des utilisateurs
les procdures dauthentification des utilisateurs
les notifications
la politique des mots de passe (pour les utilisateurs inscrits dans le WAB),
3.12.1. Plages Horaires

partir de cette page, il est possible dajouter, diter ou supprimer les plages horaires.
Par dfaut, le WAB fournit une plage horaire nomme allthetime . Elle autorise la connexion des
utilisateurs vers les quipements cibles toutes heures, tous les jours.
Cette plage ne peut tre supprime.
51
Figure 3.40. Liste des plages horaires
3.12.1.1. Ajout dune plage horaire

partir de la page listant les plages horaires, un clic sur licne
dajout dune nouvelle plage horaire.
Le formulaire dajout dune plage horaire est compos des lments suivants :
un champ pour le nom de la plage
une description
une case cocher qui permet de dsactiver la coupure de connexion automatique la fin de
la plage horaire
un sous formulaire permettant dajouter une ou plusieurs priodes
Chaque priode est une priode calendaire permettant aux utilisateurs de se connecter :
de telle date telle date
tels jours de la semaine
de telle heure telle heure chaque jour autoris
52
Figure 3.41. Formulaire dajout dune plage horaire
Note :
Le rfrentiel de temps utilis est lheure locale du WAB.
3.12.1.2. dition dune plage horaire

Le formulaire ddition dune plage horaire reprend les mmes informations que le formulaire
dajout ; la diffrence que le nom de la plage horaire ne peut tre modifi. Ce formulaire est accessible en cliquant sur le nom dune plage horaire dclare.
3.12.1.3. Suppression dune plage horaire

Un clic sur licne
permet de supprimer une ou plusieurs plages horaires pr-slectionnes.
3.12.2. Authentifications externes

Le WAB permet de dfinir des authentifications externes. Ces mthodes dauthentifications sont
utilises pour authentifier un utilisateur sur le WAB.
Par dfaut, le WAB livre lauthentification local permettant aux utilisateurs de sauthentifier via
le moteur de donnes interne au produit.
partir de cette page, il est possible de lister, ajouter, diter ou supprimer des procdures
dauthentifications externes.
WAB supporte les mthodes dauthentifications suivantes :
LDAP/LDAPS
Active Directory
53

Kerberos
Radius
3.12.2.1. Ajout dune authentification externe

partir de la page listant les authentifications externes, un clic sur licne
formulaire dajout dune nouvelle authentification.
permet dafficher le
Le formulaire dajout est constitu des champs suivants :

un type dauthentification, la slection fait apparatre les champs ncessaires lauthentification
un nom de lauthentification
une description
adresse du serveur (IP ou FQDN)
un port de connexion
Pour les authentifications LDAP/LDAPS, le nom unique ( Distinguished Name ) de lunit
dorganisation doit tre renseign (dans le champ DN de base) ainsi que lattribut identifiant.
Lattribut identifiant est le nom de lattribut LDAP o est stock lidentifiant de lutilisateur du WAB. Il
est galement possible de prciser un nom dutilisateur et un mot de passe utiliser pour rechercher lidentifiant dans lannuaire si laccs anonyme est dsactiv sur le serveur LDAP.
Note :
Lutilisateur doit avoir les droits de lecture sur le DN de base utilis.
Pour les authentifications LDAP-AD/LDAPS-AD, lidentifiant est sAMAccountName et le DN de
base correspond normalement au nom de domaine. Par exemple pour le domaine mycorp.lan ,
le DN de base devrait tre dc=mycorp,dc=lan . De plus, laccs anonyme un annuaire Active
Directory tant impossible, il est ncessaire de disposer dun compte administrateur du domaine
pour la recherche de lidentifiant de lutilisateur du WAB dans lannuaire. La valeur prciser dans
le champ Utilisateur doit tre le DN de cet administrateur (ex : cn=admin,dc=mycorp,dc=lan).
Pour les authentifications KERBEROS, il est ncessaire de disposer :
du nom du domaine (REALM),
du/des fichiers keytab ncessaires afin dtablir les connexions. Chaque fichier keytab charg
est fusionn avec les fichiers chargs prcdemment.
La prsence dun service de type HTTP dans un keytab active le support de Kerberos pour
sauthentifier auprs du GUI; il faut pour cela utiliser le prfixe iwab dans lurl ("https://<wab
name>/iwab").
Les services de type HOST sont utiliss pour lauthentification Kerberos auprs du proxy SSH.
Il est alors possible dutiliser un ticket "forwardable" pour se connecter en Account Mapping (cf
Ajout dun groupe de cibles) une cible au sein du mme domaine Kerberos.
Pour les authentifications RADIUS, il est ncessaire de disposer de la cl de chiffrement (secret)
des paquets.
54
Figure 3.42. Formulaire dajout dune authentification
3.12.2.2. dition dune authentification externe

Le formulaire ddition dune authentification externe reprend les mmes informations que le formulaire dajout ; la diffrence que le nom de l authentification externe ne peut tre modifi. Ce
formulaire est accessible en cliquant sur le nom dune authentification externe dclare.
3.12.2.3. Suppression dune authentification externe

Un clic sur licne
tionnes.
permet de supprimer une ou plusieurs authentifications externes pr-slec-
3.12.3. Domaines LDAP/AD

Le WAB peut utiliser directement des utilisateurs dfinis dans des annuaires LDAP/AD sans avoir
besoin de les crer localement dans le WAB.
Les principes et la mise en uvre dune telle intgration est dcrite dans le chapitre 5, Intgration
avec un domaine LDAP ou Active Directory.
3.12.4. Notifications
Le WAB permet de dfinir des notifications. Ces notifications sont dclenches sur la dtection
dun des vnements suivants :
authentification primaire errone
connexion un quipement critique
nouvel enregistrement dune empreinte dun serveur SSH
55

dtection dune mauvaise empreinte SSH
erreur RAID
connexion secondaire choue
dtection dune occurrence lors de lanalyse du flux montant SSH
erreur de licence
alertes dexpiration des mots de passe
alertes sur lespace disque disponible
rapports journaliers
3.12.4.1. Ajout dune notification

partir de la page listant les notifications, un clic sur licne
dune nouvelle notification.
permet dafficher le formulaire dajout
Le formulaire dajout est constitu des champs suivants :

un nom pour la notification
des cases cocher pour activer lenvoi de notifications sur les vnements prcdemment cits
le-mail de lexpditeur
le-mail du destinataire
56
Figure 3.43. Formulaire dajout dune notification
Note :
Les paramtres denvoi des mails sont configurer dans Configuration Systme /
SMTP (Section 3.13.6, SMTP ).
3.12.4.2. dition dune notification

Le formulaire ddition dune notification reprend les mmes informations que le formulaire dajout ;
la diffrence que le nom de la notification ne peut tre modifi. Ce formulaire est accessible en
cliquant sur le nom dune notification dclare.
3.12.4.3. Suppression dune notification

Un clic sur licne
permet de supprimer une ou plusieurs notifications pr-slectionnes.
57
3.12.5. Politique de mot de passe

La politique de mot de passe permet dtablir des rgles relatives au stockage des mots de passe
locaux.
Par dfaut, la taille minimale dun mot de passe est dfinie 6 caractres, les 4 derniers mots de
passe utiliss ne peuvent tre rutiliss, et il nest pas possible dutiliser un mot de passe similaire
au nom de lutilisateur.
De plus, une liste de mots de passe interdits, car triviaux est insre par dfaut.
A travers cette page, il est galement possible de dfinir la dure de vie des mots de passe.
Le formulaire est compos des champs suivants :
la dure de validit du mot de passe, en jours. Passe cette dure, lutilisateur ne pourra plus se
connecter avec son mot de passe ; un administrateur devra lui dfinir une nouvelle accrditation.
Il est recommand que cette valeur soit infrieure un an.
lchance avant le premier avertissement, en jours, permet lutilisateur de savoir que son mot
de passe va bientt expirer
la taille minimale du mot de passe. Cette taille doit tre suprieure la somme des autres
contraintes de nombre de caractres.
le nombre minimal de caractres en majuscule dans le mot de passe. Il est recommand de
mettre ce paramtre au moins 2.
le nombre minimal de chiffres dans le mot de passe. Il est recommand de mettre ce paramtre
au moins 2.
le nombre minimal de caractres spciaux dans le mot de passe. Il est recommand de mettre
ce paramtre au moins 2.
le nombre de mots de passe prcdents non rutilisables. Il est recommand de mettre ce paramtre au moins 5.
une case cocher permettant dautoriser un mots de passe similaire lidentifiant de lutilisateur.
Il est recommand de ne pas le permettre.
un fichier permettant de dfinir une liste de mot de passe interdits
Note :
La liste des mots de passe interdits doit tre fournie dans un fichier format en UTF-8
58
Figure 3.44. Page Politique de mot de passe
3.12.6. Mots de passe secondaires

Le WAB vous permet de changer distance les mots de passe des comptes cibles des quipements
Windows et UNIX.
Note :
Les systmes suivants sont supports par les procdures de changement des mots de
passe :
Les comptes locaux des systmes UNIX grs par la commande passwd.
Les comptes locaux des machines Windows de type serveur : Windows Server 2003
et Windows Server 2008
Les comptes des annuaires Active Directory.
Le bouton "Changer maintenant" permet de changer tous les mots de passe secondaires avec un
mot de passe gnr automatiquement.
59
Avertissement :
Tous les mots de passe pour lesquels un changement automatique a t configur,
comme dcrit par la section 3.8.2.1, Ajout dun compte cible , vont tre affects. Il est
donc important de vrifier que les courriels contenant les nouveaux mots de passe sont
bien reus et dchiffrables. Il est conseiller de tester le processus sur un seul compte
non administrateur.
Pour configurer la procdure de changement des mots de passe des comptes cibles, trois tapes
sont ncessaires :
1. Dans la page Configuration WAB > Politique des mots de passe secondaires (voir Figure 3.45,
Page Mot de passe secondaire ) :
Dfinir la priodicit pour dclencher les changements : horaires, quotidiennes, hebdomadaires, mensuel, ou dsactiver.
Charger les cls publiques GPG/PGP des administrateurs qui vont recevoir les nouveaux
mots de passe par des e-mails chiffrs.
Uniquement les cls publiques GPG/PGP qui ont servi a dfinir les crdences des administrateurs seront affiches dans le panneau : "Cl(s) publique(s) gpg utilise(s) pour lenvoi
des mots de passe".
Figure 3.45. Page Mot de passe secondaire

2. Dans la page quipements & Comptes > Accrditations Admin de lquipement > cliquer sur la
cl pour chaque quipement (voir Figure 3.29, Accrditations admins de lquipement ) :
a. Pour un quipement Windows :
Renseigner le compte WAB qui correspond ladministrateur du domaine pour (les
comptes de domaine et les comptes locaux) ou ladministrateur local juste pour les
comptes locaux.
Le compte WAB est sous la forme nom_de_compte_wab@nom_de_ressource_wab
60
Note :
Le compte administrateur de domaine doit correspondre un compte dj existant au niveau du WAB, sinon une erreur est retourne et les accrditations ne
sont pas sauvegardes.
Mot de passe de ladministrateur (local ou sur le DC).
b. Pour un quipement Cisco :
Renseigner le Mot de passe dlvation de privilges.
c. Pour tous les quipements (Linux/UNIX, Windows et Cisco) :
Remplir les adresses e-mail des destinataires des nouveaux mots de passe gnrs
(leurs cls GPG/PGP doivent avoir t prcdemment importes).
La taille minimale souhaite des mots de passe gnrs.
Cocher la case pour autoriser les caractres spciaux dans les mots de passe gnrs
suivant la politique de solidit des mots de passe en place sur lquipement.
3. Activer le changement des mots de passe au niveau de chaque compte sur chaque quipement (voir Figure 3.46, Page Mot de passe secondaire ) :
Dans la page quipements & Comptes > Comptes > cliquer sur lquipement > cliquer sur
la cl pour chaque compte.
Cochez la case pour activer le changement automatique sur ce compte.
Si le changement automatique nest pas activ, vous pouvez entrer un mot de passe manuellement.
chaque changement de mot de passe, un e-mail sera envoy aux destinataires dfinis indiquant si le changement du nouveau mot de passe a bien eu lieu (e-mail chiffrs) ou sil a chou
en prcisant la raison dchec).
Avertissement :
Pour que le processus de changement de mot de passe fonctionne sur les machines Windows appartenant un domaine, il est impratif de configurer correctement
ladresse IP du contrleur de domaine.
Si la configuration du serveur SMTP nest pas effectue, le changement des mots de
passe ne sera pas ralis.
Si une cl GPG/PGP est absente parmi la liste des destinataires, le changement des
mots de passe ne sera pas excut.
Pour raliser les changements de mots de passe pour les machines UNIX, le WAB doit
toujours avoir les mots de passe des comptes grer. aucun moment les mots de
passe ne doivent tre modifis sans les remettre dans le WAB sinon les changements
ne pourront plus tre raliss.
61
Figure 3.46. Page Mot de passe secondaire
3.12.7. Paramtres de connexion

Permet de dfinir la langue par dfaut qui sera utilise pour afficher les messages utilisateurs.
62
Figure 3.47. Page Paramtres de connexion

Ces messages sont galement modifiables par ladministrateur.
3.12.7.1. Options denregistrements

Cette page permet de demander ou non le chiffrement et la signature par le WAB des enregistrements de sessions permettant la visualisation des historiques de connexion (voir Section 3.5.3,
Historique des connexions ). Lorsque les enregistrements sont chiffres, ils ne peuvent tre
relus que par le WAB qui les a cr.
Lalgorithme de chiffrement utilis est AES 256 CBC. La signature est effectue en calculant une
empreinte HMAC SHA 256. Lempreinte est vrifie lors une demande de visualisation.
3.13. Configuration Systme

A travers ce menu, il est possible dentrer les informations de configuration systme de
lAdminBastion.
3.13.1. Rseau
Cette page remonte les informations rseau de lappliance. Il est possible de modifier :
le nom dhte
63

le nom de domaine
la passerelle
la configuration des interfaces rseaux
Il est possible dajouter :
des routes
des entres dans le fichier hosts
des serveurs DNS
Figure 3.48. Configuration Rseau
Avertissement :
Avant de changer ladresse IP du WAB utilise pour communiquer avec le serveur de
fichier sur lequel se trouve un stockage distant, il recommand de dsactiver le stockage
distant et le ractiver aprs le changement dadresse. Voir Section 3.13.3, Stockage
Distant
3.13.2. Service de Temps

Il est possible travers cette page de configurer le service de temps. Ceci est particulirement
important car :
64

le WAB doit tre synchronis en date et en heure avec les serveurs dauthentification Kerberos
le WAB est le rfrentiel de temps pour les informations daudit remontes et la gestion des
plages horaires
Par dfaut, le service de temps est activ et la synchronisation est effectue sur les serveurs de
temps du projet Debian
Figure 3.49. Configuration du service de temps
3.13.3. Stockage Distant

Il est possible travers cette page de dporter les enregistrements vidos vers un systme de
fichiers externe.
Attention : sur un WAB ayant dj ralis des enregistrements, lactivation du stockage distant
masquera les anciennes sessions (celles-ci seront de nouveau visibles lorsque le stockage sera
dsactiv).
Les systmes de fichiers supports sont CIFS et NFS. Pour chacun de ces systmes il sera ncessaire de prciser :
ladresse IP ou le FQDN du serveur de fichiers,
le numro de port du service distant,
65

le rpertoire distant o seront stocks les enregistrements.
Pour CIFS il sera galement ncessaire de prciser :
le nom dutilisateur pour se connecter sur le service distant,
son mot de passe.
Le bouton Monter permettra de monter le systme de fichier. Une icne statut permet dafficher
si le systme de fichiers est bien mont.
Figure 3.50. Configuration du stockage distant
3.13.4. Syslog
A travers cette page, il est possible de paramtrer le routage des journaux syslog vers un ou plusieurs autres quipements rseau. Les logs seront alors envoys ladresse IP, au port et au protocole choisis et galement stocks sur le systme de fichier local, afin dtre toujours disponibles
la lecture travers longlet Audit Systme.
Vous pouvez choisir entre le format de date usuel RFC 3164 et le format ISO (AAAA-MMJJTHH:MM:SSTZ). Ce dernier contient en plus lanne et le fuseau horaire.
66
Figure 3.51. Configuration du routage Syslog
3.13.5. SNMP
WAB embarque un agent SNMP disposant des caractristiques suivantes :
Version du protocole support : 2c
MIB implmente : MIB 2
pas de mcanismes dalertes (traps), ni de notifications
pas dACL sur ladresse IP source
commande SNMP disponible : get , getbulk
La Configuration usine est la suivante :
sysName : WAB v2
sysContact : root@yourdomain
sysLocation : yourlocation
communaut : vide par dfaut; le nom de la communaut utilise pour se connecter au WAB
Par dfaut, lagent est dsactiv.
67
Figure 3.52. Configuration de lagent SNMP
Note :
Lactivation de lagent SNMP se fait via linterface Web uniquement.
Exemples dutilisation :
$ snmpget -v2c -c WALLIXdefault 192.168.0.5 system.sysDescr.0
SNMPv2-MIB::sysDescr.0 = STRING: "Wallix AdminBastion Version 4.1"
$ snmpget -v2c -c WALLIXdefault 192.168.0.5 system.sysUpTime.0
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (65833) 0:10:58.33
$ snmpget -v2c -c WALLIXdefault 192.168.0.5 IF-MIB::ifHCOutOctets.1
IF-MIB::ifHCOutOctets.1 = Counter64: 255823831
3.13.6. SMTP
Cette entre permet de configurer (ou modifier la configuration) du serveur mail utiliser pour lenvoi
des notifications.
Les informations remplir sont :
Le protocole utilis (par dfaut : SMTP)
Le nom du serveur
68

le port du serveur (par dfaut : 25 en SMTP, 465 en SMTPS et 587 en SMTP+STARTTLS)
le nom de lexpditeur (par dfaut : wab)
un nom dutilisateur et un mot de passe si ncessaire,
Les paramtres peuvent tre tests, en entrant une ou plusieurs adresses de destination dans une
zone de texte libre et en cliquant sur le bouton TESTER .
Figure 3.53. Configuration du service SMTP
3.13.7. Licence
A travers cette page, il est possible dafficher les informations de licence, et de modifier sa cl de
licence.
Lutilisation du WAB est contrl par cette cl de licence. Les informations vrifies sont :
le nombre dquipement cibles pouvant tre dclars
le nombre maximal de connexions primaires uniques simultanes
le nombre maximal de connexions secondaires simultanes
la date dexpiration de la licence
La cl de licence, qui contient les valeurs prvues au contrat commercial et qui est fournie par
Wallix, est entre dans le WAB par le client, via linterface Web.
Pour obtenir une licence, le numro de srie de lappliance, ainsi que lensemble des adresses mac
des cartes rseaux doivent tre communiqus Wallix.
La cl de licence peut galement tre gre via la ligne de commande (en root).
Pour afficher les informations de licence :
wab2:~# WABGetLicence
69

Pour introduire un nouveau numro de licence :
wab2:~# WABSetLicence <Nouveau numro de licence>
Pour supprimer lancienne cl de licence :

wab2:~# WABDropLicence
Figure 3.54. Gestion de la licence
3.13.8. Chiffrement
Le Chiffrement du WAB scurise vos donnes sensibles (mots de passe des comptes cibles, etc...)
en les chiffrant par un algorithme cryptographique fort.
Cet algorithme utilise une cl de chiffrement confidentielle et unique votre WAB.
Si vous ne spcifiez pas de mot de passe, les donnes sensibles seront susceptibles dtre dcryptes par nimporte qui ayant accs au contenu du disque dur du WAB car il pourra rcuprer la cl et lutiliser directement. En contrepartie le WAB pourra sinitialiser compltement sans
intervention humaine lors dun redmarrage du systme.
Si vous spcifiez un mot de passe, chaque redmarrage du systme le service de connexion
automatique des proxys du WAB sera inutilisable tant que le mot de passe de la cl ne sera pas
entr par un administrateur dans lInterface Web dAdministration. Dans le mme temps seules
certaines actions dadministration seront possibles. Nanmoins ceci renforce la scurit de vos
70

donnes en les rendant difficilement exploitables par une personne malveillante ne possdant
pas le mot de passe de votre cl.
Aprs initialisation du chiffrement, il est conseill deffectuer au moins une sauvegarde de votre
WAB afin de conserver une copie de cette cl en lieu sr.
Sinon vous risquez de ne plus pouvoir utiliser les donnes stockes sur les stockages distants si
votre cl est perdue.
3.13.9. Contrle des services

Le contrle des services permet de choisir, dune part, laffectation des services pour chacune des
interfaces rseaux et, dautre part, lactivation des services.
Figure 3.55. Contrle des services
3.13.9.1. Affectation des services

Ladministrateur peut choisir laffectation des services par interface rseau. Ainsi il est possible
de restreindre les oprations dadministration une seule interface pour amliorer la scurit du
WAB. Les services sont groups en fonctionnalits Utilisateur et auditeur , Administration
et Haute-Disponibilit . Les fonctionnalits du groupe de services Utilisateur et auditeur
sont laccs aux cibles ainsi quaux historiques et enregistrements de sessions. Ces fonctionnalits
ne sont pas accessibles par dfaut sur linterface dadministration. Il est cependant possible den
dbloquer laccs en utilisant les cases cocher correspondantes.
Les interfaces doivent auparavant avoir t configures comme indiqu dans la section Configuration Rseau. Chaque interface doit appartenir un sous-rseau diffrent.
71

Linterface eth1 (port 2 sur les appliances) est ddie, si elle est prsente, linterconnection de
la haute-disponibilit (HA). Aucun autre service ne peut y tre affect et le service HA ne peut pas
tre dplac vers une autre interface. Le service HA nest donc pas disponible si cette interface
nest pas prsente (sauf en mode Legacy, voir la note ci-dessous).
Le WAB possde galement un pare-feu. Celui-ci permet, en autre, de le protger des attaques
DDoS. Il est possible de limiter le nombre de connexions IP acceptes en parallle.
Note :
Aprs une migration depuis une version antrieure la 4.1, le WAB est gard en mode
Legacy , cest dire que son fonctionnement reste le mme que dans les versions
prcdentes : la HA utilise dans ce cas linterface eth0 (port 1) alors que les autres services utilisent toutes les interfaces de manire indiffrencie.
Ladministrateur peut nimporte quel moment passer dans le nouveau mode avec affectation des services en cliquant sur le bouton Activer Split . Il faudra alors imprativement connecter le cble dinterconnection HA sur le port 2. Attention, il nest pas
possible de revenir ensuite en mode Legacy.
Figure 3.56. Mode legacy
3.13.9.2. Activation des services

Les services sont contrls automatiquement par le WAB. En particulier, les proxys sont dmarrs
quand une ressource correspondante est ajoute la configuration. Par exemple, lajout dun quipement avec un service RDP va initier le dmarrage du service RDP. Il est cependant possible de
stopper temporairement un service jusqu la prochaine modification de la configuration.
Voici la liste des services configurables :
GUI : linterface web dadministration du WAB (port 443)
SSHADMIN : linterface ligne de commande dadministration du WAB (port 2242)
WEBSERVICE : linterface soap dadministration du WAB (port 7080)
RDP : le proxy rdp/vnc (port 3389)
SSH : le proxy ssh/sftp/telnet/rlogin (port 22)
HTTPS : le proxy http/https (port 8080)
A linstallation dun WAB, par dfaut, les services activs sont :
GUI
SSHADMIN
WEBSERVICE
72

Puis en fonction des services configurs dans les cibles des proxys, le WAB active le service correspondant (et dmarre le serveur) automatiquement. Ainsi ladministrateur na pas se soucier
de la configuration des services pour pouvoir utiliser le WAB.
Note :
Par mesure de scurit, pour dsactiver la console dadministration sshadmin (port
2242), loutil doit tre appel depuis la console physique (soit directement sur le botier,
soit distance avec linterface iDrac). Dans le cadre dune configuration HA, le service
dadministration sshadmin (port 2242) doit tre activ et il le sera automatiquement lors
de linstallation de la HA.
Il est aussi possible de configurer les services laide dun outil en ligne de commande (sur la
console ou via linterface en ligne de commande ssh (port 2242) :
$ sudo -i WABServices
#################################
#
Wab Services Status
#
#################################
gui : ENABLED
https : DISABLED
rdp : DISABLED
ssh : DISABLED
sshadmin : ENABLED
webservice : ENABLED
Sans paramtre loutil prsent ltat actuel de la configuration des services. Le paramtre --help
permet davoir lusage complet :
$ sudo -i WABServices --help
usage: /opt/wab/bin/WABServices action [service's name]
Configure WAB Services
actions:
list
enable
disable
list services status

enable a service
disable a service
Ainsi pour dsactiver la GUI, ladministrateur doit saisir cette commande :

$ sudo -i WABServices disable gui
Configuration applied
Puis pour la r-activer, ladministrateur doit saisir cette commande :

$ sudo -i WABServices enable gui
Configuration applied
3.14. Sauvegarder/Restaurer
Cette page permet deffectuer ou de restaurer une copie de sauvegarde de la configuration du WAB.
73

Chaque sauvegarde est chiffre laide dune cl de 16 caractres. Il sera ncessaire de connatre
la cl dune sauvegarde avant sa restauration.
Avertissement :
seules les sauvegardes cres avec la version 3.1 du WAB ou ultrieure peuvent tre
restaures.
les donnes daudit ne sont pas sauvegardes laide de cet outil,
toutes les donnes modifies ou ajoutes aprs une sauvegarde seront perdues si
cette sauvegarde est restaure.
ladministrateur sera dconnect. Il devra se reconnecter avec un des comptes prsents dans la sauvegarde, qui peuvent tre diffrents de ceux prsents avant.
si une sauvegarde est restaure sur une autre machine que celle sur laquelle elle a
t gnre, les donnes chiffres prsentes avant la restauration pourront devenir
indchiffrables.
Figure 3.57. Page Sauvegarder/Restaurer
3.14.1. Restauration des fichiers de configuration

Certains lments tels que les fichiers de configuration de certains services, les cls et les certificats
sont restaurs ct de la configuration actuelle qui nest pas crase. Pour les utiliser il faut
74

supprimer les fichiers de la configuration actuelle et renommer la place ceux restaurs par le
backup, qui portent comme extension additionnelle le nom du fichier backup suivit dun timestamp
qui correspond la date de restauration.
Ces fichiers sont tous situs sous /etc/opt/wab/ :
Cl du proxy SSH :
/etc/opt/wab/ssh/server_rsa.key.YOURBACKUPNAMEANDTIMESTAMP
Configuration xinetd pour le proxy HTTPS :

/etc/opt/wab/xinetd.d/wab.YOURBACKUPNAMEANDTIMESTAMP
Cls et certificat du proxy RDP :

/etc/opt/wab/rdp/dh512.pem.YOURBACKUPNAMEANDTIMESTAMP
/etc/opt/wab/rdp/rdpproxy.key.YOURBACKUPNAMEANDTIMESTAMP
/etc/opt/wab/rdp/rdpproxy.crt.YOURBACKUPNAMEANDTIMESTAMP
Configuration du proxy RDP :

/etc/opt/wab/rdp/rdpproxy.ini.YOURBACKUPNAMEANDTIMESTAMP
Configuration MySQL :
/etc/opt/wab/mysql/my.cnf.squeeze.YOURBACKUPNAMEANDTIMESTAMP
Configuration du serveur Apache :

/etc/opt/wab/apache2/apache2.conf.squeeze.YOURBACKUPNAMEANDTIMESTAMP
/etc/opt/wab/apache2/httpd.conf.squeeze.YOURBACKUPNAMEANDTIMESTAMP
/etc/opt/wab/apache2/restfcgiserver.apache.conf.YOURBACKUPNAMEANDTIMESTAMP
/etc/opt/wab/apache2/restvirtualhost.apache.conf.YOURBACKUPNAMEANDTIMESTAMP
Cls, certificats et CRL du serveur Apache :

/etc/opt/wab/apache2/dh2048.pem.YOURBACKUPNAMEANDTIMESTAMP
/etc/opt/wab/apache2/ssl.crt/ca.crt.YOURBACKUPNAMEANDTIMESTAMP
/etc/opt/wab/apache2/ssl.crt/crl.pem.YOURBACKUPNAMEANDTIMESTAMP
/etc/opt/wab/apache2/ssl.crt/server.pem.YOURBACKUPNAMEANDTIMESTAMP
/etc/opt/wab/apache2/ssl.crt/server.key.YOURBACKUPNAMEANDTIMESTAMP
Configuration X509 du WAB :
75

/etc/opt/wab/apache2/ssl.crt/x509_ready.YOURBACKUPNAMEANDTIMESTAMP
Cls et certificats du proxy HTTPS :

/etc/opt/wab/http/certificate/ca-cert.pem.YOURBACKUPNAMEANDTIMESTAMP
/etc/opt/wab/http/certificate/ca-key.pem.YOURBACKUPNAMEANDTIMESTAMP
/etc/opt/wab/http/certificate/http-cert.pem.YOURBACKUPNAMEANDTIMESTAMP
/etc/opt/wab/http/certificate/http-key.pem.YOURBACKUPNAMEANDTIMESTAMP
Configuration du proxy HTTPS :

/etc/opt/wab/http/http.conf.YOURBACKUPNAMEANDTIMESTAMP
Aprs avoir renomm les fichier en supprimant lextension additionelle, vous devez redmarrer les
services correspondants.
#
$
$
$
/etc/init.d/wabgui restart
/etc/init.d/wabcore restart
/etc/init.d/mysql restart
/etc/init.d/xinetd restart
76
Chapitre 4. Gestion des Applications

Le WAB offre la possibilit de grer des sessions dapplication en plus des sessions dquipement.
Pour cela, le WAB utilise un serveur de rebond, sur lequel est installe lapplication. Comme illustre
par la figure 4.1, Session applicative , lutilisateur se connecte au WAB et choisit une application
dans le slecteur. Le WAB initie alors une session RDP et lance automatiquement lapplication
en lui fournissant les informations de compte ncessaires (identifiant, mot de passe). La session
application est alors enregistre comme une session RDP.
Figure 4.1. Session applicative
4.1. Pr-requis pour le serveur de rebond

Le serveur de rebond doit tre un serveur Windows Server 2003, 2003 R2, 2008 ou 2008 R2. A
partir de la version 2008, le rle "Services Teminal Server" ou "Bureau Distance" doit tre install.
Attention, aprs une priode de grce de 120 jours, il faut installer des Client Access Licences (CAL)
pour pouvoir continuer utiliser ces services. Il faut galement permettre lutilisateur davoir le droit
de lancer lapplication. Cela peut se faire en permettant laccs aux programmes non rpertoris
ou en ajoutant lapplication aux programmes autoriss :
Permettre laccs aux programmes non rpertoris: Depuis le Menu Dmarrer / Programmes / Outils dadministration / Services Bureau distance, ouvrir lapplication "Gestionnaire
RemoteApp". Dans le cadre "Vue densemble", cliquer sur changer les paramtres Terminal Server. Dans longlet "Terminal Server", dans le cadre "Accs aux programmes non rpertoris",
choisir "Autoriss les utilisateurs dmarrer les programmes rpertoris et non".
Ajouter lapplication aux programmes autoriss: Depuis le Menu Dmarrer / Programmes /
Outils dadministration / Services Bureau distance, ouvrir lapplication "Gestionnaire RemoteApp". Dans le cadre "Actions" droite, cliquer sur "Ajouter des programmes RemoteApp". Choisir lapplication dans les applications affiches en cliquant dans le carr de slection et diter
les proprits de lapplication afin de permettre lutilisation de tous les arguments de la ligne de
commande.
Il est recommand de mettre une valeur la plus petite possible au dlai maximal pendant lequel
une session utilisateur dconnecte est garde active sur le serveur Terminal Server. Lapplication
"Configuration dhte de session Bureau distance" accessible depuis le Menu Dmarrer / Pro-
77

grammes / Outils dadministration / Services Bureau distance permet dabaisser le dlai maximale
1 minute. Pour cela, cliquer sur la connexion nomme "RDP-Tcp" dans le cadre "Connexions" et
dans longlet "Sessions", slectionner "Replacer les paramtres de lutilisateur" et choisir 1 minute
pour la fin dune session dconnecte. Il est aussi possible dutiliser les politiques de groupe pour
grer ce paramtre.
Il est possible de permettre plusieurs connexions avec le mme compte cible sur un serveur de rebond. Pour un serveur Windows Server 2008 ou une version plus rcente, il faut utiliser lapplication
"Configuration dhte de session Bureau distance" accessible depuis le Menu Dmarrer / Programmes / Outils dadministration / Services Bureau distance et dans le cadre "Modifier les paramtres", dans le groupe Gnral, double-cliquer sur "Restreindre les utilisateurs une session
unique" et dselectionner la case cocher. Alternativement, il est possible dutiliser le paramtre
correspondant avec une stratgie de compte.
A partir de Windows Server 2012, un paramtrage supplmentaire est ncessaire pour permettre
laccs dun client qui nutilise pas lauthentification au niveau du rseau. Ce paramtrage seffectue
de la manire suivante :
Ouvrir le "Gestionnaire de Serveur" et slectionner "Services Bureau distance"
Slectionner la collection voulue dans "Collections". La collection par dfaut se nomme "Quick
Session Collections".
Dans le panneau "Proprits", slectionner la tche "Modifier les proprits"
Dans la section "Scurit, dcocher loption "Autoriser les connexions uniquement pour les ordinateur excutant les service Bureau distance avec authentification au niveau du rseau"
4.2. Pr-requis de lapplication

Pour pouvoir grer la connexion une application avec le WAB, il faut que celle-ci supporte de
recevoir le nom et le mot de passe utiliser pour la connexion en tant quargument de la ligne de
commande.
4.3. Configuration dune application

Pour grer les applications, il faut utiliser la page "Applications" du menu "Ressources et comptes".
Le nom de lapplication est interne au WAB. La description est optionnelle. Le champ "Paramtres"
permet de dfinir les arguments de la ligne de commande. Ils sont concatns au chemin du programme. Afin dinsrer le nom du compte et le mot de passe utiliser, la notation ${USER} ou
${PASSWORD} permet dindiquer lemplacement de la substitution. Le Wab la fera automatiquement avec les informations du compte slectionn par lutilisateur.
Figure 4.2. Ajout ou Modification dune application
78

Il faut galement dfinir le chemin de lexcutable du programme ainsi que le rpertoire dexcution.
Dans le cas dune grappe, il faut fournir ces valeurs pour chaque quipement. Les grappes sont
dcrites par la section 4.4, Grappe de serveurs .
Afin de pouvoir se connecter lapplication, il faut maintenant lui associer des comptes comme
dcrit par la section 3.8.2, Comptes cibles . La gestion des droits daccs se fait au moyen des
autorisations de la mme manire que les quipements. Il faut alors autoriser le protocole RDP.
4.4. Grappe de serveurs

Une grappe est un groupe de serveurs de rebond. Lutilisation dune grappe la place dun quipement unique permet de mettre en place de la rpartition de charge et de la haute disponibilit
pour une application. La slection du serveur de rebond utiliser pour excuter une application se
fait en deux tapes. Le WAB trie les serveurs en commenant par celui avec le moins de sessions
ouvertes, puis essaie de se connecter chacun jusqu la premire tentative qui russit.
La gestion des grappes se fait partir de la page "Grappe" du menu "Ressources et comptes". Il
suffit dajouter une grappe les quipements qui la composent.
79
Chapitre 5. Intgration avec un domaine

LDAP ou Active Directory
La gestion des comptes utilisateurs du WAB peut tre intgre avec un ou plusieurs annuaires
LDAP ou Active Directory (AD). Lorsquune telle intgration est mise en place, les comptes utilisateurs ne sont plus prsents localement dans la configuration du WAB; les informations relatives
un compte sont retrouves dans lannuaire chaque fois quun utilisateur se connecte un des
services du WAB.
Pour configurer une intgration, il faut dabord ajouter les authentifications externes (LDAP, LDAPS,
LDAP-AD, LDAPS-AD) permettant la connexion aux annuaires (voir Section 3.12.2, Authentifications externes ). Dans le menu Configuration WAB, la page Domaines LDAP/AD permet
dajouter un nouveau domaine.
La cration dun nouveau domaine commence par la slection des authentifications externes utiliser. La slection se fait en choisissant un type de dauthentification LDAP externe. Il est alors possible de choisir des authentifications dans la liste des authentifications du type choisi. Si plusieurs
authentifications sont slectionnes, elles sont utilises une aprs lautre, lors de la connexion dun
utilisateur, jusqu la premire authentification qui russit. Cela permet de redonder les annuaires.
Un domaine dcrit les attributs du schma de lannuaire utiliser pour trouver les attributs ncessaire pour un compte WAB. Ces attributs sont :
Identifiant : Lattribut du schma est indiqu par le champ Attribut identifiant de
lauthentification externe. Par dfaut, le WAB utilise sAMAccountName avec AD ou uid
avec LDAP,
Attribut groupe : Il sagit de lattribut dcrivant lappartenance un groupe. Par dfaut, il sagit de
memberOf avec AD. Avec LDAP, la valeur par dfaut est "(&(ObjectClass=posixGroup)(memberUid=${uid}))". Il sagit dune requte LDAP qui permet de trouver les groupes qui contiennent
lutilisateur dfini par son uid. En effet, certains serveurs ne supportent par dfaut de maintenir au
niveau de chaque compte la liste des groupes auxquels il appartient. Il faut donc utiliser une requte supplmentaire. La syntaxe ${uid} est propre au WAB; uid peut tre remplac par nimporte
quel attribut de lutilisateur. Dans le cas o le serveur LDAP supporte le champ memberOf ,
son utilisation est recommand. Cest le cas des serveurs OpenLDAP configures avec loverlay
memberOf .
Attribut nom usuel : Il sagit normalement de lattribut displayName pour AD et de cn
pour LDAP.
Attribut Email : Il sagit attribut de ladresse mail de lutilisateur (AD et LDAP).
Attribut langue : Il sagit normalement de attribut preferredLanguage (AD et LDAP).
Le domaine permet galement de fournir des valeurs par dfaut pour certains attributs si ceux-ci
ne sont pas retrouvs dans lannuaire :
Langue par dfaut : Langue par dfaut des membres du domaines si la langue nest pas dfinie
dans lannuaire.
Domaine par dfaut du mail : Ladresse du mail est construite en prfixant le domaine avec
lidentifiant et @ .
Il faut maintenant associer les groupes de lannuaire avec les groupes du WAB. Pour cela il faut
ajouter des correspondance dauthentification LDAP. Une correspondance permet de lier un groupe
du WAB un groupe de lannuaire en prcisant la valeur correspondante de lattribut groupe dfini
80

au dessus (par exemple son DN complet pour memberOf ). Si le groupe WAB ntait pas dj
li par une correspondance , il faut galement slectionner le profil WAB pour les membres du
groupes.
Dans le cas o aucune correspondance nest trouve quand un utilisateur se connecte, il est possible de demander le placer dans un groupe par dfaut. Cela se fait en slectionnant loption
Groupe par dfaut pour les utilisateurs sans correspondance . Cette option permet un accs au
WAB nimporte quel utilisateur dfini dans lannuaire.
Les correspondances sont galement ditables via la page des groupes dutilisateurs (voir Section 3.7.2, Groupes (dutilisateurs) ).
81
Chapitre 6. Exploitation
6.1. Connexion au WAB en ligne de commande
Un dmon ssh est en coute sur le port 2242 permettant de se connecter un shell dadministration.
Les accrditations par dfaut sont :
Identifiant : wabadmin
Mot de Passe : SecureWabAdmin
Note :
Il vous sera demand de modifier le mot de passe du compte wabadmin lors de la premire connexion. Veuillez bien retenir votre nouveau mot de passe car celui-ci est le seul
moyen de se connecter par la suite.
Cet utilisateur est inscrit dans la liste des sudoers . Il est alors possible de passer root laide
de la commande sudo en utilisant le mme mot de passe.
Une fois root, un ensemble de scripts permet dexploiter le WAB au quotidien.
6.2. Vrifier lintgrit de votre systme WAB

Un petit programme (tlchargeable depuis le site web de Wallix, dans zone ddie aux clients
WAB enregistrs) permet de vrifier lintgrit de votre systme WAB. Lemplacement de ce fichier
est :
https://updates.wallix.com/beta/systemcheck12345.sh
o 12345 reprsente le numro de build du WAB.
Note :
Pour connatre le numro de build de votre WAB, vous pouvez lancer la commande
suivante :
wab2:~$ WABVersion
Wallix AdminBastion v4.1 build 12345 (wab2-4.1.0-wallix1)
Tlchargez la version correspondant au numro build de votre WAB et transfrez le fichier du

programme sur celui-ci.
Pour lancer la vrification dintgrit, tapez alors la commande suivante en changeant 12345 par
le numro de build de votre WAB :
wab2:~$ ./systemcheck12345.sh
Un diagnostique saffichera en cas de problme.
82
6.3. Export des donnes daudit

Les donnes daudit (voir Section 3.5.3, Historique des connexions ) peuvent tre exportes
laide du script WABSessionLogExport
wab2:~# /opt/wab/bin/WABSessionLogExport -h
Usage: WABSessionLogExport [options]
Options:
-h, --help
show this help message and exit
-s START_DATE, --start_date=START_DATE
Should be like this: YYYY-MM-DD
-e END_DATE, --end_date=END_DATE
Should be like this: YYYY-MM-DD
-p, --nopurge
do not remove traces
-a, --noarchive
do not create archive file
Cette commande permet de crer un fichier zip, sauvegard dans /var/wab/recorded/export_sessions, et contenant pour la priode dfinie :
lensemble des sessions SSH et RDP
un fichier, au format CSV, contenant lexport des donnes visualises dans lhistorique des
connexions
6.4. Sauvegarder/Restaurer en ligne de commande

Il est possible deffectuer les actions de sauvegarde et de restauration (voir Section 3.14, Sauvegarder/Restaurer ) laide des scripts wallix-config-backup.py et wallix-config-restore-.py
wab2:~# /usr/bin/wallix-config-backup.py -h
Usage: wallix-config-backup.py [options]
Options:
-h, --help
-d DIRECTORY, --directory=DIRECTORY
Directory where you want to store your backup.
-s, --sdcard
Set this option to store the Backup in the sdcard.
-a, --aes
Set this option force use of AES256 instead of Gpg
symmetric cipher.
-b, --blowfish
Set this option force use of Blowfish instead of Gpg
symmetric cipher.
DIRECTORY est le chemin du rpertoire dans lequel sera cr le fichier de sauvegarde.

Loption -s peut tre utilise pour crer une copie sur un support externe (sdcard ou cl USB).
Les options -a et -b ne doivent normalement pas tre utilises. Sans ces options le fichier est chiffr
avec gpg.
wab2:~# /usr/bin/wallix-config-restore.py -h
Usage: wallix-config-restore.py [options]
Options:
-h, --help
-f FILENAME, --file=FILENAME
83
-s, --sdcard
-a, --aes
-b, --blowfish
Provide full path of Backup file (.wbk).

Enter in interactive mode to select file on SDcard.
Set this option force use of AES256 instead of Gpg
symmetric cipher.
Set this option force use of Blowfish instead of Gpg
symmetric cipher.
FILENAME est le chemin du fichier de sauvegarde.

Loption -s peut tre utilise pour restaurer depuis le support externe (sdcard ou cl USB).
Les options -a et -b ne doivent normalement pas tre utilises. Sans ces options le fichier est
dchiffr avec gpg.
Aprs restauration de la configuration par wallix-config-restore.py, il est ncessaire de redmarrer
les services du WAB avec la commande :
wab2:~# /etc/init.d/wabsystemconfiguration restart;
/etc/init.d/wabengine restart;
/etc/init.d/wabcore restart;
/etc/init.d/wabgui restart;
/etc/init.d/wabwebservice restart
6.5. Configuration de la sauvegarde automatique

Le WAB effectue une sauvegarde automatique configure dans une tche cron. Par dfaut celle-ci
est effectue tous les jours 18h50 et les fichiers sont stocks dans le rpertoire /var/wab/backups
Vous pouvez changer lheure et la frquence de sauvegarde dans le fichier /etc/cron.d/wabcore en
modifiant la ligne qui lance la commande WABExcuteBackup. Les champs sont ceux dune crontab,
savoir MINUTE, HEURE, JOUR_DU_MOIS, MOIS et JOUR_DE_LA_SEMAINE.
Les valeurs permises pour chaque champ sont :
MINUTE : de 0 59
HEURE : de 0 23
JOUR_DU_MOIS : de 1 31
MOIS : de 1 12
JOUR_DE_LA_SEMAINE : de 0 7 (0 ou 7 pour le dimanche)
Chaque champ peut aussi prendre pour valeur un astrisque * qui correspond toutes les
valeurs possibles. Les listes sont galement permises en sparant les valeurs par des virgules et
les intervalles en sparant les bornes par un trait dunion, par exemple 1,2,5-9,12-15,21 .
Vous pouvez changer galement modifier le chemin et la valeur de la cl utilise en ditant le
fichier /opt/wab/bin/WABExcuteBackup et en modifiant les valeur DIR et KEY au dbut du fichier.
6.6. Moteur de droit : contraintes dexploitation

Le moteur de droit livr implique quelques contraintes dexploitation. Ainsi :
il nest pas possible de supprimer un groupe dutilisateurs si des utilisateurs appartiennent ce
groupe
il nest pas possible de supprimer une authentification si au moins un utilisateur possde cette
authentification
84

il nest pas possible de supprimer un profil utilisateur si au moins un utilisateur est li ce profil
il nest pas possible de supprimer une plage horaire si un groupe dutilisateurs est li cette
plage horaire
il nest pas possible de supprimer un groupe dutilisateurs si des autorisations impliquent ce
groupe dutilisateurs
il nest pas possible de supprimer un quipement si des comptes cibles sont attachs cet
quipement
il nest pas possible de supprimer des groupes de comptes cibles si le groupe nest pas vide
6.7. Analyse des flux SSH / Dtection de pattern

Il est possible, lors de la cration/dition des groupes, dactiver/dsactiver la dtection de "pattern"
dans le flux montant SSH (les donnes analyses sont celles entres par lutilisateur).
La liste des "pattern" appliqus est la somme de ceux prsents dans le groupe dutilisateurs et
le groupe de comptes cibles. Laction lie est la plus restrictive (si lun des groupes porte laction
TUER , cest cette action qui sera choisie).
Les actions sont rentrer sous la forme dexpressions rgulires, raison dune expression par
ligne.
Exemple : pour empcher la suppression de fichiers, les expressions rentrer sont :
unlink\s+.*
rm\s+.*
6.8. Scnario de connexion TELNET/RLOGIN

Lors de la cration dun quipement cible (voir Section 3.8.1.2, dition dun quipement cible ),
il est possible de dclarer un scnario de connexion.
Ce scnario permet dinterprter les ordres envoys par un shell interactif et dautomatiser la
connexion. Il sagit dun pseudo langage dont la syntaxe comprend les lments suivants :
SEND : envoi dune chane de caractres
EXPECT : sattend recevoir une chane de caractres au cours des 10 prochaines secondes
(?i) : ignore la casse
$login : envoi dun identifiant
$password : envoi dun mot de passe
Ainsi, le scnario suivant (test sur un switch 3Com Superstack accessible via Telnet) :
SEND:\r\n
EXPECT:(?i)login:
SEND:$login\r\n
EXPECT:(?i)Password:
SEND:$password\r\n
Sinterprte de la manire suivante :

envoi dun retour chariot
attendre la rception de la chane login (en ignorant la casse)
85

envoyer lidentifiant suivi dun retour chariot
attendre la rception de la chane Password (en ignorant la casse)
envoyer le mot de passe suivi dun retour chariot
Ce scnario doit aussi fonctionner pour les serveurs Telnet fonctionnant sous Windows.
Pour les serveurs Telnet fonctionnant sous Unix ou Linux, utilisez plutt le scnario suivant:
EXPECT:(?i)login:
SEND:$login\n
SEND:$password\n
Pour les quipements Rlogin, seul le mot de passe est attendu, ainsi le scnario de connexion
suivant est fonctionnel pour une connectivit, en Rlogin, vers un systme sous Debian 5.0 lenny :
SEND:$password\n
Note :
En rgle gnrale, lidentifiant est dj fourni pour les connexions Rlogin. Il est ncessaire
de le fournir dans le scnario uniquement pour les connexions Telnet.
6.9. Changement didentification des serveurs cibles

Lors de la connexion un serveur cible par un protocole scuris (comme SSH, HTTPS ou dans
certaines configurations RDP), le WAB vrifie que le certificat ou la cl qui est prsent au proxy
par le serveur correspond bien celui connu de lui pour ce serveur.
Si ce certificat ou cette cl est diffrent, le proxy du WAB fermera la connexion car il peut sagir
dune attaque. Il est donc ncessaire dinformer le WAB du changement si celui-ci est lgitime.
6.9.1. Changement de la cl du serveur cible SSH

Lempreinte de la cl SSH du serveur est accessible dans la page de configuration de lquipement
(voir Section 3.8.1, quipements ). Cette valeur peut soit tre remplace directement par
lempreinte de la nouvelle cl si elle est connue, soit tre laisse vide pour tre automatiquement
remplie lors du prochain accs lquipement par le proxy SSH.
6.9.2. Changement du certificat TLS du serveur cible RDP

Les certificats X509 des cibles sont stocks au format PEM dans le rpertoire /var/wab/etc/cert/rdp/.
Vous pouvez soit remplacer directement le fichier du certificat de la cible par le nouveau, soit le
supprimer pour quil soit automatiquement rcupr lors du prochain accs lquipement par le
proxy RDP.
6.9.3. Changement du certificat SSL du serveur cible HTTPS

Les certificats X509 des cibles sont stocks au format PEM dans le rpertoire /var/wab/etc/cert/
https/.
86

Vous pouvez soit remplacer directement le fichier du certificat de la cible par le nouveau, soit le
supprimer pour quil soit automatiquement rcupr lors du prochain accs lquipement par le
proxy HTTPS.
6.10. Configuration cryptographique des services

6.10.1. Autorisation de SSLv3 avec 3DES
Avec les clients anciens qui ne supportent pas TLS avec chiffrement AES, comme par exemple le
navigateur Internet Explorer 8 sous Windows XP, il peut tre ncessaire dautoriser le protocole
SSLv3 avec chiffrement 3DES pour permettre les connexions. Nous vous conseillons nanmoins
plutt dutiliser un client moderne, comme les navigateurs Firefox ou Chrome, pour permettre de
conserver un niveau de scurit satisfaisant.
Avertissement :
Cette procdure va baisser le niveau de scurit des services du WAB. En effet 3DES
est un algorithme cryptographique obsolte.
Pour modifier les rglages du serveur Web GUI, diter le fichier
/etc/apache2/sites-enabled/httpd.conf.squeeze
et y dcommenter les lignes suivantes :
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:-MEDIUM
Commenter toutes les autres lignes portant les mmes cls ou la cl SSLHonorCipherOrder.
Pour modifier les rglage du proxy HTTPS, diter le fichier
/etc/opt/wab/http/http.conf
sslprotocol=-ALL +SSLv3 +TLSv1
cipher_list=ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:-MEDIUM
Commenter toutes les autres lignes portant les mmes cls.

Pour modifier les rglages du Web service SOAP, diter le fichier
/var/wab/etc/wabwebservice.conf
ssl_protocols="-ALL +SSLv3 +TLSv1"
cipher_suites="ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:-MEDIUM"
6.10.2. Protection contre BEAST

La configuration par dfaut du serveur web du WAB autorise les protocoles SSLv3 et TLSv1.0 qui
sont vulnrables lattaque BEAST. La procdure suivante permet de scuriser le WAB contre
cette attaque.
87
Avertissement :
Cette procdure va interdire certains protocoles et algorithmes cryptographiques faibles
au profit dautre plus srs mais qui ne sont supports que par les clients les plus rcents.
Il se peut donc que vous ne puissiez plus vous connecter au serveur si votre client est
trop ancien.
SSLProtocol TLSv1.2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!EDH

sslprotocol=TLSv1.2
cipher_list=ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!EDH

ssl_protocols="TLSv1.2"
cipher_suites="ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!EDH"
6.10.3. Restore default cryptographic settings

SSLProtocol ALL -SSLv2
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:-3DES:-MEDIUM
Commenter toutes les autres lignes portant les mmes cls ou la cl SSLHonorCipherOrder.
et y commenter toutes les lignes portant les cls sslprotocol ou cipher_list.
88

et y commenter toutes les lignes portant les cls ssl_protocols ou cipher_suites.
6.11. Rsolution des problmes courants

6.11.1. Restauration du compte admin dusine
Le compte admin peut tre restaur en excutant la commande suivante (en root) :
wab2:~# WABRestoreDefaultAdmin
6.11.2. Remise zro de lappliance

Lappliance peut tre remise zro en excutant la commande suivante (en root) :
wab2:~# /opt/wab/bin/.tools/WABResetConfig
Note :
Cette commande supprime galement toutes les donnes daudit (enregistrements de
sessions, historiques des connexions, etc...).
89
Chapitre 7. Configuration X509

7.1. Pr-requis
Avant de mettre en place lauthentification via X.509, il est ncessaire de disposer :
dun certificat au format PEM pour le serveur Web du WAB
de la cl prive au format PEM correspondant ce certificat du serveur
de la cl publique de lautorit de certification ayant dlivr ce certificat du serveur. Il peut sagir
dun certificat auto-sign ou dlivr par une autorit reconnue.
Il faut ensuite ouvrir un shell dadministration sur le WAB laide dun client SSH avec le login
wabadmin et sassurer davoir accs au port 8082 du WAB.
7.2. Paramtrages X509

7.2.1. Configuration X509
Une fois authentifi sur un shell, il faut prendre les droits root :
$ sudo -i
Une fois root, excuter la commande suivante :

# WABX509Setup
Note :
Votre WAB doit disposer dune licence valide avec loption X509 pour que vous puissiez
excuter cette commande.
Aller sur linterface Web du WAB, sur le port 8082 (attention, cette dernire est accessible via
HTTPS) :
https://adresse_ip_du_wab:8082/
Linterface de configuration X509 apparat.
Figure 7.1. Outil de configuration X509

Cliquer sur Start
Les tapes suivantes seront ralises :
arrt de linterface Web du WAB
tlchargement du certificat du CA (contenant sa cl publique) au format PEM
90

tlchargement de la cl priv du serveur Web au format PEM
tlchargement du certificat du serveur Web (contenant sa cl publique) au format PEM
redmarrage de linterface Web du WAB
fin de la configuration et affichage du journal dapache. Celui-ci ne doit pas contenir de logs
error
redmarrage de linterface Web du WAB et redirection sur celle-ci quand vous cliquez sur
Close . Si la page napparat pas immdiatement, veuillez la rafrachir une fois.
Note :
Linterface Web du WAB est indisponible pendant la dure de ces oprations. Les proxys,
eux, ne sont pas impacts.
7.2.2. Configuration X509 avec un WAB en mode Haute Disponibilit

Connectez-vous via un shell sur votre WAB master .
Une fois authentifi sur un shell, il faut prendre les droits root :
$ sudo -i
Puis excutez la commande suivante :

# WABX509Setup
Note :
Votre WAB doit disposer dune licence valide avec loption X509 pour que vous puissiez
excuter cette commande.
Aller sur linterface Web du WAB, en utilisant ladresse IP de votre master, sur le port 8082 (attention, cette dernire est accessible via HTTPS) :
https://adresse_ip_du_master:8082/
Linterface de configuration X509 apparat.
Figure 7.2. Outil de configuration X509

Cliquer sur Start
Les tapes suivantes seront ralises :
arrt de linterface Web du WAB
tlchargement du certificat du CA (contenant sa cl publique) au format PEM
tlchargement de la cl priv du serveur Web au format PEM
tlchargement du certificat du serveur Web (contenant sa cl publique) au format PEM
91

redmarrage de linterface Web du WAB
fin de la configuration et affichage du journal dapache. Celui ne doit pas contenir de logs error
redmarrage de linterface Web du WAB et redirection sur celle-ci quand vous cliquez sur
Close . Si la page napparat pas immdiatement, veuillez la rafrachir une fois.
Note :
Linterface Web et les proxys du WAB sont indisponibles pendant la dure de ces oprations.
7.3. Fonctions dadministration X509
Figure 7.3. Page dauthentification avec lien pour authentification X509

Une fois linterface Web relance, la page dauthentification du WAB fait apparatre un nouveau
lien permettant de sauthentifier via un certificat SSL.
Cest par ce biais que les utilisateurs/administrateurs pourront sauthentifier laide dun certificat
stock soit directement dans le navigateur, soit dans un token.
7.3.1. Authentification des utilisateurs

Pour chaque utilisateur, dans le formulaire dajout/dition, un nouveau champ apparat, nomm
Certificat DN . Ce champ doit tre rempli en fournissant le nom canonique du certificat.
92
Figure 7.4. Ajout dun utilisateur, nouveau champ Certificat DN

Exemple : pour un certificat dont lempreinte est :
CN=Lucas Martin,O=MyCorp,L=PARIS,ST=IDF,C=FR
lempreinte rentrer dans le champ est :
/C=FR/ST=IDF/L=PARIS/O=MyCorp/CN=Lucas Martin
Ceci permet dassocier lutilisateur qui doit tre ajout/dit ce certificat. Lorsque lon utilisera
ce certificat, lutilisateur li sera authentifi sur le WAB.
Note :
Les certificats doivent tre signs par la mme autorit de certification que celui du serveur Web.
Note :
Certains certificats ont un champ emailAddress not, dans lempreinte du certificat
E =... . Ce champ doit tre remplac par /emailAddress =... dans le champ rserv.
93
Note :
Le jeu de caractres Unicode est support dans les empreintes de certificats si le certificat
est encod en UTF-8 selon la RFC2253, sinon seul le jeu de caractres ASCII standard
est support.
La longueur maximale du DN supporte est de 1024 octets (le nombre exact de caractres peut tre infrieur selon la longueur de lencodage UTF-8).
7.3.2. Gestion de la CRL

Dans le menu Configuration WAB / Paramtres X509 apparat une nouvelle entre permettant de
fournir une CRL (liste de rvocation).
Figure 7.5. Paramtres X509 : Gestion de la liste de rvocation
Note :
Une fois la CRL tlcharge, il est ncessaire de redmarrer linterface Web du WAB
via la commande
# /etc/init.d/wabgui restart
94
7.4. Authentification X509

Un utilisateur peut continuer sauthentifier sur linterface Web soit par mot de passe, soit par
certificat.
Sil sauthentifie laide dun certificat, lutilisation des proxys se retrouve modifie et peut tre
rsume ainsi :
lutilisateur ouvre sa connexion vers un quipement cible (via son client RDP ou SSH)
le proxy interroge le mode dauthentification de lutilisateur sur linterface Web
si lutilisateur a t authentifi en X509, une confirmation de session est ouverte sur son interface
Web
sil clique sur ouvrir la session , il est automatiquement authentifi sur lquipement cible
Note :
Dans le cas de la correspondance de compte, il devra entrer son mot de passe sur
lquipement cible.
Figure 7.6. Authentification dun utilisateur via un certificat SSL
95
Figure 7.7. Demande de confirmation douverture de session
Note :
Lauthentification X509 nest pas disponible pour les transferts SFTP.
7.5. Retrait du mode X509

Le mode X509 peut tre retir en excutant la commande
# WABX509Unset
De nouveaux certificats auto-signs sont alors gnrs et il nest plus possible pour les utilisateurs
de sauthentifier via leurs certificats.
7.6. Implmentation technique

Le support des certificats X509 est ralis via lextension mod_ssl dApache. Les cls de configuration utilises sont les suivantes :
SSLEngine on
SSLOptions +StdEnvVars -ExportCertData
96

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:-3DES:-MEDIUM
SSLCACertificateFile <certificat de la CA (contenant sa cl publique) au format PEM>
SSLCACertificatePath <chemin de la CA>
SSLCertificateFile <certificat du serveur (contenant sa cl publique) au format PEM>
SSLCertificateKeyFile <cl prive correspondant la cl publique incluse dans le certificat du serveur, au format PEM>
SSLCARevocationFile <liste de rvocation (concatnation de fichiers CRL individuels au format
PEM, dans lordre de prfrence)>
SSLVerifyClient optional
SSLVerifyDepth 5
97
Chapitre 8. Chiffrement des donnes

Plusieurs types de donnes sensibles sont susceptibles dtre stocks dans le WAB. Notamment :
les informations dauthentifications primaires
les informations dauthentifications secondaires
les mots de passe daccs aux services dauthentification
les sauvegardes des donnes du WAB
De plus, les accs aux diffrents services (HTTP/RDP/SSH) ncessite la mise en place de donnes
cryptographiques permettant de chiffrer le trafic.
Voici un tableau rcapitulatif des moyens cryptographiques mis en uvre :
Donnes
Cryptographie
Mot de passe des utilisateurs locaux
Empreinte SSHA1
Login et mot de passe des comptes cibles
Chiffrement symtrique AES 256
Donnes dauthentification annuaires externes
Paramtres SNMP
Paramtres dauthentification sur les serveurs Chiffrement symtrique AES 256

de stockage distant
Sauvegarde
Cl de connexion linterface Web
Cl RSA 2048 bits + AES 256
Cl de connexion au proxy SSH
Cl RSA 2048 bits + AES 256
Connexion au proxy RDP
Cl RSA 1024 bits + RC4 128 bits
98
Chapitre 9. Haute-Disponibilit
9.1. Gnralits
La fonctionnalit H.A. ( High Availability ou Haute Disponibilit ) du WAB 4.1 apporte, par
lintermdiaire dun cluster bi-appliances de type failover (ou actif/passif ), une continuit du
service WAB (accs aux quipements cibles et la console Web, enregistrement des sessions) en
cas dindisponibilit des services sur lappliance de production (le Master ).
Cette reprise automatique des services par le second nud du cluster (le Slave ) est obtenue
par :
le partage dune adresse IP virtuelle par les deux WAB du cluster, les adresses IP relles tant
inconnues des utilisateurs.
la rplication sur le second nud du cluster des informations de configuration, des journaux de
connexions et des fichiers contenant les enregistrements de sessions ainsi que les fichiers de
configuration WAB par le mcanisme de rplication DRBD.
un mcanisme de notification par e-mail avise ladministrateur du WAB en cas de :
bascule du service en mode dgrad (le nud Slave a pris le relais)
indisponibilit du nud Slave
dtection dune anomalie (service indisponible...)
synchronisation des disques termine
9.2. Limitations dexploitation

Le cluster WAB 4.1 H.A de type actif/passif, ne possde pas de fonctionnalit de load balancing .
Le Master et le Slave doivent appartenir au mme subnet IP et doivent tre tous deux
configurs en IP statique.
La configuration systme (en particulier les fichiers /etc/hosts et /etc/network/interfaces) doit tre
effectue via linterface Web ou le script WABHASetup pour viter toute dsynchronisation avec
les fichiers de configuration du systme de fichiers rpliqu.
Les deux nuds du cluster doivent tre exactement au mme niveau de version et de patch.
9.3. Configuration du cluster

1. Vrifier que les deux appliances sont relies directement entre elles par un cble crois branch
sur le port RJ45 numrot 2 .
2. Dmarrer les deux machines du cluster en commenant indiffremment par lune ou lautre.
Les appliances livres sont pr-installes mais la fonctionnalit cluster nest pas configure.
3. Prendre lidentit du super-utilisateur via la commande : sudo -i
4. Vrifier que les horloges des deux nuds du cluster sont bien synchronises via la commande
Linux date ou par synchronisation sur un serveur NTP comme expliqu dans la section 5.2.4,
Configuration du service de temps du Guide de dmarrage rapide.
5. Vrifier quun serveur SMTP est configur et fonctionnel en effectuant le test denvoi de notification comme expliqu dans la section 5.2.5, Configuration du serveur SMTP du Guide
de Dmarrage Rapide.
99

6. Vrifier que les deux appliances sont configures en IP statique, que leurs interfaces eth1
sont actives et quelles ont des noms de machines diffrents. Si non, utiliser linterface Web
pour effectuer les rglages ncessaires.
Noter ladresse IP de linterface eth1 du Slave qui est celle quil faudra utiliser pour
rpondre la question Slave IP: dans la commande WABHASetup ci-dessous.
7. Se connecter directement sur la console de lappliance dfinie comme Master , par
lintermdiaire du compte wabadmin . Ne pas utiliser SSH car l'opration risquerait dtre
interrompue avant son terme en cas de coupure du rseau. Attention, les donnes du Slave
seront irrmdiablement effaces.
8. Excuter la commande sudo -i WABHASetup et suivre les instructions :
$ sudo -i WABHASetup
Slave IP:
HA Virtual IP:
HA Virtual netmask:
HA Notification mail address:
...
9. Le cluster WAB est maintenant configur et activ.
9.4. Dmarrage du cluster

Le cluster est maintenant accessible sur ladresse IP virtuelle. Seule cette adresse doit tre communique vos utilisateurs.
Le mail suivant est envoy ladresse indique lissue de la configuration HA du WAB.
Sujet: [WAB] - The WAB HA have been configured
This notification sums up your HA configuration. Initial MASTER node: ... Initial SLAVE node: ...
HA Virtual ip: ...
9.5. Arrt/Redmarrage du cluster

Pour contrler le fonctionnement du cluster, ladministrateur peut utiliser les commandes de maintenance ci-dessous. A noter que start et stop ne sappliqueront quau nud local.
# sudo /etc/init.d/wabha stop
# sudo /etc/init.d/wabha start
Avertissement :
Pour viter une bascule involontaire, il recommand darrter le Slave avant le Master , et de dmarrer le Slave aprs le Master .
Pour vrifier ltat actuel dun nud, ladministrateur peut utiliser la commande ci-dessous.
# sudo /etc/init.d/wabha status
100
9.6. Reprise sur une erreur fatale (WAB HA is locked

down)
Lorsque la HA dtecte un dysfonctionnement et quelle narrive pas le rsoudre automatiquement
(en redmarrant le service concern) alors la procdure de basculement se bloque.
Aprs avoir mis une notification concernant la dtection dune erreur fatale, elle cr le fichier de
lock et steint. La prsence de ce fichier empche la HA de dmarrer et vite ainsi quelle essaye
indfiniment de rsoudre le dfaut.
Aprs avoir rsolu le dysfonctionnement, il vous faut supprimer manuellement ce fichier de lock :
affected_node# rm /etc/opt/wab/ha/fatal_error
9.7. Coupures rseau et Split-Brain

Si les nuds sont toujours connects au rseau mais ne sont plus connects ensemble (cble rseau dbranch entre deux switch, ...), le nud passif va passer en Master (procdure standard
le Master ntant plus actif de son point de vue). Nous sommes donc dans une configuration
avec deux nuds Master et les donnes du volume partag vont commencer diverger.
Lors de la restauration de la connectivit, la couche DRBD du volume partag va dtecter la divergence (appele Split-Brain) et le cluster ne fonctionnera plus. En effet, les deux machines ayant
continu de fonctionner indpendemment, leurs donnes sont incompatibles et une intervention
manuelle est requise.
Comme prcis dans la notification, cest ladministrateur de rsoudre la divergence en slectionnant le nud le plus jour. La notification contient la liste des derniers fichiers modifis sur les
deux WABS. Trois possibilits :
1. Linterruption a t courte et les nuds nont pas t utiliss (pas de sessions cres, pas de
comptes ajouts, ...), alors ladministrateur peut choisir nimporte quel nud comme tant le
Master de rfrence.
2. Linterruption fut courte et/ou un seul des nuds na t vraiment utilis (symbolis par la
prsence de fichiers de sessions et de dates de modifications plus rcentes sur un seul des
nuds). Ladministrateur doit alors choisir ce nud comme nouveau Master de rfrence.
3. Linterruption a t complexe et les deux nuds ont t utiliss en parallle (cas improbable,
li un grave dysfonctionnement rseau). Ladministrateur doit alors choisir un nud comme
nouveau Master de rfrence (celui avec le plus de modifications son actif) et sauvegarder
les donnes de lautre nud. Enfin, il restera les importer manuellement dans le nouveau
Master .
Une fois le Master de rfrence choisi, voici la procdure suivre pour restaurer le cluster :
outdated_node# drbdadm secondary wab
ref_master# drbdadm primary wab
outdated_node# drbdadm invalidate wab
outdated_node# drbdadm connect wab
ref_master# /etc/init.d/wabha start
outdated_node# /etc/init.d/wabha start
101
9.8. Reconfiguration rseau du cluster

Avertissement :
Toutes les oprations de maintenance du cluster doivent tre ralises sur le nud
Master .
Lorsque les WAB sont configurs en mode HA, les changements rseaux comme les adresses IP
ne peuvent plus se faire via linterface Web. Les deux machines ayant leurs disques synchroniss
par le rseau, il est ncessaire de se connecter sur le nud Master en ssh et procder comme
suit :
# screen -- sudo -i WABHASetup --reconfigure_hosts
...
9.9. Remplacement dune machine dfectueuse

Avertissement :
Toutes les oprations de maintenance sur le cluster doivent tre ralises sur le nud
Master
Dans le cas du remplacement dun nud, il faut tout dabord dconnecter le matriel dfectueux et
dmarrer le WAB de remplacement. Il convient ensuite de le configurer avec la mme IP statique
que le nud manquant, puis entrer la commande suivante sur le nud fonctionnel :
# WABHASetup --configure_new_slave
...
9.10. Rcupration dun volume dfectueux

Avertissement :
Toutes les oprations de maintenance sur le cluster doivent tre ralises sur le nud
Master
Dans le cas derreur dintgrit du systme de fichier, dtectable via les messages du noyau (ie :
File system is now read-only due to the potential of on-disk corruption. Please run fsck.ocfs2 once
the file system is unmounted. ), voici la procdure suivre :
1. teindre la HA sur les deux nuds en commenant par le Slave en tapant : sudo -i WABHAInitd --force stop
2. Vrifier que le systme de fichier partag est bien dmont sur les deux nuds : sudo -i
umount /var/wab
3. Dsactiver drbd sur le nud Slave : sudo -i drbdadm secondary wab
4. Activer drbd sur le nud Master : sudo -i drbdadm primary wab
5. Excuter sur le nud Master : sudo -i fsck.ocfs2 -y -f /dev/drbd1
slave_node# WABHAInitd --force stop
master_node# WABHAInitd --force stop
102
9.11. Tests de bon fonctionnement de la Haute-Disponibilit

Afin de vrifier les diffrentes reprises sur erreurs gres par la fonctionnalit HA, voici les tests
quil est conseill de raliser avant de mettre la solution en production. Nous nommerons WabA le
nud actuellement Master et WabB le nud Slave .
9.11.1. Basculement du Master vers le Slave (logiciel)

Action : teindre la HA sur le Master
WabA# /etc/init.d/wabha stop
WabA# /etc/init.d/ssh stop
Consquence : le Slave va dtecter lanomalie

Notification : [WAB] - WAB HA Master WabA error detected by the WabB!
(HA_MASTER_FAULT) Reason: Service unreachable on master node!
Rsultat : le Slave prend la main
Notification : the [WAB] - WAB HA Master WabB is online
Rsolution complte : relancez la HA sur le Master et il deviendra le nouveau Slave
WabA# /etc/init.d/ssh start
WabA# /etc/init.d/wabha start
Notification : The [WAB] - WAB HA Slave WabA is online
9.11.2. Basculement du Master vers le Slave (matrielle)

Action : teindre physiquement le Master (retrait du cble dalimentation)
Consquence : le Slave va dtecter lanomalie
Notification : [WAB] - WAB HA master WabA error detected by the WabB! (HA_MASTER_FAULT)
Reason: Host does not respond to ping...
Rsultat : le Slave prend la main
Notification : The [WAB] - WAB HA master WabB is online
Rsolution complte : rallumez le Master et il deviendra le nouveau Slave
Notification : The [WAB] - WAB HA slave WabA is online
9.11.3. Dtection dun dfaut sur le Master

Action : injection dun dfaut sur le Master (i.e. : service ssh dsactiv) :
WabA# mv /etc/ssh/sshd_config /etc/ssh/sshd_config.tmp
WabA# /etc/init.d/ssh stop
Consquence : Les deux nodes vont dtecter le dysfonctionnement (ssh non accessible)
103

Notifications : [WAB] - WAB HA master WabA error detected by WabA Reason: Service ssh isn't
responding and we couldn't restart it!
Notifications : [WAB] - WAB HA master WabA error detected by WabB Reason: Host respond to
ping but ssh service is down, will try to switch to master...
Rsultat : le Slave va prendre la main et le Master va se downgrader Slave
Notification : The [WAB] - WAB HA master WabB is online
Notification : The [WAB] - WAB HA slave WabA is online
Rsolution complte : rparer le dfaut afin que le WabA soit nouveau capable de devenir Master
WabA# mv /etc/ssh/sshd_config.tmp /etc/ssh/sshd_config
WabA# /etc/init.d/ssh start
9.11.4. Dtection dun dfaut sur le Slave

Action : teindre physiquement le Slave (retrait du cble dalimentation)
Consquence : le Master va dtecter le dysfonctionnement
Notification : [WAB] - The WAB HA slave WabB isn't connected to master WabA anymore! Master
data replication isn't working.
Rsultat : la rplication des donnes est interrompue mais le volume est encore fonctionnel (en
mode dgrad)
Rsolution complte : rallumez le Slave
Notification : [WAB] - The WAB HA slave WabB is online
Note : Si le volume de donnes crit sur le Master dgrad est ngligeable, (ex : pas de nouvelle
session) la synchronisation est instantane. Dans le cas contraire, une notification est envoye.
Notification : [WAB] - The WAB HA cluster synchronization completed! Both nodes data are now
fully synchronized.
9.11.5. Perte de la connectivit entre les deux nodes

Action : dconnecter un des nuds du rseau ou faire en sorte que les deux WABS ne puissent
plus communiquer entre eux. ex : avec iptables :
WabA# iptables -A INPUT -s IpWabB -j DROP; iptables -A OUTPUT -d IpWabB -j DROP
WabB# iptables -A INPUT -s IpWabA -j DROP; iptables -A OUTPUT -d IpWabA -j DROP
Consquence : les deux nodes vont dtecter le dysfonctionnement. Le master va continuer de

fonctionner en mode dgrad.
Notification : [WAB] - The WAB HA slave WabB isn't connected to master WabA anymore! Master
Notification : [WAB] - The WAB HA master WabA error detected by sparewab2.ifr.lan Reason: Host
does not respond to ping...
Consquence : le Slave va supposer que le master est teint et il va donc basculer en Master
et fonctionner en mode dgrad son tour.
104

Notification : [WAB] - The WAB HA master WabB is online
Notification : [WAB] - The WAB HA slave WabA isn't connected to master WabB anymore! Master
Rsultat : le volume partag va diverger entre les deux nodes. Le cas le plus probable est quun
des nud ne soit plus sur le rseau, dans ce cas la rsolution est triviale : Reconnecter les deux
wab ou si vous avez utilis iptables :
WabA# iptables -F
WabB# iptables -F
Notification : [WAB] - The WAB HA disks diverged (split brain detected) The WAB HA drbd shared
volume is now disconnected. Both peers had lost connexion to each other and both switched to
master... Now data couldn't be synced cleanly, you'll have to manually discard one node changes.
Once you figure out which node is really out of date, you'll have to type on a root shell: failing_node
# drbdadm secondary wab recent_node # drbdadm primary wab failing_node # drbdadm invalidate
wab failing_node # drbdadm connect wab recent_node # /etc/init.d/wabha start failing_node # /etc/
init.d/wabha start
Rsolution complte : procder comme indiqu dans le mail :
WabB#
WabA#
WabB#
WabB#
WabA#
WabB#
drbdadm secondary wab

drbdadm primary wab
drbdadm invalidate wab
drbdadm connect wab
/etc/init.d/wabha start
/etc/init.d/wabha start
Notification : [WAB] - The WAB HA master WabA is online

Notification : [WAB] - The WAB HA slave WabB is online
105
Chapitre 10. Console dadministration

10.1. Gnralits
WAB V4.1 fournit une console dadministration de type lignes de commande permettant de
grer les quipements, leurs comptes cibles associs et les utilisateurs du WAB mais aussi dtablir
des sessions SSH et de visionner des enregistrements.
On accde la console en se connectant au WAB laide dun client ssh de la faon suivante :
$ ssh -t admin@wab.mycorp.lan console
admin@wab.mycorp.lan password:
wab> help
Le jeu de commandes accessibles dpend du profil de lutilisateur et de linterface par laquelle il se

connecte (voir Section 3.13.9.1, Affectation des services ). Sils se connectent depuis une interface dadministration, les utilisateurs disposant dun profil permettant ladministration via la console
auront accs lensemble des commandes qui ne sont pas marque par une lettre entre parenthses dans la suite de ce chapitre. Tous les utilisateurs qui se connectent sur une interface utilisateur et auditeur disposeront des commandes marques par un (u) . Sils disposent dun profile de
type auditeur ils auront aussi accs aux commandes marques par un (a) et sils disposent des
droits de connexion aux ressources ils auront aussi accs aux commandes marques par un (d) .
Pour obtenir la liste des commandes, il suffit de taper help linvite de la console.
Chaque commande dispose dune aide en tapant soit help commande, soit commande -h.
Un mcanisme de compltion automatique, activ par la touche <tab>, offre une aide la saisie
des commandes.
10.2. Liste des commandes

La liste des commandes disponibles est la suivante.
10.2.1. Commandes dajout (prfixe add_ )

add_account
add_acl
add_authentication
add_habilitation_rights
add_notification
add_target
add_target_group
add_target_in_target_group
add_timeframe
add_timeframe_in_user_group
add_timeframe_period
add_user
add_user_group
106

add_user_in_user_group
10.2.2. Commandes de modification (prfixe change_ )

change_password (u)
change_user_password
10.2.3. Commandes de suppression (prfixe del_ )

del_acl
del_authentication
del_current_connection (a)
del_habilitation_rights
del_notification
del_target
del_target_group
del_target_in_target_group
del_timeframe
del_timeframe_in_user_group
del_timeframe_period
del_user
del_user_group
del_user_in_user_group
10.2.4. Commandes de consultation (prfixe list_ )

list_acl
list_authentication
list_current_connections (a)
list_dev_protocol
list_device
list_device_access (d)
list_habilitation_rights
list_notification
list_notification_type
list_protocol
list_target
list_target_group
list_target_in_target_group
list_timeframe
list_timeframe_period
list_user
list_user_from_group
107

list_user_group
10.2.5. Autres commandes

import_ldap_users
user_rights
watch_session (a)
10.2.6. Changements depuis la version 3.0

Si vous voulez utiliser un script crit pour une version 3.0 ou prcdente avec votre WAB 4.1, vous
devrez dabord corriger ce script pour tenir compte des changements introduits par les versions
3.1 et 4.0.
Suite lintroduction des services, certaines commandes ont en effet t remplaces et la syntaxe
des certaines autres commandes a galement pu tre modifie.
Les commandes suivantes ont t remplaces par add_target :
add_device
add_dev_protocol
add_dev_auth
Les commandes suivantes ont t remplaces par del_target :
del_device
del_dev_protocol
del_dev_auth
La commande suivante a t remplace par list_target :
list_dev_auth
La commande suivante a t remplace par add_target_in_target_group :
add_dev_auth_in_dev_auth_group
La commande suivante a t remplace par del_target_in_target_group :
del_dev_auth_in_dev_auth_group
La commande suivante a t remplace par list_target_in_target_group :
list_dev_auth_in_dev_auth_group
10.3. Dtail des commandes

10.3.1. Commandes dajout add_
10.3.1.1. add_account
Ajoute un compte sur un quipement existant ou une application existante.
108

Usage : add_account -n <compte@quipement:service>
[-d <description du compte> -F] [-x <mot de passe du compte>]
-F : active le transfert dauthentification par lagent SSH

wab> add_account -n martin@asterix:SSH_22 -x M@rt!n22
*** Success ***
10.3.1.2. add_acl
Autorise laccs dun groupe dutilisateurs un groupe de comptes cibles pour un protocole donn.
Usage : add_acl -g <groupe utilisateur> -t <groupe de cibles>
-p <sous protocoles> [-c -r -d <description>]
-c : autorisation critique
-r : activer lenregistrement des sessions
<sous protocoles> est une liste spare par des virgules dont les lments peuvent prendre
les valeurs suivantes :
SSH_SHELL_SESSION
SSH_X11_SESSION
SSH_REMOTE_COMMAND
SSH_SCP_UP
SSH_SCP_DOWN
SFTP_SESSION
RDP
TELNET
RLOGIN
VNC
wab> add_acl -g linux-admin -t linux-server -p SSH_SHELL_SESSION,SFTP_SESSION -r
*** Success ***
10.3.1.3. add_authentication
Ajout dune procdure dauthentification primaire.
Usage: add_authentication -n <name> -t <type> -p <port> -i <addr or fqdn>
[-K <Kerberos domain>]
| [-s <Radius secret>]
| [-b <LDAP base DN> [[-a] | [ -l <login> w <password>]]]
<type> peut prendre les valeurs suivantes :

KERBEROS
LDAP
LDAP-AD (Active Directory)
LDAPS
109

LDAPS-AD (Active Directory en LDAPS)
RADIUS
-a : accs anonyme
wab> add_authentication -t LDAPS -n MyLdaps -b "ou=Users,dc=mycorp,dc=lan"
-i ldaps.mycorp.lan -p 636 -a
*** Success ***
10.3.1.4. add_habilitation_rights
Ajout dun profil utilisateur.
Usage : add_habilitation_rights -n <nom> -l <niveau> [-d <description>]
<niveau> se rapporte aux valeurs suivantes ou la somme de plusieurs dentre elles :

1 : se connecter aux comptes cibles
2 : consulter les enregistrements de session
4 : consulter les utilisateurs
8 : grer les utilisateurs
16 : consulter les quipements
32 : grer les quipements
64 : consulter les autorisations
128 : grer les autorisations
256 : consulter la configuration
512 : grer la configuration
1024 : sauvegarder/restaurer la configuration
2048 : administrer lappliance
wab> add_habilitation_rights -n full_system_admin -l 3072
-d "Sauvegarder/restaurer la configuration et administrer lappliance"
*** Success ***
10.3.1.5. add_notification
Ajout dune notification.
Usage : add_notification -n <nom> -v <flags> -r <destinataires>
[-e -d <description>]
-v : liste des vnements spars par des virgules dclenchant la notification. Les valeurs acceptes sont retournes par la commande list_notification_type.
-e : active la notification
wab> add_notification -n sec_conn_failures -d "Notification des checs de
connexion secondaire" -r wabadmin@mycorp.lan -v "Secondary connection failure"
*** Success ***
10.3.1.6. add_target
Ajout dune cible.
110

Usage : add_target -n
[-d
-f
-P
[-a
[-D
<compte@quipement:service> -i <ip hte>

<description de lquipement> -H <alias de lquipement>
<empreinte de lquipement>]
<protocole> -S <sous protocoles> -p <port du service>
<mcanisme dauthentification>]
<description du compte> -F] -x <mot de passe du compte>
-F : active le transfert dauthentification par lagent SSH

wab> add_target -n martin@asterix:SSH_22 -i 192.168.0.10 -d RHEL5 -H
asterix.mycorp.lan -P SSH -S SSH_SHELL_SESSION,SSH_REMOTE_COMMAND -p 22
-x M@rt!n22
*** Success ***
10.3.1.7. add_target_group
Cration dun groupe de comptes cibles.
Usage : add_target_group -n <nom> [-d <description>]
wab> add_target_group -n linux-server -d "Linux servers group"
*** Success ***
10.3.1.8. add_target_in_target_group
Ajout dun compte cible un groupe de comptes cibles.
Usage : add_target_in_target_group -g <groupe de cibles>
-n <compte@quipement:service>
wab> add_target_in_target_group -g linux-server -n root@asterix:SSH_22
*** Success ***
10.3.1.9. add_timeframe
Ajout dune plage horaire.
Usage : add_timeframe -n <nom> [-d <description> -o]
-o : Dsactive la dconnexion automatique.

wab> add_timeframe -n presta -d "Plage horaire prestataires externes"
*** Success ***
10.3.1.10. add_timeframe_in_user_group
Ajout dune plage horaire un groupe dutilisateurs.
Usage : add_timeframe_in_user_group -t <nom de la plage> -g <groupe utilisateur>
wab> add_timeframe_to_user_group -t presta -g groupe_des_prestas
*** Success ***
10.3.1.11. add_timeframe_period
Ajout dune priode une plage horaire.
Usage : add_timeframe_period -t <nom de la plage horaire>
111

-s
-e
-x
-y
-w
<date de dbut>
<date de fin>
<heure de dbut>
<heure de fin>
<masque de semaine>
-s et -e sont des dates sous forme AAAA-MM-JJ

-x et -y sont des heures sous forme HH:MM
-w est un masque de jours de semaine sous forme YYYYYNN o Y reprsente un jour autoris
et N ou jour interdit.
wab> add_timeframe_period -t presta -s 2010-06-01 -e 2010-06-30
-x 14:00 -y 19:00 -w YYYYYNN
*** Success ***
10.3.1.12. add_user
Cration dun utilisateur.
Usage : add_user -n
-m
[-r
-k
-i
<identifiant> -a <authentification> -l <profil>

<email>
<nom rel> -s <langue> -p <mot de passe>
<cl ssh> -g <groupes>
<limitation dip> -f]
-s : la langue affiche lutilisateur : en (par dfaut) ou fr .

-a : nom de la procdure dauthentification associer lutilisateur, local si authentification WAB.
-l : nom du profil associer lutilisateur.
-k : cl publique de lutilisateur pour les connexions SSH.
-g : liste de groupes spars par des virgules
-i : adresse IP source restrictive
-f : force lutilisateur changer son mot de passe
wab> add_user -n martin -r "Pierre Martin" -m martin@wallix.com -p jk_Uyz5=36
-l user -a local -g linux-admin -i 192.168.10.35
*** Success ***
10.3.1.13. add_user_group
Cration dun groupe dutilisateurs.
Usage : add_user_group -n <nom du groupe> [-t <nom de la plage horaire>
-d <description>]
wab> add_user_group -n linux-admin -d "Administrateurs Linux" -t allthetime
*** Success ***
10.3.1.14. add_user_in_user_group
Ajout dun utilisateur dans un groupe dutilisateurs.
112

Usage : add_user_in_user_group -u <utilisateur> -g <groupe>
wab> add_user_in_user_group -u martin -g linux-admin
*** Success ***
10.3.2. Commandes de modification change_

10.3.2.1. change_password (u)
Change le mot de passe de lutilisateur courant.
Usage : change_password
wab> change_password
Old Password :
New Password :
New Password (for verification) :
*** Success ***
Pour des raisons de confidentialit, les caractres entrs au clavier ne saffichent pas.
Note :
Il est impossible de changer le mot de passe du compte admin avec cette commande.
10.3.2.2. change_user_password
Change le mot de passe dun utilisateur.
Usage : change_user_password -u <utilisateur> [-p <nouveau mot de passe>]
wab> change_user_password -u martin
New Password:
New Password (again):
*** Success ***
Pour des raisons de confidentialit, les caractres entrs au clavier ne saffichent pas.
10.3.3. Commandes de suppression del_

10.3.3.1. del_acl
Suppression dune autorisation daccs dun groupe dutilisateurs.
Usage : del_acl -g <groupe utilisateur> -t <groupe de cible>
wab> del_acl -g linux-admin -t linux-server
*** Success ***
10.3.3.2. del_authentication
Suppression dune procdure dauthentification.
Usage : del_authentication -n <authentification>
113

wab> del_authentication -n MyLdaps
*** Success ***
10.3.3.3. del_current_connection (a)

Suppression dune connexion active. Cette commande provoque la dconnexion de lutilisateur
avec un message linformant que la connexion a t interrompue.
Usage : del_current_connection -i <connection_id>
wab> del_current_connection -i 1453
*** Success ***
10.3.3.4. del_habilitation_rights
Suppression dun profil.
Usage : del_habilitation_rights -n <nom>
wab> del_habilitation_rights -n full_system_admin
*** Success ***
10.3.3.5. del_notification
Suppression dune notification.
Usage : del_notification -n <nom>
wab> del_notification -n sec_conn_failures
*** Success ***
10.3.3.6. del_target
Suppression dun compte cible dun service dun quipement.
Usage : del_target -n <compte@quipement:service>
wab> del_target -n root@asterix:SSH_22
*** Success ***
10.3.3.7. del_target_group
Suppression dun groupe de comptes cibles.
Usage : del_target_group -n <nom du groupe>
wab> del_target_group -n linux-server
*** Success ***
10.3.3.8. del_target_in_target_group
Suppression dun compte cible dun groupe de comptes cibles.
Usage : del_target_in_target_group -g <groupe>
-n <compte@quipement:service>
wab> del_target_in_target_group -g linux-server -n root@asterix:SSH_22
114

*** Success ***
10.3.3.9. del_timeframe
Suppression dune plage horaire.
La plage ne doit tre attache aucun groupe dutilisateurs.
Usage : del_timeframe -n <nom>
wab> del_timeframe -n presta
*** Success ***
10.3.3.10. del_timeframe_in_user_group
Suppression dune plage horaire dun groupe dutilisateurs.
Usage : del_timeframe_in_user_group -t <nom de la plage> -g <groupe>
wab> del_timeframe_in_user_group -t presta -g groupe_des_prestas
*** Success ***
10.3.3.11. del_timeframe_period
Suppression dune priode dune plage horaire. La priode est dsigne par son id que lon
obtient par la commande list_timeframe_period.
Usage : del_timeframe_period -i <id> -t <nom de la plage>
wab> del_timeframe_period -i 1 -t presta
*** Success ***
10.3.3.12. del_user
Suppression dun utilisateur.
Usage : del_user -n <identifiant>
wab> del_user -n martin
*** Success ***
10.3.3.13. del_user_group
Suppression dun groupe dutilisateurs.
Usage : del_user_group -n <nom>
wab> del_user_group -n groupe_des_prestas
*** Success ***
10.3.3.14. del_user_in_user_group
Suppression dun utilisateur dun groupe dutilisateurs.
Usage : del_user_in_user_group -u <utilisateur> -g <groupe>
wab> del_user_in_user_group -u martin -g linux-admin
*** Success ***
115
10.3.4. Commandes de consultation list_

10.3.4.1. list_acl
Liste les protocoles autoriss pour chaque groupe dutilisateurs.
Usage : list_acl
wab> list_acl
Users group : linux-admin
------------------------------------------------------------------------------linux-server SSH_SHELL_SESSION,SSH_REMOTE_COMMAND,SSH_SCP_UP,SSH_SCP_DOWN,
SSH_X11_SESSION,SFTP_SESSION,TELNET
Users group : windows-admin
------------------------------------------------------------------------------windows-server - RDP
*** Success ***
10.3.4.2. list_authentication
Liste des procdures dauthentification utilisateurs
Usage : list_authentication
wab> list_authentication
Name
| Type | Host
| Port | Base
| Kerber... | Anonymous | Login
-------------------------------------------------------------------------------local
| 0
| localhost | 389 | ou=WAB... | None
| TRUE
|
ldap-corp | 1
| ldap.i... | 389 | ou=Peo... |
| TRUE
|
-------------------------------------------------------------------------------*** Success ***
10.3.4.3. list_current_connections (a)

Liste les connexions courantes
Usage : list_current_connections
wab> list_current_connections
Id
| User Name
| Target
| Started
| Src Protocol | Dst Protocol
-------------------------------------------------------------------------------1453 | admin@myh.... | admin@WAB | 1342195736.24 | SSH
| WABConsole
-------------------------------------------------------------------------------*** Success ***
10.3.4.4. list_dev_protocol
Liste des protocoles par quipement.
Usage : list_dev_protocol
wab> list_dev_protocol
asterix
------------------------------------------------------------------------------* SSH_SHELL_SESSION / 22
* SSH_REMOTE_COMMAND / 22
116

*
*
*
*
*
SSH_SCP_UP / 22
SSH_SCP_DOWN / 22
SSH_X11_SESSION / 22
SFTP_SESSION / 22
TELNET / 22
obelix
------------------------------------------------------------------------------* SSH_SHELL_SESSION / 22
win2003
------------------------------------------------------------------------------* RDP / 3389
*** Success ***
10.3.4.5. list_device
Liste des quipements et de leurs caractristiques.
Usage : list_device
wab> list_device
Name
| IP
| Alias
| Description
| SSH Fingerprint
-------------------------------------------------------------------------------asterix | 192.168.0.10
|
| Intranet server | None
obelix
| 192.168.0.11
|
|
| 54:ca:e9:f1:...
win2003 | exchange.mycor... |
| Mail Server
| None
-------------------------------------------------------------------------------*** Success ***
10.3.4.6. list_device_access (d)

Liste des comptes cibles et des plage horaires autorises pour lutilisateur courant.
Usage : list_device_access
wab> list_device_access
wabadmin@obelix from 00:00 to 23:59
root@asterix from 00:00 to 23:59
administrateur@win2003 from 00:00 to 23:59
*** Success ***
10.3.4.7. list_habilitation_rights
Liste des profils utilisateurs.
Pour les valeurs de la colonne Flag , voir la commande add_habilitation_rights.
Usage : list_habilitation_rights
wab> list_habilitation_rights
Name
| Flag
-------------------------------------------------------------------------------user
| 1
auditor
| 2
WAB_administrator
| 26623
system_administrator
| 2048
117

disabled
| 0
full_system_admin
| 28671
-------------------------------------------------------------------------------*** Success ***
10.3.4.8. list_notification
Liste des notifications dfinies.
Usage : list_notification
wab> list_notification
Name
| Description
| Recipients
-------------------------------------------------------------------------------critical_cnx
| Echecs de connexions secondaires | wabadmin@mycorp.lan
raid_failures
| Panne disque dur
| sysadmin@mycorp.lan
-------------------------------------------------------------------------------*** Success ***
10.3.4.9. list_notification_type
Liste des types de notifications disponibles.
Usage : list_notification_type
wab> list_notification_type
WAB authentication failure
Critical device account connection
New SSH key fingerprint saved
Bad SSH key fingerprint detected
HA error
RAID error
Secondary connection failure
Integrity Error
Password expired
Pattern(s) matched in RDP flow
Pattern(s) matched in SSH flow
No available space on external storage
No space to record session
Ask password target device
License warning
Daily reporting
*** Success ***
10.3.4.10. list_protocol
Liste des protocoles disponibles.
Usage : list_protocol
wab> list_protocol
SSH
RDP
VNC
HTTP
HTTPS
RLOGIN
118

TELNET
*** Success ***
10.3.4.11. list_target
Liste des comptes cibles dfinis.
Usage : list_target
wab> list_target
Name
| Login
| Device
| Service
|
-------------------------------------------------------------------------------root@asterix:SSH_22
| root
| asterix
| SSH_22
|
wabadmin@obelix:SSH_2242
| wabadmin
| obelix
| SSH_2242
|
administrateur@win2003:RD... | administrateur | win2003
| RDP_3389
|
-------------------------------------------------------------------------------*** Success ***
10.3.4.12. list_target_group
Liste des groupes de comptes cibles et de leurs caractristiques.
Usage : list_target_group
wab> list_target_group
Name
| Description
|
------------------------------------------------------------------------------linux-server
|
|
windows-server
|
|
------------------------------------------------------------------------------*** Success ***
10.3.4.13. list_target_in_target_group
Liste des comptes dun groupe de comptes cibles.
Usage : list_target_in_target_group -g <nom du groupe>
wab> list_target_in_target_group
windows-server
------------------------------------------------------------------------------administrateur@win2003
*** Success ***
10.3.4.14. list_timeframe
Liste des plages horaires dfinies.
Les priodes composant la plage horaire ne sont pas affiches. Il faut pour cela utiliser la commande
list_timeframe_period.
Usage : list_timeframe
wab> list_timeframe
Name
| Description
| Attached Period
-------------------------------------------------------------------------------allthetime
|
| YES
presta
|
| YES
119

-------------------------------------------------------------------------------*** Success ***
10.3.4.15. list_timeframe_period
Liste des plages horaires dfinies et de leurs priodes.
LID dune priode est ncessaire la commande del_timeframe_period.
Usage : list_timeframe_period
wab> list_timeframe_period
allthetime
-------------------------------------------------------------------------------ID | Start Date
| End Date
| Start Time
| End Time
| Week Mask
-------------------------------------------------------------------------------1
| 2010-01-01
| 2099-12-30
| 00:00
| 23:59
| YYYYYYY
-------------------------------------------------------------------------------presta
-------------------------------------------------------------------------------ID | Start Date
| End Date
| Start Time
| End Time
| Week Mask
-------------------------------------------------------------------------------1
| 2010-06-01
| 2010-06-30
| 14:00
| 19:00
| YYYYYNN
-------------------------------------------------------------------------------*** Success ***
10.3.4.16. list_user
Liste des utilisateurs du WAB.
Usage : list_user
wab> list_user
Name
| Real Name
| Authentication
| Profile | Groups
------------------------------------------------------------------------------robert
| Jacques Robert | local
| user
| linux-admin, w... |
martin
| Pierre Martin | local
| user
| linux-admin, w... |
------------------------------------------------------------------------------*** Success ***
10.3.4.17. list_user_from_group
Liste des utilisateurs dun groupe dutilisateurs.
Usage : list_user_from_group -g <nom du groupe>
wab> list_user_from_group -g windows-admin
Name
| Real Name
| Authentication
| Profile | Groups
------------------------------------------------------------------------------robert
| Jacques Robert| local
| user
| windows-admin, l... |
martin
| Pierre Martin | local
| user
| linux-admin, w...
|
------------------------------------------------------------------------------*** Success ***
10.3.4.18. list_user_group
Liste des groupes dutilisateurs.
120

Usage : list_user_group
wab> list_user_group
Name
| Description
| Timeframes
------------------------------------------------------------------------------linux-admin
| Administrateurs Linux
| allthetime
windows-admin
| Administrateurs Windows
| allthetime
groupe-des-prestas
| Prestataires externes
| presta
------------------------------------------------------------------------------*** Success ***
10.3.5. Autres commandes

10.3.5.1. import_ldap_users
Importe des utilisateurs depuis un annuaire LDAP.
Usage : import_ldap_users -H
-p
-b
-a
-g
-t
-l
[-D
-w
-c
<serveur ldap>
<port ldap>
<dn de base>
<attribut login>
<groupe des utilisateurs>
<authentification des utilisateurs>
<profil des utilisateurs>
<login ldap>
<mot de passe ldap>
-A -e]
-c : mode test, aucune importation nest ralise.

-A : importe lintgralit de lannuaire.
-e : mode mise jour, les utilisateurs existants sont mis jour.
wab> import_ldap_users -H ldaps.mycorp.lan -p 636
-b "ou=linuxadm,dc=mycorp,dc=lan" -a uid -g linux-admins -t MyLdaps -l user
*** Success ***
10.3.5.2. user_rights
Liste les comptes cibles autoriss pour un ou tous les utilisateurs.
Usage : user_rights [-u <utilisateur>]
wab> user_rights -u martin
User Name: martin
------------------------------------------------------------------------------wabadmin@obelix:SSH_22 (SSH_SHELL_SESSION,SSH_REMOTE_COMMAND,SSH_SCP_UP,SSH_...)
root@asterix:SSH_22 (SSH_SHELL_SESSION,SSH_REMOTE_COMMAND,SSH_SCP_UP,SSH_SCP...)
administrateur@win2003:RDP_3389 (RDP)
*** Success ***
10.3.5.3. watch_session (a)

Visionnage denregistrements de sessions Shell
Usage : watch_session [-u <utilisateur> -d <compte@quipement:service>
121

-i <session_id> -p <fichier> -s <vitesse>]
-i : numro de la session visionner

-p : nom du fichier correspondant lenregistrement visionner
-s : rgle la vitesse daffichage
Cette commande permet de :
lister tous les enregistrements de sessions disponibles.
lister seulement certains enregistrements grce aux filtres -u et -d
lancer le visionnage dun enregistrement en le dsignant par le fichier correspondant (option -p)
ou par son numro de session (option -i).
Exemples :
watch_session : liste tous les enregistrements disponibles.
wab> watch_session
ID | Start Time
| Duration | Wab User | IP Source | Destination
-------------------------------------------------------------------------------29 | 2010-05-27 13:31:00 | 0:03:14 | robert
| 127.0.0.1 | root@asterix
28 | 2010-05-27 11:58:11 | 0:00:06 | martin
27 | 2010-05-27 11:57:57 | 0:00:05 | martin
| 127.0.0.1 | wabadmin@obelix
*** Success ***
watch_session -d *@asterix : liste les enregistrements associs lquipement asterix .

wab> watch_session -d *@asterix
ID | Start Time
-------------------------------------------------------------------------------29 | 2010-05-27 13:31:00 | 0:03:14 | robert
28 | 2010-05-27 11:58:11 | 0:00:06 | martin
*** Success ***
watch_session -u martin : liste les enregistrements associs lutilisateur martin .

wab> watch_session -u martin
ID | Start Time
-------------------------------------------------------------------------------28 | 2010-05-27 11:58:11 | 0:00:06 | martin
27 | 2010-05-27 11:57:57 | 0:00:05 | martin
| 127.0.0.1 | wabadmin@obelix
*** Success ***
Note :
Plus la valeur du paramtre speed est leve, plus laffichage est lent.
10.3.6. Exemple dutilisation de la console

Voici une dcouverte rapide de ces commandes travers un exemple concret dutilisation.
Nous disposons de cinq machines :
2 machines Windows nommes winxp et win2008
122

2 machines Unix nommes jupiter et saturne
1 machine Linux nomme asterix
Voici la liste des comptes disponibles pour lensemble de ces machines :
winxp
administrateur
sam
win2008
administrateur
jupiter
root
oracle
saturne
root
eddy
db2
asterix
root
Et les protocoles disponibles :

win2008 est accessible en RDP et Telnet
winxp est accessible en RDP
saturne est accessible en rlogin
jupiter et asterix sont accessibles en SSH
Les quipements et les services sont cres implicitement grce la commande add_target qui
sert ajouter les comptes cibles :
wab> add_target -n administrateur@winxp:RDP_3389 -i 192.168.0.15 -d "Windows XP
Salle 1" -P RDP -S RDP -p 3389 -x "45_=%%iop/AAzP" -D "Compte admin"
*** Success ***
wab> add_target -n root@asterix:SSH_22 -i 192.168.0.10 -d "Serveur Linux" -P SSH
-S SSH_SHELL_SESSION -p 22 -x "A9%!I_mEA?zQ" -D "Compte root"
*** Success ***
wab> ...
wab> list_device
Name
|IP
|Alias
|Description
|SSH Fingerprint
------------------------------------------------------------------------------asterix
|192.168.0.10
|
|Serveur Linux
|
jupiter
|192.168.0.12
|
|Serveur Solaris
|
saturne
|192.168.0.13
|
|Serveur AIX
|
win2008
|192.168.0.14
|
|Serveur Windows 2008|
winxp
|192.168.0.15
|
|Windows XP Salle 1 |
wab> list_target
Name
| Login
| Device
| Service
-----------------------------------------------------------------------------root@asterix:SSH_22
| root
| asterix
| SSH_22
oracle@jupiter:SSH_22
| oracle
| jupiter
| SSH_22
root@jupiter:SSH_22
| root
| jupiter
| SSH_22
db2@saturne:RLOGIN_513
| db2
| saturne
| RLOGIN_513
eddy@saturne:RLOGIN_513
| eddy
| saturne
| RLOGIN_513
root@saturne:RLOGIN_513
| root
| saturne
| RLOGIN_513
administrateur@win2008:RD... | administrateur | win2008
| RDP_3389
123

administrateur@win2008:TE... | administrateur | win2008
administrateur@winxp:RDP_... | administrateur | winxp
sam@winxp:RDP_3389
| sam
| winxp
| TELNET_23
| RDP_3389
| RDP_3389
Il est ensuite ncessaire de placer les comptes cibles dans des groupes de comptes cibles.
Les comptes cibles disponibles sur les quipements correspondent aux attributions suivantes :
administrateur systme
administrateur base de donnes
utilisateur
Do la ncessit de crer trois groupes de comptes cibles :
sys_admin
:
administrateur@winxp:RDP_3389,
administrateur@win2008:RDP_3389,
administrateur@win2008:TELNET_23, root@jupiter:SSH_22, root@saturne:RLOGIN_513,
root@asterix:SSH_22
db_admin : oracle@jupiter:SSH_22, db2@saturne:RLOGIN_513
user : sam@winxp:RDP_3389, eddy@saturne:RLOGIN_513
Ces groupes de comptes cibles sont crs laide de la commande add_target_group :
wab> add_target_group -n sys_admin -d "Administrateurs systmes"
wab> add_target_group -n db_admin -d "Administrateurs BdD"
wab> add_target_group -n user -d "Utilisateurs"
On ajoute ensuite chaque

add_target_in_target_group :
wab>
wab>
wab>
wab>
wab>
wab>
wab>
wab>
wab>
wab>
compte
-g
-g
-g
-g
-g
-g
-g
-g
-g
-g
cible
aux
groupes
laide
de
la
commande
sys_admin -n root@jupiter:SSH_22
sys_admin -n root@saturne:RLOGIN_513
sys_admin -n root@asterix:SSH_22
sys_admin -n administrateur@win2008:RDP_3389
sys_admin -n administrateur@win2008:TELNET_23
sys_admin -n administrateur@winxp:RDP_3389
db_admin -n db2@saturne:RLOGIN_513
db_admin -n oracle@jupiter:SSH_22
user -n eddy@saturne:RLOGIN_513
user -n sam@winxp:RDP_3389
Les groupes de comptes cibles sont maintenant crs et les comptes cibles sont disponibles.
Ct utilisateurs, on autorise les comptes suivants :
ace : est le super utilisateur , il doit avoir accs tous les comptes.
sbz : doit avoir accs aux comptes permettant dadministrer les bases de donnes.
sam : doit avoir accs au compte sam en RDP
eddy : doit avoir accs au compte eddy sur la machine jupiter en SSH
Crons tout dabord les trois groupes dutilisateurs correspondant la politique dautorisations dfinie ci-dessus :
user_group
dba_group
124

admsys_group
Les groupes dutilisateurs sont crs laide de la commande add_user_group :
wab> add_user_group -n user_group "Groupe Utilisateurs" -t allthetime
wab> add_user_group -n dba_group "Groupe DBA" -t allthetime
wab> add_user_group -n admsys_group "Groupe admin systmes" -t allthetime
Note :
Lors de la cration dun groupe, il est ncessaire de lui associer une plage horaire (timeframe). Les plages horaires sont cres avec la commande add_timeframe . La plage
allthetime est la valeur par dfaut.
Crons et ajoutons ensuite les utilisateurs dans les groupes laide de la commande add_user :
wab>
wab>
wab>
wab>
wab>
wab>
add_user -n sbz -a local -l user -p hjYuuY_45 -g dba_group

add_user -n sam -a local -l user -p KK_-++0Zz -g user_group
add_user -n eddy -a local -l user -p %%456-z{3 -g user_group
add_user -n ace -a local -l admsys -p Mu4uU9&2C -g user_group
add_user_in_user_group -u ace -g dba_group
add_user_in_user_group -u ace -g admsys_group
Une fois les utilisateurs crs et placs dans les groupes, on y ajoute les autorisations daccs aux
groupes de comptes cibles. Ceci est ralis laide de la commande add_acl :
wab> add_acl -g admsys_group -d sys_admin -p SSH_SHELL_SESSION,TELNET,RLOGIN -r
-c
wab> add_acl -g dba_group -t db_admin -p SSH_SHELL_SESSION -r
wab> add_acl -g user -t user -p SSH_SELL_SESSION,RDP -r
Loption -c permet dindiquer si une connexion un des comptes autoriss par lautorisation doit
tre considre comme critique , cest--dire dclenchant lmission dune notification par email.
Loption -r indique que les sessions ouvertes sur ces comptes seront enregistres.
Enfin, il est ncessaire de dfinir une notification pour tre prvenu en cas douverture de session
sur un compte critique (comptes sys_admin) laide de la commande add_notification :
wab> add_notification -n connexions_critiques -d "Notification des connexions
critiques" -r wabadmin@mycorp.lan -v CRITICAL_ACCESS
125
Chapitre 11. WEB Services

Le wab possde une API afin de permettre lautomatisation de la gestion des utilisateurs, de
leurs groupes, de cibles et de leurs groupes et des autorisations. Cette API utilise la technologie
SOAP 1.1 et HTTPS. Le WSDL est disponible sur un WAB avec lURL suivante : https://<hostname>:7080/wws?wsdl. Un script, /etc/init.d/wabwebservice, permet de lancer et darrter le service. Celui-ci est lanc au dmarrage du WAB.
11.1. Authentification
Lauthentification Basic http est utilise. Le header doit tre prsent dans chaque requte.
Lusername et le password correspondent un utilisateur dclar du WAB.
Cet utilisateur doit bnficier des droits ncessaires ladministration du WAB, comme si les actions
taient effectues au travers de linterface utilisateur.
11.2. API
11.2.1. Pr-requis et conventions
Tous les arguments sont de types chane unicode, les listes sont reprsentes par une chane
dlments spars par des ','. Cest lutilisateur dutiliser des noms valides pour les numrations
du WAB, en particulier :
les profils dutilisateurs,
les mcanismes dauthentification,
les noms de protocoles/sous-protocoles,
les mcanismes dauthentification proxy
Les mthodes add/edit/del retournent None si laction sest droule correctement, sinon une exception. Les mthodes list retournent la liste des CN (user_name/target_name/
authorization_groups...) prsents en base et parfois dautres informations.
11.2.2. Mthodes fournies

user_add / user_edit(
user_name,
user_mail,
user_profile,
user_password,
user_lang,
user_realname,
user_ip,
user_groups (list),
user_auths (list),
126

user_changepwd,
user_pubkey
)
Ajoute ou dite un utilisateur
user_del(
user_name
)
Supprime un utilisateur
users_list()
Liste les utilisateurs
target_add / user_edit(
target_name ("account@equipement:service"),
target_groups (list),
device_host,
service_protocol,
service_subprotocols (list),
service_port,
account_password,
device_fingerprint,
device_description,
service_authmechanism,
account_description,
device_alias,
account_isAgentForwardable
)
Ajoute ou dite une cible
target_del(
target_name
)
Supprime une cible
targets_list()
Liste les cibles
devices_list()
Liste les quipements
user_group_del(
group_name
)
127

Supprime un groupe dutilisateurs
user_groups_list()
Liste les groupes dutilisateurs
target_group_del(
group_name
)
Supprime un groupe de cibles
target_groups_list()
Liste les groupes de cibles
authorization_add / authorization_edit(
user_group,
target_group,
authorization_desc,
authorization_subprotocols,
authorization_isCritical,
authorization_isRecorded
)
Ajoute ou dite une autorisation
authorization_del(
user_group,
target_group
)
Supprime une autorisation
authorizations_list()
Liste les autorisations
resource_am_add / resource_am_edit(
resource_name,
am_groups,
device_host,
service_protocol,
service_subprotocols,
service_port,
device_fingerprint,
device_description,
service_authmechanism,
device_alias
)
128

Ajoute ou dite une ressource, accde par account mapping (correspondance de compte)
dans un groupe. Le groupe est cr sil nexiste pas.
resource_am_del(
resource_name,
groupe_name
)
Retire la ressource du groupe group_name si un groupe est prcis sinon supprime la ressource
11.3. Exemple
Cet exemple affiche la liste des utilisateurs, cibles et autorisations dun WAB dont ladresse IP est
fournie en paramtre.
#!/usr/bin/python -O
# -*- coding: utf-8 -*#
# Copyright (c) 2011 WALLIX, SARL. All rights reserved.
#
"""
Global tests for the wabwebservice.* modules
"""
from ZSI.ServiceProxy import ServiceProxy from ZSI.auth import AUTH
from M2Crypto import SSL
SSL.Connection.clientPostConnectionCheck = None
def main(wab_ip = "192.168.0.5", user = u"admin", password = u"admin"):
url = "https://%s:7080/wws" % wab_ip
service = ServiceProxy("%s/?wsdl" % url, url = url, force = True, auth
= (AUTH.httpbasic, user, password))
print "== Listing =="
print "Users:"
print service.users_list()
print "Targets:"
print service.targets_list()
print "Authorizations:"
print service.authorizations_list()
print
print "== Adds =="
print "jdoe user add (password = jdoe_password):"
print service.user_add(
user_name = u"jdoe",
user_realname = u'John Doe',
user_profile = u"user",
user_groups = u"test_grp,users_linux",
user_password = u" jdoe_password ",
user_auths = u'local'
)
print "Target add (localhost wabadmin):"
129

print service.target_add(
target_name = u"wabadmin@local:mon_ssh",
target_groups = u"test_grp,machines_linux",
device_host = u"127.0.0.1",
service_protocol = u"SSH",
service_subprotocols = u"SSH_SHELL_SESSION",
service_port = u"2242",
account_password = u"SecureWabAdmin"
)
print "Authorization add:"
print service.authorization_add(
user_group = u"users_linux",
target_group = u"machines_linux",
authorization_subprotocols = u"SSH_SHELL_SESSION",
authorization_isRecorded = u"True",
)
print "Done!"
if __name__ == "__main__":
import sys
if len(sys.argv) != 4:
print "usage: %s wab_ip wab_user wab_password" % sys.argv[0]
sys.exit(1)
main(*sys.argv[1:])
130
Chapitre 12. Compatibilits

Veuillez vous rfrer au document Release Notes pour vrifier la compatibilit de WAB 4.1 avec
diffrents clients ou cibles.
131
Chapitre 13. Limitations

Veuillez vous rfrer au document Release Notes pour vrifier la liste des limitations, fonctions
manquantes et bogues connus de WAB 4.1.
132
Chapitre 14. Dfinitions

ACLs
Acronyme pour Access Control List (liste de contrle daccs). Se

dit dun systme permettant de grer de manire fine les accs une
ressource (que celle-ci soit un quipement, un fichier, etc...).
Connexion primaire
Connexion initie entre un utilisateur et le WAB.
Connexion secondaire
Connexion initie entre le WAB et un compte cible.
Authentification locale
Authentification pilote par le WAB, par mot de passe, par certificat

X509 ou par cl SSH.
Authentification externe
Authentification pilote par un annuaire externe au WAB.
Domaine ressources
Zone de confiance forte (zone scurise o laccs aux quipements

se fait travers le WAB).
Domaine utilisateurs
Zone de confiance faible (accs ouvert vers linternet ).
Scnario de connexion
Scnario permettant dautomatiser une connexion vers un quipement ne proposant pas de protocoles supportant lenvoi automatis
des accrditations (SSH, RDP).
133
Index
tat du systme, 17
Symboles
Grappe, 79
Groupe
de comptes cibles, 3, 39
dutilisateurs, 3, 22
GUI, 72
${PASSWORD}, 78
${USER}, 78
A
Account Mapping (voir Correspondance
comptes)
Accrditations admin, 36
ACLs, 3
Audit
Systme, 17
WAB, 10
Authentification externe, 53, 133
Authentification locale, 133
authorizations_list, 128
authorization_add, 128
authorization_del, 128
authorization_edit, 128
Autorisations, 3, 9, 45
de
H
Haute-Disponibilit, 99
High Availability (voir Haute-Disponibilit)
Historique
authentifications, 14
connexions, 11
HTTP, 2, 44
HTTPS, 2, 10, 44, 72
I
Importer
annuaires, 28
quipements et comptes cibles, 43
utilisateurs, 25
Chiffrement, 63, 70
Cible
compte (voir Compte cible)
ressource (voir Ressource)
Cisco, 39
Cl de licence (voir Licence)
Cluster (voir Grappe)
Compte cible, 2, 3, 30, 33
Configuration
proxys, 50
Systme, 63
WAB, 51
Connexion primaire, 133
Connexion secondaire, 133
Correspondance de comptes, 41, 129
Criticit, 3
(voir aussi Autorisations)
(voir aussi Notifications)
Notifications, 55
Domaine ressources, 2, 133

Domaine utilisateurs, 2, 133
Domaines LDAP/AD, 55
Enregistrement de session, 13, 63

(voir aussi Autorisations)
quipement, 3, 30
Paramtres de connexion, 62
Plage horaire, 3, 51
Politique de mot de passe, 58
Journaux, 17, 18
K
Kerberos, 54
keytab
Kerberos, 54
L
Langue, 8
Licence, 69
M
Master, 99
Mcanisme dauthentification, 43
Mots de passe secondaires, 59
Options denregistrements, 63
134

Profils, 48
R
RAM, 17
RDP, 2, 9, 10, 11, 13, 14, 44, 47, 72, 72
Rebond (voir Serveur de rebond)
Rseau, 63
resource_am_add, 128
resource_am_del, 129
resource_am_edit, 128
Ressource, 30
Restaurer, 73
RLOGIN, 2, 43, 44
S
Sauvegarder, 73
Scnario de connexion, 85, 133
Serveur de rebond, 77
Service de Temps, 64
Services WAB, 71
Session
Visualisation temps rel, 11
SFTP_SESSION, 44
Signature, 63
Slave, 99
SMTP, 68
SNMP, 67
sous-rseau, 50
SSH, 2, 10, 11, 14, 44, 72
SSHADMIN, 72
SSH_REMOTE_COMMAND, 44
SSH_SCP_UP, SSH_SCP_DOWN, 44
SSH_SHELL_SESSION, 44
SSH_X11_SESSION, 44
Statistiques, 15
Stockage Distant, 65
SWAP, 17
Syslog, 66
user_groups_list, 128
user_group_del, 127
Utilisateur, 3, 18, 18
V
virtuelle
IP, 99
VNC, 2, 44
W
WABServices, 73
WEBSERVICE, 72
X
X509, 90
T
targets_list, 127
target_add, 127
target_del, 127
target_groups_list, 128
target_group_del, 128
TELNET, 2, 43, 44
transparent, 50
U
users_list, 127
user_add, 126
user_del, 127
user_edit, 126, 127
135

WAB Admin Guide FR

Transféré par

Informations du document

Description :

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Description :

Droits d'auteur :

Formats disponibles

WAB Admin Guide FR

Titre original :

Transféré par

Description :

Droits d'auteur :

Formats disponibles

Wallix AdminBastion 4.

Wallix AdminBastion 4.1

Wallix AdminBastion 4.1 - Guide dAdministration

Wallix AdminBastion 4.1: Guide dAdministration

Wallix AdminBastion 4.1 - Guide dAdministration

Table des matires

Wallix AdminBastion 4.1 - Guide dAdministration

3.12.4. Notifications ....................................................................................................

Wallix AdminBastion 4.1 - Guide dAdministration

Wallix AdminBastion 4.1 - Guide dAdministration

Liste des illustrations

Wallix AdminBastion 4.1 - Guide dAdministration

Wallix AdminBastion 4.1 - Guide dAdministration

1.2. Copyright, Licences

1.4. propos de ce document

Wallix AdminBastion 4.1 - Guide dAdministration

2.2. Positionnement du WAB dans linfrastructure rseau

Wallix AdminBastion 4.1 - Guide dAdministration

Figure 2.1. Wallix AdminBastion dans linfrastructure rseau

2.3. Concepts des ACLs du WAB

2.4. Mise en production

Wallix AdminBastion 4.1 - Guide dAdministration

Wallix AdminBastion 4.1 - Guide dAdministration

Chapitre 3. Interface dadministration

Figure 3.1. cran de connexion du WAB

Wallix AdminBastion 4.1 - Guide dAdministration

Figure 3.2. Page daccueil du WAB (profil administrateur)

3.2. Arborescence du menu

Modification des prfrences utilisateurs

Affiche les autorisations dun utilisateur et raccourcis daccs aux ressources

Liste et fermeture des connexions

Historique des connexions

Liste des connexions termines

Historique des authentifications Historique des authentifications primaires

Visualisation de ltat du systme

Contenu du fichier /var/log/syslog

Contenu du fichier /var/log/auth.log

Contenu du fichier /var/log/messages local

Gestion des utilisateurs WAB

Wallix AdminBastion 4.1 - Guide dAdministration

Gestion des groupes dutilisateurs

Import dutilisateurs (fichier csv et

Gestion des quipements cibles

Gestion des applications cibles

Gestion des comptes cibles

Gestion des grappes de serveurs

Gestion des groupes de comptes

Gestion des autorisations

Gestion des autorisations entre les

Import dautorisations. (fichier csv)

Gestion des profils utilisateurs

Dfinition des profils utilisateurs

Import des profils utilisateurs (fichier csv).

des Proxy RDP

de Gestion du changement de mots de

Paramtres du proxy RDP

Gestion des plages horaires

Intgration des comptes Utilisateurs avec des annuaires LDAP ou

Gestion du mcanisme de notification