Vous êtes sur la page 1sur 51

GUIDE DE L'UTILISATEUR

WALLIX Bastion 7.3.2

Reference: https://doc.wallix.com/fr/bastion/7.3.2/Bastion-user-guide
Copyright © 2019 WALLIX
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Table des matières


1. Introduction ............................................................................................................................ 3
1.1. Préambule ................................................................................................................... 3
1.2. Copyright, Licences .................................................................................................... 3
1.3. Légende ...................................................................................................................... 3
1.4. À propos de ce document .......................................................................................... 3
2. Principes généraux ................................................................................................................ 5
2.1. WALLIX Session Manager .......................................................................................... 5
2.2. WALLIX Password Manager ....................................................................................... 6
2.3. Enregistrement de session .......................................................................................... 6
3. Utilisation de la nouvelle interface Web (GUI) ....................................................................... 7
3.1. Menu « Mes préférences » (nouvelle interface) ........................................................... 9
3.2. Résumé ..................................................................................................................... 10
4. Utilisation de l'interface Web par défaut (GUI) ..................................................................... 11
4.1. Menu « Mes préférences » (interface par défaut) ...................................................... 12
4.2. Menu « Mes autorisations » - Autorisations sur les sessions ..................................... 14
4.3. Menu « Mes autorisations » - Autorisations sur les mots de passe ............................ 15
4.4. Procédure d'approbation ........................................................................................... 16
4.4.1. Demande d'approbation sur les sessions ....................................................... 16
4.4.2. Demande d'approbation sur les mots de passe .............................................. 18
4.5. Authentification forte par certificat X509 .................................................................... 19
5. Connexion aux équipements cibles ..................................................................................... 21
5.1. Généralités ................................................................................................................ 21
5.2. Authentification par mot de passe ou par clé ............................................................ 21
5.2.1. Génération d'une clé sous Linux .................................................................... 22
5.2.2. Génération d'une clé sous Windows .............................................................. 23
5.3. Authentification simplifiée en mode X509 .................................................................. 26
5.4. Connexions SSH ....................................................................................................... 27
5.4.1. Spécificités SSH ............................................................................................. 27
5.4.2. Connexions SSH depuis un poste de travail sous Unix/Linux ......................... 28
5.4.3. Connexions SSH depuis un poste de travail Windows ................................... 33
5.5. Connexions RDP ...................................................................................................... 38
5.5.1. Spécificités RDP ............................................................................................ 38
5.5.2. Connexions RDP depuis un poste de travail Linux ......................................... 38
5.5.3. Connexions RDP depuis un poste de travail Windows (XP, Vista ou 7, 8 ou
10) ............................................................................................................................ 42
6. Gestion des demandes d'approbations ................................................................................ 46
7. Problèmes de connexion ..................................................................................................... 49
7.1. Généralités ................................................................................................................ 49
7.2. Session SSH muette ................................................................................................. 49
8. Contacter le Support WALLIX Bastion ................................................................................. 51

2
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Chapitre 1. Introduction
1.1. Préambule
Nous vous remercions d'avoir choisi WALLIX Bastion.
La solution WALLIX Bastion est commercialisée sous la forme d'un serveur dédié prêt à l'emploi
ou sous la forme d'une machine virtuelle pour environnements virtuels suivants :

• Amazon Web Services (AWS),


• Microsoft Azure,
• VMware ESXi et vSphere,
• Microsoft Hyper-V.

Les équipes WALLIX ont apporté le plus grand soin à l'élaboration de ce produit et souhaitent qu'il
vous apporte entière satisfaction.

1.2. Copyright, Licences
Le présent document est la propriété de la société WALLIX et ne peut être reproduit sans son
accord préalable.
Tous les noms de produits ou de sociétés cités dans le présent document sont des marques
déposées de leurs propriétaires respectifs.
WALLIX Bastion est soumis au contrat de licence logicielle WALLIX.
WALLIX Bastion est basé sur des logiciels libres. La liste et le code source des logiciels sous
licence GPL et LGPL utilisés par WALLIX Bastion sont disponibles auprès de WALLIX. Pour les
obtenir, il suffit d'en faire une demande par internet en créant une requête à l'adresse https://
support.wallix.com/ ou par écrit à l'adresse suivante :

WALLIX
Service Support
250 bis, Rue du Faubourg Saint-Honoré
75008 PARIS
FRANCE

1.3. Légende
prompt $ commande à taper <paramètre à remplacer>
retour de la commande
sur une ou plusieurs lignes
prompt $

1.4. À propos de ce document


Ce document constitue le Guide de l'Utilisateur de WALLIX Bastion 7.3.2. Ce guide vous sera utile
si les règles techniques et organisationnelles de votre entreprise requièrent l'utilisation des services
de WALLIX Bastion pour accéder aux équipements que vous administrez (notamment les serveurs,
équipements réseau, équipements de sécurité et interfaces d'administration Web).

3
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Ce guide vous aidera à :

• utiliser l'interface graphique Web, également appelée « GUI » (« Graphical User Interface »),
pour prendre connaissance de vos autorisations d'accès, changer votre mot de passe ou charger
votre clé publique SSH,
• utiliser vos outils de connexion habituels d'une manière compatible avec WALLIX Bastion.

4
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Chapitre 2. Principes généraux
Le rôle de WALLIX Bastion consiste à :

• relayer vos connexions SSH ou RDP vers les équipements cibles,


• contrôler vos connexions selon les autorisations définies dans votre profil,
• enregistrer vos actions (option activée par l'administrateur WALLIX Bastion).

Pour que WALLIX Bastion puisse relayer vos connexions, vous devez vous identifier :

• soit avec votre identifiant et votre mot de passe pour les connexions à l'interface Web de WALLIX
Bastion depuis votre navigateur et pour les connexions aux équipements cibles via les proxies
RDP,
• soit avec votre identifiant et votre mot de passe ou votre clé publique pour les connexions via
le proxy SSH.

Vos autorisations définissent :

• les équipements et les comptes cibles auxquels vous pouvez vous connecter,
• les équipements et les comptes cibles pour lesquels vous pouvez visualiser les mots de passe,
• les protocoles de connexion que vous pouvez utiliser,
• les plages horaires pendant lesquelles vous pouvez vous connecter aux comptes cibles,
• une adresse IP source restrictive (facultatif).

Deux modes de connexion aux comptes cibles existent :

• le mode « auto logon » : la connexion au compte cible est automatique, vous n'avez pas besoin
de connaître le mot de passe associé
• le mode sans « auto logon » : la connexion au compte cible est manuelle, vous devez connaître
le mot de passe associé

Avertissement :
Dans le but de renforcer la sécurité des données échangées, le poste de l'utilisateur doit
disposer d'un certificat électronique utilisé par WALLIX Bastion pour s'authentifier auprès
de l'utilisateur lorsque ce dernier se connecte, et ce poste doit également être configuré
pour permettre l'authentification de WALLIX Bastion à l'aide de ce certificat.

2.1. WALLIX Session Manager


Cette fonctionnalité spécifique de WALLIX Bastion 7.3.2 est disponible selon les termes de votre
contrat de licence logicielle.
Elle vous permet notamment :

• d'identifier les utilisateurs connectés à des équipements donnés et contrôler leur activité :
les sessions sont visualisables via l'interface WALLIX Bastion ou téléchargeables afin d'être
visualisées localement sur votre poste de travail. Les sessions RDP sont visualisables en temps
réel ;
• d'obtenir un accès direct à la ressource via des clients natifs tels que PuTTY, WinSCP, MSTC
ou OpenSSH.

5
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

2.2. WALLIX Password Manager


Cette fonctionnalité spécifique de WALLIX Bastion 7.3.2 est disponible selon les termes de votre
contrat de licence logicielle.

Elle vous permet notamment :

• de visualiser la liste des comptes cibles pour lesquels vous êtes autorisé(e) à visualiser/emprunter
le mot de passe,
• d'accéder aux informations d'identification du compte (identifiant, mot de passe et clé SSH).

2.3. Enregistrement de session
Comme annoncé à l'ouverture d'une connexion SSH et dans la mire de connexion RDP, WALLIX
Bastion a la capacité d'enregistrer les sessions utilisateurs (sauf les sessions X11).

Les commandes que vous entrez depuis votre poste de travail (clavier/souris) ainsi que les
réponses de l'équipement cible auquel vous êtes connecté et qui sont affichées sur votre écran
peuvent être stockées, puis consultées ultérieurement.

Cette fonctionnalité peut être activée et les enregistrements peuvent être visualisés à tout moment
par un administrateur WALLIX Bastion autorisé.

6
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Chapitre 3. Utilisation de la nouvelle
interface Web (GUI)
L'interface Web de WALLIX Bastion a été refondue.

Vous pouvez continuer à utiliser l'interface par défaut de WALLIX Bastion ou commencer à explorer
la nouvelle interface Web en cliquant sur le lien « Basculer vers la nouvelle interface » en haut de
la page. Vous avez également la possibilité de retourner sur l'interface par défaut en cliquant sur le
lien « Interface par défaut » situé dans le haut de la page de la nouvelle interface.

Pour accéder à la nouvelle GUI, saisissez l'URL suivante dans la barre d'adresse de votre
navigateur :

https://adresse_ip_bastion/bastion ou https://<nom_bastion>/bastion

Note :
La nouvelle interface ne supporte pas Internet Explorer.

Votre navigateur doit être configuré pour accepter les cookies et exécuter JavaScript.

L'adresse_ip_bastion vous a été communiquée par votre administrateur WALLIX Bastion. Si cela
n'est pas le cas, vous pouvez utiliser le nom de domaine.

Puis connectez-vous avec les informations d'identification fournies par l'administrateur WALLIX
Bastion :

• si votre administrateur WALLIX Bastion a activé l'authentification Kerberos, saisissez l'URL


suivante dans la barre d'adresse de votre navigateur :

https://adresse_ip_bastion/iwab ou https://<nom_bastion>/iwab
• si celui-ci vous a fourni un certificat X509, consultez la section 4.5, « Authentification forte par
certificat X509 », page 19,
• sinon, entrez votre identifiant et votre mot de passe puis appuyez sur le bouton « Connexion » (le
champ « Identifiant » n'est pas sensible à la casse) sur l'écran de connexion.
• si votre administrateur a configuré l'authentification à deux facteurs, renseignez également les
informations d'identification requises au cours de l'étape d'authentification secondaire.

7
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Figure 3.1. Écran de connexion

Note :
La langue affichée sur cette page dépend des préférences linguistiques définies dans
votre navigateur. Une fois connecté(e), la langue sera celle que vous aurez configurée
dans vos préférences d'utilisateur WALLIX Bastion (voir Section  3.1, «  Menu « Mes
préférences » (nouvelle interface) », page 9).

Si la connexion réussit, l'écran suivant est affiché :

Figure 3.2. Page d'accueil

Sur la partie gauche de la page, un menu permet d'accéder aux différentes fonctionnalités. Ce
menu peut être différent selon votre profil utilisateur et vos droits.

8
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Depuis l'en-tête situé dans la partie supérieure de l'écran, vous pouvez :

• visualiser le nom de l'utilisateur connecté. Lorsque vous passez la souris sur la zone du nom
d'utilisateur, un menu contextuel affiche une entrée pour accéder à la page « Mes préférences »
et à l'icône de déconnexion.
• accéder à l'aide contextuelle en ligne en cliquant sur l'icône « ? »,
• retourner sur l'interface par défaut en cliquant sur le lien « Interface par défaut ».

3.1. Menu « Mes préférences » (nouvelle


interface)
Vous pouvez afficher la page « Mes préférences » en passant votre curseur sur la zone du nom
d'utilisateur située en haut à droite de l'écran.
Cette page permet de modifier vos paramètres personnels. Il y est possible de :

• modifier votre adresse e-mail de contact,


• choisir une autre langue (pour l'affichage de la GUI et des messages sur les proxies),
• modifier votre mot de passe,

• glisser-déposer, importer ou saisir manuellement une clé publique SSH utilisant l'algorithme RSA,
ED25519 ou ECDSA, ou supprimer une clé publique SSH existante,

Avertissement :
En fonction de la configuration effectuée par votre administrateur, les fonctionnalités
présentes sur l'onglet « Clé publique SSH » peuvent être indisponibles.
Cette clé doit être au format OpenSSH. Sinon, un message d'erreur s'affiche.
Si vous utilisez PuTTYgen pour générer la clé, vous devez enregistrer dans un fichier
texte la clé publique affichée au format Open SSH lors de la génération. A titre
d'exemple, cette clé est libellée comme suit :
« ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEA0yR9lBQov6[.....]c3xu9p/xNjw==
rsa-key-20151204 »
Vous pouvez alors charger cette clé dans l'onglet « Clé publique SSH » sur cette page.
Si une clé existe déjà, vous pouvez charger une clé privée en utilisant PuTTYgen pour
générer la clé publique correspondante au bon format.

• glisser-déposer, charger ou afficher une clé GPG, ou supprimer une clé GPG existante,
• changer la taille d'affichage de WALLIX Bastion. Ce paramètre s'applique seulement pour les
connexions via le navigateur en cours d'utilisation.

Note :
La zone permettant le changement de mot de passe n'est pas accessible sur cette page
lorsque votre authentification est de type externe (par exemple, votre authentification est
liée à un annuaire d'entreprise ou un KDC Kerberos)

Selon le paramétrage de WALLIX Bastion, il est nécessaire de modifier votre mot de passe :

9
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

• lorsque l'expiration de votre mot de passe est imminente : un message signalant la prochaine
expiration de votre mot de passe est affiché lors de votre connexion à la nouvelle GUI ;
• lors de la modification initiale du mot de passe pour autoriser l'accès de WALLIX Bastion aux
équipements.

Un mot de passe peut être rejeté (selon un paramétrage établi par l'administrateur WALLIX Bastion)
dans certains cas :

• si le mot de passe figure dans la liste des mots de passe interdits par l'administrateur WALLIX
Bastion,
• si le mot de passe est trop court ou ne contient pas assez de caractères spéciaux, chiffres ou
majuscules,
• si le mot de passe est identique à l'identifiant utilisateur,
• si le mot de passe est identique à l'un des précédents mots de passe.

Figure 3.3. Page « Mes préférences »

3.2. Résumé
Dans l'ensemble des onglets de la nouvelle interface, un résumé est affiché sur la droite de votre
écran. Il récapitule informations définies au sein de WALLIX Bastion.
En cliquant sur les entrées principales du résumé, vous êtes redirigé(e) sur les onglets
correspondants et vous avez la possibilité de visualiser, saisir, compléter, modifier ou supprimer des
informations. Notez que vous pouvez choisir de masquer ou d'afficher ce résumé à tout moment.

10
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Chapitre 4. Utilisation de l'interface Web


par défaut (GUI)
Pour accéder à la GUI par défaut, saisissez l'URL suivante dans la barre d'adresse de votre
navigateur :

https://bastion_ip_address or https://<bastion_name>

Note :
Votre navigateur doit être configuré pour accepter les cookies et exécuter JavaScript.

L'adresse_ip_bastion vous a été communiquée par votre administrateur WALLIX Bastion. Si cela
n'est pas le cas, vous pouvez utiliser le nom de domaine.
Puis connectez-vous avec les informations d'identification fournies par l'administrateur WALLIX
Bastion :

• si votre administrateur WALLIX Bastion a activé l'authentification Kerberos, saisissez l'URL


suivante dans la barre d'adresse de votre navigateur :

https://adresse_ip_bastion/iwab ou https://<nom_bastion>/iwab
• si celui-ci vous a fourni un certificat X509, consultez la section 4.5, « Authentification forte par
certificat X509 », page 19,
• sinon, entrez votre identifiant et votre mot de passe puis appuyez sur le bouton « Connexion » (le
champ « Identifiant » n'est pas sensible à la casse) sur l'écran de connexion.
• si votre administrateur a configuré l'authentification à deux facteurs, renseignez également les
informations d'identification requises au cours de l'étape d'authentification secondaire.

Figure 4.1. Écran de connexion

Note :
La langue affichée sur cette page dépend des préférences linguistiques définies dans
votre navigateur. Une fois connecté(e), la langue sera celle que vous aurez configurée
dans vos préférences d'utilisateur WALLIX Bastion (voir Section  4.1, «  Menu « Mes
préférences » (interface par défaut) », page 12).

Si la connexion réussit, l'écran suivant est affiché :

11
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Figure 4.2. Page d'accueil
Sur la partie gauche de la page, un menu permet d'accéder aux différentes fonctionnalités. Ce
menu peut être différent selon votre profil utilisateur et vos droits.
Depuis la barre de titre située dans la partie supérieure de l'écran, vous pouvez :

• visualiser les éventuelles notifications en cliquant sur l'icône « i » ou,


• accéder à l'aide en ligne en cliquant sur l'icône « ? ».

4.1. Menu « Mes préférences » (interface par


défaut)
Cette page permet de modifier vos paramètres personnels. Il y est possible de :

• modifier votre mot de passe,


• choisir une autre langue (pour l'affichage de la GUI et des messages sur les proxies),
• modifier votre adresse e-mail de contact,

• importer ou saisir manuellement une clé publique SSH utilisant l'algorithme RSA, ED25519 ou
ECDSA dans la zone « Clé publique SSH »,

Avertissement :
En fonction de la configuration effectuée par votre administrateur, la zone « Clé
publique SSH » peut ne pas être affichée.
Cette clé doit être au format OpenSSH. Sinon, un message d'erreur s'affiche.
Si vous utilisez PuTTYgen pour générer la clé, vous devez enregistrer dans un fichier
texte la clé publique affichée au format Open SSH lors de la génération. A titre
d'exemple, cette clé est libellée comme suit :
« ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEA0yR9lBQov6[.....]c3xu9p/xNjw==
rsa-key-20151204 »
Vous pouvez alors charger cette clé dans la zone « Clé publique SSH » sur cette page.
Si une clé existe déjà, vous pouvez charger une clé privée en utilisant PuTTYgen pour
générer la clé publique correspondante au bon format.

• charger une clé GPG.

Note :
La zone permettant le changement de mot de passe n'est pas accessible sur cette page
lorsque votre authentification est de type externe (par exemple, votre authentification est
liée à un annuaire d'entreprise ou un KDC Kerberos)

12
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Selon le paramétrage de WALLIX Bastion, il est nécessaire de modifier votre mot de passe :

• lorsque l'expiration de votre mot de passe est imminente : un message signalant la prochaine
expiration de votre mot de passe est affiché lors de votre connexion à la GUI ;
• lors de la modification initiale du mot de passe pour autoriser l'accès de WALLIX Bastion aux
équipements.

Un mot de passe peut être rejeté (selon un paramétrage établi par l'administrateur WALLIX Bastion)
dans certains cas :

• si le mot de passe figure dans la liste des mots de passe interdits par l'administrateur WALLIX
Bastion,
• si le mot de passe est trop court ou ne contient pas assez de caractères spéciaux, chiffres ou
majuscules,
• si le mot de passe est identique à l'identifiant utilisateur,
• si le mot de passe est identique à l'un des précédents mots de passe.

Figure 4.3. Page « Mes préférences »

13
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

4.2. Menu « Mes autorisations » - Autorisations


sur les sessions
Avertissement :
L'entrée « Sessions  » du menu « Mes autorisations  » peut être utilisée lorsque la
fonctionnalité WALLIX Session Manager est associée à votre clé de licence (voir
Section 2.1, « WALLIX Session Manager », page 5).

Depuis la page « Sessions » sur le menu « Mes autorisations », vous pouvez visualiser la liste des
cibles auxquelles vous êtes autorisé(e) à vous connecter.

Sur chaque ligne, vous pouvez accéder à la cible en cliquant sur l'une des icônes suivantes :

• : cette icône vous permet de télécharger un fichier de configuration RDP ou un script shell
avec la commande SSH (WALLIX-PuTTY sous Windows ou SSH sous d'autres systèmes) que
vous pouvez sauvegarder pour établir une connexion depuis un client RDP ou SSH (suffixe du
nom de fichier .puttywab ou .xsh ou .rdp sous Windows et .sh sous Linux). Dans ce cas, le mot
de passe WALLIX Bastion est requis pour la connexion.
• : (« Accès immédiat (mot de passe valable une fois, limité dans le temps) ») : cette icône vous
permet d'ouvrir le fichier pour établir une connexion immédiate depuis un client RDP (suffixe du
nom de fichier .rdp sous Windows et .sh sous Linux). Dans ce cas, aucun mot de passe n'est
requis mais l'accès est autorisé pour une durée limitée. Cette icône est également affichée pour
une connexion à une application.
• : (« Accès immédiat avec WALLIX-PuTTY (mot de passe valable une fois, limité dans le
temps) ») : cette icône vous permet d'ouvrir le fichier pour établir une connexion immédiate depuis
un client SSH (suffixe du nom de fichier .puttywab ou .xsh sous Windows et .sh sous Linux). Dans
ce cas, aucun mot de passe n'est requis mais l'accès est autorisé pour une durée limitée. Veuillez
voir également Section 5.4.2.1, « Connexion à la cible en mode interactif pour les protocoles SCP
et SFTP », page 28 pour l'authentification SSH.

Note :
Pour pouvoir utiliser les fichiers .puttywab sous Windows, il faut auparavant télécharger
et installer l'application WALLIX-PuTTY à partir du lien « Télécharger WALLIX-PuTTY »
affiché dans le haut de la page. Ce lien est uniquement affiché lorsque le poste de travail
est sous un environnement Windows et si vous disposez également d'au moins une
autorisation sur une cible SSH. L'installation prend en charge l'association des fichiers
afin que l'application soit démarrée automatiquement. L'installation ne nécessite pas de
privilèges d'administration. Cependant l'installation est uniquement fonctionnelle pour
l'utilisateur connecté et non pour l'ensemble des utilisateurs du poste de travail.

Le lien « Télécharger le fichier de configuration RDP » affiché dans le haut de la page vous
permet de télécharger un fichier de configuration RDP avec le mode RemoteApp activé.
Vous pouvez alors sauvegarder le fichier pour établir une connexion à une application en
mode interactif via le sélecteur du client RDP. Ce lien est uniquement affiché lorsque le
mode RemoteApp est activé et si vous disposez également d'au moins une autorisation
sur une application. Le mode RemoteApp est activé par défaut lors de la connexion à
des applications.

14
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Figure 4.4. Menu « Mes autorisations » - Page « Sessions »

Si une procédure d'approbation a été définie pour autoriser la connexion à la cible, cliquez sur «
Demande » dans la colonne « Approbation » afin de notifier les approbateurs et obtenir l'accès à
la cible. Pour plus d'informations, voir Section 4.4, « Procédure d'approbation », page 16.

4.3. Menu « Mes autorisations » - Autorisations


sur les mots de passe
Avertissement :
L'entrée « Mots de passe  » du menu « Mes autorisations  » peut être utilisée lorsque
la fonctionnalité WALLIX Password Manager est associée à votre clé de licence (voir
Section 2.2, « WALLIX Password Manager », page 6).

Depuis la page « Mots de passe » sur le menu « Mes autorisations », vous pouvez visualiser la liste
des comptes cibles pour lesquels vous êtes autorisé(e) à emprunter les accréditations des comptes.

Pour chaque compte, vous pouvez effectuer les action suivantes :

• cliquer sur « Emprunter  » au début de la ligne afin d'afficher les accréditations du compte
concerné sur une autre page.

Important :
Si une approbation n'est pas nécessaire pour autoriser l'accès aux accréditations ou
bien si elle a été acceptée par les approbateurs, vous avez directement accès à ces
données. Sinon, un message d'erreur s'affiche et vous devez formuler une demande
pour obtenir l'accès aux accréditations. Pour plus d'informations, voir Section  4.4,
« Procédure d'approbation », page 16.

Lorsqu'un changement de mot de passe est en cours, il n'est pas possible d'emprunter
et donc d'afficher les accréditations du compte concerné. Un message d'erreur
s'affiche alors pour vous informer que le compte est temporairement indisponible pour
l'opération d'emprunt des accréditations.

• envoyer une demande aux approbateurs pour accéder aux accréditations du compte en cliquant
sur « Demande » dans la colonne « Approbation » à la fin de la ligne. Pour plus d'informations,
voir Section 4.4, « Procédure d'approbation », page 16.

Lorsque vous avez accès à la page affichant les accréditations du compte, vous pouvez visualiser :

15
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

• le nom du compte en cours d'emprunt mentionné au-dessus du cadre,


• l'identifiant du compte,
• le mot de passe du compte,
• les accréditations du compte, pouvant être :
– le mot de passe si celui-ci a été défini pour le compte sur l'instance locale ou distante de
WALLIX Bastion,
– la clé privée SSH si celle-ci a été définie pour le compte sur l'instance locale ou distante de
WALLIX Bastion. Cette clé peut être téléchargée au format OpenSSH ou PuTTY et peut être
chiffrée avec une phrase de chiffrement renseignée dans le champ dédié.
– le certificat (c'est-à-dire la clé publique SSH signée) si le compte est défini sur un domaine
associé à une Autorité de Certification. Ce certificat signé peut être téléchargé au format
OpenSSH ou ssh.com.

Sur cette page, vous pouvez également :

• cliquer sur le bouton « Restituer » pour mettre un terme à l'emprunt. Vous êtes alors redirigé
vers la page listant les comptes cibles autorisés. Si le verrouillage a été activé dans la politique
d'emprunt associée à ce compte, cette action de restitution déverrouille le compte.
• cliquer sur le bouton « Étendre l'emprunt » si une extension de la durée d'emprunt a été définie
dans la politique d'emprunt associée à ce compte. Dans le cas contraire, ce bouton n'est pas
affiché sur cette page. Cette action permet de prolonger l'emprunt et peut donc être effectuée
plusieurs fois tant que la durée maximum n'a pas été atteinte.

Si le verrouillage du compte a été activé dans la politique d'emprunt associée à ce compte,


ce dernier reste verrouillé pendant la durée définie dans cette même politique. Il est alors
nécessaire de cliquer sur le bouton « Restituer » pour déverrouiller le compte avant la fin de la
durée d'emprunt. Néanmoins, le compte est automatiquement restitué à la fin de cette durée et
l'utilisateur est alors redirigé vers la page listant les comptes cibles autorisés. Le temps restant
avant la restitution automatique est affiché sous les accréditations.

Figure 4.5. Menu « Mes autorisations » - Page « Mots de passe »

4.4. Procédure d'approbation
Lorsqu'une procédure d'approbation a été définie pour autoriser la connexion à la cible ou l'accès
aux accréditations de la cible, vous devez formuler une demande afin de notifier les approbateurs
et obtenir l'accès.

4.4.1. Demande d'approbation sur les sessions


Depuis la page « Sessions » sur le menu « Mes autorisations », cliquez sur « Demande » dans
la colonne « Approbation » afin de notifier les approbateurs et obtenir l'accès à la cible. La page

16
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

« Demande d'approbation » s'affiche alors pour vous permettre de formuler votre demande (voir
Figure 4.6, « Demande d'approbation (GUI WALLIX Bastion) », page 18).

La page « Demande d'approbation » recense les champs suivants :

• une date de début. Par défaut, il s'agit de la date actuelle.


• une heure de début. Par défaut, il s'agit de l'heure actuelle.
• une durée, exprimée en heures et en minutes,
• un commentaire pour renseigner le motif de la demande d'approbation. Ce champ est affiché si
l'option correspondante a été activée lors de la définition de l'autorisation.
• une référence de ticket. Ce champ est affiché si l'option correspondante a été activée lors de la
définition de l'autorisation.

Les demandes en cours sont listées au bas de la page comme illustré Figure 4.4, « Menu « Mes
autorisations  » - Page « Sessions  »  », page 15. En cliquant sur l'icône bloc-notes au début de
la ligne, il est possible d'annuler la demande (« en cours » ou « accepté ») et d'envoyer un e-mail
à tous les approbateurs concernés.

Une demande valide (dont la durée n’est pas encore expirée) peut être dans l'un des statuts
suivants:

• une demande est au statut « accepté » lorsque le quorum (c'est-à-dire le nombre minimum de
réponses favorables requises pour l'autorisation) a été atteint,

Note :
Lorsque la demande est acceptée par le premier approbateur alors que la date et
l'heure de début sont passées :
– la date et l'heure de début de la demande prennent alors comme valeur la date et
l'heure de cette acceptation,
– la date et l'heure de fin de la demande sont alors prolongées de la durée de
l'approbation, à partir de cette acceptation.

• une demande est au statut « rejeté » et par la suite invalidée dès qu’un approbateur la rejette.
L’utilisateur est alors notifié par courrier électronique du refus et du motif du rejet.
• une demande est au statut « en cours » tant que le quorum n'a pas été atteint et qu’elle n’a pas
été rejetée.

Si la demande n’est plus valide, elle est alors au statut « fermé » et il n’est plus possible pour un
approbateur de répondre à la demande.

Lorsqu'une demande est acceptée, il est possible de démarrer une nouvelle session tant que
la durée de la demande n'est pas dépassée. Lors de cette période, il est également possible
de redémarrer la session à de multiples reprises. Il n'est pas donc pas nécessaire de laisser la
connexion initiale ouverte.

Si la session doit débuter immédiatement (avec un client SSH ou RDP), le proxy propose également
un formulaire pour envoyer une demande, comme illustré Figure 4.7, « Demande d'approbation
(RDP Proxy) », page 18, lorsque qu'une cible nécessitant une approbation a été choisie.

17
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Figure 4.6. Demande d'approbation (GUI WALLIX Bastion)

Figure 4.7. Demande d'approbation (RDP Proxy)

4.4.2. Demande d'approbation sur les mots de passe


Depuis la page « Mots de passe » sur le menu « Mes autorisations », cliquez sur « Demande » dans
la colonne « Approbation » afin de notifier les approbateurs et obtenir l'accès aux accréditations de
la cible. La page « Demande d'approbation » s'affiche alors pour vous permettre de formuler votre
demande (voir Figure 4.6, « Demande d'approbation (GUI WALLIX Bastion) », page 18).

La page « Demande d'approbation » recense les champs suivants :

• une date de début. Par défaut, il s'agit de la date actuelle.


• une heure de début. Par défaut, il s'agit de l'heure actuelle.
• une durée, exprimée en heures et en minutes,
• un commentaire pour renseigner le motif de la demande d'approbation. Ce champ est affiché si
l'option correspondante a été activée lors de la définition de l'autorisation.
• une référence de ticket. Ce champ est affiché si l'option correspondante a été activée lors de la
définition de l'autorisation.

Les demandes en cours sont listées dans le bas de la page « Mots de passe » (voir Figure 4.5,
«  Menu « Mes autorisations  » - Page « Mots de passe  »  », page 16.) En cliquant sur l'icône
bloc-notes au début de la ligne, il est possible d'annuler la demande (au statut « en cours » ou
« accepté ») et d'envoyer un e-mail à tous les approbateurs concernés.

Une demande valide (dont la durée n’est pas encore expirée) peut être dans l'un des statuts
suivants:

• une demande est au statut « accepté » lorsque le quorum (c'est-à-dire le nombre minimum de
réponses favorables requises pour l'autorisation) a été atteint,

18
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

• une demande est au statut « rejeté » et par la suite invalidée dès qu’un approbateur la rejette.
L’utilisateur est alors notifié par courrier électronique du refus et du motif du rejet.
• une demande est au statut « en cours » tant que le quorum n'a pas été atteint et qu’elle n’a pas
été rejetée.

Si la demande n’est plus valide, elle est alors au statut « fermé » et il n’est plus possible pour un
approbateur de répondre à la demande.
Lorsqu'une demande est acceptée, il est possible d'accéder aux accréditations de la cible tant que
la durée de la demande n'est pas dépassée.

4.5. Authentification forte par certificat X509


WALLIX Bastion permet l'authentification par certificat X509 sur la GUI si votre administrateur l'a
autorisé pour votre compte utilisateur.
Dans ce cas, votre administrateur doit vous fournir un certificat, soit sous forme de certificat logiciel
soit sous forme de médium physique (clé USB, carte à puce, etc.).
Si votre certificat est stocké sous forme physique, vous devez d'abord insérer le médium pour que
le certificat soit disponible dans le système.
S'il s'agit d'un fichier, vous devez d'abord importer ce certificat dans le navigateur pour que
l'authentification puisse l'utiliser. La manière de procéder dépend du navigateur :

• Sous Firefox, sélectionnez le menu « Outils  » | « Options  », ouvrez l'onglet « Avancé  » | «


Certificats », cliquez sur le bouton « Afficher les certificats »», puis sur l'onglet « Vos certificats »
cliquez sur le bouton « Importer ».
• Sous Chrome, cliquez sur l'icône « Personnaliser et contrôler Chrome  » à côté de la barre
d'adresse, sélectionnez « Paramètres » dans le menu, en bas de la page cliquez sur « Afficher
les paramètres avancés » , puis dans la section « HTTPS/SSL » cliquez sur le bouton « Gérer
les certificats » et, enfin, sur l'onglet « Personnel » cliquez sur le bouton « Importer ».
• Sous Internet Explorer, sélectionnez le menu « Outils  » | « Options Internet  », sur l'onglet «
Contenu  » cliquez sur le bouton « Certificats », puis sur l'onglet « Personnel  » cliquez sur le
bouton « Importer... » et suivez les indications de l'assistant.

Si le mode d'authentification X509 est activé, l'écran de connexion suivant est affiché :

Figure 4.8. Écran de connexion avec l'authentification X509

19
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Vous pouvez alors :

• soit entrer un identifiant et un mot de passe puis cliquer sur le bouton « Connexion » de la partie
« Authentification par mot de passe » ;
• soit cliquer directement sur le bouton « Connexion » de la partie « Authentification par certificat
X509  ». Dans ce cas, votre navigateur vous demandera de choisir un certificat (si vous en
avez plusieurs et que le navigateur n'a pas précédemment mémorisé votre choix) puis vous
demandera éventuellement de saisir le mot de passe de ce certificat. Si le certificat a été associé
à un compte WALLIX Bastion, vous serez immédiatement authentifié et connecté sous cette
identité.

Note :
Si votre certificat est stocké sous forme physique, la carte à puce ou la clé USB doit
être insérée pendant toute la phase d'authentification.

Si votre administrateur a configuré l'authentification à deux facteurs, renseignez


également les informations d'identification requises au cours de l'étape
d'authentification secondaire.

Tant que vous resterez connecté sur la GUI en utilisant l'authentification par certificat X509, un
mode d'authentification alternatif sera disponible sur les sessions lancées directement via un
client SSH ou RDP (voir Section 5.3, « Authentification simplifiée en mode X509 », page 26).

20
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Chapitre 5. Connexion aux équipements


cibles
5.1. Généralités
Entre WALLIX Bastion et les équipements cibles (zone de confiance), des connexions SSH, RDP,
VNC, TELNET et RLOGIN peuvent être établies.

Entre les postes de travail et WALLIX Bastion (zone hostile), seuls les protocoles chiffrés SSH et
RDP sont admis.

WALLIX Bastion vous permet de continuer à utiliser vos outils habituels tels que des clients SSH
en mode texte ou graphique, ou des clients RDP sur plate-forme Unix, Windows ou Mac OS X.

Toutefois, la forme de la ligne de commande et/ou le paramétrage du client graphique peuvent


légèrement différer pour prendre en compte l'indirection introduite par WALLIX Bastion (voir les
sections ci-dessous).

5.2. Authentification par mot de passe ou par


clé
WALLIX Bastion permet les authentifications SSH de type « local » par mot de passe ou par clé.
Dans le cas d'une authentification par clé, aucun mot de passe n'est demandé par WALLIX Bastion
lors d'une connexion SSH.

Toutefois, l'utilisateur doit toujours fournir son mot de passe pour les connexions à l'interface Web
d'administration de WALLIX Bastion (GUI) et vers les équipements RDP, sauf si l'administrateur
WALLIX Bastion a activé l'authentification Kerberos ou a fourni un certificat X509.

Note :
La clé publique SSH de l'utilisateur doit être entrée soit par l'administrateur via l'interface
Web d'administration, soit par l'utilisateur via la page «  Mes Préférences  » (voir
Section 3.1, « Menu « Mes préférences » (nouvelle interface) », page 9 si vous utilisez
la nouvelle interface ou, Section  4.1, «  Menu « Mes préférences  » (interface par
défaut) », page 12 si vous utilisez l'interface par défaut).

Le mécanisme d'authentification par clé SSH permet également l'utilisation d'un agent résident
sur le poste client. Celui-ci permet de conserver les paramètres d'authentification et ainsi de ne
demander qu'une seule fois le mot de passe de protection des clés, au démarrage de l'agent ou
à la première utilisation de la clé. La clé peut alors être réutilisé par la suite sans avoir à re-saisir
le mot de passe à chaque fois. L'utilisation de l'agent se fait de manière transparente avec tous
les clients qui le supportent.

L'utilisation de l'agent d'authentification permet aussi en option de transférer les paramètres


d'authentification du client sur WALLIX Bastion afin qu'il puisse les utiliser pour l'authentification
vers les cibles. Cette fonctionnalité permet donc l'utilisation des clés privées du client par WALLIX
Bastion sans qu'il y ait besoin de re-saisir de mot de passe ni que WALLIX Bastion ait connaissance
de ces clés privées. Pour cela, il faut la plupart du temps activer explicitement l'option lors du

21
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

lancement des clients car ceux-ci ne l'activent généralement pas par défaut pour des raisons de
sécurité.

Note :
Certains clients qui supportent l'utilisation d'agents ne supportent pas l'option de transfert
d'authentification.

5.2.1. Génération d'une clé sous Linux


Pour générer et utiliser une clé de chiffrement avec openSSH sous Linux, vous pouvez suivre la
procédure décrite ci-dessous.

Il est également possible d'utiliser le fichier ~/.ssh/id_rsa qui est l'identité utilisée par défaut
par toutes les commandes OpenSSH. Dans ce cas, si ce fichier existe déjà vous pouvez ignorer
les deux premières étapes et importer le fichier ~/.ssh/id_rsa.pub dans WALLIX Bastion (voir
Section 3.1, « Menu « Mes préférences » (nouvelle interface) », page 9 si vous utilisez la nouvelle
interface ou, Section 4.1, « Menu « Mes préférences » (interface par défaut) », page 12 si vous
utilisez l'interface par défaut).

Dans cet exemple, wab_rsa2048 identifie la clé privée mais vous pouvez utiliser n'importe quel autre
nom de fichier valide. Il est néanmoins recommandé que cette clé soit stockée dans le répertoire
.ssh de votre dossier HOME.

1. Exécutez la commande suivante sur un terminal pour générer la paire de clés publique et
privée :

$ ssh-keygen -t rsa -f ~/.ssh/wab_rsa2048


Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/martin/.ssh/wab_rsa2048.
Your public key has been saved in /home/martin/.ssh/wab_rsa2048.pub.

Vous pouvez également utiliser le paramètre -b TAILLE pour modifier la taille de la clé. La
taille par défaut d'une clé RSA dans la version actuelle de ssh-keygen est de 2048 bits, ce qui
représente une valeur raisonnable. Pour un usage au delà de 2030, une clé de 4096 bits est
toutefois recommandée.
2. Importez le fichier ~/.ssh/wab_rsa2048.pub dans WALLIX Bastion. Reportez-vous pour
cela Section 3.1, « Menu « Mes préférences » (nouvelle interface) », page 9 si vous utilisez la
nouvelle interface ou, Section 4.1, « Menu « Mes préférences » (interface par défaut) », page 12
si vous utilisez l'interface par défaut.
3. Si vous n'utilisez pas d'agent d'authentification, les commandes « ssh », « scp » et « sftp »
utiliseront directement soit la clé de l'identité par défaut ~/.ssh/id_rsa, soit la clé privée
passée en argument avec le paramètre -i CLÉ, par exemple :

$ ssh -t -i ~/.ssh/wab_rsa2048 -l root@asterix:martin wab.mycorp.lan


Enter passphrase for key '/home/martin/.ssh/wab_rsa2048':
4. Si vous utilisez un agent d'authentification, vous devrez importer la clé privée à chaque
redémarrage de l'agent :

$ ssh-add ~/.ssh/wab_rsa2048
Enter passphrase for /home/martin/.ssh/wab_rsa2048:

22
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Identity added: /home/martin/.ssh/wab_rsa2048 (/home/martin/.ssh/wab_rsa2048)

Vous pourrez alors vous connecter au proxy SSH sans avoir besoin d'entrer de nouveau
le mot de passe ni de passer le paramètre -i sur la ligne de commande (SSH essaiera
automatiquement toutes les identités ajoutées dans l'agent).

• Lancez votre connexion SSH (voir Section  3.1, «  Menu « Mes préférences  » (nouvelle
interface)  », page 9 si vous utilisez la nouvelle interface ou, Section  4.1, «  Menu « Mes
préférences » (interface par défaut) », page 12 si vous utilisez l'interface par défaut).

5.2.2. Génération d'une clé sous Windows


Pour générer avec PuTTY et utiliser une clé de chiffrement SSH sous Windows, vous pouvez suivre
la procédure décrite ci-dessous.

Dans cet exemple, wab_rsa2048 identifie la clé privée mais vous pouvez utiliser n'importe quel
nom de fichier valide.

1. Lancez PuTTYgen afin d 'afficher la fenêtre PuTTY Key Generator.


2. Dans la rubrique « Parameters », changez les options comme suit pour générer une clé SSH-2
RSA de 2048 bits.

Note : Pour un usage au delà de 2030, une clé de 4096 bits est recommandée.

Figure 5.1. Fenêtre PuTTY Key Generator


3. Cliquez sur le bouton « Generate » (Générer) puis bougez la souris de manière aléatoire pour
ajouter de l'entropie.
4. Une fois la clé générée, entrez un mot de passe de votre choix dans le champ «  Key
passphrase  » (Mot de passe de la clé) et une deuxième fois dans le champ «  Confirm
passphrase » (Confirmation du mot de passe).
5. Cliquez sur le bouton « Save private key » (Sauvegarder la clé privée) et enregistrez la clé dans
votre répertoire utilisateur, par exemple sous Mes documents\wab_rsa2048.ppk.

23
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

6. Sélectionnez le texte situé dans le cadre du champ «  Public key for pasting into OpenSSH
autorized_keys file  » (Clé publique à coller dans le fichier autorized_keys d'OpenSSH) (en
utilisant le menu contextuel appelé par le bouton droit de la souris ou en pressant simultanément
les touches Ctrl+A), puis copiez-le dans le presse-papier (en utilisant le menu contextuel ou
en pressant simultanément les touches Ctrl+C).

Figure 5.2. Fenêtre PuTTY Key Generator après génération de la clé


7. Créez un document texte vide en ouvrant le Bloc-notes. Collez le texte dans ce document
en utilisant le menu contextuel ou en pressant simultanément les touches Ctrl+V. Enregistrez
enfin ce document contenant la clé publique, par exemple sous Mes documents
\wab_rsa2048.pub.txt.
8. Fermez la fenêtre PuTTY Key Generator et le Bloc-notes.
9. Importez ce fichier de clé publique dans WALLIX Bastion. Reportez-vous Section 3.1, « Menu
« Mes préférences  » (nouvelle interface)  », page 9 si vous utilisez la nouvelle interface ou,
Section  4.1, «  Menu « Mes préférences  » (interface par défaut)  », page 12 si vous utilisez
l'interface par défaut.
10. Importez la clé privée dans votre client SSH pour l'utiliser lors de la connexion, en utilisant l'une
des méthodes suivantes :
• Si vous utilisez l'agent d'authentification Pageant :

Lancez Pageant (s'il n'est pas déjà lancé), puis double-cliquez sur son icône qui apparaît
dans la zone de notification de la barre des tâches de Windows : la fenêtre Pageant Key
List s'affiche. Cliquez sur le bouton « Add Key » et choisissez le fichier de la clé privée Mes
documents\wab_rsa2048.ppk en parcourant les répertoires.

24
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Figure 5.3. Fenêtre Pageant Key List après ajout de la clé

Vous pouvez alors vous connecter au proxy SSH avec PuTTY, PSCP, PSFTP, Filezilla ou
WinSCP (si ce dernier n'est pas configuré pour ne pas utiliser l'authentification Pageant).

Alternativement pour ajouter la clé vous pouvez simplement double cliquer sur le fichier de
la clé privée dans l'Explorateur de fichiers. Il faut pour cela que l'extension de fichier « .ppk »
ait été associée au programme Pageant.
• Si vous utilisez PuTTY sans Pageant :

Lancez PuTTY afin d'afficher la fenêtre PuTTY Configuration. Dans l'arborescence des
paramètres de configuration, choisissez la catégorie « Connection » | « SSH » | « Auth », puis
dans la section « Authentication parameters » cliquez sur le bouton « Browse » et choisissez
le fichier de la clé privée Mes documents\wab_rsa2048.ppk.

N'oubliez pas de sauvegarder les paramètres de configuration de la session si vous voulez


les réutiliser.
• Si vous utilisez PSCP ou PSFTP sans Pageant :

Ajoutez le paramètre -i CLÉ sur la ligne de commande.

$ pscp -scp -i "C:\Documents and Settings\martin\Mes documents\wab_rsa2048.ppk"


myfile martin@wab.mycorp.lan:root@asterix:/tmp

25
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Passphrase for key "rsa-key-20120914":


• Si vous utilisez FileZilla sans Pageant :
Lancez FileZilla puis sélectionnez le menu « Édition » | « Paramètres » puis dans la liste
sélectionnez la page de la rubrique SFTP. Cliquez sur le bouton « Ajouter une clé privée » et
choisissez le fichier de la clé privée Mes documents\wab_rsa2048.ppk

Figure 5.4. Page Paramètres de FileZilla - Rubrique SFTP


• Si vous utilisez WinSCP sans Pageant :
Lancez WinSCP. Sur la page de configuration de la « Session » (voir la figure 5.8, « Fenêtre
WinSCP Login - Rubrique Session », page 36), cliquez sur le bouton « ... » dans le champ
« Fichier de clé privée » et sélectionnez le fichier Mes documents\wab_rsa2048.ppk.
11. Lancez votre connexion SSH (voir Section 5.4.3, « Connexions SSH depuis un poste de travail
Windows », page 33).

Note :
Pour utiliser la fonctionnalité de transfert d'authentification par l'agent SSH, il est
nécessaire d'utiliser Pageant.

5.3. Authentification simplifiée en mode X509


WALLIX Bastion permet l'authentification par certificat X509 sur l'interface Web comme expliqué
Section 4.5, « Authentification forte par certificat X509 », page 19. Si vous êtes connecté(e) de
cette manière, un mécanisme d'authentification spécial s'applique aux sessions lancées à partir
des clients qui se connectent depuis la même adresse IP que celle depuis laquelle vous êtes
connecté(e) à l'interface Web : le client se met en attente pendant qu'une fenêtre de confirmation
apparaît dans votre navigateur pour vous demander si vous autorisez la nouvelle connexion.
Si vous cliquez sur « Oui », la connexion se fera immédiatement sans avoir besoin d'utiliser de clé
ou d'entrer de mot de passe.
Si vous cliquez sur « Non » ou ne répondez pas dans les 30 secondes, la connexion à WALLIX
Bastion pour la session souhaitée sera interrompue.
Un encadré vous permet de sauvegarder votre choix afin d'autoriser les connexions automatiques
multiples avec une seule confirmation soit pour les sessions RDP, soit pour les sessions SSH ou
encore pour les deux, en définissant une période de validité (en secondes).

26
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Avertissement :
Avec la plupart des clients, un message s'affiche sur l'interface Web pour vous informer
que WALLIX Bastion attend une confirmation. Ce n'est pas le cas si vous utilisez un client
SCP ou SFTP, qui restent en attente silencieusement car ils ne sont pas prévus pour
afficher de message du serveur.
Le navigateur et le client RDP ou SSH doivent tous deux être lancés sur le même poste
de travail (et donc utiliser la même adresse IP) pour permettre l'affichage de ce message
sur l'interface Web.

Si vous désirez revenir au comportement normal d'authentification des proxies, il suffit de vous
déconnecter de l'interface Web.

5.4. Connexions SSH
5.4.1. Spécificités SSH
Le protocole SSH est divisé en sous-protocoles déterminant principalement les types de canaux
que la session est autorisée à ouvrir. Ceux-ci sont les suivants :

• SSH_SHELL_SESSION : autorise le démarrage des sessions shell,


• SSH_REMOTE_COMMAND : autorise l'exécution de commandes à distance,
• SSH_SCP_UP : autorise le transfert de fichiers vers l'équipement cible (transfert SCP depuis le
client vers le serveur),
• SSH_SCP_DOWN  : autorise le transfert de fichiers depuis l'équipement cible (transfert SCP
depuis le serveur vers le client),
• SSH_X11 : autorise l'affichage d'applications X11 s'exécutant sur un équipement cible,
• SFTP_SESSION : autorise le transfert de fichiers bi-directionnel via SFTP (session SFTP),
• SSH_DIRECT_TCPIP : autorise la redirection directe de port TCP/IP (depuis le client vers le
serveur),
• SSH_REVERSE_TCPIP : autorise la redirection inverse de port TCP/IP (depuis le serveur vers
le client),
• SSH_AUTH_AGENT : autorise le transfert d'authentification par agent (auth-agent multi-hops),

Chacun de ces sous-systèmes fait l'objet d'une autorisation spécifique sur WALLIX Bastion.
L'ouverture d'un shell distant ou le transfert d'un fichier peut vous être refusé si vous ne possédez
pas l'autorisation sur le sous-système concerné.

Note :
Certains clients requièrent également l'autorisation SSH_SHELL_SESSION pour
effectuer le listing des répertoires quand ils sont utilisés en mode SCP.
Certaines autorisations doivent être associées à d'autres pour fonctionner correctement :
- l'autorisation SSH_X11 doit être associée à SSH_SHELL_SESSION ou
SSH_REMOTE_COMMAND (au moins à l'une des deux),
- l'autorisation SSH_AUTH_AGENT doit être associée à SSH_SHELL_SESSION ou
SSH_REMOTE_COMMAND (au moins à l'une des deux),

27
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

- l'autorisation SSH_REVERSE_TCPIP doit être associée à SSH_SHELL_SESSION.

5.4.2. Connexions SSH depuis un poste de travail sous


Unix/Linux
La suite d'outils OpenSSH est la suite de clients SSH la plus généralement disponible sur Linux et
les différentes versions d'Unix, cette section décrit donc l'utilisation de WALLIX Bastion seulement
avec celle-ci. D'autres suites d'outils similaires peuvent être disponibles sur différents parfums
d'Unix mais présentent généralement les mêmes fonctionnalités. Veuillez vous référer dans ce cas
à la page de manuel correspondante pour vérifier la syntaxe correcte de votre suite particulière.
Les exemples qui suivent dans les sections 5.4.2.2, page 28 à 5.4.2.7, page 31 fonctionnent
avec une authentification par mot de passe ou par clé, avec ou sans agent d'authentification.

5.4.2.1. Connexion à la cible en mode interactif pour les protocoles SCP et SFTP


Les protocoles SCP et SFTP ne permettant pas l'authentification en mode interactif sur un compte
cible, il est alors nécessaire de rajouter des options spécifiques lors de la connexion primaire
(c'est-à-dire la connexion initiée entre l'utilisateur et WALLIX Bastion) pour obtenir des invites de
connexion sur la cible, sous la forme d'invites de commande ou boîtes de dialogue, en utilisant le
clavier interactif primaire (« keyboard interactive »). Ceci suppose que le client supporte la méthode
d'authentification par le clavier interactif (« keyboard interactive »).
Le point d'interrogation « ? » est un caractère interdit dans l'identifiant de l'utilisateur mais il peut
être utilisé comme séparateur pour indiquer des options (à droite) demandant explicitement une
invite pour saisir un identifiant et/ou mot de passe de connexion à la cible.
L'option « p » demande le mot de passe de la cible.
L'option « l » demande l'identifiant (ou login) de la cible.
Le point d'interrogation « ? » sans option demande par défaut le mot de passe de la cible.
Exemples :
Identifiant : “wabuser” : pas d'invite supplémentaire,
Identifiant : “wabuser?” : invite de saisie du mot de passe de la cible,
Identifiant : “wabuser?p” : invite de saisie du mot de passe de la cible,
Identifiant : “wabuser?l” : invite de saisie de l'identifiant de la cible,
Identifiant : “wabuser?lp” : invite de saisie de l'identifiant de la cible en premier, puis invite de
saisie du mot de passe de la cible.

5.4.2.2. Lancement de sessions shell


$ ssh -l root@asterix:OpenSSH:martin wab.mycorp.lan
martin's password:

• «  martin  » désigne un utilisateur déclaré dans WALLIX Bastion et ayant l'autorisation


« SSH_SHELL_SESSION ». Cet identifiant n'est pas sensible à la casse.
• « wab.mycorp.lan » est le FQDN de WALLIX Bastion.
• « root@asterix:OpenSSH » désigne le compte (root), la machine (asterix) et le service cible
(OpenSSH). Cette partie est sensible à la casse.

28
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Note :
Selon la configuration mise en place par l'administrateur, il est possible qu'une
authentification soit demandée pour le compte root@asterix:OpenSSH.

La syntaxe alternative suivante est aussi acceptée pour raison de compatibilité, mais elle est
désapprouvée :

$ ssh -t martin@wab.mycorp.lan root@asterix:OpenSSH


martin's password:

Note :
L'option « -t » de la ligne de commande SSH est indispensable dans ce cas. Elle permet
l'allocation du pseudo-terminal nécessaire à l'affichage de la session.

S'il n'y a qu'un seul service SSH, TELNET ou RLOGIN déclaré sur la machine cible, le nom du
service peut être omis :

$ ssh -t martin@wab.mycorp.lan root@asterix


martin's password:

5.4.2.3. Exécution de commandes à distance


WALLIX Bastion permet de déclencher l'exécution de commandes à distance sur une ou plusieurs
machines si vous disposez de l'autorisation « SSH_REMOTE_COMMAND » (voir Section 5.4.1,
« Spécificités SSH », page 27). La connexion automatique (« auto logon ») doit également être
active sur le compte cible.

$ ssh -l root@asterix:OpenSSH:martin wab.mycorp.lan halt


martin's password:

ou en utilisant l'ancienne syntaxe désapprouvée :

$ ssh martin@wab.mycorp.lan root@asterix:OpenSSH halt


martin's password:

ou s'il n'y a qu'un seul service SSH, TELNET ou RLOGIN sur cette machine :

$ ssh martin@wab.mycorp.lan root@asterix halt


martin's password:

Ainsi, la commande « halt » est exécutée sur la machine « asterix », sans ouverture du shell.

5.4.2.4. Transfert de fichiers avec SCP


Pour transférer un fichier du client vers la cible :

$ scp myfile root@asterix+OpenSSH+martin@wab.mycorp.lan:/tmp


martin's password:

• «  martin  » désigne un utilisateur déclaré dans WALLIX Bastion et ayant l'autorisation


« SSH_SCP_UP ». Cet identifiant n'est pas sensible à la casse.
• «  root@asterix+OpenSSH  » désigne le compte (root), la machine (asterix) et le service
(OpenSSH). Cette partie est sensible à la casse. La connexion automatique (« auto logon ») doit
être active sur ce compte.

29
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Pour transférer un fichier de la cible vers le client :

$ scp root@asterix+OpenSSH+martin@wab.mycorp.lan:/tmp/myfile /tmp


martin's password:

• «  martin  » désigne un utilisateur déclaré dans WALLIX Bastion et ayant l'autorisation


« SSH_SCP_DOWN ». Cet identifiant n'est pas sensible à la casse.
• «  root@asterix+OpenSSH  » désigne le compte (root), la machine (asterix) et le service
(OpenSSH). Cette partie est sensible à la casse. La connexion automatique (« auto logon ») doit
être active sur ce compte.

La syntaxe alternative suivante est aussi acceptée pour raison de compatibilité, mais elle est
désapprouvée :

$ scp myfile martin@wab.mycorp.lan:root@asterix:OpenSSH:/tmp


martin's password:

$ scp martin@wab.mycorp.lan:root@asterix:OpenSSH:/tmp/myfile /tmp


martin's password:

S'il n'y a qu'un seul service SSH déclaré sur la machine cible, le nom du service peut être omis :

$ scp myfile martin@wab.mycorp.lan:root@asterix:/tmp


martin's password:

$ scp martin@wab.mycorp.lan:root@asterix:/tmp/myfile /tmp


martin's password:

5.4.2.5. Transfert de fichiers avec SFTP


$ sftp root@asterix:OpenSSH:martin@wab.mycorp.lan
Connecting to wab.mycorp.lan...
martin's password:
sftp>

• «  martin  » désigne un utilisateur déclaré dans WALLIX Bastion et ayant l'autorisation


« SFTP_SESSION ». Cet identifiant n'est pas sensible à la casse.
• « root@asterix:OpenSSH » désigne le compte (root), la machine (asterix) et le service cible
(OpenSSH). Cette partie est sensible à la casse. La connexion automatique (« auto logon ») doit
être active sur ce compte.

S'il n'y a qu'un seul service SSH déclaré sur la machine cible, le nom du service peut être omis :

$ sftp root@asterix:martin@wab.mycorp.lan
Connecting to wab.mycorp.lan...
martin's password:
sftp>

5.4.2.6. Lancement des sessions X11


$ ssh -X -l root@asterix:OpenSSH:martin wab.mycorp.lan
martin's password:

• «  martin  » désigne un utilisateur déclaré dans WALLIX Bastion et ayant l'autorisation


« SSH_X11 ». Cet identifiant n'est pas sensible à la casse.

30
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

• « root@asterix:OpenSSH » désigne le compte (root), la machine (asterix) et le service cible


(OpenSSH). Cette partie est sensible à la casse.

L'option « -X » de la ligne de commande SSH indique à WALLIX Bastion que l'on souhaite initier
une session de type « X11 Forwarding » : les applications graphiques lancées sur l'équipement
cible dans le cadre de cette session s'afficheront sur le poste de travail.

La syntaxe alternative suivante est aussi acceptée pour raison de compatibilité, mais elle est
désapprouvée :

$ ssh -t -X martin@wab.mycorp.lan root@asterix:OpenSSH


martin's password:

S'il n'y a qu'un seul service SSH déclaré sur la machine cible, le nom du service peut être omis :

$ ssh -t -X martin@wab.mycorp.lan root@asterix


martin's password:

5.4.2.7. Se connecter sans connaître le nom de la cible


WALLIX Bastion permet de lister les équipements accessibles à un utilisateur. Il suffit pour cela de
ne pas préciser la cible dans la commande de connexion. Ceci n'est néanmoins possible qu'avec
les sessions interactives (shell ou X11).

La liste de ces équipements s'affiche en utilisant la commande suivante :

$ ssh -t martin@wab.mycorp.lan
martin's password:
| ID | Site (page 1/1)
|----|-----------------------------------
| 0 | root@centos:ssh_2222
| 1 | root@asterix:OpenSSH
Enter h for help, ctrl-D to quit

Vous pouvez alors sélectionner la cible souhaitée en saisissant son numéro.

5.4.2.8. Se connecter avec l'agent d'authentification


Si vous désirez utiliser l'agent d'authentification, vous devez le démarrer et y ajouter vos paramètres
d'authentification avant d'utiliser les commandes de connexion.

Note :
Dans certains environnements graphiques, un agent contenant toutes les identités de
l'utilisateur est déjà activé lors de la connexion. Les commandes décrites ci-dessous ne
sont alors pas nécessaires. C'est généralement le cas sur les distributions à base Debian
ou Ubuntu, mais pas sur les distributions à base RedHat. Cela peut toutefois varier selon
votre configuration.

Lancez d'abord l'agent résident dans votre session shell par la commande suivante ; celle-ci
ajoute la déclaration de l'agent dans l'environnement du shell de manière qu'il soit utilisable
automatiquement par les programmes compatibles :

$ eval $(ssh-agent)

Ajoutez ensuite une ou plusieurs identités à cet agent :

31
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

$ ssh-add CHEMIN_CLÉ_PRIVÉE
Enter passphrase for CHEMIN_CLÉ_PRIVÉE:

« CHEMIN_CLÉ_PRIVÉE » désigne le chemin de la clé privée de l'identité désirée, généralement


stockée dans le répertoire « ~/.ssh », par exemple « ~/.ssh/id_rsa ».

Vous pouvez alors utiliser l'une des commandes de connexion décrites dans les sections
précédentes (5.4.2.2, page 28 à 5.4.2.7, page 31) sans avoir à re-saisir le mot de passe.
Celles-ci utiliseront automatiquement l'agent pour les authentifications par clés tant qu'il sera
disponible et déclaré dans l'environnement du shell.

5.4.2.9. Se connecter en activant le transfert d'authentification


Si vous utilisez l'agent d'authentification, vous pouvez activer l'option de transfert d'authentification
si celle-ci est également activée dans WALLIX Bastion sur le compte cible voulu. Ceci n'est possible
qu'avec les sessions shell ou commande à distance, en ajoutant l'option « -A » comme ceci :

$ ssh -A -t martin@wab.mycorp.lan

L'option « -A » de la ligne de commande SSH indique à WALLIX Bastion que l'on souhaite initier
une session avec transfert d'authentification : si l'option est également activée dans la déclaration
du compte cible demandé, les paramètres d'authentification utilisés pour la connexion à WALLIX
Bastion seront réutilisés pour se connecter à la cible.

Avertissement :
Le transfert d'authentification n'est pas compatible avec les clés RSA de plus de 2048
bits et ne fonctionne pas si l'agent contient à la fois des identités RSA et DSA.

5.4.2.10. Se connecter via SCP avec le transfert d'authentification


Le client SCP d'OpenSSH n'est pas directement compatible avec le transfert d'authentification. Il
existe toutefois un moyen de le faire fonctionner au moyen d'un script wrapper et d'un script lanceur
qui passent les bonnes options à la commande SSH sous-jacente.

Créez, dans un répertoire de votre PATH, le fichier script lanceur nommé « scp-A » contenant ceci :

#!/bin/sh
scp -oForwardAgent=yes -S scp-A-wrapper "$@"

Créez ensuite dans le même répertoire le script wrapper « scp-A-wrapper » avec le contenu
suivant :

#!/usr/bin/perl
exec '/usr/bin/ssh', map {($_ =~ /^-oForwardAgent[ =]no$/) || ($_ eq '-a') ? (
) : $_} @ARGV;

Rendez ces deux fichiers exécutables avec la commande « chmod » :

$ chmod +x scp-A scp-A-wrapper

Vous pouvez alors utiliser le script lanceur « scp-A » en lieu et place de la commande « scp » :

$ scp-A myfile martin@wab.mycorp.lan:root@asterix:/tmp

$ scp-A martin@wab.mycorp.lan:root@asterix:/tmp/myfile /tmp

32
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

5.4.3. Connexions SSH depuis un poste de travail Windows


5.4.3.1. Session shell avec le logiciel PuTTY

Figure 5.5. Fenêtre PuTTY Configuration - Rubrique Session

1. Dans l'arborescence «  Category  », sélectionnez «  Session  » et saisissez les informations


suivantes dans la zone « Specify the destination you want to connect to » :
• Host Name: renseigner le FQDN ou l'adresse IP de WALLIX Bastion.
• Port: saisir la valeur 22 (port d'écoute du proxy SSH de WALLIX Bastion).
2. Dans l'arborescence « Category », sélectionnez « Connection » | « Data » et entrez le nom du
compte cible, de l'équipement, du service cible et l'identifiant de l'utilisateur WALLIX Bastion
dans le champ « Auto-login username » (l'identifiant de l'utilisateur WALLIX Bastion n'est pas
sensible à la casse, contrairement aux autres champs) :

33
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Figure 5.6. Fenêtre PuTTY Configuration - Rubrique Connection

Avertissement :
PuTTY ne permet pas de sauvegarder le mot de passe de l'utilisateur. Celui-ci vous sera
demandé à la connexion si vous utilisez ce mode d'authentification.

Si vous désirez utiliser l'authentification par clé sans utiliser l'agent d'authentification, vous pouvez
également spécifier le fichier de clé privée dans le champ « Private key file for authentication »
accessible depuis l'arborescence en sélectionnant « Connection » | « SSH » | « Auth ». Cela ne
s'avère pas nécessaire si vous utilisez l'agent d'authentification.

Note :
Pour utiliser l'agent d'authentification (voir Section  5.4.3.5, «  Se connecter avec
l'agent d'authentification  », page 37) vous devez vous assurer que la case du
champ «  Attempt authentication using Pageant  » est bien cochée dans le panneau
« Connection » | « SSH » | « Auth ».

5.4.3.2. Transfert de fichiers avec PSCP


C:\> pscp -scp myfile root@asterix+OpenSSH+martin@wab.mycorp.lan:/tmp
martin's password :

La commande ci-dessus permet de transférer le fichier «  myfile  » entre le poste local et le


répertoire «  /tmp » à l'aide du compte « root » sur l'équipement « asterix ». La connexion
automatique (« auto logon ») doit être active sur ce compte.

La syntaxe alternative suivante est aussi acceptée pour raison de compatibilité, mais elle est
désapprouvée :

C:\> pscp -scp myfile martin@wab.mycorp.lan:root@asterix:OpenSSH:/tmp

34
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

martin's password :

5.4.3.3. Transfert de fichiers avec FileZilla


Renseigner les informations suivantes dans la fenêtre « Gestionnaire de Sites » (accessible depuis
le menu « Fichier », puis « Gestionnaire de Sites ») :

• Hôte : « wab.mycorp.lan » est le FQDN ou l'adresse IP de WALLIX Bastion.


• Port : « 22 » est le port d'écoute TCP du proxy SSH.
• Protocole : choisir « SFTP – SSH File Transfer Procotol ».
• Type d'authentification : choisir « Normale ».
• Identifiant :
– «  martin  » désigne un utilisateur déclaré dans WALLIX Bastion et ayant l'autorisation
« SFTP_SESSION ». Cet identifiant n'est pas sensible à la casse.
– « root@asterix:OpenSSH » désigne le compte (root), la machine (asterix) et le service cible
(OpenSSH). Cette partie est sensible à la casse. La connexion automatique (« auto logon »)
doit être active sur ce compte.

S'il n'y a qu'un seul service SSH déclaré sur la machine cible, le nom du service peut être omis
comme ceci : « root@asterix ».
• Mot de passe : mot de passe WALLIX Bastion de l'utilisateur « martin ».

Figure 5.7. Filezilla - Fenêtre Gestionnaire de Sites

5.4.3.4. Transfert de fichiers avec WinSCP


Renseigner les informations suivantes dans la rubrique « Session » sur l'arborescence :

• Protocole de fichier : choisir « SFTP ».


• Nom d'hôte : « wab.mycorp.lan » est le FQDN ou l'adresse IP de WALLIX Bastion.
• Numéro de port : « 22 » est le port d'écoute TCP du proxy SSH.
• Nom d'utilisateur :
– «  martin  » désigne un utilisateur déclaré dans WALLIX Bastion et ayant l'autorisation
« SFTP_SESSION ». Cet identifiant n'est pas sensible à la casse.

35
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

– « root@asterix:OpenSSH » désigne le compte (root), la machine (asterix) et le service cible


(OpenSSH). Cette partie est sensible à la casse. La connexion automatique (« auto logon »)
doit être active sur ce compte.

S'il n'y a qu'un seul service SSH déclaré sur la machine cible, le nom du service peut être omis
comme ceci : « root@asterix ».
• Mot de passe : mot de passe WALLIX Bastion de l'utilisateur « martin ».

Figure 5.8. Fenêtre WinSCP Login - Rubrique Session

Dans la rubrique «  Préférences  », sélectionner « Transférer  » et renseigner les informations


suivantes :

• 1ère étape : cadre « Options d'envoi » :


– cochez la case du champ « Ignorer erreurs de permission »,

• 2ème étape : cadre « Options courantes » :


– décochez la case du champ « Préserver la date ».

Note :
Il faut impérativement effectuer les opérations mentionnées ci-dessus dans cet ordre. La
case « Préserver la date » une fois décochée empêche toute modification de la case
« Ignorer erreurs de permission ».

Note :
Pour utiliser l'agent d'authentification (voir Section 5.4.3.5, « Se connecter avec l'agent
d'authentification  », page 37) vous devez vous assurer que la case du champ
« Essayer l'authentification avec Pageant » est bien cochée dans le panneau « SSH/
Authentification » des « Options avancées ».

36
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Figure 5.9. Fenêtre Préférences - Rubrique Transférer

5.4.3.5. Se connecter avec l'agent d'authentification


Si vous désirez utiliser l'agent d'authentification, vous devez le démarrer et y ajouter vos paramètres
d'authentification avant d'utiliser PuTTY, WinSCP ou FileZilla.

Lancez d'abord l'agent d'authentification Pageant. Ajoutez ensuite une ou plusieurs identités à cet
agent. Cliquez pour cela avec le bouton droit de la souris sur l'icône de Pageant dans la zone de
notification de la barre des tâches et sélectionnez « Add key » dans le menu contextuel.

Vous pouvez alors utiliser l'un des programmes décrits dans les sections précédentes
(5.4.3.1, page 33 à 5.4.3.4, page 35) sans avoir à re-saisir le mot de passe. Ceux-ci utiliseront
automatiquement l'agent pour les authentifications par clés tant qu'il sera disponible.

5.4.3.6. Se connecter avec PuTTY en activant le transfert d'authentification


Si vous utilisez l'agent d'authentification, vous pouvez utiliser l'option de transfert d'authentification
si celle-ci est également activée sur le compte cible voulu.

Dans l'arborescence « Category », sélectionnez « Connection » | « SSH » | « Auth », puis cochez


l'option « Allow agent forwarding » pour indiquer à WALLIX Bastion que l'on souhaite initier une
session avec transfert d'authentification  : si l'option est également activée dans la déclaration
du compte cible demandé, les paramètres d'authentification utilisés pour la connexion à WALLIX
Bastion seront réutilisés pour se connecter à la cible.

Avertissement :
Le transfert d'authentification n'est pas compatible avec les clés RSA de plus de 2048
bits et ne fonctionne pas si l'agent contient à la fois des identités RSA et DSA.

37
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

5.5. Connexions RDP
5.5.1. Spécificités RDP
Le protocole RDP est divisé en sous-protocoles déterminant principalement les actions autorisées
pour la session. Ceux-ci sont les suivants :

• RDP_CLIPBOARD_UP : autorise le transfert de données via le presse-papier depuis le client


vers la session RDP,
• RDP_CLIPBOARD_DOWN : autorise le transfert de données via le presse-papier depuis la
session vers le client RDP,
• RDP_CLIPBOARD_FILE : autorise le transfert de fichier avec la fonction copier/coller via le
presse-papier,
• RDP_PRINTER : autorise l'utilisation d'imprimantes locales lors de la session à distance,
• RDP_COM_PORT : autorise l'utilisation de ports locaux série et parallèle lors de la session à
distance,
• RDP_DRIVE : autorise l'utilisation de disques locaux lors de la session à distance,
• RDP_SMARTCARD : autorise l'utilisation des cartes à puces locales lors de la session à distance,
• RDP_AUDIO_OUTPUT : autorise la lecture audio lors de la session à distance.

Chacun de ces sous-systèmes fait l'objet d'une autorisation spécifique sur WALLIX Bastion.

Le transfert de données via le presse-papier ou l'utilisation de votre disque local lors de la session à
distance peut vous être refusé si vous ne possédez pas l'autorisation sur le sous-système concerné.

Note :
Certaines autorisations doivent être associées à d'autres pour fonctionner correctement :

- l'autorisation RDP_CLIPBOARD_FILE doit être associée à RDP_CLIPBOARD_UP pour


transférer un fichier via le presse-papier depuis le client vers la session RDP,

- l'autorisation RDP_CLIPBOARD_FILE doit être associée à RDP_CLIPBOARD_DOWN


pour transférer un fichier via le presse-papier depuis la session vers le client RDP.

5.5.2. Connexions RDP depuis un poste de travail Linux


Sous Linux, vous pouvez utilisez le client RDP rdesktop ou un équivalent. Ce document présente
l'utilisation de rdesktop.

$ rdesktop wab.mycorp.lan

La commande ci-dessus provoque l'affichage de la fenêtre suivante :

38
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Figure 5.10. Fenêtre de connexion RDP

Le champ «  Login  » doit contenir une expression de type


« administrateur@win2003:BureauDistant:martin » dans laquelle :

• « martin » désigne un utilisateur déclaré dans WALLIX Bastion ayant l'autorisation « RDP ». Cet
identifiant n'est pas sensible à la casse.
• «  administrateur@win2003:BureauDistant  » désigne le compte (administrateur), la machine
(win2003) et le service (BureauDistant) d'une cible déclarée sur WALLIX Bastion auquel
l'utilisateur « martin » a accès. Cette partie est sensible à la casse.

S'il n'y a qu'un seul service RDP ou VNC déclaré sur la machine cible, le nom du service peut
être omis comme ceci : « administrateur@win2003 ».

Le champ « Mot de passe » doit être renseigné avec le mot de passe WALLIX Bastion de l'utilisateur
« martin ».

Un clic sur l'icône en forme de flèche établit la connexion avec la machine distante et la session
Windows apparaît sur votre poste de travail.

Il est également possible de renseigner le paramètre « login » sur la ligne de commande rdesktop
avec la ligne de commande suivante :

$ rdesktop -u administrateur@win2003:BureauDistant:martin wab.mycorp.lan

La fenêtre ci-dessous s'affiche alors :

39
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Figure 5.11. Fenêtre de connexion RDP pré-remplie


Il ne reste plus alors qu'à renseigner le champ « Mot de passe » et cliquer sur l'icône en forme de
flèche pour établir la connexion avec la machine distante.
Il est également possible d'indiquer uniquement un nom d'utilisateur WALLIX Bastion. On accède
alors à une page intermédiaire qui affiche la liste des serveurs accessibles :

Figure 5.12. Fenêtre du sélecteur RDP


La fenêtre du sélecteur RDP affiche les informations suivantes :

• toutes les ressources accessibles,


• le groupe auxquelles elles appartiennent,
• le type de serveur distant (VNC ou RDP).

40
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Si un serveur accessible appartient à différents groupes, plusieurs entrées correspondant à la


même ressource distante apparaîtront dans la liste. Si la liste est longue, il est possible d'appliquer
un filtre sur le groupe, le compte ou le protocole pour affiner la recherche.
Il suffit alors de sélectionner le serveur désiré en mettant en surbrillance la ligne correspondante
puis, cliquer sur le bouton « Connecter » pour accéder au serveur distant.
Avant la connexion à l'équipement proprement dite, différentes boîtes de dialogue peuvent être
affichées et/ou demander confirmation à l'utilisateur. L'utilisateur peut ainsi être prévenu que sa
session est enregistrée, que son mot de passe va bientôt expirer, où de l'heure à laquelle la
connexion sera coupée automatiquement.

Note :
Voici quelques options utiles pour rdesktop :

• « -u » permet de saisir le login,

• « -g 1024x768 » permet de choisir la résolution désirée (remplacer 1024x768 par


la taille désirée),

• «  -a 24  » permet de choisir la profondeur de couleur (bits par pixel). Les valeurs
supportées sont 8, 15, 16 et 24,

• « -0 » permet de se connecter à la console du poste distant.

Les colonnes du sélecteur RDP peuvent être redimensionnées afin d'afficher correctement le
texte tronqué, en cliquant sur l'icône représentant un carré dans les en-têtes des colonnes
concernées, comme illustré Figure  5.13, «  Fenêtre du sélecteur RDP - En-tête de la colonne
«  Autorisation  » affichant une icône pour le redimensionnement du texte tronqué  », page 41 et
Figure 5.14, « Fenêtre du sélecteur RDP - Colonne « Autorisation » affichant le texte complet après
redimensionnement », page 42.

Figure 5.13. Fenêtre du sélecteur RDP - En-tête de la colonne « Autorisation »


affichant une icône pour le redimensionnement du texte tronqué

41
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Figure 5.14. Fenêtre du sélecteur RDP - Colonne « Autorisation »


affichant le texte complet après redimensionnement

5.5.3. Connexions RDP depuis un poste de travail Windows


(XP, Vista ou 7, 8 ou 10)
L'ouverture d'une session RDP depuis un poste de travail Windows peut s'opérer selon deux
modes  : depuis l'interface Web ou directement depuis la fenêtre «  Connexion bureau à
distance » (Client Terminal Server).

5.5.3.1. Connexion depuis l'interface Web de WALLIX Bastion


Dans la page « Sessions » dans le menu « Mes autorisations », vous pouvez accéder à la cible
en cliquant sur l'une des icônes suivantes (pour les comptes cibles de type RDP) au début de la
ligne souhaitée :

• : cette icône vous permet de télécharger un fichier de configuration que vous pouvez
sauvegarder sur votre poste de travail afin d'établir une connexion depuis un client RDP. Dans
ce cas, le mot de passe WALLIX Bastion est requis pour la connexion.
• : cette icône vous permet d'ouvrir le fichier pour établir une connexion immédiate depuis un
client RDP puis, d'accéder à la machine distante. Dans ce cas, aucun mot de passe n'est requis
mais l'accès est autorisé pour une durée limitée.

5.5.3.2. Connexion depuis le Bureau à distance (Client Terminal Server)


Pour se connecter au proxy RDP de WALLIX Bastion via la fenêtre «  Connexion bureau à
distance » (Client Terminal Server) :

42
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Figure 5.15. Fenêtre « Connexion bureau à distance »

Un clic sur le bouton « Connexion » fait apparaître la mire comme illustré Figure 5.10, « Fenêtre
de connexion RDP », page 39.

Le champ «  Login  » doit contenir une expression de type


« administrateur@win2003:BureauDistant:martin » dans laquelle :

• « martin » désigne un utilisateur déclaré dans WALLIX Bastion ayant l'autorisation « RDP ». Cet
identifiant n'est pas sensible à la casse.
• «  administrateur@win2003:BureauDistant  » désigne le compte (administrateur), la machine
(win2003) et le service (BureauDistant) d'une cible déclarée sur WALLIX Bastion et auquel
l'utilisateur « martin » a accès. Cette partie est sensible à la casse.

S'il n'y a qu'un seul service RDP ou VNC déclaré sur la machine cible, le nom du service peut
être omis comme ceci : « administrateur@win2003 ».

Le champ « Mot de passe » doit être renseigné avec le mot de passe WALLIX Bastion de l'utilisateur
« martin ».

Un clic sur l'icône en forme de flèche établit la connexion avec la machine distante et la session
Windows apparaît sur votre poste de travail.

Il est également possible d'indiquer uniquement un nom d'utilisateur WALLIX Bastion. On accède
alors à une page intermédiaire qui affiche la liste des serveurs accessibles :

43
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Figure 5.16. Fenêtre du sélecteur RDP

La fenêtre du sélecteur RDP affiche les informations suivantes :

• toutes les ressources accessibles,


• le groupe auxquelles elles appartiennent,
• le type de serveur distant (VNC ou RDP).

Si un serveur accessible appartient à différents groupes, plusieurs entrées correspondant à la


même ressource distante apparaîtront dans la liste. Si la liste est longue, il est possible d'appliquer
un filtre sur le groupe, le compte ou le protocole pour affiner la recherche.

Il suffit alors de sélectionner le serveur désiré en mettant en surbrillance la ligne correspondante


puis, cliquer sur le bouton « Connecter » pour accéder au serveur distant.

Avant la connexion à l'équipement proprement dite, différentes boîtes de dialogue peuvent être
affichées et/ou demander confirmation à l'utilisateur. L'utilisateur peut ainsi être prévenu que sa
session est enregistrée, que son mot de passe va bientôt expirer, où de l'heure à laquelle la
connexion sera coupée automatiquement.

Note :
Il est également possible de se connecter sur la console distante. Pour cela, il faut lancer
le client MSTSC à l'aide de l'invite « Exécuter » de Windows à l'aide de « mstsc /admin
» ou « mstsc /console » selon vos versions de Windows (le paramètre « /admin »
doit être utilisé à partir de Windows Vista SP3).

44
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Device redirection

Le proxy RDP embarqué dans WALLIX Bastion permet le « device


redirection », c'est-à-dire la possibilité de faire apparaître, dans le
« Poste de travail » de la session Windows distante, des ressources
du poste de travail local : imprimante, répertoire, presse-papier,...

Cette fonctionnalité autorise notamment le transfert de fichiers par glisser-déplacer


entre les deux machines Windows, à l'intérieur même de la session RDP ou bien
encore le copier-coller de texte entre le poste local et la machine distante et vice versa.

Attention, il peut être nécessaire d'activer cette fonctionnalité depuis


l'interface du Client Terminal Server pour qu'elle soit disponible.
Figure 5.17. Paramètres de lancement du client MSTSC sous Windows 7

45
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Chapitre 6. Gestion des demandes


d'approbations
Si vous appartenez à un groupe d'approbateurs, vous aurez à gérer des demandes d'approbations
formulées par les utilisateurs souhaitant se connecter ou encore visualiser les mots de passe pour
les cibles concernées par une autorisation spécifique. Dès qu'un utilisateur fait une demande, vous
en êtes informé(e) par courrier électronique.

Pour approuver ou rejeter une demande, il faut ouvrir la page « Mes approbations en cours » dans
le menu « Autorisations ». Cette page liste toutes les demandes en cours qui ont été envoyées
comme illustré Figure 6.1, « Page « Mes approbations en cours » », page 46.

Figure 6.1. Page « Mes approbations en cours »

Vous devez sélectionner une demande et cliquer sur l'icône du bloc-notes au début de la ligne pour
ouvrir la page affichant le détail de la demande d'approbation comme illustré Figure 6.2, « Page du
détail de la demande d'approbation », page 47.

Sur cette page, vous pouvez :

• cliquer sur le bouton « Notifier les approbateurs » pour notifier à nouveau les approbateurs,
• visualiser les réponses des autres approbateurs,
• indiquer dans la zone « Commentaire » le motif de votre approbation/rejet de la demande,
• réduire la durée de la demande en modifiant la valeur dans le champ « Durée »,
• réduire le timeout paramétré pour la connexion en modifiant la valeur dans le champ « Timeout ».
Si l'utilisateur n'a pas effectué de connexion sur la cible et que ce timeout est passé, alors la
demande au statut « accepté » passe au statut « fermé ».
• cliquer sur le bouton «  Annuler  », «  Rejeter  » ou «  Approuver  » pour effectuer l'action
correspondante.

Étant donné qu'il est toujours possible d'ouvrir une session ou d'accéder aux accréditations de la
cible tant que la durée d'une demande acceptée n'est pas dépassée, l'approbateur peut annuler
la demande avant son expiration pour interdire à l'utilisateur d'accéder de nouveau à la cible en
cliquant sur le bouton « Annuler ».

46
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Figure 6.2. Page du détail de la demande d'approbation

Sur la page «  Mon historique d'approbation  », vous pouvez visualiser toutes les demandes
qui ne sont plus en attente d'approbation comme illustré Figure  6.3, «  Page «  Mon historique
d'approbation » », page 48.

Vous pouvez définir des filtres dans le haut de la page pour faciliter la recherche et restreindre
l'affichage aux lignes souhaitées. Les filtres disponibles sont :

• la définition d'une période,


• la définition des N derniers jours ou N dernières semaines ou N derniers mois,
• une recherche par occurrences dans les colonnes en renseignant les éléments de la recherche
dans la zone du champ « Rechercher : ».

Le symbole * peut être utilisé dans ce champ pour effectuer une recherche spécifique. Ce
caractère peut être positionné à n'importe quel endroit pour remplacer toute chaîne de caractères
(chaînes vides y compris) dans les termes de la recherche.

Le tableau ci-dessous illustre les types possibles de recherche avec l'utilisation du symbole * :

Chaîne de Renvoie uniquement les lignes dont


recherche au moins une colonne contient...
rdp* toute chaîne commençant par le mot « rdp » (ex. : RDPDevice1)
*rdp toute chaîne se terminant par le mot « rdp » (ex. : ServiceRdp)
*rdp* or rdp toute chaîne contenant le mot « rdp », sans tenir compte de la position du
mot-clé dans la chaîne de caractères trouvée.
r*p toute chaîne commençant par « r » et se terminant par « p ». (ex. : Rdp, RP)

En cliquant sur l'icône du bloc-notes au début de la ligne, vous êtes redirigé(e) sur le détail des
réponses à la demande.

Si la demande est au statut « accepté », vous pouvez annuler la demande avant son expiration en
cliquant sur le bouton « Annuler la demande ».

Toutes les données sur cette page peuvent être téléchargées sous forme de fichier CSV.

47
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Figure 6.3. Page « Mon historique d'approbation »

48
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Chapitre 7. Problèmes de connexion
7.1. Généralités
Une connexion vers un compte cible peut échouer pour les raisons suivantes :

• le service WALLIX Bastion est indisponible ou non accessible,


• l'identifiant et/ou le mot de passe utilisateur est/sont erroné(s),
• l'équipement cible est inaccessible,
• le compte cible n'existe pas,
• le mot de passe du compte cible est erroné,
• l'accès au compte cible n'est pas autorisé,
• la tentative de connexion est en dehors de la plage horaire autorisée,
• le protocole n'est pas autorisé,
• le nombre maximal de connexions simultanées autorisées a été atteint (cette information est
affichée sur la page « Licence » accessible depuis le menu « Configuration »).

7.2. Session SSH muette


Sur certaines plates-formes cibles, il arrive que les caractères émis par l'équipement cible ne
s'affichent pas à l'écran et que l'écho des caractères entrés au clavier soit absent.

Ce problème a notamment été détecté sur les cibles suivantes :

• serveurs TELNET Open Solaris,


• serveurs TELNET Solaris 8.

Il est résolu en supprimant l'allocation d'un pseudo-terminal (TTY).

Ce qui donne en ligne de commande sous Unix/Linux :

$ ssh -T root@obelix:martin@wab.mycorp.lan

martin's password:

Lancez PuTTY afin d'afficher la fenêtre PuTTY Configuration. Dans l'arborescence « Category »,
sélectionnez « Connection » | « SSH » | « TTY », puis cochez la case du champ « Don't allocate
a pseudo-terminal ».

49
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Figure 7.1. Désactivation du pseudo-terminal TTY sous PuTTY

50
WALLIX Bastion 7.3.2 – Guide de l'Utilisateur

Chapitre 8. Contacter le Support
WALLIX Bastion
Le support technique de WALLIX Bastion est joignable pour vous apporter son assistance du lundi
au vendredi (sauf jours fériés) de 08:00 à 19:00 CET, par les moyens suivants:

Web : https://support.wallix.com/

Téléphone : 01 70 36 37 50 (depuis la France) / +33 1 70 36 37 50 (depuis l'étranger)

51