Académique Documents
Professionnel Documents
Culture Documents
4 – Guide d’Administration
Guide d’Administration
Wallix AdminBastion 5.0.4
https://doc.wallix.com/fr/wab/5.0/WAB-admin-guide
Wallix AdminBastion 5.0.4 – Guide d’Administration
2
Wallix AdminBastion 5.0.4 – Guide d’Administration
7.14.5. Reprise sur une erreur fatale (WAB HA is locked down) ............................... 50
7.14.6. Coupures réseau et Split-Brain .................................................................... 51
7.14.7. Reconfiguration réseau du cluster ................................................................ 51
7.14.8. Remplacement d’une machine défectueuse ................................................. 52
7.14.9. Récupération d’un volume défectueux .......................................................... 52
7.14.10. Tests de bon fonctionnement de la Haute Disponibilité ............................... 52
8. Utilisateurs ........................................................................................................................... 56
8.1. Comptes utilisateurs .................................................................................................. 56
8.1.1. Ajouter un utilisateur ...................................................................................... 57
8.1.2. Modifier un utilisateur ..................................................................................... 59
8.1.3. Supprimer un utilisateur ................................................................................. 59
8.1.4. Visualiser les droits d'un utilisateur sur l'interface Web ................................... 59
8.1.5. Visualiser les équipements, applications et comptes cibles accessibles par
un utilisateur ............................................................................................................. 59
8.1.6. Importer des utilisateurs ................................................................................. 59
8.2. Groupes utilisateurs .................................................................................................. 65
8.2.1. Ajouter un groupe utilisateurs ......................................................................... 65
8.2.2. Modifier un groupe utilisateurs ....................................................................... 66
8.2.3. Supprimer un groupe utilisateurs .................................................................... 67
8.2.4. Visualiser les membres d’un groupe utilisateurs ............................................. 67
8.2.5. Importer des groupes utilisateurs ................................................................... 67
8.3. Profils utilisateurs ...................................................................................................... 68
8.3.1. Profils par défaut ............................................................................................ 68
8.3.2. Ajouter un profil utilisateur .............................................................................. 69
8.3.3. Modifier un profil utilisateur ............................................................................ 70
8.3.4. Supprimer un profil utilisateur ......................................................................... 70
8.4. Configuration des notifications .................................................................................. 70
8.4.1. Ajouter une notification ................................................................................... 71
8.4.2. Modifier une notification ................................................................................. 72
8.4.3. Supprimer une notification .............................................................................. 72
8.5. Configuration de la politique de mot de passe local .................................................. 72
8.6. Configuration de l'authentification X509 .................................................................... 74
8.6.1. Pré-requis ....................................................................................................... 74
8.6.2. Paramétrages X509 ....................................................................................... 74
8.6.3. Fonctions d’administration X509 ..................................................................... 76
8.6.4. Authentification X509 ..................................................................................... 78
8.6.5. Retrait du mode X509 .................................................................................... 79
8.6.6. Implémentation technique pour les certificats X509 ........................................ 80
8.7. Configuration des authentifications externes ............................................................. 80
8.7.1. Ajouter une authentification externe ............................................................... 81
8.7.2. Modifier une authentification externe .............................................................. 82
8.7.3. Supprimer une authentification externe .......................................................... 83
8.8. Configuration de l'intégration avec un domaine LDAP ou Active Directory ................. 83
9. Ressources .......................................................................................................................... 86
9.1. Domaines .................................................................................................................. 86
9.1.1. Ajouter un domaine global ............................................................................. 86
9.1.2. Modifier un domaine global ou local ............................................................... 87
9.1.3. Supprimer un domaine global ........................................................................ 87
9.1.4. Importer des domaines globaux ..................................................................... 87
9.1.5. Importer des domaines locaux ....................................................................... 89
9.1.6. Changer les mots de passe de tous les comptes d'un domaine global ............ 91
9.2. Équipements ............................................................................................................. 91
9.2.1. Ajouter un équipement cible ........................................................................... 92
3
Wallix AdminBastion 5.0.4 – Guide d’Administration
4
Wallix AdminBastion 5.0.4 – Guide d’Administration
5
Wallix AdminBastion 5.0.4 – Guide d’Administration
6
Wallix AdminBastion 5.0.4 – Guide d’Administration
7
Wallix AdminBastion 5.0.4 – Guide d’Administration
8
Wallix AdminBastion 5.0.4 – Guide d’Administration
9
Wallix AdminBastion 5.0.4 – Guide d’Administration
10
Wallix AdminBastion 5.0.4 – Guide d’Administration
11
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 1. Introduction
1.1. Préambule
Nous vous remercions d'avoir choisi Wallix AdminBastion, également appelé WAB.
WAB est commercialisé sous la forme de serveur dédié prêt à l'emploi ou sous la forme d'une
machine virtuelle pour environnements VMWare ESX 4.x et 5.x.
Les équipes Wallix ont apporté le plus grand soin à l'élaboration de ce produit et souhaitent qu'il
vous apporte entière satisfaction.
1.2. Copyright, Licences
Le présent document est la propriété de la société Wallix et ne peut être reproduit sans son accord
préalable.
Tous les noms de produits ou de sociétés citées dans le présent document sont des marques
déposées de leurs propriétaires respectifs.
Wallix AdminBastion est basé sur des logiciels libres. La liste et le code source des logiciels sous
licence GPL et LGPL utilisés par Wallix AdminBastion sont disponibles auprès de Wallix. Pour les
obtenir, il suffit d'en faire une demande par internet en créant une requête à l'adresse https://
support.wallix.com ou par écrit à l'adresse suivante :
WALLIX
Service Support
250 bis, Rue du Faubourg Saint-Honoré
75008 PARIS
FRANCE
1.3. Légende
prompt $ commande à taper <paramètre à remplacer>
retour de la commande
sur une ou plusieurs lignes
prompt $
12
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 2. Compatibilités et limitations
Veuillez vous référer au document Release Notes pour vérifier la compatibilité de WAB 5.0 avec
différents clients ou cibles et également obtenir la liste des limitations, fonctions manquantes et
bogues connus.
Il n'est pas recommandé de modifier la configuration de votre système ou d'installer un autre logiciel
car cette action pourrait nuire au bon fonctionnement de votre WAB. Toute installation d'outil ou
de programme doit uniquement être effectuée sur les instructions de l'équipe Support. Pour plus
d'informations, voir Chapitre 16, Contacter le Support Wallix AdminBastion.
13
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 3. Concepts
3.1. Généralités
WAB est une solution destinée aux équipes techniques qui administrent les infrastructures
informatiques (serveurs, équipements réseau, équipements de sécurité, etc.). Cette solution permet
de répondre aux besoins de contrôle et de traçabilité des accès des administrateurs.
A ces fins, WAB intègre des fonctionnalités de contrôle d’accès (ACLs) et de traçabilité. Il constitue
un sas pour les administrateurs qui souhaitent se connecter aux équipements en :
WAB permet également d’automatiser les connexions vers les équipements cibles. Ceci augmente
le niveau de sécurisation du système d’information en empêchant la divulgation des accréditations
d’authentification des serveurs à administrer.
Pour surveiller son activité, superviser les connexions et configurer les différentes entités qui le
composent, WAB possède une interface graphique Web, également appelée « GUI » (« Graphical
User Interface »), compatible avec Internet Explorer, Chrome et Firefox.
La zone de confiance forte étant représentée par l'ensemble des équipements que WAB isole
Ces équipements et leurs comptes associés sont nommés « comptes cibles » dans la terminologie
WAB.
La zone de confiance faible est représentée par la population ayant un accès direct à WAB :
• le personnel de l’entreprise
• la zone internet
Pour les utilisateurs de la solution, l’accès aux comptes cibles (dans la zone de confiance forte)
n’est possible qu’à travers WAB.
14
Wallix AdminBastion 5.0.4 – Guide d’Administration
• d'identifier les utilisateurs connectés à des équipements donnés et de surveiller leur activité : les
sessions peuvent être visualisées via l'interface d'administration de WAB ou téléchargées pour
être visionnées en local sur le poste de travail de l'administrateur. Les sessions RDP peuvent
être visionnées en temps réel.
• de visionner les enregistrements vidéo des actions effectuées lors des session des utilisateurs
à privilèges
• d'obtenir un accès direct à la ressource en utilisant des clients natifs tels que PuTTY, WinSCP,
MSTC ou OpenSSH.
• de définir et configurer des politiques de connexion au moyen de mécanismes disponibles pour
les protocoles RDP, VNC, SSH, TELNET et RLOGIN
• sécuriser les mots de passe des comptes cibles et des clés SSH,
• gérer les opérations d'emprunt et de restitution des mots de passe des comptes cibles,
• changer ou générer les mots de passe des comptes cibles,
15
Wallix AdminBastion 5.0.4 – Guide d’Administration
• définir une politique de changement des mots de passe pouvant être sélectionnée lors de la
création/modification d'un domaine global,
• sélectionner un plugin de changement des mots de passe parmi la liste configurée au sein de
WAB lors de la création/modification d'un domaine local ou global.
• des utilisateurs : correspondant à des utilisateurs physiques de WAB d'un annuaire utilisateur
interne et/ou externe,
• des groupes d’utilisateurs : regroupant un ensemble d’utilisateurs,
• des équipements : correspondant à un équipement, physique ou virtualisé, auquel on souhaite
accéder via WAB,
• des comptes cibles : des comptes déclarés sur un équipement ou une application,
• des groupes de comptes cibles : regroupant un ensemble de comptes cibles,
• des applications : tout type d’application et de services fonctionnant sur un équipement ou un
ensemble d'équipements.
Une autorisation doit être définie dans WAB pour permettre à l'utilisateur d'accéder à un compte
cible . Ces autorisations sont déclarées entre un groupe d’utilisateurs et un groupe de comptes
cibles (ceci nécessite donc que chaque compte cible appartienne à un groupe de comptes cibles,
et que chaque utilisateur appartienne à un groupe d’utilisateurs).
Cette autorisation permet aux utilisateurs du groupe « X » d’accéder aux comptes cibles du groupe
« Y » à travers les protocoles « A », « B » ou « C ».
A ces entités primaires sont ajoutées des entités permettant de définir :
Il est également possible de définir différents profils d’administrateur WAB avec soit un accès total
à toutes les fonctionnalités de WAB soit des droits limités à certaines fonctionnalités. Par exemple,
il est possible de définir uniquement l'accès aux données d'audit pour les auditeurs WAB ou encore
d'autoriser les administrateurs WAB à ajouter/modifier des utilisateurs, configurer l'administration
du système, gérer les autorisations, etc.
3.6. Mise en production
WAB possède un ensemble d’outils d’import permettant de faciliter sa mise en production.
Cependant, il est conseillé, pour réussir sa mise en production de recenser :
• les rôles des utilisateurs qui devront accéder aux comptes cibles,
16
Wallix AdminBastion 5.0.4 – Guide d’Administration
Il est nécessaire de pouvoir répondre, pour chaque utilisateur aux questions suivantes :
• cet utilisateur a-t-il le droit d’administrer la solution, et le cas échéant, quels sont les droits qui
doivent lui être accordés ?
• cet utilisateur a-t-il besoin d’accéder à des comptes cibles ?
• quand cet utilisateur a-t-il le droit de se connecter ?
• doit-il accéder à des ressources critiques ?
Il est nécessaire de pouvoir répondre, pour chaque compte cible ou équipement aux questions
suivantes :
• les informations d’authentifications primaires, c'est-à-dire les informations liées aux connexions
à WAB,
• les informations d’authentifications secondaires, c'est-à-dire les informations liées aux
connexions aux cibles,
• les mots de passe d’accès aux services d’authentification,
• les sauvegardes des données de WAB.
L'accès aux cibles via les différents services (RDP ou SSH) génère des données également
chiffrées.
Données Cryptographie
Mots de passe des utilisateurs locaux PBKDF2 avec salage
Login et mots de passe des comptes cibles Chiffrement symétrique AES 256
Données d’authentification annuaires externes Chiffrement symétrique AES 256
Paramètres SNMP Chiffrement symétrique AES 256
Paramètres d’authentification sur les serveurs Chiffrement symétrique AES 256
de stockage distant
Sauvegarde Chiffrement symétrique AES 256
Clé de connexion à l’interface Web Clé RSA 2048 bits + AES 256
Clé de connexion au proxy SSH Clé RSA 2048 bits + AES 256
Connexion au proxy RDP Clé RSA 1024 bits + RC4 128 bits
17
Wallix AdminBastion 5.0.4 – Guide d’Administration
3.8. Haute Disponibilité
La fonctionnalité « Haute Disponibilité », également appelée « High-Availability » ou « HA » de WAB
5.0 apporte, par l’intermédiaire d’un cluster bi-appliances de type « failover » (ou « actif/passif »),
une continuité du service WAB (accès aux équipements cibles et à la console Web, enregistrement
des sessions) en cas d’indisponibilité des services sur la machine de production (le « Master »).
Cette reprise automatique des services par le second nœud du cluster (le « Slave ») est obtenue
par :
• le partage d’une adresse IP virtuelle par les deux WAB du cluster, les adresses IP réelles étant
inconnues des utilisateurs.
• la réplication sur le second nœud du cluster des informations de configuration, des journaux de
connexions et des fichiers contenant les enregistrements de sessions ainsi que les fichiers de
configuration WAB par le mécanisme de réplication DRBD.
• un mécanisme de notification par e-mail avise l’administrateur du WAB en cas de :
– bascule du service en mode « dégradé » (le nœud « Slave » a pris le relais)
– indisponibilité du nœud « Slave »
– détection d’une anomalie (service indisponible, etc.)
– synchronisation des disques terminée
18
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 4. Glossaire
Au cours de votre utilisation de WAB et au fur et à mesure que vous avancerez dans la lecture
de ce document, vous allez être amené(e) à rencontrer les termes techniques suivants. Cette liste
n'est pas exhaustive.
19
Wallix AdminBastion 5.0.4 – Guide d’Administration
20
Wallix AdminBastion 5.0.4 – Guide d’Administration
Important :
Veuillez bien retenir votre nouveau mot de passe car celui-ci est le seul moyen de se
connecter par la suite.
Lors de l'installation de WAB, un mode graphique affiche des boîtes de dialogue pour vous guider
pas à pas dans les étapes de la configuration.
La procédure ci-dessous détaille les principales étapes de la configuration de la connexion à WAB.
1. Première étape : choisir la langue de disposition du clavier que vous souhaitez utiliser
2. Seconde étape : définir le mot de passe de l'utilisateur « wabadmin »
Les informations d'identification configurées par défaut sont les suivantes :
• Mot de passe : SecureWabAdmin
Vous êtes invité(e) à changer le mot de passe par défaut de l'utilisateur « wabadmin ». Saisissez
et confirmez le nouveau mot de passe.
Par défaut, l'utilisateur « wabadmin » est configuré avec des privilèges restreints. Suivez la
prochaine étape pour configurer l'utilisateur « wabsuper » afin d'accéder à des privilèges
étendus.
3. Troisième étape : définir le mot de passe de l'utilisateur « wabsuper »
Lorsque le nouveau mot de passe de l'utilisateur « wabadmin » a été confirmé, vous êtes
invité(e) à saisir et confirmer le nouveau mot de passe de l'utilisateur « wabsuper ».
Le mot de passe de l'utilisateur « wabsuper » peut être passé avec la commande « super » pour
obtenir des privilèges étendus, et notamment l'acquisition des privilèges « root » à l'aide de la
commande « sudo » qui utilise le même mot de passe. Une fois connecté avec les privilèges
« root », vous pouvez utiliser un ensemble de scripts pour exploiter WAB au quotidien.
4. Quatrième étape : définir le mot de passe de l'utilisateur « GRUB »
Lorsque le nouveau mot de passe de l'utilisateur « wabsuper » a été confirmé, vous êtes invité(e)
à changer le mot de passe par défaut de l'utilisateur « GRUB ».
Vous avez alors la possibilité d'utiliser le même mot de passe que celui renseigné
précédemment pour l'utilisateur « wabsuper » ou de définir un nouveau mot de passe.
Important :
Seuls les caractères ASCII sont supportés. Si le mot de passe renseigné pour
l'utilisateur « wabsuper » contient des caractères non ASCII , alors il n'est pas
21
Wallix AdminBastion 5.0.4 – Guide d’Administration
possible d'utiliser ce même mot de passe pour l'utilisateur « GRUB » : vous devez
définir un mot de passe différent.
Avertissement :
Sous VMware, une fois l'installation initiale terminée et après le redémarrage du
système, la saisie du mot de passe de l'utilisateur « GRUB » répond par défaut à la
disposition du clavier QWERTY.
wabsuper@wab$ WABChangeGrub
Attention aux caractères spéciaux et fautes de frappe car il n'est pas possible de
corriger la saisie. Cependant, la touche « Esc » permet d'effacer toute la saisie.
Lorsque le mot de passe de l'utilisateur « GRUB » a été défini, vous êtes invité(e) à effectuer
la configuration réseau.
Voir Section 11.1,
« Autorisations de l'utilisateur
sur les sessions »
Mots de passe Afficher les autorisations de
l'utilisateur sur les mots de
passe et gérer les mots de
passe des cibles
Voir Section 10.1,
« Autorisations de l'utilisateur
sur les mots de passe »
Audit Sessions courantes Lister et fermer les connexions
22
Wallix AdminBastion 5.0.4 – Guide d’Administration
Voir Section 11.3.3,
« Historique des sessions »
Historique des comptes Lister les activités des comptes
Voir Section 11.3.5,
« Historique des comptes »
Historique des approbations Lister les demandes
d'approbation en cours et
dépassées
Voir Section 11.3.6,
« Historique des
approbations »
Historique des Lister les authentifications
authentifications primaires
Voir Section 11.3.7,
« Historique des
authentifications »
Statistiques sur les Générer les graphiques de
connexions statistiques sur les connexions
Voir Section 11.3.8,
« Statistiques sur les
connexions »
Utilisateurs Comptes Gérer et importer (fichier .csv
et annuaire LDAP) les
utilisateurs WAB
23
Wallix AdminBastion 5.0.4 – Guide d’Administration
Voir Section 9.2,
« Équipements »
Applications Gérer et importer (fichier .csv)
les applications cibles
Voir Section 9.3,
« Applications »
Comptes Gérer et importer (fichier .csv)
les comptes cibles
24
Wallix AdminBastion 5.0.4 – Guide d’Administration
Voir Section 12.8,
« Configuration des plages
horaires »
Authentifications externes Gérer les méthodes
d'authentification externe
(LDAP/LDAPS, Active
Directory, Kerberos, Radius)
Voir Section 8.7,
« Configuration des
authentifications externes »
Domaines LDAP/AD Intégrer des comptes
utilisateurs via LDAP ou Active
Directory
Voir Section 8.8,
« Configuration de l'intégration
avec un domaine LDAP ou
Active Directory »
Notifications Gérer le mécanisme de
notification
Voir Section 8.4,
« Configuration des
notifications »
Politique mots de passe Gérer les politiques des mots
locaux de passe locaux
25
Wallix AdminBastion 5.0.4 – Guide d’Administration
Voir Section 8.5,
« Configuration de la politique
de mot de passe local »
Paramètres de connexion Configurer les bannières
affichées lors de la connexion
de l'utilisateur aux proxys
Voir Section 11.8,
« Paramètres de connexion »
Paramètres X509 Configurer les listes
de révocation pour
l'authentification par certificat
X509
Voir Section 8.6.3.1,
« Authentification des
utilisateurs »
Options de configuration Configurer des aspects
spécifiques de WAB (ex. :
loggeur, GUI, proxy RDP, WAB
Engine, etc.)
Voir Section 7.3,
« Chiffrement »
Logs audit Afficher le contenu du fichier
« wablog »
26
Wallix AdminBastion 5.0.4 – Guide d’Administration
Voir Section 7.13,
« Sauvegarde et restauration »
Import/Export CSV Importer des données depuis
un fichier .csv
Voir Section 8.1,
« Comptes utilisateurs »,
Section 8.2, « Groupes
utilisateurs », Section 9.1,
« Domaines », Section 9.2,
27
Wallix AdminBastion 5.0.4 – Guide d’Administration
« Équipements »,Section 9.3,
« Applications », Section 9.4,
« Comptes cibles »,
Section 9.6, « Clusters »,
Section 9.5, « Groupes de
comptes cibles », Section 12.1,
« Ajouter une autorisation »
Utilisateurs depuis LDAP Importer des utilisateurs depuis
un annuaire LDAP/LDAPS/AD
Voir Section 8.1, « Comptes
utilisateurs »
5.3. Fonctionnalités spécifiques
5.3.1. Gestion des sessions
Le menu « Gestion des sessions » et l'entrée « Sessions » du menu « Mes autorisations » peuvent
uniquement être administrés si la fonctionnalité WAB Session Manager est associée à votre clé
de licence.
28
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 6. Première connexion
6.1. Accès à l'interface d'administration
Pour accéder à l’interface Web d’administration, saisissez l’URL suivante dans la barre d'adresse
de votre navigateur :
https://adresse_ip_de_wab ou https://<nom_de_wab>
Avertissement :
Votre navigateur doit être configuré pour accepter les cookies et exécuter le JavaScript.
WAB est livré en standard avec un compte administrateur d’usine dont les informations
d'identification sont les suivantes :
• Identifiant : admin
• Mot de passe : admin
Pour des raisons de sécurité, il est fortement recommandé de changer le mot de passe du
compte administrateur lors de la première connexion. Pour plus d’informations, voir Section 6.2,
« Paramétrer les préférences utilisateur ».
29
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement :
Cette clé doit être au format OpenSSH. Sinon, un message d'erreur s'affiche.
Si vous utilisez PuTTYgen pour générer la clé, vous devez enregistrer dans un fichier
texte la clé publique affichée au format Open SSH lors de la génération. A titre d'exemple,
cette clé est libellée comme suit :
Vous pouvez alors charger cette clé dans la zone « Clé publique SSH » sur cette page.
Si une clé existe déjà, vous pouvez charger une clé privée en utilisant PuTTYgen pour
générer la clé publique correspondante au bon format.
30
Wallix AdminBastion 5.0.4 – Guide d’Administration
31
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 7. Configuration de la machine
7.1. Options de configuration
La page « Options de configuration » du menu « Configuration » permet une configuration avancée
des paramètres globaux de WAB.
Cliquer sur l'option souhaitée dans la liste pour afficher les paramètres concernés qui peuvent être
configurés sur la page dédiée pour :
Sur chacune de ces pages, une description utile peut être affichée pour tous les champs en cochant
la case du champ « Aide sur les options » en haut à droite de la page. Cette description mentionne
le format approprié à prendre en compte dans le champ concerné.
Avertissement :
Les options affichées en cochant la case du champ « Options avancées » en haut à
droite de la page doivent UNIQUEMENT être modifiées sur demande de l'Equipe Support
Wallix ! Un point d’exclamation orange est affiché en regard des champs concernés.
32
Wallix AdminBastion 5.0.4 – Guide d’Administration
Ce mode peut être activé en cochant la case du champ « Enable transparent mode » sur les pages
de configuration dédiées aux proxys RDP et SSH. Ces pages sont accessibles depuis la page
« Options de configuration » du menu « Configuration ».
Pour utiliser le mode transparent, il faut que le réseau soit configuré afin d’envoyer le flux RDP
ou SSH destiné aux cibles vers les interfaces réseaux utilisateurs de WAB. Ceci peut être fait au
moyen de routes IP. WAB agit alors comme une passerelle.
Le proxy intercepte le trafic envoyé vers le port TCP 3389 (pour les protocoles RDP et VNC).
Le trafic arrivant vers WAB sans lui être destiné mais intercepté par ce dernier ou un autre port
(différent du port 3389) est perdu.
De plus, lors d’une utilisation du WAB en mode transparent, il est possible de définir un ensemble
de ressources cibles appartenant à un sous-réseau. Il suffit pour cela de préciser le sous-réseau à
33
Wallix AdminBastion 5.0.4 – Guide d’Administration
la place de l’adresse IP de l’hôte cible dans le champ « Hôte de l'équipement » lors de la création de
l'équipement, depuis la page « Équipements », en utilisant la notation CIDR (<adresse de réseau>/
<nombre de bits de masque>). Pour plus d'information sur cette configuration, voir Section 9.2.1,
« Ajouter un équipement cible ».
Une fois le mode transparent activé pour RDP ou SSH, plusieurs paramètres permettent de
contrôler le comportement du proxy.
La délégation d’authentification permet d’éviter que WAB procède à une authentification lorsque
le proxy reçoit une demande de connexion. La demande d’authentification est alors transmise
directement à la cible et WAB autorise la connexion si l’authentification par la cible est établie. Cela
permet de déployer WAB dans un environnement où seule la cible connaît le mot de passe comme
c’est le cas, par exemple, pour certaines configurations de VMware Horizon View.
Il est aussi possible de préciser un utilisateur WAB différent de l’identité RDP ou SSH. Dans ce
cas, les sessions et leurs enregistrements seront associées à cet utilisateur WAB. Les informations
d’identification RDP ou SSH sont enregistrées dans le champ cible quand elles sont disponibles.
7.2. Licence
L’utilisation de WAB est contrôlée par une clé de licence. Le mécanisme de la licence vérifie :
• le type de licence : votre clé de licence est associée soit avec WAB Session Manager soit avec
WAB Password Manager ou les deux
• la date d'expiration de la licence
• le nombre maximum d'équipements et d'applications pouvant être déclarés
• le nombre maximum de connexions primaires simultanées (c'est-à-dire les connexions au WAB)
• si la clé de licence est associée à WAB Session Manager:
– le nombre maximum de connexions secondaires simultanées (c'est-à-dire les connexions aux
cibles)
La clé de licence contient les éléments inclus dans les termes du contrat commercial et est fournie
par la société Wallix. Elle est renseignée dans WAB par le client via l'interface utilisateur Web.
Sur la page « Licence » du menu « Configuration », vous pouvez visualiser les caractéristiques de
la licence et mettre à jour la clé de licence.
Pour obtenir une licence, le fichier de contexte doit être envoyé à la société Wallix. Pour générer
et télécharger ce fichier de contexte, cliquez sur « Télécharger le fichier de contexte ». Ce fichier
peut alors être envoyé à la société Wallix pour obtenir une mise à jour de la clé de licence.
Pour mettre à jour la clé de licence, copiez la clé reçue dans un fichier puis, téléchargez celui-ci
dans le champ « Mettre à jour le fichier » et cliquez sur le bouton « Mettre à jour la licence ».
wab2:~# WABGetLicenseInfo
34
Wallix AdminBastion 5.0.4 – Guide d’Administration
wab2:~# WABSetLicense -d
7.3. Chiffrement
Le chiffrement de WAB sécurise vos données sensibles (telles que les mots de passe des comptes
cibles, les mots de passe des utilisateurs locaux, les connexions à l'interface utilisateur Web, les
connexions aux proxys RDP et SSH, etc.) en les chiffrant par un algorithme cryptographique fort.
Cet algorithme utilise une clé de chiffrement confidentielle et propre à votre WAB.
La définition de la phrase de chiffrement rend l'accès à WAB plus difficile et renforce ainsi la sécurité
de vos données. En effet, toute personne malveillante ne possédant pas la phrase de chiffrement
ne pourra accéder à votre produit. De plus, à chaque redémarrage du système, les services de
connexion des proxys de WAB seront inutilisables tant que la phrase de chiffrement de la clé ne sera
pas saisie par un administrateur dans l’interface Web d’administration et seules certaines actions
d’administration seront possibles.
Après initialisation du chiffrement, il est conseillé d’effectuer au moins une sauvegarde de WAB
afin de conserver une copie de cette clé en lieu sûr.
Si vous n'effectuez pas de sauvegarde et que votre clé est perdue, vous ne serez plus en mesure
d’accéder aux données sur les stockages distants.
7.4. Statut du système
Sur la page « Statut » du menu « Système », vous pouvez notamment visualiser les informations
générales suivantes liées concernant le système :
35
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 7.2. Page « Statut »
Note :
Le taux d’occupation de la RAM n’affiche pas les tampons systèmes..
Note :
Tous les fichiers de ces journaux peuvent être téléchargés en cliquant sur l'icône dédiée
dans la partie droite de la page concernée.
• « syslog » affiché sur la page « Syslog » du menu « Système ». Ce journal affiche la majorité
des messages liés au fonctionnement des proxys ou à l'utilisation de l'interface d'administration.
• « dmesg » affiché sur la page « Messages au démarrage » du menu « Système ». Ce journal
affiche le journal de démarrage du système.
• « wablog » affiché sur la page « Logs audit » du menu « Configuration ». Ce journal affiche les
connexions et les opérations effectuées par les auditeurs et les administrateurs.
7.6. Réseau
Sur la page « Réseau » du menu « Système », vous pouvez notamment définir/modifier la
configuration réseau de la machine.
Vous pouvez modifier notamment :
• le nom d’hôte,
36
Wallix AdminBastion 5.0.4 – Guide d’Administration
• le nom de domaine,
• la passerelle,
• la configuration des interfaces réseaux.
• des routes,
• des entrées dans le fichier « hosts »,
• des serveurs DNS.
Avertissement :
Avant de changer l’adresse IP du WAB utilisée pour communiquer avec le serveur
de fichier sur lequel se trouve un stockage distant, nous vous recommandons de
désactiver le stockage distant et de le réactiver après le changement d’adresse. Pour
plus d'informations, voir Section 7.8, « Stockage distant ».
Figure 7.3. Page « Réseau »
7.7. Service de temps
Sur la page « Service de temps » du menu « Système », vous pouvez définir le fuseau horaire
de WAB.
Ce paramétrage est particulièrement important car :
37
Wallix AdminBastion 5.0.4 – Guide d’Administration
• WAB doit être synchronisé en date et en heure avec les serveurs d’authentification Kerberos,
• WAB est le référentiel de temps pour les informations d’audit remontées et la gestion des plages
horaires.
Note :
Par défaut, le service de temps est activé et la synchronisation est effectuée sur les
serveurs de temps du projet Debian.
7.8. Stockage distant
Sur la page « Stockage distant » du menu « Système », vous pouvez déporter les enregistrements
vidéos vers un système de fichiers externe.
Les systèmes de fichiers supportés sont CIFS et NFS. Pour chacun de ces systèmes, vous devez
préciser :
Avertissement :
Si des enregistrements ont déjà été réalisés depuis WAB, l’activation du stockage
distant masquera les anciennes sessions (celles-ci seront de nouveau visibles lorsque
le stockage sera désactivé).
38
Wallix AdminBastion 5.0.4 – Guide d’Administration
7.9. Intégration SIEM
Sur la page « Intégration SIEM » du menu « Système », vous pouvez paramétrer le routage des
informations suivantes vers un ou plusieurs autres équipements réseau via des solutions SIEM :
Les journaux et logs seront alors envoyés à l’adresse IP, au port et au protocole sélectionnés et
également stockés sur le système de fichier local, afin d’être toujours disponibles à la lecture sur
la page « Logs audit » du menu « Configuration ». Pour plus d'informations sur ce journal, voir
Section 7.5, « Journaux et logs système ».
Pour plus d'informations sur l'export des données, voir Annexe A, Export des données pour
l'intégration SIEM.
Vous pouvez choisir le format d'horodatage entre le format de date usuel RFC 3164 et le format
ISO (AAAA-MM-JJTHH:MM:SS±TZ). Ce dernier contient en plus l’année et le fuseau horaire.
39
Wallix AdminBastion 5.0.4 – Guide d’Administration
7.10. SNMP
WAB embarque un agent SNMP disposant des caractéristiques suivantes :
Sur la page « SNMP » du menu « Système », vous pouvez configurer cet agent.
Avertissement :
Par défaut, l’agent est désactivé.
Exemples d’utilisation :
40
Wallix AdminBastion 5.0.4 – Guide d’Administration
41
Wallix AdminBastion 5.0.4 – Guide d’Administration
Afin de pouvoir sélectionner les services souhaités, les interfaces doivent être configurées au
préalable sur la page « Réseau ». Chaque interface doit appartenir à un sous-réseau différent. Pour
plus d'informations, voir Section 7.6, « Réseau ».
L’interface eth1 (port 2 sur la machine) est dédiée, si elle est présente, à l’interconnexion de la
Haute Disponibilité (également appelée « High-Availability » ou « HA »). Aucun autre service ne
peut y être affecté et le service « Haute Disponibilité » ne peut pas être déplacé vers une autre
interface. Le service « Haute Disponibilité » n’est donc pas sélectionnable si cette interface n’est
pas présente.
Par défaut, les fonctionnalités propres aux utilisateurs (notamment le droit d'accès aux
équipements) et aux auditeurs (notamment le droit d'audit) ne sont pas accessibles sur l’interface
d’administration mais il est cependant possible d'en débloquer l'accès en cochant les cases
suivantes : « Fonctionnalités utilisateur (droits d'accès comptes cibles) » et « Fonctionnalités
auditeur (droits audit sessions) ».
WAB possède également un pare-feu. Celui-ci permet, entre autres, de le protéger des attaques
DDoS. Il est possible de limiter les connexions IP acceptées en parallèle à un nombre pré-défini.
Pour cela, il est nécessaire de cocher la case du champ « Limiter le nombre de connexions par IP
» et d'indiquer le nombre correspondant dans le champ « Nombre de connexions ».
L'option « Activer le filtrage de chemin inverse » est uniquement interprétée lorsque WAB dispose
de deux interfaces sans Haute Disponibilité configurées avec deux sous-réseaux (ou « subnets »)
différents (c'est-à-dire eth0 avec le subnet X et eth2 avec le subnet Y) et le chemin par défaut est
paramétré sur l'une des deux interfaces (c'est-à-dire eth0).
Par défaut, lorsqu'un paquet avec une adresse IP source n'appartenant pas au subnet Y entre
via l'interface eth2, WAB ne répond pas (aucun paquet ne sort via les deux interfaces sans Haute
Disponibilité). Cela est dû à la configuration du filtrage de chemin inverse paramétré avec le kernel
grsec. Pour plus d'informations sur le filtrage de chemin inverse, voir http://tldp.org/HOWTO/Adv-
Routing-HOWTO/lartc.kernel.rpf.html.
Si WAB doit répondre au paquet entrant (via l'interface eth2), alors le filtrage de chemin inverse
doit être désactivé.
Lorsque la case de l'option « Activer le filtrage de chemin inverse » est cochée, il n'y a aucune
réponse de WAB (sur les paquets en provenance d'un subnet différent de l'interface d'entrée).
Lorsque la case de l'option « Activer le filtrage de chemin inverse » est décochée (par défaut), WAB
répond à tous les paquets entrants (via l'interface d'entrée).
42
Wallix AdminBastion 5.0.4 – Guide d’Administration
• GUI
• SSHADMIN
Puis en fonction des services configurés dans les cibles des proxys, WAB activera automatiquement
le service correspondant (et démarrera le serveur) automatiquement. Ainsi l’administrateur n’a pas
à se soucier de la configuration des services pour pouvoir utiliser WAB.
Note :
Par mesure de sécurité, la commande doit être appelée depuis la console physique
(soit directement sur le boîtier, soit à distance avec l’interface iDrac) pour désactiver la
console d’administration « sshadmin » (port 2242). Dans le cadre d’une configuration
Haute Disponibilité, le service d’administration « sshadmin » (port 2242) doit être activé
et le sera automatiquement lors de l’installation de la Haute Disponibilité.
Dans le cas d'une utilisation restreinte de WAB, l'administrateur peut activer/désactiver les services
à l’aide d’un outil en ligne de commande sur la console ou via l’interface en ligne de commande
"ssh" (port 2242) :
wabsuper$ sudo -i WABServices
#################################
# Wab Services Status #
#################################
gui : ENABLED
https : DISABLED
rdp : DISABLED
ssh : DISABLED
sshadmin : ENABLED
webservice : ENABLED
43
Wallix AdminBastion 5.0.4 – Guide d’Administration
actions:
list list services status
enable enable a service
disable disable a service
7.12. Serveur SMTP
Sur la page « Serveur SMTP » du menu « Système », vous pouvez définir/modifier la configuration
du serveur mail à utiliser pour l’envoi des notifications.
Vous pouvez définir :
Pour tester la configuration, saisissez une ou plusieurs adresses de destination dans le champ « E-
mails des destinataires pour le test puis, cliquez sur le bouton « Tester ».
7.13. Sauvegarde et restauration
Sur la page « Sauvegarde/Restauration» du menu « Système », vous pouvez effectuer ou restaurer
une copie de sauvegarde de la configuration du WAB.
44
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chaque sauvegarde est chiffrée avec une clé de 16 caractères. Vous devez connaître la clé d’une
sauvegarde avant sa restauration.
Avertissement :
Figure 7.10. Page « Sauvegarde/Restauration »
Pour les utiliser, vous devez supprimer les fichiers de la configuration actuelle et renommer à la
place ceux restaurés par la sauvegarde, qui portent comme extension additionnelle le nom du fichier
de sauvegarde suivi d’un timestamp qui correspond à la date de restauration.
45
Wallix AdminBastion 5.0.4 – Guide d’Administration
/var/wab/etc/ssh/server_rsa.key.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/etc/rdp/dh512.pem.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/etc/rdp/dh1024.pem.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/etc/rdp/dh2048.pem.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/etc/rdp/rdpproxy.key.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/etc/rdp/rdpproxy.crt.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/etc/rdp/rdpproxy.ini.YOURBACKUPNAMEANDTIMESTAMP
• Configuration MySQL :
/var/wab/etc/mysql/my.cnf.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/apache2/apache2.conf.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/apache2/httpd.conf.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/apache2/restvirtualhost.apache.conf.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/etc/rdp/dh2048.pem.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/apache2/ssl.crt/ca.crt.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/apache2/ssl.crt/crl.pem.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/apache2/ssl.crt/server.pem.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/apache2/ssl.crt/server.key.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/apache2/ssl.crt/x509_ready.YOURBACKUPNAMEANDTIMESTAMP
Après avoir renommé les fichiers en supprimant l’extension additionnelle, vous devez redémarrer
les services correspondants à l'aide des commandes suivantes :
46
Wallix AdminBastion 5.0.4 – Guide d’Administration
Options:
-h, --help show this help message and exit
-d DIRECTORY, --directory=DIRECTORY
Directory where you want to store your backup.
-s, --sdcard Set this option to store the Backup in the sdcard.
-a, --aes Set this option force use of AES256 instead of Gpg
symmetric cipher.
-b, --blowfish Set this option force use of Blowfish instead of Gpg
symmetric cipher.
DIRECTORY est le chemin du répertoire dans lequel sera créé le fichier de sauvegarde.
L’option -s peut être utilisée pour créer une copie sur un support externe (carte SD ou clé USB).
Les options -a et -b ne doivent normalement pas être utilisées. Sans ces options, le fichier est
chiffré avec GPG.
Options:
-h, --help show this help message and exit
-f FILENAME, --file=FILENAME
Provide the full path of the Backup file (.wbk).
Conflicts with -s
-s, --sdcard Enter in interactive mode to select file on SDcard.
Conflicts with -f
-a, --aes Set this option to force use of AES256 instead of GPG
symmetric cipher.
-b, --blowfish Set this option to force use of Blowfish instead of
GPG symmetric cipher. Overridden by -a
-S, --nosystem Set this option to not restore any system settings.
-N, --nonetwork Set this option to never restore network and HA
settings. Overridden by -S
--forcenetwork Set this option to force restoration of network and HA
settings. (Not recommended). Overridden by -S
47
Wallix AdminBastion 5.0.4 – Guide d’Administration
L’option --forcenetwork, dont l’usage n’est pas recommandé, peut être utilisée pour forcer
la restauration de la partie de la configuration réseau (définie sur la page « Réseau » du
menu « Système ») lorsque la restauration s’effectue sur une machine différente ou dans
un mode Haute Disponibilité/standalone différent. Dans ce cas, les fichiers non présents
initialement dans /var/wab/config comme le fichier ha.py ou les fichiers correspondants
à l’adresse MAC de la machine seront restaurés en y accolant le nom de la sauvegarde
sans extension. Par exemple, si l’archive wab-4.2.0.myhost_2015-01-01_00-00-00.wbk
contient le fichier MAC 01_02_03_04_05_06.py mais que l’adresse MAC
01:02:03:04:05:06 n’est pas présente sur la machine, le fichier sera
renommé 01_02_03_04_05_06.py.wab-4.2.0.myhost_2015-01-01_00-00-00. Vous
pouvez supprimer ces fichiers ou utiliser les informations qu’ils contiennent pour mettre à jour les
fichiers correspondants de votre système avant de redémarrer les services.
Les fichiers contenus dans /var/wab/etc ne sont normalement pas écrasés s’ils diffèrent de ceux
présents dans l’archive. Dans ce cas, le fichier de l’archive est renommé comme indiqué ci-dessus
pour l’option forcenetwork. Vous pouvez supprimer ces fichiers ou utiliser les informations qu’ils
contiennent pour mettre à jour les fichiers correspondants de votre système avant de redémarrer les
services. Par exemple, vous pouvez les supprimer automatiquement après restauration du backup
wab-4.2.0.myhost_2015-01-01_00-00-00.wbk en exécutant la commande suivante :
Les champs sont ceux d’une crontab, à savoir MINUTE, HEURE, JOUR_DU_MOIS, MOIS et
JOUR_DE_LA_SEMAINE.
• MINUTE : de 0 à 59
• HEURE : de 0 à 23
• JOUR_DU_MOIS : de 1 à 31
• MOIS : de 1 à 12
• JOUR_DE_LA_SEMAINE : de 0 à 7 (0 ou 7 pour le dimanche)
48
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chaque champ peut aussi prendre pour valeur un astérisque « * » qui correspond à toutes les
valeurs possibles. Les listes sont également permises en séparant les valeurs par des virgules et
les intervalles en séparant les bornes par un trait d’union, par exemple « 1,2,5-9,12-15,21 ».
Vous pouvez également modifier le chemin et la valeur de la clé utilisée en éditant le fichier /opt/
wab/bin/WABExecuteBackup et en modifiant les valeur DIR et KEY au début du fichier.
7.14. Haute Disponibilité
7.14.1. Limitations d’exploitation
Le cluster Haute Disponibilité de type actif/passif de WAB 5.0 ne possède pas de fonctionnalité de
répartition de charge (ou « load balancing »).
Les nœuds « Master » et « Slave » doivent appartenir au même sous-réseau IP et doivent être
tous deux configurés en IP statique.
Les deux nœuds du cluster doivent être exactement au même niveau de version et de patch.
7.14.2. Configuration du cluster
1. Vérifier que les deux appareils sont reliées directement entre elles par un câble croisé branché
sur le port RJ45 numéroté « 2 ».
2. Démarrer les deux machines du cluster en commençant indifféremment par l’une ou par l’autre.
Les appareils livrés sont pré-installés mais la fonctionnalité cluster n’est pas configurée.
3. Se connecter en super-utilisateur avec la commande « super » puis la commande « sudo -i ».
4. Vérifier que les horloges des deux nœuds du cluster sont bien synchronisées via la commande
Linux « date » ou par synchronisation sur un serveur NTP comme expliqué dans la section 5.2.4,
« Configuration du service de temps » du Guide de Démarrage Rapide.
5. Vérifier qu’un serveur SMTP est configuré et fonctionnel en effectuant le test d’envoi de
notification comme expliqué dans la section 5.2.5, « Configuration du serveur SMTP » du Guide
de Démarrage Rapide.
6. Vérifier que les deux machines sont configurées en IP statique, que leurs interfaces « eth1 »
sont actives et qu’elles ont des noms de machines différents. Sinon, utiliser l’interface Web pour
effectuer les réglages nécessaires.
Noter l’adresse IP de l’interface « eth1 » du nœud « Slave » qui est celle qu’il faudra utiliser
pour répondre à la question « Slave IP: » lors de l’exécution de la commande « WABHASetup »
décrite à l’étape 8.
7. Se connecter directement sur la console de la machine définie comme « Master » par
l’intermédiaire du compte « wabadmin ».
8. Exécuter la commande « sudo -i WABHASetup » et suivre les instructions :
$ sudo -i WABHASetup
Slave IP:
HA Virtual IP:
49
Wallix AdminBastion 5.0.4 – Guide d’Administration
HA Virtual netmask:
HA Notification mail address:
...
9. Le cluster WAB est maintenant configuré et activé.
7.14.3. Démarrage du cluster
Le cluster est maintenant accessible sur l’adresse IP virtuelle. Seule cette adresse doit être
communiquée à vos utilisateurs.
Le mail suivant est envoyé à l’adresse indiquée à l’issue de la configuration de la Haute Disponibilité
de WAB.
7.14.4. Arrêt/Redémarrage du cluster
Pour contrôler le fonctionnement du cluster, l’administrateur peut utiliser les commandes de
maintenance ci-dessous.
Il est A noter que les commandes « start » et « stop » ne s’appliqueront qu’au nœud local.
Avertissement :
Pour éviter une bascule involontaire, il recommandé d’arrêter le nœud « Slave » avant
le « Master », et de démarrer le nœud « Slave » après le « Master ».
Pour vérifier l’état actuel d’un nœud, l’administrateur peut utiliser la commande suivante :
# sudo /opt/wab/sbin/WABHAStatus
Après avoir émis une notification concernant la détection d’une erreur fatale, elle crée le fichier de
lock et s’arrête. La présence de ce fichier empêche la Haute Disponibilité de redémarrer et évite
ainsi qu’elle essaye indéfiniment de résoudre le problème.
Après avoir résolu le dysfonctionnement, ce fichier de lock doit être supprimé manuellement avec
la commande suivante :
affected_node# rm /var/wab/etc/ha/fatal_error
50
Wallix AdminBastion 5.0.4 – Guide d’Administration
1. L’interruption a été courte et les nœuds n’ont pas été utilisés (pas de sessions créées, pas de
comptes ajoutés, etc.), alors l’administrateur peut choisir n’importe quel nœud comme étant le
« Master » de référence.
2. L’interruption fut courte et/ou un seul des nœuds n’a été vraiment utilisé (symbolisé par la
présence de fichiers de sessions et de dates de modifications plus récentes sur un seul des
nœuds). L’administrateur doit alors choisir ce nœud comme nouveau « Master » de référence.
3. L’interruption a été complexe et les deux nœuds ont été utilisés en parallèle (cas improbable,
lié à un grave dysfonctionnement réseau). L’administrateur doit alors choisir un nœud comme
nouveau « Master » de référence (celui avec le plus de modifications à son actif) et sauvegarder
les données de l’autre nœud. Enfin, il restera à les importer manuellement dans le nouveau
« Master ».
Une fois le « Master » de référence choisi, la procédure suivante doit être appliquée pour restaurer
le cluster :
outdated_node# drbdadm secondary wab
ref_master# drbdadm primary wab
outdated_node# drbdadm invalidate wab
ref_master# (drbdadm cstate wab | grep -q StandAlone) && drbdadm connect wab
outdated_node# (drbdadm cstate wab | grep -q StandAlone) && drbdadm connect wab
ref_master# systemctl start wabha
outdated_node# systemctl start wabha
Lorsque les WAB sont configurés en mode Haute Disponibilité, les changements réseaux comme
les adresses IP ne peuvent plus se faire via l’interface Web. Les deux machines ayant leurs disques
synchronisés par le réseau, il est nécessaire de se connecter sur le nœud « Master » en SSH et
procéder comme suit :
# sudo -i WABHASetup --reconfigure_hosts
51
Wallix AdminBastion 5.0.4 – Guide d’Administration
...
Dans le cas du remplacement d’un nœud, il faut tout d’abord déconnecter le matériel défectueux et
démarrer une instance WAB de remplacement. Il convient ensuite de le configurer avec la même
IP statique que le nœud manquant, puis entrer la commande suivante sur le nœud fonctionnel :
Dans le cas d’erreur d’intégrité du système de fichier, détectable via les messages du noyau (ie :
« File system is now read-only due to the potential of on-disk corruption.
Please run fsck.ext4 once the file system is unmounted. »), suivre la procédure
ci-dessous :
1. Éteindre la Haute Disponibilité sur les deux nœuds en commençant par le « Slave » en tapant la
commande « sudo -i WABHAInitd --force stop ».
2. Vérifier que le système de fichier partagé est bien démonté sur les deux nœuds en tapant la
commande « sudo -i umount /var/wab ».
3. Désactiver DRBD sur le nœud « Slave » en tapant la commande « sudo -i drbdadm secondary
wab ».
4. Activer DRBD sur le nœud « Master » en tapant la commande « sudo -i drbdadm primary wab ».
5. Sur le nœud « Master », exécuter la commande « sudo -i fsck.ext4 -y -f /dev/drbd1 ».
52
Wallix AdminBastion 5.0.4 – Guide d’Administration
Notification : [WAB] - WAB HA master WabA error detected by the WabB! (HA_MASTER_FAULT)
Reason: Host does not respond to ping...
Conséquence : les deux nodes vont détecter le dysfonctionnement (ssh non accessible)
Notifications : [WAB] - WAB HA master WabA error detected by WabA Reason: Service ssh isn't
responding and we couldn't restart it!
Notifications : [WAB] - WAB HA master WabA error detected by WabB Reason: Host respond to
ping but ssh service is down, will try to switch to master...
Résolution complète : réparer le dysfonctionnement afin que WabA soit à nouveau capable de
devenir « Master »
53
Wallix AdminBastion 5.0.4 – Guide d’Administration
Notification : [WAB] - The WAB HA slave WabB isn't connected to master WabA anymore! Master
data replication isn't working.
Résultat : la réplication des données est interrompue mais le volume est encore fonctionnel (en
mode dégradé)
Note : Si le volume de données écrit sur le « Master » dégradé est négligeable, (ex : pas de nouvelle
session) la synchronisation est instantanée. Dans le cas contraire, une notification est envoyée.
Notification : [WAB] - The WAB HA cluster synchronization completed! Both nodes data are now
fully synchronized.
Notification : [WAB] - The WAB HA slave WabB isn't connected to master WabA anymore! Master
data replication isn't working.
Notification : [WAB] - The WAB HA master WabA error detected by sparewab2.ifr.lan Reason: Host
does not respond to ping...
Conséquence : le « Slave » va supposer que le master est éteint et il va donc basculer en « Master »
et fonctionner en mode dégradé à son tour.
Notification : [WAB] - The WAB HA slave WabA isn't connected to master WabB anymore! Master
data replication isn't working.
Résultat : le volume partagé va diverger entre les deux nodes. Le cas le plus probable est qu’un
des nœud ne soit plus sur le réseau, dans ce cas la résolution est triviale : Reconnecter les deux
wab ou si vous avez utilisé iptables :
WabA# iptables -F
WabB# iptables -F
Notification: [WAB] - The WAB HA disks diverged (split brain detected) The WAB HA drbd shared
volume is now disconnected. Both peers had lost connection to each other and both switched to
master... Now data couldn't be synced cleanly, you'll have to manually discard one node changes.
54
Wallix AdminBastion 5.0.4 – Guide d’Administration
Une fois le nœud identifié, suivre les instructions mentionnées dans l'e-mail :
Pour une résolution complète, suivre les instructions mentionnées dans l'e-mail :
55
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 8. Utilisateurs
Le menu « Utilisateurs » vous permet de créer et gérer les utilisateurs/administrateurs WAB.
Il permet aussi de configurer les groupes utilisateurs sur lesquels les autorisations seront portées.
Pour plus d'informations, voir Chapitre 12, Gestion des autorisations ).
Note :
Les identifiants des comptes utilisateur ne sont pas sensibles à la casse mais celle-ci est
préservée lors de la création du compte.
8.1. Comptes utilisateurs
Sur la page « Comptes », vous pouvez :
• lister les comptes utilisateurs selon un filtre d'affichage sur les comptes locaux ou les comptes
de domaine liés à des domaines LDAP ou ActiveDirectory,
• ajouter/modifier/supprimer un compte utilisateur,
• identifier les utilisateurs pour lesquels le droit de récupération des accréditations est activé au
niveau de leur profil : une icône en forme de clé est alors affichée dans la colonne « Profil » sur
la ligne concernée. Ces utilisateurs reçoivent un e-mail contenant les accréditations des cibles
en cas de changement du mot de passe.
Pour plus d'informations sur les profils utilisateurs, voir Section 8.3, « Profils utilisateurs ».
• accéder au détail du compte pour visualiser les droits de l’utilisateur sur l'interface Web mais
aussi ses autorisations sur les équipements, les applications et les comptes cibles,
• débloquer un compte utilisateur verrouillé en cliquant sur l'icône en forme de cadenas,
• importer des utilisateurs à partir d'un fichier .csv afin d'alimenter la base de données WAB avec
des comptes utilisateurs.
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.
56
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 8.1. Page « Comptes »
8.1.1. Ajouter un utilisateur
Sur la page « Comptes », cliquez sur « Ajouter un utilisateur » pour afficher la page de création
du compte utilisateur.
Cette page recense les champs suivants :
• un identifiant, celui-ci sera utilisé par l’utilisateur pour s’authentifier sur l’interface Web ainsi que
sur les proxys. L'identifiant n'est pas modifiable une fois sauvegardé.
• un nom usuel, un nom permettant d’identifier à qui appartient l’identifiant,
• une adresse électronique, pouvant être modifiée ultérieurement par l'utilisateur
• un champ permettant de charger une clé publique GPG : l'utilisateur recevra le nouveau mot de
passe dans un e-mail crypté. Cette clé pourra être modifiée ultérieurement par l'utilisateur.
• une langue préférée, permettant de sélectionner dans quelle langue seront affichés les messages
remontés par les proxys à l’utilisateur. Ce choix pourra être modifié ultérieurement par l'utilisateur.
• un profil, permettant de définir les droits et les limitations de l’utilisateur (voir Section 8.3, « Profils
utilisateurs »),
• un champ contenant un calendrier (affiché par un clic-droit) afin de sélectionner, si nécessaire,
la date d'expiration du compte
• une liste de groupes, qui permet de choisir dans quel(s) groupe(s) l'utilisateur doit être placé. Il
est aussi possible d’ajouter un utilisateur dans un groupe dans la page d’ajout/édition d’un groupe
(voir Section 8.2, « Groupes utilisateurs »),
• une procédure d’authentification propre à chaque utilisateur (voir Section 8.7, « Configuration des
authentifications externes »). Il est possible d’en sélectionner plusieurs pour indiquer les serveurs
de secours des authentifications externes (LDAP, RADIUS, etc.),
• lorsque la méthode d'authentification choisie est « local » :
– un champ permettant de saisir et confirmer un mot de passe, il peut exister des contraintes sur
les mots de passes acceptés (voir Section 8.5, « Configuration de la politique de mot de passe
local »). Ce mot de passe pourra être modifié ultérieurement par l'utilisateur.
57
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement :
Cette clé doit être au format OpenSSH. Sinon, un message d'’erreur s’affiche.
Si vous utilisez PuTTYgen pour générer la clé, vous devez enregistrer dans un fichier
texte la clé publique affichée au format Open SSH lors de la génération. A titre
d'exemple, cette clé est libellée comme suit :
« ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEA0yR9lBQov6[.....]c3xu9p/xNjw==
rsa-key-20151204 »
Vous pouvez alors charger cette clé dans la zone « Clé publique SSH » sur cette page.
Si une clé existe déjà, vous pouvez charger une clé privée en utilisant PuTTYgen pour
générer la clé publique correspondante au bon format.
• une adresse IP/subnet source ou une plage d’adresses, permettant de limiter l’accès aux proxys
et à l’interface Web à cette adresse ou plage d'adresses IP.
58
Wallix AdminBastion 5.0.4 – Guide d’Administration
Note :
Si le champ « Mot de passe » n’est pas modifié, le mot de passe de l’utilisateur n’est
pas modifié.
8.1.3. Supprimer un utilisateur
Sur la page « Comptes », sélectionnez un ou plusieurs comptes à l’aide de la case à cocher au
début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une
fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
• « Autorisations sur les équipements » : cette zone affiche la liste des équipements accessibles
par cet utilisateur,
Cliquez sur l'icône au début de la ligne afin de télécharger un fichier de configuration pour établir
une connexion.
• « Autorisations sur les applications » : cette zone affiche la liste des applications accessibles
par cet utilisateur,
Cliquez sur l'icône au début de la ligne afin de télécharger un fichier de configuration pour établir
une connexion.
• « Autorisations sur les comptes » : cette zone affiche la liste des comptes cibles accessibles par
cet utilisateur.
59
Wallix AdminBastion 5.0.4 – Guide d’Administration
recours à la fonctionnalité d’intégration à un domaine LDAP qui utilise directement l’annuaire (voir
Section 8.8, « Configuration de l'intégration avec un domaine LDAP ou Active Directory »).
• soit depuis la page « CSV » du menu « Import/Export ». Vous pouvez alors cocher la case
« Utilisateurs » pour importer les données. Les séparateurs de champs et de listes sont également
configurables.
• soit depuis la page « Comptes » du menu « Utilisateurs ». Vous pouvez cliquer sur l'icône
« Importer depuis un fichier CSV » en haut à droite de la page pour importer les données. Vous
êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case « Utilisateurs » est
déjà cochée pour l'import des données. Les séparateurs de champs et de listes sont également
configurables.
Important :
Les données relatives au mot de passe, à la clé SSH ou encore au certificat X509 des
utilisateurs ne sont pas indiquées dans le fichier .csv lors de l'export. Celles-ci doivent
donc être renseignées dans le fichier .csv avant l'import.
Si le groupe d'utilisateurs
n'existe pas, il est créé avec
la plage horaire par défaut
« allthetime ».
Nom réel Texte O Texte libre N/A
IP source IP/FQDN O [aA-zZ], [0-9], '-', '_' N/A
60
Wallix AdminBastion 5.0.4 – Guide d’Administration
Plusieurs authentifications
peuvent exister pour le même
utilisateur.
Clé publique SSH Texte O/R [aA-zZ], [0-9], '-', '_' N/A
Lorsque
l'authentification
est « local »,
au moins l'un
des champs
suivants est
requis : Mot
de passe,
clé publique
SSH ou
X509.
Cette
donnée n'est
pas indiquée
dans le
fichier .csv
lors de
l'export des
utilisateurs.
Elle doit
donc être
renseignée
dans le
fichier .csv
avant
l'import.
Mot de passe Texte R/O Texte libre N/A
61
Wallix AdminBastion 5.0.4 – Guide d’Administration
62
Wallix AdminBastion 5.0.4 – Guide d’Administration
#wab504 user
martin;linuxadmins;Pierre Martin;;user;;local;;jMpdu9/
x2z;martin@wallix.com;False
Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.
63
Wallix AdminBastion 5.0.4 – Guide d’Administration
Vous pouvez avoir recours à la fonctionnalité d’intégration à un domaine LDAP qui utilise
directement l’annuaire et reste donc synchronisée avec les changements effectués dans celui-ci
(voir Section 8.8, « Configuration de l'intégration avec un domaine LDAP ou Active Directory »).
Note :
L’identifiant et le mot de passe de connexion utilisés doivent avoir les droits en lecture
sur le chemin où sont stockées les données utilisateurs.
Si l’importation réussit, une page contenant la liste des utilisateurs extraite de l’annuaire s'affiche.
• un groupe d’utilisateurs,
• une authentification,
• un profil utilisateur.
Note :
Si vous souhaitez que les utilisateurs importés s’authentifient sur l’annuaire utilisé pour
l’importation, il est nécessaire de créer auparavant la méthode d’authentification (voir
aussi Section 8.7.1, « Ajouter une authentification externe »).
64
Wallix AdminBastion 5.0.4 – Guide d’Administration
8.2. Groupes utilisateurs
Sur la page « Groupes », vous pouvez :
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.
Figure 8.5. Page « Groupes »
• le nom du groupe,
• une description,
• la(les) plage(s) horaire(s) à appliquer,
Note :
Si plusieurs plages horaires sont sélectionnées, la plage horaire appliquée associe
toutes ces plages horaires.
65
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement :
La détection de chaînes de caractères n’est active que pour les données envoyées
par le client vers le serveur et uniquement pour les connexions de type SSH, TELNET
ou RLOGIN.
• dans le cas d’une intégration LDAP/AD telle que décrite dans la section 8.8, « Configuration
de l'intégration avec un domaine LDAP ou Active Directory », les champs du cadre
« Correspondance d'authentification LDAP » permettent de définir le profil à utiliser pour les
membres du groupe et pour chaque lien avec un annuaire, le DN du groupe de l’annuaire.
Avertissement :
Si aucun domaine LDAP/AD n'est configuré au sein de WAB, alors le cadre
« Correspondance d'authentification LDAP » n'est pas affiché sur cette page.
66
Wallix AdminBastion 5.0.4 – Guide d’Administration
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du groupe,
excepté le champ « Nom du groupe » qui n’est pas modifiable.
Avertissement :
Vous ne pouvez pas supprimer un groupe lorsque des utilisateurs sont rattachés à ce
groupe.
Vous ne pouvez pas supprimer un groupe lié à des autorisations actives (voir Chapitre 12,
Gestion des autorisations ).
67
Wallix AdminBastion 5.0.4 – Guide d’Administration
Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.
8.3. Profils utilisateurs
Sur la page « Profils », vous pouvez :
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.
• « user » (« utilisateur ») : ce profil n'a aucun droit d’administration mais peut accéder aux comptes
cibles,
• « auditor » (« auditeur ») : ce profil peut consulter les données d’audit de WAB (voir Section 11.3,
« Données d'audit ») mais ne peut pas accéder aux comptes cibles,
• « WAB_administrator » (« administrateur_WAB ») : ce profil possède tous les droits
d’administration et peut se connecter aux comptes cibles,
• « system_administrator » (« administrateur_système ») : ce profil peut accéder au menu
« Système » mais ne dispose pas d'un accès aux comptes cibles,
68
Wallix AdminBastion 5.0.4 – Guide d’Administration
Note :
La configuration d'usine pour l'utilisateur « admin » est le profil « WAB_administrator ».
La zone « Droits » permet de sélectionner des actions visant à définir les autorisations du profil
pour les fonctionnalités principales de l'interface Web, affichées depuis le menu de WAB :
• « Aucun » : pas de droit ouvert : le menu lié à la fonctionnalité n’apparaîtra pas lors de la connexion
de l’utilisateur,
• « Afficher » : l'utilisateur peut consulter les éléments créés mais ne peut pas les modifier,
• « Modifier » : l'utilisateur peut consulter et modifier des éléments,
• « Exécuter » (uniquement pour la sauvegarde et la restauration) : l'utilisateur peut lancer une
sauvegarde ou une restauration du système (voir Section 7.13, « Sauvegarde et restauration »).
Une autre option est disponible pour activer/désactiver l'accès aux comptes cibles.
Sur la partie « Autres fonctionnalités », vous pouvez définir des limitations pour les fonctions
de connectivité au proxy et des limitations sur l'usage de certains droits d’administration sur des
groupes de comptes cibles et des groupes utilisateurs.
La limitation des droits sur les groupes permet d’ajouter des utilisateurs ou des comptes cibles
uniquement dans les groupes sur lesquels le profil est habilité à intervenir.
La limitation sur les groupes permet d’ajouter des utilisateurs ou des comptes cibles uniquement
dans les groupes sur lesquels le profil est habilité à intervenir.
69
Wallix AdminBastion 5.0.4 – Guide d’Administration
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du profil,
excepté le champ « Nom du profil » qui n’est pas modifiable.
Avertissement :
Un profil prédéfini ne peut être ni supprimé ni modifié.
Avertissement :
Un profil prédéfini ne peut être ni supprimé ni modifié.
Vous ne pouvez pas supprimer un profil utilisateur lorsqu'au moins un utilisateur est
rattaché à ce profil.
70
Wallix AdminBastion 5.0.4 – Guide d’Administration
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.
71
Wallix AdminBastion 5.0.4 – Guide d’Administration
Note :
Vous pouvez configurer les paramètres d’envoi des mails sur le page « Serveur SMTP »
du menu « Système » (Section 7.12, « Serveur SMTP »).
72
Wallix AdminBastion 5.0.4 – Guide d’Administration
Par défaut, la taille minimale d’un mot de passe est définie à 6 caractères, les 4 derniers mots de
passe utilisés ne peuvent être réutilisés, et il n’est pas possible d’utiliser un mot de passe similaire
au nom de l’utilisateur.
De plus, une liste de mots de passe interdits, car triviaux est insérée par défaut.
Sur la page « Politique mots de passe locaux » du menu « Configuration », vous pouvez définir la
politique de mot de passe et également configurer la durée de vie des mots de passe. Pour cela,
cliquez sur « Modifier cette politique » pour afficher la page de modification de la politique du mot
de passe local.
• la durée de validité du mot de passe, en jours. Passée cette durée, l’utilisateur ne pourra plus se
connecter avec son mot de passe ; un administrateur devra lui définir une nouvelle accréditation.
Il est recommandé que cette valeur soit inférieure à un an.
• l’échéance avant le premier avertissement, en jours, permet à l’utilisateur de savoir que son mot
de passe va bientôt expirer
• la longueur minimale du mot de passe. Cette taille doit être supérieure à la somme des autres
contraintes de nombre de caractères.
• le nombre maximum d'échecs d'authentification autorisés par utilisateur. Il est recommandé de
mettre ce paramètre au moins à 5.
• le nombre minimal de caractères spéciaux dans le mot de passe. Il est recommandé de mettre
ce paramètre au moins à 2.
• le nombre minimal de lettres majuscules dans le mot de passe. Il est recommandé de mettre ce
paramètre au moins à 2.
• le nombre minimal de caractères numériques dans le mot de passe. Il est recommandé de mettre
ce paramètre au moins à 2.
• le nombre de mots de passe précédents non réutilisables. Il est recommandé de mettre ce
paramètre au moins à 5.
• une case à cocher permettant d’autoriser un mot de passe similaire à l’identifiant de l’utilisateur.
Il est recommandé de ne pas le permettre.
• un fichier permettant de définir une liste de mot de passe interdits
Note :
La liste des mots de passe interdits doit être fournie dans un fichier au format UTF-8.
73
Wallix AdminBastion 5.0.4 – Guide d’Administration
Il faut ensuite ouvrir un shell d’administration depuis WAB à l’aide d’un client SSH avec le compte
« wabadmin » et s’assurer d’avoir accès au port 8082 de WAB.
8.6.2. Paramétrages X509
8.6.2.1. Configuration X509
Une fois authentifié sur un shell, vous devez acquérir les privilèges « root » :
wabsuper$ sudo -i
# WABX509Setup
Allez sur l’interface Web de WAB, sur le port 8082 (attention, cette dernière est accessible via
HTTPS) :
https://adresse_ip_de_wab:8082/
74
Wallix AdminBastion 5.0.4 – Guide d’Administration
Figure 8.11. Page de configuration
Cliquez sur le bouton « Start ».
Puis, réalisez les étapes suivantes :
Note :
L’interface Web de WAB est indisponible pendant la durée de ces opérations. Cependant,
il n'y a pas de répercussion sur les proxys.
Aller sur l’interface Web de WAB, en utilisant l’adresse IP de votre master, sur le port 8082 (attention,
cette dernière est accessible via HTTPS) :
https://adresse_ip_du_master:8082/
Figure 8.12. Page de configuration
75
Wallix AdminBastion 5.0.4 – Guide d’Administration
Note :
L’interface Web et les proxys de WAB sont indisponibles pendant la durée de ces
opérations.
76
Wallix AdminBastion 5.0.4 – Guide d’Administration
Pour associer l’utilisateur qui doit être « ajouté/édité » à ce certificat, la valeur à saisir dans le champ
« Certificat DN » doit respecter l'empreinte du certificat :
CN=Lucas Martin,O=MyCorp,L=PARIS,ST=IDF,C=FR
Lorsque ce certificat sera utilisé, l’utilisateur lié sera authentifié sur WAB.
Note :
Les certificats doivent être signés par la même autorité de certification que celui du
serveur Web.
Certains certificats ont un champ « emailAddress » noté, dans l’empreinte du certificat
« E =... ». Ce champ doit être remplacé par « /emailAddress =... » dans le champ réservé.
Les caractères Unicode sont supportés dans les empreintes de certificats si le certificat
est encodé en UTF-8 selon la RFC2253, sinon seuls les caractères ASCII standard sont
supportés.
La longueur maximale du DN supportée est de 1024 octets (le nombre exact de
caractères peut être inférieur selon la longueur de l’encodage UTF-8).
77
Wallix AdminBastion 5.0.4 – Guide d’Administration
8.6.3.2. Gestion de la CRL
Sur la page « Paramètres X509 » du menu « Configuration », vous pouvez importer une CRL (liste
de révocation).
Note :
Une fois la CRL téléchargée, il est nécessaire de redémarrer l’interface Web de WAB
avec la commande suivante :
8.6.4. Authentification X509
Un utilisateur peut continuer à s’authentifier sur l’interface Web soit par mot de passe, soit par
certificat.
S’il s’authentifie à l’aide d’un certificat, l’utilisation des proxys se retrouve modifiée et peut être
résumée ainsi :
• l’utilisateur ouvre sa connexion vers un équipement cible (via son client RDP ou SSH),
• le proxy interroge le mode d’authentification de l’utilisateur sur l’interface Web,
• si l’utilisateur a été authentifié en X509, une demande de confirmation d'ouverture de session
s'affiche sur son interface Web,
• si l'utilisateur confirme cette demande, il est automatiquement authentifié sur la cible.
Note :
En cas d'authentification par mappage de compte, l'utilisateur devra entrer son mot de
passe sur la cible.
78
Wallix AdminBastion 5.0.4 – Guide d’Administration
# WABX509Unset
De nouveaux certificats auto-signés sont alors générés et il n’est plus possible pour les utilisateurs
de s’authentifier via leurs certificats.
79
Wallix AdminBastion 5.0.4 – Guide d’Administration
SSLEngine on
SSLProtocol TLSv1.2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!
EDH
SSLVerifyClient optional
SSLVerifyDepth 5
Une méthode d'authentification externe est associée à un compte utilisateur lors de la création ou
la modification du compte. Pour plus d'informations, voir Section 8.1.1, « Ajouter un utilisateur ».
• LDAP/LDAPS,
• Active Directory,
• Kerberos,
• Radius.
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.
80
Wallix AdminBastion 5.0.4 – Guide d’Administration
Note :
Par défaut, WAB est configuré avec l’authentification « local » permettant aux utilisateurs
de s’authentifier via le moteur de données interne au produit.
• un type d’authentification : sélectionner le type souhaité pour afficher les champs requis pour la
définition de l’authentification,
• un nom pour l’authentification,
• une description,
• l'adresse du serveur (IP ou FQDN),
• un port de connexion.
Pour les authentifications LDAP/LDAPS, les champs requis doivent être renseignés comme ci-
dessous :
• « Base DN » : le nom unique (« Distinguished Name ») de l’unité d’organisation doit être
renseigné.
• « Attribut identifiant » : l’attribut identifiant doit être renseigné. L’attribut identifiant doit
correspondre au nom de l’attribut LDAP où est stocké l’identifiant de l’utilisateur WAB.
• « Utilisateur » et « Mot de passe » : il est nécessaire de renseigner un nom d’utilisateur et un mot
de passe à utiliser pour rechercher l’identifiant dans l’annuaire si l’accès anonyme est désactivé
sur le serveur LDAP.
Note :
L’utilisateur doit avoir les droits de lecture sur le DN de base utilisé.
Pour les authentifications LDAP-AD/LDAPS-AD, les champs requis doivent être renseignés comme
ci-dessous :
• « Base DN » : dépend du nom de domaine. Par exemple pour le domaine « mycorp.lan », le DN
de base devrait être « dc=mycorp,dc=lan ».
• « Attribut identifiant » : l'identifiant de connexion est « sAMAccountName ».
• « Utilisateur » : l’accès anonyme à un annuaire Active Directory étant impossible, il est nécessaire
de disposer d’un compte administrateur du domaine pour la recherche de l’identifiant de
l’utilisateur WAB dans l’annuaire. La valeur à préciser dans ce champ doit être le DN de cet
administrateur (ex.: « cn=admin,dc=mycorp,dc=lan »).
Pour les authentifications Kerberos, il est nécessaire de s'assurer dans un premier temps que
l'infrastructure Kerberos, le navigateur et le client proxy SSH sont correctement configurés pour
permettre l'authentification.
81
Wallix AdminBastion 5.0.4 – Guide d’Administration
La présence d’un service de type HTTP dans un keytab active le support de Kerberos
pour s’authentifier sur la GUI ; il faut pour cela utiliser le préfixe iwab dans l’url (https://
adresse_ip_de_wab/iwab ou https://<nom_de_wab>/iwab).
Les services de type HOST sont utilisés pour l’authentification Kerberos auprès du proxy SSH.
Il est alors possible d’utiliser un ticket « forwardable » pour se connecter à une cible au sein du
même domaine Kerberos en utilisant le mappage de compte (voir Section 9.4.1, « Ajouter un
compte cible »).
Pour qu’un utilisateur authentifié Kerberos (via la GUI ou le proxy SSH) soit reconu par WAB, une
des deux conditions suivantes est nécessaire:
• l’utilisateur est défini localement (sur WAB) et une authentification Kerberos est configurée pour
cet utilisateur ;
• l’utilisateur est un utilisateur LDAP ayant un groupe WAB associé. Dans ce cas, au moins l' une
des configurations suivantes est requise:
– il y a une association locale définie pour le domaine LDAP de l’utilisateur et le nom du domaine
Kerberos est égal au nom du domaine LDAP (non sensible à la casse) ;
– il y a un domaine LDAP par défaut défini sur WAB.
Pour les authentifications RADIUS, il est nécessaire de renseigner la clé de chiffrement des paquets
dans le champ « Secret ».
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de
l'authentification, excepté le champ « Nom de l'authentification » qui n’est pas modifiable.
82
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement :
Vous ne pouvez pas supprimer une authentification externe lorsqu'au moins un utilisateur
est rattaché à cette authentification.
83
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement :
Si cette option est cochée, alors les utilisateurs peuvent uniquement s'authentifier sur
le domaine LDAP/AD en utilisant la méthode d'authentification X509.
• la sélection du type d’authentification LDAP externe à utiliser dans la liste de valeurs présente
dans le cadre « Authentifications disponibles » puis, le choix des authentifications parmi celles
proposées pour le type choisi. Si plusieurs authentifications sont sélectionnées, elles sont
utilisées successivement, l'une après l’autre, lors de la connexion d’un utilisateur jusqu’à la
première authentification qui réussit. Cela permet de redonder les annuaires.
• l'identifiant : l’attribut du schéma est indiqué dans le champ « Attribut identifiant » sur la page
« Authentifications externes » (voir Section 8.7.1, « Ajouter une authentification externe »). Par
défaut, WAB utilise « sAMAccountName » avec AD ou « uid » avec LDAP.
• l'attribut groupe : il s’agit de l’attribut décrivant l’appartenance à un groupe. Par défaut, il s’agit
de « memberOf » avec AD. Avec LDAP, la valeur par défaut est « (&(ObjectClass=posixGroup)
(memberUid=${uid})) ». Il s’agit d’une requête LDAP qui permet de trouver les groupes qui
contiennent l’utilisateur défini par son uid. En effet, certains serveurs ne supportent par défaut
de maintenir au niveau de chaque compte la liste des groupes auxquels il appartient. Il faut donc
utiliser une requête supplémentaire. La syntaxe ${uid} est propre à WAB; uid peut être remplacé
par n’importe quel attribut de l’utilisateur. Dans le cas où le serveur LDAP supporte le champ
« memberOf », son utilisation est recommandée. C’est le cas des serveurs OpenLDAP configurés
avec l’overlay « memberOf ».
Il est possible avec AD de prendre en compte des groupes récursifs. Pour cela, il faut remplacer
la valeur par défaut par la requête suivante:
(&(ObjectClass=group)(member:1.2.840.113556.1.4.1941:=${distinguishedName}))
Cette requête peut être plus lente que la requête par défaut.
• l'attribut nom usuel : généralement, il s'agit de l’attribut « displayName » pour AD et de « cn »
pour LDAP.
• l'attribut e-mail : attribut de l’adresse mail de l’utilisateur (AD et LDAP).
• l'attribut langue : généralement, il s'agit de l'attribut « preferredLanguage » (AD et LDAP).
Le domaine permet également de fournir des valeurs par défaut pour certains attributs si ceux-ci
ne sont pas retrouvés dans l’annuaire :
• la langue par défaut : langue par défaut des membres du domaine si la langue n’est pas définie
dans l’annuaire.
• le domaine par défaut du mail : l’adresse du mail est construite en préfixant le domaine avec
l’identifiant : « identifiant@domaine ».
Il faut ensuite associer les groupes de l’annuaire LDAP avec les groupes utilisateurs de WAB. Pour
cela, il faut ajouter des correspondances d’authentification LDAP en renseignant les champs dans
l'encart « Correspondance d'authentification LDAP », dans le bas de la page.
Une correspondance permet de lier le groupe utilisateurs de WAB renseigné dans le champ
« Groupe utilisateurs » à un groupe de l’annuaire en précisant la valeur correspondante de l’attribut
groupe défini au dessus (par exemple, son DN complet pour « memberOf ») dans le champ
« Groupe LDAP ». Si le groupe WAB n’était pas déjà lié par une correspondance, il faut également
sélectionner le profil WAB pour les membres du groupe dans le champ « Profil ».
84
Wallix AdminBastion 5.0.4 – Guide d’Administration
Dans le cas où aucune correspondance n’est trouvée quand un utilisateur se connecte, il est
possible de demander à le placer dans un groupe par défaut, en cochant la case de l’option
« Groupe par défaut pour les utilisateurs sans groupe dans ce domaine », disponible sur la gauche
de la ligne. Ainsi, n’importe quel utilisateur défini dans l’annuaire peut accéder à WAB.
85
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 9. Ressources
Le menu « Ressources » vous permet de créer et gérer des domaines, équipements, applications
et des comptes accessibles depuis WAB. Il permet aussi de définir des groupes de comptes cibles.
9.1. Domaines
Sur la page « Domaines », vous pouvez :
• lister les domaines globaux ou locaux selon un filtre d'affichage sur le type de domaine,
• ajouter/modifier/supprimer un domaine global,
• modifier un domaine local,
• importer des domaines globaux ou locaux à partir d'un fichier .csv afin d'alimenter la base
ressources de WAB,
• changer les mots de passe de tous les comptes sur le domaine global.
Un domaine global représente une entité de gestion regroupant une multitude de comptes cibles
pouvant être utilisés pour l'authentification sur une multitude d'équipements. L'avantage significatif
de cette entité réside dans le déploiement et la synchronisation du changement de mot de passe
en une seule fois sur tous les comptes des équipements associés au domaine.
Un domaine local représente une entité de gestion regroupant une multitude de comptes cibles
pouvant être utilisés pour l'authentification sur un seul et unique équipement. L'avantage significatif
de cette entité réside dans le déploiement et la synchronisation du changement de mot de passe
en une seule fois sur tous les comptes associés au domaine.
Les domaines locaux sont créés lors de l'association à un équipement ou un compte cible. Pour
plus d'informations, voir Section 9.2, « Équipements » et Section 9.4, « Comptes cibles ».
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.
Avertissement :
Veuillez vous assurer d'avoir sélectionné la valeur « Global » dans le champ « Afficher
le type de domaine » en haut de la page.
• le nom du domaine : une représentation du domaine propre à l'application et utilisée pour afficher
les comptes et les cibles sur l'interface Web ou lors des sessions RDP/SSH.
• le nom réel du domaine : le nom du domaine externe si le domaine créé représente une
correspondance d'un domaine externe (AD, LDAP, NIS). Le nom réel du domaine est ignoré
lorsque le changement de mot de passe est effectué sur des cibles sous un environnement Linux.
• une description,
86
Wallix AdminBastion 5.0.4 – Guide d’Administration
• une option permettant d'activer le changement de mot de passe pour les comptes de ce domaine
et, le cas échéant :
– la politique de changement de mot de passe à sélectionner pour ce domaine. Pour plus
d'informations, voir Section 10.3, « Politiques de changement des mots de passe ».
– le plugin de changement de mot de passe à sélectionner pour ce domaine ainsi que des
champs supplémentaires à renseigner en fonction du plugin choisi. Pour plus d'informations,
voir Section 10.2, « Plugins de changement des mots de passe ».
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du domaine.
Le champ « Compte administrateur » vous permet de sélectionner le compte cible qui sera utilisé
pour changer le mot de passe sur un autre compte cible en cas de non-concordance entre WAB
et l'équipement.
87
Wallix AdminBastion 5.0.4 – Guide d’Administration
#wab504 globaldomain
#wab50 globaldomain
Ce champ est
uniquement pris en
compte lorsque le
domaine existe et le
compte a été créé sur
ce domaine.
Politique de Texte O/R Politique de N/A
changement de mot changement de mot de
de passe Requis lorsque le passe définie
changement de
mot de passe est
activé (un des 4
derniers champs
est renseigné)
Plugin de Texte O/R Plugin de changement N/A
changement de mot de mot de passe défini
de passe Requis lorsque le
changement de
mot de passe est
activé (un des 4
derniers champs
est renseigné)
Paramètres du Texte O/R Tous les arguments N/A
plugin nécessaires pour le
Requis pour plugin
certains types de
plugins Requis pour certains
plugins
Format : clé1=valeur1
clé2=valeur2
88
Wallix AdminBastion 5.0.4 – Guide d’Administration
89
Wallix AdminBastion 5.0.4 – Guide d’Administration
« Domaines locaux » est déjà cochée pour l'import des données. Les séparateurs de champs et
de listes sont également configurables.
Le fichier doit commencer par une ligne contenant le marqueur :
#wab504 localdomain
Ce champ est
uniquement pris en
compte lorsque le
domaine existe et le
compte a été créé sur ce
domaine.
Politique de Texte O/R Politique de changement N/A
changement de mot de mot de passe définie
de passe Requis lorsque le
changement de
mot de passe est
activé (un des 4
derniers champs
est renseigné)
Plugin de Texte O/R Plugin de changement N/A
changement de mot de mot de passe défini
de passe Requis lorsque le
changement de
mot de passe est
activé (un des 4
derniers champs
est renseigné)
Paramètres du Texte O/R Tous les arguments N/A
plugin nécessaires pour le
Requis pour plugin
certains types de
plugins Requis pour certains
plugins
90
Wallix AdminBastion 5.0.4 – Guide d’Administration
Windows : pas de
paramètre spécifique à
renseigner
Oracle : hôte
(requis), port (requis),
nom_service (requis)
Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.
Note :
Les mots de passe sont changés en conformité avec la politique de changement de
mot de passe sélectionnée pour ce domaine global. Pour plus d'informations, voir
Section 10.3, « Politiques de changement des mots de passe ».
9.2. Équipements
Sur la page « Équipements », vous pouvez :
91
Wallix AdminBastion 5.0.4 – Guide d’Administration
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.
• le nom de l’équipement : il s’agit du nom qui sera utilisé par les utilisateurs pour accéder à cet
équipement. Ce nom peut être sans relation avec le nom DNS de la machine.
• un alias : ceci permet de donner un deuxième nom à un équipement,
• l'hôte de l'équipement : il s'agit d'une adresse réseau (IP ou FQDN),
Lorsque WAB fonctionne en mode transparent, il est possible de définir un ensemble de cibles
appartenant à un sous-réseau (ou « subnet »). Il convient pour cela de renseigner un subnet
à la place de l'adresse IP lors de la création de l'équipement en utilisant une notation CIDR
(<adresse réseau>/<nombre de bits du masque>). Pour plus d'informations, voir Section 7.1.1,
« Configuration du mode transparent pour les proxys RDP et SSH ».
• une description,
• le nom du ou des domaines locaux,
• la possibilité de définir des services accessibles sur cet équipement en cliquant sur les options
dédiées dans le bas de la page.
• le nom du service : il s’agit du nom qui sera utilisé par les utilisateurs pour accéder à ce service.
Ce nom peut être sans relation avec le nom du protocole et le numéro de port,
• le port par défaut,
• un liste d'options propres au proxy pour les connexions RDP et SSH. Pour plus d'informations,
voir Section 9.2.8, « Options spécifiques du protocole SSH » et Section 9.2.9, « Options
spécifiques du protocole RDP ».
• une politique de connexion définissant le mécanisme d'authentification pour le service sur cet
équipement,
• la liste des domaines globaux.
Si vous souhaitez renseigner plusieurs services sous le même protocoles, vous pouvez cliquer
autant de fois que nécessaire sur l'option concernée. Le nom du nouveau service sera
automatiquement incrémenté. Si vous cochez la case de l'option « Supprimer » à la fin d'une ligne
donnée, le service correspondant est alors instantanément supprimé.
Vous pouvez déclarer un scénario de connexion lors de la création ou modification d'un équipement
cible afin d’interpréter les ordres envoyés par un shell interactif et d’automatiser la connexion.
92
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement :
Vous ne pouvez pas supprimer un équipement cible sur lequel des comptes cibles sont
déclarés.
93
Wallix AdminBastion 5.0.4 – Guide d’Administration
• le service,
• les utilisateurs autorisés.
Cliquez sur « Gérer l'association » pour gérer l'association des ressources : vous accédez alors
à une page listant la ou les ressources disponibles et la ou les ressources sélectionnées pour
l'équipement. Déplacez une ressource depuis le cadre « Comptes disponibles » vers le cadre
« Comptes sélectionnés » pour effectuer l'association. Et inversement, déplacez une ressource
depuis le cadre « Comptes sélectionnés » vers le cadre « Comptes disponibles » pour supprimer
l'association.
Note :
Des comptes cibles et des services doivent être définis pour l'équipement pour pouvoir
gérer l'association des ressources.
Avertissement :
Un utilisateur est autorisé à visualiser les certificats sur l'équipement lorsque le droit
« Afficher » pour la fonctionnalité « Ressources & comptes » est paramétré au niveau de
son profil (voir Section 8.3, « Profils utilisateurs »).
Un utilisateur est autorisé à supprimer les certificats sur l'équipement lorsque le droit
« Modifier » pour la fonctionnalité « Ressources & comptes » est paramétré au niveau
de son profil (voir Section 8.3, « Profils utilisateurs »).
94
Wallix AdminBastion 5.0.4 – Guide d’Administration
#wab504 device
#wab50 device
nom/PROTOCOLE/port/
politique_connexion//sous-
protocole1|sous-protocole2
politique_connexion : Nom
de la politique de connexion
95
Wallix AdminBastion 5.0.4 – Guide d’Administration
rdp/RDP/3389/RDP//RDP_CLIPBOARD_UP|RDP_CLIPBOARD_DOWN|RDP_PRINTER|RDP_COM_PORT|
RDP_DRIVE|RDP_SMARTCARD
96
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chacun de ces sous-systèmes fait l'objet d'une autorisation spécifique sur WAB.
L'ouverture d'un shell distant ou le transfert d'un fichier peut vous être refusé si vous ne possédez
pas l'autorisation sur le sous-système concerné.
Note :
Certains clients réclament également l'autorisation SSH_SHELL_SESSION pour
effectuer le listing des répertoires quand il sont utilisés en mode SCP.
Certaines autorisations doivent être associées à d'autres pour fonctionner correctement :
- l'autorisation SSH_X11 doit être associée à SSH_SHELL_SESSION ou
SSH_REMOTE_COMMAND (au moins à l'une des deux),
- l'autorisation SSH_AUTH_AGENT doit être associée à SSH_SHELL_SESSION ou
SSH_REMOTE_COMMAND (au moins à l'une des deux),
- l'autorisation SSH_REVERSE_TCPIP doit être associée à SSH_SHELL_SESSION.
97
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chacun de ces sous-systèmes fait l'objet d'une autorisation spécifique sur WAB.
Le transfert de données via le presse-papiers ou l'utilisation de votre disque local lors de la session à
distance peut vous être refusé si vous ne possédez pas l'autorisation sur le sous-système concerné.
Note :
Certaines autorisations doivent être associées à d'autres pour fonctionner correctement :
- l'autorisation RDP_CLIPBOARD_FILE doit être associée à RDP_CLIPBOARD_UP pour
transférer un fichier via le presse-papiers depuis le client vers la session RDP,
- l'autorisation RDP_CLIPBOARD_FILE doit être associée à RDP_CLIPBOARD_DOWN
pour transférer un fichier via le presse-papiers depuis la session vers le client RDP.
Ainsi, le scénario suivant (testé sur un switch 3Com Superstack accessible via TELNET) :
SEND:\r\n
EXPECT:(?i)login:
SEND:$login\r\n
EXPECT:(?i)Password:
SEND:$password\r\n
Ce scénario doit aussi fonctionner pour les serveurs TELNET sous Windows.
Pour les serveurs TELNET fonctionnant sous Unix ou Linux, utilisez plutôt le scénario suivant:
EXPECT:(?i)login:
98
Wallix AdminBastion 5.0.4 – Guide d’Administration
SEND:$login\n
EXPECT:(?i)Password:
SEND:$password\n
Pour les équipements RLOGIN, seul le mot de passe est attendu, ainsi le scénario de connexion
suivant est fonctionnel pour une connectivité en RLOGIN, vers un système sous Debian 5.0 lenny :
EXPECT:(?i)Password:
SEND:$password\n
Note :
En règle générale, l’identifiant est déjà fourni pour les connexions SSH (en mode clavier
interactif) et RLOGIN. Il est nécessaire de le fournir dans le scénario uniquement pour
les connexions TELNET.
9.3. Applications
WAB vous permet de gérer des sessions d’application en utilisant un serveur de rebond, sur
lequel est installée l’application. L’utilisateur se connecte au WAB et choisit une application dans le
sélecteur (voir la figure 9.5, « Flux d'une session applicative »). WAB initie alors une session RDP
et lance automatiquement l’application en lui fournissant les informations de compte nécessaires
(identifiant, mot de passe). La session application est alors enregistrée comme une session RDP.
Important :
Il n'est pas possible de lancer une application associée à une cible fonctionnant sous
un système d'exploitation Windows 10 car le service Bureau à distance ne supporte la
fonction « alternate shell ».
Avertissement :
Afin de permettre à WAB de gérer les connexions à une application, cette dernière doit
être en mesure de recevoir le nom du compte et le mot de passe à utiliser pour la
connexion comme arguments de la ligne de commande.
99
Wallix AdminBastion 5.0.4 – Guide d’Administration
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.
Avertissement :
Après une période de grâce de 120 jours, il faut installer des Client Access Licences
(CAL) pour pouvoir continuer à utiliser ces services.
Il faut permettre à l’utilisateur d’avoir le droit de lancer l’application. Cela peut se faire en permettant
l’accès aux programmes non répertoriés ou en ajoutant l’application aux programmes autorisés,
comme décrit ci-dessous.
En cas d'utilisation du mode « session probe », il est nécessaire de publier l'invite de commande
(cmd.exe) en tant que programme RemoteApp. Pour plus d'informations sur ce mode et sa
configuration, nous vous recommandons fortement de consulter Section 11.7, « Session probe ».
Il est recommandé de mettre une valeur la plus petite possible au délai maximal pendant lequel
une session utilisateur déconnectée est gardée active sur le serveur Terminal Server. Pour cela,
suivre la procédure ci-dessous.
100
Wallix AdminBastion 5.0.4 – Guide d’Administration
Il est également possible d’utiliser les politiques de groupe pour gérer ce paramètre.
Il est possible de permettre plusieurs connexions avec le même compte cible sur un serveur de
rebond.
Pour un serveur Windows Server 2008 ou une version plus récente :
Alternativement, il est possible d’utiliser le paramètre correspondant avec une stratégie de compte.
A partir de Windows Server 2012, un paramétrage supplémentaire est nécessaire pour permettre
l’accès d’un client qui n’utilise pas l’authentification au niveau du réseau. Ce paramétrage s’effectue
de la manière suivante :
Pour permettre aux utilisateurs de se connecter à l'application, il faut maintenant lui associer des
comptes comme décrit dans Section 9.4, « Comptes cibles ». La gestion des droits d’accès se
101
Wallix AdminBastion 5.0.4 – Guide d’Administration
fait au moyen des autorisations de la même manière que les équipements. Il faut alors utiliser le
protocole RDP.
Avertissement :
Vous ne pouvez pas supprimer une application sur laquelle des comptes cibles sont
déclarés.
102
Wallix AdminBastion 5.0.4 – Guide d’Administration
• le service,
• les utilisateurs autorisés.
Cliquez sur « Gérer l'association » pour gérer l'association des ressources : vous accédez alors
à une page listant la ou les ressources disponibles et la ou les ressources sélectionnées pour
l'application. Déplacez une ressource depuis le cadre « Comptes disponibles » vers le cadre
« Comptes sélectionnés » pour effectuer l'association. Et inversement, déplacez une ressource
depuis le cadre « Comptes sélectionnés » vers le cadre « Comptes disponibles » pour supprimer
l'association.
103
Wallix AdminBastion 5.0.4 – Guide d’Administration
cible1='rdem1'
ciblet2='rdem2'
Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.
104
Wallix AdminBastion 5.0.4 – Guide d’Administration
9.4. Comptes cibles
Sur la page « Comptes », vous pouvez :
• lister les équipements déclarés, les services disponibles sur ces équipements et les comptes
cibles déclarés sur ces derniers,
• ajouter/modifier/supprimer un compte,
• importer des comptes partir d'un fichier .csv afin d'alimenter la base ressources de WAB,
• changer manuellement le mot de passe d'un compte donné,
• lancer le changement automatique du mot passe pour un ou plusieurs comptes.
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.
• le nom du compte : il s'agit d'une représentation interne du compte. Cette information est affichée
sur les sélecteurs de session et la page d'emprunt du mot de passe du compte sur l'interface
Web. Ce nom doit être unique sur le domaine WAB.
• l'identifiant du compte : il s'agit de l'identifiant du compte distant. Cette information n'est pas
affichée sur les sélecteurs de session et la page d'emprunt du mot de passe du compte sur
l'interface Web.
• une description,
• une case à cocher pour indiquer si le compte est géré par un coffre-fort externe ou non
105
Wallix AdminBastion 5.0.4 – Guide d’Administration
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du compte,
excepté le champ « Nom du compte » qui n’est pas modifiable.
Si une clé privée a été définie pour ce compte, une ligne avec le type et la longueur de la clé est
affichée sur la page de modification du compte. Deux actions peuvent alors être effectuées au
niveau de la clé privée : la supprimer ou la remplacer en chargeant une nouvelle clé privée.
Lorsqu'une clé privée a été définie pour ce compte, il est possible de télécharger la clé publique
correspondante au format OpenSSH ou ssh.com sur la page récapitulative du compte, au niveau
du champ « Clé publique du compte ».
106
Wallix AdminBastion 5.0.4 – Guide d’Administration
#wab504 account
#wab50 account
- ressources : services
concernés (optionnel et
doivent exister sur
l'équipement)
107
Wallix AdminBastion 5.0.4 – Guide d’Administration
- application : nom de
l'application
#wab504 account
my_device_user;device_user_login;description;False;P4sSw0rD;;False;default;
local_domain_1;my_device;;my_domain_user;domain_user_login;description;True;
P4sSw0rD;;False;default;my_global_domain;;;device_on_domain:rdpmy_app_user;
app_user_login;description;False;P4sSw0rD;;True;default;local_domain_1;;my_application;
Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.
108
Wallix AdminBastion 5.0.4 – Guide d’Administration
109
Wallix AdminBastion 5.0.4 – Guide d’Administration
l'icône corbeille) afin de lancer le changement automatique du mot de passe pour le(s) compte(s)
sélectionné(s). WAB affiche une fenêtre demandant une confirmation avant d'effectuer cette action.
Note :
Les mots de passe sont changés en conformité avec la politique de changement de
mot de passe sélectionnée pour ce domaine. Pour plus d'informations, voir Section 10.3,
« Politiques de changement des mots de passe ».
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.
Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans
la zone dédiée au niveau de l'icône loupe.
Vous pouvez effectuer une sélection multiple dans la liste des cadres.
– répétez l'étape ci-dessus pour ajouter autant de cibles que nécessaire pour le groupe.
• les cibles sélectionnées,
110
Wallix AdminBastion 5.0.4 – Guide d’Administration
• une liste d’actions à appliquer lors de la détection de certaines chaînes de caractères sur le
flux montant des proxys (voir Section 9.5.9, « Analyse des flux SSH / Détection de motifs (ou
« patterns ») » et Section 9.5.10, « Analyse des flux RDP / Détection de motifs (ou « patterns ») »).
Avertissement :
La détection de chaînes de caractères n’est active que pour les données envoyées par
le client vers le serveur et uniquement pour les connexions de type SSH, TELNET ou
RLOGIN.
111
Wallix AdminBastion 5.0.4 – Guide d’Administration
1. Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour
afficher la page de modification du groupe.
2. Sur la zone « Cibles », cliquez sur le bouton « Compte » sous « Gestion des sessions » afin
d'afficher les comptes disponibles. Double-cliquez sur un compte pour le déplacer depuis le
cadre « Comptes cibles disponibles » vers le cadre « Comptes cibles sélectionnés » pour choisir
la cible. Le compte cible sélectionné est alors listé dans le champ « Compte » de la zone « Cibles
sélectionnées » / « Gestion des sessions » située sous les cadres. Répétez cette étape pour
choisir autant de comptes que nécessaire.
3. Dans le bas de cette page, vous pouvez définir des actions à appliquer lors de la détection de
certaines chaînes de caractères sur le flux montant des proxys (voir Section 9.5.9, « Analyse
des flux SSH / Détection de motifs (ou « patterns ») » et Section 9.5.10, « Analyse des flux
RDP / Détection de motifs (ou « patterns ») »).
4. Cliquez sur le bouton « Appliquer » en bas à droite de la page.
Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans la
zone dédiée au niveau de l'icône loupe.
Vous pouvez effectuer une sélection multiple dans la liste des cadres.
Note :
La méthode d'authentification PASSWORD_MAPPING doit être sélectionnée au niveau
de la politique de connexion associée à la cible pour pouvoir se connecter à celle-ci
via le mappage de compte (pour plus d'informations, voir Section 11.5, « Politiques de
connexion »).
1. Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour
afficher la page de modification du groupe.
2. Sur la zone « Cibles », cliquez sur le bouton « Mappage de compte » sous « Gestion des
sessions » afin d'afficher les cibles disponibles en mappage de compte. Double-cliquez sur
une cible pour la déplacer depuis le cadre « Cibles en mappage de compte disponibles »
vers le cadre « Cibles en mappage de compte sélectionnées » pour choisir la cible. La cible
sélectionnée en mappage de compte est alors listée dans le champ « Mappage de compte »
de la zone « Cibles sélectionnées » / « Gestion des sessions » située sous les cadres. Répétez
cette étape pour choisir autant de cibles que nécessaire.
3. Dans le bas de cette page, vous pouvez définir des actions à appliquer lors de la détection de
certaines chaînes de caractères sur le flux montant des proxys (voir Section 9.5.9, « Analyse
des flux SSH / Détection de motifs (ou « patterns ») » et Section 9.5.10, « Analyse des flux
RDP / Détection de motifs (ou « patterns ») »).
4. Cliquez sur le bouton « Appliquer » en bas à droite de la page.
112
Wallix AdminBastion 5.0.4 – Guide d’Administration
Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans la
zone dédiée au niveau de l'icône loupe.
Vous pouvez effectuer une sélection multiple dans la liste des cadres.
Note :
La méthode d'authentification PASSWORD_INTERACTIVE doit être sélectionnée au
niveau de la politique de connexion associée à la cible pour pouvoir se connecter à celle-
ci via la connexion interactive (pour plus d'informations, voir Section 11.5, « Politiques
de connexion »).
1. Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour
afficher la page de modification du groupe.
2. Sur la zone « Cibles », cliquez sur le bouton « Connexion interactive » sous « Gestion des
sessions » afin d'afficher les cibles disponibles en connexion interactive. Double-cliquez sur
une cible pour la déplacer depuis le cadre « Cibles en connexion interactive disponibles »
vers le cadre « Cibles en connexion interactive sélectionnées » pour choisir la cible. La cible
sélectionnée en connexion interactive est alors listée dans le champ « Connexion interactive »
de la zone « Cibles sélectionnées » / « Gestion des sessions » située sous les cadres. Répétez
cette étape pour choisir autant de cibles que nécessaire.
3. Dans le bas de cette page, vous pouvez définir des actions à appliquer lors de la détection de
certaines chaînes de caractères sur le flux montant des proxys (voir Section 9.5.9, « Analyse
des flux SSH / Détection de motifs (ou « patterns ») » et Section 9.5.10, « Analyse des flux
RDP / Détection de motifs (ou « patterns ») »).
4. Cliquez sur le bouton « Appliquer » en bas à droite de la page.
Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans la
zone dédiée au niveau de l'icône loupe.
Vous pouvez effectuer une sélection multiple dans la liste des cadres.
1. Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour
afficher la page de modification du groupe.
2. Sur la zone « Cibles », cliquez sur le bouton « Compte » sous « Gestion des mots de passe »
afin d'afficher les comptes disponibles. Double-cliquez sur un compte pour le déplacer depuis
113
Wallix AdminBastion 5.0.4 – Guide d’Administration
Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans la
zone dédiée au niveau de l'icône loupe.
Vous pouvez effectuer une sélection multiple dans la liste des cadres.
Avertissement :
Vous ne pouvez pas supprimer un groupe de comptes cibles lorsque des autorisations
actives (voir Chapitre 12, Gestion des autorisations ) et/ou des comptes cibles sont
rattachés à ce groupe.
#wab504 targetgroup
#wab50 targetgroup
114
Wallix AdminBastion 5.0.4 – Guide d’Administration
Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.
115
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement :
La détection de chaînes de caractères n’est active que pour les données envoyées par
le client vers le serveur.
La liste des motifs appliqués est la somme de ceux présents dans le groupe d’utilisateurs et le
groupe de comptes cibles. L’action liée est la plus restrictive : si l’un des groupes porte l’action
« Kill » (ou « Fermer »), c’est cette action qui sera choisie.
Les règles sont à rentrer sous la forme d’expressions régulières, à raison d’une expression par ligne.
Exemple : pour empêcher la suppression de fichiers, les expressions à rentrer dans le champ
« Règles » sont :
unlink\s+.*
rm\s+.*
Il est néanmoins possible de définir un nombre de détections avec blocage et avertissement avant
coupure de la session.
116
Wallix AdminBastion 5.0.4 – Guide d’Administration
Pour cela, il est nécessaire de paramétrer une option globale du proxy SSH : sur la page « Options
de configuration » du menu « Configuration », sélectionnez « SSH proxy » dans la liste pour accéder
à la page de configuration du proxy SSH, puis entrez un nombre entier positif dans le champ
« Warning count ». Cette valeur est par défaut à « 0 ».
Par exemple, une valeur de « 5 » avertira cinq fois l’utilisateur d’une détection (tout en bloquant
l’exécution de la commande) avant de couper la session à la sixième détection.
9.5.9.2. Transferts de fichiers
Pour les sous-protocoles SFTP_SESSION, SSH_SCP_UP et SSH_SCP, il est possible de créer
une expression basée sur la taille des fichiers dans le but de détecter le transfert de fichiers
volumineux. La syntaxe est la suivante:
$filesize:>X
Lettre Echelle
k 1 000
m 1 000 000
g 1 000 000 000
10
K 1024 (2 )
20
M 1 048 576 (2 )
30
G 1 073 741 824 (2 )
Tableau 9.1. Échelle
Avertissement :
Une cible ayant ce type règles de détection sera considérée comme un équipement
CISCO IOS. Il ne faut donc pas l’utiliser pour un autre type de cible comme Linux/Unix
sous peine de dysfonctionnement.
• Liste blanche de commandes : seules les commandes listées sont autorisées. Dans le champ
« Règles », saisir : $acmd:[liste de commandes]
117
Wallix AdminBastion 5.0.4 – Guide d’Administration
• Liste noire de commandes : toutes les commandes sont autorisées sauf celles listées. Dans le
champ « Règles », saisir : $cmd:[liste de commandes]
La liste de commande est délimitée par des crochets, chaque commande est séparée par une
virgule. Par exemple : [enable, show kerberos, access-template, configure
terminal]
Une commande peut contenir un séparateur « : » qui indique la fin du préfixe non-ambigü. La
commande en elle-même ne peut pas contenir de caractère « : ». Par exemple pour les commandes
« en[able] », « sh[ow] kerb[eros] », « access-t[emplate] », et « conf[igure] t[erminal] » la liste serait :
[en:able, sh:ow kerb:eros, access-t:emplate, conf:igure t:erminal]
Exemple de liste blanche :
$cmd:[en:able, sh:ow]
En cas de déclarations multiples, toutes les listes du même type sont fusionnées.
Si des listes blanches et noires sont déclarés en même temps, la détection se fera par la liste
blanche dans laquelle on aura enlevé les commandes de la liste noire.
Par défaut, et de manière implicite, les commandes « alias » et « prompt » seront ajoutées à une
liste noire et la commande « exit » sera ajoutée à une liste blanche.
Exemple de détection utilisant la liste blanche : [w:here, sh:ow ke:rberos, co:nnect]
Saisie Détection
show Oui
show kerb Non
sh ke c Non
show kron schedule Oui
show ip arp Oui
config t Oui
where Non
w Non
alias show montrer Oui
exit Non
Tableau 9.2. Détection Cisco IOS avec liste blanche
Exemple de détection utilisant la liste noire : [w:here, sh:ow ke:rberos, co:nnect]
Saisie Détection
show Non
show kerb Oui
sh ke c Oui
show kron schedule Non
118
Wallix AdminBastion 5.0.4 – Guide d’Administration
Saisie Détection
show ip arp Non
config t Non
where Oui
w Oui
alias show montrer Oui
exit Non
Tableau 9.3. Détection Cisco IOS avec liste noire
Avertissement :
La détection de chaînes de caractères n’est active que pour les données envoyées par
le client vers le serveur.
La liste des motifs appliqués est la somme de ceux présents dans le groupe d’utilisateurs et le
groupe de comptes cibles. L’action liée est la plus restrictive : si l’un des groupes porte l’action
« Kill » (ou « Fermer »), c’est cette action qui sera choisie.
Les actions sont à rentrer sous la forme d’expressions régulières, à raison d’une expression par
ligne.
Une expression préfixée par « $kbd: » s’appliquera uniquement aux flux clavier.
Une expression préfixée par « $ocr: » ou sans préfixe s’appliquera uniquement aux titres des
fenêtres.
Enfin, une expression préfixée par « $kbd-ocr: » ou « $ocr-kbd: » s’appliquera aux deux.
Exemples : pour empêcher la suppression de fichiers depuis l’Invite de commande (cmd.exe), les
expressions à rentrer sont les suivantes :
$kbd:del\s+.*
$kbd:erase\s+.*
$ocr:Invite de commande
$ocr:.*\\cmd.exe
Avertissement :
Si vous choisissez de fermer la session quand une barre de titre de fenêtre spécifique
est affichée, les utilisateurs ne pourrons pas se reconnecter tant que cette fenêtre n’aura
119
Wallix AdminBastion 5.0.4 – Guide d’Administration
pas été fermée ou son titre changé car leurs sessions seront de nouveau fermées
immédiatement.
9.6. Clusters
Un cluster est un groupe de serveurs de rebond. L’utilisation d’un cluster à la place d’un équipement
unique permet de mettre en place de la répartition de charge et de la Haute Disponibilité pour une
120
Wallix AdminBastion 5.0.4 – Guide d’Administration
application. La sélection du serveur de rebond à utiliser pour exécuter une application se fait en
deux étapes. WAB trie les serveurs en commençant par celui avec le moins de sessions ouvertes,
puis essaie de se connecter à chacun jusqu’à la première tentative qui réussit.
La gestion des clusters se fait à partir de la page « Clusters » du menu « Ressources et comptes ».
Il suffit d’ajouter à un cluster les équipements qui le composent.
• lister les clusters et les comptes cibles déclarés sur chacun des groupes,
• ajouter/modifier/supprimer un cluster,
• importer des clusters à partir d'un fichier .csv afin d'alimenter la base ressources de WAB.
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.
9.6.1. Ajouter un cluster
Sur la page « Clusters », cliquez sur « Ajouter un cluster » pour afficher la page de création du
cluster.
Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans
la zone dédiée au niveau de l'icône loupe.
Vous pouvez effectuer une sélection multiple dans la liste des cadres.
121
Wallix AdminBastion 5.0.4 – Guide d’Administration
9.6.2. Modifier un cluster
Sur la page « Clusters », cliquez sur un nom de cluster puis sur « Modifier ce cluster » pour afficher
la page de modification du cluster.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du cluster,
excepté le champ « Nom du cluster » qui n’est pas modifiable.
9.6.3. Supprimer un cluster
Sur la page « Clusters », sélectionnez un ou plusieurs clusters à l’aide de la case à cocher au début
de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre
demandant une confirmation avant la suppression définitive des lignes sélectionnées.
#wab504 cluster
#wab50 cluster
122
Wallix AdminBastion 5.0.4 – Guide d’Administration
Il doit y avoir au
moins un compte cible
existant ou une cible
existante en mappage
de compte ou encore
une cible existante en
connexion interactive.
Il doit y avoir au
moins un compte cible
existant ou une cible
existante en mappage
de compte ou encore
une cible existante en
connexion interactive.
Il peut n'y avoir
aucune cible ou une
ou plusieurs cibles
dans chaque catégorie
ou dans toutes les
catégories pour le
cluster.
Connexion interactive TexteR/O Cible en connexion N/A
interactive définies
Il doit y avoir au
moins un compte cible
existant ou une cible
existante en mappage
de compte ou encore
une cible existante en
connexion interactive.
Il peut n'y avoir
aucune cible ou une
ou plusieurs cibles
123
Wallix AdminBastion 5.0.4 – Guide d’Administration
Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.
124
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement :
Une politique d'emprunt par défaut appelée « default » est configurée au sein de WAB.
Vous pouvez modifier cette politique mais vous ne pouvez pas la supprimer.
• – la durée d'emprunt exprimée en heures et en minutes (par exemple, saisir « 1h20 » pour une
heure et vingt minutes ou « 5 » pour cinq minutes). Cette durée doit être renseignée.
– l'extension de la durée d'emprunt exprimée en heures et en minutes (par exemple, saisir
« 1h20 » pour une heure et vingt minutes ou « 5 » pour cinq minutes),
– la durée maximum d'emprunt exprimée en heures et en minutes (par exemple, saisir « 1h20 »
pour une heure et vingt minutes ou « 5 » pour cinq minutes),
– une case à cocher pour paramétrer le changement du mot de passe lors de la restitution.
125
Wallix AdminBastion 5.0.4 – Guide d’Administration
WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes
sélectionnées.
Avertissement :
Vous ne pouvez pas supprimer une politique d'emprunt du mot de passe lorsque celle-
ci est associée à au moins un compte cible.
126
Wallix AdminBastion 5.0.4 – Guide d’Administration
• soit visualiser le mot de passe du compte en cliquant sur « Afficher » au début de la ligne. Dans
ce cas, le verrouillage du compte a été désactivé au niveau de la politique d'emprunt associée
à ce compte cible,
• soit emprunter le mot de passe du compte en cliquant sur « Emprunter » au début de la ligne.
Dans ce cas, le verrouillage du compte a été activé au niveau de la politique d'emprunt associée
à ce compte-cible. Pour plus d'informations, voir Section 9.7, « Politiques d'emprunt du mot
de passe ». Dans la fenêtre permettant d'afficher le mot de passe, il est alors nécessaire de
cliquer sur le bouton « Restitution » pour restituer le compte avant la fin de la durée d'emprunt.
Néanmoins, le compte sera automatiquement restitué à la fin de cette durée. La durée d'emprunt
a été définie au niveau de la politique d'emprunt.
Si une procédure d'approbation a été définie pour autoriser l'accès au mot de passe de la
cible, l'utilisateur peut notifier les approbateurs et obtenir l'accès au mot de passe de la cible en
cliquant sur « Demande » dans la colonne « Approbation ». La page « Demande d'approbation »
s'affiche alors et une date et une heure de début ainsi qu'une durée doivent être renseignées.
Un commentaire pour saisir un motif concernant la demande d'approbation ainsi qu'une référence
peuvent être renseignés respectivement dans les champs « Commentaire » et « Référence du
ticket », si les options correspondantes ont été activées lors de la définition de l'autorisation. Dans
le cas contraire, ces deux champs ne sont pas affichés. Pour plus d'informations, voir Section 12.7,
« Procédure d'approbation ».
Lorsque la requête est formulée, l'utilisateur est redirigé sur la page « Mots de passe » et il/elle
peut visualiser le statut des demandes d'approbation envoyées dans le tableau en bas de la page.
127
Wallix AdminBastion 5.0.4 – Guide d’Administration
• le statut de la demande,
• les réponses des approbateurs.
L'utilisateur peut cliquer sur l'icône bloc-notes au début de la ligne pour obtenir une vue détaillée
de la demande. Le bouton « Annuler la demande » sur la page permet d'annuler les demandes
encore valides.
10.2.1. Plugin Windows
Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine global ou local
(voir Section 9.1, « Domaines ») sont les suivants :
• Adresse du contrôleur de domaine : adresse Active Directory. Ce paramètre est requis pour un
domaine global.
128
Wallix AdminBastion 5.0.4 – Guide d’Administration
• Identifiant administrateur et mot de passe administrateur : identifiant et mot de passe d'un compte
à privilèges autorisé à changer les mots de passe d'autres comptes. Ces paramètres sont
optionnels mais veuillez noter que WAB ne pourra pas définir le nouveau mot de passe d'un
compte si l'ancien n'existe pas. Ces paramètres correspondent aux accréditations du compte
renseigné dans le champ « Compte administrateur » (voir Section 9.1, « Domaines ») au niveau
du domaine et sont utilisés pour la mise en place de la réconciliation.
Avertissement :
Afin de permettre le bon déroulement du changement automatique de mot de passe au
sein de WAB, nous vous recommandons vivement de modifier la valeur définie par défaut
pour la durée de vie minimale du mot de passe, au niveau des paramètres de la politique
de mot de passe de Windows. Cette valeur devrait être paramétrée à « 0 ».
Pour les comptes de domaines, la durée de vie minimale du mot de passe peut être
changée dans les paramètres de sécurité de Windows, au niveau des stratégies de
groupe.
Pour les comptes locaux, la durée de vie minimale du mot de passe peut être changée
dans les paramètres de sécurité de Windows, au niveau de la politique locale.
10.2.2. Plugin Cisco
Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine global ou local
(voir Section 9.1, « Domaines ») sont les suivants :
Avertissement :
Depuis OpenSSH 7.0, des algorithmes faibles ont été désactivés au niveau de la
configuration par défaut, même si ceux-ci étaient les seuls à être supportés par des
anciens serveurs. De ce fait, le changement de mot passe effectué avec le plugin Cisco
peut échouer.
KexAlgorithms +diffie-hellman-group1-sha1
HostKeyAlgorithms +ssh-dss
10.2.3. Plugin Unix
Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine global ou local
(voir Section 9.1, « Domaines ») sont les suivants :
129
Wallix AdminBastion 5.0.4 – Guide d’Administration
• Mot de passe root : mot de passe pour la connexion avec les privilèges « root ».
Avertissement :
Depuis OpenSSH 7.0, des algorithmes faibles ont été désactivés au niveau de la
configuration par défaut, même si ceux-ci étaient les seuls à être supportés par des
anciens serveurs. De ce fait, le changement de mot passe effectué avec le plugin Unix
peut échouer.
KexAlgorithms +diffie-hellman-group1-sha1
HostKeyAlgorithms +ssh-dss
10.2.4. Plugin Oracle
Ce plugin permet le changement du mot de passe de la base de donneés Oracle.
Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine global ou local
(voir Section 9.1, « Domaines ») sont les suivants :
Avertissement :
Tous les mots de passe pour lesquels le changement automatique est configuré comme
indiqué Section 9.4.1, « Ajouter un compte cible » seront remplacés. Il vous appartient de
vérifier que les e-mails contenant les nouveaux mots de passe ont bien été reçus et qu’ils
peuvent être déchiffrés. Nous vous recommandons d'effectuer un test du processus en
vous basant sur un compte administrateur unique.
Sur la page « Politiques chgt mot de passe » du menu « Gestion des mots de passe », vous pouvez
lister, ajouter, modifier ou supprimer des politiques de changement des mots de passe.
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.
130
Wallix AdminBastion 5.0.4 – Guide d’Administration
• la longueur du mot de passe, c'est-à-dire le nombre de caractères que le mot de passe doit
contenir,
• le nombre minimal de caractères ASCII non alphanumériques (ou caractères spéciaux) que le
mot de passe doit contenir,
• le nombre minimal de caractères alphabétiques en minuscules que le mot de passe doit contenir,
• le nombre minimal de caractères alphabétiques en majuscules que le mot de passe doit contenir,
• le nombre minimal de chiffres que le mot de passe doit contenir,
• les caractères interdits dans le mot de passe,
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la politique.
131
Wallix AdminBastion 5.0.4 – Guide d’Administration
132
Wallix AdminBastion 5.0.4 – Guide d’Administration
Pour pouvoir utiliser les fichiers .puttywab sous Windows, il faut auparavant télécharger et
installer l'application WABPutty à partir du lien « Télécharger WABPutty » affiché dans le haut
de cette page. L'installation prend en charge l'association des fichiers afin que l'application
soit démarrée automatiquement. L'installation ne nécessite pas de privilèges d'administration.
Cependant l'installation est uniquement fonctionnelle pour l'utilisateur connecté et non pour
l'ensemble des utilisateurs du poste de travail.
Si une procédure d'approbation a été définie pour autoriser la connexion à la cible, l'utilisateur peut
notifier les approbateurs et obtenir l'accès à la cible en cliquant sur « Demande » dans la colonne
« Approbation ». La page « Demande d'approbation » s'affiche alors et une date et une heure de
début ainsi qu'une durée doivent être renseignées. Un commentaire pour saisir un motif concernant
la demande d'approbation ainsi qu'une référence peuvent être renseignés respectivement dans
les champs « Commentaire » et « Référence du ticket », si les options correspondantes ont été
activées lors de la définition de l'autorisation. Dans le cas contraire, ces deux champs ne sont pas
affichés. Pour plus d'informations, voir Section 12.7, « Procédure d'approbation ».
Lorsque la requête est formulée, l'utilisateur est redirigé sur la page « Sessions » et il/elle peut
visualiser le statut des demandes d'approbation envoyées dans le tableau en bas de la page.
133
Wallix AdminBastion 5.0.4 – Guide d’Administration
L'utilisateur peut cliquer sur l'icône bloc-notes au début de la ligne pour obtenir une vue détaillée
de la demande. Le bouton « Annuler la demande » sur la page permet d'annuler les demandes
encore valides.
Le point d'interrogation « ? » est un caractère interdit dans le login de l'utilisateur primaire mais il
peut être utilisé comme séparateur pour indiquer des options (à droite) demandant explicitement
une invite pour saisir un login et/ou mot de passe pour la cible.
Le point d'interrogation « ? » sans option demande par défaut un mot de passe secondaire.
Exemples:
134
Wallix AdminBastion 5.0.4 – Guide d’Administration
login : “wabuser?lp” : invite de saisie du login secondaire en premier, puis invite de saisie du mot
de passe secondaire.
11.3. Données d'audit
Le menu « Audit » vous permet de visualiser les données d'audit de WAB et notamment les
historiques des connexions.
11.3.1. Sessions courantes
Sur la page « Sessions courantes » du menu « Audit », vous pouvez visualiser la liste des
connexions actives et initiées depuis WAB pour les sessions RDP et SSH (les connexions actives
sur l’interface Web ne sont pas représentées).
Note :
Le terme générique « connexion » sera utilisé dans cette section pour désigner
indifféremment les connexions SSH et RDP.
Sur cette page, vous pouvez également interrompre une ou plusieurs connexions : sélectionnez
une ou plusieurs connexions à l’aide de la case à cocher au début de la ligne puis, cliquez sur
l'icône rouge, dans l'en-tête de colonne, pour fermer les sessions correspondantes. WAB affiche
une fenêtre demandant une confirmation avant l'interruption des connexions.
Les utilisateurs connectés via RDP ou SSH sont alors informés que la connexion a été interrompue
par l'administrateur, comme illustré ci-dessous :
135
Wallix AdminBastion 5.0.4 – Guide d’Administration
Cliquez sur l'icône de la loupe située au début de la ligne concernée dans la liste pour ouvrir une
fenêtre vous permettant de visualiser la session en temps réel. Cliquez une deuxième fois sur
l'icône pour fermer la fenêtre.
Avertissement :
Cette page affiche uniquement les connexions terminées. Pour obtenir une vue des
connexions actives, voir Section 11.3.1, « Sessions courantes ».
136
Wallix AdminBastion 5.0.4 – Guide d’Administration
Des filtres peuvent être définis dans le haut de la page pour faciliter la recherche et restreindre
l'affichage aux données pertinentes. Ces filtres sont les suivants :
• un tri sur l'affichage de toutes les données ou tous les équipements existants ou encore, toutes
les applications existantes,
• la définition d'une plage de dates,
• la définition des N derniers jours, semaines ou mois,
• un recherche par occurrence dans les colonnes.
Note :
Seuls les 1000 derniers enregistrements sont affichés dans l’interface utilisateur Web.
Le filtrage par recherche d’occurrences opère sur ces 1000 enregistrements. Seule la
définition d’une plage de dates permet de récupérer des sessions plus anciennes.
Toutes les données sur cette page sont téléchargeables sous la forme d'un fichier .csv.
137
Wallix AdminBastion 5.0.4 – Guide d’Administration
• Cliquez sur l'icône de la disquette pour télécharger l’enregistrement de la session SSH au format
brut (ttyrec).
• Cliquez sur l'icône du fichier texte permet de télécharger le contenu visible de la session SSH
au format texte plat (txt).
• Cliquez sur l'icône de la loupe : la page de visualisation de l’enregistrement des sessions s'affiche.
Un visualiseur vous permet alors de parcourir la vidéo de la session. Les informations de la
session sont affichées dans le haut de la page. Cliquez sur l'icône de la disquette pour télécharger
le film entier.
Si l'option OCR est activée, les titres des applications détectées dans le film par le module d’OCR
sont indexés et affichés dans la zone « Données de la session ». Cliquez sur les entrées de la liste
pour naviguer rapidement dans le film à partir du visualiseur. L'icône de la flèche descendante
vous permet de télécharger les données de la session. Vous pouvez également cliquer sur les
vignettes de la zone « Liste des captures d'écran » pour naviguer rapidement dans le film.
• Cliquez sur l'icône du pouce levé pour afficher le détail de la demande d'approbation (avec les
réponses et commentaires des approbateurs). Cette icône s'affiche sur la ligne si la session
correspondante a fait l'objet d'une procédure d'approbation. Pour plus d'informations, voir
Section 12.7, « Procédure d'approbation ».
Dans la colonne « Activité », l'auditeur peut cliquer sur « Afficher » pour visualiser l'historique des
activités pour le compte sur une page dédiée. Cette page affiche un tableau listant les activités
enregistrées pour une date et une heure données.
Dans la colonne « Historique », l'auditeur peut cliquer sur « Afficher » pour visualiser l'historique des
changements du mot de passe du compte sur une page dédiée. Cette page affiche les informations
liées aux changements du mot de passe du compte pour une date et une heure données. Il est
également possible d'afficher le nouveau mot de passe.
Dans la colonne « Actions », l'option « Forcer le déblocage » est disponible pour les comptes
empruntés par les utilisateurs. L’auditeur peut cliquer sur cette option pour restituer le mot de passe
du compte.
138
Wallix AdminBastion 5.0.4 – Guide d’Administration
Des filtres peuvent être définis dans le haut de la page pour faciliter la recherche et restreindre
l'affichage aux données pertinentes. Ces filtres sont les suivants :
Note :
Seuls les 1000 derniers enregistrements sont affichés dans l’interface utilisateur Web.
Le filtrage par recherche d’occurrences opère sur ces 1000 enregistrements. Seule la
définition d’une plage de dates permet de récupérer des sessions plus anciennes.
• le statut de la demande,
• le quorum actuel,
• la référence du ticket associé à la demande,
• l’utilisateur qui a formulé la demande,
• la cible pour laquelle la demande est formulée,
• la date et l'heure de début de la demande,
• la date et l'heure de fin de la demande,
• la durée de la demande,
• les réponses des approbateurs.
Cliquez sur l'icône bloc-notes au début de la ligne pour obtenir une vue détaillée de la demande.
Toutes les données sur cette page sont téléchargeables sous la forme d'un fichier .csv.
139
Wallix AdminBastion 5.0.4 – Guide d’Administration
Des filtres peuvent être définis dans le haut de la page pour faciliter la recherche et restreindre
l'affichage aux données pertinentes. Ces filtres sont les suivants :
Note :
Seuls les 1000 derniers enregistrements sont affichés dans l’interface utilisateur Web.
Le filtrage par recherche d’occurrences opère sur ces 1000 enregistrements. Seule la
définition d’une plage de dates permet de récupérer des sessions plus anciennes.
• la date de l’événement,
• l’identifiant fourni (nom d’utilisateur WAB),
• l’adresse IP source,
• le résultat de l’authentification symbolisé par une icône représentant un succès ou un échec,
• un diagnostic du résultat fournissant une indication plus précise sur le résultat de
l'authentification.
Toutes les données sur cette page sont téléchargeables sous la forme d'un fichier .csv.
140
Wallix AdminBastion 5.0.4 – Guide d’Administration
Des filtres peuvent être définis dans le bas de la page pour faciliter la recherche et restreindre
l'affichage aux données pertinentes. Ces filtres sont basés sur une sélection parmi des utilisateurs
WAB et/ou des équipements et/ou des comptes cibles.
Une fois les diagrammes générés, vous pouvez cliquer sur les rapports concernant les connexions
WAB et les connexions aux comptes cibles pour en visualiser le détail sur les pages « Historique
des authentifications » (voir Section 11.3.7, « Historique des authentifications ») ou « Historique
des sessions » (voir Section 11.3.3, « Historique des sessions »).
Un tableau dans l'en-tête des diagrammes générés récapitule les filtres sélectionnés et un bouton
sous les graphiques vous permet de télécharger chacun de ces rapports statistiques sous la forme
d’un fichier .csv.
141
Wallix AdminBastion 5.0.4 – Guide d’Administration
Si vous choisissez « Ressources inutilisées », vous pouvez visualiser les utilisateurs ou les comptes
cibles inactifs sur une période de temps donnée. Cette période peut être une plage calendaire ou
un nombre de jours précédant la date courante. Les données peuvent être affichées directement
sous forme de liste sur la page active ou encore téléchargées sous la forme d’un fichier .csv.
142
Wallix AdminBastion 5.0.4 – Guide d’Administration
Ces enregistrements sont visualisables sur la page « Historique des sessions » du menu « Audit ».
Pour plus d'informations, voir Section 11.3.3, « Historique des sessions ».
Les enregistrements chiffrés peuvent être relus uniquement par l'instance WAB qui les a créés.
L’algorithme de chiffrement utilisé est AES 256 CBC. La signature est effectuée en calculant une
empreinte HMAC SHA 256. L’empreinte est vérifiée lors d'une demande de visualisation.
143
Wallix AdminBastion 5.0.4 – Guide d’Administration
11.5. Politiques de connexion
Sur la page « Politiques de connexion » du menu « Gestion des sessions », vous pouvez ajouter,
modifier ou supprimer les mécanismes d'authentification existants au sein de WAB.
Les mécanismes disponibles pour les protocoles RDP, VNC, SSH, TELNET et RLOGIN sont
prédéfinis dans l'application et ne peuvent être ni supprimés ni modifiés.
Sur chaque page, une description utile peut être affichée pour tous les champs en sélectionnant la
case du champ « Aide sur les options » sur la droite. Cette description inclut le format à respecter
lors de la saisie des données dans le champ.
Avertissement :
Les options spécifiques affichées lorsque la case du champ « Options avancées » sur la
droite est cochée doivent être UNIQUEMENT modifiées sur les instructions de l’Équipe
Support Wallix ! Une icône représentant un point d'exclamation sur fond orange est
affichée en marge des champs concernés.
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.
144
Wallix AdminBastion 5.0.4 – Guide d’Administration
• en cliquant sur « Ajouter une politique de connexion » pour afficher la page de création de la
politique,
• en dupliquant une politique existante afin d’utiliser ses paramètres : cliquez sur l'icône dans la
colonne « Action » sur la droite de la ligne souhaitée dans le tableau pour afficher la page de
création de la politique avec les paramètres hérités de la politique choisie. Dans ce cas, seuls
les champs « Nom de la politique » et « Description » ne sont pas hérités de la politique choisie
et sont vides.
Un script de connexion peut être renseigné dans le champ « Scenario » pour les politiques
de connexion définies sur les protocoles TELNET et RLOGIN. Pour plus d'informations, voir
Section 9.2.10, « Scénario de connexion TELNET/RLOGIN sur un équipement cible ».
Le mode « session probe » peut être activé pour les politiques de connexion définies sur le protocole
RDP. Pour plus d'informations, voir Section 11.7, « Session probe ».
145
Wallix AdminBastion 5.0.4 – Guide d’Administration
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la politique,
excepté les champs « Nom de la politique » et « Protocole » qui ne sont pas modifiables.
Avertissement :
Vous ne pouvez pas supprimer une politique de connexion lorsque celle-ci est associée
à un équipement (au niveau du service sur la page « Équipements »). Pour plus
d'informations sur l'association d'une politique de connexion à un équipement, voir
Section 9.2.1, « Ajouter un équipement cible ».
11.6. Règle de transformation
Une règle de transformation correspond à une chaîne de caractères définissant la structure du login
secondaire.
Cette chaîne de caractère inclut :
11.7. Session probe
Le mode « session probe » permet de collecter des ensembles riches de méta-données de session
liées à l'activité des utilisateurs. Ces informations peuvent être redirigées vers un logiciel de type
SIEM afin d'identifier des événements significatifs.
Ce mode peut être activé en sélectionnant l'option « Enable session probe » sur les pages de
configuration des politiques de connexion définies sur le protocole RDP, accessibles depuis la page
« Politiques de connexion » du menu « Gestion des sessions ».
Ce mode ne nécessite pas de déploiement spécifique. Il s'exécute dans la session RDP de
l'utilisateur en fonction des privilèges de ce dernier. De ce fait, il n’entraîne pas d'augmentation de
la surface d'attaque du système d’information.
Les méta-données sont collectées par le mode « session probe » lors des événements suivants :
146
Wallix AdminBastion 5.0.4 – Guide d’Administration
Le mode « session probe » peut également bloquer les connexions TCP par rebond. Une connexion
par rebond consiste à passer par une cible WAB pour accéder à une autre machine sur le réseau
interne. Ce mode peut alors détecter et interrompre ce type de connexion.
Le mode « session probe » contribue à la protection des mots de passes saisis dans la session
en détectant l’entrée du curseur dans des champs de saisie de mot de passe ou dans une fenêtre
UAC (User Account Control). Quand un tel événement se produit dans la session, WAB reçoit alors
l'information afin de mettre en pause la collecte des données saisies au clavier.
11.7.1. Pré-requis
Le mode « session probe » fonctionne sous un système d'exploitation Windows avec le service
Bureau à distance supportant la fonction « alternate shell ».
A partir de Windows Server 2008, il est nécessaire de publier l'invite de commande (cmd.exe) en
tant que programme RemoteApp. Pour plus d'informations, voir https://technet.microsoft.com/fr-fr/
library/cc753788.aspx.
A partir de Windows Server 2012, il est nécessaire d'autoriser tous les paramètres de ligne de
commande en sélectionnant le bouton radio « Allow any command-line parameters » dans la
boîte de dialogue « Remote Desktop Connection Program properties ». Pour plus d'informations,
voir https://blogs.technet.microsoft.com/infratalks/2013/02/06/publishing-remoteapps-and-remote-
session-in-remote-desktop-services-2012/.
Si le mode « session probe » s'arrête pour une raison quelconque, WAB interrompra la session
en cours.
Comme pour une session RDP classique, si l'utilisateur se déconnecte sans fermer une session
sous le mode « session probe », celle-ci continuera à fonctionner via le service Bureau à distance
(pour une durée prédéterminée). Pendant ce laps de temps, l'utilisateur a la possibilité de reprendre
la session là ou il l'a laissé. Afin de garantir un niveau satisfaisant de sécurité, ce mode dispose d'un
mécanisme visant à empêcher la reprise de la session de l'utilisateur par une autre incompatible.
Les incompatibilités qui empêchent la reprise d'une session par une autre peuvent être les
suivantes :
147
Wallix AdminBastion 5.0.4 – Guide d’Administration
Si WAB constate une impossibilité de reprise de la session RDP, la connexion en cours est
interrompue et une nouvelle prend le relais de façon transparente pour l'utilisateur.
11.7.3. Configuration
La configuration du mode « session probe » peut être effectuée sur les pages de configuration des
politiques de connexion définies sur le protocole RDP, accessibles depuis la page « Politiques de
connexion » du menu « Gestion des sessions ».
Champ « Enable session probe »
Cochez/décochez la case pour activer/désactiver le mode « session probe ».
Champ « Use smart launcher »
Cochez/décochez la case pour activer/désactiver l'utilisation de « smart launcher » au démarrage
du mode « session probe ».
Avertissement :
Seuls les serveurs à partir de Windows Server 2008 ou plus récents sont supportés !
Il n'est pas nécessaire de publier l'invite de commande (cmd.exe) en tant que programme
RemoteApp pour utiliser « smart launcher ».
La redirection du presse-papiers doit être autorisée par Terminal Services pour utiliser «
smart launcher » (ce qui est le cas par défaut).
Avertissement :
Ce champ est affiché lorsque la case du champ « Options avancées » sur la droite de
la page est cochée et doit être UNIQUEMENT modifié sur les instructions de l’Équipe
Support Wallix !
148
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement :
Ce champ est affiché lorsque la case du champ « Options avancées » sur la droite de
la page est cochée et doit être UNIQUEMENT modifié sur les instructions de l’Équipe
Support Wallix !
Avertissement :
Ce champ est affiché lorsque la case du champ « Options avancées » sur la droite de
la page est cochée et doit être UNIQUEMENT modifié sur les instructions de l’Équipe
Support Wallix !
Avertissement :
Seuls les serveurs à partir de Windows Server 2008 ou plus récents sont supportés !
Avertissement :
Ce champ est affiché lorsque la case du champ « Options avancées » sur la droite de
la page est cochée et doit être UNIQUEMENT modifié sur les instructions de l’Équipe
Support Wallix !
149
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement :
Une coupure réseau peut provoquer la déconnexion des sessions RDP en cours. Si cette
option est activée, toutes les données non sauvegardées seront définitivement perdues.
Ce champ permet de renseigner les règles de blocage des connexions TCP par rebond.
Les règles doivent être séparées les unes des autres par des virgules (« , »).
Par exemple, pour interdire toutes les connexions RDP par rebond, on peut utiliser la règle «
0.0.0.0/0:3389 ».
11.8. Paramètres de connexion
Sur la page « Paramètres de connexion » du menu « Configuration », vous pouvez modifier les
messages des bannières affichées à l'utilisateur lors de la connexion aux proxys, en fonction de
sa langue d'affichage préférée.
150
Wallix AdminBastion 5.0.4 – Guide d’Administration
Les autorisations s'appliquent à des groupes utilisateurs rattachés à des groupes de comptes cibles.
Tous les utilisateurs appartenant à un même groupe héritent des mêmes autorisations.
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.
Une autorisation représente un lien créé entre un groupe utilisateurs et un groupe de comptes
cibles. Plusieurs autorisations peuvent être créées entre ces deux groupes.
• un groupe utilisateurs,
• un groupe de comptes cibles,
• un champ pour la saisie du nom de l'autorisation,
• une description,
• une case à cocher pour indiquer si les cibles concernées par l'autorisation sont critiques ou non
(une notification peut être envoyée à chaque fois qu'un accès a lieu sur une cible critique),
• une case à cocher pour activer ou désactiver les sessions à distance. Si cette case est cochée,
alors les sessions sont autorisées pour cette autorisation. Dans ce cas, vous pouvez sélectionner
151
Wallix AdminBastion 5.0.4 – Guide d’Administration
dans la liste du cadre inférieur les protocoles pouvant être associés avec un groupe utilisateurs
et un groupe de comptes cibles donnés. Déplacez un protocole depuis le cadre « Protocoles/
Sous-protocoles disponibles » vers le cadre « Protocoles/Sous-protocoles sélectionnés » pour
choisir le protocole. Et inversement, déplacez un protocole depuis le cadre « Protocoles/
Sous-protocoles sélectionnés » vers le cadre « Protocoles/Sous-protocoles disponibles » pour
supprimer l'association.
• une case à cocher pour activer ou désactiver l'enregistrement de session. Les types
d’enregistrements réalisés dépendent du protocole d’accès à l’équipement.
Avertissement :
L'enregistrement d'une session basée sur le protocole RDP inclut à la fois la vidéo et
la reconnaissance automatique par OCR des applications exécutées sur la machine
distante par détection des barres de titre.
L’algorithme utilisé pour la détection du contenu des barres de titre est très rapide de
manière à pouvoir être exécuté en temps réel. Cependant, il fonctionne uniquement
avec le style de fenêtre « Windows Standard » et la taille de polices par défaut de
96PPP avec une profondeur de couleur supérieure ou égale à 15 bits (15, 16, 24 ou 32
bits, donc pas en mode 8 bits). Dans sa version actuelle, tout changement du style des
barres de titre, même à première vue visuellement proche, par exemple un passage à
« Windows classique », ou encore un changement de couleur de la barre de titre, du
style ou de la taille de la police ou de la résolution de rendu rendra la fonction OCR
inopérante. L’OCR est, de plus, configuré de manière à détecter uniquement les barres
de titre d’application terminées par les trois icônes fermer, minimiser, maximiser. Si la
barre de titre contient une icône, celle-ci sera généralement remplacée par des points
d’interrogation précédant le texte reconnu.
152
Wallix AdminBastion 5.0.4 – Guide d’Administration
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de
l'autorisation, excepté les champs « Groupe utilisateurs » et « Groupe de ressources » qui ne sont
pas modifiables.
153
Wallix AdminBastion 5.0.4 – Guide d’Administration
du menu « Import/Export » : la case « Autorisations » est déjà cochée pour l'import des données.
Les séparateurs de champs et de listes sont également configurables.
#wab504 authorization
#wab50 authorization
Il peut y avoir un ou
plusieurs protocoles
Est critique Booléen R Vrai ou Faux Faux
Est enregistré Booléen R Vrai ou Faux Faux
Autoriser Booléen R Vrai ou Faux Faux
l'emprunt de
mot de passe
Autoriser les Booléen R Vrai ou Faux Faux
sessions
Description Texte O Texte libre N/A
Approbation Booléen R Vrai ou Faux Faux
requise
Avec Booléen R Vrai ou Faux Faux
commentaire
Faux si Approbation
requise = Faux
Vrai si Commentaire
obligatoire = Vrai
Commentaire Booléen R Vrai ou Faux Faux
obligatoire
Faux si Approbation
requise = Faux
Avec ticket Booléen R Vrai ou Faux Faux
154
Wallix AdminBastion 5.0.4 – Guide d’Administration
Au moins un quorum
(actif ou inactif) doit
être défini et doit être
supérieur à 0
Quorum inactif Entier R Nombre entier entre "0"
0 et le nombre
d’approbateurs dans
les groupes
Au moins un quorum
(actif ou inactif) doit
être défini et doit être
supérieur à 0
(1)
Sous-protocole : une des valeurs suivantes : SSH_SHELL_SESSION,
SSH_REMOTE_COMMAND, SSH_SCP_UP, SSH_SCP_DOWN, SSH_X11, SFTP_SESSION,
RDP, VNC, TELNET, RLOGIN, SSH_DIRECT_TCPIP, SSH_REVERSE_TCPIP,
SSH_AUTH_AGENT, RDP_CLIPBOARD_UP, RDP_CLIPBOARD_DOWN, RDP_PRINTER,
RDP_COM_PORT, RDP_DRIVE, RDP_SMARTCARD, RDP_CLIPBOARD_FILE.
Pour plus d'informations, voir Section 9.2.8, « Options spécifiques du protocole SSH » et
Section 9.2.9, « Options spécifiques du protocole RDP ».
Exemple de syntaxe d'import :
#wab504 authorization
Group_users1;target_group1;SSH_SHELL_SESSION SFTP_SESSION;False;False;True;True;
description;False;False;False;False;False;group_approvers;1;2
155
Wallix AdminBastion 5.0.4 – Guide d’Administration
• le statut de la demande,
• le quorum actuel,
• la référence du ticket associé à la demande,
• l’utilisateur qui a formulé la demande,
• la cible pour laquelle la demande est formulée,
• la date et l'heure de début de la demande,
• la date et l'heure de fin de la demande,
• la durée de la demande,
• les réponses des approbateurs.
En cliquant sur l'icône du bloc-notes au début de la ligne, l'approbateur est redirigé sur une page
affichant le détail de la demande d'approbation.
156
Wallix AdminBastion 5.0.4 – Guide d’Administration
• cliquer sur le bouton « Notifier les approbateurs » pour notifier à nouveau les approbateurs,
• visualiser les réponses des autres approbateurs,
• indiquer dans la zone « Commentaire » le motif de son approbation/rejet de la demande,
• réduire la durée de la demande en modifiant la valeur dans le champ « Durée »,
• cliquer sur le bouton « Annuler », « Rejeter » ou « Approuver » pour effectuer l'action
correspondante.
Étant donné qu'il est toujours possible d'ouvrir une session ou d'accéder au mot de passe d'une
cible tant que la durée d'une demande acceptée n'est pas dépassée, l'approbateur peut annuler
la demande avant son expiration pour interdire à l'utilisateur d'accéder de nouveau à la cible en
cliquant sur le bouton « Annuler ».
Des filtres peuvent être définis dans le haut de la page pour faciliter la recherche et restreindre
l'affichage aux données pertinentes. Ces filtres sont les suivants :
Note :
Seuls les 1000 derniers enregistrements sont affichés dans l’interface utilisateur Web.
Le filtrage par recherche d’occurrences opère sur ces 1000 enregistrements. Seule la
définition d’une plage de dates permet de récupérer des sessions plus anciennes.
157
Wallix AdminBastion 5.0.4 – Guide d’Administration
• le statut de la demande,
• le quorum actuel,
• la référence du ticket associé à la demande,
• l’utilisateur qui a formulé la demande,
• la cible pour laquelle la demande est formulée,
• la date et l'heure de début de la demande,
• la date et l'heure de fin de la demande,
• la durée de la demande,
• les réponses des approbateurs.
En cliquant sur l'icône du bloc-notes au début de la ligne, l'approbateur est redirigé sur une page
affichant le détail des réponses à la demande d'approbation.
Étant donné qu'il est toujours possible d'ouvrir une session ou d'accéder au mot de passe d'une
cible tant que la durée d'une demande acceptée n'est pas dépassée, l'approbateur peut annuler
la demande avant son expiration pour interdire à l'utilisateur d'accéder de nouveau à la cible en
cliquant sur le bouton « Annuler la demande ».
Toutes les données sur cette page sont téléchargeables sous la forme d'un fichier .csv.
158
Wallix AdminBastion 5.0.4 – Guide d’Administration
12.7. Procédure d'approbation
WAB prend en charge les autorisations dynamiques à l’aide de procédure d’approbation. Ce
mécanisme repose sur les plages horaires d’accès aux cibles ou aux mots de passe des
cibles. Cette procédure permet aux administrateurs d’affiner l’accès aux ressources sensibles
et d’accepter la demande l’accès en dehors des plages définies. Lorsqu’un utilisateur souhaite
démarrer une nouvelle session sur une cible ou encore accéder au mot de passe d'une cible, une
demande est d’abord envoyée aux approbateurs.
Un approbateur est un utilisateur qui a été désigné par un administrateur WAB avec le droit
d’approbation : le droit « Modifier » pour la fonctionnalité « Gestion des approbations » est paramétré
au niveau du profil de l'approbateur (voir Section 8.3, « Profils utilisateurs »).
Les approbateurs peuvent décider d’autoriser ou rejeter l’ouverture d’une session ou l'accès au mot
de passe de la cible. Une demande est approuvée lorsque le quorum a été atteint. Le quorum est
le nombre minimum de réponses favorables requises pour une autorisation particulière.
12.7.1. Configuration de la procédure
Les procédures d’approbation sont définies sur les autorisations. Pour plus d'informations, voir
Section 12.1, « Ajouter une autorisation ».
Si la case du champ « Activer la procédure d'approbation » est cochée au cours de la définition de
l'autorisation, alors un utilisateur devra formuler une demande d'approbation pour obtenir l’accès
à la cible ou encore au mot de passe de la cible. Les approbateurs sont désignés pour répondre
aux demandes pour une autorisation en sélectionnant des groupes d’utilisateurs appropriés : pour
cela, déplacez les groupes d'utilisateurs depuis le cadre « Groupes d'approbateurs disponibles »
vers le cadre « Groupes d'approbateurs sélectionnés » pour choisir les groupes. Et inversement,
déplacez un groupe d'utilisateurs depuis le cadre « Groupes d'approbateurs sélectionnés » vers le
cadre « Groupes d'approbateurs disponibles » pour supprimer l'association.
Le droit « Modifier » pour la fonctionnalité « Gestion des approbations » doit être paramétré au
niveau du profil utilisateur de tous les utilisateurs des groupes sélectionnés.
Lors d’une demande d’approbation formulée par un utilisateur qui souhaite se connecter à une cible
ou accéder au mot de passe d'une cible concernée par une autorisation, tous les approbateurs des
groupes sélectionnés en sont informés par courrier électronique. Celui-ci contient un lien qui redirige
l’approbateur sur la « Mes approbations en cours » du menu « Autorisations » et sur laquelle il
peut répondre à la demande. Cette fonctionnalité est accessible par les approbateurs via l’interface
dédiée au groupe de services « Fonctionnalités utilisateur et auditeur ». Pour plus d'informations,
voir Section 7.11.1, « Mappage des services »).
Une demande pour une cible est définie par au moins la date et l’heure de début ainsi que la durée
prévue de la session, mais elle possède aussi des attributs facultatifs tels qu'une référence de
ticket et un commentaire. Pour une autorisation spécifique, ces attributs peuvent être demandés,
systématiquement ou jamais, selon les options sélectionnées dans les champs « Commentaire »
et « Ticket » lors de la configuration de l'autorisation.
Il est possible de définir le nombre d’approbateurs requis pour accepter une demande. Ce
paramètre est configuré en définissant un quorum. Le quorum doit être égal ou inférieur au nombre
d’approbateurs disponibles.
Lors de la configuration de l'autorisation, un quorum peut être défini :
• pour les périodes d’activité, en renseignant une valeur dans le champ « Quorum dans les
plages horaires autorisées ». Un quorum pour les périodes d’activité égal à 0 signifie que les
approbations ne sont pas exigées pour les périodes d’activité.
159
Wallix AdminBastion 5.0.4 – Guide d’Administration
• pour les périodes d’activité, en renseignant une valeur dans le champ « Quorum en dehors des
plages horaires autorisées ». Un quorum pour les périodes inactives égal à 0 signifie qu’aucune
connexion n’est possible pendant les périodes d’inactivité.
12.7.2. Étapes de la procédure
Un utilisateur formule une demande d'approbation à partir du menu « Mes autorisations » sur
l’interface graphique de WAB (pour un accès immédiat ou ultérieur) ou lors de la connexion à un
client RDP ou SSH (pour un accès immédiat). Tous les approbateurs sont notifiés par courrier
électronique. Les approbateurs ont ensuite la possibilité d'accepter ou rejeter la demande via
l’interface graphique de WAB.
Une demande valide (dont la durée n’est pas encore expirée) peut être dans l'un des statuts
suivants:
Si la demande n’est plus valide, elle est alors au statut « fermé » et il n’est plus possible pour un
approbateur de répondre à la demande. De même, il n’est pas possible de répondre aux demandes
qui ont été acceptées ou rejetées.
Chaque approbateur a la possibilité de réduire la durée d’une requête. La durée est diminuée au
fur et à mesure des réponses : en répondant à la même demande, l'approbateur suivant voit la
durée réduite et non pas la durée initiale.
Les utilisateurs peuvent voir les statuts de leurs demandes d’approbation sur le menu « Mes
autorisations ».
Lorsque le quorum est atteint, l’utilisateur est averti par courrier électronique. L'utilisateur peut alors
démarrer la session ou accéder au mot de passe de la cible pour la durée allouée. Si la session
est déconnectée avant la fin de la durée, l’utilisateur peut démarrer une nouvelle session sans une
nouvelle approbation aussi longtemps que la fin de la période définie par la durée de l’approbation
d’origine n’est pas écoulée. Afin d’empêcher un utilisateur de se reconnecter après la première
séance, les approbateurs ont la possibilité d'annuler une demande.
Avertissement :
Une plage horaire dénommée « allthetime » est configurée par défaut au sein de WAB.
Elle autorise la connexion des utilisateurs à toutes les heures et tous les jours. Vous ne
pouvez pas supprimer cette plage horaire.
160
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chaque période correspond à une période calendaire permettant aux utilisateurs de se connecter :
161
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement :
Vous ne pouvez pas supprimer une plage horaire lorsque celle-ci est associée à un
groupe utilisateurs.
162
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 13. Commandes spécifiques
13.1. Connexion au WAB en ligne de commande
Pour plus d'informations, voir Section 5.1, « Connexion au WAB en ligne de commande ».
https://support.wallix.com
Note :
Pour connaître la version et le numéro de build de votre WAB, vous pouvez lancer la
commande suivante :
wab2:~$ WABVersion
Wallix AdminBastion v5.0.4 build 12345 (wab-5.0.4.0-wallix1)
Pour lancer la vérification d’intégrité, tapez alors la commande suivante en changeant 12345 par
le numéro de build de votre WAB :
wab2:~$ ./systemcheck-5.0.12345.sh
Avertissement :
Un WAB sur lequel des patchs ont été appliqués sera détecté comme ayant été altéré.
wab2:~# /opt/wab/bin/WABSessionLogExport -h
Usage: WABSessionLogExport [options]
163
Wallix AdminBastion 5.0.4 – Guide d’Administration
Options:
-h, --help show this help message and exit
-s START_DATE, --start_date=START_DATE
Should be like this: YYYY-MM-DD
-e END_DATE, --end_date=END_DATE
Should be like this: YYYY-MM-DD
-E, --termination-date
use termination date instead of initiation date
-p, --nopurge do not remove traces
-a, --noarchive do not create archive file
-w, --wrongonly only care for traces in wrong status and corresponding
sessions, ignore correct traces and sessions. The
default is to not archive but keep trace files in
wrong status but still purge all sessions anyway.
Cette commande supprimera également toutes les sessions pour la période définie, sauf si l’option
-p est spécifiée.
Il est possible d'archiver et/ou purger uniquement les sessions corrompues en utilisant l’option -w.
164
Wallix AdminBastion 5.0.4 – Guide d’Administration
• éventuellement crl.pem (la liste de révocation). S'il n'est pas nécessaire de révoquer un site,
alors le fichier crl.pem par défaut ne doit pas être remplacé
Une fois les fichiers remplacés, redémarrez l'interface Web avec la commande suivante :
# /etc/init.d/wabgui restart
Note :
Ces fichiers sont également modifiés lors de l'application de la procédure de configuration
de l'authentification X509. Pour plus d'informations, voir Section 8.6, « Configuration de
l'authentification X509 ».
Si la Haute Disponibilité est configurée, le répertoire dans lequel les certificats sont
regroupés est partagés entre les nœuds. La procédure doit s'appliquer uniquement sur
le nœud actif.
Vous pourrez par la suite regénérer un certificat auto-signé avec la commande suivante :
# WABGuiCertificate selfsign -f
Une fois les fichiers remplacés, redémarrer le proxy RDP avec la commande suivante :
# /etc/init.d/wabcore restart
Note :
Vous pourrez par la suite regénérer un certificat auto-signé avec la commande suivante :
# rdpcert /etc/opt/wab/rdp/ --key --force
Note :
Vous pouvez générer un clé serveur pour le proxy SSH sur WAB en supprimant la clé
serveur actuelle et en exécutant le script générateur avec la commande suivante :
# rm /var/wab/etc/ssh/server_rsa.key # WABSshServerGenRsaKey.sh
165
Wallix AdminBastion 5.0.4 – Guide d’Administration
Avertissement :
Cette procédure abaissera le niveau de sécurité des services de WAB.
Pour modifier les réglages du serveur Web GUI, éditez le fichier suivant comme indiqué ci-dessous :
# vim.tiny /etc/apache2/sites-enabled/wab-httpd.conf
166
Wallix AdminBastion 5.0.4 – Guide d’Administration
• pour les clients sous Windows 2000 et inférieur : cochez la case de l'option « Tls fallback legacy »,
• pour les clients supportant TLS à partir de Windows XP : affichez les « Options avancées » en
cochant la case de l'option correspondante puis videz la valeur du champ « Ssl cipher list ».
• soit copier le fichier au sein de WAB au format PEM ou DER. Puis, lancez la commande suivante :
# WABGuiAddCRL -f CRL_FILE
• ou depuis la console SSH (port 2242), exécuter la commande suivante en remplaçant les
paramètres par les données correspondantes et le chemin complet du fichier CRL local :
Exemple :
client$ nc -l -p 43210 -c "cat wallix_crls/2016/wallix-2016-04-05.crl" &
client$ ssh -p 2242 -R 54321:localhost:43210 wabadmin@wab
wabadmin@wab$ super
wabsuper@wab$ nc localhost 54321|sudo /opt/wab/bin/WABGuiAddCRL -n
wallix-2016-04-05.crl
167
Wallix AdminBastion 5.0.4 – Guide d’Administration
KexAlgorithms +diffie-hellman-group1-sha1
HostKeyAlgorithms +ssh-dss
WABRestoreDefaultAdmin
168
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 14. Console WAB
WAB 5.0 fournit une interface de type « lignes de commande » permettant à l'administrateur
de générer les clés d'authentification utilisées par l'API REST (pour plus d'informations, voir
Chapitre 15, Web Services) et à un utilisateur de changer son mot de passe.
Pour accéder à la console, connectez-vous à WAB à l’aide d’un client SSH de la façon suivante :
Pour obtenir la liste des commandes, il suffit de taper help à l’invite de la console.
Chaque commande dispose d’une aide en tapant soit help soit -h.
• add_api_key
• del_api_key
• list_api_key
• change_user_password
169
Wallix AdminBastion 5.0.4 – Guide d’Administration
Chapitre 15. Web Services
WAB possède une API utilisable pour fournir un accès aux ressources de WAB et effectuer
également des opérations basiques (telles que de la création, modification ou suppression de
données).
https://adresse_ip_de_wab/api/doc
https://adresse_ip_de_wab/api/v2.0/doc
170
Wallix AdminBastion 5.0.4 – Guide d’Administration
Internet à: https://support.wallix.com
171
Wallix AdminBastion 5.0.4 – Guide d’Administration
A.1.1. Authentification
La chaîne fournit des messages pour les authentifications, et notamment des informations
spécifiques concernant :
Exemple:
[wabaudit] action="authentify" user="admin" client_ip="192.168.140.1"
status="success" infos="diagnostic ['local' -password- authentication
succeeded]"
A.1.2. Logs de session
La chaîne fournit des messages pour l'audit des sessions, et notamment des informations
spécifiques concernant :
Exemples:
[wabaudit] action="list" type="sessionlog" user="admin"
client_ip="192.168.140.1" infos="Search 'win2k16'"
[wabaudit] action="view" type="session"
object="150fc97a1a07e596000c29812e63" user="admin"
172
Wallix AdminBastion 5.0.4 – Guide d’Administration
A.1.3. Configuration
La chaîne fournit des messages pour l'édition des types d'objets suivants :
• Utilisateurs (enregistrement/édition/suppression),
• Groupes (enregistrement/suppression),
• Profils (enregistrement/édition/suppression),
• Domaines (enregistrement/édition),
• Équipements (création/édition/suppression),
• Ressources (édition/suppression),
• Services (création/édition),
• Comptes (création/édition/suppression),
• Clusters (création/édition/suppression),
• Politiques d'emprunt (création/édition),
• Politiques de connexion (création/édition),
• Détail de la politique de connexion (création/suppression),
• Autorisations (création/édition/suppression),
• Plages horaires (création/édition/suppression),
• Périodes (création/édition/suppression),
• Authentifications externes (création/édition/suppression),
• Domaines LDAP/AD (création/édition/suppression),
• Notifications (création/édition/suppression),
• Politiques des mots de passe (édition),
• Fichiers de configuration (édition),
• Politique de changement de mot de passe (création/édition/suppression).
Exemple:
[wabaudit] action="edit" type="User" object="jdoe" user="admin"
client_ip="192.168.140.1" infos="UserAuths [Add < win2k16.acme.net >]"
A.2. Session SSH
A.2.1. Ouverture de session réussie
[SSH Session] type='SESSION_ESTABLISHED_SUCCESSFULLY'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin'
173
Wallix AdminBastion 5.0.4 – Guide d’Administration
A.2.3. Déconnexion de la session
[SSH Session] type='SESSION_DISCONNECTION'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' duration='12:12:12'
A.2.4. Création de canal
[SSH Session] type='CHANNEL_EVENT'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' data='Channel Open X11
Success'
174
Wallix AdminBastion 5.0.4 – Guide d’Administration
A.2.7. Actions SFTP
Ces actions sont : stat, lstat, opendir, remove, mkdir, rmdir, rename, readlink, symlink, link, status.
[SSH Session] type='SFTP_EVENT'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' data='lstat /home/admin/'
175
Wallix AdminBastion 5.0.4 – Guide d’Administration
A.3. Session RDP
A.3.1. Ouverture de session réussie
[RDP Session] type='SESSION_ESTABLISHED_SUCCESSFULLY'
session_id='SESSIONID-0000' client_ip='192.168.1.10'
target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp'
account='Maintenance'
176
Wallix AdminBastion 5.0.4 – Guide d’Administration
177
Wallix AdminBastion 5.0.4 – Guide d’Administration
178
Wallix AdminBastion 5.0.4 – Guide d’Administration
179
Wallix AdminBastion 5.0.4 – Guide d’Administration
180
Wallix AdminBastion 5.0.4 – Guide d’Administration
181
Wallix AdminBastion 5.0.4 – Guide d’Administration
réseau, 36 G
restauration, 44 Gestion de mot de passe
sauvegarde, 44 configurer les groupes de comptes cibles, 113
serveur de rebond, 100 Gestion de session
serveur SMTP, 44 configurer les groupes de comptes cibles, 111
service de temps, 37 Gestion des autorisations
session probe, 148 menu, 151
SNMP, 40 Gestion des mots de passe, 127
stockage distant, 38 autorisations de l'utilisateur, 127
X509, 74 Gestion des mots de passe
Connexion, 29 modifier, 131
Connexion interactive supprimer, 132
configurer les groupes de comptes cibles, 113 plugins de changement des mots de passe, 128
Console WAB politiques de changement des mots de passe,
présentation, 169 130
Contrôle des services, 41 ajouter, 131
activation des services, 43 Gestion des sessions
mappage des services, 42 autorisations de l'utilisateur, 133
menu, 41 données d'audit, 135
enregistrements des sessions, 137
D historique des approbations, 139
Domaines, 86 historique des authentifications, 140
ajouter, 86 historique des comptes, 138
changer les mots de passe de tous les comptes, historique des sessions, 136
91 options d'enregistrement, 143
importer, 87, 89 options sur les login primaires, 134
menu, 86 paramètres de connexion, 150
modifier, 87 politiques de connexion, 144
supprimer, 87 sessions courantes, 135
Domaines LDAP/Active Directory, 83 sessions courantes en temps réel, 136
menu, 83 Statistiques sur les connexions, 141
Données d'audit, 135 Glossaire, 19
Groupes (ressources)
E menu, 110
Emprunt du mot de passe Groupes (utilisateurs)
ajouter une politique, 125 menu, 65
modifier une politique, 125 Groupes de comptes cibles, 110
supprimer une politique, 125 ajouter, 110
Enregistrements de session, 143 configurer pour la connexion interactive, 113
Enregistrements des sessions configurer pour la gestion de mot de passe, 113
audit, 137 configurer pour la gestion de session, 111
Équipements, 91 configurer pour le mappage de compte, 112
ajouter, 92 détection de motifs (ou « patterns ») sur le flux
ajouter un compte, 93 RDP, 119
gérer les associations de ressources, 94 détection de motifs (ou « patterns ») sur le flux
importer, 94 SSH, 116
menu, 91 importer, 114
modifier, 93 importer des règles, 120
options spécifiques RDP, 97 modifier, 111
options spécifiques SSH, 97 supprimer, 114
scénario de connexion TELNET/RLOGIN, 98 Groupes utilisateurs, 65
supprimer, 93
supprimer les certificats, 94
182
Wallix AdminBastion 5.0.4 – Guide d’Administration
H applications), 99
Haute Disponibilité, 49 authentifications externes, 80
configuration, 49 chiffrement, 35
présentation, 18 clusters), 120
Historique des approbations comptes (ressources), 105
audit, 139 comptes (utilisateur), 56
menu, 139, 157 contrôle des services, 41
Historique des authentifications domaines, 86
audit, 140 domaines LDAP/Active Directory, 83
menu, 140 équipements), 91
Historique des comptes gestion des autorisations, 151
audit, 138 groupes (ressources), 110
menu, 138 groupes (utilisateurs), 65
Historique des sessions historique des approbations, 139, 157
audit, 136 historique des authentifications, 140
menu, 136, 137 historique des comptes, 138
historique des sessions, 136, 137
intégration SIEM, 39
I licence, 34
Infrastructure réseau logs audit, 36
positionnement de WAB, 14 mes approbations en cours, 156
Intégration SIEM, 39 mes préférences, 30
export des données, 172 messages au démarrage, 36
export des données de la session RDP, 176 notifications, 70
export des données de la session SSH, 173 options d'enregistrement, 143
export des données du journal d'audit de WAB, options de configuration, 32
172 paramètres de connexion, 150
menu, 39 Paramètres X509, 74
Interface plages horaires, 160
accès, 29 politique mots de passe locaux, 72
Interface Web d'administration politiques d'emprunt), 124
accès, 29 politiques de connexion, 144
profils (utilisateurs), 68
J réseau, 36
Journaux sauvegarde/restauration, 44
logs audit, 36 serveur SMTP, 44
messages au démarrage, 36 service de temps, 37
syslog, 36 sessions courantes, 135, 136
Journaux système, 36 SNMP, 40
statistiques sur les connexions, 141
L statut du système, 35
Licence, 34 stockage distant, 38
menu, 34 syslog, 36
Logs audit Mes approbations en cours
journaux, 36 menu, 156
menu, 36 Mes préférences
Logs système, 36 menu, 30
Messages au démarrage
M journaux, 36
menu, 36
Mappage de compte
Mode transparent
configurer les groupes de comptes cibles, 112
configuration, 33
Mappage des services, 42
Mot de passe
Menu
183
Wallix AdminBastion 5.0.4 – Guide d’Administration
184
Wallix AdminBastion 5.0.4 – Guide d’Administration
185
Wallix AdminBastion 5.0.4 – Guide d’Administration
comptes utilisateurs, 56
ajouter, 57
importer, 59
importer depuis un annuaire LDAP/LDAPS/
AD, 64
importer depuis un fichier .csv, 60
modifier, 59
supprimer, 59
visualiser les applications accessibles, 59
visualiser les comptes cibles accessibles, 59
visualiser les droits sur l'interface Web, 59
visualiser les équipements accessibles, 59
groupes utilisateurs, 65
ajouter, 65
importer, 67
importer des règles, 120
modifier, 66
supprimer, 67
visualiser les membres, 67
profils utilisateurs, 68
ajouter, 69
modifier, 70
profils par défaut, 68
supprimer, 70
W
WAB Password Manager
gestion des mots de passe, 127
management, 28
présentation, 15
WAB Session Manager
gestion des sessions, 133
management, 28
présentation, 15
X
X509, 74
186