Vous êtes sur la page 1sur 45

Wallix AdminBastion 5.0.

4 – Guide de l'Utilisateur

Guide de l'Utilisateur
Wallix AdminBastion 5.0.4

Copyright © 2017 Wallix

https://doc.wallix.com/fr/wab/5.0/WAB-user-guide
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Table des matières


1. Introduction ............................................................................................................................ 4
1.1. Préambule ................................................................................................................... 4
1.2. Copyright, Licences ..................................................................................................... 4
1.3. Légende ...................................................................................................................... 4
1.4. À propos de ce document ........................................................................................... 4
2. Principes Généraux ............................................................................................................... 6
2.1. WAB Session Manager ............................................................................................... 6
2.2. WAB Password Manager ............................................................................................ 7
2.3. Enregistrement de session .......................................................................................... 7
3. Utilisation de l'interface utilisateur graphique Web (GUI) ........................................................ 8
3.1. Menu « Mes préférences » ......................................................................................... 9
3.2. Menu « Mes autorisations » - Autorisations sur les sessions ..................................... 10
3.3. Menu « Mes autorisations » - Autorisations sur les mots de passe ............................ 12
3.4. Procédure d'approbation ........................................................................................... 12
3.4.1. Demande d'approbation sur les sessions ....................................................... 13
3.4.2. Demande d'approbation sur les mots de passe .............................................. 14
3.5. Authentification forte par certificat X509 .................................................................... 15
4. Connexion aux équipements cibles ...................................................................................... 17
4.1. Généralités ................................................................................................................ 17
4.2. Authentification par mot de passe ou par clé ............................................................ 17
4.2.1. Génération d'une clé sous Linux .................................................................... 18
4.2.2. Génération d'une clé sous Windows .............................................................. 19
4.3. Authentification simplifiée en mode X509 .................................................................. 22
4.4. Connexions SSH ....................................................................................................... 23
4.4.1. Spécificités SSH ............................................................................................. 23
4.4.2. Connexions SSH depuis un poste de travail sous Unix/Linux ......................... 23
4.4.3. Connexions SSH depuis un poste de travail Windows ................................... 29
4.5. Connexions RDP ...................................................................................................... 34
4.5.1. Spécificités RDP ............................................................................................ 34
4.5.2. Connexions RDP depuis un poste de travail Linux ......................................... 34
4.5.3. Connexions RDP depuis un poste de travail Windows (XP, Vista ou 7, 8 ou
10) ............................................................................................................................ 37
5. Gestion des demandes d'approbations ................................................................................ 41
6. Problèmes de connexion ..................................................................................................... 43
6.1. Généralités ................................................................................................................ 43
6.2. Session SSH muette ................................................................................................. 43
7. Contacter le Support Wallix AdminBastion ........................................................................... 45

2
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Liste des illustrations


3.1. Écran de connexion WAB ................................................................................................... 8
3.2. Page d'accueil WAB ........................................................................................................... 9
3.3. Page « Mes préférences » ................................................................................................ 10
3.4. Menu « Mes autorisations » - Page « Sessions » ............................................................. 11
3.5. Menu « Mes autorisations » - Page « Mots de passe » ..................................................... 12
3.6. Demande d'approbation (GUI WAB) ................................................................................. 14
3.7. Demande d'approbation (RDP Proxy) ............................................................................... 14
3.8. Écran de connexion WAB avec l'authentification X509 ...................................................... 16
4.1. Fenêtre PuTTY Key Generator ......................................................................................... 19
4.2. Fenêtre PuTTY Key Generator après génération de la clé ................................................ 20
4.3. Fenêtre Pageant Key List après ajout de la clé ................................................................ 21
4.4. Page Paramètres de FileZilla - Rubrique SFTP ................................................................ 22
4.5. Fenêtre PuTTY Configuration - Rubrique Session ............................................................ 29
4.6. Fenêtre PuTTY Configuration - Rubrique Connection ....................................................... 30
4.7. Filezilla - Fenêtre Gestionnaire de Sites ........................................................................... 31
4.8. Fenêtre WinSCP Login - Rubrique Session ...................................................................... 32
4.9. Fenêtre Préférences - Rubrique Transférer ....................................................................... 33
4.10. Fenêtre de connexion RDP ............................................................................................. 35
4.11. Fenêtre de connexion RDP pré-remplie .......................................................................... 36
4.12. Fenêtre du sélecteur RDP .............................................................................................. 36
4.13. Client Terminal Server .................................................................................................... 38
4.14. Fenêtre du sélecteur RDP .............................................................................................. 39
4.15. Paramètres de lancement du client MSTSC sous Windows 7 ......................................... 40
5.1. Page « Mes approbations en cours » ................................................................................ 41
5.2. Page du détail de la demande d'approbation .................................................................... 42
5.3. Page « Mon historique d'approbation » ............................................................................. 42
6.1. Désactivation du pseudo-terminal le TTY sous PuTTY ..................................................... 44

3
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Chapitre 1. Introduction
1.1. Préambule
Nous vous remercions d'avoir choisi Wallix AdminBastion, également appelé WAB.
WAB est commercialisé sous la forme de serveur dédié prêt à l'emploi ou sous la forme d'une
machine virtuelle pour environnements VMWare ESX 4.x et 5.x.
Les équipes Wallix ont apporté le plus grand soin à l'élaboration de ce produit et souhaitent qu'il
vous apporte entière satisfaction.

1.2. Copyright, Licences
Le présent document est la propriété de la société Wallix et ne peut être reproduit sans son accord
préalable.
Tous les noms de produits ou de sociétés citées dans le présent document sont des marques
déposées de leurs propriétaires respectifs.
Wallix AdminBastion est soumis au contrat de licence logicielle Wallix.
Wallix AdminBastion est basé sur des logiciels libres. La liste et le code source des logiciels sous
licence GPL et LGPL utilisés par Wallix AdminBastion sont disponibles auprès de Wallix. Pour les
obtenir, il suffit d'en faire une demande par internet en créant une requête à l'adresse https://
support.wallix.com ou par écrit à l'adresse suivante :

WALLIX
Service Support
250 bis, Rue du Faubourg Saint-Honoré
75008 PARIS
FRANCE

1.3. Légende
prompt $ commande à taper <paramètre à remplacer>
retour de la commande
sur une ou plusieurs lignes
prompt $

1.4. À propos de ce document


Ce document constitue le Guide de l'utilisateur de Wallix AdminBastion 5.0. Ce guide vous sera
utile si les règles techniques et organisationnelles de votre entreprise requièrent l'utilisation des
services de WAB pour accéder aux équipements que vous administrez (notamment les serveurs,
équipements réseau, équipements de sécurité et interfaces d'administration Web).
Ce guide vous aidera à :

• utiliser l'interface graphique Web, également appelée « GUI » (« Graphical User Interface »), pour
prendre connaissance de vos autorisations d'accès, changer votre mot de passe ou télécharger
votre clé SSH publique,

4
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

• utiliser vos outils de connexion habituels d'une manière compatible avec WAB.

5
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Chapitre 2. Principes Généraux
Le rôle de WAB consiste à :

• relayer vos connexions SSH ou RDP vers les équipements cibles


• contrôler vos connexions selon les autorisations définies dans votre profil
• enregistrer vos actions (option activée par l'administrateur WAB)

Pour que WAB puisse relayer vos connexions, vous devez vous identifier :

• soit avec votre identifiant et votre mot de passe pour les connexions à l'interface Web de WAB
depuis votre navigateur et pour les connexions aux équipements cibles via les proxys RDP,
• soit avec votre identifiant et votre mot de passe ou votre clé publique pour les connexions via
le proxy SSH.

Vos autorisations définissent :

• les équipements et les comptes cibles auxquels vous pouvez vous connecter,
• les équipements et les comptes cibles pour lesquels vous pouvez visualiser les mots de passe
• les protocoles de connexion que vous pouvez utiliser,
• les plages horaires pendant lesquelles vous pouvez vous connecter aux comptes cibles,
• une adresse IP source restrictive (facultatif).

Deux modes de connexion aux comptes cibles existent :

• le mode « auto logon » : la connexion au compte cible est automatique, vous n'avez pas besoin
de connaître le mot de passe associé
• le mode sans « auto logon » : la connexion au compte cible est manuelle, vous devez connaître
le mot de passe associé

Avertissement :
Dans le but de renforcer la sécurité des données échangées, le poste de l'utilisateur
doit disposer d'un certificat électronique utilisé par WAB pour s'authentifier auprès de
l'utilisateur lorsque ce dernier se connecte, et ce poste doit également être configuré pour
permettre l'authentification de WAB à l'aide de ce certificat.

2.1. WAB Session Manager


Cette fonctionnalité spécifique de WAB 5.0 est disponible selon les termes de votre contrat de
licence logicielle.

Elle vous permet notamment :

• d'identifier les utilisateurs connectés à des équipements donnés et contrôler leur activité :
les sessions sont visualisables via l'interface WAB ou téléchargeables afin d'être visualisées
localement sur votre poste de travail. Les sessions RDP sont visualisables en temps réel ;
• d'obtenir un accès direct à la ressource via des clients natifs tels que PuTTY, WinSCP, MSTC
ou OpenSSH.

6
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

2.2. WAB Password Manager


Cette fonctionnalité spécifique de WAB 5.0 est disponible selon les termes de votre contrat de
licence logicielle.

Elle vous permet notamment :

• de visualiser la liste des comptes cibles pour lesquels vous êtes autorisé(e) à visualiser/emprunter
le mot de passe,
• d'accéder aux informations d'identification du compte (identifiant, mot de passe et clé SSH).

2.3. Enregistrement de session
Comme annoncé à l'ouverture d'une connexion SSH et dans la mire de connexion RDP, WAB a la
capacité d'enregistrer les sessions utilisateurs (sauf les sessions X11).

Les commandes que vous entrez depuis votre poste de travail (clavier/souris) ainsi que les
réponses de l'équipement cible auquel vous êtes connecté et qui sont affichées sur votre écran
peuvent être stockées, puis consultées ultérieurement.

Cette fonctionnalité peut être activée et les enregistrements peuvent être visualisés à tout moment
par un administrateur WAB autorisé.

7
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Chapitre 3. Utilisation de l'interface
utilisateur graphique Web (GUI)
Pour accéder à la GUI, saisissez l'URL suivante dans la barre d'adresse de votre navigateur :
https://adresse_ip_de_wab ou https://<nom_de_wab>

Note :
Votre navigateur doit être configuré pour accepter les cookies et exécuter JavaScript.

L'adresse_ip_de_wab vous a été communiquée par votre administrateur WAB. Si cela n'est pas le
cas, vous pouvez utiliser le nom de domaine.
Puis connectez-vous avec les informations d'identification fournies par l'administrateur WAB :

• si votre administrateur WAB a activé l'authentification Kerberos, saisissez l'URL suivante dans
la barre d'adresse de votre navigateur :
https://adresse_ip_de_wab/iwab ou https://<nom_de_wab>/iwab
• si celui-ci vous a fourni un certificat X509, consultez la section 3.5, « Authentification forte par
certificat X509 »,
• sinon, entrez votre identifiant et votre mot de passe puis appuyez sur le bouton « Connexion » (le
champ « Identifiant » n'est pas sensible à la casse) sur l'écran suivant :

Figure 3.1. Écran de connexion WAB

Note :
La langue affichée sur cette page dépend des préférences linguistiques définies dans
votre navigateur. Une fois connecté(e), la langue sera celle que vous aurez configuré
dans vos préférences d'utilisateur WAB (voir Section 3.1, « Menu « Mes préférences » »).

Si la connexion réussit, l'écran suivant est affiché :

8
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Figure 3.2. Page d'accueil WAB


Sur la partie gauche de la page, un menu montre les différentes actions possibles. Le menu peut
être différent selon votre profil utilisateur et vos privilèges.

3.1. Menu « Mes préférences »


Cette page permet de modifier vos paramètres personnels. Il y est possible de :

• modifier votre mot de passe,


• modifier la langue préférée (pour l'affichage de la GUI et des messages sur les proxys),
• modifier votre adresse e-mail de contact,
• télécharger une clé publique SSH,

• transférer une clé publique SSH,

Avertissement :
Cette clé doit être au format OpenSSH. Sinon, un message d'erreur s'affiche.
Si vous utilisez PuTTYgen pour générer la clé, vous devez enregistrer dans un fichier
texte la clé publique affichée au format Open SSH lors de la génération. A titre
d'exemple, cette clé est libellée comme suit :
« ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEA0yR9lBQov6[.....]c3xu9p/xNjw==
rsa-key-20151204 »
Vous pouvez alors charger cette clé dans la zone « Clé publique SSH » sur cette page.
Si une clé existe déjà, vous pouvez charger une clé privée en utilisant PuTTYgen pour
générer la clé publique correspondante au bon format.

• charger une clé GPG.

Note :
La zone permettant le changement de mot de passe n'est pas accessible sur cette page
lorsque votre authentification est de type externe (par exemple, votre authentification est
liée à un annuaire d'entreprise ou un KDC Kerberos)

9
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Selon le paramétrage de WAB, il est nécessaire de modifier votre mot de passe :

• lorsque l'expiration de votre mot de passe est imminente : un message signalant la prochaine
expiration de votre mot de passe est affiché lors de votre connexion à la GUI ;
• lors de la modification initiale du mot de passe pour autoriser l'accès de WAB aux équipements.

Un mot de passe peut être rejeté (selon un paramétrage établi par l'administrateur WAB) dans
certains cas :

• si le mot de passe figure dans la liste des mots de passe interdits par l'administrateur WAB,
• si le mot de passe est trop court ou ne contient pas assez de caractères spéciaux, chiffres ou
majuscules,
• si le mot de passe est identique à l'identifiant utilisateur,
• si le mot de passe est identique à l'un des précédents mots de passe.

Figure 3.3. Page « Mes préférences »

3.2. Menu « Mes autorisations » - Autorisations


sur les sessions
Avertissement :
L'entrée « Sessions  » du menu « Mes autorisations  » peut être utilisée lorsque la
fonctionnalité WAB Session Manager est associée à votre clé de licence (voir Section 2.1,
« WAB Session Manager »).

Depuis la page « Sessions » sur le menu « Mes autorisations », vous pouvez visualiser la liste des
cibles auxquelles vous êtes autorisé(e) à vous connecter.

10
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Sur chaque ligne, vous pouvez accéder à la cible en cliquant sur l'une des icônes suivantes :

• : cette icône vous permet de télécharger un fichier de configuration (RDP, WABPutty sous
Windows ou SSH sous d'autres systèmes) que vous pouvez sauvegarder pour établir une
connexion depuis un client RDP ou SSH (suffixe du nom de fichier .puttywab sous Windows et
.sh sous Linux). Dans ce cas, le mot de passe WAB est requis pour la connexion.
• : (« Accès immédiat (mot de passe valable une fois, limité dans le temps) ») : cette icône vous
permet d'ouvrir le fichier pour établir une connexion immédiate depuis un client RDP (suffixe du
nom de fichier .rdp sous Windows et .sh sous Linux). Dans ce cas, aucun mot de passe n'est
requis mais l'accès est autorisé pour une durée limitée. Cette icône est également affichée pour
une connexion à une application.
• : (« Accès immédiat avec WABPutty (mot de passe valable une fois, limité dans le temps) ») :
cette icône vous permet d'ouvrir le fichier pour établir une connexion immédiate depuis un
client SSH (suffixe du nom de fichier .puttywab sous Windows et .sh sous Linux). Dans ce cas,
aucun mot de passe n'est requis mais l'accès est autorisé pour une durée limitée. Veuillez voir
également Section 4.4.2.1, « Options sur les login primaires pour les protocoles SCP et SFTP »
pour l'authentification SSH.

Pour pouvoir utiliser les fichiers .puttywab sous Windows, il faut auparavant télécharger et
installer l'application WABPutty à partir du lien « Télécharger WABPutty » affiché dans le haut
de cette page. L'installation prend en charge l'association des fichiers afin que l'application
soit démarrée automatiquement. L'installation ne nécessite pas de privilèges d'administration.
Cependant l'installation est uniquement fonctionnelle pour l'utilisateur connecté et non pour
l'ensemble des utilisateurs du poste de travail.

Figure 3.4. Menu « Mes autorisations » - Page « Sessions »

Si une procédure d'approbation a été définie pour autoriser la connexion à la cible, cliquez sur «
Demande » dans la colonne « Approbation » afin de notifier les approbateurs et obtenir l'accès à
la cible. Pour plus d'informations, voir Section 3.4, « Procédure d'approbation ».

11
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

3.3. Menu « Mes autorisations » - Autorisations


sur les mots de passe
Avertissement :
L'entrée « Mots de passe  » du menu « Mes autorisations  » peut être utilisée lorsque
la fonctionnalité WAB Password Manager est associée à votre clé de licence (voir
Section 2.2, « WAB Password Manager »).

Depuis la page « Mots de passe » sur le menu « Mes autorisations », vous pouvez visualiser la liste
des comptes cibles pour lesquels vous êtes autorisé(e) à visualiser/emprunter le mot de passe.

Sur chaque ligne, vous pouvez :

• soit visualiser le mot de passe du compte en cliquant sur « Afficher » au début de la ligne. Dans
ce cas, le verrouillage du compte a été désactivé au niveau de la politique d'emprunt associée
à ce compte cible,
• soit emprunter le mot de passe du compte en cliquant sur « Emprunter » au début de la ligne.
Dans ce cas, le verrouillage du compte a été activé au niveau de la politique d'emprunt associée à
ce compte cible. Dans la fenêtre vous permettant d'afficher le mot de passe, il est alors nécessaire
de cliquer sur le bouton « Restitution » pour restituer le compte avant la fin de la durée d'emprunt.
Néanmoins, le compte sera automatiquement restitué à la fin de cette durée. La durée d'emprunt
a été définie au niveau de la politique d'emprunt.

Figure 3.5. Menu « Mes autorisations » - Page « Mots de passe »

Si une procédure d'approbation a été définie pour autoriser l'accès au mot de passe de la cible,
cliquez sur « Demande  » dans la colonne « Approbation  » afin de notifier les approbateurs et
obtenir l'accès au mot de passe de la cible. Pour plus d'informations, voir Section 3.4, « Procédure
d'approbation ».

3.4. Procédure d'approbation
Lorsqu'une procédure d'approbation a été définie pour autoriser la connexion à la cible ou l'accès
au mot de passe de la cible, vous devez formuler une demande afin de notifier les approbateurs
et obtenir l'accès.

12
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

3.4.1. Demande d'approbation sur les sessions


Depuis la page « Sessions » sur le menu « Mes autorisations », cliquez sur « Demande » dans
la colonne « Approbation » afin de notifier les approbateurs et obtenir l'accès à la cible. La page
« Demande d'approbation » s'affiche alors pour vous permettre de formuler votre demande (voir
Figure 3.6, « Demande d'approbation (GUI WAB) »).

La page « Demande d'approbation » recense les champs suivants :

• une date de début. Par défaut, il s'agit de la date actuelle.


• une heure de début. Par défaut, il s'agit de l'heure actuelle.
• une durée, exprimée en heures et en minutes
• un commentaire pour renseigner le motif de la demande d'approbation. Ce champ est affiché si
l'option correspondante a été activée lors de la définition de l'autorisation.
• une référence de ticket. Ce champ est affiché si l'option correspondante a été activée lors de la
définition de l'autorisation.

Les demandes en cours sont listées au bas de la page comme le montre Figure 3.4, « Menu «
Mes autorisations » - Page « Sessions » ». En cliquant sur l'icône bloc-notes au début de la ligne,
il est possible d'annuler la demande (« en cours » ou « accepté ») et d'envoyer un e-mail à tous
les approbateurs concernés.

Une demande valide (dont la durée n’est pas encore expirée) peut être dans l'un des statuts
suivants:

• une demande est au statut « accepté » lorsque le quorum (c'est-à-dire le nombre minimum de
réponses favorables requises pour l'autorisation) a été atteint,
• une demande est au statut « rejeté » et par la suite invalidée dès qu’un approbateur la rejette.
L’utilisateur est alors notifié par courrier électronique du refus et du motif du rejet.
• une demande est au statut « en cours » tant que le quorum n'a pas été atteint et qu’elle n’a pas
été rejetée.

Si la demande n’est plus valide, elle est alors au statut « fermé » et il n’est plus possible pour un
approbateur de répondre à la demande.

Lorsqu'une demande est acceptée, il est possible de démarrer une nouvelle session tant que
la durée de la demande n'est pas dépassée. Lors de cette période, il est également possible
de redémarrer la session à de multiples reprises. Il n'est pas donc pas nécessaire de laisser la
connexion initiale ouverte.

Si la session doit débuter immédiatement (avec un client SSH ou RDP), le proxy propose également
un formulaire pour envoyer une demande, comme le montre Figure 3.7, « Demande d'approbation
(RDP Proxy) », lorsque qu'une cible nécessitant une approbation a été choisie.

13
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Figure 3.6. Demande d'approbation (GUI WAB)

Figure 3.7. Demande d'approbation (RDP Proxy)

3.4.2. Demande d'approbation sur les mots de passe


Depuis la page « Mots de passe » sur le menu « Mes autorisations », cliquez sur « Demande »
dans la colonne « Approbation » afin de notifier les approbateurs et obtenir l'accès au mot de passe
de la cible. La page « Demande d'approbation » s'affiche alors pour vous permettre de formuler
votre demande (voir Figure 3.6, « Demande d'approbation (GUI WAB) »).

La page « Demande d'approbation » recense les champs suivants :

• une date de début. Par défaut, il s'agit de la date actuelle.


• une heure de début. Par défaut, il s'agit de l'heure actuelle.
• une durée, exprimée en heures et en minutes
• un commentaire pour renseigner le motif de la demande d'approbation. Ce champ est affiché si
l'option correspondante a été activée lors de la définition de l'autorisation.
• une référence de ticket. Ce champ est affiché si l'option correspondante a été activée lors de la
définition de l'autorisation.

Les demandes en cours sont listées dans le bas de la page « Mots de passe » (voir Figure 3.5,
« Menu « Mes autorisations » - Page « Mots de passe » ».) En cliquant sur l'icône bloc-notes au
début de la ligne, il est possible d'annuler la demande (au statut « en cours » ou « accepté ») et
d'envoyer un e-mail à tous les approbateurs concernés.

Une demande valide (dont la durée n’est pas encore expirée) peut être dans l'un des statuts
suivants:

14
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

• une demande est au statut « accepté » lorsque le quorum (c'est-à-dire le nombre minimum de
réponses favorables requises pour l'autorisation) a été atteint,
• une demande est au statut « rejeté » et par la suite invalidée dès qu’un approbateur la rejette.
L’utilisateur est alors notifié par courrier électronique du refus et du motif du rejet.
• une demande est au statut « en cours » tant que le quorum n'a pas été atteint et qu’elle n’a pas
été rejetée.

Si la demande n’est plus valide, elle est alors au statut « fermé » et il n’est plus possible pour un
approbateur de répondre à la demande.

Lorsqu'une demande est acceptée, il est possible d'accéder au mot de passe de la cible tant que
la durée de la demande n'est pas dépassée.

3.5. Authentification forte par certificat X509


WAB permet l'authentification par certificat X509 sur la GUI si votre administrateur l'a autorisé pour
votre compte utilisateur.

Dans ce cas votre administrateur doit vous fournir un certificat, soit sous forme de certificat logiciel
soit sous forme de médium physique (clé USB, carte à puce, etc.).

Si votre certificat est stocké sous forme physique, vous devez d'abord insérer le médium pour que
le certificat soit disponible dans le système.

S'il s'agit d'un fichier, vous devez d'abord importer ce certificat dans le navigateur pour que
l'authentification puisse l'utiliser. La manière de procéder dépend du navigateur :

• Sous Firefox, sélectionnez le menu « Outils  » | « Options  », ouvrez l'onglet « Avancé  » | «


Certificats », cliquez sur le bouton « Afficher les certificats »», puis sur l'onglet « Vos certificats »
cliquez sur le bouton « Importer ».
• Sous Chrome, cliquez sur l'icône « Personnaliser et contrôler Chrome  » à côté de la barre
d'adresse, sélectionnez « Paramètres » dans le menu, en bas de la page cliquez sur « Afficher
les paramètres avancés » , puis dans la section « HTTPS/SSL » cliquez sur le bouton « Gérer
les certificats » et, enfin, sur l'onglet « Personnel » cliquez sur le bouton « Importer ».
• Sous Internet Explorer, sélectionnez le menu « Outils  » | « Options Internet  », sur l'onglet «
Contenu  » cliquez sur le bouton « Certificats », puis sur l'onglet « Personnel  » cliquez sur le
bouton « Importer... » et suivez les indications de l'assistant.

Si le mode d'authentification X509 est activé, l'écran de connexion suivant est affiché :

15
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Figure 3.8. Écran de connexion WAB avec l'authentification X509

Vous pouvez alors :

• soit entrer un identifiant et un mot de passe puis cliquer sur le bouton « Connexion » de la partie
« Authentification par mot de passe » comme décrit au début de ce chapitre ;
• soit cliquer directement sur le bouton « Connexion » de la partie « Authentification par certificat
X509  ». Dans ce cas votre navigateur vous demandera de choisir un certificat (si vous en
avez plusieurs et que le navigateur n'a pas précédemment mémorisé votre choix) puis vous
demandera éventuellement de saisir le mot de passe de ce certificat. Si le certificat a été associé
à un compte WAB, vous serez immédiatement authentifié et connecté sous cette identité.

Note :
Si votre certificat est stocké sous forme physique, la carte à puce ou la clé USB doit
être insérée pendant toute la phase d'authentification.

Tant que vous resterez connecté sur la GUI en utilisant l'authentification par certificat X509, un
mode d'authentification alternatif sera disponible sur les sessions lancées directement via un
client SSH ou RDP (voir Section 4.3, « Authentification simplifiée en mode X509 »).

16
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Chapitre 4. Connexion aux équipements


cibles
4.1. Généralités
Entre WAB et les équipements cibles (zone de confiance), des connexions SSH, RDP, VNC,
TELNET et RLOGIN peuvent être établies.

Entre les postes de travail et WAB (zone hostile), seuls les protocoles chiffrés SSH et RDP sont
admis.

WAB vous permet de continuer à utiliser vos outils habituels tels que des clients SSH en mode
texte ou graphique, ou des clients RDP sur plate-forme Unix, Windows ou Mac OS X.

Toutefois, la forme de la ligne de commande et/ou le paramétrage du client graphique peuvent


légèrement différer pour prendre en compte l'indirection introduite par WAB (voir les sections ci-
dessous).

4.2. Authentification par mot de passe ou par


clé
WAB permet les authentifications SSH de type « local » par mot de passe ou par clé. Dans le cas
d'une authentification par clé, aucun mot de passe n'est demandé par WAB lors d'une connexion
SSH.

Toutefois, l'utilisateur doit toujours fournir son mot de passe pour les connexions à l'interface Web
d'administration de WAB (GUI) et vers les équipements RDP, sauf si l'administrateur WAB a activé
l'authentification Kerberos ou a fourni un certificat X509.

Note :
La clé publique SSH de l'utilisateur doit être entrée soit par l'administrateur via l'interface
Web d'administration, soit par l'utilisateur via la page «  Mes Préférences  » (voir
Section 3.1, « Menu « Mes préférences » »).

Le mécanisme d'authentification par clé SSH permet également l'utilisation d'un agent résident
sur le poste client. Celui-ci permet de conserver les paramètres d'authentification et ainsi de ne
demander qu'une seule fois le mot de passe de protection des clés, au démarrage de l'agent ou
à la première utilisation de la clé. La clé peut alors être réutilisé par la suite sans avoir à re-saisir
le mot de passe à chaque fois. L'utilisation de l'agent se fait de manière transparente avec tous
les clients qui le supportent.

L'utilisation de l'agent d'authentification permet aussi en option de transférer les paramètres


d'authentification du client sur WAB afin qu'il puisse les utiliser pour l'authentification vers les cibles.
Cette fonctionnalité permet donc l'utilisation des clés privées du client par WAB sans qu'il y ait
besoin de re-saisir de mot de passe ni que WAB ait connaissance de ces clés privées. Pour cela,
il faut la plupart du temps activer explicitement l'option lors du lancement des clients car ceux-ci ne
l'activent généralement pas par défaut pour des raisons de sécurité.

17
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Note :
Certains clients qui supportent l'utilisation d'agents ne supportent pas l'option de transfert
d'authentification.

4.2.1. Génération d'une clé sous Linux


Pour générer et utiliser une clé de chiffrement avec openSSH sous Linux, vous pouvez suivre la
procédure décrite ci-dessous.

Il est également possible d'utiliser le fichier ~/.ssh/id_rsa qui est l'identité utilisée par défaut
par toutes les commandes OpenSSH. Dans ce cas, si ce fichier existe déjà vous pouvez ignorer les
deux premières étapes et importer le fichier ~/.ssh/id_rsa.pub dans WAB (voir Section 3.1,
« Menu « Mes préférences » »).

Dans cet exemple, wab_rsa2048 identifie la clé privée mais vous pouvez utiliser n'importe quel autre
nom de fichier valide. Il est néanmoins recommandé que cette clé soit stockée dans le répertoire
.ssh de votre dossier HOME.

1. Exécutez la commande suivante sur un terminal pour générer la paire de clés publique et
privée :

$ ssh-keygen -t rsa -f ~/.ssh/wab_rsa2048


Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/martin/.ssh/wab_rsa2048.
Your public key has been saved in /home/martin/.ssh/wab_rsa2048.pub.

Vous pouvez également utiliser le paramètre -b TAILLE pour modifier la taille de la clé. La
taille par défaut d'une clé RSA dans la version actuelle de ssh-keygen est de 2048 bits, ce qui
représente une valeur raisonnable. Pour un usage au delà de 2030, une clé de 4096 bits est
toutefois recommandée.
2. Importez le fichier ~/.ssh/wab_rsa2048.pub dans WAB. Reportez-vous pour cela
Section 3.1, « Menu « Mes préférences » ».
3. Si vous n'utilisez pas d'agent d'authentification, les commandes « ssh », « scp » et « sftp »
utiliseront directement soit la clé de l'identité par défaut ~/.ssh/id_rsa, soit la clé privée
passée en argument avec le paramètre -i CLÉ, par exemple :

$ ssh -t -i ~/.ssh/wab_rsa2048 -l root@asterix:martin wab.mycorp.lan


Enter passphrase for key '/home/martin/.ssh/wab_rsa2048':
4. Si vous utilisez un agent d'authentification, vous devrez importer la clé privée à chaque
redémarrage de l'agent :

$ ssh-add ~/.ssh/wab_rsa2048
Enter passphrase for /home/martin/.ssh/wab_rsa2048:
Identity added: /home/martin/.ssh/wab_rsa2048 (/home/martin/.ssh/wab_rsa2048)

Vous pourrez alors vous connecter au proxy SSH sans avoir besoin d'entrer de nouveau
le mot de passe ni de passer le paramètre -i sur la ligne de commande (SSH essaiera
automatiquement toutes les identités ajoutées dans l'agent).

• Lancez votre connexion SSH (voir Section 3.1, « Menu « Mes préférences » »).

18
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

4.2.2. Génération d'une clé sous Windows


Pour générer avec PuTTY et utiliser une clé de chiffrement SSH sous Windows, vous pouvez suivre
la procédure décrite ci-dessous.

Dans cet exemple, wab_rsa2048 identifie la clé privée mais vous pouvez utiliser n'importe quel
nom de fichier valide.

1. Lancez PuTTYgen afin d 'afficher la fenêtre PuTTY Key Generator.


2. Dans la rubrique « Paramètres », changez les options comme suit pour générer une clé SSH-2
RSA de 2048 bits.

Note : Pour un usage au delà de 2030, une clé de 4096 bits est recommandée.

Figure 4.1. Fenêtre PuTTY Key Generator


3. Cliquez sur le bouton « Generate » (Générer) puis bougez la souris de manière aléatoire pour
ajouter de l'entropie.
4. Une fois la clé générée, entrez un mot de passe de votre choix dans le champ «  Key
passphrase  » (Mot de passe de la clé) et une deuxième fois dans le champ «  Confirm
passphrase » (Confirmation du mot de passe).
5. Cliquez sur le bouton « Save private key » (Sauvegarder la clé privée) et enregistrez la clé dans
votre répertoire utilisateur, par exemple sous Mes documents\wab_rsa2048.ppk.
6. Sélectionnez le texte situé dans le cadre du champ «  Public key for pasting into OpenSSH
autorized_keys file  » (Clé publique à coller dans le fichier autorized_keys d'OpenSSH) (en
utilisant l'option « Select All » du menu contextuel appelé par le bouton droit de la souris ou en
pressant simultanément les touches Ctrl+A), puis copiez-le dans le presse-papiers (en utilisant
l'option « Copy » du menu contextuel ou en pressant simultanément les touches Ctrl+C).

19
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Figure 4.2. Fenêtre PuTTY Key Generator après génération de la clé


7. Créez un document texte vide en ouvrant le Bloc-notes. Copiez-y le texte en utilisant le menu
contextuel ou en pressant simultanément les touches Ctrl+V. Enregistrez enfin ce document
contenant la clé publique, par exemple sous Mes documents\wab_rsa2048.pub.txt.
8. Fermez la fenêtre PuTTY Key Generator et le Bloc-notes.
9. Importez ce fichier de clé publique dans WAB. Reportez-vous Section  3.1, «  Menu « Mes
préférences » ».
10. Importez la clé privée dans votre client SSH pour l'utiliser lors de la connexion, en utilisant l'une
des méthodes suivantes :
• Si vous utilisez l'agent d'authentification Pageant :

Lancez Pageant (s'il n'est pas déjà lancé), puis double-cliquez sur son icône qui apparaît
dans la zone de notification de la barre des tâches de Windows : la fenêtre Pageant Key
List s'affiche. Cliquez sur le bouton « Add Key » et choisissez le fichier de la clé privée Mes
documents\wab_rsa2048.ppk en parcourant les répertoires.

20
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Figure 4.3. Fenêtre Pageant Key List après ajout de la clé

Vous pouvez alors vous connecter au proxy SSH avec PuTTY, PSCP, PSFTP, Filezilla ou
WinSCP (si ce dernier n'est pas configuré pour ne pas utiliser l'authentification Pageant).

Alternativement pour ajouter la clé vous pouvez simplement double cliquer sur le fichier de
la clé privée dans l'Explorateur de fichiers. Il faut pour cela que l'extension de fichier « .ppk »
ait été associée au programme Pageant.
• Si vous utilisez PuTTY sans Pageant :

Lancez PuTTY afin d'afficher la fenêtre PuTTY Configuration. Dans l'arborescence des
paramètres de configuration, choisissez la catégorie « Connection » | « SSH » | « Auth », puis
dans la section « Authentication parameters » cliquez sur le bouton « Browse » et choisissez
le fichier de la clé privée Mes documents\wab_rsa2048.ppk.

N'oubliez pas de sauvegarder les paramètres de configuration de la session si vous voulez


les réutiliser.
• Si vous utilisez PSCP ou PSFTP sans Pageant :

Ajoutez le paramètre -i CLÉ sur la ligne de commande.

$ pscp -scp -i "C:\Documents and Settings\martin\Mes documents\wab_rsa2048.ppk"


myfile martin@wab.mycorp.lan:root@asterix:/tmp
Passphrase for key "rsa-key-20120914":
• Si vous utilisez FileZilla sans Pageant :

Lancez FileZilla puis sélectionnez le menu « Édition » | « Paramètres » puis dans la liste
sélectionnez la page de la rubrique SFTP. Cliquez sur le bouton « Ajouter une clé privée »
et choisissez le fichier de la clé privée Mes documents\wab_rsa2048.ppk

21
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Figure 4.4. Page Paramètres de FileZilla - Rubrique SFTP


• Si vous utilisez WinSCP sans Pageant :
Lancez WinSCP. Sur la page de configuration de la « Session » (voir la figure 4.8, « Fenêtre
WinSCP Login - Rubrique Session »), cliquez sur le bouton « ... » dans le champ « Fichier
de clé privée » et sélectionnez le fichier Mes documents\wab_rsa2048.ppk.
11. Lancez votre connexion SSH (voir Section 4.4.3, « Connexions SSH depuis un poste de travail
Windows »).

Note :
Pour utiliser la fonctionnalité de transfert d'authentification par l'agent SSH, il est
nécessaire d'utiliser Pageant.

4.3. Authentification simplifiée en mode X509


WAB permet l'authentification par certificat X509 sur l'interface Web comme expliqué Section 3.5,
«  Authentification forte par certificat X509  ». Si vous êtes connecté(e) de cette manière, un
mécanisme d'authentification spécial s'applique aux sessions lancées à partir des clients qui se
connectent depuis la même adresse IP que celle depuis laquelle vous êtes connecté(e) à l'interface
Web  : le client se met en attente pendant qu'une fenêtre de confirmation apparaît dans votre
navigateur pour vous demander si vous autorisez la nouvelle connexion.
Si vous acceptez, la connexion se fera immédiatement sans avoir besoin d'utiliser de clé ou d'entrer
de mot de passe.
Si vous refusez ou ne répondez pas dans les 30 secondes, la connexion à WAB pour la session
souhaitée sera interrompue.

Avertissement :
Avec la plupart des clients, un message s'affiche sur l'interface Web pour vous informer
que WAB attend une confirmation. Ce n'est pas le cas si vous utilisez un client SCP ou
SFTP, qui restent en attente silencieusement car ils ne sont pas prévus pour afficher de
message du serveur.

Si vous désirez revenir au comportement normal d'authentification des proxys, il suffit de vous
déconnecter de l'interface Web.

22
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

4.4. Connexions SSH
4.4.1. Spécificités SSH
Le protocole SSH est divisé en sous-protocoles déterminant principalement les types de canaux
que la session est autorisée à ouvrir. Ceux-ci sont les suivants :

• SSH_SHELL_SESSION : autorise le démarrage des sessions shell,


• SSH_REMOTE_COMMAND : autorise l'exécution de commandes à distance,
• SSH_SCP_UP : autorise le transfert de fichiers vers l'équipement cible (transfert SCP depuis le
client vers le serveur),
• SSH_SCP_DOWN  : autorise le transfert de fichiers depuis l'équipement cible (transfert SCP
depuis le serveur vers le client),
• SSH_X11 : autorise l'affichage d'applications X11 s'exécutant sur un équipement cible,
• SFTP_SESSION : autorise le transfert de fichiers bi-directionnel via SFTP (session SFTP),
• SSH_DIRECT_TCPIP : autorise la redirection directe de port TCP/IP (depuis le client vers le
serveur),
• SSH_REVERSE_TCPIP : autorise la redirection inverse de port TCP/IP (depuis le serveur vers
le client),
• SSH_AUTH_AGENT : autorise le transfert d'authentification par agent (auth-agent multi-hops),

Chacun de ces sous-systèmes fait l'objet d'une autorisation spécifique sur WAB.
L'ouverture d'un shell distant ou le transfert d'un fichier peut vous être refusé si vous ne possédez
pas l'autorisation sur le sous-système concerné.

Note :
Certains clients réclament également l'autorisation SSH_SHELL_SESSION pour
effectuer le listing des répertoires quand il sont utilisés en mode SCP.
Certaines autorisations doivent être associées à d'autres pour fonctionner correctement :
- l'autorisation SSH_X11 doit être associée à SSH_SHELL_SESSION ou
SSH_REMOTE_COMMAND (au moins à l'une des deux),
- l'autorisation SSH_AUTH_AGENT doit être associée à SSH_SHELL_SESSION ou
SSH_REMOTE_COMMAND (au moins à l'une des deux),
- l'autorisation SSH_REVERSE_TCPIP doit être associée à SSH_SHELL_SESSION.

4.4.2. Connexions SSH depuis un poste de travail sous


Unix/Linux
La suite d'outils OpenSSH est la suite de clients SSH la plus généralement disponible sur Linux et
les différentes versions d'Unix, cette section décrit donc l'utilisation de WAB seulement avec celle-
ci. D'autres suites d'outils similaires peuvent être disponibles sur différents parfums d'Unix mais
présentent généralement les mêmes fonctionnalités. Veuillez vous référer dans ce cas à la page
de manuel correspondante pour vérifier la syntaxe correcte de votre suite particulière.
Les exemples qui suivent dans les sections 4.4.2.2 à 4.4.2.7 fonctionnent avec une authentification
par mot de passe ou par clé, avec ou sans agent d'authentification.

23
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

4.4.2.1. Options sur les login primaires pour les protocoles SCP et SFTP
Les protocoles SCP et SFTP ne permettant pas l'authentification en mode interactif sur un compte
secondaire, il est alors nécessaire de rajouter des options spécifiques au niveau de la connexion
primaire pour obtenir des invites sur la cible secondaire en utilisant le clavier interactif primaire.
Ceci suppose que le client supporte la méthode d'authentification par le clavier interactif.

Le point d'interrogation « ? » est un caractère interdit dans le login de l'utilisateur primaire mais il
peut être utilisé comme séparateur pour indiquer des options (à droite) demandant explicitement
une invite pour saisir un login et/ou mot de passe pour la cible.

L'option « p » demande un mot de passe secondaire.

L'option « l » demande un login secondaire.

Le point d'interrogation « ? » sans option demande par défaut un mot de passe secondaire.

Exemples:

login: “wabuser” : pas d'invite supplémentaire

login: “wabuser?” : invite de saisie du mot de passe secondaire

login: “wabuser?p” : invite de saisie du mot de passe secondaire

login : “wabuser?l” : invite de saisie du login secondaire

login : “wabuser?lp” : invite de saisie du login secondaire en premier, puis invite de saisie du mot
de passe secondaire.

4.4.2.2. Lancement de sessions shell


$ ssh -l root@asterix:OpenSSH:martin wab.mycorp.lan
martin's password:

• «  martin  » désigne un utilisateur déclaré dans WAB et ayant l'autorisation


« SSH_SHELL_SESSION ». Cet identifiant n'est pas sensible à la casse.
• « wab.mycorp.lan » est le FQDN de WAB.
• « root@asterix:OpenSSH » désigne le compte (root), la machine (asterix) et le service cible
(OpenSSH). Cette partie est sensible à la casse.

Note :
Selon la configuration mise en place par l'administrateur, il est possible qu'une
authentification soit demandée pour le compte root@asterix:OpenSSH.

La syntaxe alternative suivante est aussi acceptée pour raison de compatibilité, mais elle est
désapprouvée :

$ ssh -t martin@wab.mycorp.lan root@asterix:OpenSSH


martin's password:

Note :
L'option « -t » de la ligne de commande SSH est indispensable dans ce cas. Elle permet
l'allocation du pseudo-terminal nécessaire à l'affichage de la session.

24
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

S'il n'y a qu'un seul service SSH, TELNET ou RLOGIN déclaré sur la machine cible, le nom du
service peut être omis :

$ ssh -t martin@wab.mycorp.lan root@asterix


martin's password:

4.4.2.3. Exécution de commandes à distance


WAB permet de déclencher l'exécution de commandes à distance sur une ou plusieurs machines si
vous disposez de l'autorisation « SSH_REMOTE_COMMAND » (voir Section 4.4.1, « Spécificités
SSH »). La connexion automatique (« auto logon ») doit également être active sur le compte cible.

$ ssh -l root@asterix:OpenSSH:martin wab.mycorp.lan halt


martin's password:

ou en utilisant l'ancienne syntaxe désapprouvée :

$ ssh martin@wab.mycorp.lan root@asterix:OpenSSH halt


martin's password:

ou s'il n'y a qu'un seul service SSH, TELNET ou RLOGIN sur cette machine :

$ ssh martin@wab.mycorp.lan root@asterix halt


martin's password:

Ainsi, la commande « halt » est exécutée sur la machine « asterix », sans ouverture du shell.

4.4.2.4. Transfert de fichiers avec SCP


Pour transférer un fichier du client vers la cible :

$ scp myfile root@asterix+OpenSSH+martin@wab.mycorp.lan:/tmp


martin's password:

• « martin » désigne un utilisateur déclaré dans WAB et ayant l'autorisation « SSH_SCP_UP ».


Cet identifiant n'est pas sensible à la casse.
• «  root@asterix+OpenSSH  » désigne le compte (root), la machine (asterix) et le service
(OpenSSH). Cette partie est sensible à la casse. La connexion automatique (« auto logon ») doit
être active sur ce compte.

Pour transférer un fichier de la cible vers le client :

$ scp root@asterix+OpenSSH+martin@wab.mycorp.lan:/tmp/myfile /tmp


martin's password:

• «  martin  » désigne un utilisateur déclaré dans WAB et ayant l'autorisation


« SSH_SCP_DOWN ». Cet identifiant n'est pas sensible à la casse.
• «  root@asterix+OpenSSH  » désigne le compte (root), la machine (asterix) et le service
(OpenSSH). Cette partie est sensible à la casse. La connexion automatique (« auto logon ») doit
être active sur ce compte.

La syntaxe alternative suivante est aussi acceptée pour raison de compatibilité, mais elle est
désapprouvée :

$ scp myfile martin@wab.mycorp.lan:root@asterix:OpenSSH:/tmp

25
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

martin's password:

$ scp martin@wab.mycorp.lan:root@asterix:OpenSSH:/tmp/myfile /tmp


martin's password:

S'il n'y a qu'un seul service SSH déclaré sur la machine cible, le nom du service peut être omis :

$ scp myfile martin@wab.mycorp.lan:root@asterix:/tmp


martin's password:

$ scp martin@wab.mycorp.lan:root@asterix:/tmp/myfile /tmp


martin's password:

4.4.2.5. Transfert de fichiers avec SFTP


$ sftp root@asterix:OpenSSH:martin@wab.mycorp.lan
Connecting to wab.mycorp.lan...
martin's password:
sftp>

• « martin » désigne un utilisateur déclaré dans WAB et ayant l'autorisation « SFTP_SESSION ».


Cet identifiant n'est pas sensible à la casse.
• « root@asterix:OpenSSH » désigne le compte (root), la machine (asterix) et le service cible
(OpenSSH). Cette partie est sensible à la casse. La connexion automatique (« auto logon ») doit
être active sur ce compte.

S'il n'y a qu'un seul service SSH déclaré sur la machine cible, le nom du service peut être omis :

$ sftp root@asterix:martin@wab.mycorp.lan
Connecting to wab.mycorp.lan...
martin's password:
sftp>

4.4.2.6. Lancement des sessions X11


$ ssh -X -l root@asterix:OpenSSH:martin wab.mycorp.lan
martin's password:

• « martin » désigne un utilisateur déclaré dans WAB et ayant l'autorisation « SSH_X11 ». Cet
identifiant n'est pas sensible à la casse.
• « root@asterix:OpenSSH » désigne le compte (root), la machine (asterix) et le service cible
(OpenSSH). Cette partie est sensible à la casse.

L'option « -X » de la ligne de commande SSH indique à WAB que l'on souhaite initier une session
de type « X11 Forwarding » : les applications graphiques lancées sur l'équipement cible dans le
cadre de cette session s'afficheront sur le poste de travail.

La syntaxe alternative suivante est aussi acceptée pour raison de compatibilité, mais elle est
désapprouvée :

$ ssh -t -X martin@wab.mycorp.lan root@asterix:OpenSSH


martin's password:

S'il n'y a qu'un seul service SSH déclaré sur la machine cible, le nom du service peut être omis :

$ ssh -t -X martin@wab.mycorp.lan root@asterix

26
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

martin's password:

4.4.2.7. Se connecter sans connaître le nom de la cible


WAB permet de lister les équipements accessibles à un utilisateur. Il suffit pour cela de ne pas
préciser la cible dans la commande de connexion. Ceci n'est néanmoins possible qu'avec les
sessions interactives (shell ou X11).
La liste de ces équipements s'affiche en utilisant la commande suivante :
$ ssh -t martin@wab.mycorp.lan
martin's password:
| ID | Site (page 1/1)
|----|-----------------------------------
| 0 | root@centos:ssh_2222
| 1 | root@asterix:OpenSSH
Enter h for help, ctrl-D to quit

Vous pouvez alors sélectionner la cible souhaitée en saisissant son numéro.

4.4.2.8. Se connecter avec l'agent d'authentification


Si vous désirez utiliser l'agent d'authentification, vous devez le démarrer et y ajouter vos paramètres
d'authentification avant d'utiliser les commandes de connexion.

Note :
Dans certains environnements graphiques, un agent contenant toutes les identités de
l'utilisateur est déjà activé lors de la connexion. Les commandes décrites ci-dessous ne
sont alors pas nécessaires. C'est généralement le cas sur les distributions à base Debian
ou Ubuntu, mais pas sur les distributions à base RedHat. Cela peut toutefois varier selon
votre configuration.

Lancez d'abord l'agent résident dans votre session shell par la commande suivante ; celle-ci
ajoute la déclaration de l'agent dans l'environnement du shell de manière qu'il soit utilisable
automatiquement par les programmes compatibles :
$ eval $(ssh-agent)

Ajoutez ensuite une ou plusieurs identités à cet agent :


$ ssh-add CHEMIN_CLÉ_PRIVÉE
Enter passphrase for CHEMIN_CLÉ_PRIVÉE:

« CHEMIN_CLÉ_PRIVÉE » désigne le chemin de la clé privée de l'identité désirée, généralement


stockée dans le répertoire « ~/.ssh », par exemple « ~/.ssh/id_rsa ».
Vous pouvez alors utiliser l'une des commandes de connexion décrites dans les sections
précédentes (4.4.2.2 à 4.4.2.7) sans avoir à re-saisir le mot de passe. Celles-ci utiliseront
automatiquement l'agent pour les authentifications par clés tant qu'il sera disponible et déclaré dans
l'environnement du shell.

4.4.2.9. Se connecter en activant le transfert d'authentification


Si vous utilisez l'agent d'authentification, vous pouvez activer l'option de transfert d'authentification
si celle-ci est également activée dans WAB sur le compte cible voulu. Ceci n'est possible qu'avec
les sessions shell ou commande à distance, en ajoutant l'option « -A » comme ceci :

27
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

$ ssh -A -t martin@wab.mycorp.lan

L'option « -A » de la ligne de commande SSH indique à WAB que l'on souhaite initier une session
avec transfert d'authentification : si l'option est également activée dans la déclaration du compte
cible demandé, les paramètres d'authentification utilisés pour la connexion à WAB seront réutilisés
pour se connecter à la cible.

Avertissement :
Le transfert d'authentification n'est pas compatible avec les clés RSA de plus de 2048
bits et ne fonctionne pas si l'agent contient à la fois des identités RSA et DSA.

4.4.2.10. Se connecter via SCP avec le transfert d'authentification


Le client SCP d'OpenSSH n'est pas directement compatible avec le transfert d'authentification. Il
existe toutefois un moyen de le faire fonctionner au moyen d'un script wrapper et d'un script lanceur
qui passent les bonnes options à la commande SSH sous-jacente.

Créez, dans un répertoire de votre PATH, le fichier script lanceur nommé « scp-A » contenant ceci :

#!/bin/sh
scp -oForwardAgent=yes -S scp-A-wrapper "$@"

Créez ensuite dans le même répertoire le script wrapper « scp-A-wrapper » avec le contenu
suivant :

#!/usr/bin/perl
exec '/usr/bin/ssh', map {($_ =~ /^-oForwardAgent[ =]no$/) || ($_ eq '-a') ? (
) : $_} @ARGV;

Rendez ces deux fichiers exécutables avec la commande « chmod » :

$ chmod +x scp-A scp-A-wrapper

Vous pouvez alors utiliser le script lanceur « scp-A » en lieu et place de la commande « scp » :

$ scp-A myfile martin@wab.mycorp.lan:root@asterix:/tmp

$ scp-A martin@wab.mycorp.lan:root@asterix:/tmp/myfile /tmp

28
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

4.4.3. Connexions SSH depuis un poste de travail Windows


4.4.3.1. Session shell avec le logiciel PuTTY

Figure 4.5. Fenêtre PuTTY Configuration - Rubrique Session

1. Dans l'arborescence «  Category  », sélectionnez «  Session  » et saisissez les informations


suivantes dans la zone « Specify the destination you want to connect to » :
• Host Name: renseigner le FQDN ou l'adresse IP de WAB
• Port: saisir la valeur 22 (port d'écoute du proxy SSH de WAB)
2. Dans l'arborescence « Category », sélectionnez « Connection » | « Data » et entrez le nom
du compte cible, de l'équipement, du service cible et l'identifiant de l'utilisateur WAB dans le
champ « Auto-login username » (l'identifiant de l'utilisateur WAB n'est pas sensible à la casse,
contrairement aux autres champs) :

29
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Figure 4.6. Fenêtre PuTTY Configuration - Rubrique Connection

Avertissement :
PuTTY ne permet pas de sauvegarder le mot de passe de l'utilisateur. Celui-ci vous sera
demandé à la connexion si vous utilisez ce mode d'authentification.

Si vous désirez utiliser l'authentification par clé sans utiliser l'agent d'authentification, vous pouvez
également spécifier le fichier de clé privée dans le champ « Private key file for authentication »
accessible depuis l'arborescence en sélectionnant « Connection » | « SSH » | « Auth ». Cela ne
s'avère pas nécessaire si vous utilisez l'agent d'authentification.

Note :
Pour utiliser l'agent d'authentification (voir Section 4.4.3.5, « Se connecter avec l'agent
d'authentification  ») vous devez vous assurer que la case du champ «  Attempt
authentication using Pageant  » est bien cochée dans le panneau «  Connection  »  |
« SSH » | « Auth ».

4.4.3.2. Transfert de fichiers avec PSCP


C:\> pscp -scp myfile martin@wab.mycorp.lan:root@asterix:OpenSSH:/tmp
martin's password :

La commande ci-dessus permet de transférer le fichier «  myfile  » entre le poste local et le


répertoire «  /tmp » à l'aide du compte « root » sur l'équipement « asterix ». La connexion
automatique (« auto logon ») doit être active sur ce compte.

30
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

4.4.3.3. Transfert de fichiers avec FileZilla


Renseigner les informations suivantes dans la fenêtre Gestionnaire de sites (accessible depuis le
menu « Fichier », puis « Gestionnaire de Sites ») :

• Hôte : « wab.mycorp.lan » est le FQDN ou l'adresse IP de WAB.


• Port : 22 est le port d'écoute TCP du proxy SSH .
• Type de serveur : choisir « SFTP – SSH File Transfer Procotol »
• Type d'authentification : choisir « Normale »
• Utilisateur :
– «  martin  » désigne un utilisateur déclaré dans WAB et ayant l'autorisation
« SFTP_SESSION ». Cet identifiant n'est pas sensible à la casse.
– « root@asterix:OpenSSH » désigne le compte (root), la machine (asterix) et le service cible
(OpenSSH). Cette partie est sensible à la casse. La connexion automatique (« auto logon »)
doit être active sur ce compte.

S'il n'y a qu'un seul service SSH déclaré sur la machine cible, le nom du service peut être omis
comme ceci : « root@asterix »
• Mot de passe : mot de passe WAB de l'utilisateur « martin »

Figure 4.7. Filezilla - Fenêtre Gestionnaire de Sites

4.4.3.4. Transfert de fichiers avec WinSCP


Renseigner les informations suivantes dans la rubrique « Session » sur l'arborescence :

• Host name : wab.mycorp.lan est le FQDN ou l'adresse IP de WAB.


• Port number : 22 est le port d'écoute TCP du proxy SSH.
• User name :
– «  martin  » désigne un utilisateur déclaré dans WAB et ayant l'autorisation
« SFTP_SESSION ». Cet identifiant n'est pas sensible à la casse.
– « root@asterix:OpenSSH » désigne le compte (root), la machine (asterix) et le service cible
(OpenSSH). Cette partie est sensible à la casse. La connexion automatique (« auto logon »)
doit être active sur ce compte.

31
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

S'il n'y a qu'un seul service SSH déclaré sur la machine cible, le nom du service peut être omis
comme ceci : « root@asterix »
• Mot de passe : mot de passe WAB de l'utilisateur « martin
• File protocol : choisir « SFTP »

Figure 4.8. Fenêtre WinSCP Login - Rubrique Session

Dans la rubrique «  Préférences  », sélectionner « Transférer  » et renseigner les informations


suivantes :

• 1ère étape : cadre « Options d'envoi » :


– cochez la case du champ « Ignorer erreurs de permission »

• 2ème étape : cadre « Options courantes » :


– décochez la case du champ « Préserver la date »

Note :
Il faut impérativement effectuer les opérations mentionnées ci-dessus dans cet ordre. La
case « Préserver la date » une fois décochée empêche toute modification de la case
« Ignorer erreurs de permission ».

Note :
Pour utiliser l'agent d'authentification (voir Section  4.4.3.5, «  Se connecter avec
l'agent d'authentification  ») vous devez vous assurer que la case du champ
« Essayer l'authentification avec Pageant » est bien cochée dans le panneau « SSH/
Authentification » des « Options avancées ».

32
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Figure 4.9. Fenêtre Préférences - Rubrique Transférer

4.4.3.5. Se connecter avec l'agent d'authentification


Si vous désirez utiliser l'agent d'authentification, vous devez le démarrer et y ajouter vos paramètres
d'authentification avant d'utiliser PuTTY, WinSCP ou FileZilla.

Lancez d'abord l'agent d'authentification Pageant. Ajoutez ensuite une ou plusieurs identités à cet
agent. Cliquez pour cela avec le bouton droit de la souris sur l'icône de Pageant dans la zone de
notification de la barre des tâches et sélectionnez « Add key » dans le menu.

Vous pouvez alors utiliser l'un des programmes décrits dans les sections précédentes (4.4.3.1 à
4.4.3.4) sans avoir à re-saisir le mot de passe. Ceux-ci utiliseront automatiquement l'agent pour les
authentifications par clés tant qu'il sera disponible.

4.4.3.6. Se connecter avec PuTTY en activant le transfert d'authentification


Si vous utilisez l'agent d'authentification, vous pouvez utiliser l'option de transfert d'authentification
si celle-ci est également activée sur le compte cible voulu.

Dans l'arborescence « Category », sélectionnez « Connection » | « SSH » | « Auth », puis cochez


l'option « Allow agent forwarding » pour indiquer à WAB que l'on souhaite initier une session avec
transfert d'authentification : si l'option est également activée dans la déclaration du compte cible
demandé, les paramètres d'authentification utilisés pour la connexion à WAB seront réutilisés pour
se connecter à la cible.

Avertissement :
Le transfert d'authentification n'est pas compatible avec les clés RSA de plus de 2048
bits et ne fonctionne pas si l'agent contient à la fois des identités RSA et DSA.

33
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

4.5. Connexions RDP
4.5.1. Spécificités RDP
Le protocole RDP est divisé en sous-protocoles déterminant principalement les actions autorisées
pour la session. Ceux-ci sont les suivants :

• RDP_CLIPBOARD_UP : autorise le transfert de données via le presse-papiers depuis le client


vers la session RDP,
• RDP_CLIPBOARD_DOWN : autorise le transfert de données via le presse-papiers depuis la
session vers le client RDP,
• RDP_CLIPBOARD_FILE : autorise le transfert de fichier via le presse-papiers,
• RDP_PRINTER : autorise l'utilisation d'imprimantes locales lors de la session à distance,
• RDP_COM_PORT : autorise l'utilisation de ports locaux série et parallèle lors de la session à
distance,
• RDP_DRIVE : autorise l'utilisation de disques locaux lors de la session à distance,
• RDP_SMARTCARD : autorise l'utilisation des cartes à puces locales lors de la session à distance.

Chacun de ces sous-systèmes fait l'objet d'une autorisation spécifique sur WAB.

Le transfert de données via le presse-papiers ou l'utilisation de votre disque local lors de la session à
distance peut vous être refusé si vous ne possédez pas l'autorisation sur le sous-système concerné.

Note :
Certaines autorisations doivent être associées à d'autres pour fonctionner correctement :

- l'autorisation RDP_CLIPBOARD_FILE doit être associée à RDP_CLIPBOARD_UP pour


transférer un fichier via le presse-papiers depuis le client vers la session RDP,

- l'autorisation RDP_CLIPBOARD_FILE doit être associée à RDP_CLIPBOARD_DOWN


pour transférer un fichier via le presse-papiers depuis la session vers le client RDP.

4.5.2. Connexions RDP depuis un poste de travail Linux


Sous Linux, vous pouvez utilisez le client RDP rdesktop ou un équivalent. Ce document présente
l'utilisation de rdesktop.

$ rdesktop wab.mycorp.lan

La commande ci-dessus provoque l'affichage de la fenêtre suivante :

34
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Figure 4.10. Fenêtre de connexion RDP

Le champ «  Login  » doit contenir une expression de type


« administrateur@win2003:BureauDistant:martin » dans laquelle :

• « martin » désigne un utilisateur déclaré dans WAB ayant l'autorisation « RDP ». Cet identifiant
n'est pas sensible à la casse.
• «  administrateur@win2003:BureauDistant  » désigne le compte (administrateur), la machine
(win2003) et le service (BureauDistant) d'une cible déclarée sur WAB auquel l'utilisateur
« martin » a accès. Cette partie est sensible à la casse.

S'il n'y a qu'un seul service RDP ou VNC déclaré sur la machine cible, le nom du service peut
être omis comme ceci : « administrateur@win2003 ».

Le champ « Mot de passe » doit être renseigné avec le mot de passe WAB de l'utilisateur « martin ».

Un clic sur l'icône en forme de flèche établit la connexion avec la machine distante et la session
Windows apparaît sur votre poste de travail.

Il est également possible de renseigner le paramètre « login » sur la ligne de commande rdesktop
avec la ligne de commande suivante :

$ rdesktop -u administrateur@win2003:BureauDistant:martin wab.mycorp.lan

La fenêtre ci-dessous s'affiche alors :

35
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Figure 4.11. Fenêtre de connexion RDP pré-remplie

Il ne reste plus alors qu'à renseigner le champ « Mot de passe » et cliquer sur l'icône en forme de
flèche pour établir la connexion avec la machine distante.

Il est également possible d'indiquer uniquement un nom d'utilisateur WAB. On accède alors à une
page intermédiaire qui affiche la liste des serveurs accessibles :

Figure 4.12. Fenêtre du sélecteur RDP

La fenêtre du sélecteur RDP affiche les informations suivantes :

• toutes les ressources accessibles,


• le groupe auxquelles elles appartiennent,

36
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

• le type de serveur distant (VNC ou RDP)

Si un serveur accessible appartient à différents groupes, plusieurs entrées correspondant à la


même ressource distante apparaîtront dans la liste. Si la liste est longue, il est possible d'appliquer
un filtre sur le groupe, le compte ou le protocole pour affiner la recherche.

Il suffit alors de sélectionner le serveur désiré en mettant en surbrillance la ligne correspondante


puis, cliquer sur le bouton « Connecter » pour accéder au serveur distant.

Avant la connexion à l'équipement proprement dite, différentes boîtes de dialogue peuvent être
affichées et/ou demander confirmation à l'utilisateur. L'utilisateur peut ainsi être prévenu que sa
session est enregistrée, que son mot de passe va bientôt expirer, où de l'heure à laquelle la
connexion sera coupée automatiquement.

Note :
Voici quelques options utiles pour rdesktop :

• -u permet de saisir le login

• -g 1024x768 permet de choisir la résolution désirée (remplacez 1024x768 par la


taille désirée).

• -a 24 permet de choisir la profondeur de couleur (bits par pixel). Les valeurs


supportées sont 8, 15, 16 et 24

• -0 permet de se connecter à la console du poste distant

4.5.3. Connexions RDP depuis un poste de travail Windows


(XP, Vista ou 7, 8 ou 10)
L'ouverture d'une session RDP depuis un poste de travail Windows peut s'opérer selon deux
modes : depuis l'interface Web ou directement depuis le client Terminal Server (fenêtre « Connexion
bureau à distance »).

4.5.3.1. Connexion depuis l'interface Web de WAB (GUI)


Dans la page « Sessions » dans le menu « Mes autorisations », vous pouvez accéder à la cible
en cliquant sur l'une des icônes suivantes (pour les comptes cibles de type RDP) au début de la
ligne souhaitée :

• : cette icône vous permet de télécharger un fichier de configuration que vous pouvez
sauvegarder sur votre poste de travail afin d'établir une connexion depuis un client RDP. Dans
ce cas, le mot de passe WAB est requis pour la connexion.
• : cette icône vous permet d'ouvrir le fichier pour établir une connexion immédiate depuis un
client RDP puis, d'accéder à la machine distante. Dans ce cas, aucun mot de passe n'est requis
mais l'accès est autorisé pour une durée limitée.

4.5.3.2. Connexion depuis le client Terminal Server


Pour se connecter au proxy RDP de WAB grâce au client Terminal Server :

37
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Figure 4.13. Client Terminal Server

Un clic sur le bouton « Connexion » fait apparaître la mire comme le montre Figure 4.10, « Fenêtre
de connexion RDP ».

Le champ «  Login  » doit contenir une expression de type


« administrateur@win2003:BureauDistant:martin » dans laquelle :

• « martin » désigne un utilisateur déclaré dans WAB ayant l'autorisation « RDP ». Cet identifiant
n'est pas sensible à la casse.
• «  administrateur@win2003:BureauDistant  » désigne le compte (administrateur), la machine
(win2003) et le service (BureauDistant) d'une cible déclarée sur WAB et auquel l'utilisateur
« martin » a accès. Cette partie est sensible à la casse.

S'il n'y a qu'un seul service RDP ou VNC déclaré sur la machine cible, le nom du service peut
être omis comme ceci : « administrateur@win2003 ».

Le champ « Mot de passe » doit être renseigné avec le mot de passe WAB de l'utilisateur « martin ».

Un clic sur l'icône en forme de flèche établit la connexion avec la machine distante et la session
Windows apparaît sur votre poste de travail.

Il est également possible d'indiquer uniquement un nom d'utilisateur WAB. On accède alors à une
page intermédiaire qui affiche la liste des serveurs accessibles :

38
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Figure 4.14. Fenêtre du sélecteur RDP

La fenêtre du sélecteur RDP affiche les informations suivantes :

• toutes les ressources accessibles,


• le groupe auxquelles elles appartiennent,
• le type de serveur distant (VNC ou RDP)

Si un serveur accessible appartient à différents groupes, plusieurs entrées correspondant à la


même ressource distante apparaîtront dans la liste. Si la liste est longue, il est possible d'appliquer
un filtre sur le groupe, le compte ou le protocole pour affiner la recherche.

Il suffit alors de sélectionner le serveur désiré en mettant en surbrillance la ligne correspondante


puis, cliquer sur le bouton « Connecter » pour accéder au serveur distant.

Avant la connexion à l'équipement proprement dite, différentes boîtes de dialogue peuvent être
affichées et/ou demander confirmation à l'utilisateur. L'utilisateur peut ainsi être prévenu que sa
session est enregistrée, que son mot de passe va bientôt expirer, où de l'heure à laquelle la
connexion sera coupée automatiquement.

Note :
Il est également possible de se connecter sur la console distante. Pour cela, il faut lancer
le client MSTSC à l'aide de l'invite « Exécuter » de Windows à l'aide de « mstsc /admin
» ou « mstsc /console » selon vos versions de Windows (le paramètre « /admin »
doit être utilisé à partir de Windows Vista SP3).

39
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Figure 4.15. Paramètres de lancement du client MSTSC sous Windows 7

Device redirection :
Le proxy RDP embarqué dans WAB permet le «  device redirection  », c'est-à-dire la
possibilité de faire apparaître, dans le « Poste de travail » de la session Windows distante,
des ressources du poste de travail local : imprimante, répertoire, presse-papiers,...

Cette fonctionnalité autorise notamment le transfert de fichiers par glisser-déplacer entre


les deux machines Windows, à l'intérieur même de la session RDP ou bien encore le
copier-coller de texte entre le poste local et la machine distante et vice versa.

Attention, il peut être nécessaire d'activer cette fonctionnalité depuis l'interface du « Client
Terminal Serveur » pour qu'elle soit disponible.

40
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Chapitre 5. Gestion des demandes


d'approbations
Si vous appartenez à un groupe d'approbateurs, vous aurez à gérer des demandes d'approbations
formulées par les utilisateurs souhaitant se connecter ou encore visualiser les mots de passe pour
les cibles concernées par une autorisation spécifique. Dès qu'un utilisateur fait une demande, vous
en êtes informé(e) prévenu par courrier électronique.

Pour approuver ou rejeter une demande, il faut ouvrir la page « Mes approbations en cours » dans
le menu « Autorisations ». Cette page liste toutes les demandes en cours qui ont été envoyées
comme le montre Figure 5.1, « Page « Mes approbations en cours » ».

Figure 5.1. Page « Mes approbations en cours »

Vous devez sélectionner une demande et cliquer sur l'icône du bloc-notes au début de la ligne pour
ouvrir la page affichant le détail de la demande d'approbation comme le montre Figure 5.2, « Page
du détail de la demande d'approbation ».

Sur cette page, vous pouvez :

• cliquer sur le bouton « Notifier les approbateurs » pour notifier à nouveau les approbateurs
• visualiser les réponses des autres approbateurs,
• indiquer dans la zone « Commentaire » le motif de votre approbation/rejet de la demande,
• réduire la durée de la demande en modifiant la valeur dans le champ « Durée »,
• cliquer sur le bouton «  Annuler  », «  Rejeter  » ou «  Approuver  » pour effectuer l'action
correspondante.

Étant donné qu'il est toujours possible d'ouvrir une session ou d'accéder au mot de passe de la
cible tant que la durée d'une demande acceptée n'est pas dépassée, l'approbateur peut annuler la
demande avant son expiration pour interdire à l'utilisateur d'accéder de nouveau à la cible ou au
mot de passe de la cible en cliquant sur le bouton « Annuler ».

41
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Figure 5.2. Page du détail de la demande d'approbation

Sur la page «  Mon historique d'approbation  », vous pouvez visualiser toutes les demandes qui
ne sont plus en attente d'approbation comme le montre Figure  5.3, «  Page «  Mon historique
d'approbation » ».

Vous pouvez définir des filtres dans le haut de la page pour faciliter la recherche et restreindre
l'affichage aux lignes souhaitées. Les filtres disponibles sont :

• la définition d'une période


• la définition des N derniers jours ou N dernières semaines ou N derniers mois
• une recherche par occurrence dans les colonnes

En cliquant sur l'icône du bloc-notes au début de la ligne, vous êtes redirigé(e) sur le détail des
réponses à la demande.

Si la demande est au statut « accepté », vous pouvez annuler la demande avant son expiration en
cliquant sur le bouton « Annuler la demande ».

Toutes les données sur cette page peuvent être téléchargées sous forme de fichier CSV.

Figure 5.3. Page « Mon historique d'approbation »

42
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Chapitre 6. Problèmes de connexion
6.1. Généralités
Une connexion vers un compte cible peut échouer pour les raisons suivantes :

• le service WAB est indisponible ou non accessible


• l'identifiant et/ou le mot de passe utilisateur est/sont erroné(s)
• l'équipement cible est inaccessible
• le compte cible n'existe pas
• le mot de passe du compte cible est erroné
• l'accès au compte cible n'est pas autorisé
• la tentative de connexion est en dehors de la plage horaire autorisée
• le protocole n'est pas autorisé
• le nombre maximal de connexions simultanées autorisées a été atteint (cette information est
affichée sur la page « Licence » accessible depuis le menu « Configuration »).

6.2. Session SSH muette


Sur certaines plates-formes cibles, il arrive que les caractères émis par l'équipement cible ne
s'affichent pas à l'écran et que l'écho des caractères entrés au clavier soit absent.

Ce problème a notamment été détecté sur les cibles suivantes :

• serveurs TELNET Open Solaris


• serveurs TELNET Solaris 8

Il est résolu en supprimant l'allocation d'un pseudo-terminal (TTY).

Ce qui donne en ligne de commande sous Unix/Linux :

$ ssh root@obelix:martin@wab.mycorp.lan

martin's password:

Lancez PuTTY afin d'afficher la fenêtre PuTTY Configuration. Dans l'arborescence « Category »,
sélectionnez « Connection » | « SSH » | « TTY », puis cochez la case du champ « Don't allocate
a pseudo-terminal ».

43
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Figure 6.1. Désactivation du pseudo-terminal le TTY sous PuTTY

44
Wallix AdminBastion 5.0.4 – Guide de l'Utilisateur

Chapitre 7. Contacter le Support Wallix


AdminBastion
Le support technique de Wallix AdminBastion est joignable pour vous apporter son assistance du
lundi au vendredi (sauf jours fériés) de 09:00 à 19:00 CET, par les moyens suivants:

Internet à: https://support.wallix.com

Téléphone: 01 70 36 37 50 (depuis la France) / +33 1 70 36 37 50 (depuis l'étranger)

45