Vous êtes sur la page 1sur 186

Wallix AdminBastion 5.0.

4 – Guide d’Administration

Guide d’Administration
Wallix AdminBastion 5.0.4

Copyright © 2017 Wallix

https://doc.wallix.com/fr/wab/5.0/WAB-admin-guide
Wallix AdminBastion 5.0.4 – Guide d’Administration

Table des matières


1. Introduction .......................................................................................................................... 12
1.1. Préambule ................................................................................................................. 12
1.2. Copyright, Licences ................................................................................................... 12
1.3. Légende .................................................................................................................... 12
1.4. À propos de ce document ......................................................................................... 12
2. Compatibilités et limitations .................................................................................................. 13
3. Concepts .............................................................................................................................. 14
3.1. Généralités ................................................................................................................ 14
3.2. Positionnement de WAB dans l’infrastructure réseau ................................................ 14
3.3. WAB Session Manager ............................................................................................. 15
3.4. WAB Password Manager .......................................................................................... 15
3.5. Concepts des ACL de WAB ...................................................................................... 16
3.6. Mise en production ................................................................................................... 16
3.7. Chiffrement des données .......................................................................................... 17
3.8. Haute Disponibilité .................................................................................................... 18
4. Glossaire .............................................................................................................................. 19
5. Premiers pas avec WAB ...................................................................................................... 21
5.1. Connexion au WAB en ligne de commande .............................................................. 21
5.2. Parcourir l'arborescence du menu ............................................................................. 22
5.3. Fonctionnalités spécifiques ....................................................................................... 28
5.3.1. Gestion des sessions ..................................................................................... 28
5.3.2. Gestion des mots de passe ........................................................................... 28
6. Première connexion ............................................................................................................. 29
6.1. Accès à l'interface d'administration ........................................................................... 29
6.2. Paramétrer les préférences utilisateur ....................................................................... 30
7. Configuration de la machine ................................................................................................ 32
7.1. Options de configuration ........................................................................................... 32
7.1.1. Configuration du mode transparent pour les proxys RDP et SSH ................... 33
7.2. Licence ...................................................................................................................... 34
7.2.1. Gérer la clé de licence via la ligne de commande .......................................... 34
7.3. Chiffrement ................................................................................................................ 35
7.4. Statut du système ..................................................................................................... 35
7.5. Journaux et logs système ......................................................................................... 36
7.6. Réseau ...................................................................................................................... 36
7.7. Service de temps ...................................................................................................... 37
7.8. Stockage distant ....................................................................................................... 38
7.9. Intégration SIEM ....................................................................................................... 39
7.10. SNMP ...................................................................................................................... 40
7.11. Contrôle des services ............................................................................................. 41
7.11.1. Mappage des services ................................................................................. 42
7.11.2. Activation des services ................................................................................. 43
7.12. Serveur SMTP ........................................................................................................ 44
7.13. Sauvegarde et restauration ..................................................................................... 44
7.13.1. Restauration des fichiers de configuration .................................................... 45
7.13.2. Sauvegarde/Restauration en ligne de commande ........................................ 46
7.13.3. Configuration de la sauvegarde automatique ............................................... 48
7.14. Haute Disponibilité .................................................................................................. 49
7.14.1. Limitations d’exploitation .............................................................................. 49
7.14.2. Configuration du cluster ............................................................................... 49
7.14.3. Démarrage du cluster ................................................................................... 50
7.14.4. Arrêt/Redémarrage du cluster ...................................................................... 50

2
Wallix AdminBastion 5.0.4 – Guide d’Administration

7.14.5. Reprise sur une erreur fatale (WAB HA is locked down) ............................... 50
7.14.6. Coupures réseau et Split-Brain .................................................................... 51
7.14.7. Reconfiguration réseau du cluster ................................................................ 51
7.14.8. Remplacement d’une machine défectueuse ................................................. 52
7.14.9. Récupération d’un volume défectueux .......................................................... 52
7.14.10. Tests de bon fonctionnement de la Haute Disponibilité ............................... 52
8. Utilisateurs ........................................................................................................................... 56
8.1. Comptes utilisateurs .................................................................................................. 56
8.1.1. Ajouter un utilisateur ...................................................................................... 57
8.1.2. Modifier un utilisateur ..................................................................................... 59
8.1.3. Supprimer un utilisateur ................................................................................. 59
8.1.4. Visualiser les droits d'un utilisateur sur l'interface Web ................................... 59
8.1.5. Visualiser les équipements, applications et comptes cibles accessibles par
un utilisateur ............................................................................................................. 59
8.1.6. Importer des utilisateurs ................................................................................. 59
8.2. Groupes utilisateurs .................................................................................................. 65
8.2.1. Ajouter un groupe utilisateurs ......................................................................... 65
8.2.2. Modifier un groupe utilisateurs ....................................................................... 66
8.2.3. Supprimer un groupe utilisateurs .................................................................... 67
8.2.4. Visualiser les membres d’un groupe utilisateurs ............................................. 67
8.2.5. Importer des groupes utilisateurs ................................................................... 67
8.3. Profils utilisateurs ...................................................................................................... 68
8.3.1. Profils par défaut ............................................................................................ 68
8.3.2. Ajouter un profil utilisateur .............................................................................. 69
8.3.3. Modifier un profil utilisateur ............................................................................ 70
8.3.4. Supprimer un profil utilisateur ......................................................................... 70
8.4. Configuration des notifications .................................................................................. 70
8.4.1. Ajouter une notification ................................................................................... 71
8.4.2. Modifier une notification ................................................................................. 72
8.4.3. Supprimer une notification .............................................................................. 72
8.5. Configuration de la politique de mot de passe local .................................................. 72
8.6. Configuration de l'authentification X509 .................................................................... 74
8.6.1. Pré-requis ....................................................................................................... 74
8.6.2. Paramétrages X509 ....................................................................................... 74
8.6.3. Fonctions d’administration X509 ..................................................................... 76
8.6.4. Authentification X509 ..................................................................................... 78
8.6.5. Retrait du mode X509 .................................................................................... 79
8.6.6. Implémentation technique pour les certificats X509 ........................................ 80
8.7. Configuration des authentifications externes ............................................................. 80
8.7.1. Ajouter une authentification externe ............................................................... 81
8.7.2. Modifier une authentification externe .............................................................. 82
8.7.3. Supprimer une authentification externe .......................................................... 83
8.8. Configuration de l'intégration avec un domaine LDAP ou Active Directory ................. 83
9. Ressources .......................................................................................................................... 86
9.1. Domaines .................................................................................................................. 86
9.1.1. Ajouter un domaine global ............................................................................. 86
9.1.2. Modifier un domaine global ou local ............................................................... 87
9.1.3. Supprimer un domaine global ........................................................................ 87
9.1.4. Importer des domaines globaux ..................................................................... 87
9.1.5. Importer des domaines locaux ....................................................................... 89
9.1.6. Changer les mots de passe de tous les comptes d'un domaine global ............ 91
9.2. Équipements ............................................................................................................. 91
9.2.1. Ajouter un équipement cible ........................................................................... 92

3
Wallix AdminBastion 5.0.4 – Guide d’Administration

9.2.2. Modifier un équipement cible ......................................................................... 93


9.2.3. Supprimer un équipement cible ...................................................................... 93
9.2.4. Ajouter un compte sur un équipement ........................................................... 93
9.2.5. Gérer les associations de ressources avec l'équipement ................................ 94
9.2.6. Supprimer les certificats sur l'équipement ...................................................... 94
9.2.7. Importer des équipements .............................................................................. 94
9.2.8. Options spécifiques du protocole SSH ........................................................... 97
9.2.9. Options spécifiques du protocole RDP ........................................................... 97
9.2.10. Scénario de connexion TELNET/RLOGIN sur un équipement cible .............. 98
9.3. Applications ............................................................................................................... 99
9.3.1. Configuration du serveur de rebond ............................................................. 100
9.3.2. Ajouter une application ................................................................................. 101
9.3.3. Modifier une application ............................................................................... 102
9.3.4. Supprimer une application ............................................................................ 102
9.3.5. Ajouter un compte sur une application ......................................................... 102
9.3.6. Gérer les associations de ressources avec l'application ............................... 103
9.3.7. Importer des applications ............................................................................. 103
9.4. Comptes cibles ....................................................................................................... 105
9.4.1. Ajouter un compte cible ............................................................................... 105
9.4.2. Modifier un compte cible .............................................................................. 106
9.4.3. Supprimer un compte cible .......................................................................... 106
9.4.4. Importer des comptes cibles ........................................................................ 107
9.4.5. Changer manuellement le mot de passe d'un compte cible donné ................ 109
9.4.6. Lancer le changement automatique du mot de passe pour un ou plusieurs
comptes .................................................................................................................. 109
9.5. Groupes de comptes cibles ..................................................................................... 110
9.5.1. Ajouter un groupe de comptes cibles ........................................................... 110
9.5.2. Modifier un groupe de comptes cibles .......................................................... 111
9.5.3. Configurer un groupe de comptes cibles pour la gestion de session ............. 111
9.5.4. Configurer un groupe de comptes cibles pour le mappage de compte .......... 112
9.5.5. Configurer un groupe de comptes cibles pour la connexion interactive ......... 113
9.5.6. Configurer un groupe de comptes cibles pour la gestion de mot de passe .... 113
9.5.7. Supprimer un groupe de comptes cibles ...................................................... 114
9.5.8. Importer des groupes de comptes cibles ...................................................... 114
9.5.9. Analyse des flux SSH / Détection de motifs (ou « patterns ») ....................... 116
9.5.10. Analyse des flux RDP / Détection de motifs (ou « patterns ») ..................... 119
9.5.11. Importer des règles restrictives pour les groupes de comptes cibles et les
groupes utilisateurs ................................................................................................ 120
9.6. Clusters ................................................................................................................... 120
9.6.1. Ajouter un cluster ......................................................................................... 121
9.6.2. Modifier un cluster ........................................................................................ 122
9.6.3. Supprimer un cluster .................................................................................... 122
9.6.4. Importer des clusters .................................................................................... 122
9.7. Politiques d'emprunt du mot de passe .................................................................... 124
9.7.1. Ajouter une politique d'emprunt du mot de passe ......................................... 125
9.7.2. Modifier une politique d'emprunt du mot de passe ........................................ 125
9.7.3. Supprimer une politique d'emprunt du mot de passe .................................... 125
10. Gestion des mots de passe ............................................................................................. 127
10.1. Autorisations de l'utilisateur sur les mots de passe ............................................... 127
10.2. Plugins de changement des mots de passe .......................................................... 128
10.2.1. Plugin Windows .......................................................................................... 128
10.2.2. Plugin Cisco ............................................................................................... 129
10.2.3. Plugin Unix ................................................................................................. 129

4
Wallix AdminBastion 5.0.4 – Guide d’Administration

10.2.4. Plugin Oracle .............................................................................................. 130


10.3. Politiques de changement des mots de passe ...................................................... 130
10.3.1. Ajouter une politique de changement des mots de passe ........................... 131
10.3.2. Modifier une politique de changement des mots de passe .......................... 131
10.3.3. Supprimer une politique de changement des mots de passe ...................... 132
11. Gestion des sessions ....................................................................................................... 133
11.1. Autorisations de l'utilisateur sur les sessions ......................................................... 133
11.2. Options sur les login primaires pour les protocoles SCP et SFTP via SSH ............. 134
11.3. Données d'audit .................................................................................................... 135
11.3.1. Sessions courantes .................................................................................... 135
11.3.2. Sessions courantes en temps réel ............................................................. 136
11.3.3. Historique des sessions ............................................................................. 136
11.3.4. Enregistrements des sessions .................................................................... 137
11.3.5. Historique des comptes .............................................................................. 138
11.3.6. Historique des approbations ....................................................................... 139
11.3.7. Historique des authentifications .................................................................. 140
11.3.8. Statistiques sur les connexions .................................................................. 141
11.4. Options des enregistrements de session ............................................................... 143
11.5. Politiques de connexion ........................................................................................ 144
11.5.1. Ajouter une politique de connexion ............................................................ 144
11.5.2. Modifier une politique de connexion ........................................................... 145
11.5.3. Supprimer une politique de connexion ....................................................... 146
11.6. Règle de transformation ........................................................................................ 146
11.7. Session probe ....................................................................................................... 146
11.7.1. Pré-requis ................................................................................................... 147
11.7.2. Mode de fonctionnement par défaut ........................................................... 147
11.7.3. Configuration .............................................................................................. 148
11.8. Paramètres de connexion ..................................................................................... 150
12. Gestion des autorisations ................................................................................................. 151
12.1. Ajouter une autorisation ........................................................................................ 151
12.2. Modifier une autorisation ....................................................................................... 153
12.3. Supprimer une autorisation ................................................................................... 153
12.4. Importer des autorisations ..................................................................................... 153
12.5. Visualiser les approbations en cours ..................................................................... 156
12.6. Visualiser l'historique des approbations ................................................................. 157
12.7. Procédure d'approbation ....................................................................................... 159
12.7.1. Configuration de la procédure .................................................................... 159
12.7.2. Étapes de la procédure .............................................................................. 160
12.8. Configuration des plages horaires ......................................................................... 160
12.8.1. Ajouter une plage horaire ........................................................................... 161
12.8.2. Modifier une plage horaire .......................................................................... 161
12.8.3. Supprimer une plage horaire ...................................................................... 161
13. Commandes spécifiques .................................................................................................. 163
13.1. Connexion au WAB en ligne de commande .......................................................... 163
13.2. Vérifier l'intégrité de WAB ..................................................................................... 163
13.3. Export des données d'audit ................................................................................... 163
13.4. Changement d’identification des serveurs cibles ................................................... 164
13.5. Changer les certificats auto-signés des services ................................................... 164
13.5.1. Changer le certificat de l'interface Web ...................................................... 164
13.5.2. Changer le certificat du proxy RDP ............................................................ 165
13.5.3. Changer la clé serveur du proxy SSH ........................................................ 165
13.6. Configuration cryptographique des services .......................................................... 166

5
Wallix AdminBastion 5.0.4 – Guide d’Administration

13.6.1. Autoriser le protocole TLSv1 pour le navigateur Internet Explorer 8 sous


Windows XP ........................................................................................................... 166
13.6.2. Autoriser le protocole TLSv1.2 pour le navigateur Internet Explorer 8 sous
Windows 7 ............................................................................................................. 166
13.6.3. Abaisser le niveau de sécurité pour permettre la compatibilité du protocole
RDP ........................................................................................................................ 166
13.6.4. Restaurer les paramètres de cryptographie par défaut ............................... 167
13.7. Mise à jour de la liste de révocation CRL (Certificate Revocation List) ................... 167
13.8. Réactivation d'algorithmes pour autoriser le changement de mot de passe avec
les plugins Cisco et Unix ............................................................................................... 167
13.9. Résolution des problèmes courants ...................................................................... 168
13.9.1. Restaurer le compte « admin » d'usine ...................................................... 168
14. Console WAB ................................................................................................................... 169
15. Web Services ................................................................................................................... 170
16. Contacter le Support Wallix AdminBastion ....................................................................... 171
A. Export des données pour l'intégration SIEM ...................................................................... 172
A.1. Journal d'audit de WAB .......................................................................................... 172
A.1.1. Authentification ............................................................................................. 172
A.1.2. Logs de session .......................................................................................... 172
A.1.3. Configuration ................................................................................................ 173
A.2. Session SSH .......................................................................................................... 173
A.2.1. Ouverture de session réussie ...................................................................... 173
A.2.2. Échec de l'ouverture de session .................................................................. 173
A.2.3. Déconnexion de la session .......................................................................... 174
A.2.4. Création de canal ........................................................................................ 174
A.2.5. Détection de motif sur un shell ou une commande à distance ...................... 174
A.2.6. Détection de commande sur des équipements Cisco ................................... 174
A.2.7. Actions SFTP ............................................................................................... 175
A.2.8. Restriction de taille de fichier sur SFTP ....................................................... 175
A.2.9. Début de transfert de fichier sur SFTP ........................................................ 175
A.2.10. Fin de transfert de fichier sur SFTP avec taille et hachage du fichier .......... 175
A.2.11. Restriction de taille de fichier sur SCP ....................................................... 175
A.2.12. Début de transfert de fichier sur SCP ........................................................ 176
A.2.13. Fin de transfert de fichier sur SCP avec taille et hachage du fichier ............ 176
A.2.14. Entrée saisie au clavier par l’utilisateur ...................................................... 176
A.3. Session RDP .......................................................................................................... 176
A.3.1. Ouverture de session réussie ...................................................................... 176
A.3.2. Transfert via clipboard ................................................................................. 176
A.3.3. Téléchargement via clipboard ...................................................................... 176
A.3.4. Lecture d'un fichier du poste de travail depuis le serveur ............................. 177
A.3.5. Écriture d'un fichier du poste de travail par le serveur .................................. 177
A.3.6. Déconnexion de la session par la cible ........................................................ 177
A.3.7. Session terminée par le proxy ..................................................................... 177
A.3.8. Barres de titre des fenêtres telles que détectées par le mode « session
probe  » ................................................................................................................... 177
A.3.9. Barres de titre des fenêtres telles que détectées par l'OCR ......................... 177
A.3.10. Saisies clavier de l'utilisateur traduites dans la langue d'utilisation
actuelle ................................................................................................................... 178
A.3.11. Clic sur un bouton dans une fenêtre .......................................................... 178
A.3.12. Modification du texte dans un champ textuel d'une fenêtre ......................... 178
A.3.13. Focus sur et en dehors d'un champ de mot de passe ................................ 178
A.3.14. Nouvelles fenêtres activées telles que détectées par le mode « session
probe  » ................................................................................................................... 178

6
Wallix AdminBastion 5.0.4 – Guide d’Administration

A.3.15. Changement de disposition du clavier ....................................................... 178


A.3.16. Création d'un nouveau processus .............................................................. 179
A.3.17. Fin d'un processus ..................................................................................... 179
A.3.18. Démarrage d'une session VNC .................................................................. 179
A.3.19. Fin d'une session VNC .............................................................................. 179
A.3.20. Affichage de l'invite UAC ........................................................................... 179
A.3.21. Correspondance du certificat X509 du serveur ........................................... 179
A.3.22. Connexion au serveur autorisée ................................................................ 179
A.3.23. Nouveau certificat X509 créé ..................................................................... 180
A.3.24. Échec de correspondance du certificat X509 du serveur ............................ 180
A.3.25. Erreur interne du certificat X509 ................................................................ 180
Index ...................................................................................................................................... 181

7
Wallix AdminBastion 5.0.4 – Guide d’Administration

Liste des illustrations


3.1. Wallix AdminBastion dans l’infrastructure réseau .............................................................. 15
6.1. Écran de connexion WAB ................................................................................................. 29
6.2. Page d’accueil WAB (affichée pour un profil administrateur) ............................................. 30
6.3. Page « Mes préférences » ................................................................................................ 31
7.1. Page « Options de configuration » pour le proxy SSH avec les descriptions des
champs ..................................................................................................................................... 33
7.2. Page «  Statut  » ................................................................................................................. 36
7.3. Page «  Réseau  » .............................................................................................................. 37
7.4. Page « Service de temps » ............................................................................................... 38
7.5. Page « Stockage distant » ................................................................................................ 39
7.6. Page « Intégration SIEM » ................................................................................................ 40
7.7. Page « SNMP » avec configuration de l'agent .................................................................. 41
7.8. Page « Contrôle des services » ........................................................................................ 41
7.9. Page « Serveur SMTP » ................................................................................................... 44
7.10. Page « Sauvegarde/Restauration » ................................................................................. 45
8.1. Page «  Comptes  » ............................................................................................................ 57
8.2. Page « Comptes » en mode création ............................................................................... 58
8.3. Page « CSV » - case « Utilisateurs » cochée .................................................................... 63
8.4. Page « Utilisateurs depuis LDAP » ................................................................................... 64
8.5. Page «  Groupes  » ............................................................................................................. 65
8.6. Page « Groupes » en mode création ................................................................................ 66
8.7. Page « Groupes » - Affichage des information sur le groupe ............................................ 67
8.8. Page « Profils » en mode création .................................................................................... 70
8.9. Page « Notifications » en mode création ........................................................................... 72
8.10. Page « Politique mots de passe locaux » en mode modification ...................................... 74
8.11. Page de configuration ..................................................................................................... 75
8.12. Page de configuration ..................................................................................................... 75
8.13. Écran de connexion WAB avec authentification X509 ..................................................... 76
8.14. Page « Comptes » en mode modification avec le champ « Certificat DN » ...................... 77
8.15. Page « Paramètres X509 » ............................................................................................. 78
8.16. Authentification d’un utilisateur via un certificat SSL ........................................................ 79
8.17. Demande de confirmation d’ouverture de session ........................................................... 79
8.18. Page « Authentifications externes » en mode création pour l'authentification
KERBEROS ............................................................................................................................. 82
8.19. Page « Domaines LDAP/AP » en mode création ............................................................ 85
9.1. Page « Domaines » en mode création .............................................................................. 87
9.2. Page « CSV » - case « Domaines globaux » cochée ........................................................ 89
9.3. Page « Équipements » en mode création ......................................................................... 93
9.4. Page « CSV » - case « Équipements » cochée ................................................................. 96
9.5. Flux d'une session applicative .......................................................................................... 99
9.6. Page « Applications » en mode modification ................................................................... 102
9.7. Page « CSV » - case « Applications » cochée ................................................................ 104
9.8. Page « Comptes » en mode création .............................................................................. 106
9.9. Page « CSV » - case « Comptes » cochée ..................................................................... 109
9.10. Page « Comptes » - Page du changement de mot de passe ......................................... 109
9.11. Page « Groupes » en mode création ............................................................................. 111
9.12. Page « CSV » - case « Groupes de ressources » cochée ............................................. 116
9.13. Page « Clusters » en mode création ............................................................................. 122
9.14. Page « CSV » - case « Clusters » cochée .................................................................... 124
9.15. Page « Politiques d'emprunt » en mode création .......................................................... 125
10.1. Menu « Mes autorisations » - Page « Mots de passe » ................................................. 128

8
Wallix AdminBastion 5.0.4 – Guide d’Administration

10.2. Page « Plugins de changement des mots de passe » ................................................... 128


10.3. Page « Politiques de changement des mots de passe » en mode création .................... 131
11.1. Menu « Mes autorisations » - Page « Sessions » ......................................................... 134
11.2. Coupure de connexion SSH initiée par l'administrateur ................................................. 136
11.3. Page « Historique des sessions » ................................................................................. 137
11.4. Page « Historique des comptes » ................................................................................. 139
11.5. Page « Historique des approbations » .......................................................................... 140
11.6. Page « Historique des authentifications » ..................................................................... 141
11.7. Page « Statistiques sur les connexions » ...................................................................... 142
11.8. Exemple d'un rapport statistique ................................................................................... 143
11.9. Page « Options d'enregistrement » ............................................................................... 144
11.10. Page « Politiques de connexion » ............................................................................... 144
11.11. Page « Politiques de connexion » en mode création pour le protocole RLOGIN ........... 145
11.12. Page « Paramètres de connexion » ............................................................................ 150
12.1. Page « Gestion des autorisations » .............................................................................. 151
12.2. Page « Gestion des autorisations » en mode création .................................................. 153
12.3. Page « Mes approbations en cours » ............................................................................ 156
12.4. « Mes approbations en cours » - Page du détail de la demande d'approbation .............. 157
12.5. Page « Mon historique d'approbations » ....................................................................... 158
12.6. « Mon historique d'approbations » - Page du détail de l'historique de la demande
d'approbation .......................................................................................................................... 158
12.7. Page « Plages horaires » en mode création ................................................................. 161

9
Wallix AdminBastion 5.0.4 – Guide d’Administration

Liste des tableaux


9.1. Échelle ............................................................................................................................ 117
9.2. Détection Cisco IOS avec liste blanche .......................................................................... 118
9.3. Détection Cisco IOS avec liste noire ............................................................................... 118

10
Wallix AdminBastion 5.0.4 – Guide d’Administration

Liste des exemples


11.1. Exemples de règles de transformation : ........................................................................ 146

11
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 1. Introduction
1.1. Préambule
Nous vous remercions d'avoir choisi Wallix AdminBastion, également appelé WAB.

WAB est commercialisé sous la forme de serveur dédié prêt à l'emploi ou sous la forme d'une
machine virtuelle pour environnements VMWare ESX 4.x et 5.x.

Les équipes Wallix ont apporté le plus grand soin à l'élaboration de ce produit et souhaitent qu'il
vous apporte entière satisfaction.

1.2. Copyright, Licences
Le présent document est la propriété de la société Wallix et ne peut être reproduit sans son accord
préalable.

Tous les noms de produits ou de sociétés citées dans le présent document sont des marques
déposées de leurs propriétaires respectifs.

Wallix AdminBastion est soumis au contrat de licence logicielle Wallix.

Wallix AdminBastion est basé sur des logiciels libres. La liste et le code source des logiciels sous
licence GPL et LGPL utilisés par Wallix AdminBastion sont disponibles auprès de Wallix. Pour les
obtenir, il suffit d'en faire une demande par internet en créant une requête à l'adresse https://
support.wallix.com ou par écrit à l'adresse suivante :

WALLIX
Service Support
250 bis, Rue du Faubourg Saint-Honoré
75008 PARIS
FRANCE

1.3. Légende
prompt $ commande à taper <paramètre à remplacer>
retour de la commande
sur une ou plusieurs lignes
prompt $

1.4. À propos de ce document


Ce document constitue le Guide d’administration de Wallix AdminBastion 5.0. Il vous sera utile
pour configurer WAB avant sa mise en production, mais également dans son administration et son
exploitation au quotidien.

Wallix fournit également en complément les document suivants :

• un Guide de Démarrage Rapide


• un Guide Utilisateur

12
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 2. Compatibilités et limitations
Veuillez vous référer au document Release Notes pour vérifier la compatibilité de WAB 5.0 avec
différents clients ou cibles et également obtenir la liste des limitations, fonctions manquantes et
bogues connus.

Il n'est pas recommandé de modifier la configuration de votre système ou d'installer un autre logiciel
car cette action pourrait nuire au bon fonctionnement de votre WAB. Toute installation d'outil ou
de programme doit uniquement être effectuée sur les instructions de l'équipe Support. Pour plus
d'informations, voir Chapitre 16, Contacter le Support Wallix AdminBastion.

13
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 3. Concepts
3.1. Généralités
WAB est une solution destinée aux équipes techniques qui administrent les infrastructures
informatiques (serveurs, équipements réseau, équipements de sécurité, etc.). Cette solution permet
de répondre aux besoins de contrôle et de traçabilité des accès des administrateurs.

A ces fins, WAB intègre des fonctionnalités de contrôle d’accès (ACLs) et de traçabilité. Il constitue
un sas pour les administrateurs qui souhaitent se connecter aux équipements en :

• vérifiant les éléments d’authentification fournis par l’utilisateur,


• vérifiant ses droits d’accès sur la ressource demandée,
• gérant les mots de passe des comptes cibles.

WAB permet également d’automatiser les connexions vers les équipements cibles. Ceci augmente
le niveau de sécurisation du système d’information en empêchant la divulgation des accréditations
d’authentification des serveurs à administrer.

Les protocoles aujourd’hui supportés sont :

• SSH (et ses sous-systèmes)


• TELNET, RLOGIN
• RDP et VNC

Pour surveiller son activité, superviser les connexions et configurer les différentes entités qui le
composent, WAB possède une interface graphique Web, également appelée « GUI » (« Graphical
User Interface »), compatible avec Internet Explorer, Chrome et Firefox.

3.2. Positionnement de WAB dans


l’infrastructure réseau
WAB se positionne entre une zone de confiance faible et une zone de confiance forte.

La zone de confiance forte étant représentée par l'ensemble des équipements que WAB isole

Ces équipements et leurs comptes associés sont nommés « comptes cibles » dans la terminologie
WAB.

La zone de confiance faible est représentée par la population ayant un accès direct à WAB :

• le personnel de l’entreprise
• la zone internet

Pour les utilisateurs de la solution, l’accès aux comptes cibles (dans la zone de confiance forte)
n’est possible qu’à travers WAB.

14
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 3.1. Wallix AdminBastion dans l’infrastructure réseau

3.3. WAB Session Manager


Cette fonctionnalité spécifique de WAB 5.0 est accessible selon les termes de votre contrat de
licence logicielle.
Elle permet à l'administrateur notamment :

• d'identifier les utilisateurs connectés à des équipements donnés et de surveiller leur activité : les
sessions peuvent être visualisées via l'interface d'administration de WAB ou téléchargées pour
être visionnées en local sur le poste de travail de l'administrateur. Les sessions RDP peuvent
être visionnées en temps réel.
• de visionner les enregistrements vidéo des actions effectuées lors des session des utilisateurs
à privilèges
• d'obtenir un accès direct à la ressource en utilisant des clients natifs tels que PuTTY, WinSCP,
MSTC ou OpenSSH.
• de définir et configurer des politiques de connexion au moyen de mécanismes disponibles pour
les protocoles RDP, VNC, SSH, TELNET et RLOGIN

Pour plus d'informations, voir Chapitre 11, Gestion des sessions.

3.4. WAB Password Manager


Cette fonctionnalité spécifique de WAB 5.0 est accessible selon les termes de votre contrat de
licence logicielle.
Elle permet à l'administrateur notamment de :

• sécuriser les mots de passe des comptes cibles et des clés SSH,
• gérer les opérations d'emprunt et de restitution des mots de passe des comptes cibles,
• changer ou générer les mots de passe des comptes cibles,

15
Wallix AdminBastion 5.0.4 – Guide d’Administration

• définir une politique de changement des mots de passe pouvant être sélectionnée lors de la
création/modification d'un domaine global,
• sélectionner un plugin de changement des mots de passe parmi la liste configurée au sein de
WAB lors de la création/modification d'un domaine local ou global.

Pour plus d'informations, voir Chapitre 10, Gestion des mots de passe.

3.5. Concepts des ACL de WAB


WAB dispose d’un moteur avancé de gestion de droits implémentant des ACL pour savoir qui a
accès à quoi, quand, et par le biais de quel(s) protocole(s).
Ces ACL sont constituées des objets suivants :

• des utilisateurs : correspondant à des utilisateurs physiques de WAB d'un annuaire utilisateur
interne et/ou externe,
• des groupes d’utilisateurs : regroupant un ensemble d’utilisateurs,
• des équipements : correspondant à un équipement, physique ou virtualisé, auquel on souhaite
accéder via WAB,
• des comptes cibles : des comptes déclarés sur un équipement ou une application,
• des groupes de comptes cibles : regroupant un ensemble de comptes cibles,
• des applications : tout type d’application et de services fonctionnant sur un équipement ou un
ensemble d'équipements.

Une autorisation doit être définie dans WAB pour permettre à l'utilisateur d'accéder à un compte
cible . Ces autorisations sont déclarées entre un groupe d’utilisateurs et un groupe de comptes
cibles (ceci nécessite donc que chaque compte cible appartienne à un groupe de comptes cibles,
et que chaque utilisateur appartienne à un groupe d’utilisateurs).
Cette autorisation permet aux utilisateurs du groupe « X » d’accéder aux comptes cibles du groupe
« Y » à travers les protocoles « A », « B » ou « C ».
A ces entités primaires sont ajoutées des entités permettant de définir :

• les plages horaires de connexion


• la criticité de l’accès aux ressources cibles
• s’il faut enregistrer la session ou non
• le type de procédure d’authentification de l’utilisateur

Il est également possible de définir différents profils d’administrateur WAB avec soit un accès total
à toutes les fonctionnalités de WAB soit des droits limités à certaines fonctionnalités. Par exemple,
il est possible de définir uniquement l'accès aux données d'audit pour les auditeurs WAB ou encore
d'autoriser les administrateurs WAB à ajouter/modifier des utilisateurs, configurer l'administration
du système, gérer les autorisations, etc.

3.6. Mise en production
WAB possède un ensemble d’outils d’import permettant de faciliter sa mise en production.
Cependant, il est conseillé, pour réussir sa mise en production de recenser :

• les rôles des utilisateurs qui devront accéder aux comptes cibles,

16
Wallix AdminBastion 5.0.4 – Guide d’Administration

• les rôles des utilisateurs qui devront administrer WAB,


• les équipements et les comptes cibles qui devront être accessibles à travers la solution.

Il est nécessaire de pouvoir répondre, pour chaque utilisateur aux questions suivantes :

• cet utilisateur a-t-il le droit d’administrer la solution, et le cas échéant, quels sont les droits qui
doivent lui être accordés ?
• cet utilisateur a-t-il besoin d’accéder à des comptes cibles ?
• quand cet utilisateur a-t-il le droit de se connecter ?
• doit-il accéder à des ressources critiques ?

Il est nécessaire de pouvoir répondre, pour chaque compte cible ou équipement aux questions
suivantes :

• ce compte cible ou cet équipement est-il critique ?


• faut-il enregistrer les sessions des utilisateurs accédant à ce compte ?
• par quel(s) protocole(s) ce compte cible ou cet équipement est-il accessible ?

3.7. Chiffrement des données


Plusieurs types de données sensibles sont susceptibles d’être stockés dans WAB et notamment :

• les informations d’authentifications primaires, c'est-à-dire les informations liées aux connexions
à WAB,
• les informations d’authentifications secondaires, c'est-à-dire les informations liées aux
connexions aux cibles,
• les mots de passe d’accès aux services d’authentification,
• les sauvegardes des données de WAB.

Toutes les données sensibles sont chiffrées pour garantir la sécurité.

L'accès aux cibles via les différents services (RDP ou SSH) génère des données également
chiffrées.

Le tableau ci-dessous récapitule les moyens cryptographiques mis en œuvre :

Données Cryptographie
Mots de passe des utilisateurs locaux PBKDF2 avec salage
Login et mots de passe des comptes cibles Chiffrement symétrique AES 256
Données d’authentification annuaires externes Chiffrement symétrique AES 256
Paramètres SNMP Chiffrement symétrique AES 256
Paramètres d’authentification sur les serveurs Chiffrement symétrique AES 256
de stockage distant
Sauvegarde Chiffrement symétrique AES 256
Clé de connexion à l’interface Web Clé RSA 2048 bits + AES 256
Clé de connexion au proxy SSH Clé RSA 2048 bits + AES 256
Connexion au proxy RDP Clé RSA 1024 bits + RC4 128 bits

17
Wallix AdminBastion 5.0.4 – Guide d’Administration

3.8. Haute Disponibilité
La fonctionnalité « Haute Disponibilité », également appelée « High-Availability  » ou « HA » de WAB
5.0 apporte, par l’intermédiaire d’un cluster bi-appliances de type « failover » (ou « actif/passif »),
une continuité du service WAB (accès aux équipements cibles et à la console Web, enregistrement
des sessions) en cas d’indisponibilité des services sur la machine de production (le « Master »).

Cette reprise automatique des services par le second nœud du cluster (le « Slave ») est obtenue
par :

• le partage d’une adresse IP virtuelle par les deux WAB du cluster, les adresses IP réelles étant
inconnues des utilisateurs.
• la réplication sur le second nœud du cluster des informations de configuration, des journaux de
connexions et des fichiers contenant les enregistrements de sessions ainsi que les fichiers de
configuration WAB par le mécanisme de réplication DRBD.
• un mécanisme de notification par e-mail avise l’administrateur du WAB en cas de :
– bascule du service en mode « dégradé » (le nœud « Slave » a pris le relais)
– indisponibilité du nœud « Slave »
– détection d’une anomalie (service indisponible, etc.)
– synchronisation des disques terminée

Pour plus d'informations, voir Section 7.14, « Haute Disponibilité ».

18
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 4. Glossaire
Au cours de votre utilisation de WAB et au fur et à mesure que vous avancerez dans la lecture
de ce document, vous allez être amené(e) à rencontrer les termes techniques suivants. Cette liste
n'est pas exhaustive.

ACL Acronyme pour «  Access Control List  » (liste de contrôle


d’accès). Se dit d’un système permettant de gérer de manière
fine les accès à une ressource (que celle-ci soit un équipement,
un fichier, etc...).
Authentification externe Authentification pilotée par un annuaire externe au WAB.
Authentification locale Authentification pilotée par WAB.
Cible Un compte cible est caractérisé par l'association des entités
suivantes : un équipement et un service et un compte.
Une application cible est caractérisée par l'association des
entités suivantes : une application et un compte.
Coffre-fort à mot de passe Structure gérant des comptes. La définition de politiques permet
de configurer cette structure et de renforcer l'utilisation du
compte.
Coffre-fort à mot de passe Structure externe gérant des comptes.
externe
Compte Entité (gérée par WAB ou un coffre-fort à mot de passe externe)
permettant à un utilisateur de s'authentifier sur un système et
de se voir attribuer un niveau d'autorisation défini pour accéder
aux ressources de ce système, à des fins de gestion. Un compte
appartient à un domaine.
Connexion à une cible Connexion initiée entre WAB et un compte cible.
(également appelée
« Connexion secondaire »)
Connexion interactive Mécanisme permettant à l'utilisateur de saisir dynamiquement
son identifiant et le mot de passe secondaire sur le sélecteur
du client proxy (RDP ou SSH) pour accéder à une ressource.
Les informations d'identification renseignées par l'utilisateur sur
ce sélecteur sont alors utilisées par le proxy pour authentifier
la session sur la ressource distante. Une ressource peut être
un service spécifique sur un équipement, ou une application
(fonctionnant sur un serveur de rebond ou un cluster).
Au préalable, l'accès à cette ressource par authentification
interactive doit être autorisé pour cet utilisateur et un compte
avec les mêmes identifiant et mot de passe doit exister sur cette
ressource.
Connexion primaire Voir Connexion WAB.
Connexion secondaire Voir Connexion à une cible.
Connexion WAB (également Connexion initiée entre un utilisateur et WAB.
appelée « Connexion
primaire »)
Domaine global Entité de gestion regroupant une multitude de comptes cibles
pouvant être utilisés pour l'authentification sur une multitude

19
Wallix AdminBastion 5.0.4 – Guide d’Administration

d'équipements. Un processus de changement du mot de passe


(politique et plugin de changement) peut être déployé sur tous
les comptes du domaine global.
Domaine local Entité de gestion regroupant une multitude de comptes cibles
pouvant être utilisés pour l'authentification sur un seul et unique
équipement. Un processus de changement du mot de passe
(politique et plugin de changement) peut être déployé sur tous
les comptes du domaine local.
Équipement Équipement physique ou virtuel pour lequel WAB gère l'accès
aux sessions ou mots de passe.
Emprunt Opération consistant à récupérer et afficher le mot de passe
d'un compte donné. Le verrouillage du compte peut être
paramétré lors de cette opération afin d'empêcher une utilisation
concomitante par plusieurs utilisateurs.
Mappage de compte (ou Mécanisme permettant à un utilisateur de se connecter à
« Account mapping ») une ressource en utilisant ses informations d'identification
(identifiant et mot de passe). Ceci est particulièrement utile
lorsque le compte utilisateur est déclaré sur un annuaire
d’entreprise et qu’il possède des accès sur la ressource cible.
Les accréditations primaires (identifiant et mot de passe) sont
alors utilisées par un client RDP ou SSH pour authentifier une
session sur la ressource distante. Une ressource peut être
un service spécifique sur un équipement, ou une application
(fonctionnant sur un serveur de rebond ou un cluster). Au
préalable, l'accès à cette ressource par mappage de compte
doit être autorisé pour cet utilisateur et un compte avec les
mêmes identifiant et mot de passe doit exister sur cette
ressource.
Mot de passe Mot de passe, clé SSH, ticket Kerberos ou toute autre donnée
secrète permettant d'authentifier un compte sur un système.
Ressource Les entités suivantes constituent les ressources : un
équipement (association d'un équipement et d'un service dans
le contexte de mappage de compte), une cible ou un compte.
Restitution Opération consistant à restituer le mot de passe d'un compte
donné. Cette action est complémentaire à l'opération d'emprunt
du mot de passe. Si le verrouillage du compte a été paramétré
lors de l'emprunt du mot de passe, le déverrouillage est effectué
lors de la restitution du compte.
Scénario de connexion Scénario permettant d’automatiser une connexion vers un
équipement ne proposant pas de protocoles supportant l’envoi
automatisé des informations d'identification (SSH ou RDP).
Verrouillage Mécanisme visant à empêcher une utilisation concomitante d'un
compte par plusieurs utilisateurs.

20
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 5. Premiers pas avec WAB


5.1. Connexion au WAB en ligne de commande
Un démon SSH est en écoute sur le port 2242 permettant de se connecter à un shell
d’administration.
Pour des raisons de sécurité, tous les mots de passe du système doivent être changés dès la
première connexion.

Important :
Veuillez bien retenir votre nouveau mot de passe car celui-ci est le seul moyen de se
connecter par la suite.

Lors de l'installation de WAB, un mode graphique affiche des boîtes de dialogue pour vous guider
pas à pas dans les étapes de la configuration.
La procédure ci-dessous détaille les principales étapes de la configuration de la connexion à WAB.

1. Première étape : choisir la langue de disposition du clavier que vous souhaitez utiliser
2. Seconde étape : définir le mot de passe de l'utilisateur « wabadmin »
Les informations d'identification configurées par défaut sont les suivantes :
• Mot de passe : SecureWabAdmin
Vous êtes invité(e) à changer le mot de passe par défaut de l'utilisateur « wabadmin ». Saisissez
et confirmez le nouveau mot de passe.
Par défaut, l'utilisateur «  wabadmin  » est configuré avec des privilèges restreints. Suivez la
prochaine étape pour configurer l'utilisateur «  wabsuper » afin d'accéder à des privilèges
étendus.
3. Troisième étape : définir le mot de passe de l'utilisateur « wabsuper »
Lorsque le nouveau mot de passe de l'utilisateur «  wabadmin » a été confirmé, vous êtes
invité(e) à saisir et confirmer le nouveau mot de passe de l'utilisateur « wabsuper ».
Le mot de passe de l'utilisateur « wabsuper » peut être passé avec la commande « super » pour
obtenir des privilèges étendus, et notamment l'acquisition des privilèges « root » à l'aide de la
commande « sudo » qui utilise le même mot de passe. Une fois connecté avec les privilèges
« root », vous pouvez utiliser un ensemble de scripts pour exploiter WAB au quotidien.
4. Quatrième étape : définir le mot de passe de l'utilisateur « GRUB »
Lorsque le nouveau mot de passe de l'utilisateur « wabsuper » a été confirmé, vous êtes invité(e)
à changer le mot de passe par défaut de l'utilisateur « GRUB ».
Vous avez alors la possibilité d'utiliser le même mot de passe que celui renseigné
précédemment pour l'utilisateur « wabsuper » ou de définir un nouveau mot de passe.

Important :
Seuls les caractères ASCII sont supportés. Si le mot de passe renseigné pour
l'utilisateur «  wabsuper » contient des caractères non ASCII , alors il n'est pas

21
Wallix AdminBastion 5.0.4 – Guide d’Administration

possible d'utiliser ce même mot de passe pour l'utilisateur « GRUB » : vous devez
définir un mot de passe différent.

Avertissement :
Sous VMware, une fois l'installation initiale terminée et après le redémarrage du
système, la saisie du mot de passe de l'utilisateur « GRUB » répond par défaut à la
disposition du clavier QWERTY.

Les informations d'identification configurées par défaut sont les suivantes :

• Identifiant : wabbootadmin. L'utilisateur disposant d'un clavier AZERTY doit taper


« zqbbootqd,in » pour saisir « wabbootadmin ».
• Mot de passe : SecureWabBoot (ce mot de passe par défaut est normalement
modifié au cours de cette étape).

Utilisez la commande suivante si vous souhaitez changer ce mot de passe


ultérieurement :

wabsuper@wab$ WABChangeGrub

Attention aux caractères spéciaux et fautes de frappe car il n'est pas possible de
corriger la saisie. Cependant, la touche « Esc » permet d'effacer toute la saisie.

5. Cinquième et dernière : définir la configuration réseau

Lorsque le mot de passe de l'utilisateur « GRUB » a été défini, vous êtes invité(e) à effectuer
la configuration réseau.

5.2. Parcourir l'arborescence du menu


Mes préférences   Modifier les préférences
utilisateurs

Voir Section 6.2, « Paramétrer


les préférences utilisateur »
Mes autorisations Sessions Afficher les autorisations de
l'utilisateur sur les sessions et
accéder aux cibles

Voir Section 11.1,
« Autorisations de l'utilisateur
sur les sessions »
Mots de passe Afficher les autorisations de
l'utilisateur sur les mots de
passe et gérer les mots de
passe des cibles

Voir Section 10.1,
« Autorisations de l'utilisateur
sur les mots de passe »
Audit Sessions courantes Lister et fermer les connexions

22
Wallix AdminBastion 5.0.4 – Guide d’Administration

Voir Section 11.3.1, « Sessions


courantes »
Historique des sessions Lister les connexions
terminées et afficher les
enregistrements de sessions

Voir Section 11.3.3,
« Historique des sessions »
Historique des comptes Lister les activités des comptes

Voir Section 11.3.5,
« Historique des comptes »
Historique des approbations Lister les demandes
d'approbation en cours et
dépassées

Voir Section 11.3.6,
« Historique des
approbations »
Historique des Lister les authentifications
authentifications primaires

Voir Section 11.3.7,
« Historique des
authentifications »
Statistiques sur les Générer les graphiques de
connexions statistiques sur les connexions

Voir Section 11.3.8,
« Statistiques sur les
connexions »
Utilisateurs Comptes Gérer et importer (fichier .csv
et annuaire LDAP) les
utilisateurs WAB

Voir Section 8.1, « Comptes


utilisateurs »
Groupes Gérer et importer (fichier .csv)
les groupes d'utilisateurs WAB

Voir Section 8.2, « Groupes


utilisateurs »
Profils Gérer les profils utilisateurs
WAB

Voir Section 8.3, « Profils


utilisateurs »
Ressources Domaines Gérer et importer (fichier .csv)
les domaines globaux et locaux

Voir Section 9.1, « Domaines »

23
Wallix AdminBastion 5.0.4 – Guide d’Administration

Équipements Gérer et importer (fichier .csv)


les équipements cibles

Voir Section 9.2,
« Équipements »
Applications Gérer et importer (fichier .csv)
les applications cibles

Voir Section 9.3,
« Applications »
Comptes Gérer et importer (fichier .csv)
les comptes cibles

Voir Section 9.4, « Comptes


cibles »
Clusters Gérer et importer (fichier .csv)
les clusters de serveurs de
rebond

Voir Section 9.6, « Clusters »


Groupes Gérer et importer (fichier .csv)
les groupes de comptes cibles

Voir Section 9.5, « Groupes de


comptes cibles »
Politiques d'emprunt Gérer les politiques d'emprunt
du mot de passe

Voir Section 9.7, « Politiques


d'emprunt du mot de passe »
Gestion des mots de passe Plugins chgt mot de passe Afficher la liste des
plugins disponibles pour le
changement de mot de passe

Voir Section 10.2, « Plugins


de changement des mots de
passe »
Politiques chgt mot de passe Gérer les politiques de
changement de mot de passe

Voir Section 10.3, « Politiques


de changement des mots de
passe »
Gestion des sessions Options d'enregistrement Gérer les options de stockage
des enregistrements de
session

Voir Section 11.4, « Options


des enregistrements de
session »
Politiques de connexion Gérer les mécanismes
d'authentification pour les

24
Wallix AdminBastion 5.0.4 – Guide d’Administration

proxys (RDP, VNC, SSH,


TELNET et RLOGIN)

Voir Section 11.5, « Politiques


de connexion »
Autorisations Gestion des autorisations Gérer et importer (fichier .csv)
les autorisations entre les
groupes de comptes cibles et
les groupes d'utilisateurs

Voir Chapitre 12, Gestion des


autorisations
Mes approbations en cours Gérer les demandes
d'approbation en cours et
fournir une réponse

Voir Section 12.5, « Visualiser


les approbations en cours »
Mon historique Lister les demandes
d'approbations d'approbation en cours et
dépassées

Voir Section 12.6, « Visualiser


l'historique des approbations »
Configuration Plages horaires Gérer les plages horaires

Voir Section 12.8,
« Configuration des plages
horaires »
Authentifications externes Gérer les méthodes
d'authentification externe
(LDAP/LDAPS, Active
Directory, Kerberos, Radius)

Voir Section 8.7,
« Configuration des
authentifications externes »
Domaines LDAP/AD Intégrer des comptes
utilisateurs via LDAP ou Active
Directory

Voir Section 8.8,
« Configuration de l'intégration
avec un domaine LDAP ou
Active Directory »
Notifications Gérer le mécanisme de
notification

Voir Section 8.4,
« Configuration des
notifications »
Politique mots de passe Gérer les politiques des mots
locaux de passe locaux

25
Wallix AdminBastion 5.0.4 – Guide d’Administration

Voir Section 8.5,
« Configuration de la politique
de mot de passe local »
Paramètres de connexion Configurer les bannières
affichées lors de la connexion
de l'utilisateur aux proxys

Voir Section 11.8,
« Paramètres de connexion »
Paramètres X509 Configurer les listes
de révocation pour
l'authentification par certificat
X509

Voir Section 8.6.3.1,
« Authentification des
utilisateurs »
Options de configuration Configurer des aspects
spécifiques de WAB (ex. :
loggeur, GUI, proxy RDP, WAB
Engine, etc.)

Voir Section 7.1, « Options de


configuration »
Licence Afficher et mettre à jour la clé
de licence

Voir Section 7.2, « Licence »


Chiffrement Définir la protection
cryptographique

Voir Section 7.3,
« Chiffrement »
Logs audit Afficher le contenu du fichier
« wablog »

Voir Section 7.5, « Journaux et


logs système »
Système Statut Afficher les informations
générales sur le statut du
système

Voir Section 7.4, « Statut du


système »
Réseau Configurer les paramètres
réseau

Voir Section 7.6, « Réseau »


Service de temps Configurer les paramètres du
service de temps (NTP)

Voir Section 7.7, « Service de


temps »

26
Wallix AdminBastion 5.0.4 – Guide d’Administration

Stockage distant Gérer le stockage distant des


enregistrements de session

Voir Section 7.8, « Stockage


distant »
Intégration SIEM Gérer le routage des logs
vers d'autres périphériques du
réseau

Voir Section 7.9, « Intégration


SIEM »
SNMP Gérer l'agent SNMP

Voir Section 7.10, « SNMP »


Serveur SMTP Configurer le serveur de mail
pour l'envoi des notifications

Voir Section 7.12, « Serveur


SMTP »
Contrôle des services Définir le mappage des
services avec les interfaces
réseau et les services WAB à
activer/désactiver

Voir Section 7.11, « Contrôle


des services »
Syslog Afficher le contenu du fichier
« syslog »

Voir Section 7.5, « Journaux et


logs système »
Messages au démarrage Afficher le contenu du fichier
« dmesg »

Voir Section 7.5, « Journaux et


logs système »
Sauvegarde/Restauration Sauvegarde et restauration de
la configuration WAB

Voir Section 7.13,
« Sauvegarde et restauration »
Import/Export CSV Importer des données depuis
un fichier .csv

Exporter des données sous


la forme d'un fichier .csv, une
archive .zip ou .tar.gz

Voir Section 8.1,
« Comptes utilisateurs »,
Section 8.2, « Groupes
utilisateurs », Section 9.1,
« Domaines », Section 9.2,

27
Wallix AdminBastion 5.0.4 – Guide d’Administration

« Équipements »,Section 9.3,
« Applications », Section 9.4,
« Comptes cibles »,
Section 9.6, « Clusters »,
Section 9.5, « Groupes de
comptes cibles », Section 12.1,
« Ajouter une autorisation »
Utilisateurs depuis LDAP Importer des utilisateurs depuis
un annuaire LDAP/LDAPS/AD
Voir Section 8.1, « Comptes
utilisateurs »

5.3. Fonctionnalités spécifiques
5.3.1. Gestion des sessions
Le menu « Gestion des sessions » et l'entrée « Sessions » du menu « Mes autorisations » peuvent
uniquement être administrés si la fonctionnalité WAB Session Manager est associée à votre clé
de licence.

5.3.2. Gestion des mots de passe


Le menu « Gestion des mots de passe » et l'entrée « Mots de passe » du menu « Mes autorisations
» peuvent uniquement être administrés si la fonctionnalité WAB Password Manager est associée
à votre clé de licence.

28
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 6. Première connexion
6.1. Accès à l'interface d'administration
Pour accéder à l’interface Web d’administration, saisissez l’URL suivante dans la barre d'adresse
de votre navigateur :

https://adresse_ip_de_wab ou https://<nom_de_wab>

Avertissement :
Votre navigateur doit être configuré pour accepter les cookies et exécuter le JavaScript.

Avec certains navigateurs anciens, il peut être nécessaire d’abaisser le réglage du


niveau de sécurité du serveur Web de WAB pour permettre les connexions. Veuillez
pour cela consulter Section 13.6, « Configuration cryptographique des services ». Nous
vous conseillons néanmoins plutôt d’utiliser un navigateur moderne, comme Firefox ou
Chrome, afin de conserver un niveau de sécurité satisfaisant.

WAB est livré en standard avec un compte administrateur d’usine dont les informations
d'identification sont les suivantes :

• Identifiant : admin
• Mot de passe : admin

Pour des raisons de sécurité, il est fortement recommandé de changer le mot de passe du
compte administrateur lors de la première connexion. Pour plus d’informations, voir Section 6.2,
« Paramétrer les préférences utilisateur ».

Figure 6.1. Écran de connexion WAB

Une fois l’authentification réussie, la page suivante est affichée :

29
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 6.2. Page d’accueil WAB (affichée pour un profil administrateur)

Cette page se compose :

• d’un en-tête contenant :


– le nom de l’utilisateur connecté,
– l'icône de déconnexion,
• un menu latéral, sur la gauche, à partir duquel l’ensemble des fonctionnalités d’administration
de WAB sont accessibles,
• une zone utile sur laquelle le message de bienvenue est affiché.

6.2. Paramétrer les préférences utilisateur


Depuis le menu « Mes préférences », vous accédez à la page contenant les paramètres modifiables
par un utilisateur. Tous les utilisateurs ont accès à cette page, quels que soient leurs droits
d’administration. Elle permet notamment de :

• changer son mot de passe (uniquement si l’utilisateur a été déclaré localement)


• modifier son adresse électronique,
• importer ou saisir manuellement une clé publique SSH,

Avertissement :
Cette clé doit être au format OpenSSH. Sinon, un message d'erreur s'affiche.

Si vous utilisez PuTTYgen pour générer la clé, vous devez enregistrer dans un fichier
texte la clé publique affichée au format Open SSH lors de la génération. A titre d'exemple,
cette clé est libellée comme suit :

« ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEA0yR9lBQov6[.....]c3xu9p/xNjw== rsa-


key-20151204 »

Vous pouvez alors charger cette clé dans la zone « Clé publique SSH » sur cette page.

Si une clé existe déjà, vous pouvez charger une clé privée en utilisant PuTTYgen pour
générer la clé publique correspondante au bon format.

• charger une clé GPG.

30
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 6.3. Page « Mes préférences »

31
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 7. Configuration de la machine
7.1. Options de configuration
La page « Options de configuration » du menu « Configuration » permet une configuration avancée
des paramètres globaux de WAB.

Cliquer sur l'option souhaitée dans la liste pour afficher les paramètres concernés qui peuvent être
configurés sur la page dédiée pour :

• le coffre-fort à mot de passe externe


• l'interface Web
• le loggeur
• l'OEM
• le proxy RDP
• le proxy RDP sesman
• le proxy SSH
• le WAB Engine
• le WAB Watchdog

Sur chacune de ces pages, une description utile peut être affichée pour tous les champs en cochant
la case du champ « Aide sur les options » en haut à droite de la page. Cette description mentionne
le format approprié à prendre en compte dans le champ concerné.

Avertissement :
Les options affichées en cochant la case du champ «  Options avancées  » en haut à
droite de la page doivent UNIQUEMENT être modifiées sur demande de l'Equipe Support
Wallix ! Un point d’exclamation orange est affiché en regard des champs concernés.

32
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 7.1. Page « Options de configuration » pour


le proxy SSH avec les descriptions des champs

7.1.1. Configuration du mode transparent pour les proxys


RDP et SSH
Ce mode permet au proxy d’intercepter le trafic réseau destiné à une cible même lorsque l’utilisateur
a précisé l’adresse de la cible à la place de l'adresse de WAB.

Ce mode peut être activé en cochant la case du champ « Enable transparent mode » sur les pages
de configuration dédiées aux proxys RDP et SSH. Ces pages sont accessibles depuis la page
« Options de configuration » du menu « Configuration ».

Pour utiliser le mode transparent, il faut que le réseau soit configuré afin d’envoyer le flux RDP
ou SSH destiné aux cibles vers les interfaces réseaux utilisateurs de WAB. Ceci peut être fait au
moyen de routes IP. WAB agit alors comme une passerelle.

Le proxy intercepte le trafic envoyé vers le port TCP 3389 (pour les protocoles RDP et VNC).
Le trafic arrivant vers WAB sans lui être destiné mais intercepté par ce dernier ou un autre port
(différent du port 3389) est perdu.

Le proxy choisit automatiquement la cible en fonction de l’adresse IP destination de la connexion.


Lorsqu'une seule cible correspond à cette adresse, la connexion se fait automatiquement sans que
le sélecteur soit affiché. Sinon, le sélecteur affiche la liste des cibles possibles correspondant à
cette adresse.

De plus, lors d’une utilisation du WAB en mode transparent, il est possible de définir un ensemble
de ressources cibles appartenant à un sous-réseau. Il suffit pour cela de préciser le sous-réseau à

33
Wallix AdminBastion 5.0.4 – Guide d’Administration

la place de l’adresse IP de l’hôte cible dans le champ « Hôte de l'équipement » lors de la création de
l'équipement, depuis la page « Équipements », en utilisant la notation CIDR (<adresse de réseau>/
<nombre de bits de masque>). Pour plus d'information sur cette configuration, voir Section 9.2.1,
« Ajouter un équipement cible ».

Une fois le mode transparent activé pour RDP ou SSH, plusieurs paramètres permettent de
contrôler le comportement du proxy.

La délégation d’authentification permet d’éviter que WAB procède à une authentification lorsque
le proxy reçoit une demande de connexion. La demande d’authentification est alors transmise
directement à la cible et WAB autorise la connexion si l’authentification par la cible est établie. Cela
permet de déployer WAB dans un environnement où seule la cible connaît le mot de passe comme
c’est le cas, par exemple, pour certaines configurations de VMware Horizon View.

Il est aussi possible de préciser un utilisateur WAB différent de l’identité RDP ou SSH. Dans ce
cas, les sessions et leurs enregistrements seront associées à cet utilisateur WAB. Les informations
d’identification RDP ou SSH sont enregistrées dans le champ cible quand elles sont disponibles.

7.2. Licence
L’utilisation de WAB est contrôlée par une clé de licence. Le mécanisme de la licence vérifie :

• le type de licence : votre clé de licence est associée soit avec WAB Session Manager soit avec
WAB Password Manager ou les deux
• la date d'expiration de la licence
• le nombre maximum d'équipements et d'applications pouvant être déclarés
• le nombre maximum de connexions primaires simultanées (c'est-à-dire les connexions au WAB)
• si la clé de licence est associée à WAB Session Manager:
– le nombre maximum de connexions secondaires simultanées (c'est-à-dire les connexions aux
cibles)

La clé de licence contient les éléments inclus dans les termes du contrat commercial et est fournie
par la société Wallix. Elle est renseignée dans WAB par le client via l'interface utilisateur Web.

Sur la page « Licence » du menu « Configuration », vous pouvez visualiser les caractéristiques de
la licence et mettre à jour la clé de licence.

Pour obtenir une licence, le fichier de contexte doit être envoyé à la société Wallix. Pour générer
et télécharger ce fichier de contexte, cliquez sur « Télécharger le fichier de contexte ». Ce fichier
peut alors être envoyé à la société Wallix pour obtenir une mise à jour de la clé de licence.

Pour mettre à jour la clé de licence, copiez la clé reçue dans un fichier puis, téléchargez celui-ci
dans le champ « Mettre à jour le fichier » et cliquez sur le bouton « Mettre à jour la licence ».

7.2.1. Gérer la clé de licence via la ligne de commande


La clé de licence peut également être gérée via la ligne de commande une fois connecté(e) avec
les privilèges « root ».

Pour afficher les informations de licence :

wab2:~# WABGetLicenseInfo

34
Wallix AdminBastion 5.0.4 – Guide d’Administration

Pour générer le fichier de contexte de licence :

wab2:~# WABSetLicense -c -f <Fichier de contexte>

Pour importer une nouvelle licence :

wab2:~# WABSetLicense -u -f <Fichier de mise à jour>

Pour supprimer la licence :

wab2:~# WABSetLicense -d

7.3. Chiffrement
Le chiffrement de WAB sécurise vos données sensibles (telles que les mots de passe des comptes
cibles, les mots de passe des utilisateurs locaux, les connexions à l'interface utilisateur Web, les
connexions aux proxys RDP et SSH, etc.) en les chiffrant par un algorithme cryptographique fort.

Cet algorithme utilise une clé de chiffrement confidentielle et propre à votre WAB.

La définition de la phrase de chiffrement rend l'accès à WAB plus difficile et renforce ainsi la sécurité
de vos données. En effet, toute personne malveillante ne possédant pas la phrase de chiffrement
ne pourra accéder à votre produit. De plus, à chaque redémarrage du système, les services de
connexion des proxys de WAB seront inutilisables tant que la phrase de chiffrement de la clé ne sera
pas saisie par un administrateur dans l’interface Web d’administration et seules certaines actions
d’administration seront possibles.

Après initialisation du chiffrement, il est conseillé d’effectuer au moins une sauvegarde de WAB
afin de conserver une copie de cette clé en lieu sûr.

Si vous n'effectuez pas de sauvegarde et que votre clé est perdue, vous ne serez plus en mesure
d’accéder aux données sur les stockages distants.

Sur la page «  Chiffrement  » du menu «  Configuration  », vous pouvez vérifier si le système de


chiffrement a été initialisé pour votre WAB.

7.4. Statut du système
Sur la page « Statut » du menu « Système », vous pouvez notamment visualiser les informations
générales suivantes liées concernant le système :

• le nombre de connexions courantes,


• le taux d'occupation de la RAM,
• le taux d'occupation du SWAP,
• l'espace disponible de la partition /var (sur laquelle les enregistrements des sessions sont
sauvegardés)

35
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 7.2. Page « Statut »

Note :
Le taux d’occupation de la RAM n’affiche pas les tampons systèmes..

7.5. Journaux et logs système


Vous pouvez visualiser et sauvegarder les journaux depuis l'interface utilisateur Web.

Note :
Tous les fichiers de ces journaux peuvent être téléchargés en cliquant sur l'icône dédiée
dans la partie droite de la page concernée.

WAB recense les journaux système suivants :

• « syslog » affiché sur la page « Syslog » du menu « Système ». Ce journal affiche la majorité
des messages liés au fonctionnement des proxys ou à l'utilisation de l'interface d'administration.
• « dmesg » affiché sur la page « Messages au démarrage » du menu « Système ». Ce journal
affiche le journal de démarrage du système.
• « wablog » affiché sur la page « Logs audit » du menu « Configuration ». Ce journal affiche les
connexions et les opérations effectuées par les auditeurs et les administrateurs.

7.6. Réseau
Sur la page «  Réseau  » du menu «  Système  », vous pouvez notamment définir/modifier la
configuration réseau de la machine.
Vous pouvez modifier notamment :

• le nom d’hôte,

36
Wallix AdminBastion 5.0.4 – Guide d’Administration

• le nom de domaine,
• la passerelle,
• la configuration des interfaces réseaux.

Vous pouvez ajouter :

• des routes,
• des entrées dans le fichier « hosts »,
• des serveurs DNS.

Avertissement :
Avant de changer l’adresse IP du WAB utilisée pour communiquer avec le serveur
de fichier sur lequel se trouve un stockage distant, nous vous recommandons de
désactiver le stockage distant et de le réactiver après le changement d’adresse. Pour
plus d'informations, voir Section 7.8, « Stockage distant ».

Figure 7.3. Page « Réseau »

7.7. Service de temps
Sur la page « Service de temps » du menu « Système », vous pouvez définir le fuseau horaire
de WAB.
Ce paramétrage est particulièrement important car :

37
Wallix AdminBastion 5.0.4 – Guide d’Administration

• WAB doit être synchronisé en date et en heure avec les serveurs d’authentification Kerberos,
• WAB est le référentiel de temps pour les informations d’audit remontées et la gestion des plages
horaires.

Note :
Par défaut, le service de temps est activé et la synchronisation est effectuée sur les
serveurs de temps du projet Debian.

Figure 7.4. Page « Service de temps »

7.8. Stockage distant
Sur la page « Stockage distant » du menu « Système », vous pouvez déporter les enregistrements
vidéos vers un système de fichiers externe.
Les systèmes de fichiers supportés sont CIFS et NFS. Pour chacun de ces systèmes, vous devez
préciser :

• l’adresse IP ou le FQDN du serveur de fichiers,


• le numéro de port du service distant,
• le répertoire distant où seront stockés les enregistrements.

Pour CIFS, vous devez également indiquer :

• le nom d’utilisateur pour se connecter sur le service distant,


• son mot de passe.

Le bouton « Activer » permet d'activer la configuration.

Avertissement :
Si des enregistrements ont déjà été réalisés depuis WAB, l’activation du stockage
distant masquera les anciennes sessions (celles-ci seront de nouveau visibles lorsque
le stockage sera désactivé).

38
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 7.5. Page « Stockage distant »

7.9. Intégration SIEM
Sur la page « Intégration SIEM » du menu « Système », vous pouvez paramétrer le routage des
informations suivantes vers un ou plusieurs autres équipements réseau via des solutions SIEM :

• le journal d'audit de WAB (c'est-à-dire « wablog »),


• les méta-données des sessions SSH,
• les méta-données des sessions RDP.

Les journaux et logs seront alors envoyés à l’adresse IP, au port et au protocole sélectionnés et
également stockés sur le système de fichier local, afin d’être toujours disponibles à la lecture sur
la page « Logs audit » du menu « Configuration ». Pour plus d'informations sur ce journal, voir
Section 7.5, « Journaux et logs système ».

Pour plus d'informations sur l'export des données, voir Annexe  A, Export des données pour
l'intégration SIEM.

Vous pouvez choisir le format d'horodatage entre le format de date usuel RFC 3164 et le format
ISO (AAAA-MM-JJTHH:MM:SS±TZ). Ce dernier contient en plus l’année et le fuseau horaire.

39
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 7.6. Page « Intégration SIEM »

7.10. SNMP
WAB embarque un agent SNMP disposant des caractéristiques suivantes :

• version du protocole supporté : 2c,


• MIB implémentée : MIB 2,
• pas de mécanismes d’alertes (« traps »), ni de notifications,
• pas d’ACL sur l’adresse IP source.

Sur la page « SNMP » du menu « Système », vous pouvez configurer cet agent.

La configuration usine est la suivante :

• SysName : WAB v2,


• SysContact : root@yourdomain,
• SysLocation : yourlocation,
• Communauté : vide par défaut. Le nom de la communauté utilisée pour se connecter à WAB.

Avertissement :
Par défaut, l’agent est désactivé.

L’activation de l’agent SNMP se fait uniquement via l’interface utilisateur Web.

Exemples d’utilisation :

$ snmpget -v2c -c WALLIXdefault 192.168.0.5 system.sysDescr.0


SNMPv2-MIB::sysDescr.0 = STRING: "Wallix AdminBastion Version 5.0"
$ snmpget -v2c -c WALLIXdefault 192.168.0.5 system.sysUpTime.0
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (65833) 0:10:58.33
$ snmpget -v2c -c WALLIXdefault 192.168.0.5 IF-MIB::ifHCOutOctets.1
IF-MIB::ifHCOutOctets.1 = Counter64: 255823831

40
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 7.7. Page « SNMP » avec configuration de l'agent

7.11. Contrôle des services


Sur la page « Contrôle des services » du menu « Système », vous pouvez définir le mappage des
services pour chacune des interfaces réseaux et sélectionner les services à activer/désactiver. Pour
plus d'informations, voir Section 7.11.1, « Mappage des services » et Section 7.11.2, « Activation
des services ».

Figure 7.8. Page « Contrôle des services »

41
Wallix AdminBastion 5.0.4 – Guide d’Administration

7.11.1. Mappage des services


L’administrateur peut choisir l’affectation des services par interface réseau sur le cadre « Mappage
des services  ». Ainsi, il est possible de restreindre les opérations d’administration à une seule
interface pour améliorer la sécurité de WAB.

Les services sont regroupés selon les fonctionnalités suivantes :

• « Fonctionnalités utilisateur et auditeur »,


• « Fonctionnalités d'administration », et
• « Haute Disponibilité ».

Le groupe de services « Fonctionnalités utilisateur et auditeur » recense notamment l’accès aux


cibles, les données des historiques ainsi que les enregistrements de sessions.

Afin de pouvoir sélectionner les services souhaités, les interfaces doivent être configurées au
préalable sur la page « Réseau ». Chaque interface doit appartenir à un sous-réseau différent. Pour
plus d'informations, voir Section 7.6, « Réseau ».

L’interface eth1 (port 2 sur la machine) est dédiée, si elle est présente, à l’interconnexion de la
Haute Disponibilité (également appelée « High-Availability » ou « HA »). Aucun autre service ne
peut y être affecté et le service « Haute Disponibilité » ne peut pas être déplacé vers une autre
interface. Le service « Haute Disponibilité » n’est donc pas sélectionnable si cette interface n’est
pas présente.

Par défaut, les fonctionnalités propres aux utilisateurs (notamment le droit d'accès aux
équipements) et aux auditeurs (notamment le droit d'audit) ne sont pas accessibles sur l’interface
d’administration mais il est cependant possible d'en débloquer l'accès en cochant les cases
suivantes : «  Fonctionnalités utilisateur (droits d'accès comptes cibles) » et «  Fonctionnalités
auditeur (droits audit sessions) ».

WAB possède également un pare-feu. Celui-ci permet, entre autres, de le protéger des attaques
DDoS. Il est possible de limiter les connexions IP acceptées en parallèle à un nombre pré-défini.
Pour cela, il est nécessaire de cocher la case du champ « Limiter le nombre de connexions par IP
» et d'indiquer le nombre correspondant dans le champ « Nombre de connexions ».

L'option « Activer le filtrage de chemin inverse » est uniquement interprétée lorsque WAB dispose
de deux interfaces sans Haute Disponibilité configurées avec deux sous-réseaux (ou « subnets »)
différents (c'est-à-dire eth0 avec le subnet X et eth2 avec le subnet Y) et le chemin par défaut est
paramétré sur l'une des deux interfaces (c'est-à-dire eth0).

Par défaut, lorsqu'un paquet avec une adresse IP source n'appartenant pas au subnet Y entre
via l'interface eth2, WAB ne répond pas (aucun paquet ne sort via les deux interfaces sans Haute
Disponibilité). Cela est dû à la configuration du filtrage de chemin inverse paramétré avec le kernel
grsec. Pour plus d'informations sur le filtrage de chemin inverse, voir http://tldp.org/HOWTO/Adv-
Routing-HOWTO/lartc.kernel.rpf.html.

Si WAB doit répondre au paquet entrant (via l'interface eth2), alors le filtrage de chemin inverse
doit être désactivé.

Lorsque la case de l'option « Activer le filtrage de chemin inverse » est cochée, il n'y a aucune
réponse de WAB (sur les paquets en provenance d'un subnet différent de l'interface d'entrée).

Lorsque la case de l'option « Activer le filtrage de chemin inverse » est décochée (par défaut), WAB
répond à tous les paquets entrants (via l'interface d'entrée).

42
Wallix AdminBastion 5.0.4 – Guide d’Administration

7.11.2. Activation des services


L'administrateur peut choisir les services à activer ou désactiver sur le cadre «  Activation des
services ».
WAB contrôle automatiquement les services. Les proxys sont notamment démarrés quand une
ressource correspondante est ajoutée à la configuration. Par exemple, l’ajout d’un équipement
avec un service RDP va initier le démarrage du service RDP. Il est cependant possible de stopper
temporairement un service jusqu’à la prochaine modification de la configuration.
Les services configurables sont les suivants :

• GUI : l’interface Web d’administration de WAB (port 443)


• SSHADMIN : l’interface ligne de commande d’administration du WAB (port 2242)
• RDP : le proxy RDP/VNC (port 3389)
• SSH : le proxy SSH/SFTP/TELNET/RLOGIN (port 22)

A l’installation de WAB, les services suivants sont activés par défaut :

• GUI
• SSHADMIN

Puis en fonction des services configurés dans les cibles des proxys, WAB activera automatiquement
le service correspondant (et démarrera le serveur) automatiquement. Ainsi l’administrateur n’a pas
à se soucier de la configuration des services pour pouvoir utiliser WAB.

Note :
Par mesure de sécurité, la commande doit être appelée depuis la console physique
(soit directement sur le boîtier, soit à distance avec l’interface iDrac) pour désactiver la
console d’administration «  sshadmin  » (port 2242). Dans le cadre d’une configuration
Haute Disponibilité, le service d’administration « sshadmin » (port 2242) doit être activé
et le sera automatiquement lors de l’installation de la Haute Disponibilité.

Dans le cas d'une utilisation restreinte de WAB, l'administrateur peut activer/désactiver les services
à l’aide d’un outil en ligne de commande sur la console ou via l’interface en ligne de commande
"ssh" (port 2242) :
wabsuper$ sudo -i WABServices
#################################
# Wab Services Status #
#################################
gui : ENABLED
https : DISABLED
rdp : DISABLED
ssh : DISABLED
sshadmin : ENABLED
webservice : ENABLED

Sans paramètre, l’outil présente l’état actuel de la configuration des services.


Le paramètre --help permet d’afficher l’usage complet :
wabsuper$ sudo -i WABServices --help
usage: /opt/wab/bin/WABServices action [service's name]
Configure WAB Services

43
Wallix AdminBastion 5.0.4 – Guide d’Administration

actions:
list list services status
enable enable a service
disable disable a service

L’administrateur doit saisir la commande suivante pour désactiver la GUI :


wabsuper$ sudo -i WABServices disable gui
Configuration applied

Puis, l’administrateur doit saisir cette commande pour la réactiver :


wabsuper$ sudo -i WABServices enable gui
Configuration applied

7.12. Serveur SMTP
Sur la page « Serveur SMTP » du menu « Système », vous pouvez définir/modifier la configuration
du serveur mail à utiliser pour l’envoi des notifications.
Vous pouvez définir :

• le protocole utilisé (par défaut : SMTP)


• le nom du serveur
• le port du serveur (par défaut : 25 en SMTP, 465 en SMTPS et 587 en SMTP+STARTTLS)
• le nom de l’expéditeur (par défaut : WAB)
• éventuellement, un nom d’utilisateur et un mot de passe

Pour tester la configuration, saisissez une ou plusieurs adresses de destination dans le champ « E-
mails des destinataires pour le test puis, cliquez sur le bouton « Tester ».

Figure 7.9. Page « Serveur SMTP »

7.13. Sauvegarde et restauration
Sur la page « Sauvegarde/Restauration» du menu « Système », vous pouvez effectuer ou restaurer
une copie de sauvegarde de la configuration du WAB.

44
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chaque sauvegarde est chiffrée avec une clé de 16 caractères. Vous devez connaître la clé d’une
sauvegarde avant sa restauration.

Avertissement :

• Seules les sauvegardes créées à partir de la version 4.2.3 de WAB ou ultérieure


peuvent être restaurées.
• Les données d’audit ne sont pas sauvegardées lors de la sauvegarde/restauration.
• Toutes les données modifiées ou ajoutées après une sauvegarde seront perdues si
cette sauvegarde est restaurée.
• L’administrateur sera déconnecté. Il devra se reconnecter avec un des comptes
présents dans la sauvegarde, qui peuvent être différents de ceux présents avant
l'opération de sauvegarde/restauration.
• Si une sauvegarde est restaurée sur une autre machine que celle sur laquelle elle a
été générée, les données chiffrées présentes avant la restauration pourront devenir
indéchiffrables.

Figure 7.10. Page « Sauvegarde/Restauration »

7.13.1. Restauration des fichiers de configuration


Certains éléments tels que les fichiers de configuration de certains services, les clés et les certificats
sont restaurés à côté de la configuration actuelle qui n’est pas écrasée.

Pour les utiliser, vous devez supprimer les fichiers de la configuration actuelle et renommer à la
place ceux restaurés par la sauvegarde, qui portent comme extension additionnelle le nom du fichier
de sauvegarde suivi d’un timestamp qui correspond à la date de restauration.

Ces fichiers sont tous situés sous /var/wab/etc/ :

• Clé du proxy SSH :

45
Wallix AdminBastion 5.0.4 – Guide d’Administration

/var/wab/etc/ssh/server_rsa.key.YOURBACKUPNAMEANDTIMESTAMP

• Clés et certificat du proxy RDP :

/var/wab/etc/rdp/dh512.pem.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/etc/rdp/dh1024.pem.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/etc/rdp/dh2048.pem.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/etc/rdp/rdpproxy.key.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/etc/rdp/rdpproxy.crt.YOURBACKUPNAMEANDTIMESTAMP

• Configuration du proxy RDP :

/var/wab/etc/rdp/rdpproxy.ini.YOURBACKUPNAMEANDTIMESTAMP

• Configuration MySQL :

/var/wab/etc/mysql/my.cnf.YOURBACKUPNAMEANDTIMESTAMP

• Configuration du serveur Apache :

/var/wab/apache2/apache2.conf.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/apache2/httpd.conf.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/apache2/restvirtualhost.apache.conf.YOURBACKUPNAMEANDTIMESTAMP

• Clés, certificats et CRL du serveur Apache :

/var/wab/etc/rdp/dh2048.pem.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/apache2/ssl.crt/ca.crt.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/apache2/ssl.crt/crl.pem.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/apache2/ssl.crt/server.pem.YOURBACKUPNAMEANDTIMESTAMP
/var/wab/apache2/ssl.crt/server.key.YOURBACKUPNAMEANDTIMESTAMP

• Configuration X509 du WAB :

/var/wab/apache2/ssl.crt/x509_ready.YOURBACKUPNAMEANDTIMESTAMP

Après avoir renommé les fichiers en supprimant l’extension additionnelle, vous devez redémarrer
les services correspondants à l'aide des commandes suivantes :

# systemctl restart wabgui


$ systemctl restart wabcore
$ systemctl restart mysql

7.13.2. Sauvegarde/Restauration en ligne de commande


Il est possible d’effectuer les opérations de sauvegarde et de restauration (voir Section  7.13,
« Sauvegarde et restauration ») à l’aide de scripts spécifiques.

46
Wallix AdminBastion 5.0.4 – Guide d’Administration

7.13.2.1. Script pour la sauvegarde


wab2:~# /usr/bin/wallix-config-backup.py -h
Usage: wallix-config-backup.py [options]

Options:
-h, --help show this help message and exit
-d DIRECTORY, --directory=DIRECTORY
Directory where you want to store your backup.
-s, --sdcard Set this option to store the Backup in the sdcard.
-a, --aes Set this option force use of AES256 instead of Gpg
symmetric cipher.
-b, --blowfish Set this option force use of Blowfish instead of Gpg
symmetric cipher.

DIRECTORY est le chemin du répertoire dans lequel sera créé le fichier de sauvegarde.
L’option -s peut être utilisée pour créer une copie sur un support externe (carte SD ou clé USB).
Les options -a et -b ne doivent normalement pas être utilisées. Sans ces options, le fichier est
chiffré avec GPG.

7.13.2.2. Script pour la restauration


wab2:~# /usr/bin/wallix-config-restore.py -h
Usage: wallix-config-restore.py [options] -f FILENAME
wallix-config-restore.py [options] -s

Options:
-h, --help show this help message and exit
-f FILENAME, --file=FILENAME
Provide the full path of the Backup file (.wbk).
Conflicts with -s
-s, --sdcard Enter in interactive mode to select file on SDcard.
Conflicts with -f
-a, --aes Set this option to force use of AES256 instead of GPG
symmetric cipher.
-b, --blowfish Set this option to force use of Blowfish instead of
GPG symmetric cipher. Overridden by -a
-S, --nosystem Set this option to not restore any system settings.
-N, --nonetwork Set this option to never restore network and HA
settings. Overridden by -S
--forcenetwork Set this option to force restoration of network and HA
settings. (Not recommended). Overridden by -S

FILENAME est le chemin du fichier de sauvegarde.


L’option -s peut être utilisée pour restaurer depuis le support externe (carte SD ou clé USB).
Les options -a et -b ne doivent normalement pas être utilisées. Sans ces options, le fichier est
déchiffré avec GPG.
L’option -S peut être utilisée pour ne pas restaurer la partie de la configuration des paramètres
du système (définis dans le menu « Système »). Dans ce cas, seules les données métier seront
restaurées.
L’option -N peut être utilisée pour ne pas restaurer seulement la partie de la configuration réseau
(définie sur la page « Réseau » du menu « Système ») et aux adresses réseau du pair et du cluster
lorsque la Haute Disponibilité est opérationnelle.

47
Wallix AdminBastion 5.0.4 – Guide d’Administration

L’option --forcenetwork, dont l’usage n’est pas recommandé, peut être utilisée pour forcer
la restauration de la partie de la configuration réseau (définie sur la page «  Réseau  » du
menu «  Système  ») lorsque la restauration s’effectue sur une machine différente ou dans
un mode Haute Disponibilité/standalone différent. Dans ce cas, les fichiers non présents
initialement dans /var/wab/config comme le fichier ha.py ou les fichiers correspondants
à l’adresse MAC de la machine seront restaurés en y accolant le nom de la sauvegarde
sans extension. Par exemple, si l’archive wab-4.2.0.myhost_2015-01-01_00-00-00.wbk
contient le fichier MAC 01_02_03_04_05_06.py mais que l’adresse MAC
01:02:03:04:05:06 n’est pas présente sur la machine, le fichier sera
renommé 01_02_03_04_05_06.py.wab-4.2.0.myhost_2015-01-01_00-00-00. Vous
pouvez supprimer ces fichiers ou utiliser les informations qu’ils contiennent pour mettre à jour les
fichiers correspondants de votre système avant de redémarrer les services.

Les fichiers contenus dans /var/wab/etc ne sont normalement pas écrasés s’ils diffèrent de ceux
présents dans l’archive. Dans ce cas, le fichier de l’archive est renommé comme indiqué ci-dessus
pour l’option forcenetwork. Vous pouvez supprimer ces fichiers ou utiliser les informations qu’ils
contiennent pour mettre à jour les fichiers correspondants de votre système avant de redémarrer les
services. Par exemple, vous pouvez les supprimer automatiquement après restauration du backup
wab-4.2.0.myhost_2015-01-01_00-00-00.wbk en exécutant la commande suivante :

wab2:~# find /var/wab/etc -name '*.wab-4.2.0.myhost_2015-01-01_00-00-00' -exec


rm {} \;

Après avoir restauré la configuration à l'aide du script wallix-config-restore.py, vous devez


redémarrer les services du WAB à l'aide de la commande suivante :

wab2:~# systemctl restart wabsystemconfiguration


systemctl restart wabengine
systemctl restart wabcore
systemctl restart wabgui
systemctl restart wabrestapi

7.13.3. Configuration de la sauvegarde automatique


WAB effectue une sauvegarde automatique configurée dans une tâche Cron. Par défaut, celle-ci
est effectuée tous les jours à 18:50 dans le fuseau horaire de WAB, défini sur la page « Service de
temps » du menu « Système ». Pour plus d'informations, voir Section 7.7, « Service de temps ».

Les fichiers sont stockés dans le répertoire /var/wab/backups.

Vous pouvez changer l’heure et la fréquence de sauvegarde dans le fichier /etc/cron.d/


wabcore en modifiant la ligne qui lance la commande WABExecuteBackup.

Les champs sont ceux d’une crontab, à savoir MINUTE, HEURE, JOUR_DU_MOIS, MOIS et
JOUR_DE_LA_SEMAINE.

Les valeurs autorisées pour chaque champ sont les suivantes :

• MINUTE : de 0 à 59
• HEURE : de 0 à 23
• JOUR_DU_MOIS : de 1 à 31
• MOIS : de 1 à 12
• JOUR_DE_LA_SEMAINE : de 0 à 7 (0 ou 7 pour le dimanche)

48
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chaque champ peut aussi prendre pour valeur un astérisque « * » qui correspond à toutes les
valeurs possibles. Les listes sont également permises en séparant les valeurs par des virgules et
les intervalles en séparant les bornes par un trait d’union, par exemple « 1,2,5-9,12-15,21 ».

Vous pouvez également modifier le chemin et la valeur de la clé utilisée en éditant le fichier /opt/
wab/bin/WABExecuteBackup et en modifiant les valeur DIR et KEY au début du fichier.

7.14. Haute Disponibilité
7.14.1. Limitations d’exploitation
Le cluster Haute Disponibilité de type actif/passif de WAB 5.0 ne possède pas de fonctionnalité de
répartition de charge (ou « load balancing »).

Les nœuds « Master » et « Slave » doivent appartenir au même sous-réseau IP et doivent être
tous deux configurés en IP statique.

La configuration système (et notamment les fichiers/etc/hosts et /etc/network/


interfaces) doit être effectuée via l’interface Web ou le script WABHASetup pour éviter toute
désynchronisation avec les fichiers de configuration du système de fichiers répliqué.

Les deux nœuds du cluster doivent être exactement au même niveau de version et de patch.

7.14.2. Configuration du cluster
1. Vérifier que les deux appareils sont reliées directement entre elles par un câble croisé branché
sur le port RJ45 numéroté « 2 ».
2. Démarrer les deux machines du cluster en commençant indifféremment par l’une ou par l’autre.
Les appareils livrés sont pré-installés mais la fonctionnalité cluster n’est pas configurée.
3. Se connecter en super-utilisateur avec la commande « super » puis la commande « sudo -i ».
4. Vérifier que les horloges des deux nœuds du cluster sont bien synchronisées via la commande
Linux « date » ou par synchronisation sur un serveur NTP comme expliqué dans la section 5.2.4,
« Configuration du service de temps » du Guide de Démarrage Rapide.
5. Vérifier qu’un serveur SMTP est configuré et fonctionnel en effectuant le test d’envoi de
notification comme expliqué dans la section 5.2.5, « Configuration du serveur SMTP » du Guide
de Démarrage Rapide.
6. Vérifier que les deux machines sont configurées en IP statique, que leurs interfaces « eth1 »
sont actives et qu’elles ont des noms de machines différents. Sinon, utiliser l’interface Web pour
effectuer les réglages nécessaires.

Noter l’adresse IP de l’interface « eth1 » du nœud « Slave » qui est celle qu’il faudra utiliser
pour répondre à la question « Slave IP: » lors de l’exécution de la commande « WABHASetup »
décrite à l’étape 8.
7. Se connecter directement sur la console de la machine définie comme «  Master  » par
l’intermédiaire du compte « wabadmin ».
8. Exécuter la commande « sudo -i WABHASetup » et suivre les instructions :

$ sudo -i WABHASetup
Slave IP:
HA Virtual IP:

49
Wallix AdminBastion 5.0.4 – Guide d’Administration

HA Virtual netmask:
HA Notification mail address:
...
9. Le cluster WAB est maintenant configuré et activé.

7.14.3. Démarrage du cluster
Le cluster est maintenant accessible sur l’adresse IP virtuelle. Seule cette adresse doit être
communiquée à vos utilisateurs.

Le mail suivant est envoyé à l’adresse indiquée à l’issue de la configuration de la Haute Disponibilité
de WAB.

Sujet: [WAB] - The WAB HA have been configured


This notification sums up your HA configuration. Initial MASTER node: ... Initial SLAVE node: ...
HA Virtual ip: ...

7.14.4. Arrêt/Redémarrage du cluster
Pour contrôler le fonctionnement du cluster, l’administrateur peut utiliser les commandes de
maintenance ci-dessous.

Il est A noter que les commandes « start » et « stop » ne s’appliqueront qu’au nœud local.

# sudo systemctl stop wabha


# sudo systemctl start wabha

Avertissement :
Pour éviter une bascule involontaire, il recommandé d’arrêter le nœud « Slave » avant
le « Master », et de démarrer le nœud « Slave » après le « Master ».

Pour vérifier l’état actuel d’un nœud, l’administrateur peut utiliser la commande suivante :

# sudo /opt/wab/sbin/WABHAStatus

7.14.5. Reprise sur une erreur fatale (WAB HA is locked


down)
Lorsque la Haute Disponibilité de WAB détecte un dysfonctionnement et qu’elle n’arrive pas
à le résoudre automatiquement (en redémarrant le service concerné), alors la procédure de
basculement se bloque.

Après avoir émis une notification concernant la détection d’une erreur fatale, elle crée le fichier de
lock et s’arrête. La présence de ce fichier empêche la Haute Disponibilité de redémarrer et évite
ainsi qu’elle essaye indéfiniment de résoudre le problème.

Après avoir résolu le dysfonctionnement, ce fichier de lock doit être supprimé manuellement avec
la commande suivante :

affected_node# rm /var/wab/etc/ha/fatal_error

50
Wallix AdminBastion 5.0.4 – Guide d’Administration

7.14.6. Coupures réseau et Split-Brain


Si les nœuds sont toujours connectés au réseau mais ne sont plus connectés ensemble (câble
réseau débranché entre deux switch,etc.), le nœud passif va passer en «  Master  » (procédure
standard le «  Master  » n’étant plus actif de son point de vue). Nous sommes donc dans une
configuration avec deux nœuds « Master » et les données du volume partagé vont commencer
à diverger.
Lors de la restauration de la connectivité, la couche DRBD du volume partagé va détecter la
divergence (également appelée « Split-Brain ») et le cluster ne fonctionnera plus. En effet, les deux
machines ayant continué de fonctionner indépendamment, leurs données sont incompatibles et
une intervention manuelle est requise.
Comme précisé dans la notification, c’est à l’administrateur de résoudre la divergence en
sélectionnant le nœud le plus à jour. La notification contient la liste des derniers fichiers modifiés
sur les deux WAB.
Trois possibilités peuvent se présenter :

1. L’interruption a été courte et les nœuds n’ont pas été utilisés (pas de sessions créées, pas de
comptes ajoutés, etc.), alors l’administrateur peut choisir n’importe quel nœud comme étant le
« Master » de référence.
2. L’interruption fut courte et/ou un seul des nœuds n’a été vraiment utilisé (symbolisé par la
présence de fichiers de sessions et de dates de modifications plus récentes sur un seul des
nœuds). L’administrateur doit alors choisir ce nœud comme nouveau « Master » de référence.
3. L’interruption a été complexe et les deux nœuds ont été utilisés en parallèle (cas improbable,
lié à un grave dysfonctionnement réseau). L’administrateur doit alors choisir un nœud comme
nouveau « Master » de référence (celui avec le plus de modifications à son actif) et sauvegarder
les données de l’autre nœud. Enfin, il restera à les importer manuellement dans le nouveau
« Master ».

Une fois le « Master » de référence choisi, la procédure suivante doit être appliquée pour restaurer
le cluster :
outdated_node# drbdadm secondary wab
ref_master# drbdadm primary wab
outdated_node# drbdadm invalidate wab
ref_master# (drbdadm cstate wab | grep -q StandAlone) && drbdadm connect wab
outdated_node# (drbdadm cstate wab | grep -q StandAlone) && drbdadm connect wab
ref_master# systemctl start wabha
outdated_node# systemctl start wabha

7.14.7. Reconfiguration réseau du cluster


Avertissement :
Toutes les opérations de maintenance du cluster doivent être réalisées sur le nœud
« Master ».

Lorsque les WAB sont configurés en mode Haute Disponibilité, les changements réseaux comme
les adresses IP ne peuvent plus se faire via l’interface Web. Les deux machines ayant leurs disques
synchronisés par le réseau, il est nécessaire de se connecter sur le nœud « Master » en SSH et
procéder comme suit :
# sudo -i WABHASetup --reconfigure_hosts

51
Wallix AdminBastion 5.0.4 – Guide d’Administration

...

7.14.8. Remplacement d’une machine défectueuse


Avertissement :
Toutes les opérations de maintenance sur le cluster doivent être réalisées sur le nœud
« Master ».

Dans le cas du remplacement d’un nœud, il faut tout d’abord déconnecter le matériel défectueux et
démarrer une instance WAB de remplacement. Il convient ensuite de le configurer avec la même
IP statique que le nœud manquant, puis entrer la commande suivante sur le nœud fonctionnel :

# sudo -i WABHASetup --configure_new_slave


...

7.14.9. Récupération d’un volume défectueux


Avertissement :
Toutes les opérations de maintenance sur le cluster doivent être réalisées sur le nœud
« Master ».

Dans le cas d’erreur d’intégrité du système de fichier, détectable via les messages du noyau (ie :
« File system is now read-only due to the potential of on-disk corruption.
Please run fsck.ext4 once the file system is unmounted. »), suivre la procédure
ci-dessous :

1. Éteindre la Haute Disponibilité sur les deux nœuds en commençant par le « Slave » en tapant la
commande « sudo -i WABHAInitd --force stop ».
2. Vérifier que le système de fichier partagé est bien démonté sur les deux nœuds en tapant la
commande « sudo -i umount /var/wab ».
3. Désactiver DRBD sur le nœud « Slave » en tapant la commande « sudo -i drbdadm secondary
wab ».
4. Activer DRBD sur le nœud « Master » en tapant la commande « sudo -i drbdadm primary wab ».
5. Sur le nœud « Master », exécuter la commande « sudo -i fsck.ext4 -y -f /dev/drbd1 ».

slave_node# WABHAInitd --force stop


master_node# WABHAInitd --force stop

7.14.10. Tests de bon fonctionnement de la Haute


Disponibilité
Afin de vérifier les différentes reprises sur erreurs gérées par la fonctionnalité Haute Disponibilité
de WAB, il est conseillé de réaliser les tests qui suivent avant de mettre la solution en production.
Dans les sections suivantes, nous nommerons «  WabA  » le nœud actuellement «  Master  », et
« WabB » le nœud « Slave ».

7.14.10.1. Basculement du « Master » vers le « Slave » (logiciel)


Action : éteindre la Haute Disponibilité sur le « Master »

52
Wallix AdminBastion 5.0.4 – Guide d’Administration

WabA# systemctl stop wabha

Conséquence : le « Slave » va détecter le dysfonctionnement

Notification  : [WAB] - WAB HA «  Master  » WabA error detected by the WabB!


(HA_MASTER_FAULT) Reason: Service unreachable on master node!

Résultat : le « Slave » prend la main.

Notification : the [WAB] - WAB HA « Master » WabB is online

Résolution complète : Relancez la Haute Disponibilité sur le « Master » et il deviendra le nouveau


« Slave ».WabA# systemctl start wabha

WabA# /etc/init.d/wabha start

Notification : The [WAB] - WAB HA « Slave » WabA is online

7.14.10.2. Basculement du « Master » vers le « Slave » (matérielle)


Action : éteindre physiquement le « Master » (retrait du câble d’alimentation)

Conséquence : le « Slave » va détecter le dysfonctionnement

Notification : [WAB] - WAB HA master WabA error detected by the WabB! (HA_MASTER_FAULT)
Reason: Host does not respond to ping...

Résultat : le « Slave » prend la main

Notification : The [WAB] - WAB HA master WabB is online

Résolution complète : rallumez le « Master » et il deviendra le nouveau « Slave »

Notification : The [WAB] - WAB HA slave WabA is online

7.14.10.3. Détection d’un dysfonctionnement sur le « Master »


Action : injection d’un dysfonctionnement sur le « Master » (service ssh désactivé)

WabA# mv /etc/ssh/sshd_config /etc/ssh/sshd_config.tmp


WabA# systemctl stop ssh

Conséquence : les deux nodes vont détecter le dysfonctionnement (ssh non accessible)

Notifications : [WAB] - WAB HA master WabA error detected by WabA Reason: Service ssh isn't
responding and we couldn't restart it!

Notifications : [WAB] - WAB HA master WabA error detected by WabB Reason: Host respond to
ping but ssh service is down, will try to switch to master...

Résultat : le « Slave » va prendre la main et le « Master » va se downgrader « Slave »

Notification : The [WAB] - WAB HA master WabB is online

Notification : The [WAB] - WAB HA slave WabA is online

Résolution complète  : réparer le dysfonctionnement afin que WabA soit à nouveau capable de
devenir « Master »

WabA# mv /etc/ssh/sshd_config.tmp /etc/ssh/sshd_config

53
Wallix AdminBastion 5.0.4 – Guide d’Administration

WabA# systemctl start ssh

7.14.10.4. Détection d’un dysfonctionnement sur le « Slave »


Action : éteindre physiquement le « Slave » (retrait du câble d’alimentation)

Conséquence : le « Master » va détecter le dysfonctionnement

Notification : [WAB] - The WAB HA slave WabB isn't connected to master WabA anymore! Master
data replication isn't working.

Résultat : la réplication des données est interrompue mais le volume est encore fonctionnel (en
mode dégradé)

Résolution complète : rallumez le « Slave »

Notification : [WAB] - The WAB HA slave WabB is online

Note : Si le volume de données écrit sur le « Master » dégradé est négligeable, (ex : pas de nouvelle
session) la synchronisation est instantanée. Dans le cas contraire, une notification est envoyée.

Notification : [WAB] - The WAB HA cluster synchronization completed! Both nodes data are now
fully synchronized.

7.14.10.5. Perte de la connectivité entre les deux nodes


Action : déconnecter un des nœuds du réseau ou faire en sorte que les deux WABs ne puissent
plus communiquer entre eux, ex : avec iptables

WabA# iptables -A INPUT -s IpWabB -j DROP; iptables -A OUTPUT -d IpWabB -j DROP


WabB# iptables -A INPUT -s IpWabA -j DROP; iptables -A OUTPUT -d IpWabA -j DROP

Conséquence  : les deux nodes vont détecter le dysfonctionnement. Le master va continuer de


fonctionner en mode dégradé.

Notification : [WAB] - The WAB HA slave WabB isn't connected to master WabA anymore! Master
data replication isn't working.

Notification : [WAB] - The WAB HA master WabA error detected by sparewab2.ifr.lan Reason: Host
does not respond to ping...

Conséquence : le « Slave » va supposer que le master est éteint et il va donc basculer en « Master »
et fonctionner en mode dégradé à son tour.

Notification : [WAB] - The WAB HA master WabB is online

Notification : [WAB] - The WAB HA slave WabA isn't connected to master WabB anymore! Master
data replication isn't working.

Résultat : le volume partagé va diverger entre les deux nodes. Le cas le plus probable est qu’un
des nœud ne soit plus sur le réseau, dans ce cas la résolution est triviale : Reconnecter les deux
wab ou si vous avez utilisé iptables :

WabA# iptables -F
WabB# iptables -F

Notification: [WAB] - The WAB HA disks diverged (split brain detected) The WAB HA drbd shared
volume is now disconnected. Both peers had lost connection to each other and both switched to
master... Now data couldn't be synced cleanly, you'll have to manually discard one node changes.

54
Wallix AdminBastion 5.0.4 – Guide d’Administration

Une fois le nœud identifié, suivre les instructions mentionnées dans l'e-mail :

failing_node# drbdadm secondary wab


recent_node# drbdadm primary wab
failing_node# drbdadm invalidate wab
failing_node# drbdadm connect wab
recent_node# systemctl start wabha
failing_node# systemctl start wabha

Pour une résolution complète, suivre les instructions mentionnées dans l'e-mail :

WabB# drbdadm secondary wab


WabA# drbdadm primary wab
WabB# drbdadm invalidate wab
WabB# drbdadm connect wab
WabA# systemctl start wabha
WabB# systemctl start wabha

Notification: [WAB] - The WAB HA master WabA is online

Notification: [WAB] - The WAB HA slave WabB is online

55
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 8. Utilisateurs
Le menu « Utilisateurs » vous permet de créer et gérer les utilisateurs/administrateurs WAB.

Il permet aussi de configurer les groupes utilisateurs sur lesquels les autorisations seront portées.
Pour plus d'informations, voir Chapitre 12, Gestion des autorisations ).

Note :
Les identifiants des comptes utilisateur ne sont pas sensibles à la casse mais celle-ci est
préservée lors de la création du compte.

8.1. Comptes utilisateurs
Sur la page « Comptes », vous pouvez :

• lister les comptes utilisateurs selon un filtre d'affichage sur les comptes locaux ou les comptes
de domaine liés à des domaines LDAP ou ActiveDirectory,
• ajouter/modifier/supprimer un compte utilisateur,
• identifier les utilisateurs pour lesquels le droit de récupération des accréditations est activé au
niveau de leur profil : une icône en forme de clé est alors affichée dans la colonne « Profil » sur
la ligne concernée. Ces utilisateurs reçoivent un e-mail contenant les accréditations des cibles
en cas de changement du mot de passe.

Pour plus d'informations sur les profils utilisateurs, voir Section 8.3, « Profils utilisateurs ».
• accéder au détail du compte pour visualiser les droits de l’utilisateur sur l'interface Web mais
aussi ses autorisations sur les équipements, les applications et les comptes cibles,
• débloquer un compte utilisateur verrouillé en cliquant sur l'icône en forme de cadenas,
• importer des utilisateurs à partir d'un fichier .csv afin d'alimenter la base de données WAB avec
des comptes utilisateurs.

Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).

Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.

56
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 8.1. Page « Comptes »

8.1.1. Ajouter un utilisateur
Sur la page « Comptes », cliquez sur « Ajouter un utilisateur » pour afficher la page de création
du compte utilisateur.
Cette page recense les champs suivants :

• un identifiant, celui-ci sera utilisé par l’utilisateur pour s’authentifier sur l’interface Web ainsi que
sur les proxys. L'identifiant n'est pas modifiable une fois sauvegardé.
• un nom usuel, un nom permettant d’identifier à qui appartient l’identifiant,
• une adresse électronique, pouvant être modifiée ultérieurement par l'utilisateur
• un champ permettant de charger une clé publique GPG : l'utilisateur recevra le nouveau mot de
passe dans un e-mail crypté. Cette clé pourra être modifiée ultérieurement par l'utilisateur.
• une langue préférée, permettant de sélectionner dans quelle langue seront affichés les messages
remontés par les proxys à l’utilisateur. Ce choix pourra être modifié ultérieurement par l'utilisateur.
• un profil, permettant de définir les droits et les limitations de l’utilisateur (voir Section 8.3, « Profils
utilisateurs »),
• un champ contenant un calendrier (affiché par un clic-droit) afin de sélectionner, si nécessaire,
la date d'expiration du compte
• une liste de groupes, qui permet de choisir dans quel(s) groupe(s) l'utilisateur doit être placé. Il
est aussi possible d’ajouter un utilisateur dans un groupe dans la page d’ajout/édition d’un groupe
(voir Section 8.2, « Groupes utilisateurs »),
• une procédure d’authentification propre à chaque utilisateur (voir Section 8.7, « Configuration des
authentifications externes »). Il est possible d’en sélectionner plusieurs pour indiquer les serveurs
de secours des authentifications externes (LDAP, RADIUS, etc.),
• lorsque la méthode d'authentification choisie est « local » :
– un champ permettant de saisir et confirmer un mot de passe, il peut exister des contraintes sur
les mots de passes acceptés (voir Section 8.5, « Configuration de la politique de mot de passe
local »). Ce mot de passe pourra être modifié ultérieurement par l'utilisateur.

57
Wallix AdminBastion 5.0.4 – Guide d’Administration

– un champ permettant de forcer la modification du mot de passe, l’utilisateur reçoit alors un


message l’informant de la création de son compte et de la nécessité de modifier son mot de
passe lors de sa première connexion (voir aussi Section 7.12, « Serveur SMTP »),
– un champ permettant d'importer ou de saisir manuellement une clé publique SSH. Cette clé
pourra être modifiée ultérieurement par l'utilisateur.

Avertissement :
Cette clé doit être au format OpenSSH. Sinon, un message d'’erreur s’affiche.

Si vous utilisez PuTTYgen pour générer la clé, vous devez enregistrer dans un fichier
texte la clé publique affichée au format Open SSH lors de la génération. A titre
d'exemple, cette clé est libellée comme suit :

« ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEA0yR9lBQov6[.....]c3xu9p/xNjw==
rsa-key-20151204 »

Vous pouvez alors charger cette clé dans la zone « Clé publique SSH » sur cette page.

Si une clé existe déjà, vous pouvez charger une clé privée en utilisant PuTTYgen pour
générer la clé publique correspondante au bon format.

• une adresse IP/subnet source ou une plage d’adresses, permettant de limiter l’accès aux proxys
et à l’interface Web à cette adresse ou plage d'adresses IP.

Figure 8.2. Page « Comptes » en mode création

58
Wallix AdminBastion 5.0.4 – Guide d’Administration

8.1.2.  Modifier un utilisateur


Sur la page « Comptes », cliquez sur un identifiant d'utilisateur puis sur « Modifier cet utilisateur »
pour afficher la page de modification du compte.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de l'utilisateur,
excepté l’identifiant affiché dans le champ « Nom d'utilisateur » qui n’est pas modifiable.

Note :
Si le champ « Mot de passe » n’est pas modifié, le mot de passe de l’utilisateur n’est
pas modifié.

8.1.3. Supprimer un utilisateur
Sur la page « Comptes », sélectionnez un ou plusieurs comptes à l’aide de la case à cocher au
début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une
fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.

8.1.4. Visualiser les droits d'un utilisateur sur l'interface


Web
Sur la page « Comptes », cliquez sur un compte pour afficher les données de l'utilisateur et étendre
la zone « Droits sur la GUI » pour visualiser les données correspondantes pour cet utilisateur.

8.1.5. Visualiser les équipements, applications et comptes


cibles accessibles par un utilisateur
Sur la page « Comptes », cliquez sur un compte pour afficher les données de l'utilisateur et étendre
les zones suivantes pour visualiser les autorisations correspondantes :

• « Autorisations sur les équipements » : cette zone affiche la liste des équipements accessibles
par cet utilisateur,
Cliquez sur l'icône au début de la ligne afin de télécharger un fichier de configuration pour établir
une connexion.
• « Autorisations sur les applications » : cette zone affiche la liste des applications accessibles
par cet utilisateur,
Cliquez sur l'icône au début de la ligne afin de télécharger un fichier de configuration pour établir
une connexion.
• « Autorisations sur les comptes » : cette zone affiche la liste des comptes cibles accessibles par
cet utilisateur.

8.1.6. Importer des utilisateurs


Vous pouvez importer des utilisateurs à partir :

• d’un fichier CSV,


• ou d’un annuaire d’entreprise (LDAP, LDAPS ou Active Directory) si vous ne vous voulez que
répliquer un instantané de votre annuaire dans la base de données de WAB. Vous pouvez avoir

59
Wallix AdminBastion 5.0.4 – Guide d’Administration

recours à la fonctionnalité d’intégration à un domaine LDAP qui utilise directement l’annuaire (voir
Section 8.8, « Configuration de l'intégration avec un domaine LDAP ou Active Directory »).

8.1.6.1. Importer des utilisateurs depuis un fichier .csv


Vous pouvez alimenter la base utilisateurs de WAB à partir d’un fichier .csv :

• soit depuis la page «  CSV  » du menu «  Import/Export  ». Vous pouvez alors cocher la case
« Utilisateurs » pour importer les données. Les séparateurs de champs et de listes sont également
configurables.
• soit depuis la page «  Comptes  » du menu «  Utilisateurs  ». Vous pouvez cliquer sur l'icône
« Importer depuis un fichier CSV » en haut à droite de la page pour importer les données. Vous
êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case « Utilisateurs » est
déjà cochée pour l'import des données. Les séparateurs de champs et de listes sont également
configurables.

Le fichier doit commencer par une ligne contenant le marqueur :


#wab504 user

Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 :


#wab50 user

Important :
Les données relatives au mot de passe, à la clé SSH ou encore au certificat X509 des
utilisateurs ne sont pas indiquées dans le fichier .csv lors de l'export. Celles-ci doivent
donc être renseignées dans le fichier .csv avant l'import.

Chaque ligne suivante doit être formée comme indiqué ci-dessous :

Champ Type R(equis)/ Valeurs possibles Valeur


O(ptionnel) par défaut
Identifiant Texte R [aA-zZ], [0-9], '-', '_' N/A
Groupe d’utilisateurs Texte O [aA-zZ], [0-9], '-', '_' N/A

Plusieurs groupes peuvent


exister pour le même
utilisateur.

Si le groupe d'utilisateurs
n'existe pas, il est créé avec
la plage horaire par défaut
« allthetime ».
Nom réel Texte O Texte libre N/A
IP source IP/FQDN O [aA-zZ], [0-9], '-', '_' N/A

Peut être soit une adresse,


soit un domaine ou encore
une plage d'IP (ex. :
« 10.10.10.11-10.10.10.42 »).
Profil Texte R Profils définis N/A
Date expiration Date et heure O AAAA-MM-JJ et HH:MM N/A

60
Wallix AdminBastion 5.0.4 – Guide d’Administration

Champ Type R(equis)/ Valeurs possibles Valeur


O(ptionnel) par défaut
Date et heure auxquelles le
compte expirera.
Authentification Texte R Authentifications définies N/A

Plusieurs authentifications
peuvent exister pour le même
utilisateur.
Clé publique SSH Texte O/R [aA-zZ], [0-9], '-', '_' N/A

Lorsque
l'authentification
est « local »,
au moins l'un
des champs
suivants est
requis : Mot
de passe,
clé publique
SSH ou
X509.

Cette
donnée n'est
pas indiquée
dans le
fichier .csv
lors de
l'export des
utilisateurs.
Elle doit
donc être
renseignée
dans le
fichier .csv
avant
l'import.
Mot de passe Texte R/O Texte libre N/A

Lorsque Doit être conforme à


l'authentification
la politique de mot de
est « local », passe actuelle (nombre de
au moins l'un caractères spéciaux, etc.).
des champs
suivants est
requis : Mot
de passe,
clé publique
SSH ou
X509.

61
Wallix AdminBastion 5.0.4 – Guide d’Administration

Champ Type R(equis)/ Valeurs possibles Valeur


O(ptionnel) par défaut
Cette
donnée n'est
pas indiquée
dans le
fichier .csv
lors de
l'export des
utilisateurs.
Elle doit
donc être
renseignée
dans le
fichier .csv
avant
l'import.
Adresse e-mail Texte R Adresse e-mail N/A
Forcer le Booléen R Vrai ou Faux Faux
changement de mot
de passe
Compteur d’échecs Entier O Entier positif, verrouillera 0
d’authentification l’utilisateur si supérieur
ou égal à la valeur
du nombre maximum
d’échecs d’authentification
par utilisateur spécifiée dans
la politique de mots de passe.
Date de dernière Texte O Ignoré N/A
connexion
Langue préférée Texte O « de » pour Allemand « en »

« en » pour Anglais

« fr » pour Français


« ru » pour Russe
DN X509 Texte O/R Une empreinte de N/A
certificat comme indiqué
Lorsque dans la section  8.6.3.1,
l'authentification
«  Authentification des
est « local », utilisateurs »
au moins l'un
des champs
suivants est
requis : Mot
de passe,
clé publique
SSH ou
X509.

62
Wallix AdminBastion 5.0.4 – Guide d’Administration

Champ Type R(equis)/ Valeurs possibles Valeur


O(ptionnel) par défaut
Cette
donnée n'est
pas indiquée
dans le
fichier .csv
lors de
l'export des
utilisateurs.
Elle doit
donc être
renseignée
dans le
fichier .csv
avant
l'import.

Exemple de syntaxe d'import :

#wab504 user
martin;linuxadmins;Pierre Martin;;user;;local;;jMpdu9/
x2z;martin@wallix.com;False

Après l’importation du fichier .csv, un résumé de l’opération s’affiche.

Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.

Figure 8.3. Page « CSV » - case « Utilisateurs » cochée

63
Wallix AdminBastion 5.0.4 – Guide d’Administration

8.1.6.2. Importer des utilisateurs depuis un annuaire LDAP/LDAPS/AD


Depuis la page « Utilisateurs depuis LDAP » du menu « Import/Export », vous pouvez importer les
données utilisateurs stockées dans un annuaire distant pour alimenter la base ACL interne de WAB.

Vous pouvez avoir recours à la fonctionnalité d’intégration à un domaine LDAP qui utilise
directement l’annuaire et reste donc synchronisée avec les changements effectués dans celui-ci
(voir Section 8.8, « Configuration de l'intégration avec un domaine LDAP ou Active Directory »).

Pour chaque annuaire, il est nécessaire de connaître :

• le type de serveur, son adresse et le port de connexion


• le DN de base de l’unité d’organisation
• l’attribut identifiant, qui est le nom de l’attribut de l’utilisateur LDAP qui sera utilisée comme
identifiant WAB
• un utilisateur et son mot de passe si l’accès anonyme à l’annuaire en lecture est interdit
(obligatoire pour un AD).

Note :
L’identifiant et le mot de passe de connexion utilisés doivent avoir les droits en lecture
sur le chemin où sont stockées les données utilisateurs.

Si l’importation réussit, une page contenant la liste des utilisateurs extraite de l’annuaire s'affiche.

Chaque utilisateur peut alors être importé et se voir attribuer :

• un groupe d’utilisateurs,
• une authentification,
• un profil utilisateur.

Note :
Si vous souhaitez que les utilisateurs importés s’authentifient sur l’annuaire utilisé pour
l’importation, il est nécessaire de créer auparavant la méthode d’authentification (voir
aussi Section 8.7.1, « Ajouter une authentification externe »).

Figure 8.4. Page « Utilisateurs depuis LDAP »

64
Wallix AdminBastion 5.0.4 – Guide d’Administration

8.2. Groupes utilisateurs
Sur la page « Groupes », vous pouvez :

• lister les groupes utilisateurs enregistrés,


• ajouter/modifier/supprimer un ou plusieurs groupes,
• voir qui sont les membres de chacun des groupes,
• importer des groupes utilisateurs à partir d'un fichier .csv afin d'alimenter la base utilisateurs de
WAB.

Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.

Figure 8.5. Page « Groupes »

8.2.1. Ajouter un groupe utilisateurs


Sur la page « Groupes », cliquez sur « Ajouter un groupe » pour afficher la page de création du
groupe utilisateur.
Cette page recense les champs suivants :

• le nom du groupe,
• une description,
• la(les) plage(s) horaire(s) à appliquer,

Note :
Si plusieurs plages horaires sont sélectionnées, la plage horaire appliquée associe
toutes ces plages horaires.

• une liste de sélection des utilisateurs du groupe,


• une liste d’actions à appliquer lors de la détection de certaines chaînes de caractères sur le
flux montant des proxys (voir Section 9.5.9, « Analyse des flux SSH / Détection de motifs (ou
« patterns ») » et Section 9.5.10, « Analyse des flux RDP / Détection de motifs (ou « patterns ») »),

65
Wallix AdminBastion 5.0.4 – Guide d’Administration

Avertissement :
La détection de chaînes de caractères n’est active que pour les données envoyées
par le client vers le serveur et uniquement pour les connexions de type SSH, TELNET
ou RLOGIN.

• dans le cas d’une intégration LDAP/AD telle que décrite dans la section  8.8, «  Configuration
de l'intégration avec un domaine LDAP ou Active Directory  », les champs du cadre
«  Correspondance d'authentification LDAP  » permettent de définir le profil à utiliser pour les
membres du groupe et pour chaque lien avec un annuaire, le DN du groupe de l’annuaire.

Avertissement :
Si aucun domaine LDAP/AD n'est configuré au sein de WAB, alors le cadre
« Correspondance d'authentification LDAP » n'est pas affiché sur cette page.

Figure 8.6. Page « Groupes » en mode création

8.2.2. Modifier un groupe utilisateurs


Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour afficher
la page de modification du groupe.

66
Wallix AdminBastion 5.0.4 – Guide d’Administration

Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du groupe,
excepté le champ « Nom du groupe » qui n’est pas modifiable.

8.2.3. Supprimer un groupe utilisateurs


Sur la page « Groupes », sélectionnez un ou plusieurs groupes à l’aide de la case à cocher au
début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une
fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.

Avertissement :
Vous ne pouvez pas supprimer un groupe lorsque des utilisateurs sont rattachés à ce
groupe.
Vous ne pouvez pas supprimer un groupe lié à des autorisations actives (voir Chapitre 12,
Gestion des autorisations ).

8.2.4. Visualiser les membres d’un groupe utilisateurs


Sur la page « Groupes », cliquez sur un nom de groupe pour afficher les informations sur ce groupe :
le champ « Utilisateurs  » contient la liste des utilisateurs de ce groupe.

Figure 8.7. Page « Groupes » - Affichage des information sur le groupe

8.2.5. Importer des groupes utilisateurs


Sur la page « Groupes », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite
de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu
« Import/Export » : la case « Groupes utilisateurs » est déjà cochée pour l'import des données. Les
séparateurs de champs et de listes sont également configurables.
Le fichier doit commencer par une ligne contenant le marqueur :
#wab504 usergroup

Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 :


#wab50 usergroup

Chaque ligne suivante doit être formée comme indiqué ci-dessous :

Champ Type R(equis)/ Valeurs possibles Valeur par défaut


O(ptionnel)
Nom Texte R [aA-zZ], [0-9], '-', '_' N/A

67
Wallix AdminBastion 5.0.4 – Guide d’Administration

Champ Type R(equis)/ Valeurs possibles Valeur par défaut


O(ptionnel)
Description Texte O Texte libre N/A
Profil Texte O Profils définis N/A
Plage horaire Texte R Plages horaires N/A
définies
Plusieurs plages
horaires peuvent
exister pour le même
groupe utilisateurs.
Utilisateurs Texte O Utilisateurs définis N/A

Il peut n'y avoir aucun


utilisateur ou un ou
plusieurs utilisateurs
définis.

Après l’importation du fichier .csv, un résumé de l’opération s’affiche.

Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.

8.3. Profils utilisateurs
Sur la page « Profils », vous pouvez :

• lister les profils utilisateurs,


• ajouter/modifier/supprimer un ou plusieurs profils utilisateurs,
• définir les droits et les limitations d'administration sur WAB pour un profil.

Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).

Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.

8.3.1. Profils par défaut


Plusieurs profils utilisateurs sont configurés par défaut dans WAB. Ces profils prédéfinis affichés
sur la page « Profils » sont les suivants :

• « user » (« utilisateur ») : ce profil n'a aucun droit d’administration mais peut accéder aux comptes
cibles,
• « auditor » (« auditeur ») : ce profil peut consulter les données d’audit de WAB (voir Section 11.3,
« Données d'audit ») mais ne peut pas accéder aux comptes cibles,
• «  WAB_administrator  » («  administrateur_WAB  ») : ce profil possède tous les droits
d’administration et peut se connecter aux comptes cibles,
• «  system_administrator  » («  administrateur_système  ») : ce profil peut accéder au menu
« Système » mais ne dispose pas d'un accès aux comptes cibles,

68
Wallix AdminBastion 5.0.4 – Guide d’Administration

• « approver » (« approbateur ») : ce profil peut accepter/rejeter des demandes d'approbations


pour accéder aux comptes cibles,
• « disabled » (« désactivé ») : ce profil ne dispose d’aucun droit.

Note :
La configuration d'usine pour l'utilisateur « admin » est le profil « WAB_administrator ».

8.3.2. Ajouter un profil utilisateur


Sur la page « Profils », cliquez sur « Ajouter un profil » pour afficher la page de création du profil
utilisateur.

Cette page recense les éléments suivants :

• un champ pour la saisie du nom du profil,

• une zone permettant de définir les droits du profil,


• une zone permettant de renseigner des limitations pour le profil.

La zone « Droits » permet de sélectionner des actions visant à définir les autorisations du profil
pour les fonctionnalités principales de l'interface Web, affichées depuis le menu de WAB :

• « Aucun » : pas de droit ouvert : le menu lié à la fonctionnalité n’apparaîtra pas lors de la connexion
de l’utilisateur,
• « Afficher » : l'utilisateur peut consulter les éléments créés mais ne peut pas les modifier,
• « Modifier » : l'utilisateur peut consulter et modifier des éléments,
• « Exécuter » (uniquement pour la sauvegarde et la restauration) : l'utilisateur peut lancer une
sauvegarde ou une restauration du système (voir Section 7.13, « Sauvegarde et restauration »).

Une autre option est disponible pour activer/désactiver l'accès aux comptes cibles.

Sur la partie «  Autres fonctionnalités  », vous pouvez définir des limitations pour les fonctions
de connectivité au proxy et des limitations sur l'usage de certains droits d’administration sur des
groupes de comptes cibles et des groupes utilisateurs.

La limitation des droits sur les groupes permet d’ajouter des utilisateurs ou des comptes cibles
uniquement dans les groupes sur lesquels le profil est habilité à intervenir.

La limitation sur les groupes permet d’ajouter des utilisateurs ou des comptes cibles uniquement
dans les groupes sur lesquels le profil est habilité à intervenir.

69
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 8.8. Page « Profils » en mode création

8.3.3. Modifier un profil utilisateur


Sur la page « Profils », cliquez sur un nom de profil pour afficher la page de modification du profil.

Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du profil,
excepté le champ « Nom du profil » qui n’est pas modifiable.

Avertissement :
Un profil prédéfini ne peut être ni supprimé ni modifié.

8.3.4. Supprimer un profil utilisateur


Sur la page « Profils », sélectionnez un ou plusieurs profils à l’aide de la case à cocher au début
de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre
demandant une confirmation avant la suppression définitive des lignes sélectionnées.

Avertissement :
Un profil prédéfini ne peut être ni supprimé ni modifié.

Vous ne pouvez pas supprimer un profil utilisateur lorsqu'au moins un utilisateur est
rattaché à ce profil.

8.4. Configuration des notifications


WAB vous permet de définir des notifications. Ces notifications sont déclenchées et envoyées à
l'utilisateur lors de la détection d’événements tels que :

70
Wallix AdminBastion 5.0.4 – Guide d’Administration

• une erreur lors de l'authentification primaire, c'est-à-dire un échec de l'authentification d'un


utilisateur sur WAB,
• une erreur lors d'une connexion secondaire, c'est-à-dire un échec de la connexion à une cible,
• une connexion ou une emprunt de mot de passe sur une cible critique,
• une nouvelle empreinte de clé SSH enregistrée,
• une mauvaise empreinte de clé SSH détectée ,
• une erreur RAID,
• la détection d’une occurrence lors de l’analyse du flux montant SSH ou RDP,
• un avertissement de licence,
• une alerte sur l’expiration des mots de passe,
• une alerte sur l’espace disque disponible.

Sur la page « Notifications » du menu « Configuration », vous pouvez ajouter, modifier ou supprimer


des notifications.

Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).

Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.

8.4.1. Ajouter une notification


Sur la page « Notifications » du menu « Configuration », cliquez sur « Ajouter une notification »
pour afficher la page de création de la notification.

Cette page recense les champs suivants :

• un champ pour la saisie du nom de la notification,


• des cases à cocher pour activer l’envoi de notifications sur les événements précédemment cités,
• l’e-mail du destinataire,
• la langue dans laquelle la notification sera libellée.

71
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 8.9. Page « Notifications » en mode création

Note :
Vous pouvez configurer les paramètres d’envoi des mails sur le page « Serveur SMTP »
du menu « Système » (Section 7.12, « Serveur SMTP »).

8.4.2. Modifier une notification


Sur la page « Notifications », cliquez sur un nom de notification pour afficher la page de modification
de la notification.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la
notification, excepté le champ « Nom de notification » qui n’est pas modifiable.

8.4.3. Supprimer une notification


Sur la page « Notifications », sélectionnez une ou plusieurs notifications à l’aide de la case à cocher
au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une
fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.

8.5. Configuration de la politique de mot de


passe local
La politique de mot de passe permet d’établir des règles relatives au stockage des mots de passe
locaux. Ces règles définissent notamment le niveau de complexité du mot de passe.

72
Wallix AdminBastion 5.0.4 – Guide d’Administration

Par défaut, la taille minimale d’un mot de passe est définie à 6 caractères, les 4 derniers mots de
passe utilisés ne peuvent être réutilisés, et il n’est pas possible d’utiliser un mot de passe similaire
au nom de l’utilisateur.

De plus, une liste de mots de passe interdits, car triviaux est insérée par défaut.

Sur la page « Politique mots de passe locaux » du menu « Configuration », vous pouvez définir la
politique de mot de passe et également configurer la durée de vie des mots de passe. Pour cela,
cliquez sur « Modifier cette politique » pour afficher la page de modification de la politique du mot
de passe local.

Cette page recense les champs suivants :

• la durée de validité du mot de passe, en jours. Passée cette durée, l’utilisateur ne pourra plus se
connecter avec son mot de passe ; un administrateur devra lui définir une nouvelle accréditation.
Il est recommandé que cette valeur soit inférieure à un an.
• l’échéance avant le premier avertissement, en jours, permet à l’utilisateur de savoir que son mot
de passe va bientôt expirer
• la longueur minimale du mot de passe. Cette taille doit être supérieure à la somme des autres
contraintes de nombre de caractères.
• le nombre maximum d'échecs d'authentification autorisés par utilisateur. Il est recommandé de
mettre ce paramètre au moins à 5.
• le nombre minimal de caractères spéciaux dans le mot de passe. Il est recommandé de mettre
ce paramètre au moins à 2.
• le nombre minimal de lettres majuscules dans le mot de passe. Il est recommandé de mettre ce
paramètre au moins à 2.
• le nombre minimal de caractères numériques dans le mot de passe. Il est recommandé de mettre
ce paramètre au moins à 2.
• le nombre de mots de passe précédents non réutilisables. Il est recommandé de mettre ce
paramètre au moins à 5.
• une case à cocher permettant d’autoriser un mot de passe similaire à l’identifiant de l’utilisateur.
Il est recommandé de ne pas le permettre.
• un fichier permettant de définir une liste de mot de passe interdits

Note :
La liste des mots de passe interdits doit être fournie dans un fichier au format UTF-8.

73
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 8.10. Page « Politique mots de passe locaux » en mode modification

8.6. Configuration de l'authentification X509


8.6.1. Pré-requis
Avant de mettre en place l’authentification via X509, il est nécessaire de disposer :

• d’un certificat au format PEM pour le serveur Web de WAB


• de la clé privée au format PEM correspondant à ce certificat du serveur
• de la clé publique de l’autorité de certification ayant délivré ce certificat du serveur. Il peut s’agir
d’un certificat auto-signé ou délivré par une autorité reconnue.

Il faut ensuite ouvrir un shell d’administration depuis WAB à l’aide d’un client SSH avec le compte
« wabadmin » et s’assurer d’avoir accès au port 8082 de WAB.

8.6.2. Paramétrages X509
8.6.2.1. Configuration X509
Une fois authentifié sur un shell, vous devez acquérir les privilèges « root » :

wabsuper$ sudo -i

Exécutez la commande suivante :

# WABX509Setup

Allez sur l’interface Web de WAB, sur le port 8082 (attention, cette dernière est accessible via
HTTPS) :

https://adresse_ip_de_wab:8082/

L’interface de configuration X509 apparaît.

74
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 8.11. Page de configuration
Cliquez sur le bouton « Start ».
Puis, réalisez les étapes suivantes :

• arrêt de l’interface Web de WAB,


• téléchargement du certificat du CA (contenant sa clé publique) au format PEM,
• téléchargement de la clé privée du serveur Web au format PEM,
• téléchargement du certificat du serveur Web (contenant sa clé publique) au format PEM,
• redémarrage de l’interface Web de WAB,
• fin de la configuration et affichage du journal d’Apache. Celui-ci ne doit pas contenir de logs
« error »,
• redémarrage de l’interface Web de WAB redirection sur celle-ci en cliquant sur le bouton
« Close ». Si la page n’apparaît pas immédiatement, veuillez la rafraîchir une fois.

Note :
L’interface Web de WAB est indisponible pendant la durée de ces opérations. Cependant,
il n'y a pas de répercussion sur les proxys.

8.6.2.2. Configuration X509 avec WAB en mode Haute Disponibilité


Connectez-vous via un shell sur votre WAB « Master ».
Une fois authentifié sur un shell, vous devez acquérir les privilèges « root » :
wabsuper$ sudo -i

Exécutez la commande suivante :


# WABX509Setup

Aller sur l’interface Web de WAB, en utilisant l’adresse IP de votre master, sur le port 8082 (attention,
cette dernière est accessible via HTTPS) :
https://adresse_ip_du_master:8082/

L’interface de configuration X509 apparaît.

Figure 8.12. Page de configuration

75
Wallix AdminBastion 5.0.4 – Guide d’Administration

Cliquez sur le bouton « Start ».


Puis, réalisez les étapes suivantes :

• arrêt de l’interface Web de WAB,


• téléchargement du certificat du CA (contenant sa clé publique) au format PEM,
• téléchargement de la clé privée du serveur Web au format PEM,
• téléchargement du certificat du serveur Web (contenant sa clé publique) au format PEM,
• redémarrage de l’interface Web de WAB,
• fin de la configuration et affichage du journal d’Apache. Celui-ci ne doit pas contenir de logs
« error »,
• redémarrage de l’interface Web de WAB redirection sur celle-ci en cliquant sur le bouton
« Close ». Si la page n’apparaît pas immédiatement, veuillez la rafraîchir une fois.

Note :
L’interface Web et les proxys de WAB sont indisponibles pendant la durée de ces
opérations.

8.6.3. Fonctions d’administration X509

Figure 8.13. Écran de connexion WAB avec authentification X509


Une fois l’interface Web relancée, la page d’authentification du WAB affiche un nouveau lien
permettant de s’authentifier via un certificat SSL.
Les utilisateurs et les administrateurs peuvent ainsi s’authentifier à l’aide d’un certificat stocké soit
directement dans le navigateur, soit dans un token.

8.6.3.1. Authentification des utilisateurs


Le champ « Certificat DN » apparaît sur la page « Comptes » lors de l'ajout ou de la modification
d'un utilisateur (voir Section 8.1, « Comptes utilisateurs »). Le nom canonique du certificat doit être
renseigné dans ce champ.
Par exemple, pour un certificat dont l’empreinte est la suivante :
CN=Lucas Martin,O=MyCorp,L=PARIS,ST=IDF,C=FR

76
Wallix AdminBastion 5.0.4 – Guide d’Administration

Pour associer l’utilisateur qui doit être « ajouté/édité » à ce certificat, la valeur à saisir dans le champ
« Certificat DN » doit respecter l'empreinte du certificat :
CN=Lucas Martin,O=MyCorp,L=PARIS,ST=IDF,C=FR
Lorsque ce certificat sera utilisé, l’utilisateur lié sera authentifié sur WAB.

Note :
Les certificats doivent être signés par la même autorité de certification que celui du
serveur Web.
Certains certificats ont un champ « emailAddress » noté, dans l’empreinte du certificat
« E =... ». Ce champ doit être remplacé par « /emailAddress =... » dans le champ réservé.
Les caractères Unicode sont supportés dans les empreintes de certificats si le certificat
est encodé en UTF-8 selon la RFC2253, sinon seuls les caractères ASCII standard sont
supportés.
La longueur maximale du DN supportée est de 1024 octets (le nombre exact de
caractères peut être inférieur selon la longueur de l’encodage UTF-8).

Figure 8.14. Page « Comptes » en mode modification avec le champ « Certificat DN »

77
Wallix AdminBastion 5.0.4 – Guide d’Administration

8.6.3.2. Gestion de la CRL
Sur la page « Paramètres X509 » du menu « Configuration », vous pouvez importer une CRL (liste
de révocation).

Note :
Une fois la CRL téléchargée, il est nécessaire de redémarrer l’interface Web de WAB
avec la commande suivante :

# systemctl restart wabgui

Figure 8.15. Page « Paramètres X509 »

8.6.4. Authentification X509
Un utilisateur peut continuer à s’authentifier sur l’interface Web soit par mot de passe, soit par
certificat.

S’il s’authentifie à l’aide d’un certificat, l’utilisation des proxys se retrouve modifiée et peut être
résumée ainsi :

• l’utilisateur ouvre sa connexion vers un équipement cible (via son client RDP ou SSH),
• le proxy interroge le mode d’authentification de l’utilisateur sur l’interface Web,
• si l’utilisateur a été authentifié en X509, une demande de confirmation d'ouverture de session
s'affiche sur son interface Web,
• si l'utilisateur confirme cette demande, il est automatiquement authentifié sur la cible.

Note :
En cas d'authentification par mappage de compte, l'utilisateur devra entrer son mot de
passe sur la cible.

78
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 8.16. Authentification d’un utilisateur via un certificat SSL

Figure 8.17. Demande de confirmation d’ouverture de session

8.6.5. Retrait du mode X509


Le mode X509 peut être retiré en exécutant la commande suivante :

# WABX509Unset

De nouveaux certificats auto-signés sont alors générés et il n’est plus possible pour les utilisateurs
de s’authentifier via leurs certificats.

79
Wallix AdminBastion 5.0.4 – Guide d’Administration

8.6.6. Implémentation technique pour les certificats X509


Le support des certificats X509 est réalisé via l’extension mod_ssl d’Apache. Les clés de
configuration utilisées sont les suivantes :

SSLEngine on

SSLOptions +StdEnvVars -ExportCertData

SSLProtocol TLSv1.2

SSLHonorCipherOrder On

SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!
EDH

SSLCACertificateFile <certificat de la CA (contenant sa clé publique) au format PEM>

SSLCACertificatePath <chemin de la CA>

SSLCertificateFile <certificat du serveur (contenant sa clé publique) au format PEM>

SSLCertificateKeyFile <clé privée correspondant à la clé publique incluse dans le certificat du


serveur, au format PEM>

SSLCARevocationFile <liste de révocation (concaténation de fichiers CRL individuels au format


PEM, dans l’ordre de préférence)>

SSLVerifyClient optional

SSLVerifyDepth 5

8.7. Configuration des authentifications


externes
Les méthodes d’authentification externes définissables au sein de WAB permettent de configurer
l'authentification d'un utilisateur sur l'application.

Une méthode d'authentification externe est associée à un compte utilisateur lors de la création ou
la modification du compte. Pour plus d'informations, voir Section 8.1.1, « Ajouter un utilisateur ».

WAB supporte les méthodes d’authentifications suivantes :

• LDAP/LDAPS,
• Active Directory,
• Kerberos,
• Radius.

Sur la page « Authentifications externes » du menu « Configuration », vous pouvez ajouter, modifier


ou supprimer des procédures d’authentifications externes.

Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).

Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.

80
Wallix AdminBastion 5.0.4 – Guide d’Administration

Note :
Par défaut, WAB est configuré avec l’authentification « local » permettant aux utilisateurs
de s’authentifier via le moteur de données interne au produit.

8.7.1. Ajouter une authentification externe


Sur la page « Authentifications externes » du menu « Configuration », cliquez sur « Ajouter une
authentification » pour afficher la page de création de l'authentification externe.

Cette page recense les champs suivants :

• un type d’authentification : sélectionner le type souhaité pour afficher les champs requis pour la
définition de l’authentification,
• un nom pour l’authentification,
• une description,
• l'adresse du serveur (IP ou FQDN),
• un port de connexion.

Pour les authentifications LDAP/LDAPS, les champs requis doivent être renseignés comme ci-
dessous :

• «  Base DN  » : le nom unique («  Distinguished Name  ») de l’unité d’organisation doit être
renseigné.
• «  Attribut identifiant  » : l’attribut identifiant doit être renseigné. L’attribut identifiant doit
correspondre au nom de l’attribut LDAP où est stocké l’identifiant de l’utilisateur WAB.
• « Utilisateur » et « Mot de passe » : il est nécessaire de renseigner un nom d’utilisateur et un mot
de passe à utiliser pour rechercher l’identifiant dans l’annuaire si l’accès anonyme est désactivé
sur le serveur LDAP.

Note :
L’utilisateur doit avoir les droits de lecture sur le DN de base utilisé.

Pour les authentifications LDAP-AD/LDAPS-AD, les champs requis doivent être renseignés comme
ci-dessous :

• « Base DN » : dépend du nom de domaine. Par exemple pour le domaine « mycorp.lan », le DN
de base devrait être « dc=mycorp,dc=lan ».
• « Attribut identifiant » : l'identifiant de connexion est « sAMAccountName ».
• « Utilisateur » : l’accès anonyme à un annuaire Active Directory étant impossible, il est nécessaire
de disposer d’un compte administrateur du domaine pour la recherche de l’identifiant de
l’utilisateur WAB dans l’annuaire. La valeur à préciser dans ce champ doit être le DN de cet
administrateur (ex.:  « cn=admin,dc=mycorp,dc=lan »).

Pour les authentifications Kerberos, il est nécessaire de s'assurer dans un premier temps que
l'infrastructure Kerberos, le navigateur et le client proxy SSH sont correctement configurés pour
permettre l'authentification.

Les champs requis doivent être renseignés comme ci-dessous :

81
Wallix AdminBastion 5.0.4 – Guide d’Administration

• « Nom de domaine » : le nom de domaine (REALM) doit être renseigné,


• «  Fichier keytab  » : vous pouvez importer les fichier keytab nécessaires afin d’établir les
connexions. Chaque fichier keytab chargé est fusionné avec les fichiers chargés précédemment..

La présence d’un service de type HTTP dans un keytab active le support de Kerberos
pour s’authentifier sur la GUI  ; il faut pour cela utiliser le préfixe iwab dans l’url (https://
adresse_ip_de_wab/iwab ou https://<nom_de_wab>/iwab).

Les services de type HOST sont utilisés pour l’authentification Kerberos auprès du proxy SSH.
Il est alors possible d’utiliser un ticket « forwardable » pour se connecter à une cible au sein du
même domaine Kerberos en utilisant le mappage de compte (voir Section 9.4.1, « Ajouter un
compte cible »).

Pour qu’un utilisateur authentifié Kerberos (via la GUI ou le proxy SSH) soit reconu par WAB, une
des deux conditions suivantes est nécessaire:

• l’utilisateur est défini localement (sur WAB) et une authentification Kerberos est configurée pour
cet utilisateur ;
• l’utilisateur est un utilisateur LDAP ayant un groupe WAB associé. Dans ce cas, au moins l' une
des configurations suivantes est requise:
– il y a une association locale définie pour le domaine LDAP de l’utilisateur et le nom du domaine
Kerberos est égal au nom du domaine LDAP (non sensible à la casse) ;
– il y a un domaine LDAP par défaut défini sur WAB.

Pour les authentifications RADIUS, il est nécessaire de renseigner la clé de chiffrement des paquets
dans le champ « Secret ».

Figure 8.18. Page « Authentifications externes » en


mode création pour l'authentification KERBEROS

8.7.2. Modifier une authentification externe


Sur la page « Authentifications externes », cliquez sur un nom d'authentification puis sur « Modifier
cette authentification » pour afficher la page de modification de l'authentification.

Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de
l'authentification, excepté le champ « Nom de l'authentification » qui n’est pas modifiable.

82
Wallix AdminBastion 5.0.4 – Guide d’Administration

8.7.3. Supprimer une authentification externe


Sur la page « Authentifications externes », sélectionnez une ou plusieurs authentifications à l’aide
de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection.
WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes
sélectionnées.

Avertissement :
Vous ne pouvez pas supprimer une authentification externe lorsqu'au moins un utilisateur
est rattaché à cette authentification.

8.8. Configuration de l'intégration avec un


domaine LDAP ou Active Directory
WAB peut intégrer directement des utilisateurs à partir d'annuaires LDAP ou Active Directory (AD)
afin de vous éviter de les créer localement au sein de l'application.
La gestion des comptes utilisateurs du WAB peut être intégrée avec un ou plusieurs annuaires
LDAP ou AD. Lorsqu’une telle intégration est mise en place, les comptes utilisateurs ne sont plus
présents localement dans la configuration de WAB et les informations relatives à un compte sont
retrouvées dans l’annuaire à chaque fois qu’un utilisateur se connecte à l'un des services de WAB.
Pour configurer une intégration, il faut d’abord ajouter les authentifications externes (LDAP, LDAPS,
LDAP-AD, LDAPS-AD) permettant la connexion aux annuaires (voir Section 8.7, « Configuration
des authentifications externes »).
Sur la page « Domaines LDAP/AD » du menu « Configuration », vous pouvez définir et configurer
un nouveau domaine. Cliquez sur «  Ajouter un domaine  » pour afficher la page de création du
domaine LDAP/AD.
La création d’un nouveau domaine commence par la sélection des authentifications externes à
utiliser. La sélection se fait en choisissant un type d’authentification LDAP externe dans la liste
du champ "LDAP externe". Il est alors possible de choisir des authentifications dans la liste des
authentifications du type choisi. Si plusieurs authentifications sont sélectionnées, elles sont utilisées
une après l’autre, lors de la connexion d’un utilisateur, jusqu’à la première authentification qui
réussit. Cela permet de redonder les annuaires.
Un domaine décrit les attributs du schéma de l’annuaire à utiliser pour trouver les attributs
nécessaire pour un compte WAB.
Ces attributs sont recensés dans les éléments suivants:

• un nom pour le domaine WAB,


• une description,
• l'option du domaine par défaut : cette case peut être cochée pour permettre la suppression
de la nomenclature du domaine (c'est-à-dire @domain) de l'identifiant de l'utilisateur lors de
l'authentification sur WAB. Ainsi une correspondance peut être établie entre les utilisateurs locaux
WAB-AM et les utilisateurs du domaine WAB.
• un nom pour le domaine LDAP/AD,
• dans le cadre d'une authentification par certificat X509, une option permettant de sélectionner
la vérification de l'e-mail SAN et, le cas échéant, le nom du domaine pour la vérification de cet
e-mail,

83
Wallix AdminBastion 5.0.4 – Guide d’Administration

Avertissement :
Si cette option est cochée, alors les utilisateurs peuvent uniquement s'authentifier sur
le domaine LDAP/AD en utilisant la méthode d'authentification X509.

• la sélection du type d’authentification LDAP externe à utiliser dans la liste de valeurs présente
dans le cadre « Authentifications disponibles » puis, le choix des authentifications parmi celles
proposées pour le type choisi. Si plusieurs authentifications sont sélectionnées, elles sont
utilisées successivement, l'une après l’autre, lors de la connexion d’un utilisateur jusqu’à la
première authentification qui réussit. Cela permet de redonder les annuaires.
• l'identifiant : l’attribut du schéma est indiqué dans le champ « Attribut identifiant » sur la page
« Authentifications externes » (voir Section 8.7.1, « Ajouter une authentification externe »). Par
défaut, WAB utilise « sAMAccountName » avec AD ou « uid » avec LDAP.
• l'attribut groupe : il s’agit de l’attribut décrivant l’appartenance à un groupe. Par défaut, il s’agit
de « memberOf » avec AD. Avec LDAP, la valeur par défaut est « (&(ObjectClass=posixGroup)
(memberUid=${uid}))  ». Il s’agit d’une requête LDAP qui permet de trouver les groupes qui
contiennent l’utilisateur défini par son uid. En effet, certains serveurs ne supportent par défaut
de maintenir au niveau de chaque compte la liste des groupes auxquels il appartient. Il faut donc
utiliser une requête supplémentaire. La syntaxe ${uid} est propre à WAB; uid peut être remplacé
par n’importe quel attribut de l’utilisateur. Dans le cas où le serveur LDAP supporte le champ
« memberOf », son utilisation est recommandée. C’est le cas des serveurs OpenLDAP configurés
avec l’overlay « memberOf ».

Il est possible avec AD de prendre en compte des groupes récursifs. Pour cela, il faut remplacer
la valeur par défaut par la requête suivante:

(&(ObjectClass=group)(member:1.2.840.113556.1.4.1941:=${distinguishedName}))

Cette requête peut être plus lente que la requête par défaut.
• l'attribut nom usuel : généralement, il s'agit de l’attribut « displayName » pour AD et de « cn »
pour LDAP.
• l'attribut e-mail : attribut de l’adresse mail de l’utilisateur (AD et LDAP).
• l'attribut langue : généralement, il s'agit de l'attribut « preferredLanguage » (AD et LDAP).

Le domaine permet également de fournir des valeurs par défaut pour certains attributs si ceux-ci
ne sont pas retrouvés dans l’annuaire :

• la langue par défaut : langue par défaut des membres du domaine si la langue n’est pas définie
dans l’annuaire.
• le domaine par défaut du mail : l’adresse du mail est construite en préfixant le domaine avec
l’identifiant : « identifiant@domaine ».

Il faut ensuite associer les groupes de l’annuaire LDAP avec les groupes utilisateurs de WAB. Pour
cela, il faut ajouter des correspondances d’authentification LDAP en renseignant les champs dans
l'encart « Correspondance d'authentification LDAP », dans le bas de la page.

Une correspondance permet de lier le groupe utilisateurs de WAB renseigné dans le champ
« Groupe utilisateurs » à un groupe de l’annuaire en précisant la valeur correspondante de l’attribut
groupe défini au dessus (par exemple, son DN complet pour «  memberOf  ») dans le champ
« Groupe LDAP ». Si le groupe WAB n’était pas déjà lié par une correspondance, il faut également
sélectionner le profil WAB pour les membres du groupe dans le champ « Profil ».

84
Wallix AdminBastion 5.0.4 – Guide d’Administration

Dans le cas où aucune correspondance n’est trouvée quand un utilisateur se connecte, il est
possible de demander à le placer dans un groupe par défaut, en cochant la case de l’option
« Groupe par défaut pour les utilisateurs sans groupe dans ce domaine », disponible sur la gauche
de la ligne. Ainsi, n’importe quel utilisateur défini dans l’annuaire peut accéder à WAB.

Les correspondances sont également modifiables depuis la page de modification du groupe


utilisateurs (voir Section 8.2, « Groupes utilisateurs »).

Figure 8.19. Page « Domaines LDAP/AP » en mode création

85
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 9. Ressources
Le menu « Ressources » vous permet de créer et gérer des domaines, équipements, applications
et des comptes accessibles depuis WAB. Il permet aussi de définir des groupes de comptes cibles.

9.1. Domaines
Sur la page « Domaines », vous pouvez :

• lister les domaines globaux ou locaux selon un filtre d'affichage sur le type de domaine,
• ajouter/modifier/supprimer un domaine global,
• modifier un domaine local,
• importer des domaines globaux ou locaux à partir d'un fichier .csv afin d'alimenter la base
ressources de WAB,
• changer les mots de passe de tous les comptes sur le domaine global.

Un domaine global représente une entité de gestion regroupant une multitude de comptes cibles
pouvant être utilisés pour l'authentification sur une multitude d'équipements. L'avantage significatif
de cette entité réside dans le déploiement et la synchronisation du changement de mot de passe
en une seule fois sur tous les comptes des équipements associés au domaine.
Un domaine local représente une entité de gestion regroupant une multitude de comptes cibles
pouvant être utilisés pour l'authentification sur un seul et unique équipement. L'avantage significatif
de cette entité réside dans le déploiement et la synchronisation du changement de mot de passe
en une seule fois sur tous les comptes associés au domaine.
Les domaines locaux sont créés lors de l'association à un équipement ou un compte cible. Pour
plus d'informations, voir Section 9.2, « Équipements » et Section 9.4, « Comptes cibles ».
Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.

9.1.1. Ajouter un domaine global


Sur la page «  Domaines  », cliquez sur «  Ajouter un domaine global  » pour afficher la page de
création du domaine global.

Avertissement :
Veuillez vous assurer d'avoir sélectionné la valeur « Global » dans le champ « Afficher
le type de domaine » en haut de la page.

Cette page recense les champs suivants :

• le nom du domaine : une représentation du domaine propre à l'application et utilisée pour afficher
les comptes et les cibles sur l'interface Web ou lors des sessions RDP/SSH.
• le nom réel du domaine : le nom du domaine externe si le domaine créé représente une
correspondance d'un domaine externe (AD, LDAP, NIS). Le nom réel du domaine est ignoré
lorsque le changement de mot de passe est effectué sur des cibles sous un environnement Linux.
• une description,

86
Wallix AdminBastion 5.0.4 – Guide d’Administration

• une option permettant d'activer le changement de mot de passe pour les comptes de ce domaine
et, le cas échéant :
– la politique de changement de mot de passe à sélectionner pour ce domaine. Pour plus
d'informations, voir Section 10.3, « Politiques de changement des mots de passe ».
– le plugin de changement de mot de passe à sélectionner pour ce domaine ainsi que des
champs supplémentaires à renseigner en fonction du plugin choisi. Pour plus d'informations,
voir Section 10.2, « Plugins de changement des mots de passe ».

Figure 9.1. Page « Domaines » en mode création

9.1.2. Modifier un domaine global ou local


Sur la page «  Domaines  », sélectionnez «  Global  » ou «  Local  à l'équipement » ou «  Local  à
l'application » dans le champ « Afficher le type de domaine » en haut de la page en fonction du
type de domaine que vous souhaitez modifier. Ensuite, cliquez sur un domaine puis sur « Modifier
ce domaine global  » ou «  Modifier ce domaine local  » pour afficher la page de modification
correspondante.

Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du domaine.

Le champ « Compte administrateur » vous permet de sélectionner le compte cible qui sera utilisé
pour changer le mot de passe sur un autre compte cible en cas de non-concordance entre WAB
et l'équipement.

9.1.3. Supprimer un domaine global


Sur la page «  Domaines  », veuillez vous assurer d'avoir sélectionné «  Global  » dans le champ
« Afficher le type de domaine » en haut de la page. Ensuite, sélectionnez un ou plusieurs domaines
à l’aide de la case à cocher au début de la ligne puis cliquez sur l'icône corbeille pour supprimer
la sélection. WAB affiche une fenêtre demandant une confirmation avant la suppression définitive
des lignes sélectionnées.

9.1.4. Importer des domaines globaux


Sur la page «  Domaines  », veuillez vous assurer d'avoir sélectionné «  Global  » dans le champ
« Afficher le type de domaine » en haut de la page. Ensuite, cliquez sur l'icône « Importer depuis
un fichier CSV » en haut à droite de la page pour importer les données. Vous êtes alors redirigé(e)
sur la page « CSV » du menu « Import/Export » : la case « Domaines globaux » est déjà cochée
pour l'import des données. Les séparateurs de champs et de listes sont également configurables.

87
Wallix AdminBastion 5.0.4 – Guide d’Administration

Le fichier doit commencer par une ligne contenant le marqueur :

#wab504 globaldomain

Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 :

#wab50 globaldomain

Chaque ligne suivante doit être formée comme indiqué ci-dessous :

Champ Type R(equis)/ Valeurs possibles Valeur par défaut


O(ptionnel)
Nom Texte R [aA-zZ], [0-9], '-', '_' N/A
Nom réel Texte R Texte libre N/A
Description Texte O Texte libre N/A
Compte admin Texte O Un compte existant sur N/A
le domaine

Ce champ est
uniquement pris en
compte lorsque le
domaine existe et le
compte a été créé sur
ce domaine.
Politique de Texte O/R Politique de N/A
changement de mot changement de mot de
de passe Requis lorsque le passe définie
changement de
mot de passe est
activé (un des 4
derniers champs
est renseigné)
Plugin de Texte O/R Plugin de changement N/A
changement de mot de mot de passe défini
de passe Requis lorsque le
changement de
mot de passe est
activé (un des 4
derniers champs
est renseigné)
Paramètres du Texte O/R Tous les arguments N/A
plugin nécessaires pour le
Requis pour plugin
certains types de
plugins Requis pour certains
plugins

Format : clé1=valeur1
clé2=valeur2

Cisco : hôte (requis),


motdepasse_enable
(requis), port
(optionnel)

88
Wallix AdminBastion 5.0.4 – Guide d’Administration

Champ Type R(equis)/ Valeurs possibles Valeur par défaut


O(ptionnel)
Windows :
adresse_controleur_domaine
(requis)

Unix : hôte (requis),


port (optionnel),
motdepasse_root
(optionnel - le mot
de passe root peut
uniquement être défini
si un compte_admin
a été sélectionné au
préalable)
Oracle : hôte
(requis), port (requis),
nom_service (requis)

Après l’importation du fichier .csv, un résumé de l’opération s’affiche.


Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.

Figure 9.2. Page « CSV » - case « Domaines globaux » cochée

9.1.5. Importer des domaines locaux


Sur la page « Domaines », veuillez vous assurer d'avoir sélectionné « Local à l'équipement » ou
« Local à l'application » dans le champ « Afficher le type de domaine » en haut de la page. Ensuite,
cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite de la page pour importer
les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case

89
Wallix AdminBastion 5.0.4 – Guide d’Administration

« Domaines locaux » est déjà cochée pour l'import des données. Les séparateurs de champs et
de listes sont également configurables.
Le fichier doit commencer par une ligne contenant le marqueur :
#wab504 localdomain

Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 :


#wab50 localdomain

Chaque ligne suivante doit être formée comme indiqué ci-dessous :

Champ Type R(equis)/ Valeurs possibles Valeur par défaut


O(ptionnel)
Nom Texte R [aA-zZ], [0-9], '-', '_' N/A
Description Texte O Texte libre N/A
Équipement Texte R/O Au moins un équipement N/A
ou une application doit
être défini.
Application Texte R/O Au moins un équipement N/A
ou une application doit
être défini.
Compte admin Texte O Un compte existant sur le N/A
domaine

Ce champ est
uniquement pris en
compte lorsque le
domaine existe et le
compte a été créé sur ce
domaine.
Politique de Texte O/R Politique de changement N/A
changement de mot de mot de passe définie
de passe Requis lorsque le
changement de
mot de passe est
activé (un des 4
derniers champs
est renseigné)
Plugin de Texte O/R Plugin de changement N/A
changement de mot de mot de passe défini
de passe Requis lorsque le
changement de
mot de passe est
activé (un des 4
derniers champs
est renseigné)
Paramètres du Texte O/R Tous les arguments N/A
plugin nécessaires pour le
Requis pour plugin
certains types de
plugins Requis pour certains
plugins

90
Wallix AdminBastion 5.0.4 – Guide d’Administration

Champ Type R(equis)/ Valeurs possibles Valeur par défaut


O(ptionnel)
Format : clé1=valeur1
clé2=valeur2
Cisco :
motdepasse_enable
(requis), port (optionnel)

Windows : pas de
paramètre spécifique à
renseigner

Unix : port (optionnel),


motdepasse_root
(optionnel)

Oracle : port (requis),


nom_service (requis)

Pour les applications:

Oracle : hôte
(requis), port (requis),
nom_service (requis)

Après l’importation du fichier .csv, un résumé de l’opération s’affiche.

Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.

9.1.6. Changer les mots de passe de tous les comptes d'un


domaine global
Sur la page «  Domaines  », veuillez vous assurer d'avoir sélectionné «  Global  » dans le champ
« Afficher le type de domaine » en haut de la page. Sélectionnez un domaine global pour lequel le
changement de mot de passe est activé pour afficher les données correspondantes. Vous pouvez
déployer la zone « Comptes du domaine » pour visualiser la liste des comptes existants sur ce
domaine global. En suite, cliquez sur le bouton « Changer les mots de passe » sur la droite de la
page pour changer instantanément les mots de passe de tous les comptes de ce domaine. WAB
affiche une fenêtre demandant une confirmation avant d'effectuer cette action.

Note :
Les mots de passe sont changés en conformité avec la politique de changement de
mot de passe sélectionnée pour ce domaine global. Pour plus d'informations, voir
Section 10.3, « Politiques de changement des mots de passe ».

9.2. Équipements
Sur la page « Équipements », vous pouvez :

91
Wallix AdminBastion 5.0.4 – Guide d’Administration

• lister les équipements,


• ajouter/modifier/supprimer un équipement,
• importer des équipements à partir d'un fichier .csv afin d'alimenter la base ressources de WAB.

Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).

Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.

9.2.1. Ajouter un équipement cible


Sur la page «  Équipements  », cliquez sur «  Ajouter un équipement  » pour afficher la page de
création de l'équipement.

Cette page recense les champs suivants :

• le nom de l’équipement : il s’agit du nom qui sera utilisé par les utilisateurs pour accéder à cet
équipement. Ce nom peut être sans relation avec le nom DNS de la machine.
• un alias : ceci permet de donner un deuxième nom à un équipement,
• l'hôte de l'équipement : il s'agit d'une adresse réseau (IP ou FQDN),

Lorsque WAB fonctionne en mode transparent, il est possible de définir un ensemble de cibles
appartenant à un sous-réseau (ou « subnet »). Il convient pour cela de renseigner un subnet
à la place de l'adresse IP lors de la création de l'équipement en utilisant une notation CIDR
(<adresse réseau>/<nombre de bits du masque>). Pour plus d'informations, voir Section 7.1.1,
« Configuration du mode transparent pour les proxys RDP et SSH ».
• une description,
• le nom du ou des domaines locaux,
• la possibilité de définir des services accessibles sur cet équipement en cliquant sur les options
dédiées dans le bas de la page.

La liste des services contient les éléments suivants :

• le nom du service : il s’agit du nom qui sera utilisé par les utilisateurs pour accéder à ce service.
Ce nom peut être sans relation avec le nom du protocole et le numéro de port,
• le port par défaut,
• un liste d'options propres au proxy pour les connexions RDP et SSH. Pour plus d'informations,
voir Section  9.2.8, «  Options spécifiques du protocole SSH  » et Section  9.2.9, «  Options
spécifiques du protocole RDP ».
• une politique de connexion définissant le mécanisme d'authentification pour le service sur cet
équipement,
• la liste des domaines globaux.

Si vous souhaitez renseigner plusieurs services sous le même protocoles, vous pouvez cliquer
autant de fois que nécessaire sur l'option concernée. Le nom du nouveau service sera
automatiquement incrémenté. Si vous cochez la case de l'option « Supprimer » à la fin d'une ligne
donnée, le service correspondant est alors instantanément supprimé.

Vous pouvez déclarer un scénario de connexion lors de la création ou modification d'un équipement
cible afin d’interpréter les ordres envoyés par un shell interactif et d’automatiser la connexion.

92
Wallix AdminBastion 5.0.4 – Guide d’Administration

Pour plus d'informations, voir Section 9.2.10, « Scénario de connexion TELNET/RLOGIN sur un


équipement cible ».

Figure 9.3. Page « Équipements » en mode création

9.2.2. Modifier un équipement cible


Sur la page « Équipements », cliquez sur un nom d’équipement puis sur « Modifier cet équipement »
pour afficher la page de modification de l'équipement.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de
l'authentification, excepté le champ « Nom de l'équipement » qui n’est pas modifiable.
Vous pouvez déclarer un scénario de connexion lors de la création ou modification d'un équipement
cible afin d’interpréter les ordres envoyés par un shell interactif et d’automatiser la connexion.
Pour plus d'informations, voir Section 9.2.10, « Scénario de connexion TELNET/RLOGIN sur un
équipement cible ».

9.2.3. Supprimer un équipement cible


Sur la page « Équipements », sélectionnez un ou plusieurs équipements à l’aide de la case à cocher
au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une
fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.

Avertissement :
Vous ne pouvez pas supprimer un équipement cible sur lequel des comptes cibles sont
déclarés.

9.2.4. Ajouter un compte sur un équipement


Sur la page «  Équipements  », cliquez sur un nom d’équipement afin d 'afficher les données
correspondantes puis déployez la zone « Comptes de l'équipement » pour visualiser la liste des
comptes existants sur cet équipement.
Cliquez sur « Ajouter un compte » pour créer un compte sur cet équipement : vous accédez alors
à la page de création du compte. Pour plus d'informations, voir Section 9.4.1, « Ajouter un compte
cible ».

93
Wallix AdminBastion 5.0.4 – Guide d’Administration

9.2.5. Gérer les associations de ressources avec


l'équipement
Sur la page «  Équipements  », cliquez sur un nom d’équipement afin d'afficher les données
correspondantes puis déployez la zone « Comptes associés » pour visualiser la liste des ressources
associées à l'équipement.
Chaque ligne représente une association et recense les champs suivants :

• le nom du compte cible,


• le nom du domaine,

• le service,
• les utilisateurs autorisés.

Cliquez sur « Gérer l'association » pour gérer l'association des ressources : vous accédez alors
à une page listant la ou les ressources disponibles et la ou les ressources sélectionnées pour
l'équipement. Déplacez une ressource depuis le cadre «  Comptes disponibles  » vers le cadre
«  Comptes sélectionnés  » pour effectuer l'association. Et inversement, déplacez une ressource
depuis le cadre « Comptes sélectionnés » vers le cadre « Comptes disponibles » pour supprimer
l'association.

Note :
Des comptes cibles et des services doivent être définis pour l'équipement pour pouvoir
gérer l'association des ressources.

9.2.6. Supprimer les certificats sur l'équipement


Sur la page «  Équipements  », cliquez sur un nom d’équipement afin d 'afficher les données
correspondantes puis déployez la zone « Certificats sur l'équipement » pour visualiser la liste des
certificats sur cet équipement. Ensuite, sélectionnez un ou plusieurs certificats à l’aide de la case
à cocher au début de la ligne puis cliquez sur l'icône corbeille pour supprimer la sélection.

Avertissement :
Un utilisateur est autorisé à visualiser les certificats sur l'équipement lorsque le droit
« Afficher » pour la fonctionnalité « Ressources & comptes » est paramétré au niveau de
son profil (voir Section 8.3, « Profils utilisateurs »).
Un utilisateur est autorisé à supprimer les certificats sur l'équipement lorsque le droit
« Modifier » pour la fonctionnalité « Ressources & comptes » est paramétré au niveau
de son profil (voir Section 8.3, « Profils utilisateurs »).

9.2.7. Importer des équipements


Sur la page «  Équipements  », cliquez sur l'icône «  Importer depuis un fichier CSV  » en haut à
droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du
menu « Import/Export » : la case « Équipements » est déjà cochée pour l'import des données. Les
séparateurs de champs et de listes sont également configurables.
Le fichier doit commencer par une ligne contenant le marqueur :

94
Wallix AdminBastion 5.0.4 – Guide d’Administration

#wab504 device

Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 :

#wab50 device

Chaque ligne suivante doit être formée comme indiqué ci-dessous :

Champ Type R(equis)/ Valeurs possibles Valeur par défaut


O(ptionnel)
Nom de Texte R [aA-zZ], [0-9], '-', '_' N/A
l'équipement
Alias Texte O Texte libre N/A
Description Texte O Texte libre N/A
Adresse réseau IP/FQDN/ R [aA-zZ], [0-9], '-', '/', '.' N/A
Subnet
par exemple, pour un
subnet : 1.1.1.0/24
Domaine local Texte O Domaines locaux créés via N/A
une association avec un
équipement ou un compte
cible

Il peut n'y avoir aucun


domaine local ou un ou
plusieurs domaines locaux
(créés sur cet équipement).
Service/Protocole/ Texte O Pour mentionner un domaine N/A
Port/Politique de global pour un sous-
connexion/Sous- protocole :
protocole
nom/PROTOCOLE/port/poli-
tique_connexion/
mon_domaine_global/sous-
protocole1|sous-protocole2

Important : s'il n'y a pas de


domaine global, la syntaxe
suivante doit être respectée :

nom/PROTOCOLE/port/
politique_connexion//sous-
protocole1|sous-protocole2

nom: Texte libre


(1)
PROTOCOLE : Nom de
protocole : voir ci-dessous

port : Numéro de port


(optionnel)

politique_connexion : Nom
de la politique de connexion

95
Wallix AdminBastion 5.0.4 – Guide d’Administration

Champ Type R(equis)/ Valeurs possibles Valeur par défaut


O(ptionnel)
(2)
sous-protocole : Nom de
sous-protocole (optionnel) :
voir ci-dessous
(1)
PROTOCOLE : une des valeurs suivantes : SSH, TELNET, RLOGIN, RDP, VNC.
(2)
sous-protocole pour SSH : une des valeurs suivantes : SSH_SHELL_SESSION,
SSH_REMOTE_COMMAND, SSH_SCP_UP,SSH_SCP_DOWN, SSH_X11, SFTP_SESSION,
SSH_DIRECT_TCPIP, SSH_REVERSE_TCPIP, SSH_AUTH_AGENT. Pour plus d'informations,
voir Section 9.2.8, « Options spécifiques du protocole SSH ».
sous-protocole pour RDP : une des valeurs suivantes :
RDP_CLIPBOARD_UP, RDP_CLIPBOARD_DOWN, RDP_PRINTER,RDP_COM_PORT,
RDP_DRIVE, RDP_SMARTCARD, RDP_CLIPBOARD_FILE. Pour plus d'informations, voir
Section 9.2.9, « Options spécifiques du protocole RDP ».
Si sous-protocole n'est pas mentionné, alors tous les sous-protocoles sont ajoutés. La valeur des
autres protocoles est identique à PROTOCOL et peut être omise.
Pour mentionner plusieurs sous-protocoles au sein d'un même protocole, il n'est pas nécessaire
de reprendre toute la structure : les sous-protocoles peuvent être séparés par une barre verticale
(ou « pipe ») : « | » comme illustré dans l'exemple ci-dessous :

rdp/RDP/3389/RDP//RDP_CLIPBOARD_UP|RDP_CLIPBOARD_DOWN|RDP_PRINTER|RDP_COM_PORT|
RDP_DRIVE|RDP_SMARTCARD

Après l’importation du fichier .csv, un résumé de l’opération s’affiche.


Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.

Figure 9.4. Page « CSV » - case « Équipements » cochée

96
Wallix AdminBastion 5.0.4 – Guide d’Administration

9.2.8. Options spécifiques du protocole SSH


Le protocole SSH est divisé en sous-protocoles déterminant principalement les types de canaux
que la session est autorisée à ouvrir. Ceux-ci sont les suivants :

• SSH_SHELL_SESSION : autorise le démarrage des sessions shell,


• SSH_REMOTE_COMMAND : autorise l'exécution de commandes à distance,
• SSH_SCP_UP : autorise le transfert de fichiers vers l'équipement cible (transfert SCP depuis le
client vers le serveur),
• SSH_SCP_DOWN  : autorise le transfert de fichiers depuis l'équipement cible (transfert SCP
depuis le serveur vers le client),
• SSH_X11 : autorise l'affichage d'applications X11 s'exécutant sur un équipement cible,
• SFTP_SESSION : autorise le transfert de fichiers bi-directionnel via SFTP (session SFTP),
• SSH_DIRECT_TCPIP : autorise la redirection directe de port TCP/IP (depuis le client vers le
serveur),
• SSH_REVERSE_TCPIP : autorise la redirection inverse de port TCP/IP (depuis le serveur vers
le client),
• SSH_AUTH_AGENT : autorise le transfert d'authentification par agent (auth-agent multi-hops),

Chacun de ces sous-systèmes fait l'objet d'une autorisation spécifique sur WAB.
L'ouverture d'un shell distant ou le transfert d'un fichier peut vous être refusé si vous ne possédez
pas l'autorisation sur le sous-système concerné.

Note :
Certains clients réclament également l'autorisation SSH_SHELL_SESSION pour
effectuer le listing des répertoires quand il sont utilisés en mode SCP.
Certaines autorisations doivent être associées à d'autres pour fonctionner correctement :
- l'autorisation SSH_X11 doit être associée à SSH_SHELL_SESSION ou
SSH_REMOTE_COMMAND (au moins à l'une des deux),
- l'autorisation SSH_AUTH_AGENT doit être associée à SSH_SHELL_SESSION ou
SSH_REMOTE_COMMAND (au moins à l'une des deux),
- l'autorisation SSH_REVERSE_TCPIP doit être associée à SSH_SHELL_SESSION.

9.2.9. Options spécifiques du protocole RDP


Le protocole RDP est divisé en sous-protocoles déterminant principalement les actions autorisées
pour la session. Ceux-ci sont les suivants :

• RDP_CLIPBOARD_UP : autorise le transfert de données via le presse-papiers depuis le client


vers la session RDP,
• RDP_CLIPBOARD_DOWN : autorise le transfert de données via le presse-papiers depuis la
session vers le client RDP,
• RDP_CLIPBOARD_FILE : autorise le transfert de fichier via le presse-papiers,
• RDP_PRINTER : autorise l'utilisation d'imprimantes locales lors de la session à distance,
• RDP_COM_PORT : autorise l'utilisation de ports locaux série et parallèle lors de la session à
distance,

97
Wallix AdminBastion 5.0.4 – Guide d’Administration

• RDP_DRIVE : autorise l'utilisation de disques locaux lors de la session à distance,


• RDP_SMARTCARD : autorise l'utilisation des cartes à puces locales lors de la session à distance.

Chacun de ces sous-systèmes fait l'objet d'une autorisation spécifique sur WAB.
Le transfert de données via le presse-papiers ou l'utilisation de votre disque local lors de la session à
distance peut vous être refusé si vous ne possédez pas l'autorisation sur le sous-système concerné.

Note :
Certaines autorisations doivent être associées à d'autres pour fonctionner correctement :
- l'autorisation RDP_CLIPBOARD_FILE doit être associée à RDP_CLIPBOARD_UP pour
transférer un fichier via le presse-papiers depuis le client vers la session RDP,
- l'autorisation RDP_CLIPBOARD_FILE doit être associée à RDP_CLIPBOARD_DOWN
pour transférer un fichier via le presse-papiers depuis la session vers le client RDP.

9.2.10. Scénario de connexion TELNET/RLOGIN sur un


équipement cible
Vous pouvez déclarer un scénario de connexion lors de la création ou modification d'un équipement
cible (voir Section 9.2.1, « Ajouter un équipement cible » et Section 9.2.2, « Modifier un équipement
cible »)..
Ce scénario permet d’interpréter les ordres envoyés par un shell interactif et d’automatiser la
connexion. Il s’agit d’un pseudo langage dont la syntaxe comprend les éléments suivants :

• SEND : envoi d’une chaîne de caractères


• EXPECT : s’attend à recevoir une chaîne de caractères au cours des 10 prochaines secondes
• (?i) : ignore la casse
• $login : envoi d’un identifiant
• $password : envoi d’un mot de passe

Ainsi, le scénario suivant (testé sur un switch 3Com Superstack accessible via TELNET) :
SEND:\r\n
EXPECT:(?i)login:
SEND:$login\r\n
EXPECT:(?i)Password:
SEND:$password\r\n

S’interprète de la manière suivante :

• envoi d’un retour chariot,


• attendre la réception de la chaîne « login » (en ignorant la casse),
• envoyer l’identifiant suivi d’un retour chariot,
• attendre la réception de la chaîne « password » (en ignorant la casse),
• envoyer le mot de passe suivi d’un retour chariot.

Ce scénario doit aussi fonctionner pour les serveurs TELNET sous Windows.
Pour les serveurs TELNET fonctionnant sous Unix ou Linux, utilisez plutôt le scénario suivant:
EXPECT:(?i)login:

98
Wallix AdminBastion 5.0.4 – Guide d’Administration

SEND:$login\n
EXPECT:(?i)Password:
SEND:$password\n

Pour les équipements RLOGIN, seul le mot de passe est attendu, ainsi le scénario de connexion
suivant est fonctionnel pour une connectivité en RLOGIN, vers un système sous Debian 5.0 lenny :
EXPECT:(?i)Password:
SEND:$password\n

Note :
En règle générale, l’identifiant est déjà fourni pour les connexions SSH (en mode clavier
interactif) et RLOGIN. Il est nécessaire de le fournir dans le scénario uniquement pour
les connexions TELNET.

9.3. Applications
WAB vous permet de gérer des sessions d’application en utilisant un serveur de rebond, sur
lequel est installée l’application. L’utilisateur se connecte au WAB et choisit une application dans le
sélecteur (voir la figure 9.5, « Flux d'une session applicative »). WAB initie alors une session RDP
et lance automatiquement l’application en lui fournissant les informations de compte nécessaires
(identifiant, mot de passe). La session application est alors enregistrée comme une session RDP.

Important :
Il n'est pas possible de lancer une application associée à une cible fonctionnant sous
un système d'exploitation Windows 10 car le service Bureau à distance ne supporte la
fonction « alternate shell ».

Avertissement :
Afin de permettre à WAB de gérer les connexions à une application, cette dernière doit
être en mesure de recevoir le nom du compte et le mot de passe à utiliser pour la
connexion comme arguments de la ligne de commande.

Figure 9.5. Flux d'une session applicative


Sur la page « Applications », vous pouvez :

• lister les applications,

99
Wallix AdminBastion 5.0.4 – Guide d’Administration

• ajouter/modifier/supprimer une application,


• importer des applications à partir d'un fichier .csv afin d'alimenter la base ressources de WAB.

Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.

9.3.1. Configuration du serveur de rebond


Le serveur de rebond doit être un serveur Windows Server 2003, 2003 R2, 2008 ou 2008 R2. A
partir de la version 2008, le rôle « Services Terminal Server » ou « Bureau à Distance » doit être
installé.

Avertissement :
Après une période de grâce de 120 jours, il faut installer des Client Access Licences
(CAL) pour pouvoir continuer à utiliser ces services.

Il faut permettre à l’utilisateur d’avoir le droit de lancer l’application. Cela peut se faire en permettant
l’accès aux programmes non répertoriés ou en ajoutant l’application aux programmes autorisés,
comme décrit ci-dessous.
En cas d'utilisation du mode « session probe », il est nécessaire de publier l'invite de commande
(cmd.exe) en tant que programme RemoteApp. Pour plus d'informations sur ce mode et sa
configuration, nous vous recommandons fortement de consulter Section 11.7, « Session probe ».

• Permettre l’accès aux programmes non répertoriés :


1. Cliquer sur le menu « Démarrer ».
2. Sélectionner « Programmes » > « Outils d’administration » > « Services Bureau à distance »
puis ouvrir l’application « Gestionnaire RemoteApp ».
3. Dans le cadre « Vue d’ensemble », cliquer sur « Changer les paramètres Terminal Server ».
4. Sur l’onglet « Terminal Server », dans le cadre « Accès aux programmes non répertoriés »,
choisir « Autoriser les utilisateurs à démarrer les programmes répertoriés et non ».
• Ajouter l’application aux programmes autorisés :
1. Cliquer sur le menu « Démarrer ».
2. Sélectionner « Programmes » > « Outils d’administration » > « Services Bureau à distance »
puis ouvrir l’application « Gestionnaire RemoteApp ».
3. Dans le cadre « Actions », cliquer sur « Ajouter des programmes RemoteApp ».
4. Choisir l’application dans la liste affichée en cochant la case correspondante et éditer les
propriétés de l’application afin de permettre l’utilisation de tous les arguments de la ligne de
commande.

Il est recommandé de mettre une valeur la plus petite possible au délai maximal pendant lequel
une session utilisateur déconnectée est gardée active sur le serveur Terminal Server. Pour cela,
suivre la procédure ci-dessous.

1. Cliquer sur le menu « Démarrer ».


2. Sélectionner « Programmes » > « Outils d’administration » > « Services Bureau à distance »
puis ouvrir l’application « Configuration d’hôte de session Bureau à distance » pour abaisser
le délai maximal à 1 minute. Pour cela :

100
Wallix AdminBastion 5.0.4 – Guide d’Administration

• dans le cadre « Connexions », sélectionner la connexion nommée « RDP-Tcp »,


• sur l’onglet «  Sessions  », sélectionner «  Remplacer les paramètres de l’utilisateur  » et
paramétrer la valeur du champ « Fin d’une session déconnectée » à 1 minute.
3. Dans le cadre « Actions », cliquer sur « Ajouter des programmes RemoteApp ».
4. Choisir l’application dans la liste affichée en cochant la case correspondante et éditer les
propriétés de l’application afin de permettre l’utilisation de tous les arguments de la ligne de
commande.

Il est également possible d’utiliser les politiques de groupe pour gérer ce paramètre.
Il est possible de permettre plusieurs connexions avec le même compte cible sur un serveur de
rebond.
Pour un serveur Windows Server 2008 ou une version plus récente :

1. Cliquer sur le menu « Démarrer ».


2. Sélectionner « Programmes » > « Outils d’administration » > « Services Bureau à distance »
puis ouvrir l’application « Configuration d’hôte de session Bureau à distance ».
3. Dans le cadre «  Modifier les paramètres  », dans le groupe «  Général  », double-cliquer sur
« Restreindre les utilisateurs à une session unique » et décocher la case.

Alternativement, il est possible d’utiliser le paramètre correspondant avec une stratégie de compte.
A partir de Windows Server 2012, un paramétrage supplémentaire est nécessaire pour permettre
l’accès d’un client qui n’utilise pas l’authentification au niveau du réseau. Ce paramétrage s’effectue
de la manière suivante :

1. Ouvrir le « Gestionnaire de Serveur » et sélectionner « Services Bureau à distance ».


2. Sélectionner la collection voulue dans «  Collections  ». La collection par défaut se nomme
« Quick Session Collections ».
3. Dans le cadre « Propriétés », sélectionner « Modifier les propriétés ».
4. Dans la section « Sécurité », décocher l’option « Autoriser les connexions uniquement pour les
ordinateur exécutant les service Bureau à distance avec authentification au niveau du réseau ».

9.3.2. Ajouter une application


Sur la page « Applications », cliquez sur « Ajouter une application » pour afficher la page de création
de l'application.
Cette page recense les champs suivants :

• le nom de l’application. Il s'agit d'une donnée interne.


• une description,
• les paramètres, c'est-à-dire les arguments de la ligne de commande. Ils sont concaténés au
chemin du programme. Afin d’insérer le nom du compte et le mot de passe à utiliser, la notation
${USER} ou ${PASSWORD} permet d’indiquer l’emplacement de la substitution. WAB la fera
automatiquement avec les informations du compte sélectionné par l’utilisateur.
• le chemin de l’exécutable du programme ainsi que le répertoire d’exécution. Dans le cas d’un
cluster, il faut fournir ces valeurs pour chaque équipement. Pour plus d'informations, voir la
section 9.6, « Clusters ».

Pour permettre aux utilisateurs de se connecter à l'application, il faut maintenant lui associer des
comptes comme décrit dans Section  9.4, «  Comptes cibles  ». La gestion des droits d’accès se

101
Wallix AdminBastion 5.0.4 – Guide d’Administration

fait au moyen des autorisations de la même manière que les équipements. Il faut alors utiliser le
protocole RDP.

Figure 9.6. Page « Applications » en mode modification

9.3.3. Modifier une application


Sur la page « Applications », cliquez sur un nom d’application puis sur « Modifier cette application »
pour afficher la page de modification de l'application.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de
l'application, excepté le champ « Nom de l'application » qui n’est pas modifiable.

9.3.4. Supprimer une application


Sur la page « Applications », sélectionnez une ou plusieurs applications à l’aide de la case à cocher
au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une
fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.

Avertissement :
Vous ne pouvez pas supprimer une application sur laquelle des comptes cibles sont
déclarés.

9.3.5. Ajouter un compte sur une application


Sur la page «  Applications  », cliquez sur un nom d’application afin d 'afficher les données
correspondantes puis déployez la zone « Comptes de l'application » pour visualiser la liste des
comptes existants sur cette application.
Cliquez sur « Ajouter un compte » pour créer un compte sur cet équipement : vous accédez alors
à la page de création du compte. Pour plus d'informations, voir Section 9.4.1, « Ajouter un compte
cible ».

102
Wallix AdminBastion 5.0.4 – Guide d’Administration

9.3.6. Gérer les associations de ressources avec


l'application
Sur la page «  Applications  », cliquez sur un nom d’application afin d'afficher les données
correspondantes puis déployez la zone « Comptes associés » pour visualiser la liste des ressources
associées à l’application.
Chaque ligne représente une association et recense les champs suivants :

• le nom du compte cible,


• le nom du domaine,

• le service,
• les utilisateurs autorisés.

Cliquez sur « Gérer l'association » pour gérer l'association des ressources : vous accédez alors
à une page listant la ou les ressources disponibles et la ou les ressources sélectionnées pour
l'application. Déplacez une ressource depuis le cadre «  Comptes disponibles  » vers le cadre
«  Comptes sélectionnés  » pour effectuer l'association. Et inversement, déplacez une ressource
depuis le cadre « Comptes sélectionnés » vers le cadre « Comptes disponibles » pour supprimer
l'association.

9.3.7. Importer des applications


Sur la page «  Applications  », cliquez sur l'icône «  Importer depuis un fichier CSV  » en haut à
droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du
menu « Import/Export » : la case « Applications » est déjà cochée pour l'import des données. Les
séparateurs de champs et de listes sont également configurables.
Le fichier doit commencer par une ligne contenant le marqueur :
#wab504 application

Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 :


#wab50 application

Chaque ligne suivante doit être formée comme indiqué ci-dessous :


Champ Type R(equis)/ Valeurs possibles Valeur par défaut
O(ptionnel)
Nom Texte R [aA-zZ], [0-9], '-', '_' N/A
Description Texte O Texte libre N/A
Domaine local Texte O Il peut n'y avoir aucun N/A
domaine local ou un ou
plusieurs domaines locaux
créés sur cette application.
Domaine global Texte O Il peut n'y avoir aucun N/A
domaine global ou un ou
plusieurs domaines définis.
Cible Texte R Format pour une application N/A
sur un équipement :
compte@domaine@mon_
équipement:rdp, rdp étant

103
Wallix AdminBastion 5.0.4 – Guide d’Administration

Champ Type R(equis)/ Valeurs possibles Valeur par défaut


O(ptionnel)
le nom du protocole défini sur
l'équipement
Format pour une application
sur un cluster : nom du
cluster
Paramètres Texte O N/A
Chemin Texte R Pour une application sur N/A
un équipement : chemin de
l'application

Pour une application sur un


cluster : cible1= 'chemin1'
cible2='chemin2', pour
chaque cible du cluster,
avec cible1 au format
compte@domaine@mon_
équipement:rdp
Répertoire de Texte O Pour une application sur un
démarrage cluster :

cible1='rdem1'
ciblet2='rdem2'

Après l’importation du fichier .csv, un résumé de l’opération s’affiche.

Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.

Figure 9.7. Page « CSV » - case « Applications » cochée

104
Wallix AdminBastion 5.0.4 – Guide d’Administration

9.4. Comptes cibles
Sur la page « Comptes », vous pouvez :

• lister les équipements déclarés, les services disponibles sur ces équipements et les comptes
cibles déclarés sur ces derniers,
• ajouter/modifier/supprimer un compte,
• importer des comptes partir d'un fichier .csv afin d'alimenter la base ressources de WAB,
• changer manuellement le mot de passe d'un compte donné,
• lancer le changement automatique du mot passe pour un ou plusieurs comptes.

Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.

9.4.1. Ajouter un compte cible


Sur la page « Comptes », cliquez sur « Ajouter un compte » pour afficher la page de création de
compte.
Cette page recense les champs suivants :

• un filtre pour sélectionner le type de compte :


– Domaine global : le compte est défini sur un domaine global et est utilisé pour accéder
aux services sur des équipements rattachés à ce domaine. Si vous choisissez cette option,
sélectionnez le domaine global souhaité dans le champ « Domaine global » et les ressources
disponibles dans les valeurs de la liste en bas de la page.
– Équipement : le compte est défini sur un équipement et utilisé uniquement pour accéder à
un service sur cet équipement. Si vous choisissez cette option, sélectionnez l'équipement
approprié (dans le champ « Équipement »), le domaine local (dans le champ « Domaine local
») et les ressources disponibles dans les valeurs de la liste en bas de la page. Il est également
possible de renseigner un nouveau domaine local. Pour cela, sélectionnez la première entrée
« - - - » du champ « Domaine local » : le champ « Nouveau domaine local » s'affiche et vous
pouvez renseigner le nom de ce nouveau domaine.
– Application : le compte est défini uniquement pour une application (un compte pour accéder
au serveur de rebond – l'équipement cible sur lequel l'application s'exécute - peut s'avérer
nécessaire). Si vous choisissez cette option, sélectionnez l'application appropriée (dans le
champ « Application ») et le domaine local (dans le champ « Domaine local »). Il est également
possible de renseigner un nouveau domaine local. Pour cela, sélectionnez la première entrée
« - - - » du champ « Domaine local » : le champ « Nouveau domaine local » s'affiche et vous
pouvez renseigner le nom de ce nouveau domaine.

• le nom du compte : il s'agit d'une représentation interne du compte. Cette information est affichée
sur les sélecteurs de session et la page d'emprunt du mot de passe du compte sur l'interface
Web. Ce nom doit être unique sur le domaine WAB.
• l'identifiant du compte : il s'agit de l'identifiant du compte distant. Cette information n'est pas
affichée sur les sélecteurs de session et la page d'emprunt du mot de passe du compte sur
l'interface Web.
• une description,
• une case à cocher pour indiquer si le compte est géré par un coffre-fort externe ou non

105
Wallix AdminBastion 5.0.4 – Guide d’Administration

• si le compte n'est pas géré par un coffre-fort externe :


– des champs pour saisir et confirmer le mot de passe du compte,
– une case à cocher pour activer ou désactiver le changement automatique du mot de passe
pour ce compte. Voir Section 3.7, « Chiffrement des données » pour plus d'informations sur le
chiffrement des données relatif au stockage du mot de passe.
– un champ pour sélectionner la politique d'emprunt à associer au compte,
– des champs pour définir la clé privée pour la connexion SSH : un chemin pour charger le fichier
contenant la clé (au format OpenSSH ou Putty) et la phrase de chiffrement de la clé (si définie).

Figure 9.8. Page « Comptes » en mode création

9.4.2. Modifier un compte cible


Sur la page « Comptes », cliquez sur un nom de compte puis sur « Modifier ce compte » pour
afficher la page de modification du compte.

Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du compte,
excepté le champ « Nom du compte » qui n’est pas modifiable.

Si une clé privée a été définie pour ce compte, une ligne avec le type et la longueur de la clé est
affichée sur la page de modification du compte. Deux actions peuvent alors être effectuées au
niveau de la clé privée : la supprimer ou la remplacer en chargeant une nouvelle clé privée.

Lorsqu'une clé privée a été définie pour ce compte, il est possible de télécharger la clé publique
correspondante au format OpenSSH ou ssh.com sur la page récapitulative du compte, au niveau
du champ « Clé publique du compte ».

9.4.3. Supprimer un compte cible


Sur la page « Comptes », sélectionnez un ou plusieurs comptes cibles à l’aide de la case à cocher
au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une
fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.

106
Wallix AdminBastion 5.0.4 – Guide d’Administration

9.4.4. Importer des comptes cibles


Sur la page « Comptes », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite
de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu
« Import/Export » : la case « Comptes » est déjà cochée pour l'import des données. Les séparateurs
de champs et de listes sont également configurables.

Le fichier doit commencer par une ligne contenant le marqueur :

#wab504 account

Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 :

#wab50 account

Chaque ligne suivante doit être formée comme indiqué ci-dessous :

Champ Type R(equis)/ Valeurs possibles Valeur par défaut


O(ptionnel)
Nom Texte R [aA-zZ], [0-9], '-', '_' N/A
Identifiant Texte R Texte libre N/A
Description Texte O Texte libre N/A
Coffre-fort externe Booléen R Vrai ou Faux Faux
Mot de passe Texte O Texte libre

L'authentification peut être


effectuée soit par mot de
passe, soit par une clé privée
ou les deux ou aucun des
deux.
Clé privée Texte O L'authentification peut être
effectuée soit par mot de
passe, soit par une clé privée
ou les deux ou aucun des
deux.
Changement auto Booléen R Vrai ou Faux Faux
mot de passe
Politique Texte R Politique d'emprunt définie
d'emprunt
Domaine Texte O Pour un compte sur un N/A
équipement :
Équipement
- domaine : domaine local de
Application l'équipement
Ressources - équipement : nom de
l'équipement

- ressources : services
concernés (optionnel et
doivent exister sur
l'équipement)

107
Wallix AdminBastion 5.0.4 – Guide d’Administration

Champ Type R(equis)/ Valeurs possibles Valeur par défaut


O(ptionnel)
Pour un compte sur une
application :
- domaine : domaine local de
l'application

- application : nom de
l'application

Pour un compte sur un


domaine global :

- domaine : nom du domaine


global
- ressources : équipement
sur le domaine représenté
par la syntaxe
équipement:protocole
(optionnel)

Exemple de syntaxe d'import pour un équipement, un domaine et une application :

#wab504 account
my_device_user;device_user_login;description;False;P4sSw0rD;;False;default;
local_domain_1;my_device;;my_domain_user;domain_user_login;description;True;
P4sSw0rD;;False;default;my_global_domain;;;device_on_domain:rdpmy_app_user;
app_user_login;description;False;P4sSw0rD;;True;default;local_domain_1;;my_application;

Après l’importation du fichier .csv, un résumé de l’opération s’affiche.

Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.

108
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 9.9. Page « CSV » - case « Comptes » cochée

9.4.5. Changer manuellement le mot de passe d'un compte


cible donné
Sur la page « Comptes », cliquez sur l'icône clé dans la colonne « Action » pour afficher la page
permettant le changement de mot de passe du compte correspondant. Saisissez et confirmez le
nouveau mot de passe de ce compte. Cliquez sur le bouton « Appliquer » sur la droite de la page
pour changer le nouveau mot de passe sur WAB et le diffuser sur la cible. WAB affiche un message
d'information à la suite à cette action.

Figure 9.10. Page « Comptes » - Page du changement de mot de passe

9.4.6. Lancer le changement automatique du mot de passe


pour un ou plusieurs comptes
Sur la page « Comptes », sélectionnez un ou plusieurs comptes cibles à l’aide de la case à cocher
au début de la ligne puis, cliquez sur l'icône clé dans l'en-tête de la première colonne (près de

109
Wallix AdminBastion 5.0.4 – Guide d’Administration

l'icône corbeille) afin de lancer le changement automatique du mot de passe pour le(s) compte(s)
sélectionné(s). WAB affiche une fenêtre demandant une confirmation avant d'effectuer cette action.

Note :
Les mots de passe sont changés en conformité avec la politique de changement de
mot de passe sélectionnée pour ce domaine. Pour plus d'informations, voir Section 10.3,
« Politiques de changement des mots de passe ».

9.5. Groupes de comptes cibles


Sur la page « Groupes », vous pouvez :

• lister les groupes de comptes cibles déclarés,


• ajouter/modifier/supprimer un groupe,
• visualiser les comptes cibles inclus dans chaque groupe,
• configurer un groupe pour la gestion des sessions, le mappage de compte, la connexion
interactive et la gestion de mot passe,
• importer des groupes de comptes cibles à partir d'un fichier .csv afin d'alimenter la base
ressources de WAB.

Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).

Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.

9.5.1. Ajouter un groupe de comptes cibles


Sur la page « Groupes », cliquez sur « Ajouter un groupe » pour afficher la page de création de
groupe.

Cette page recense les champs suivants :

• le nom du groupe de comptes cibles,


• une description,
• les cibles pouvant être sélectionnées pour appartenir au groupe :
– cliquez sur le bouton souhaité pour gérer l'association du groupe : par exemple, cliquez sur
« Mappage de compte » pour afficher la ou les cibles disponibles pour le mappage de compte.
Déplacez une cible depuis le cadre «  Cibles en mappage de compte disponibles  » vers le
cadre « Cibles en mappage de compte sélectionnées » pour choisir la cible. Et inversement,
déplacez une cible depuis le cadre « Cibles en mappage de compte sélectionnées » vers le
cadre « Cibles en mappage de compte disponibles » pour supprimer l'association.

Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans
la zone dédiée au niveau de l'icône loupe.

Vous pouvez effectuer une sélection multiple dans la liste des cadres.
– répétez l'étape ci-dessus pour ajouter autant de cibles que nécessaire pour le groupe.
• les cibles sélectionnées,

110
Wallix AdminBastion 5.0.4 – Guide d’Administration

• une liste d’actions à appliquer lors de la détection de certaines chaînes de caractères sur le
flux montant des proxys (voir Section 9.5.9, « Analyse des flux SSH / Détection de motifs (ou
« patterns ») » et Section 9.5.10, « Analyse des flux RDP / Détection de motifs (ou « patterns ») »).

Avertissement :
La détection de chaînes de caractères n’est active que pour les données envoyées par
le client vers le serveur et uniquement pour les connexions de type SSH, TELNET ou
RLOGIN.

Figure 9.11. Page « Groupes » en mode création

9.5.2. Modifier un groupe de comptes cibles


Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour afficher
la page de modification du groupe.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du groupe,
excepté le champ « Nom du groupe » qui n’est pas affiché.

9.5.3. Configurer un groupe de comptes cibles pour la


gestion de session
La procédure suivante consiste à définir, au sein d'un groupe donné, les comptes cibles qui seront
accessibles à distance à partir d'un client RDP ou SSH.

111
Wallix AdminBastion 5.0.4 – Guide d’Administration

1. Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour
afficher la page de modification du groupe.
2. Sur la zone « Cibles », cliquez sur le bouton « Compte » sous « Gestion des sessions » afin
d'afficher les comptes disponibles. Double-cliquez sur un compte pour le déplacer depuis le
cadre « Comptes cibles disponibles » vers le cadre « Comptes cibles sélectionnés » pour choisir
la cible. Le compte cible sélectionné est alors listé dans le champ « Compte » de la zone « Cibles
sélectionnées » / « Gestion des sessions » située sous les cadres. Répétez cette étape pour
choisir autant de comptes que nécessaire.
3. Dans le bas de cette page, vous pouvez définir des actions à appliquer lors de la détection de
certaines chaînes de caractères sur le flux montant des proxys (voir Section 9.5.9, « Analyse
des flux SSH / Détection de motifs (ou « patterns ») » et Section 9.5.10, « Analyse des flux
RDP / Détection de motifs (ou « patterns ») »).
4. Cliquez sur le bouton « Appliquer » en bas à droite de la page.

Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans la
zone dédiée au niveau de l'icône loupe.

Vous pouvez effectuer une sélection multiple dans la liste des cadres.

9.5.4. Configurer un groupe de comptes cibles pour le


mappage de compte
La procédure suivante consiste à définir, au sein d'un groupe donné, les cibles qui seront
accessibles par le biais du mappage de compte.

Une cible définie en mappage de compte représente une ressource (équipement+service ou


application) automatiquement créée lorsqu'un service est sauvegardé sur un équipement ou une
application.

Note :
La méthode d'authentification PASSWORD_MAPPING doit être sélectionnée au niveau
de la politique de connexion associée à la cible pour pouvoir se connecter à celle-ci
via le mappage de compte (pour plus d'informations, voir Section 11.5, « Politiques de
connexion »).

1. Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour
afficher la page de modification du groupe.
2. Sur la zone «  Cibles  », cliquez sur le bouton «  Mappage de compte  » sous «  Gestion des
sessions  » afin d'afficher les cibles disponibles en mappage de compte. Double-cliquez sur
une cible pour la déplacer depuis le cadre «  Cibles en mappage de compte disponibles  »
vers le cadre « Cibles en mappage de compte sélectionnées » pour choisir la cible. La cible
sélectionnée en mappage de compte est alors listée dans le champ « Mappage de compte »
de la zone « Cibles sélectionnées » / « Gestion des sessions » située sous les cadres. Répétez
cette étape pour choisir autant de cibles que nécessaire.
3. Dans le bas de cette page, vous pouvez définir des actions à appliquer lors de la détection de
certaines chaînes de caractères sur le flux montant des proxys (voir Section 9.5.9, « Analyse
des flux SSH / Détection de motifs (ou « patterns ») » et Section 9.5.10, « Analyse des flux
RDP / Détection de motifs (ou « patterns ») »).
4. Cliquez sur le bouton « Appliquer » en bas à droite de la page.

112
Wallix AdminBastion 5.0.4 – Guide d’Administration

Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans la
zone dédiée au niveau de l'icône loupe.
Vous pouvez effectuer une sélection multiple dans la liste des cadres.

9.5.5. Configurer un groupe de comptes cibles pour la


connexion interactive
La procédure suivante consiste à définir, au sein d'un groupe donné, les cibles qui seront
accessibles par le biais de la connexion interactive.
Une cible définie en connexion interactive représente une ressource (équipement+service ou
application) automatiquement créée lorsqu'un service est sauvegardé sur un équipement ou une
application.

Note :
La méthode d'authentification PASSWORD_INTERACTIVE doit être sélectionnée au
niveau de la politique de connexion associée à la cible pour pouvoir se connecter à celle-
ci via la connexion interactive (pour plus d'informations, voir Section 11.5, « Politiques
de connexion »).

1. Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour
afficher la page de modification du groupe.
2. Sur la zone « Cibles », cliquez sur le bouton « Connexion interactive » sous « Gestion des
sessions » afin d'afficher les cibles disponibles en connexion interactive. Double-cliquez sur
une cible pour la déplacer depuis le cadre «  Cibles en connexion interactive disponibles  »
vers le cadre « Cibles en connexion interactive sélectionnées » pour choisir la cible. La cible
sélectionnée en connexion interactive est alors listée dans le champ « Connexion interactive »
de la zone « Cibles sélectionnées » / « Gestion des sessions » située sous les cadres. Répétez
cette étape pour choisir autant de cibles que nécessaire.
3. Dans le bas de cette page, vous pouvez définir des actions à appliquer lors de la détection de
certaines chaînes de caractères sur le flux montant des proxys (voir Section 9.5.9, « Analyse
des flux SSH / Détection de motifs (ou « patterns ») » et Section 9.5.10, « Analyse des flux
RDP / Détection de motifs (ou « patterns ») »).
4. Cliquez sur le bouton « Appliquer » en bas à droite de la page.

Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans la
zone dédiée au niveau de l'icône loupe.
Vous pouvez effectuer une sélection multiple dans la liste des cadres.

9.5.6. Configurer un groupe de comptes cibles pour la


gestion de mot de passe
La procédure suivante consiste à définir, au sein d'un groupe donné, les comptes cibles pour
lesquels la visualisation ou l'emprunt du mot de passe sera autorisé.

1. Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour
afficher la page de modification du groupe.
2. Sur la zone « Cibles », cliquez sur le bouton « Compte » sous « Gestion des mots de passe »
afin d'afficher les comptes disponibles. Double-cliquez sur un compte pour le déplacer depuis

113
Wallix AdminBastion 5.0.4 – Guide d’Administration

le cadre «  Comptes disponibles  » vers le cadre «  Comptes sélectionnés  » pour choisir la


cible. Le compte sélectionné est alors listé dans le champ «  Compte  » de la zone «  Cibles
sélectionnées » / « Gestion des mots de passe » située sous les cadres. Répétez cette étape
pour choisir autant de comptes que nécessaire.
3. Dans le bas de cette page, vous pouvez définir des actions à appliquer lors de la détection de
certaines chaînes de caractères sur le flux montant des proxys (voir Section 9.5.9, « Analyse
des flux SSH / Détection de motifs (ou « patterns ») » et Section 9.5.10, « Analyse des flux
RDP / Détection de motifs (ou « patterns ») »).
4. Cliquez sur le bouton « Appliquer » en bas à droite de la page.

Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans la
zone dédiée au niveau de l'icône loupe.

Vous pouvez effectuer une sélection multiple dans la liste des cadres.

9.5.7. Supprimer un groupe de comptes cibles


Sur la page « Groupes », sélectionnez un ou plusieurs groupes de comptes cibles à l’aide de la
case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection.
WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes
sélectionnées.

Avertissement :
Vous ne pouvez pas supprimer un groupe de comptes cibles lorsque des autorisations
actives (voir Chapitre  12, Gestion des autorisations ) et/ou des comptes cibles sont
rattachés à ce groupe.

9.5.8. Importer des groupes de comptes cibles


Sur la page « Groupes », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite
de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu
« Import/Export » : la case « Groupes de ressources » est déjà cochée pour l'import des données.
Les séparateurs de champs et de listes sont également configurables.

Le fichier doit commencer par une ligne contenant le marqueur :

#wab504 targetgroup

Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 :

#wab50 targetgroup

Chaque ligne suivante doit être formée comme indiqué ci-dessous :

Champ Type R(equis)/ Valeurs possibles Valeur


O(ptionnel) par défaut
Nom Texte R [aA-zZ], [0-9], '-', '_' N/A

Le nom du groupe est


unique.

114
Wallix AdminBastion 5.0.4 – Guide d’Administration

Champ Type R(equis)/ Valeurs possibles Valeur


O(ptionnel) par défaut
Description Texte O Texte libre N/A
Compte cible Texte O Compte cible N/A
sélectionné

Il peut n'y avoir aucun


compte cible ou un
ou plusieurs comptes
cibles dans chaque
catégorie ou dans
toutes les catégories en
même temps.
Un compte cible peut
être défini sur un
domaine global (et non
local).

Format pour les


comptes cibles :
compte@domaine@équipe--
ment:protocole
Mappage de compte Texte O Cible en mappage de N/A
compte sélectionnée

Format pour les


cibles en mappage
de compte :
équipement:protocole
Connexion interactive Texte O Cible en connexion N/A
interactive sélectionnée

Format pour les


cibles en connexion
interactive :
équipement:protocole
Emprunt du mot de Texte O Compte cible N/A
passe sélectionné

Format pour les


comptes cibles :
compte@domaine@équipe--
ment:protocole

Après l’importation du fichier .csv, un résumé de l’opération s’affiche.

Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.

115
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 9.12. Page « CSV » - case « Groupes de ressources » cochée

9.5.9. Analyse des flux SSH / Détection de motifs (ou


« patterns »)
Lors de la création/modification des groupes, il est possible de définir une liste d’actions à appliquer
lors de la détection de certaines chaînes de caractères sur le flux montant du proxy SSH en activant/
désactivant la détection de motifs, également appelés « patterns ». Les données analysées sont
celles saisies par l’utilisateur.

Avertissement :
La détection de chaînes de caractères n’est active que pour les données envoyées par
le client vers le serveur.

La liste des motifs appliqués est la somme de ceux présents dans le groupe d’utilisateurs et le
groupe de comptes cibles. L’action liée est la plus restrictive : si l’un des groupes porte l’action
« Kill » (ou « Fermer »), c’est cette action qui sera choisie.

Les règles sont à rentrer sous la forme d’expressions régulières, à raison d’une expression par ligne.

Exemple  : pour empêcher la suppression de fichiers, les expressions à rentrer dans le champ
« Règles » sont :

unlink\s+.*
rm\s+.*

9.5.9.1. Avertissement pour les actions « Kill » (ou « Fermer »)


Par défaut, les actions « Kill » (ou « Fermer ») coupent la session à la première détection.

Il est néanmoins possible de définir un nombre de détections avec blocage et avertissement avant
coupure de la session.

116
Wallix AdminBastion 5.0.4 – Guide d’Administration

Pour cela, il est nécessaire de paramétrer une option globale du proxy SSH : sur la page « Options
de configuration » du menu « Configuration », sélectionnez « SSH proxy » dans la liste pour accéder
à la page de configuration du proxy SSH, puis entrez un nombre entier positif dans le champ
« Warning count ». Cette valeur est par défaut à « 0 ».
Par exemple, une valeur de « 5 » avertira cinq fois l’utilisateur d’une détection (tout en bloquant
l’exécution de la commande) avant de couper la session à la sixième détection.

9.5.9.2. Transferts de fichiers
Pour les sous-protocoles SFTP_SESSION, SSH_SCP_UP et SSH_SCP, il est possible de créer
une expression basée sur la taille des fichiers dans le but de détecter le transfert de fichiers
volumineux. La syntaxe est la suivante:

$filesize:>X

X est une taille en octets.


Une lettre finale (telle que « m », « k », « g ») peut être mentionnée pour indiquer une échelle,
comme indiqué dans le tableau ci-dessous :

Lettre Echelle
k 1 000
m 1 000 000
g 1 000 000 000
10
K 1024 (2 )
20
M 1 048 576 (2 )
30
G 1 073 741 824 (2 )
Tableau 9.1. Échelle

9.5.9.3. Détections de commandes Cisco IOS


Les routeurs CISCO sous IOS sont des systèmes assez restreints pour la saisie des commandes
mais supportent l’auto-complétion et la saisie partielle lorsque les préfixes de commandes sont
non-ambigüs.
Il est donc nécessaire d’avoir une extension particulière de la syntaxe des règles pour interdire ou
autoriser certaines commandes de la manière la plus complète possible sur un système cible de
ce type.

Avertissement :
Une cible ayant ce type règles de détection sera considérée comme un équipement
CISCO IOS. Il ne faut donc pas l’utiliser pour un autre type de cible comme Linux/Unix
sous peine de dysfonctionnement.

Cette extension de syntaxe est utilisable avec les sous-protocoles SSH_SHELL_SESSION,


RLOGIN ou TELNET (selon le type de connexion), pour n’importe quel type d’action.
Deux modes sont disponibles :

• Liste blanche de commandes : seules les commandes listées sont autorisées. Dans le champ
« Règles », saisir : $acmd:[liste de commandes]

117
Wallix AdminBastion 5.0.4 – Guide d’Administration

• Liste noire de commandes : toutes les commandes sont autorisées sauf celles listées. Dans le
champ « Règles », saisir : $cmd:[liste de commandes]

La liste de commande est délimitée par des crochets, chaque commande est séparée par une
virgule. Par exemple  : [enable, show kerberos, access-template, configure
terminal]
Une commande peut contenir un séparateur «  :  » qui indique la fin du préfixe non-ambigü. La
commande en elle-même ne peut pas contenir de caractère « : ». Par exemple pour les commandes
« en[able] », « sh[ow] kerb[eros] », « access-t[emplate] », et « conf[igure] t[erminal] » la liste serait :
[en:able, sh:ow kerb:eros, access-t:emplate, conf:igure t:erminal]
Exemple de liste blanche :

$acmd:[en:able, sh:ow kerb:eros, access-t:emplate, conf:igure t:erminal]


$acmd:[sh:ow]

Exemple de liste noire :

$cmd:[en:able, sh:ow]

En cas de déclarations multiples, toutes les listes du même type sont fusionnées.
Si des listes blanches et noires sont déclarés en même temps, la détection se fera par la liste
blanche dans laquelle on aura enlevé les commandes de la liste noire.
Par défaut, et de manière implicite, les commandes « alias » et « prompt » seront ajoutées à une
liste noire et la commande « exit » sera ajoutée à une liste blanche.
Exemple de détection utilisant la liste blanche : [w:here, sh:ow ke:rberos, co:nnect]

Saisie Détection
show Oui
show kerb Non
sh ke c Non
show kron schedule Oui
show ip arp Oui
config t Oui
where Non
w Non
alias show montrer Oui
exit Non
Tableau 9.2. Détection Cisco IOS avec liste blanche
Exemple de détection utilisant la liste noire : [w:here, sh:ow ke:rberos, co:nnect]

Saisie Détection
show Non
show kerb Oui
sh ke c Oui
show kron schedule Non

118
Wallix AdminBastion 5.0.4 – Guide d’Administration

Saisie Détection
show ip arp Non
config t Non
where Oui
w Oui
alias show montrer Oui
exit Non
Tableau 9.3. Détection Cisco IOS avec liste noire

9.5.10. Analyse des flux RDP / Détection de motifs (ou


« patterns »)
Lors de la création/modification des groupes, il est possible de définir une liste d’actions à appliquer
lors de la détection de certaines chaînes de caractères dans le flux clavier du proxy RDP (les
données analysées sont celles tapées par l’utilisateur) et/ou dans les barres de titre des fenêtres (les
données analysées sont celles affichées à l’écran). Cela se fait en activant/désactivant la détection
de motifs, également appelés « patterns ».

Avertissement :
La détection de chaînes de caractères n’est active que pour les données envoyées par
le client vers le serveur.

La liste des motifs appliqués est la somme de ceux présents dans le groupe d’utilisateurs et le
groupe de comptes cibles. L’action liée est la plus restrictive : si l’un des groupes porte l’action
« Kill » (ou « Fermer »), c’est cette action qui sera choisie.
Les actions sont à rentrer sous la forme d’expressions régulières, à raison d’une expression par
ligne.
Une expression préfixée par « $kbd: » s’appliquera uniquement aux flux clavier.
Une expression préfixée par «  $ocr:  » ou sans préfixe s’appliquera uniquement aux titres des
fenêtres.
Enfin, une expression préfixée par « $kbd-ocr: » ou « $ocr-kbd: » s’appliquera aux deux.
Exemples : pour empêcher la suppression de fichiers depuis l’Invite de commande (cmd.exe), les
expressions à rentrer sont les suivantes :

$kbd:del\s+.*
$kbd:erase\s+.*

Pour empêcher l’ouverture de l’invite de commande elle-même :

$ocr:Invite de commande
$ocr:.*\\cmd.exe

Avertissement :
Si vous choisissez de fermer la session quand une barre de titre de fenêtre spécifique
est affichée, les utilisateurs ne pourrons pas se reconnecter tant que cette fenêtre n’aura

119
Wallix AdminBastion 5.0.4 – Guide d’Administration

pas été fermée ou son titre changé car leurs sessions seront de nouveau fermées
immédiatement.

9.5.11. Importer des règles restrictives pour les groupes de


comptes cibles et les groupes utilisateurs
Vous pouvez importez des règles restrictives permettant de définir des actions à appliquer lors de
la détection de certaines chaînes de caractères sur le flux montant des proxys (voir Section 9.5.9,
« Analyse des flux SSH / Détection de motifs (ou « patterns ») » et Section 9.5.10, « Analyse des flux
RDP / Détection de motifs (ou « patterns ») »). Ces règles se définissent dans le champ « Règles ».
Sur la page « CSV » du menu « Import/Export », cochez la case « Restrictions » pour importer les
données. Les séparateurs de champs et de listes sont également configurables.
Le fichier doit commencer par une ligne contenant le marqueur :
#wab504 restriction

Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 :


#wab50 restriction

Chaque ligne suivante doit être formée comme indiqué ci-dessous :

Champ Type R(equis)/ Valeurs possibles Valeur par défaut


O(ptionnel)
Nom Texte R [aA-zZ], [0-9], '-', '_' N/A

Le nom du groupe est


unique.
Type Texte R Cible / Utilisateur N/A
Action Texte R «  Kill  » (ou «  Fermer  ») /
« Notify » (ou « Notifier »)
Règles Texte R Expressions régulières, à N/A
raison d’une expression par
ligne

Il peut y avoir des règles


définies à la fois sur les
groupes de comptes cibles
et sur les groupes utilisateurs
au sein du même fichier.
Sous-protocole Texte R Nom du sous-protocole N/A

Après l’importation du fichier .csv, un résumé de l’opération s’affiche.


Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.

9.6. Clusters
Un cluster est un groupe de serveurs de rebond. L’utilisation d’un cluster à la place d’un équipement
unique permet de mettre en place de la répartition de charge et de la Haute Disponibilité pour une

120
Wallix AdminBastion 5.0.4 – Guide d’Administration

application. La sélection du serveur de rebond à utiliser pour exécuter une application se fait en
deux étapes. WAB trie les serveurs en commençant par celui avec le moins de sessions ouvertes,
puis essaie de se connecter à chacun jusqu’à la première tentative qui réussit.

La gestion des clusters se fait à partir de la page « Clusters » du menu « Ressources et comptes ».
Il suffit d’ajouter à un cluster les équipements qui le composent.

Sur la page « Clusters », vous pouvez :

• lister les clusters et les comptes cibles déclarés sur chacun des groupes,
• ajouter/modifier/supprimer un cluster,
• importer des clusters à partir d'un fichier .csv afin d'alimenter la base ressources de WAB.

Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).

Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.

9.6.1. Ajouter un cluster
Sur la page « Clusters », cliquez sur « Ajouter un cluster » pour afficher la page de création du
cluster.

Cette page recense les champs suivants :

• un champ pour la saisie du nom du cluster,


• une description,
• les cibles pouvant être sélectionnées pour appartenir au cluster : déplacez une cible depuis le
cadre «  Cibles disponibles  » vers le cadre «  Cibles sélectionnées  » pour choisir la cible. Et
inversement, déplacez une cible depuis le cadre « Cibles sélectionnées » vers le cadre « Cibles
disponibles » pour supprimer l'association.

Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans
la zone dédiée au niveau de l'icône loupe.

Vous pouvez effectuer une sélection multiple dans la liste des cadres.

121
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 9.13. Page « Clusters » en mode création

9.6.2. Modifier un cluster
Sur la page « Clusters », cliquez sur un nom de cluster puis sur « Modifier ce cluster » pour afficher
la page de modification du cluster.

Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du cluster,
excepté le champ « Nom du cluster » qui n’est pas modifiable.

9.6.3. Supprimer un cluster
Sur la page « Clusters », sélectionnez un ou plusieurs clusters à l’aide de la case à cocher au début
de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WAB affiche une fenêtre
demandant une confirmation avant la suppression définitive des lignes sélectionnées.

9.6.4. Importer des clusters


Sur la page « Clusters », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite
de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu
« Import/Export » : la case « Clusters » est déjà cochée pour l'import des données. Les séparateurs
de champs et de listes sont également configurables.

Le fichier doit commencer par une ligne contenant le marqueur :

#wab504 cluster

Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 :

#wab50 cluster

Chaque ligne suivante doit être formée comme indiqué ci-dessous :

122
Wallix AdminBastion 5.0.4 – Guide d’Administration

Champ Type R(equis)/O(ptionnel) Valeurs possibles Valeur


par défaut
Nom TexteR [aA-zZ], [0-9], '-', '_' N/A
Description TexteO Texte libre N/A
Compte cible TexteR/O Comptes cibles définis N/A

Il doit y avoir au
moins un compte cible
existant ou une cible
existante en mappage
de compte ou encore
une cible existante en
connexion interactive.

Il peut n'y avoir


aucune cible ou une
ou plusieurs cibles
dans chaque catégorie
ou dans toutes les
catégories pour le
cluster.
Mappage de compte TexteR/O Cibles en mappage de N/A
compte définies

Il doit y avoir au
moins un compte cible
existant ou une cible
existante en mappage
de compte ou encore
une cible existante en
connexion interactive.
Il peut n'y avoir
aucune cible ou une
ou plusieurs cibles
dans chaque catégorie
ou dans toutes les
catégories pour le
cluster.
Connexion interactive TexteR/O Cible en connexion N/A
interactive définies

Il doit y avoir au
moins un compte cible
existant ou une cible
existante en mappage
de compte ou encore
une cible existante en
connexion interactive.
Il peut n'y avoir
aucune cible ou une
ou plusieurs cibles

123
Wallix AdminBastion 5.0.4 – Guide d’Administration

Champ Type R(equis)/O(ptionnel) Valeurs possibles Valeur


par défaut
dans chaque catégorie
ou dans toutes les
catégories pour le
cluster.

Après l’importation du fichier .csv, un résumé de l’opération s’affiche.

Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.

Figure 9.14. Page « CSV » - case « Clusters » cochée

9.7. Politiques d'emprunt du mot de passe


La politique d'emprunt définit les paramètres relatif au processus d'emprunt du mot de passe du
compte.

Sur la page « Politiques d'emprunt », vous pouvez :

• lister les politiques,


• ajouter/modifier/supprimer une politique d'emprunt.

Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).

Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.

124
Wallix AdminBastion 5.0.4 – Guide d’Administration

Avertissement :
Une politique d'emprunt par défaut appelée « default » est configurée au sein de WAB.
Vous pouvez modifier cette politique mais vous ne pouvez pas la supprimer.

9.7.1. Ajouter une politique d'emprunt du mot de passe


Sur la page « Politiques d'emprunt », cliquez sur « Ajouter une politique d'emprunt » pour afficher
la page de création de la politique.
Cette page recense les champs suivants :

• un champ pour la saisie du nom de la politique,


• une description,
• une case à cocher pour activer le verrouillage du compte durant le processus d'emprunt du mot
de passe afin d'éviter une utilisation simultanée par plusieurs utilisateurs.
• si le verrouillage est activé :

• – la durée d'emprunt exprimée en heures et en minutes (par exemple, saisir « 1h20 » pour une
heure et vingt minutes ou « 5 » pour cinq minutes). Cette durée doit être renseignée.
– l'extension de la durée d'emprunt exprimée en heures et en minutes (par exemple, saisir
« 1h20 » pour une heure et vingt minutes ou « 5 » pour cinq minutes),
– la durée maximum d'emprunt exprimée en heures et en minutes (par exemple, saisir « 1h20 »
pour une heure et vingt minutes ou « 5 » pour cinq minutes),
– une case à cocher pour paramétrer le changement du mot de passe lors de la restitution.

Figure 9.15. Page « Politiques d'emprunt » en mode création

9.7.2. Modifier une politique d'emprunt du mot de passe


Sur la page «  Politiques d'emprunt  », cliquez sur un nom de politique puis sur «  Modifier cette
politique d'emprunt » pour afficher la page de modification de la politique.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la politique.

9.7.3. Supprimer une politique d'emprunt du mot de passe


Sur la page «  Politiques d'emprunt  », sélectionnez une ou plusieurs politiques à l’aide de la
case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection.

125
Wallix AdminBastion 5.0.4 – Guide d’Administration

WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes
sélectionnées.

Avertissement :
Vous ne pouvez pas supprimer une politique d'emprunt du mot de passe lorsque celle-
ci est associée à au moins un compte cible.

126
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 10. Gestion des mots de passe


Avertissement :
Le menu « Gestion des mots de passe » et l'entrée « Mots de passe » du menu « Mes
autorisations » peuvent être utilisés lorsque la fonctionnalité WAB Password Manager
est associée à votre clé de licence (voir Section 3.4, « WAB Password Manager »).

10.1. Autorisations de l'utilisateur sur les mots


de passe
Sur la page « Mots de passe » du menu « Mes autorisations », l'utilisateur peut visualiser la liste
des comptes cibles pour lesquels il/elle est autorisé(e) à visualiser/emprunter le mot de passe.
L'utilisateur est donc autorisée à visualiser les accréditations des comptes (identifiant, mot de passe
et clé SSH).

Sur chaque ligne, l'utilisateur peut :

• soit visualiser le mot de passe du compte en cliquant sur « Afficher » au début de la ligne. Dans
ce cas, le verrouillage du compte a été désactivé au niveau de la politique d'emprunt associée
à ce compte cible,
• soit emprunter le mot de passe du compte en cliquant sur « Emprunter » au début de la ligne.
Dans ce cas, le verrouillage du compte a été activé au niveau de la politique d'emprunt associée
à ce compte-cible. Pour plus d'informations, voir Section  9.7, «  Politiques d'emprunt du mot
de passe  ». Dans la fenêtre permettant d'afficher le mot de passe, il est alors nécessaire de
cliquer sur le bouton « Restitution » pour restituer le compte avant la fin de la durée d'emprunt.
Néanmoins, le compte sera automatiquement restitué à la fin de cette durée. La durée d'emprunt
a été définie au niveau de la politique d'emprunt.

Si une procédure d'approbation a été définie pour autoriser l'accès au mot de passe de la
cible, l'utilisateur peut notifier les approbateurs et obtenir l'accès au mot de passe de la cible en
cliquant sur « Demande » dans la colonne « Approbation ». La page « Demande d'approbation »
s'affiche alors et une date et une heure de début ainsi qu'une durée doivent être renseignées.
Un commentaire pour saisir un motif concernant la demande d'approbation ainsi qu'une référence
peuvent être renseignés respectivement dans les champs « Commentaire  » et « Référence du
ticket », si les options correspondantes ont été activées lors de la définition de l'autorisation. Dans
le cas contraire, ces deux champs ne sont pas affichés. Pour plus d'informations, voir Section 12.7,
« Procédure d'approbation ».

Lorsque la requête est formulée, l'utilisateur est redirigé sur la page « Mots de passe » et il/elle
peut visualiser le statut des demandes d'approbation envoyées dans le tableau en bas de la page.

Chaque ligne présente les informations suivantes :

• la cible pour laquelle la demande est formulée,


• la date et l'heure de début de la demande,
• la durée de la demande,
• la référence du ticket associé à la demande,
• le quorum actuel,

127
Wallix AdminBastion 5.0.4 – Guide d’Administration

• le statut de la demande,
• les réponses des approbateurs.

L'utilisateur peut cliquer sur l'icône bloc-notes au début de la ligne pour obtenir une vue détaillée
de la demande. Le bouton « Annuler la demande » sur la page permet d'annuler les demandes
encore valides.

Figure 10.1. Menu « Mes autorisations » - Page « Mots de passe »

10.2. Plugins de changement des mots de passe


Sur la page « Plugins chgt mot de passe » du menu « Gestion des mots de passe », vous pouvez
visualiser la liste des plugins configurés au sein de WAB.

Un plugin de changement de mot de passe peut être sélectionné lors de la création/modification


d'un domaine global ou local (voir Section 9.1, « Domaines » et plusieurs paramètres peuvent être
définis en fonction du plugin choisi.

Figure 10.2. Page « Plugins de changement des mots de passe »

10.2.1. Plugin Windows
Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine global ou local
(voir Section 9.1, « Domaines ») sont les suivants :

• Adresse du contrôleur de domaine : adresse Active Directory. Ce paramètre est requis pour un
domaine global.

128
Wallix AdminBastion 5.0.4 – Guide d’Administration

• Identifiant administrateur et mot de passe administrateur : identifiant et mot de passe d'un compte
à privilèges autorisé à changer les mots de passe d'autres comptes. Ces paramètres sont
optionnels mais veuillez noter que WAB ne pourra pas définir le nouveau mot de passe d'un
compte si l'ancien n'existe pas. Ces paramètres correspondent aux accréditations du compte
renseigné dans le champ « Compte administrateur » (voir Section 9.1, « Domaines ») au niveau
du domaine et sont utilisés pour la mise en place de la réconciliation.

Avertissement :
Afin de permettre le bon déroulement du changement automatique de mot de passe au
sein de WAB, nous vous recommandons vivement de modifier la valeur définie par défaut
pour la durée de vie minimale du mot de passe, au niveau des paramètres de la politique
de mot de passe de Windows. Cette valeur devrait être paramétrée à « 0 ».

Pour les comptes de domaines, la durée de vie minimale du mot de passe peut être
changée dans les paramètres de sécurité de Windows, au niveau des stratégies de
groupe.

Pour les comptes locaux, la durée de vie minimale du mot de passe peut être changée
dans les paramètres de sécurité de Windows, au niveau de la politique locale.

10.2.2. Plugin Cisco
Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine global ou local
(voir Section 9.1, « Domaines ») sont les suivants :

• Hôte : nom d'hôte ou IP du serveur SSH. Ce paramètre est requis.


• Port : numéro du port du serveur SSH,
• Mot de passe de enable : mot de passe d'élévation de privilèges pour la commande « enable
». Ce paramètre est requis.

Avertissement :
Depuis OpenSSH 7.0, des algorithmes faibles ont été désactivés au niveau de la
configuration par défaut, même si ceux-ci étaient les seuls à être supportés par des
anciens serveurs. De ce fait, le changement de mot passe effectué avec le plugin Cisco
peut échouer.

Il est donc nécessaire d'activer l’algorithme d'échange de clés « diffie-hellman-group1-


sha1 »et l'algorithme de clé d'hôte « ssh-dss » en ajoutant les lignes suivantes dans le
fichier /etc/ssh/ssh_config :

KexAlgorithms +diffie-hellman-group1-sha1
HostKeyAlgorithms +ssh-dss

10.2.3. Plugin Unix
Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine global ou local
(voir Section 9.1, « Domaines ») sont les suivants :

• Hôte : nom d'hôte ou IP du serveur SSH. Ce paramètre est requis.

129
Wallix AdminBastion 5.0.4 – Guide d’Administration

• Port : numéro du port du serveur SSH,

• Mot de passe root : mot de passe pour la connexion avec les privilèges « root ».

Avertissement :
Depuis OpenSSH 7.0, des algorithmes faibles ont été désactivés au niveau de la
configuration par défaut, même si ceux-ci étaient les seuls à être supportés par des
anciens serveurs. De ce fait, le changement de mot passe effectué avec le plugin Unix
peut échouer.

Il est donc nécessaire d'activer l’algorithme d'échange de clés « diffie-hellman-group1-


sha1 »et l'algorithme de clé d'hôte « ssh-dss » en ajoutant les lignes suivantes dans le
fichier /etc/ssh/ssh_config :

KexAlgorithms +diffie-hellman-group1-sha1
HostKeyAlgorithms +ssh-dss

10.2.4. Plugin Oracle
Ce plugin permet le changement du mot de passe de la base de donneés Oracle.

Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine global ou local
(voir Section 9.1, « Domaines ») sont les suivants :

• Hôte : Adresse de la base de données. Ce paramètre est requis.


• Port : numéro du port,
• Nom du service : Nom du service de la base de données (SID). Ce paramètre est requis.

10.3. Politiques de changement des mots de


passe
Une politique de changement des mots de passe détermine les paramètres du changement des
mots de passe et peut être sélectionnée lors de la création/modification d'un domaine global.

Avertissement :
Tous les mots de passe pour lesquels le changement automatique est configuré comme
indiqué Section 9.4.1, « Ajouter un compte cible » seront remplacés. Il vous appartient de
vérifier que les e-mails contenant les nouveaux mots de passe ont bien été reçus et qu’ils
peuvent être déchiffrés. Nous vous recommandons d'effectuer un test du processus en
vous basant sur un compte administrateur unique.

Sur la page « Politiques chgt mot de passe » du menu « Gestion des mots de passe », vous pouvez
lister, ajouter, modifier ou supprimer des politiques de changement des mots de passe.

Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).

Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.

130
Wallix AdminBastion 5.0.4 – Guide d’Administration

10.3.1. Ajouter une politique de changement des mots de


passe
Sur la page « Politiques chgt mot de passe », cliquez sur « Ajouter une politique de changement
des mots de passe » pour afficher la page de création de la politique.

Cette page recense les champs suivants :

• un champ pour la saisie du nom de la politique,


• une description,

• la longueur du mot de passe, c'est-à-dire le nombre de caractères que le mot de passe doit
contenir,
• le nombre minimal de caractères ASCII non alphanumériques (ou caractères spéciaux) que le
mot de passe doit contenir,
• le nombre minimal de caractères alphabétiques en minuscules que le mot de passe doit contenir,
• le nombre minimal de caractères alphabétiques en majuscules que le mot de passe doit contenir,
• le nombre minimal de chiffres que le mot de passe doit contenir,
• les caractères interdits dans le mot de passe,

• la périodicité du changement, c'est-à-dire à la fréquence à laquelle le changement des mots de


passe est automatiquement déclenché. Cette fréquence peut être toutes les heures, quotidienne,
hebdomadaire ou désactivée.

Figure 10.3. Page « Politiques de changement des mots de passe » en mode création

10.3.2. Modifier une politique de changement des mots de


passe
Sur la page « Politiques chgt mot de passe », cliquez sur un nom de politique puis sur « Modifier
cette politique de changement des mots de passe » pour afficher la page de modification de la
politique.

Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la politique.

131
Wallix AdminBastion 5.0.4 – Guide d’Administration

10.3.3. Supprimer une politique de changement des mots de


passe
Sur la page « Politiques chgt mot de passe », sélectionnez une ou plusieurs politiques à l’aide de
la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection.
WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes
sélectionnées.

132
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 11. Gestion des sessions


Avertissement :
Le menu « Gestion des sessions » et l'entrée « Sessions » du menu « Mes autorisations »
peuvent être utilisés lorsque la fonctionnalité WAB Session Manager est associée à votre
clé de licence (voir Section 3.3, « WAB Session Manager »).

11.1. Autorisations de l'utilisateur sur les


sessions
Sur la page « Sessions » du menu « Mes autorisations », l'utilisateur peut visualiser la liste des
cibles auxquelles il/elle est autorisé(e) à se connecter.
Sur chaque ligne, l'utilisateur peut accéder à la cible en cliquant sur l'une des icônes suivantes :

• : cette icône permet à l'utilisateur de télécharger un fichier de configuration (RDP, WABPutty


sous Windows ou SSH sous d'autres systèmes) qu'il/elle peut sauvegarder pour établir une
connexion depuis un client RDP ou SSH (suffixe du nom de fichier .puttywab sous Windows et
.sh sous Linux). Dans ce cas, le mot de passe WAB est requis pour la connexion.
• : (« Accès immédiat (mot de passe valable une fois, limité dans le temps) ») : cette icône
permet à l'utilisateur d'ouvrir le fichier pour établir une connexion immédiate depuis un client RDP
(suffixe du nom de fichier .rdp sous Windows et .sh sous Linux). Dans ce cas, aucun mot de
passe n'est requis mais l'accès est autorisé pour une durée limitée. Cette icône est également
affichée pour une connexion à une application.
• : (« Accès immédiat avec WABPutty (mot de passe valable une fois, limité dans le temps) ») :
cette icône permet à l'utilisateur d'ouvrir le fichier pour établir une connexion immédiate depuis
un client SSH (suffixe du nom de fichier .puttywab sous Windows et .sh sous Linux). Dans ce
cas, aucun mot de passe n'est requis mais l'accès est autorisé pour une durée limitée. Veuillez
voir également Section 11.2, « Options sur les login primaires pour les protocoles SCP et SFTP
via SSH » pour l'authentification SSH.

Pour pouvoir utiliser les fichiers .puttywab sous Windows, il faut auparavant télécharger et
installer l'application WABPutty à partir du lien « Télécharger WABPutty » affiché dans le haut
de cette page. L'installation prend en charge l'association des fichiers afin que l'application
soit démarrée automatiquement. L'installation ne nécessite pas de privilèges d'administration.
Cependant l'installation est uniquement fonctionnelle pour l'utilisateur connecté et non pour
l'ensemble des utilisateurs du poste de travail.
Si une procédure d'approbation a été définie pour autoriser la connexion à la cible, l'utilisateur peut
notifier les approbateurs et obtenir l'accès à la cible en cliquant sur « Demande » dans la colonne
« Approbation ». La page « Demande d'approbation » s'affiche alors et une date et une heure de
début ainsi qu'une durée doivent être renseignées. Un commentaire pour saisir un motif concernant
la demande d'approbation ainsi qu'une référence peuvent être renseignés respectivement dans
les champs « Commentaire » et « Référence du ticket », si les options correspondantes ont été
activées lors de la définition de l'autorisation. Dans le cas contraire, ces deux champs ne sont pas
affichés. Pour plus d'informations, voir Section 12.7, « Procédure d'approbation ».
Lorsque la requête est formulée, l'utilisateur est redirigé sur la page « Sessions » et il/elle peut
visualiser le statut des demandes d'approbation envoyées dans le tableau en bas de la page.

133
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chaque ligne présente les informations suivantes :

• la cible pour laquelle la demande est formulée,


• la date et l'heure de début de la demande,
• la durée de la demande,
• la référence du ticket associé à la demande,
• le quorum actuel,
• le statut de la demande,
• les réponses des approbateurs.

L'utilisateur peut cliquer sur l'icône bloc-notes au début de la ligne pour obtenir une vue détaillée
de la demande. Le bouton « Annuler la demande » sur la page permet d'annuler les demandes
encore valides.

Figure 11.1. Menu « Mes autorisations » - Page « Sessions »

11.2. Options sur les login primaires pour les


protocoles SCP et SFTP via SSH
Les protocoles SCP et SFTP ne permettant pas l'authentification en mode interactif sur un compte
secondaire, il est alors nécessaire de rajouter des options spécifiques au niveau de la connexion
primaire pour obtenir des invites sur la cible secondaire en utilisant le clavier interactif primaire.
Ceci suppose que le client supporte la méthode d'authentification par le clavier interactif.

Le point d'interrogation « ? » est un caractère interdit dans le login de l'utilisateur primaire mais il
peut être utilisé comme séparateur pour indiquer des options (à droite) demandant explicitement
une invite pour saisir un login et/ou mot de passe pour la cible.

L'option « p » demande un mot de passe secondaire.

L'option « l » demande un login secondaire.

Le point d'interrogation « ? » sans option demande par défaut un mot de passe secondaire.

Exemples:

134
Wallix AdminBastion 5.0.4 – Guide d’Administration

login: “wabuser” : pas d'invite supplémentaire

login: “wabuser?” : invite de saisie du mot de passe secondaire

login: “wabuser?p” : invite de saisie du mot de passe secondaire

login : “wabuser?l” : invite de saisie du login secondaire

login : “wabuser?lp” : invite de saisie du login secondaire en premier, puis invite de saisie du mot
de passe secondaire.

Le mot de passe est requis lorsque la méthode d'authentification PASSWORD_INTERACTIVE a


été sélectionnée au niveau de la politique de connexion associée à la cible (pour plus d'informations,
voir Section 11.5, « Politiques de connexion »).

11.3. Données d'audit
Le menu «  Audit  » vous permet de visualiser les données d'audit de WAB et notamment les
historiques des connexions.

11.3.1. Sessions courantes
Sur la page « Sessions courantes  » du menu « Audit  », vous pouvez visualiser la liste des
connexions actives et initiées depuis WAB pour les sessions RDP et SSH (les connexions actives
sur l’interface Web ne sont pas représentées).

Note :
Le terme générique «  connexion  » sera utilisé dans cette section pour désigner
indifféremment les connexions SSH et RDP.

Dans le haut de la page, vous pouvez choisir d'activer/désactiver le rafraîchissement automatique


des données affichant les connexions courantes. Lorsque l'option correspondante est activée, il est
possible de déterminer la fréquence de ce rafraîchissement. Ceci peut notamment s'avérer utile
lors de la sélection des connexions actives à interrompre.

Chaque ligne présente les informations suivantes :

• l’utilisateur (désigné sous la forme : identifiant@machine(ip)),


• le protocole source (RDP ou SSH),
• le protocole de destination,
• la cible accédée (désignée sous la forme : compte@équipement:service),
• l’heure d’initialisation de la connexion,
• la durée de la connexion.

Sur cette page, vous pouvez également interrompre une ou plusieurs connexions : sélectionnez
une ou plusieurs connexions à l’aide de la case à cocher au début de la ligne puis, cliquez sur
l'icône rouge, dans l'en-tête de colonne, pour fermer les sessions correspondantes. WAB affiche
une fenêtre demandant une confirmation avant l'interruption des connexions.

Les utilisateurs connectés via RDP ou SSH sont alors informés que la connexion a été interrompue
par l'administrateur, comme illustré ci-dessous :

135
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 11.2. Coupure de connexion SSH initiée par l'administrateur

11.3.2. Sessions courantes en temps réel


Sur la page « Sessions courantes  » du menu « Audit  », vous pouvez visualiser les sessions
courantes RDP ou SSH en temps réel lorsque l'enregistrement de session a été activé au niveau
de l'autorisation définie pour le groupe utilisateurs et le groupe de comptes cibles. Pour plus
d'informations, voir Chapitre 12, Gestion des autorisations .

Cliquez sur l'icône de la loupe située au début de la ligne concernée dans la liste pour ouvrir une
fenêtre vous permettant de visualiser la session en temps réel. Cliquez une deuxième fois sur
l'icône pour fermer la fenêtre.

11.3.3. Historique des sessions


Sur la page « Historique des sessions » du menu « Audit », vous pouvez visualiser l’historique de
l’ensemble des connexions effectuées depuis WAB.

Avertissement :
Cette page affiche uniquement les connexions terminées. Pour obtenir une vue des
connexions actives, voir Section 11.3.1, « Sessions courantes ».

136
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 11.3. Page « Historique des sessions »

Chaque ligne présente les informations suivantes :

• l'utilisateur et l’IP source de connexion (désigné sous la forme : identifiant@ipsource),


• la cible accédée (désignée sous la forme : compte@équipement:service),
• le protocole source,
• le protocole de destination,
• l’heure d’initialisation de la connexion,
• l’heure de fin de la connexion,
• la durée de la connexion,
• le résultat de la connexion. En cas d'échec, cliquez sur l'icône pour obtenir des informations sur le
problème de connectivité (par exemple, mot de passe du compte erroné, ressource injoignable,
etc.). Vous pouvez modifier cette description si nécessaire. En cas de succès, vous pouvez
cliquer sur l'icône pour ajouter une description si nécessaire.

Des filtres peuvent être définis dans le haut de la page pour faciliter la recherche et restreindre
l'affichage aux données pertinentes. Ces filtres sont les suivants :

• un tri sur l'affichage de toutes les données ou tous les équipements existants ou encore, toutes
les applications existantes,
• la définition d'une plage de dates,
• la définition des N derniers jours, semaines ou mois,
• un recherche par occurrence dans les colonnes.

Note :
Seuls les 1000 derniers enregistrements sont affichés dans l’interface utilisateur Web.
Le filtrage par recherche d’occurrences opère sur ces 1000 enregistrements. Seule la
définition d’une plage de dates permet de récupérer des sessions plus anciennes.

Toutes les données sur cette page sont téléchargeables sous la forme d'un fichier .csv.

11.3.4. Enregistrements des sessions


Sur la page « Historique des sessions  » du menu « Audit  », vous pouvez visualiser les
enregistrements des sessions.

137
Wallix AdminBastion 5.0.4 – Guide d’Administration

Des icônes peuvent être affichées au début des lignes :

• Cliquez sur l'icône de la disquette pour télécharger l’enregistrement de la session SSH au format
brut (ttyrec).
• Cliquez sur l'icône du fichier texte permet de télécharger le contenu visible de la session SSH
au format texte plat (txt).
• Cliquez sur l'icône de la loupe : la page de visualisation de l’enregistrement des sessions s'affiche.
Un visualiseur vous permet alors de parcourir la vidéo de la session. Les informations de la
session sont affichées dans le haut de la page. Cliquez sur l'icône de la disquette pour télécharger
le film entier.

Si l'option OCR est activée, les titres des applications détectées dans le film par le module d’OCR
sont indexés et affichés dans la zone « Données de la session ». Cliquez sur les entrées de la liste
pour naviguer rapidement dans le film à partir du visualiseur. L'icône de la flèche descendante
vous permet de télécharger les données de la session. Vous pouvez également cliquer sur les
vignettes de la zone « Liste des captures d'écran » pour naviguer rapidement dans le film.
• Cliquez sur l'icône du pouce levé pour afficher le détail de la demande d'approbation (avec les
réponses et commentaires des approbateurs). Cette icône s'affiche sur la ligne si la session
correspondante a fait l'objet d'une procédure d'approbation. Pour plus d'informations, voir
Section 12.7, « Procédure d'approbation ».

11.3.5. Historique des comptes


Sur la page « Historique des comptes » du menu « Audit », l'auditeur peut :

• vérifier l'activité sur les comptes,


• visualiser l'historique des changements du mot de passe,
• forcer le déblocage d'un compte verrouillé.

Dans la colonne « Activité », l'auditeur peut cliquer sur « Afficher » pour visualiser l'historique des
activités pour le compte sur une page dédiée. Cette page affiche un tableau listant les activités
enregistrées pour une date et une heure données.

Dans la colonne « Historique », l'auditeur peut cliquer sur « Afficher » pour visualiser l'historique des
changements du mot de passe du compte sur une page dédiée. Cette page affiche les informations
liées aux changements du mot de passe du compte pour une date et une heure données. Il est
également possible d'afficher le nouveau mot de passe.

Dans la colonne « Actions  », l'option « Forcer le déblocage  » est disponible pour les comptes
empruntés par les utilisateurs. L’auditeur peut cliquer sur cette option pour restituer le mot de passe
du compte.

138
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 11.4. Page « Historique des comptes »

11.3.6. Historique des approbations


Sur la page « Historique des approbations » du menu « Audit », vous pouvez visualiser toutes les
demandes d'approbation (en cours ou expirées) formulées pour accéder aux sessions. Pour plus
d'informations sur les approbations, voir Section 12.7, « Procédure d'approbation ».

Des filtres peuvent être définis dans le haut de la page pour faciliter la recherche et restreindre
l'affichage aux données pertinentes. Ces filtres sont les suivants :

• la définition d'une plage de dates,


• la définition des N derniers jours, semaines ou mois,
• un recherche par occurrence dans les colonnes.

Note :
Seuls les 1000 derniers enregistrements sont affichés dans l’interface utilisateur Web.
Le filtrage par recherche d’occurrences opère sur ces 1000 enregistrements. Seule la
définition d’une plage de dates permet de récupérer des sessions plus anciennes.

Chaque ligne présente les informations suivantes :

• le statut de la demande,
• le quorum actuel,
• la référence du ticket associé à la demande,
• l’utilisateur qui a formulé la demande,
• la cible pour laquelle la demande est formulée,
• la date et l'heure de début de la demande,
• la date et l'heure de fin de la demande,
• la durée de la demande,
• les réponses des approbateurs.

Cliquez sur l'icône bloc-notes au début de la ligne pour obtenir une vue détaillée de la demande.

Toutes les données sur cette page sont téléchargeables sous la forme d'un fichier .csv.

139
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 11.5. Page « Historique des approbations »

11.3.7. Historique des authentifications


Sur la page « Historique des authentifications  » du menu « Audit  », vous pouvez visualiser les
tentatives d’authentifications sur les interfaces des proxys RDP et SSH (respectivement sur les
ports 3389 et 22).

Des filtres peuvent être définis dans le haut de la page pour faciliter la recherche et restreindre
l'affichage aux données pertinentes. Ces filtres sont les suivants :

• la définition d'une plage de dates,


• la définition des N derniers jours, semaines ou mois,
• un recherche par occurrence dans les colonnes.

Note :
Seuls les 1000 derniers enregistrements sont affichés dans l’interface utilisateur Web.
Le filtrage par recherche d’occurrences opère sur ces 1000 enregistrements. Seule la
définition d’une plage de dates permet de récupérer des sessions plus anciennes.

Chaque ligne présente les informations suivantes :

• la date de l’événement,
• l’identifiant fourni (nom d’utilisateur WAB),
• l’adresse IP source,
• le résultat de l’authentification symbolisé par une icône représentant un succès ou un échec,
• un diagnostic du résultat fournissant une indication plus précise sur le résultat de
l'authentification.

Toutes les données sur cette page sont téléchargeables sous la forme d'un fichier .csv.

140
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 11.6. Page « Historique des authentifications »

11.3.8. Statistiques sur les connexions


Sur la page « Statistiques sur les connexions  » du menu « Audit  », vous pouvez visualiser les
informations statistiques sur les connexions effectuées à travers WAB sur une période de temps
donnée. Cette période peut être une plage calendaire ou un nombre de jours précédant la date
courante.
Un filtre vous permet le type d'informations statistiques que vous souhaitez visualiser dans le coin
supérieur gauche de la page : dans la liste de valeurs, vous pouvez sélectionner soit « Statistiques »
soit « Ressources inutilisées ».
Si vous choisissez « Statistiques  » (sélectionné par défaut), l'affichage peut être restreint aux
événements les plus/moins fréquents (connexions aux cibles par équipement ou par utilisateur ou
par date, etc.) : 35 éléments maximum peuvent être affichés.
Les options suivantes peuvent être sélectionnées pour la génération du rapport statistique :

• le nombre de connexions aux cibles par équipement,


• le nombre de connexions aux cibles par compte cible,
• le nombre de connexions à WAB par utilisateur,
• le nombre de connexions aux cibles par utilisateur,
• les connexions aux cibles par durée,
• le temps total de connexions aux cibles par utilisateur,
• les connexions aux cibles par date,
• le nombre maximum de connexions aux cibles simultanées par date.

Des filtres peuvent être définis dans le bas de la page pour faciliter la recherche et restreindre
l'affichage aux données pertinentes. Ces filtres sont basés sur une sélection parmi des utilisateurs
WAB et/ou des équipements et/ou des comptes cibles.
Une fois les diagrammes générés, vous pouvez cliquer sur les rapports concernant les connexions
WAB et les connexions aux comptes cibles pour en visualiser le détail sur les pages « Historique
des authentifications » (voir Section 11.3.7, « Historique des authentifications ») ou « Historique
des sessions » (voir Section 11.3.3, « Historique des sessions »).
Un tableau dans l'en-tête des diagrammes générés récapitule les filtres sélectionnés et un bouton
sous les graphiques vous permet de télécharger chacun de ces rapports statistiques sous la forme
d’un fichier .csv.

141
Wallix AdminBastion 5.0.4 – Guide d’Administration

Si vous choisissez « Ressources inutilisées », vous pouvez visualiser les utilisateurs ou les comptes
cibles inactifs sur une période de temps donnée. Cette période peut être une plage calendaire ou
un nombre de jours précédant la date courante. Les données peuvent être affichées directement
sous forme de liste sur la page active ou encore téléchargées sous la forme d’un fichier .csv.

Figure 11.7. Page « Statistiques sur les connexions »

142
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 11.8. Exemple d'un rapport statistique

11.4. Options des enregistrements de session


Sur la page « Options d'enregistrement » du menu « Gestion des sessions », vous pouvez choisir
d'activer ou non le chiffrement et la signature pour les enregistrements de session.

Ces enregistrements sont visualisables sur la page « Historique des sessions » du menu « Audit ».
Pour plus d'informations, voir Section 11.3.3, « Historique des sessions ».

Les enregistrements chiffrés peuvent être relus uniquement par l'instance WAB qui les a créés.

L’algorithme de chiffrement utilisé est AES 256 CBC. La signature est effectuée en calculant une
empreinte HMAC SHA 256. L’empreinte est vérifiée lors d'une demande de visualisation.

143
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 11.9. Page « Options d'enregistrement »

11.5. Politiques de connexion
Sur la page « Politiques de connexion » du menu « Gestion des sessions », vous pouvez ajouter,
modifier ou supprimer les mécanismes d'authentification existants au sein de WAB.
Les mécanismes disponibles pour les protocoles RDP, VNC, SSH, TELNET et RLOGIN sont
prédéfinis dans l'application et ne peuvent être ni supprimés ni modifiés.
Sur chaque page, une description utile peut être affichée pour tous les champs en sélectionnant la
case du champ « Aide sur les options » sur la droite. Cette description inclut le format à respecter
lors de la saisie des données dans le champ.

Avertissement :
Les options spécifiques affichées lorsque la case du champ « Options avancées » sur la
droite est cochée doivent être UNIQUEMENT modifiées sur les instructions de l’Équipe
Support Wallix ! Une icône représentant un point d'exclamation sur fond orange est
affichée en marge des champs concernés.

Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).
Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.

Figure 11.10. Page « Politiques de connexion »

11.5.1. Ajouter une politique de connexion


Sur la page « Politiques de connexion », vous pouvez ajouter une politique de connexion :

144
Wallix AdminBastion 5.0.4 – Guide d’Administration

• en cliquant sur « Ajouter une politique de connexion » pour afficher la page de création de la
politique,
• en dupliquant une politique existante afin d’utiliser ses paramètres : cliquez sur l'icône dans la
colonne « Action » sur la droite de la ligne souhaitée dans le tableau pour afficher la page de
création de la politique avec les paramètres hérités de la politique choisie. Dans ce cas, seuls
les champs « Nom de la politique » et « Description » ne sont pas hérités de la politique choisie
et sont vides.

Cette page recense les champs suivants :

• le nom de la politique de connexion,


• une description,
• la sélection du protocole souhaité (automatiquement renseigné si vous créez une politique en
utilisant les paramètres d'une politique existante),
• la sélection des méthodes d'authentification et des paramètres propres au protocole choisi,
• la définition d'une règle de transformation du login secondaire. Pour plus d’informations, voir
Section 11.6, « Règle de transformation ».

Un script de connexion peut être renseigné dans le champ « Scenario  » pour les politiques
de connexion définies sur les protocoles TELNET et RLOGIN. Pour plus d'informations, voir
Section 9.2.10, « Scénario de connexion TELNET/RLOGIN sur un équipement cible ».
Le mode « session probe » peut être activé pour les politiques de connexion définies sur le protocole
RDP. Pour plus d'informations, voir Section 11.7, « Session probe ».

Figure 11.11. Page « Politiques de connexion »


en mode création pour le protocole RLOGIN

11.5.2. Modifier une politique de connexion


Sur la page « Politiques de connexion », cliquez sur un nom de politique puis sur « Modifier cette
politique de connexion » pour afficher la page de modification de la politique.

145
Wallix AdminBastion 5.0.4 – Guide d’Administration

Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la politique,
excepté les champs « Nom de la politique » et « Protocole » qui ne sont pas modifiables.

11.5.3. Supprimer une politique de connexion


Sur la page « Politiques de connexion », sélectionnez une ou plusieurs politiques à l’aide de la
case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection.
WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes
sélectionnées.

Avertissement :
Vous ne pouvez pas supprimer une politique de connexion lorsque celle-ci est associée
à un équipement (au niveau du service sur la page « Équipements  »). Pour plus
d'informations sur l'association d'une politique de connexion à un équipement, voir
Section 9.2.1, « Ajouter un équipement cible ».

11.6. Règle de transformation
Une règle de transformation correspond à une chaîne de caractères définissant la structure du login
secondaire.
Cette chaîne de caractère inclut :

• le champ requis ${LOGIN},


• le champ optionnel ${DOMAIN}

Exemple 11.1. Exemples de règles de transformation :


'${DOMAIN}WIN2k3\${LOGIN}' : ajout d'un suffixe au niveau du domaine
'${LOGIN}': forçage du login sans aucun domaine
'${LOGIN}@QA': utilisation d'un domaine différent

La règle de transformation renvoie la chaîne de caractères et remplace les champs ${LOGIN} et


${DOMAIN} avec le valeurs appropriées (à savoir : le login et le domaine).

11.7. Session probe
Le mode « session probe » permet de collecter des ensembles riches de méta-données de session
liées à l'activité des utilisateurs. Ces informations peuvent être redirigées vers un logiciel de type
SIEM afin d'identifier des événements significatifs.
Ce mode peut être activé en sélectionnant l'option « Enable session probe  » sur les pages de
configuration des politiques de connexion définies sur le protocole RDP, accessibles depuis la page
« Politiques de connexion » du menu « Gestion des sessions ».
Ce mode ne nécessite pas de déploiement spécifique. Il s'exécute dans la session RDP de
l'utilisateur en fonction des privilèges de ce dernier. De ce fait, il n’entraîne pas d'augmentation de
la surface d'attaque du système d’information.
Les méta-données sont collectées par le mode « session probe » lors des événements suivants :

• changement de fenêtre active,

146
Wallix AdminBastion 5.0.4 – Guide d’Administration

• activation d'un bouton dans une fenêtre,


• sélection d'un bouton radio ou d'une case à cocher dans une fenêtre,
• changement de contenu dans un champ de texte dans une fenêtre,
• changement de disposition des touches clavier,
• début et fin d'un processus,
• échange de fichiers via presse-papier,
• échanges de fichiers via des disques locaux redirigés.

Le mode « session probe » peut également bloquer les connexions TCP par rebond. Une connexion
par rebond consiste à passer par une cible WAB pour accéder à une autre machine sur le réseau
interne. Ce mode peut alors détecter et interrompre ce type de connexion.

Le mode « session probe » contribue à la protection des mots de passes saisis dans la session
en détectant l’entrée du curseur dans des champs de saisie de mot de passe ou dans une fenêtre
UAC (User Account Control). Quand un tel événement se produit dans la session, WAB reçoit alors
l'information afin de mettre en pause la collecte des données saisies au clavier.

11.7.1. Pré-requis
Le mode « session probe » fonctionne sous un système d'exploitation Windows avec le service
Bureau à distance supportant la fonction « alternate shell ».

A partir de Windows Server 2008, il est nécessaire de publier l'invite de commande (cmd.exe) en
tant que programme RemoteApp. Pour plus d'informations, voir https://technet.microsoft.com/fr-fr/
library/cc753788.aspx.

A partir de Windows Server 2012, il est nécessaire d'autoriser tous les paramètres de ligne de
commande en sélectionnant le bouton radio « Allow any command-line parameters » dans la
boîte de dialogue « Remote Desktop Connection Program properties ». Pour plus d'informations,
voir https://blogs.technet.microsoft.com/infratalks/2013/02/06/publishing-remoteapps-and-remote-
session-in-remote-desktop-services-2012/.

11.7.2. Mode de fonctionnement par défaut


Le mode « session probe » est activé par défaut sur les pages de configuration des politiques de
connexion définies sur le protocole RDP, accessibles depuis la page « Politiques de connexion »
du menu « Gestion des sessions ». En cas d'échec au démarrage, WAB peut être configuré pour
retenter une nouvelle connexion sans ce mode. Ce mécanisme de rattrapage garantit au maximum
l'accès à une session RDP utilisable mais rallonge le temps nécessaire à l'établissement de la
connexion. Ce mode est conçu pour la phase de mise au point des paramètres et ne doit pas être
utilisé pour la production.

Si le mode « session probe » s'arrête pour une raison quelconque, WAB interrompra la session
en cours.

Comme pour une session RDP classique, si l'utilisateur se déconnecte sans fermer une session
sous le mode « session probe », celle-ci continuera à fonctionner via le service Bureau à distance
(pour une durée prédéterminée). Pendant ce laps de temps, l'utilisateur a la possibilité de reprendre
la session là ou il l'a laissé. Afin de garantir un niveau satisfaisant de sécurité, ce mode dispose d'un
mécanisme visant à empêcher la reprise de la session de l'utilisateur par une autre incompatible.

Les incompatibilités qui empêchent la reprise d'une session par une autre peuvent être les
suivantes :

147
Wallix AdminBastion 5.0.4 – Guide d’Administration

• une différence au niveau du compte primaire,


• une différence au niveau du type de cible (« équipement » ou « application »),
• une différence de cible d'application.

Si WAB constate une impossibilité de reprise de la session RDP, la connexion en cours est
interrompue et une nouvelle prend le relais de façon transparente pour l'utilisateur.

11.7.3. Configuration
La configuration du mode « session probe » peut être effectuée sur les pages de configuration des
politiques de connexion définies sur le protocole RDP, accessibles depuis la page « Politiques de
connexion » du menu « Gestion des sessions ».
Champ « Enable session probe »
Cochez/décochez la case pour activer/désactiver le mode « session probe ».
Champ « Use smart launcher »
Cochez/décochez la case pour activer/désactiver l'utilisation de « smart launcher » au démarrage
du mode « session probe ».

Avertissement :
Seuls les serveurs à partir de Windows Server 2008 ou plus récents sont supportés !
Il n'est pas nécessaire de publier l'invite de commande (cmd.exe) en tant que programme
RemoteApp pour utiliser « smart launcher ».
La redirection du presse-papiers doit être autorisée par Terminal Services pour utiliser «
smart launcher » (ce qui est le cas par défaut).

Champ « Enable launch mask »


Le mode « session probe » est chargé par un script de commandes. Sans l'intervention de WAB,
ce dernier affiche une fenêtre de console de couleur noire peu esthétique dans la session RDP. De
plus, l'utilisateur peut interagir avec cette fenêtre et perturber le bon déroulement du chargement.
Le masquage permet de bloquer l'affichage et les saisies souris et clavier pendant la phase du
chargement du mode « session probe » et, de ce fait, rendre invisible la fenêtre de la console.
Les données affichées dans la fenêtre de la console sont utiles pour diagnostiquer d'éventuels
problèmes de chargement du mode « session probe », c'est pourquoi l'utilisateur a la possibilité
de désactiver le masquage.

Avertissement :
Ce champ est affiché lorsque la case du champ « Options avancées » sur la droite de
la page est cochée et doit être UNIQUEMENT modifié sur les instructions de l’Équipe
Support Wallix !

Champ « On launch failure »


Sélectionnez le comportement souhaité dans l'éventualité d'un échec de démarrage du mode «
session probe ».
L'option « 0: ignore failure and continue » peut ne pas fonctionner correctement sous certaines
versions de Windows.

148
Wallix AdminBastion 5.0.4 – Guide d’Administration

Champ « Launch timeout »


Ce champ est utilisé lorsque le comportement sélectionné dans le champ « On launch failure »
correspond à l'option « 1: disconnect user ». Il permet de renseigner le temps d'attente (exprimé
en millisecondes) avant que WAB considère l'échec de démarrage du mode « session probe ».

Avertissement :
Ce champ est affiché lorsque la case du champ « Options avancées » sur la droite de
la page est cochée et doit être UNIQUEMENT modifié sur les instructions de l’Équipe
Support Wallix !

Champ « Launch fallback timeout »


Ce champ est utilisé lorsque le comportement sélectionné dans le champ « On launch failure »
correspond à l'option « 0: ignore failure and continue » ou « 2: reconnect without Session Probe
». Il permet de renseigner le temps d'attente (exprimé en millisecondes) avant que WAB considère
l'échec de démarrage du mode « session probe ».

Avertissement :
Ce champ est affiché lorsque la case du champ « Options avancées » sur la droite de
la page est cochée et doit être UNIQUEMENT modifié sur les instructions de l’Équipe
Support Wallix !

Champ « Start launch timeout timer only after logon »


Cochez la case pour optimiser le démarrage du mode « session probe ».

Avertissement :
Seuls les serveurs à partir de Windows Server 2008 ou plus récents sont supportés !

Champ « Keepalive timeout »


Ce champ permet de renseigner le temps d'attente (exprimé en millisecondes) entre l'émission par
WAB d'une requête de KeepAlive vers le mode « session probe » et la réception de la réponse
correspondante.
WAB envoie régulièrement des message KeepAlive à destination du mode « session probe ». Sans
une réponse de la part de ce dernier et à l'expiration du délai, WAB conclura que le mode « session
probe » n'est plus actif et coupera la connexion.
WAB peut également couper la connexion si l'option « On keepalive timeout disconnect user » est
activée.

Avertissement :
Ce champ est affiché lorsque la case du champ « Options avancées » sur la droite de
la page est cochée et doit être UNIQUEMENT modifié sur les instructions de l’Équipe
Support Wallix !

Champ « On keepalive timeout disconnect user »


Si cette case est cochée et qu'une perte de réponse au message KeepAlive est détectée, alors la
session courante sera déconnectée.

149
Wallix AdminBastion 5.0.4 – Guide d’Administration

Champ « End disconnected session »


Si cette case est cochée, alors les sessions déconnectées seront automatiquement fermées par
le mode « session probe ».

Avertissement :
Une coupure réseau peut provoquer la déconnexion des sessions RDP en cours. Si cette
option est activée, toutes les données non sauvegardées seront définitivement perdues.

Champ « Outbound connection blocking rules »

Ce champ permet de renseigner les règles de blocage des connexions TCP par rebond.

Les règles doivent être séparées les unes des autres par des virgules (« , »).

Par exemple, pour interdire toutes les connexions RDP par rebond, on peut utiliser la règle «
0.0.0.0/0:3389 ».

11.8. Paramètres de connexion
Sur la page « Paramètres de connexion » du menu « Configuration », vous pouvez modifier les
messages des bannières affichées à l'utilisateur lors de la connexion aux proxys, en fonction de
sa langue d'affichage préférée.

Figure 11.12. Page « Paramètres de connexion »

150
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 12. Gestion des autorisations


WAB permet de définir des autorisations. Celle-ci déterminent les comptes cibles et les protocoles
qui peuvent être utilisés par l'utilisateur pour se connecter aux équipements.

Les autorisations s'appliquent à des groupes utilisateurs rattachés à des groupes de comptes cibles.
Tous les utilisateurs appartenant à un même groupe héritent des mêmes autorisations.

Sur la page « Gestion des autorisations » du menu « Autorisations », vous pouvez :

• lister les autorisations déclarées,


• ajouter/modifier/supprimer une autorisation,
• importer des autorisations à partir d'un fichier .csv afin d'alimenter la base autorisations de WAB.

Il est possible de filtrer les résultats affichés dans le tableau. Ce filtre agit sur l’ensemble des
résultats (et pas uniquement sur la page active).

Par défaut, dix résultats sont affichés par page. Vous pouvez utiliser les options pour naviguer à
travers les pages et modifier le nombre d'éléments affichés par page.

Figure 12.1. Page « Gestion des autorisations »

12.1. Ajouter une autorisation


Sur la page « Gestion des autorisations », cliquez sur « Ajouter une autorisation » pour afficher la
page de création de l'autorisation.

Une autorisation représente un lien créé entre un groupe utilisateurs et un groupe de comptes
cibles. Plusieurs autorisations peuvent être créées entre ces deux groupes.

Cette page recense les champs suivants :

• un groupe utilisateurs,
• un groupe de comptes cibles,
• un champ pour la saisie du nom de l'autorisation,
• une description,
• une case à cocher pour indiquer si les cibles concernées par l'autorisation sont critiques ou non
(une notification peut être envoyée à chaque fois qu'un accès a lieu sur une cible critique),
• une case à cocher pour activer ou désactiver les sessions à distance. Si cette case est cochée,
alors les sessions sont autorisées pour cette autorisation. Dans ce cas, vous pouvez sélectionner

151
Wallix AdminBastion 5.0.4 – Guide d’Administration

dans la liste du cadre inférieur les protocoles pouvant être associés avec un groupe utilisateurs
et un groupe de comptes cibles donnés. Déplacez un protocole depuis le cadre « Protocoles/
Sous-protocoles disponibles » vers le cadre « Protocoles/Sous-protocoles sélectionnés » pour
choisir le protocole. Et inversement, déplacez un protocole depuis le cadre «  Protocoles/
Sous-protocoles sélectionnés » vers le cadre « Protocoles/Sous-protocoles disponibles » pour
supprimer l'association.
• une case à cocher pour activer ou désactiver l'enregistrement de session. Les types
d’enregistrements réalisés dépendent du protocole d’accès à l’équipement.

Avertissement :
L'enregistrement d'une session basée sur le protocole RDP inclut à la fois la vidéo et
la reconnaissance automatique par OCR des applications exécutées sur la machine
distante par détection des barres de titre.

L’algorithme utilisé pour la détection du contenu des barres de titre est très rapide de
manière à pouvoir être exécuté en temps réel. Cependant, il fonctionne uniquement
avec le style de fenêtre «  Windows Standard  » et la taille de polices par défaut de
96PPP avec une profondeur de couleur supérieure ou égale à 15 bits (15, 16, 24 ou 32
bits, donc pas en mode 8 bits). Dans sa version actuelle, tout changement du style des
barres de titre, même à première vue visuellement proche, par exemple un passage à
« Windows classique », ou encore un changement de couleur de la barre de titre, du
style ou de la taille de la police ou de la résolution de rendu rendra la fonction OCR
inopérante. L’OCR est, de plus, configuré de manière à détecter uniquement les barres
de titre d’application terminées par les trois icônes fermer, minimiser, maximiser. Si la
barre de titre contient une icône, celle-ci sera généralement remplacée par des points
d’interrogation précédant le texte reconnu.

• une case à cocher pour activer ou désactiver l'emprunt de mot de passe


• une case à cocher pour activer ou désactiver une procédure d'approbation pour l'autorisation.
Pour plus d’informations, voir Section 12.7, « Procédure d'approbation ».

152
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 12.2. Page « Gestion des autorisations » en mode création

12.2. Modifier une autorisation


Sur la page «  Gestion des autorisations  », cliquez sur l'icône bloc-notes au début de la ligne
souhaitée pour afficher la page de modification de l'autorisation.

Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de
l'autorisation, excepté les champs « Groupe utilisateurs » et « Groupe de ressources » qui ne sont
pas modifiables.

12.3. Supprimer une autorisation


Sur la page « Gestion des autorisations », sélectionnez une ou plusieurs autorisations à l’aide de
la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection.
WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes
sélectionnées.

12.4. Importer des autorisations


Sur la page « Gestion des autorisations », cliquez sur l'icône « Importer depuis un fichier CSV » en
haut à droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV »

153
Wallix AdminBastion 5.0.4 – Guide d’Administration

du menu « Import/Export » : la case « Autorisations » est déjà cochée pour l'import des données.
Les séparateurs de champs et de listes sont également configurables.

Le fichier doit commencer par une ligne contenant le marqueur :

#wab504 authorization

Ou le marqueur suivant si l'import est effectué à partir de WAB 5.0.0 :

#wab50 authorization

Chaque ligne suivante doit être formée comme indiqué ci-dessous :

Champ Type R(equis)/ Valeurs possibles Valeur par défaut


O(ptionnel)
Nom Texte R Nom de l'autorisation WAB 5.0.0 : N/A
créée
WAB 5.0.2 : Nom de
l'autorisation
Groupe Texte R Groupe utilisateurs N/A
utilisateurs défini
Groupe de Texte R Groupe de cibles défini N/A
cibles
Sous-protocole Texte R si Autoriser les Nom de sous- N/A
(1)
sessions = Vrai protocole : voir ci-
dessous

Il peut y avoir un ou
plusieurs protocoles
Est critique Booléen R Vrai ou Faux Faux
Est enregistré Booléen R Vrai ou Faux Faux
Autoriser Booléen R Vrai ou Faux Faux
l'emprunt de
mot de passe
Autoriser les Booléen R Vrai ou Faux Faux
sessions
Description Texte O Texte libre N/A
Approbation Booléen R Vrai ou Faux Faux
requise
Avec Booléen R Vrai ou Faux Faux
commentaire
Faux si Approbation
requise = Faux

Vrai si Commentaire
obligatoire = Vrai
Commentaire Booléen R Vrai ou Faux Faux
obligatoire
Faux si Approbation
requise = Faux
Avec ticket Booléen R Vrai ou Faux Faux

154
Wallix AdminBastion 5.0.4 – Guide d’Administration

Champ Type R(equis)/ Valeurs possibles Valeur par défaut


O(ptionnel)
Faux si Approbation
requise = Faux
Vrai si Ticket obligatoire =
Vrai
Ticket Booléen R Vrai ou Faux Faux
obligatoire
Faux si Approbation
requise = Faux
Groupes Texte R si Approbation Groupes N/A
d'approbateurs requise = Vrai d'approbateurs définis
Vide si Approbation
Il peut y avoir un requise = Faux
ou plusieurs groupes
d'approbateurs
Quorum actif Entier R Nombre entier entre "0"
0 et le nombre
d’approbateurs dans
les groupes

Au moins un quorum
(actif ou inactif) doit
être défini et doit être
supérieur à 0
Quorum inactif Entier R Nombre entier entre "0"
0 et le nombre
d’approbateurs dans
les groupes

Au moins un quorum
(actif ou inactif) doit
être défini et doit être
supérieur à 0
(1)
Sous-protocole : une des valeurs suivantes : SSH_SHELL_SESSION,
SSH_REMOTE_COMMAND, SSH_SCP_UP, SSH_SCP_DOWN, SSH_X11, SFTP_SESSION,
RDP, VNC, TELNET, RLOGIN, SSH_DIRECT_TCPIP, SSH_REVERSE_TCPIP,
SSH_AUTH_AGENT, RDP_CLIPBOARD_UP, RDP_CLIPBOARD_DOWN, RDP_PRINTER,
RDP_COM_PORT, RDP_DRIVE, RDP_SMARTCARD, RDP_CLIPBOARD_FILE.
Pour plus d'informations, voir Section  9.2.8, «  Options spécifiques du protocole SSH  » et
Section 9.2.9, « Options spécifiques du protocole RDP ».
Exemple de syntaxe d'import :
#wab504 authorization
Group_users1;target_group1;SSH_SHELL_SESSION SFTP_SESSION;False;False;True;True;
description;False;False;False;False;False;group_approvers;1;2

Après l’importation du fichier .csv, un résumé de l’opération s’affiche.


Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base
de données de WAB mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante est
indiquée.

155
Wallix AdminBastion 5.0.4 – Guide d’Administration

12.5. Visualiser les approbations en cours


Sur la page « Mes approbations en cours », l'approbateur peut visualiser toutes les demandes d
'approbation en cours envoyées par les utilisateurs pour accéder aux cibles ou aux mots de passe
des cibles et pour lesquelles il/elle doit formuler une réponse.

Chaque ligne présente les informations suivantes :

• le statut de la demande,
• le quorum actuel,
• la référence du ticket associé à la demande,
• l’utilisateur qui a formulé la demande,
• la cible pour laquelle la demande est formulée,
• la date et l'heure de début de la demande,
• la date et l'heure de fin de la demande,
• la durée de la demande,
• les réponses des approbateurs.

Figure 12.3. Page « Mes approbations en cours »

Dans le haut de la page, l'approbateur peut choisir d'activer/désactiver le rafraîchissement


automatique des données sur les demandes d'approbation en cours. Lorsque l'option
correspondante est activée, il est possible de déterminer la fréquence de ce rafraîchissement.

En cliquant sur l'icône du bloc-notes au début de la ligne, l'approbateur est redirigé sur une page
affichant le détail de la demande d'approbation.

156
Wallix AdminBastion 5.0.4 – Guide d’Administration

Figure 12.4. « Mes approbations en cours » -


Page du détail de la demande d'approbation

Sur cette page, l'approbateur peut :

• cliquer sur le bouton « Notifier les approbateurs » pour notifier à nouveau les approbateurs,
• visualiser les réponses des autres approbateurs,
• indiquer dans la zone « Commentaire » le motif de son approbation/rejet de la demande,
• réduire la durée de la demande en modifiant la valeur dans le champ « Durée »,
• cliquer sur le bouton «  Annuler  », «  Rejeter  » ou «  Approuver  » pour effectuer l'action
correspondante.

Étant donné qu'il est toujours possible d'ouvrir une session ou d'accéder au mot de passe d'une
cible tant que la durée d'une demande acceptée n'est pas dépassée, l'approbateur peut annuler
la demande avant son expiration pour interdire à l'utilisateur d'accéder de nouveau à la cible en
cliquant sur le bouton « Annuler ».

Pour plus d'informations, voir Section 12.7, « Procédure d'approbation ».

12.6. Visualiser l'historique des approbations


Sur la page « Mon historique d'approbations », l'approbateur peut visualiser toutes les demandes
qui ne sont plus en attente d'approbation.

Des filtres peuvent être définis dans le haut de la page pour faciliter la recherche et restreindre
l'affichage aux données pertinentes. Ces filtres sont les suivants :

• la définition d'une plage de dates,


• la définition des N derniers jours, semaines ou mois,
• un recherche par occurrence dans les colonnes.

Note :
Seuls les 1000 derniers enregistrements sont affichés dans l’interface utilisateur Web.
Le filtrage par recherche d’occurrences opère sur ces 1000 enregistrements. Seule la
définition d’une plage de dates permet de récupérer des sessions plus anciennes.

157
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chaque ligne présente les informations suivantes :

• le statut de la demande,
• le quorum actuel,
• la référence du ticket associé à la demande,
• l’utilisateur qui a formulé la demande,
• la cible pour laquelle la demande est formulée,
• la date et l'heure de début de la demande,
• la date et l'heure de fin de la demande,
• la durée de la demande,
• les réponses des approbateurs.

Figure 12.5. Page « Mon historique d'approbations »

En cliquant sur l'icône du bloc-notes au début de la ligne, l'approbateur est redirigé sur une page
affichant le détail des réponses à la demande d'approbation.

Étant donné qu'il est toujours possible d'ouvrir une session ou d'accéder au mot de passe d'une
cible tant que la durée d'une demande acceptée n'est pas dépassée, l'approbateur peut annuler
la demande avant son expiration pour interdire à l'utilisateur d'accéder de nouveau à la cible en
cliquant sur le bouton « Annuler la demande ».

Toutes les données sur cette page sont téléchargeables sous la forme d'un fichier .csv.

Pour plus d'informations, voir Section 12.7, « Procédure d'approbation ».

Figure 12.6. « Mon historique d'approbations » - Page


du détail de l'historique de la demande d'approbation

158
Wallix AdminBastion 5.0.4 – Guide d’Administration

12.7. Procédure d'approbation
WAB prend en charge les autorisations dynamiques à l’aide de procédure d’approbation. Ce
mécanisme repose sur les plages horaires d’accès aux cibles ou aux mots de passe des
cibles. Cette procédure permet aux administrateurs d’affiner l’accès aux ressources sensibles
et d’accepter la demande l’accès en dehors des plages définies. Lorsqu’un utilisateur souhaite
démarrer une nouvelle session sur une cible ou encore accéder au mot de passe d'une cible, une
demande est d’abord envoyée aux approbateurs.
Un approbateur est un utilisateur qui a été désigné par un administrateur WAB avec le droit
d’approbation : le droit « Modifier » pour la fonctionnalité « Gestion des approbations » est paramétré
au niveau du profil de l'approbateur (voir Section 8.3, « Profils utilisateurs »).
Les approbateurs peuvent décider d’autoriser ou rejeter l’ouverture d’une session ou l'accès au mot
de passe de la cible. Une demande est approuvée lorsque le quorum a été atteint. Le quorum est
le nombre minimum de réponses favorables requises pour une autorisation particulière.

12.7.1. Configuration de la procédure
Les procédures d’approbation sont définies sur les autorisations. Pour plus d'informations, voir
Section 12.1, « Ajouter une autorisation ».
Si la case du champ « Activer la procédure d'approbation » est cochée au cours de la définition de
l'autorisation, alors un utilisateur devra formuler une demande d'approbation pour obtenir l’accès
à la cible ou encore au mot de passe de la cible. Les approbateurs sont désignés pour répondre
aux demandes pour une autorisation en sélectionnant des groupes d’utilisateurs appropriés : pour
cela, déplacez les groupes d'utilisateurs depuis le cadre « Groupes d'approbateurs disponibles »
vers le cadre « Groupes d'approbateurs sélectionnés » pour choisir les groupes. Et inversement,
déplacez un groupe d'utilisateurs depuis le cadre « Groupes d'approbateurs sélectionnés » vers le
cadre « Groupes d'approbateurs disponibles » pour supprimer l'association.
Le droit « Modifier » pour la fonctionnalité « Gestion des approbations » doit être paramétré au
niveau du profil utilisateur de tous les utilisateurs des groupes sélectionnés.
Lors d’une demande d’approbation formulée par un utilisateur qui souhaite se connecter à une cible
ou accéder au mot de passe d'une cible concernée par une autorisation, tous les approbateurs des
groupes sélectionnés en sont informés par courrier électronique. Celui-ci contient un lien qui redirige
l’approbateur sur la « Mes approbations en cours » du menu « Autorisations » et sur laquelle il
peut répondre à la demande. Cette fonctionnalité est accessible par les approbateurs via l’interface
dédiée au groupe de services « Fonctionnalités utilisateur et auditeur ». Pour plus d'informations,
voir Section 7.11.1, « Mappage des services »).
Une demande pour une cible est définie par au moins la date et l’heure de début ainsi que la durée
prévue de la session, mais elle possède aussi des attributs facultatifs tels qu'une référence de
ticket et un commentaire. Pour une autorisation spécifique, ces attributs peuvent être demandés,
systématiquement ou jamais, selon les options sélectionnées dans les champs « Commentaire »
et « Ticket » lors de la configuration de l'autorisation.
Il est possible de définir le nombre d’approbateurs requis pour accepter une demande. Ce
paramètre est configuré en définissant un quorum. Le quorum doit être égal ou inférieur au nombre
d’approbateurs disponibles.
Lors de la configuration de l'autorisation, un quorum peut être défini :

• pour les périodes d’activité, en renseignant une valeur dans le champ « Quorum dans les
plages horaires autorisées ». Un quorum pour les périodes d’activité égal à 0 signifie que les
approbations ne sont pas exigées pour les périodes d’activité.

159
Wallix AdminBastion 5.0.4 – Guide d’Administration

• pour les périodes d’activité, en renseignant une valeur dans le champ « Quorum en dehors des
plages horaires autorisées ». Un quorum pour les périodes inactives égal à 0 signifie qu’aucune
connexion n’est possible pendant les périodes d’inactivité.

12.7.2. Étapes de la procédure
Un utilisateur formule une demande d'approbation à partir du menu « Mes autorisations » sur
l’interface graphique de WAB (pour un accès immédiat ou ultérieur) ou lors de la connexion à un
client RDP ou SSH (pour un accès immédiat). Tous les approbateurs sont notifiés par courrier
électronique. Les approbateurs ont ensuite la possibilité d'accepter ou rejeter la demande via
l’interface graphique de WAB.
Une demande valide (dont la durée n’est pas encore expirée) peut être dans l'un des statuts
suivants:

• une demande est au statut « accepté » lorsque le quorum a été atteint,


• une demande est au statut « rejeté » et par la suite invalidée dès qu’un approbateur la rejette.
L’utilisateur est alors notifié par courrier électronique du refus et du motif du rejet.
• une demande est au statut « en cours » tant que le quorum n'a pas été atteint et qu’elle n’a pas
été rejetée.

Si la demande n’est plus valide, elle est alors au statut « fermé » et il n’est plus possible pour un
approbateur de répondre à la demande. De même, il n’est pas possible de répondre aux demandes
qui ont été acceptées ou rejetées.
Chaque approbateur a la possibilité de réduire la durée d’une requête. La durée est diminuée au
fur et à mesure des réponses : en répondant à la même demande, l'approbateur suivant voit la
durée réduite et non pas la durée initiale.
Les utilisateurs peuvent voir les statuts de leurs demandes d’approbation sur le menu « Mes
autorisations ».
Lorsque le quorum est atteint, l’utilisateur est averti par courrier électronique. L'utilisateur peut alors
démarrer la session ou accéder au mot de passe de la cible pour la durée allouée. Si la session
est déconnectée avant la fin de la durée, l’utilisateur peut démarrer une nouvelle session sans une
nouvelle approbation aussi longtemps que la fin de la période définie par la durée de l’approbation
d’origine n’est pas écoulée. Afin d’empêcher un utilisateur de se reconnecter après la première
séance, les approbateurs ont la possibilité d'annuler une demande.

12.8. Configuration des plages horaires


Les plages horaires définissables au sein de WAB permettent de configurer les périodes durant
lesquelles un utilisateur est autorisé à se connecter aux cibles.
Une plage horaire est associée à un ou plusieurs groupes utilisateurs. Pour plus d'informations,
voir Section 8.2, « Groupes utilisateurs ».
Sur la page « Plages horaires » du menu « Configuration », vous pouvez ajouter, modifier ou
supprimer des plages horaires.

Avertissement :
Une plage horaire dénommée « allthetime » est configurée par défaut au sein de WAB.
Elle autorise la connexion des utilisateurs à toutes les heures et tous les jours. Vous ne
pouvez pas supprimer cette plage horaire.

160
Wallix AdminBastion 5.0.4 – Guide d’Administration

Le référentiel de temps utilisé est l'heure locale de WAB.

12.8.1. Ajouter une plage horaire


Sur la page « Plages horaires », cliquez sur « Ajouter une plage horaire » pour afficher la page
de création de la plage horaire.
Cette page recense les champs suivants :

• le nom de la plage horaire,


• une description,
• une case à cocher pour désactiver la déconnexion automatique à l'issue de la période de temps,
• une zone extensible pour ajouter une ou plusieurs périodes.

Chaque période correspond à une période calendaire permettant aux utilisateurs de se connecter :

• entre des dates précises,


• sur des jours de la semaine déterminés,
• sur une plage horaire délimitée pendant les jours autorisés.

Figure 12.7. Page « Plages horaires » en mode création

12.8.2. Modifier une plage horaire


Sur la page «  Plages horaires  », cliquez un nom de plage horaire pour afficher la page de
modification de la plage horaire.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la page
horaire, excepté le champ « Nom de la plage horaire » qui n’est pas modifiable.

12.8.3. Supprimer une plage horaire


Sur la page «  Plages horaires  », sélectionnez une ou plusieurs plages horaires à l’aide de la
case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection.
WAB affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes
sélectionnées.

161
Wallix AdminBastion 5.0.4 – Guide d’Administration

Avertissement :
Vous ne pouvez pas supprimer une plage horaire lorsque celle-ci est associée à un
groupe utilisateurs.

162
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 13. Commandes spécifiques
13.1. Connexion au WAB en ligne de commande
Pour plus d'informations, voir Section 5.1, « Connexion au WAB en ligne de commande ».

13.2. Vérifier l'intégrité de WAB


Un petit programme permet de vérifier l’intégrité du système WAB (ceci peut être utile, par exemple,
lorsqu'une panne électrique est survenue). Il est téléchargeable depuis le site support de Wallix,
dans la zone de téléchargements dédiée aux clients WAB enregistrés.

Connectez-vous à l'adresse suivante et entrez vos identifiants :

https://support.wallix.com

Cliquez sur l’onglet « Downloads » et téléchargez le fichier « syscheck » du « Script de vérification


d’intégrité du système » de la version appropriée.

Le nom du fichier enregistré sera systemcheck-5.0.12345.sh où 12345 est remplacé par le


numéro de build du WAB.

Note :
Pour connaître la version et le numéro de build de votre WAB, vous pouvez lancer la
commande suivante :

wab2:~$ WABVersion
Wallix AdminBastion v5.0.4 build 12345 (wab-5.0.4.0-wallix1)

Transférez ce fichier de programme sur WAB.

Pour lancer la vérification d’intégrité, tapez alors la commande suivante en changeant 12345 par
le numéro de build de votre WAB :

wab2:~$ ./systemcheck-5.0.12345.sh

A l'issue du processus de vérification d'intégrité, un diagnostic affiche le résultat et vous informe si


l'intégrité de votre WAB est maintenue ou compromise.

Avertissement :
Un WAB sur lequel des patchs ont été appliqués sera détecté comme ayant été altéré.

13.3. Export des données d'audit


Les données d’audit peuvent être exportées à l’aide du script WABSessionLogExport :

wab2:~# /opt/wab/bin/WABSessionLogExport -h
Usage: WABSessionLogExport [options]

163
Wallix AdminBastion 5.0.4 – Guide d’Administration

Options:
-h, --help show this help message and exit
-s START_DATE, --start_date=START_DATE
Should be like this: YYYY-MM-DD
-e END_DATE, --end_date=END_DATE
Should be like this: YYYY-MM-DD
-E, --termination-date
use termination date instead of initiation date
-p, --nopurge do not remove traces
-a, --noarchive do not create archive file
-w, --wrongonly only care for traces in wrong status and corresponding
sessions, ignore correct traces and sessions. The
default is to not archive but keep trace files in
wrong status but still purge all sessions anyway.

Cette commande permet de créer un fichier zip, sauvegardé dans /var/wab/recorded/


export_sessions et contenant pour la période définie :

• l’ensemble des sessions RDP et SSH,


• un fichier au format .csv contenant l’export des données visualisables sur la page « Historique
des sessions » (voir Section 11.3.3, « Historique des sessions »).

Cette commande supprimera également toutes les sessions pour la période définie, sauf si l’option
-p est spécifiée.
Il est possible d'archiver et/ou purger uniquement les sessions corrompues en utilisant l’option -w.

13.4. Changement d’identification des serveurs


cibles
Lors de la connexion à un serveur cible via un protocole sécurisé (tel que RDP ou SSH), WAB
vérifie que le certificat ou la clé présenté(e) au proxy par le serveur correspond bien à celui/celle
connu(e) du système pour ce serveur.
Si ce certificat ou cette clé est différent(e), le proxy de WAB fermera la connexion car il peut s’agir
d’une attaque. Il est donc nécessaire d’informer WAB de tout changement de certificat ou de clé.
Pour cela, vous pouvez supprimer le certificat ou la clé déclaré(e) sur l'équipement et le nouveau
certificat ou la nouvelle clé sera automatiquement récupéré(e) et sauvegardé(e) lors du prochain
accès à l’équipement par le proxy RDP ou SSH. Pour plus d'informations, voir Section  9.2.6,
« Supprimer les certificats sur l'équipement ».

13.5. Changer les certificats auto-signés des


services
13.5.1. Changer le certificat de l'interface Web
Remplacez les fichiers de certification suivants dans le répertoire /var/wab/apache2/ssl.crt :

• ca.crt (le certificat d'autorité racine),


• server.pem (la clé publique),
• server.key (la clé privée) et,

164
Wallix AdminBastion 5.0.4 – Guide d’Administration

• éventuellement crl.pem (la liste de révocation). S'il n'est pas nécessaire de révoquer un site,
alors le fichier crl.pem par défaut ne doit pas être remplacé

Une fois les fichiers remplacés, redémarrez l'interface Web avec la commande suivante :
# /etc/init.d/wabgui restart

Note :
Ces fichiers sont également modifiés lors de l'application de la procédure de configuration
de l'authentification X509. Pour plus d'informations, voir Section 8.6, « Configuration de
l'authentification X509 ».
Si la Haute Disponibilité est configurée, le répertoire dans lequel les certificats sont
regroupés est partagés entre les nœuds. La procédure doit s'appliquer uniquement sur
le nœud actif.
Vous pourrez par la suite regénérer un certificat auto-signé avec la commande suivante :
# WABGuiCertificate selfsign -f

13.5.2. Changer le certificat du proxy RDP


Pour installer votre certificat, copiez-le au format PEM avec sa clé privée sur WAB. Ensuite,
exécutez la commande suivante sur la console SSH (2242) en remplaçant les paramètres par les
chemins complets des fichiers correspondants :
# rdpcert --key --inkey=./<fichier_clé_privée_2048_bit_rsa>.key --x509
--inx509=./<fichier_certificat_X509>.pem --
force

Une fois les fichiers remplacés, redémarrer le proxy RDP avec la commande suivante :
# /etc/init.d/wabcore restart

Note :
Vous pourrez par la suite regénérer un certificat auto-signé avec la commande suivante :
# rdpcert /etc/opt/wab/rdp/ --key --force

13.5.3. Changer la clé serveur du proxy SSH


Pour installer votre clé serveur, copiez-la au format RSA+PEM sur WAB dans le répertoire /var/
wab/etc/ssh/server_rsa.key location.
La clé serveur doit être au format RSA format et une taille minimale de 4096 bits est recommandée.

Note :
Vous pouvez générer un clé serveur pour le proxy SSH sur WAB en supprimant la clé
serveur actuelle et en exécutant le script générateur avec la commande suivante :
# rm /var/wab/etc/ssh/server_rsa.key # WABSshServerGenRsaKey.sh

165
Wallix AdminBastion 5.0.4 – Guide d’Administration

13.6. Configuration cryptographique des


services
13.6.1. Autoriser le protocole TLSv1 pour le navigateur
Internet Explorer 8 sous Windows XP
Si vous utilisez le navigateur Internet Explorer 8 sous Windows XP, il peut s'avérer nécessaire
d'autoriser le protocole TLSv1 pour permettre les connexions. Nous vous conseillons néanmoins
d'utiliser un navigateur moderne, comme Firefox ou Chrome, afin de conserver un niveau de
sécurité satisfaisant.

Avertissement :
Cette procédure abaissera le niveau de sécurité des services de WAB.

Pour modifier les réglages du serveur Web GUI, éditez le fichier suivant comme indiqué ci-dessous :
# vim.tiny /etc/apache2/sites-enabled/wab-httpd.conf

1. Décommentez les lignes suivantes :


SSLProtocol ALL
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:-MEDIUM
2. Commenter toutes les autres lignes portant les mêmes clés ou la clé SSLHonorCipherOrder.
3. Redémarrez le serveur Apache en lançant la commande suivante :
# systemctl restart apache2
4. Redémarrez la GUI en lançant la commande suivante :
# systemctl restart wabgui

13.6.2. Autoriser le protocole TLSv1.2 pour le navigateur


Internet Explorer 8 sous Windows 7
Si vous utilisez le navigateur Internet Explorer 8 sous Windows 7, il peut s'avérer nécessaire
d'autoriser le protocole TLSv1.2 pour permettre les connexions. Nous vous conseillons néanmoins
d'utiliser un navigateur moderne, comme Firefox ou Chrome, afin de conserver un niveau de
sécurité satisfaisant.
Dans le navigateur, sélectionnez le menu « Outils » > « Options Internet » puis, cliquer sur l'onglet
« Avancé » et sous la rubrique « Sécurité », cocher la case « Utiliser TLS 1.2 ».

13.6.3. Abaisser le niveau de sécurité pour permettre la


compatibilité du protocole RDP
Les anciens clients peuvent ne pas être compatibles par défaut avec WAB. Nous vous conseillons
néanmoins d'utiliser un client moderne, comme MSTSC pour Windows 2008 R2 (au minimum), afin
de conserver un niveau de sécurité satisfaisant.
Pour restaurer la compatibilité, il est nécessaire d'effectuer les actions suivantes au niveau de la
configuration du proxy sur la page « Options de configuration » du menu « Configuration » :

166
Wallix AdminBastion 5.0.4 – Guide d’Administration

• pour les clients sous Windows 2000 et inférieur : cochez la case de l'option « Tls fallback legacy »,
• pour les clients supportant TLS à partir de Windows XP : affichez les « Options avancées » en
cochant la case de l'option correspondante puis videz la valeur du champ « Ssl cipher list ».

13.6.4. Restaurer les paramètres de cryptographie par


défaut
Pour modifier les réglages du serveur Web GUI, éditez le fichier suivant comme indiqué ci-dessous :
# vim.tiny /etc/apache2/sites-enabled/wab-httpd.conf

1. Décommentez les lignes suivantes :


SSLProtocol TLSv1.2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!EDH
2. Commenter toutes les autres lignes portant les mêmes clés.

13.7. Mise à jour de la liste de révocation CRL


(Certificate Revocation List)
Pour mettre à jour le certificat CRL, vous pouvez :

• soit copier le fichier au sein de WAB au format PEM ou DER. Puis, lancez la commande suivante :

# WABGuiAddCRL -f CRL_FILE

• ou depuis la console SSH (port 2242), exécuter la commande suivante en remplaçant les
paramètres par les données correspondantes et le chemin complet du fichier CRL local :

client$ nc -l -p A_LOCAL_PORT -c "cat MY_LOCAL_CRL_FILE" &


client$ ssh -p 2242 -R A_WAB_PORT:localhost:LOCAL_PORT_ABOVE wabadmin@wab
wabadmin@wab$ super
wabsuper@wab$ nc localhost WAB_PORT_ABOVE|sudo /opt/wab/bin/WABGuiAddCRL [-n
NAME]

Exemple :
client$ nc -l -p 43210 -c "cat wallix_crls/2016/wallix-2016-04-05.crl" &
client$ ssh -p 2242 -R 54321:localhost:43210 wabadmin@wab
wabadmin@wab$ super
wabsuper@wab$ nc localhost 54321|sudo /opt/wab/bin/WABGuiAddCRL -n
wallix-2016-04-05.crl

13.8. Réactivation d'algorithmes pour autoriser


le changement de mot de passe avec les
plugins Cisco et Unix
Depuis OpenSSH 7.0, des algorithmes faibles ont été désactivés au niveau de la configuration par
défaut, même si ceux-ci étaient les seuls à être supportés par des anciens serveurs. De ce fait, le
changement de mot passe effectué avec les plugins Cisco et Unix peut échouer.

167
Wallix AdminBastion 5.0.4 – Guide d’Administration

Il est donc nécessaire d'activer l’algorithme d'échange de clés «  diffie-hellman-group1-sha1  »et


l'algorithme de clé d'hôte « ssh-dss » en ajoutant les lignes suivantes dans le fichier /etc/ssh/
ssh_config :

KexAlgorithms +diffie-hellman-group1-sha1
HostKeyAlgorithms +ssh-dss

13.9. Résolution des problèmes courants


13.9.1. Restaurer le compte « admin » d'usine
Vous pouvez exécuter la commande suivante connecté(e) avec les privilèges « root » pour restaurer
le compte « admin » :

WABRestoreDefaultAdmin

168
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 14. Console WAB
WAB 5.0 fournit une interface de type «  lignes de commande  » permettant à l'administrateur
de générer les clés d'authentification utilisées par l'API REST (pour plus d'informations, voir
Chapitre 15, Web Services) et à un utilisateur de changer son mot de passe.

Pour accéder à la console, connectez-vous à WAB à l’aide d’un client SSH de la façon suivante :

$ ssh -t admin@wab.mycorp.lan console


admin@wab.mycorp.lan password:
wab> help

Le jeu de commandes accessibles dépend du profil de l’utilisateur.

Pour obtenir la liste des commandes, il suffit de taper help à l’invite de la console.

Chaque commande dispose d’une aide en tapant soit help soit -h.

Les commandes actuellement disponibles pour un utilisateur avec le profil « WAB_Administrator »


sont les suivantes :

• add_api_key
• del_api_key
• list_api_key
• change_user_password

Les commandes actuellement disponibles pour un utilisateur standard est : change_password.

169
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 15. Web Services
WAB possède une API utilisable pour fournir un accès aux ressources de WAB et effectuer
également des opérations basiques (telles que de la création, modification ou suppression de
données).

Cette API utilise un protocole REST basé sur JSON.

La documentation de la dernière version du service est disponible en ligne à l’adresse suivante :

https://adresse_ip_de_wab/api/doc

La documentation de la version précédente du service est disponible en ligne à l’adresse suivante :

https://adresse_ip_de_wab/api/v2.0/doc

170
Wallix AdminBastion 5.0.4 – Guide d’Administration

Chapitre 16. Contacter le Support Wallix


AdminBastion
Le support technique de Wallix AdminBastion est joignable pour vous apporter son assistance du
lundi au vendredi (sauf jours fériés) de 09:00 à 19:00 CET, par les moyens suivants:

Internet à: https://support.wallix.com

Téléphone: 01 70 36 37 50 (depuis la France) / +33 1 70 36 37 50 (depuis l'étranger)

171
Wallix AdminBastion 5.0.4 – Guide d’Administration

Annexe A. Export des données pour


l'intégration SIEM
WAB 5.0 utilise les messages syslog pour l'envoi de données vers les solutions SIEM depuis le
journal d'audit de WAB (c'est-à-dire « wablog »), les méta-données des sessions RDP et SSH.
Les sections suivantes répertorient les données exportées.

A.1. Journal d'audit de WAB


Le format des messages est le suivant :
[wabaudit] action=”[ACTION]” type=”[OBJTYPE]” object=”[UID/CN/NAME]”
user=”[WHO]” infos=”[INFOS]”

A.1.1. Authentification
La chaîne fournit des messages pour les authentifications, et notamment des informations
spécifiques concernant :

• les restrictions d'adresses IP,


• le certificat X509,
• l'authentification par token / « one-time password » (accès par mot de passe unique et limité
dans le temps)
• l'opérateur,
• GSSAPI/Kerberos,
• la clé API REST.

Exemple:
[wabaudit] action="authentify" user="admin" client_ip="192.168.140.1"
status="success" infos="diagnostic ['local' -password- authentication
succeeded]"

A.1.2. Logs de session
La chaîne fournit des messages pour l'audit des sessions, et notamment des informations
spécifiques concernant :

• la liste des logs de session (avec/sans champ de recherche)


• les session terminées par l'administrateur
• la visualisation et le téléchargement des sessions
• la visualisation des sessions en temps réel

Exemples:
[wabaudit] action="list" type="sessionlog" user="admin"
client_ip="192.168.140.1" infos="Search 'win2k16'"
[wabaudit] action="view" type="session"
object="150fc97a1a07e596000c29812e63" user="admin"

172
Wallix AdminBastion 5.0.4 – Guide d’Administration

client_ip="192.168.140.1" infos="Username ['admin'], Secondary


['administrator@acme.net@win2k16.acme.net'], Protocol ['RDP'], ClientIP
['192.168.140.1']"

A.1.3. Configuration
La chaîne fournit des messages pour l'édition des types d'objets suivants :

• Utilisateurs (enregistrement/édition/suppression),
• Groupes (enregistrement/suppression),
• Profils (enregistrement/édition/suppression),
• Domaines (enregistrement/édition),
• Équipements (création/édition/suppression),
• Ressources (édition/suppression),
• Services (création/édition),
• Comptes (création/édition/suppression),
• Clusters (création/édition/suppression),
• Politiques d'emprunt (création/édition),
• Politiques de connexion (création/édition),
• Détail de la politique de connexion (création/suppression),
• Autorisations (création/édition/suppression),
• Plages horaires (création/édition/suppression),
• Périodes (création/édition/suppression),
• Authentifications externes (création/édition/suppression),
• Domaines LDAP/AD (création/édition/suppression),
• Notifications (création/édition/suppression),
• Politiques des mots de passe (édition),
• Fichiers de configuration (édition),
• Politique de changement de mot de passe (création/édition/suppression).

Exemple:
[wabaudit] action="edit" type="User" object="jdoe" user="admin"
client_ip="192.168.140.1" infos="UserAuths [Add < win2k16.acme.net >]"

A.2. Session SSH
A.2.1. Ouverture de session réussie
[SSH Session] type='SESSION_ESTABLISHED_SUCCESSFULLY'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin'

A.2.2. Échec de l'ouverture de session


[SSH Session] type='CONNECTION_FAILED'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'

173
Wallix AdminBastion 5.0.4 – Guide d’Administration

client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'


device='debian' service='ssh' account='admin'

A.2.3. Déconnexion de la session
[SSH Session] type='SESSION_DISCONNECTION'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' duration='12:12:12'

A.2.4. Création de canal
[SSH Session] type='CHANNEL_EVENT'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' data='Channel Open X11
Success'

[SSH Session] type='CHANNEL_EVENT'


session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' data='AuthAgent Open
Success'

A.2.5. Détection de motif sur un shell ou une commande à


distance
[SSH Session] type='NOTIFY_PATTERN_DETECTED'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' pattern='tail'

[SSH Session] type='KILL_PATTERN_DETECTED'


session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' pattern='rm'

[SSH Session] type='WARNING_PATTERN_DETECTED'


session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' pattern='tail'

A.2.6. Détection de commande sur des équipements Cisco


[SSH Session] type='NOTIFY_COMMAND_DETECTED'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.210' user='maint'
device='cisco' service='ssh' account='admin' command='access-template'

[SSH Session] type='KILL_COMMAND_DETECTED'


session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.210' user='maint'
device='cisco' service='ssh' account='admin' command='configure terminal'

174
Wallix AdminBastion 5.0.4 – Guide d’Administration

[SSH Session] type='WARNING_COMMAND_DETECTED'


session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.210' user='maint'
device='cisco' service='ssh' account='admin' command='access-template'

A.2.7. Actions SFTP
Ces actions sont : stat, lstat, opendir, remove, mkdir, rmdir, rename, readlink, symlink, link, status.
[SSH Session] type='SFTP_EVENT'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' data='lstat /home/admin/'

A.2.8. Restriction de taille de fichier sur SFTP


[SSH Session] type='KILL_SIZELIMIT_DETECTED'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' data='Restriction: /var/
log/syslog file too big'
[SSH Session] type='NOTIFY_SIZELIMIT_DETECTED'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' data='Restriction: /var/
log/syslog file too big'

A.2.9. Début de transfert de fichier sur SFTP


[SSH Session] type='SFTP_EVENT'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' data='get /var/log/syslog
begin'

A.2.10. Fin de transfert de fichier sur SFTP avec taille et


hachage du fichier
[SSH Session] type='SFTP_EVENT'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' data='get /
var/log/syslog done, length= 338079, sha256 =
711cf730055826274d76ebb0505e13973f69d1b55d81199385362f5f319e9453'

A.2.11. Restriction de taille de fichier sur SCP


[SSH Session] type='KILL_SIZELIMIT_DETECTED'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' data='Restriction: /var/
log/syslog file too big'

175
Wallix AdminBastion 5.0.4 – Guide d’Administration

[SSH Session] type='SCP Event' session_id='sssss' user='uuuuu'


device='ddddd' service='SSSSS' account='aaaaa' data='Kill Restriction:
<filename> file too big'

A.2.12. Début de transfert de fichier sur SCP


[SSH Session] type='SCP_EVENT'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' data='get /var/log/syslog
begin'

A.2.13. Fin de transfert de fichier sur SCP avec taille et


hachage du fichier
[SSH Session] type='SCP_EVENT'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' data='get /
var/log/syslog done, length= 338079, sha256 =
711cf730055826274d76ebb0505e13973f69d1b55d81199385362f5f319e9453'

A.2.14. Entrée saisie au clavier par l’utilisateur


[SSH Session] type='KBD_INPUT'
session_id='002ac1d68450742e1928b88df3ca15385d710b33'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='debian' service='ssh' account='admin' data='ls -al'

A.3. Session RDP
A.3.1. Ouverture de session réussie
[RDP Session] type='SESSION_ESTABLISHED_SUCCESSFULLY'
session_id='SESSIONID-0000' client_ip='192.168.1.10'
target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp'
account='Maintenance'

A.3.2. Transfert via clipboard


[RDP Session] type='CB_COPYING_PASTING_FILE_TO_REMOTE_SESSION'
session_id='SESSIONID-0000' client_ip='192.168.1.10'
target_ip='192.168.1.200' user='maint' device='win2k8'
service='rdp' account='Maintenance' file_name='20160725-183530_659.log'
size='42816744'

A.3.3. Téléchargement via clipboard


[RDP Session] type='CB_COPYING_PASTING_FILE_FROM_REMOTE_SESSION'
session_id='SESSIONID-0000' client_ip='192.168.1.10'

176
Wallix AdminBastion 5.0.4 – Guide d’Administration

target_ip='192.168.1.200' user='maint' device='win2k8'


service='rdp' account='Maintenance' file_name='20160725-183530_659.log'
size='42816744'

A.3.4. Lecture d'un fichier du poste de travail depuis le


serveur
[RDP Session] type='DRIVE_REDIRECTION_READ' session_id='SESSIONID-0000'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='win2k8' service='rdp' account='Maintenance' file_name='home/
out.txt'

A.3.5. Écriture d'un fichier du poste de travail par le serveur


[RDP Session] type='DRIVE_REDIRECTION_WRITE' session_id='SESSIONID-0000'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='win2k8' service='rdp' account='Maintenance' file_name='home/
out.txt'

A.3.6. Déconnexion de la session par la cible


[RDP Session] type='SESSION_DISCONNECTION' session_id='SESSIONID-0000'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='win2k8' service='rdp' account='Maintenance' duration='12:12:12'

A.3.7. Session terminée par le proxy


[RDP Session] type='SESSION_DISCONNECTION' session_id='SESSIONID-0000'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='win2k8' service='rdp' account='Maintenance' duration='12:12:12'

A.3.8. Barres de titre des fenêtres telles que détectées par le


mode « session probe »
Les données peuvent contenir le titre et la ligne de commande du processus.

[RDP Session] type='TITLE_BAR' session_id='SESSIONID-0000'


client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='win2k8' service='rdp' account='Maintenance' source='Probe'
window='Sans titre - Bloc-notes'

A.3.9. Barres de titre des fenêtres telles que détectées par


l'OCR
[RDP Session] type='TITLE_BAR' session_id='SESSIONID-0000'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='win2k8' service='rdp' account='Maintenance' source='OCR'
window='out.txt - Bloc-notes'

177
Wallix AdminBastion 5.0.4 – Guide d’Administration

A.3.10. Saisies clavier de l'utilisateur traduites dans la


langue d'utilisation actuelle
[RDP Session] type='KBD_INPUT' session_id='SESSIONID-0000'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='win2k8' service='rdp' account='Maintenance' data=' to connect to
remote TCP host. '

A.3.11. Clic sur un bouton dans une fenêtre


Le message contient le titre de la fenêtre et le nom du bouton.

[RDP Session] type='BUTTON_CLICKED' session_id='SESSIONID-0000'


client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='win2k8' service='rdp' account='Maintenance' windows='"Bloc-
notes","",""' button='Ne pas en&registrer'

A.3.12. Modification du texte dans un champ textuel d'une


fenêtre
Le message contient le titre de la fenêtre et le nom du champ.

[RDP Session] type='EDIT_CHANGED' session_id='SESSIONID-0000'


client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='win2k8' service='rdp' account='Maintenance' windows='"Propriétés
de : id.txt","Général"' edit='Nom du fichier :'

A.3.13. Focus sur et en dehors d'un champ de mot de passe


[RDP Session] type='PASSWORD_TEXT_BOX_GET_FOCUS'
session_id='SESSIONID-0000' client_ip='192.168.1.10'
target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp'
account='Maintenance' status='yes'

A.3.14. Nouvelles fenêtres activées telles que détectées par


le mode « session probe »
Le message contient le titre de la fenêtre, le nom de la classe de la fenêtre et la ligne de commande
du processus.

[RDP Session] type='FOREGROUND_WINDOW_CHANGED'


session_id='SESSIONID-0000' client_ip='192.168.1.10'
target_ip='192.168.1.200' user='maint' device='win2k8'
service='rdp' account='Maintenance' text='PuTTY Configuration'
class_name='PuTTYConfigBox' command_line='"C:\Users\Maintenance\Desktop
\putty.exe" '

A.3.15. Changement de disposition du clavier


Le message contient le nom de la langue.

178
Wallix AdminBastion 5.0.4 – Guide d’Administration

[RDP Session] type='INPUT_LANGUAGE' session_id='SESSIONID-0000'


client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='win2k8' service='rdp' account='Maintenance' identifier='0x040C'
display_name='French (France)'

A.3.16. Création d'un nouveau processus


[RDP Session] type='NEW_PROCESS' session_id='SESSIONID-0000'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='win2k8' service='rdp' account='Maintenance' command_line='C:
\Windows\system32\DllHost.exe /Processid:{49F171DD-
B51A-40D3-9A6C-52D674CC729D}'

A.3.17. Fin d'un processus


[RDP Session] type='COMPLETED_PROCESS' session_id='SESSIONID-0000'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='win2k8' service='rdp' account='Maintenance' command_line='C:
\Windows\system32\TSTheme.exe -Embedding'

A.3.18. Démarrage d'une session VNC


[VNC Session] type='SESSION_ESTABLISHED_SUCCESSFULLY'
session_id='SESSIONID-0000' client_ip='192.168.1.10'
target_ip='192.168.1.210' user='maint' device='win2k3' service='vnc'
account='vncuser'

A.3.19. Fin d'une session VNC


[VNC Session] type='SESSION_DISCONNECTION' session_id='SESSIONID-0000'
client_ip='192.168.1.10' target_ip='192.168.1.210' user='maint'
device='win2k3' service='vnc' account='vncuser' duration='12:12:12'

A.3.20. Affichage de l'invite UAC


[RDP Session] type='UAC_PROMPT_BECOME_VISIBLE'
session_id='SESSIONID-0000' client_ip='192.168.1.10'
target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp'
account='Maintenance' status='yes'

A.3.21. Correspondance du certificat X509 du serveur


[RDP Session] type='SERVER_CERTIFICATE_MATCH_SUCCESS'
session_id='SESSIONID-0000' client_ip='192.168.1.10'
target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp'
account='Maintenance' description='X.509 server certificate match'

A.3.22. Connexion au serveur autorisée


[RDP Session] type='CERTIFICATE_CHECK_SUCCESS'
session_id='SESSIONID-0000' client_ip='192.168.1.10'

179
Wallix AdminBastion 5.0.4 – Guide d’Administration

target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp'


account='Maintenance' description='Connexion to server allowed'

A.3.23. Nouveau certificat X509 créé


[RDP Session] type='SERVER_CERTIFICATE_NEW' session_id='SESSIONID-0000'
client_ip='192.168.1.10' target_ip='192.168.1.200' user='maint'
device='win2k8' service='rdp' account='Maintenance' description='New
X.509 certificate created'

A.3.24. Échec de correspondance du certificat X509 du


serveur
[RDP Session] type='SERVER_CERTIFICATE_MATCH_FAILURE'
session_id='SESSIONID-0000' client_ip='192.168.1.10'
target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp'
account='Maintenance' description='X.509 server certificate match
failure'

A.3.25. Erreur interne du certificat X509


[RDP Session] type='SERVER_CERTIFICATE_ERROR'
session_id='SESSIONID-0000' client_ip='192.168.1.10'
target_ip='192.168.1.200' user='maint' device='win2k8' service='rdp'
account='Maintenance' description='X.509 server certificate internal
error: "No such file or directory"'

180
Wallix AdminBastion 5.0.4 – Guide d’Administration

Index Clusters, 120


ajouter, 121
importer, 122
menu, 120
A modifier, 122
ACL supprimer, 122
présentation, 16 Commandes, 163
Activation des services, 43 Commandes spécifiques, 163
Applications, 99 Comptes (ressources)
ajouter, 101 menu, 105
ajouter un compte, 102 Comptes (utilisateur)
configuration du serveur de rebond, 100 menu, 56
gérer les associations de ressources, 103 Comptes cibles, 105
importer, 103 ajouter, 105
menu, 99 changer manuellement le mot de passe, 109
modifier, 102 importer, 107
supprimer, 102 lancer le changement automatique du mot de
Arborescence du menu WAB passe, 109
présentation, 22 modifier, 106
Audit supprimer, 106
enregistrements des sessions, 137 Comptes utilisateurs, 56
gestion des sessions, 135 Concepts généraux, 14
historique des approbations, 139 Configuration
historique des authentifications, 140 activation des services, 43
historique des comptes, 138 applications, 99
historique des sessions, 136 authentifications externes, 80
recording options, 143 autorisations, 151
sessions courantes, 135 chiffrement, 35
sessions courantes en temps réel, 136 clusters, 120
statistiques sur les connexions, 141 comptes cibles, 105
Authentification comptes utilisateurs, 56
X509, 74 contrôle des services, 41
Authentifications externes, 80 domaine LDAP/Active Directory, 83
ajouter, 81 domaines, 86
menu, 80 équipements, 91
modifier, 82 groupes de comptes cibles, 110
supprimer, 83 groupes utilisateurs, 65
Autorisations, 151 haute disponibilité, 49
ajouter, 151 intégration SIEM, 39
importer, 153 licence, 34
modifier, 153 mappage des services, 42
procédure d'approbation, 159 mode transparent, 33
supprimer, 153 notifications, 70
visualiser l'historique des approbations, 157 options de configuration, 32
visualiser les approbations en cours, 156 paramètres de connexion, 150
plages horaires, 160
C politique de mot de passe, 72
Chiffrement, 35 politique mot de passe local, 72
menu, 35 politiques d'emprunt, 124
présentation, 17 Politiques d'emprunt du mot de passe, 124
CIDR, 92 politiques de connexion, 144
notation, 34 préférences, 30
Clé de licence (voir Licence) profils utilisateurs, 68

181
Wallix AdminBastion 5.0.4 – Guide d’Administration

réseau, 36 G
restauration, 44 Gestion de mot de passe
sauvegarde, 44 configurer les groupes de comptes cibles, 113
serveur de rebond, 100 Gestion de session
serveur SMTP, 44 configurer les groupes de comptes cibles, 111
service de temps, 37 Gestion des autorisations
session probe, 148 menu, 151
SNMP, 40 Gestion des mots de passe, 127
stockage distant, 38 autorisations de l'utilisateur, 127
X509, 74 Gestion des mots de passe
Connexion, 29 modifier, 131
Connexion interactive supprimer, 132
configurer les groupes de comptes cibles, 113 plugins de changement des mots de passe, 128
Console WAB politiques de changement des mots de passe,
présentation, 169 130
Contrôle des services, 41 ajouter, 131
activation des services, 43 Gestion des sessions
mappage des services, 42 autorisations de l'utilisateur, 133
menu, 41 données d'audit, 135
enregistrements des sessions, 137
D historique des approbations, 139
Domaines, 86 historique des authentifications, 140
ajouter, 86 historique des comptes, 138
changer les mots de passe de tous les comptes, historique des sessions, 136
91 options d'enregistrement, 143
importer, 87, 89 options sur les login primaires, 134
menu, 86 paramètres de connexion, 150
modifier, 87 politiques de connexion, 144
supprimer, 87 sessions courantes, 135
Domaines LDAP/Active Directory, 83 sessions courantes en temps réel, 136
menu, 83 Statistiques sur les connexions, 141
Données d'audit, 135 Glossaire, 19
Groupes (ressources)
E menu, 110
Emprunt du mot de passe Groupes (utilisateurs)
ajouter une politique, 125 menu, 65
modifier une politique, 125 Groupes de comptes cibles, 110
supprimer une politique, 125 ajouter, 110
Enregistrements de session, 143 configurer pour la connexion interactive, 113
Enregistrements des sessions configurer pour la gestion de mot de passe, 113
audit, 137 configurer pour la gestion de session, 111
Équipements, 91 configurer pour le mappage de compte, 112
ajouter, 92 détection de motifs (ou « patterns ») sur le flux
ajouter un compte, 93 RDP, 119
gérer les associations de ressources, 94 détection de motifs (ou « patterns ») sur le flux
importer, 94 SSH, 116
menu, 91 importer, 114
modifier, 93 importer des règles, 120
options spécifiques RDP, 97 modifier, 111
options spécifiques SSH, 97 supprimer, 114
scénario de connexion TELNET/RLOGIN, 98 Groupes utilisateurs, 65
supprimer, 93
supprimer les certificats, 94

182
Wallix AdminBastion 5.0.4 – Guide d’Administration

H applications), 99
Haute Disponibilité, 49 authentifications externes, 80
configuration, 49 chiffrement, 35
présentation, 18 clusters), 120
Historique des approbations comptes (ressources), 105
audit, 139 comptes (utilisateur), 56
menu, 139, 157 contrôle des services, 41
Historique des authentifications domaines, 86
audit, 140 domaines LDAP/Active Directory, 83
menu, 140 équipements), 91
Historique des comptes gestion des autorisations, 151
audit, 138 groupes (ressources), 110
menu, 138 groupes (utilisateurs), 65
Historique des sessions historique des approbations, 139, 157
audit, 136 historique des authentifications, 140
menu, 136, 137 historique des comptes, 138
historique des sessions, 136, 137
intégration SIEM, 39
I licence, 34
Infrastructure réseau logs audit, 36
positionnement de WAB, 14 mes approbations en cours, 156
Intégration SIEM, 39 mes préférences, 30
export des données, 172 messages au démarrage, 36
export des données de la session RDP, 176 notifications, 70
export des données de la session SSH, 173 options d'enregistrement, 143
export des données du journal d'audit de WAB, options de configuration, 32
172 paramètres de connexion, 150
menu, 39 Paramètres X509, 74
Interface plages horaires, 160
accès, 29 politique mots de passe locaux, 72
Interface Web d'administration politiques d'emprunt), 124
accès, 29 politiques de connexion, 144
profils (utilisateurs), 68
J réseau, 36
Journaux sauvegarde/restauration, 44
logs audit, 36 serveur SMTP, 44
messages au démarrage, 36 service de temps, 37
syslog, 36 sessions courantes, 135, 136
Journaux système, 36 SNMP, 40
statistiques sur les connexions, 141
L statut du système, 35
Licence, 34 stockage distant, 38
menu, 34 syslog, 36
Logs audit Mes approbations en cours
journaux, 36 menu, 156
menu, 36 Mes préférences
Logs système, 36 menu, 30
Messages au démarrage
M journaux, 36
menu, 36
Mappage de compte
Mode transparent
configurer les groupes de comptes cibles, 112
configuration, 33
Mappage des services, 42
Mot de passe
Menu

183
Wallix AdminBastion 5.0.4 – Guide d’Administration

ajouter une politique d'emprunt, 125 modifier, 131


ajouter une politique de changement, 131 supprimer, 132
modifier une politique d'emprunt, 125 Politiques de connexion
modifier une politique de changement, 131 ajouter, 144
plugins de changement des mot de passe, 128 menu, 144
politiques d'emprunt, 124 modifier, 145
politiques de changement, 130 règle de transformation, 146
supprimer une politique d'emprunt, 125 session probe, 146
supprimer une politique de changement, 132 supprimer, 146
Première connexion, 29
N Procédure d'approbation, 159
Notifications, 70 configuration, 159
ajouter, 71 étapes, 160
menu, 70 Profils (utilisateurs)
modifier, 72 menu, 68
supprimer, 72 Profils utilisateurs, 68
Protocole RDP
O options spécifiques, 97
Options d'enregistrement Protocole SSH
audit, 143 options spécifiques, 97
menu, 143 Proxy RDP
Options de configuration, 32 options spécifiques, 97
menu, 32 Proxy SSH
mode transparent, 33 options spécifiques, 97
Options proxy
RDP, 97 R
SSH, 97 Règle de transformation
politiques de connexion, 146
P Règles
Paramètres de connexion importer, 120
menu, 150 Réseau, 36
Paramètres X509 menu, 36
menu, 74 Ressources
Plages horaires, 160 applications, 99
ajouter, 161 ajouter, 101
menu, 160 ajouter un compte, 102
modifier, 161 configuration du serveur de rebond, 100
supprimer, 161 gérer les associations de ressources, 103
Politique de mot de passe, 72 importer, 103
Politique de mot de passe local, 72 modifier, 102
Politique mots de passe locaux supprimer, 102
menu, 72 clusters, 120
Politiques d'emprunt, 124 ajouter, 121
ajouter, 125 importer, 122
menu, 124 modifier, 122
modifier, 125 supprimer, 122
supprimer, 125 comptes cibles, 105
Politiques d'emprunt du mot de passe ajouter, 105
ajouter, 125 changer manuellement le mot de passe, 109
modifier, 125 importer, 107
supprimer, 125 lancer le changement automatique du mot de
Politiques de changement des mots de passe passe, 109
ajouter, 131 modifier, 106

184
Wallix AdminBastion 5.0.4 – Guide d’Administration

supprimer, 106 Serveur de rebond


domaines, 86 configuration, 100
ajouter, 86 Serveur SMTP , 44
changer les mots de passe de tous les menu, 44
comptes, 91 Service de temps, 37
importer, 87, 89 menu, 37
modifier, 87 Services WAB, 41
supprimer, 87 Session probe
équipements, 91 configuration, 148
ajouter, 92 mode de fonctionnement par défaut, 147
ajouter un compte, 93 politiques de connexion, 146
gérer les associations de ressources, 94 pré-requis, 147
importer, 94 Sessions courantes
modifier, 93 audit, 135
options spécifiques RDP, 97 menu, 135, 136
options spécifiques SSH, 97 temps réel, 136
scénario de connexion TELNET/RLOGIN, 98 Sessions courantes en temps réel
supprimer, 93 audit, 136
supprimer les certificats, 94 SMTP, 44
groupes de comptes cibles, 110 SNMP, 40
ajouter, 110 menu, 40
configurer pour la connexion interactive, 113 Sous-réseau, 33
configurer pour la gestion de mot de passe, SSH, 43
113 Statistiques sur les connexions
configurer pour la gestion de session, 111 audit, 141
configurer pour le mappage de compte, 112 menu, 141
détection de motifs (ou « patterns ») sur le flux Statut du système, 35
RDP, 119 menu, 35
détection de motifs (ou « patterns ») sur le flux Stockage distant, 38
SSH, 116 menu, 38
importer, 114 Subnet, 92
importer des règles, 120 Syslog
modifier, 111 journaux, 36
supprimer, 114 menu, 36
politiques d'emprunt du mot de passe, 124 Système
ajouter, 125 contrôle des services, 41
modifier, 125 intégration SIEM, 39
supprimer, 125 journaux, 36
Restauration, 44, 46 réseau, 36
restauration, 44
S sauvegarde, 44
Sauvegarde, 44, 46, 48 serveur SMTP, 44
sauvegarde automatique, 48 service de temps, 37
Sauvegarde automatique SNMP, 40
configuration, 48 statut, 35
Sauvegarde/restauration stockage distant, 38
ligne de commande, 46
menu, 44 T
sauvegarde automatique, 48 Terminologie, 19
Scénario Terminologie WAB, 19
TELNET/RLOGIN, 98
Scénario de connexion U
TELNET/RLOGIN, 98 Utilisateurs

185
Wallix AdminBastion 5.0.4 – Guide d’Administration

comptes utilisateurs, 56
ajouter, 57
importer, 59
importer depuis un annuaire LDAP/LDAPS/
AD, 64
importer depuis un fichier .csv, 60
modifier, 59
supprimer, 59
visualiser les applications accessibles, 59
visualiser les comptes cibles accessibles, 59
visualiser les droits sur l'interface Web, 59
visualiser les équipements accessibles, 59
groupes utilisateurs, 65
ajouter, 65
importer, 67
importer des règles, 120
modifier, 66
supprimer, 67
visualiser les membres, 67
profils utilisateurs, 68
ajouter, 69
modifier, 70
profils par défaut, 68
supprimer, 70

W
WAB Password Manager
gestion des mots de passe, 127
management, 28
présentation, 15
WAB Session Manager
gestion des sessions, 133
management, 28
présentation, 15

X
X509, 74

186