Bastion Admin Guide FR

BASTION DOCUMENTATION
WALLIX Bastion 8.0

correctif 2
GUIDE D'ADMINISTRATION
Reference: https://doc.wallix.com/fr/Bastion/8.0/Bastion-admin-guide-fr.pdf
Date: 2020-06-16
Copyright © 2020 WALLIX
WALLIX Bastion 8.0.2 – Guide d’Administration
Table des matières

1. Introduction .......................................................................................................................... 11
1.1. Préambule ................................................................................................................. 11
1.2. Copyright, Licences ................................................................................................... 11
1.3. Composants tiers ...................................................................................................... 11
1.4. Légende .................................................................................................................... 11
1.5. À propos de ce document ......................................................................................... 12
2. Compatibilités et limitations .................................................................................................. 13
3. Glossaire .............................................................................................................................. 14
4. Concepts .............................................................................................................................. 17
4.1. Généralités ................................................................................................................ 17
4.2. Positionnement de WALLIX Bastion dans l’infrastructure réseau ............................... 17
4.3. Concepts des ACL de WALLIX Bastion .................................................................... 18
4.4. Mise en production ................................................................................................... 19
4.5. Droits de l'utilisateur connecté à WALLIX Bastion ..................................................... 19
4.6. Chiffrement des données .......................................................................................... 20
4.6.1. Administration avec le protocole HTTPS (interface Web et API) ..................... 20
4.6.2. Administration avec le protocole SSH ............................................................ 20
4.6.3. Algorithmes des connexions primaires RDP (basés sur TLS) ......................... 21
4.6.4. Algorithmes des connexions primaires SSH ................................................... 22
4.6.5. Algorithmes des connexions secondaires ....................................................... 22
5. Fonctionnalités spécifiques .................................................................................................. 23
5.1. WALLIX Session Manager ........................................................................................ 23
5.2. WALLIX Password Manager ..................................................................................... 23
5.3. Coffre-fort externe à mots de passe ......................................................................... 23
5.4. Haute Disponibilité .................................................................................................... 24
6. Premiers pas avec WALLIX Bastion .................................................................................... 25
6.1. Configuration préalable des ports réseau TCP et UDP ............................................. 25
6.1.1. Communication depuis WALLIX Bastion ........................................................ 25
6.1.2. Communication vers WALLIX Bastion ............................................................ 25
6.2. Connexion à WALLIX Bastion en ligne de commande .............................................. 26
6.3. Parcourir le menu de l'interface Web ........................................................................ 27
6.4. Disponibilité des fonctionnalités spécifiques .............................................................. 34
6.4.1. Gestion des sessions ..................................................................................... 34
6.4.2. Gestion des mots de passe ........................................................................... 34
6.5. Navigation au sein des tableaux de l'interface Web .................................................. 34
6.5.1. Rechercher des données dans les tableaux ................................................... 34
6.5.2. Trier des données dans les tableaux ............................................................. 35
6.5.3. Modifier les tableaux ...................................................................................... 35
6.5.4. Supprimer des éléments dans les tableaux .................................................... 36
7. Connexion sur l'interface Web ............................................................................................. 37
7.1. Accès à l'interface Web d'administration ................................................................... 37
7.2. Description de la page de bienvenue ........................................................................ 39
7.3. Paramétrer les préférences utilisateur ....................................................................... 39
7.4. Résumé ..................................................................................................................... 41
8. Configuration de la machine ................................................................................................ 42
8.1. Configuration de l'interface ........................................................................................ 43
8.1.1. Configurer l'interface utilisateur Web .............................................................. 43
8.1.2. Configurer le délai de déconnexion de la session .......................................... 44
8.1.3. Configurer l'OEM ............................................................................................ 44
8.2. Licence ..................................................................................................................... 46
8.2.1. Gérer la clé de licence via la ligne de commande .......................................... 48
2
8.3. Chiffrement ................................................................................................................ 48

8.4. Statut du système ..................................................................................................... 49
8.5. Journaux et logs système ......................................................................................... 50
8.6. Réseau ..................................................................................................................... 51
8.7. Service de temps ...................................................................................................... 52
8.8. Stockage distant ....................................................................................................... 53
8.9. Intégration SIEM ....................................................................................................... 54
8.10. SNMP ...................................................................................................................... 55
8.11. Contrôle des services .............................................................................................. 59
8.11.1. Mappage des services ................................................................................. 60
8.11.2. Activation des services ................................................................................. 61
8.12. Serveur SMTP ........................................................................................................ 62
8.13. Sauvegarde et restauration ..................................................................................... 63
8.13.1. Restauration des fichiers de configuration .................................................... 63
8.13.2. Sauvegarde/Restauration en ligne de commande ........................................ 65
8.13.3. Configuration de la sauvegarde automatique ............................................... 66
8.13.4. Purge de la sauvegarde automatique ........................................................... 67
8.14. Haute Disponibilité .................................................................................................. 68
8.14.1. Limitations d’exploitation et prérequis ........................................................... 68
8.14.2. Configuration du cluster ............................................................................... 69
8.14.3. Démarrage du cluster ................................................................................... 70
8.14.4. Arrêt/Redémarrage du cluster ...................................................................... 70
8.14.5. Reprise sur une erreur fatale (WALLIX Bastion HA is locked down) .............. 70
8.14.6. Coupures réseau et Split-Brain .................................................................... 71
8.14.7. Reconfiguration réseau du cluster ................................................................ 71
8.14.8. Remplacement d’une machine défectueuse ................................................. 72
8.14.9. Récupération d’un volume défectueux .......................................................... 72
8.14.10. Tests de bon fonctionnement de la Haute Disponibilité ............................... 72
9. Utilisateurs ........................................................................................................................... 76
9.1. Comptes utilisateurs .................................................................................................. 76
9.1.1. Ajouter un utilisateur ...................................................................................... 77
9.1.2. Modifier un utilisateur ..................................................................................... 79
9.1.3. Supprimer un utilisateur ................................................................................. 79
9.1.4. Visualiser les droits d'un utilisateur sur l'interface Web ................................... 79
9.1.5. Visualiser les équipements, applications et comptes cibles accessibles par
un utilisateur ............................................................................................................. 80
9.1.6. Importer des utilisateurs ................................................................................. 80
9.2. Groupes utilisateurs .................................................................................................. 86
9.2.1. Ajouter un groupe utilisateurs ........................................................................ 87
9.2.2. Modifier un groupe utilisateurs ....................................................................... 88
9.2.3. Supprimer un groupe utilisateurs ................................................................... 88
9.2.4. Visualiser les membres d’un groupe utilisateurs ............................................. 89
9.2.5. Importer des groupes utilisateurs ................................................................... 89
9.3. Profils utilisateurs ...................................................................................................... 90
9.3.1. Profils par défaut ............................................................................................ 90
9.3.2. Ajouter un profil utilisateur ............................................................................. 91
9.3.3. Modifier un profil utilisateur ............................................................................ 93
9.3.4. Supprimer un profil utilisateur ........................................................................ 93
9.3.5. Importer des profils utilisateurs ...................................................................... 93
9.4. Configuration des notifications .................................................................................. 98
9.4.1. Ajouter une notification ................................................................................... 98
9.4.2. Modifier une notification ............................................................................... 100
9.4.3. Supprimer une notification ............................................................................ 100
3
9.5. Configuration de la politique de mot de passe local ................................................ 100

9.6. Configuration de l'authentification par certificat X509 .............................................. 101
9.6.1. Activation de l'authentification par certificat X509 ......................................... 102
9.6.2. Gestion de la liste de révocation de certificats (CRL) ................................... 103
9.6.3. Gestion du protocole de vérification de certificat en ligne (OCSP) ................ 104
9.6.4. Configuration de l'authentification des utilisateurs ........................................ 105
9.6.5. Authentification X509 ................................................................................... 106
9.6.6. Désactivation et désinstallation du mode d'authentification par certificat
X509 ....................................................................................................................... 108
9.7. Configuration des authentifications externes ........................................................... 109
9.7.1. Ajouter une authentification externe ............................................................. 110
9.7.2. Modifier une authentification externe ............................................................ 116
9.7.3. Supprimer une authentification externe ........................................................ 116
9.8. Configuration de l'intégration avec un domaine LDAP ou Active Directory ............... 116
9.8.1. Ajouter un domaine LDAP/AD ...................................................................... 117
9.8.2. Modifier un domaine LDAP/AD .................................................................... 121
9.8.3. Supprimer un domaine LDAP/AD ................................................................. 121
9.8.4. Importer des domaines LDAP/AD ................................................................ 122
9.8.5. Importer des correspondances LDAP/AD sur les groupes utilisateurs ........... 124
10. Cibles ............................................................................................................................... 127
10.1. Équipements ......................................................................................................... 127
10.1.1. Ajouter un équipement ............................................................................... 127
10.1.2. Modifier un équipement .............................................................................. 133
10.1.3. Supprimer un équipement .......................................................................... 133
10.1.4. Importer des équipements .......................................................................... 134
10.1.5. Options spécifiques du protocole SSH ....................................................... 136
10.1.6. Options spécifiques du protocole RDP ....................................................... 137
10.2. Applications ........................................................................................................... 138
10.2.1. Configuration du serveur de rebond ........................................................... 138
10.2.2. Configuration du lancement de l'application en mode RemoteApp .............. 140
10.2.3. Automatisation des connexions à une application via les scripts AutoIt ....... 141
10.2.4. Automatisation des connexions à une application Web via WALLIX
Application Driver ................................................................................................... 143
10.2.5. Ajouter une application ............................................................................... 145
10.2.6. Modifier une application ............................................................................. 147
10.2.7. Supprimer une application .......................................................................... 147
10.2.8. Ajouter un compte sur une application ....................................................... 147
10.2.9. Gérer les associations de ressources avec l'application ............................. 147
10.2.10. Importer des applications ......................................................................... 147
10.3. Domaines .............................................................................................................. 149
10.3.1. Ajouter un domaine global ......................................................................... 150
10.3.2. Associer le domaine à une Autorité de Certification SSH ............................ 152
10.3.3. Modifier un domaine global ou local ........................................................... 152
10.3.4. Ajouter un compte sur un domaine global ou local ..................................... 153
10.3.5. Changer les mots de passe de tous les comptes d'un domaine global ........ 154
10.3.6. Changer les mots de passe de tous les comptes d'un domaine local .......... 154
10.3.7. Révoquer le certificat signé des comptes d'un domaine associé à une
Autorité de Certification .......................................................................................... 154
10.3.8. Supprimer un domaine global .................................................................... 155
10.3.9. Importer des domaines globaux ................................................................. 155
10.3.10. Importer des domaines locaux ................................................................. 158
10.4. Comptes cibles ..................................................................................................... 160
10.4.1. Ajouter un compte cible à un domaine global ............................................. 161
4
10.4.2. Ajouter un compte cible à un équipement .................................................. 164

10.4.3. Ajouter un compte cible à une application .................................................. 166
10.4.4. Modifier un compte cible ............................................................................ 167
10.4.5. Changer automatiquement les accréditations pour un ou plusieurs
comptes .................................................................................................................. 168
10.4.6. Changer manuellement les accréditations d'un compte cible donné ............ 169
10.4.7. Supprimer un compte cible ........................................................................ 169
10.4.8. Importer des comptes cibles ...................................................................... 170
10.5. Groupes de cibles ................................................................................................. 173
10.5.1. Ajouter un groupe de cibles ....................................................................... 173
10.5.2. Modifier un groupe de cibles ...................................................................... 185
10.5.3. Supprimer un groupe de cibles .................................................................. 185
10.5.4. Importer des groupes de cibles .................................................................. 185
10.6. Clusters ................................................................................................................. 187
10.6.1. Ajouter un cluster ....................................................................................... 188
10.6.2. Modifier un cluster ...................................................................................... 189
10.6.3. Supprimer un cluster .................................................................................. 189
10.6.4. Importer des clusters .................................................................................. 189
10.7. Plugins de coffres-forts externes à mots de passe ................................................ 191
10.7.1. Plugin Bastion ............................................................................................ 191
10.7.2. Plugin CyberArk Enterprise Password Vault ............................................... 192
10.7.3. Plugin HashiCorp Vault .............................................................................. 192
10.7.4. Plugin Thycotic Secret Server .................................................................... 194
10.8. Politiques d'emprunt .............................................................................................. 196
10.8.1. Ajouter une politique d'emprunt .................................................................. 197
10.8.2. Modifier une politique d'emprunt ................................................................. 198
10.8.3. Supprimer une politique d'emprunt ............................................................. 199
11. Gestion des mots de passe ............................................................................................. 200
11.1. Autorisations de l'utilisateur sur les mots de passe ................................................ 200
11.1.1. Accès aux mots de passe via une procédure d'approbation ........................ 201
11.2. Plugins de changement des mots de passe .......................................................... 202
11.2.1. Matrice des plugins .................................................................................... 202
11.2.2. Plugin Cisco ............................................................................................... 204
11.2.3. Plugin Dell iDRAC ...................................................................................... 204
11.2.4. Plugin Fortinet FortiGate ............................................................................ 204
11.2.5. Plugin IBM 3270 ......................................................................................... 204
11.2.6. Plugin Juniper SRX .................................................................................... 207
11.2.7. Plugin LDAP ............................................................................................... 207
11.2.8. Plugin MySQL ............................................................................................ 208
11.2.9. Plugin Oracle .............................................................................................. 208
11.2.10. Plugin Palo Alto PA-500 ........................................................................... 208
11.2.11. Plugin Unix ............................................................................................... 208
11.2.12. Plugin Windows ........................................................................................ 209
11.3. Politiques de changement des mots de passe ...................................................... 210
11.3.1. Ajouter une politique de changement des mots de passe ........................... 210
11.3.2. Modifier une politique de changement des mots de passe .......................... 212
11.3.3. Supprimer une politique de changement des mots de passe ...................... 212
11.4. Configuration du mode « bris de glace » ............................................................... 212
12. Gestion des sessions ....................................................................................................... 214
12.1. Autorisations de l'utilisateur sur les sessions ......................................................... 214
12.1.1. Options spécifiques pour les sessions SSH ............................................... 215
12.1.2. Options spécifiques pour les sessions RDP ............................................... 215
12.1.3. Accès aux sessions via une procédure d'approbation ................................. 216
5
12.2. Connexion à la cible en mode interactif pour les protocoles SCP et SFTP ............. 218
12.3. Données d'audit .................................................................................................... 219
12.3.1. Sessions courantes .................................................................................... 219
12.3.2. Visualisation en temps réel des sessions courantes ................................... 220
12.3.3. Partage et prise de contrôle à distance des sessions courantes RDP ......... 220
12.3.4. Historique des sessions ............................................................................. 221
12.3.5. Enregistrements de sessions ..................................................................... 223
12.3.6. Historique des comptes .............................................................................. 226
12.3.7. Historique des approbations ....................................................................... 227
12.3.8. Historique des authentifications .................................................................. 228
12.3.9. Statistiques sur les connexions .................................................................. 229
12.4. Politiques de connexion ........................................................................................ 231
12.4.1. Ajouter une politique de connexion ............................................................ 232
12.4.2. Modifier une politique de connexion ........................................................... 233
12.4.3. Supprimer une politique de connexion ....................................................... 234
12.5. Options des enregistrements de sessions ............................................................. 234
12.6. Règle de transformation pour la récupération d'un identifiant pour la connexion
secondaire ...................................................................................................................... 234
12.7. Règle de transformation pour la récupération des accréditations d'un compte
dans le coffre-fort de WALLIX Bastion ........................................................................... 235
12.8. Utilisation d'un logiciel antivirus ou d'une solution DLP (Data Loss Prevention)
avec ICAP ...................................................................................................................... 236
12.8.1. Configuration de la connexion vers les serveurs ICAP ............................... 237
12.8.2. Activation de la vérification des fichiers ...................................................... 237
12.8.3. Activation de la sauvegarde de fichiers en cas d'invalidité lors de la
vérification .............................................................................................................. 238
12.9. Activation de la sauvegarde des fichiers transférés au cours de la session RDP
ou SSH .......................................................................................................................... 238
12.10. Configuration des données sensibles enregistrées dans les logs pour le
protocole RDP ................................................................................................................ 239
12.11. Autorisation ou rejet des canaux virtuels dynamiques pour le protocole RDP ....... 239
12.12. Configuration du log de toutes les entrées clavier pour les protocoles RLOGIN,
SSH et TELNET ............................................................................................................. 240
12.13. Scénario de connexion TELNET/RLOGIN sur un équipement cible ..................... 240
12.14. Configuration des algorithmes de cryptographie pris en charge sur les
équipements cibles ......................................................................................................... 241
12.14.1. Paramètres de cryptographie SSH sur les équipements cibles ................. 241
12.14.2. Paramètres de cryptographie RDP sur les équipements cibles ................. 242
12.15. Scénario de démarrage SSH sur un équipement cible ........................................ 242
12.15.1. Commandes ............................................................................................. 242
12.15.2. Token ou « jeton » .................................................................................... 243
12.15.3. Configuration du scénario de démarrage SSH .......................................... 244
12.16. Configuration du mode transparent pour les proxies RDP et SSH ....................... 245
12.17. Configuration de la fonctionnalité KeepAlive pour le proxy RDP .......................... 246
12.18. Utilisation du mode « session probe » ................................................................ 246
12.18.1. Mode de fonctionnement par défaut ......................................................... 247
12.18.2. Choix du lanceur ...................................................................................... 247
12.18.3. Prérequis .................................................................................................. 248
12.18.4. Configuration ............................................................................................ 248
12.18.5. Lancement du mode « session probe » depuis un répertoire spécifique .... 253
12.19. Utilisation du mode « session probe » avec l'agent WALLIX BestSafe ................. 253
12.19.1. Activation de l'interaction avec l'agent WALLIX BestSafe .......................... 254
12.19.2. Log des évènements ................................................................................ 254
6
12.19.3. Détection des connexions sortantes ......................................................... 254

12.19.4. Détection du lancement de processus ...................................................... 254
12.20. Répartition de charge avec Remote Desktop Connection Broker ......................... 254
12.20.1. Prérequis .................................................................................................. 255
12.20.2. Configuration ............................................................................................ 256
12.21. Messages de connexion ..................................................................................... 256
13. Gestion des autorisations ................................................................................................. 258
13.1. Ajouter une autorisation ........................................................................................ 258
13.2. Modifier une autorisation ....................................................................................... 260
13.3. Supprimer une autorisation ................................................................................... 260
13.4. Importer des autorisations ..................................................................................... 260
13.5. Visualiser les approbations en cours ..................................................................... 263
13.6. Visualiser l'historique des approbations ................................................................. 264
13.7. Procédure d'approbation ....................................................................................... 265
13.7.1. Configuration de la procédure .................................................................... 266
13.7.2. Étapes de la procédure .............................................................................. 267
13.8. Configuration des plages horaires ......................................................................... 268
13.8.1. Ajouter une plage horaire ........................................................................... 268
13.8.2. Modifier une plage horaire ......................................................................... 269
13.8.3. Supprimer une plage horaire ...................................................................... 269
14. Commandes spécifiques .................................................................................................. 270
14.1. Se connecter à WALLIX Bastion en ligne de commande ....................................... 271
14.2. Restaurer la configuration d'usine de WALLIX Bastion .......................................... 271
14.3. Restaurer le compte administrateur d'usine .......................................................... 272
14.4. Réinitialiser le chiffrement des données de WALLIX Bastion ................................. 272
14.5. Obtenir les informations de version de WALLIX Bastion ........................................ 272
14.6. Changer la disposition du clavier .......................................................................... 272
14.7. Obtenir l'URL de la GUI ........................................................................................ 273
14.8. Changer le mot de passe GRUB .......................................................................... 273
14.9. Changer la configuration réseau ........................................................................... 273
14.10. Changer la configuration du niveau de sécurité ................................................... 273
14.11. Configurer les services ........................................................................................ 273
14.12. Configurer la Haute Disponibilité (également appelée « High-Availability » ou «
HA ») .............................................................................................................................. 273
14.13. Générer le rapport sur l'état du système ............................................................. 274
14.14. Gérer la clé de licence ........................................................................................ 274
14.15. Utiliser WABConsole pour changer le mot de passe de l'utilisateur ...................... 274
14.16. Afficher le contenu des logs de "journalctl" ......................................................... 275
14.17. Exporter et/ou purger les enregistrements de sessions manuellement ................. 275
14.18. Exporter et/ou purger les enregistrements de sessions automatiquement ............ 277
14.19. Déplacer les enregistrements de sessions depuis un stockage local vers un
stockage distant ............................................................................................................. 278
14.20. Ré-importer les enregistrements de sessions archivés ........................................ 279
14.21. Vérifier l'intégrité des fichiers de log des sessions ............................................... 279
14.22. Changer l’identification des serveurs cibles ......................................................... 280
14.23. Configurer les options TLS pour l'authentification externe LDAP ......................... 280
14.24. Configurer le client TLS pour l'intégration SIEM .................................................. 280
14.25. Changer les certificats auto-signés des services ................................................. 281
14.25.1. Changer le certificat de l'interface Web et de l'API ................................... 281
14.25.2. Changer le certificat du proxy RDP .......................................................... 282
14.25.3. Changer la clé serveur du proxy SSH ...................................................... 282
14.26. Configurer la cryptographie des services ............................................................ 282
7
14.26.1. Configurer le niveau de sécurité pour permettre la compatibilité du

protocole RDP ........................................................................................................ 282
14.26.2. Configurer le niveau de sécurité pour permettre la compatibilité du
protocole SSH ........................................................................................................ 283
14.26.3. Restaurer les paramètres de cryptographie par défaut ............................. 283
14.27. Mettre à jour la liste de révocation CRL (Certificate Revocation List) ................... 284
15. Web Services API REST ................................................................................................. 285
15.1. Documentation de l'API REST WALLIX Bastion .................................................... 285
15.2. Documentation de l'API REST SCIM .................................................................... 285
15.3. Gestion de clés d'API REST ................................................................................. 285
15.3.1. Générer une clé d’API ................................................................................ 286
15.3.2. Modifier une clé d’API ................................................................................ 286
15.3.3. Supprimer une clé d’API ............................................................................ 287
16. Messages SIEM ............................................................................................................... 288
16.1. Logs de l'interface Web de WALLIX Bastion ......................................................... 288
16.1.1. Type d'objet : Compte ................................................................................ 288
16.1.2. Type d'objet : Activité du compte (Audit) .................................................... 288
16.1.3. Type d'objet : Historique du compte (Audit) ................................................ 289
16.1.4. Type d'objet : Réponse de la demande d'approbation ................................ 289
16.1.5. Type d'objet : Clé d'API .............................................................................. 289
16.1.6. Type d'objet : Application ............................................................................ 289
16.1.7. Type d'objet : Chemin de l'application ........................................................ 289
16.1.8. Type d'objet : Approbation .......................................................................... 290
16.1.9. Type d'objet : Autorisation .......................................................................... 290
16.1.10. Type d'objet : Sauvegarde/Restauration ................................................... 291
16.1.11. Type d'objet : Politiques d'emprunt ........................................................... 291
16.1.12. Type d'objet : Cluster ................................................................................ 291
16.1.13. Type d'objet : Politique de connexion ....................................................... 292
16.1.14. Type d'objet : Informations de changement des accréditations .................. 292
16.1.15. Type d'objet : Politique de changement de mot de passe ......................... 292
16.1.16. Type d'objet : Équipement ........................................................................ 293
16.1.17. Type d'objet : Domaine global .................................................................. 293
16.1.18. Type d'objet : Domaine LDAP .................................................................. 293
16.1.19. Type d'objet : Correspondance LDAP ....................................................... 294
16.1.20. Type d'objet : Domaine local .................................................................... 294
16.1.21. Type d'objet : Notification ......................................................................... 294
16.1.22. Type d'objet : Période ............................................................................... 295
16.1.23. Type d'objet : Profil ................................................................................... 295
16.1.24. Type d'objet : Politique du mot de passe local .......................................... 295
16.1.25. Type d'objet : Options d'enregistrement .................................................... 295
16.1.26. Type d'objet : Restriction .......................................................................... 295
16.1.27. Type d'objet : Service ............................................................................... 296
16.1.28. Type d'objet : Logs des sessions .............................................................. 296
16.1.29. Type d'objet : Groupe de comptes cibles .................................................. 296
16.1.30. Type d'objet : Plage horaire ...................................................................... 297
16.1.31. Type d'objet : Utilisateur ........................................................................... 297
16.1.32. Type d'objet : Authentification externe ...................................................... 297
16.1.33. Type d'objet : Groupe utilisateurs ............................................................. 297
16.1.34. Type d'objet : Paramètres X509 (CRL) ..................................................... 298
16.2. Logs du service SSH ............................................................................................ 298
16.2.1. Flux d'une session réussie ......................................................................... 298
16.2.2. Flux d'un échec de connexion : connexion refusée, machine éteinte ou
service indisponible ................................................................................................ 299
8
16.2.3. Flux d'un échec de connexion : cible invalide ou accès refusé .................... 300
16.2.4. Ouverture de session réussie ..................................................................... 300
16.2.5. Échec de l'ouverture de session ................................................................ 300
16.2.6. Déconnexion de la session ........................................................................ 301
16.2.7. Évènements sur un canal ........................................................................... 301
16.2.8. Évènements de type requête ..................................................................... 302
16.2.9. Détection de motif sur un shell ou une commande à distance .................... 303
16.2.10. Détection de commande sur des équipements Cisco ............................... 303
16.2.11. Actions SFTP ........................................................................................... 303
16.2.12. Restriction de taille de fichier sur SFTP ................................................... 304
16.2.13. Début de transfert de fichier sur SFTP ..................................................... 304
16.2.14. Fin de transfert de fichier sur SFTP avec taille et hachage du fichier ......... 304
16.2.15. Restriction de taille de fichier sur SCP ..................................................... 304
16.2.16. Début de transfert de fichier sur SCP ....................................................... 304
16.2.17. Fin de transfert de fichier sur SCP avec taille et hachage du fichier .......... 305
16.2.18. Entrée saisie au clavier par l’utilisateur .................................................... 305
16.2.19. Export de la mention d'appartenance au groupe pour le compte cible
dans les méta-données de la session .................................................................... 305
16.2.20. Vérification de fichier par le serveur ICAP ................................................ 305
16.3. Logs du service RDP ............................................................................................ 306
16.3.1. Flux d'un échec de connexion : connexion refusée, machine éteinte ou
service indisponible ................................................................................................ 306
16.3.2. Flux d'un échec de connexion : cible invalide ou accès refusé .................... 306
16.3.3. Ouverture de session réussie ..................................................................... 307
16.3.4. Transfert de fichier via le presse-papier ..................................................... 307
16.3.5. Téléchargement de fichier via le presse-papier .......................................... 307
16.3.6. Transfert de données via le presse-papier (telles que image, son, etc. sauf
texte au format Unicode ou données locales) ........................................................ 307
16.3.7. Téléchargement de données via le presse-papier (telles que image, son,
etc. sauf texte au format Unicode ou données locales) .......................................... 307
16.3.8. Transfert de données via le presse-papier (telles que texte au format
Unicode ou données locales) ................................................................................. 308
16.3.9. Téléchargement de données via le presse-papier (telles que texte au
format Unicode ou données locales) ...................................................................... 308
16.3.10. Lecture d'un fichier du poste de travail depuis le serveur .......................... 308
16.3.11. Écriture d'un fichier du poste de travail par le serveur ............................... 308
16.3.12. Déconnexion de la session par la cible .................................................... 309
16.3.13. Session terminée par le proxy .................................................................. 309
16.3.14. Fin de session en cours ........................................................................... 310
16.3.15. Barres de titre des fenêtres telles que détectées par le mode « session
probe » ................................................................................................................... 310
16.3.16. Barres de titre des fenêtres telles que détectées par l'OCR ...................... 310
16.3.17. Saisies clavier de l'utilisateur traduites dans la langue d'utilisation
actuelle ................................................................................................................... 310
16.3.18. Clic sur un bouton dans une fenêtre ........................................................ 310
16.3.19. Modification du texte dans un champ textuel d'une fenêtre ....................... 310
16.3.20. Focus sur et en dehors d'un champ de mot de passe .............................. 311
16.3.21. Focus sur et en dehors d'un champ de saisie non identifié ....................... 311
16.3.22. Nouvelles fenêtres activées telles que détectées par le mode « session
probe » ................................................................................................................... 311
16.3.23. Changement de disposition du clavier ...................................................... 311
16.3.24. Création d'un nouveau processus ............................................................ 311
16.3.25. Fin d'un processus ................................................................................... 312
9
16.3.26. Démarrage d'une session VNC ................................................................ 312

16.3.27. Fin d'une session VNC ............................................................................. 312
16.3.28. Affichage de l'invite UAC .......................................................................... 312
16.3.29. Correspondance du certificat X509 du serveur ......................................... 312
16.3.30. Connexion au serveur autorisée ............................................................... 313
16.3.31. Nouveau certificat X509 créé ................................................................... 313
16.3.32. Échec de correspondance du certificat X509 du serveur .......................... 313
16.3.33. Erreur interne du certificat X509 ............................................................... 313
16.3.34. Création de ticket Kerberos ...................................................................... 313
16.3.35. Suppression de ticket Kerberos ................................................................ 313
16.3.36. État des cases à cocher dans les méta-données collectées par le mode
« session probe » ................................................................................................... 314
16.3.37. Données de navigation Web collectées par le mode « session probe » ..... 314
16.3.38. Export de la mention d'appartenance au groupe pour le compte cible
dans les méta-données de la session .................................................................... 315
16.3.39. Vérification de fichier par le serveur ICAP ................................................ 315
16.3.40. Ouverture du canal virtuel dynamique ...................................................... 316
16.4. Logs du système ................................................................................................... 316
16.4.1. Intégrité des fichiers de log des sessions ................................................... 316
16.4.2. Configuration réseau .................................................................................. 317
16.4.3. Configuration du serveur SIEM .................................................................. 317
16.4.4. Configuration du stockage distant .............................................................. 317
16.4.5. Configuration du mappage des services ..................................................... 318
16.5. Logs des activités du coffre-fort ............................................................................ 318
17. Contacter le Support WALLIX Bastion ............................................................................. 319
Index ...................................................................................................................................... 320
10
Chapitre 1. Introduction
1.1. Préambule
Nous vous remercions d'avoir choisi WALLIX Bastion.
La solution WALLIX Bastion est commercialisée sous la forme d'un serveur dédié prêt à l'emploi
ou sous la forme d'une machine virtuelle pour environnements virtuels suivants :
• Amazon Web Services (AWS),

• Google Cloud Platform (GCP),
• Kernel-based Virtual Machine (KVM),
• Microsoft Azure,
• Microsoft Hyper-V,
• OpenStack,
• VMware vSphere.
Les équipes WALLIX ont apporté le plus grand soin à l'élaboration de ce produit et souhaitent qu'il
vous apporte entière satisfaction.
1.2. Copyright, Licences
Le présent document est la propriété de la société WALLIX et ne peut être reproduit sans son
accord préalable.
Tous les noms de produits ou de sociétés cités dans le présent document sont des marques
déposées de leurs propriétaires respectifs.
WALLIX Bastion est soumis au contrat de licence logicielle WALLIX.
WALLIX Bastion est basé sur des logiciels libres. La liste et le code source des logiciels sous
licence GPL et LGPL utilisés par WALLIX Bastion sont disponibles auprès de WALLIX. Pour les
obtenir, il suffit d'en faire une demande par internet en créant une requête à l'adresse https://
support.wallix.com/ ou par écrit à l'adresse suivante :
WALLIX
Service Support
250 bis, Rue du Faubourg Saint-Honoré
75008 PARIS
FRANCE
1.3. Composants tiers
Veuillez vous référer au document Third-Party Components pour obtenir la liste des paquets
modifiés par WALLIX et les informations relatives aux termes des contrats de licence.
1.4. Légende
prompt $ commande à taper <paramètre à remplacer>
11
retour de la commande
sur une ou plusieurs lignes
prompt $
1.5. À propos de ce document

Ce document constitue le Guide d’Administration de WALLIX Bastion 8.0.2. Il vous sera utile pour
configurer WALLIX Bastion avant sa mise en production, mais également dans son administration
et son exploitation au quotidien.
WALLIX fournit également en complément les documents suivants :
• un Guide de Démarrage Rapide pour vous assister lors du premier démarrage de l'appareil
(machine physique ou virtuelle) pour sa configuration ou encore pour vous indiquer comment
accéder aux images pour le déploiement de WALLIX Bastion sur les environnements virtuels ;
• un Guide Utilisateur pour vous guider dans votre utilisation de WALLIX Bastion en vue d'accéder
aux équipements que vous administrez.
Ces documents peuvent être téléchargés depuis le site du Support WALLIX (https://
support.wallix.com/).
12
Chapitre 2. Compatibilités et limitations
Veuillez vous référer au document Release Notes pour vérifier la compatibilité de WALLIX Bastion
8.0.2 avec différents clients ou cibles et obtenir plus d'informations sur les limitations, les problèmes
connus et également les prérequis techniques et les nouvelles fonctionnalités de cette nouvelle
version.
Il n'est pas recommandé de modifier la configuration de votre système ou d'installer un autre logiciel
car cette action pourrait nuire au bon fonctionnement de votre WALLIX Bastion. Toute installation
d'outils ou de programmes doit uniquement être effectuée sur les instructions de l’Équipe Support.
Pour plus d'informations, voir Chapitre 17, « Contacter le Support WALLIX Bastion », page 319.
13
Chapitre 3. Glossaire
Au cours de votre utilisation de WALLIX Bastion et au fur et à mesure que vous avancerez dans
la lecture de ce document, vous allez être amené(e) à rencontrer les termes techniques suivants.
Cette liste n'est pas exhaustive.
ACL Acronyme pour « Access Control List » (liste de contrôle

d’accès). Se dit d’un système permettant de gérer de manière
fine les accès à une ressource (que celle-ci soit un équipement,
un fichier, etc...).
Application cible Une application cible est caractérisée par l'association des
entités suivantes : une application et un compte.
Authentification externe Authentification pilotée par un annuaire externe à WALLIX
Bastion.
Authentification locale Authentification pilotée par WALLIX Bastion.
Cible Voir Application cible et Compte cible.
Coffre-fort à mots de passe Structure gérant des comptes. La définition de politiques permet
de configurer cette structure et de renforcer l'utilisation du
compte.
Coffre-fort externe à mots de Structure externe gérant des comptes.
passe
Compte Entité (gérée par WALLIX Bastion ou un coffre-fort externe à
mots de passe) permettant à un utilisateur de s'authentifier sur
un système et de se voir attribuer un niveau d'autorisation défini
pour accéder aux ressources de ce système, à des fins de
gestion. Un compte appartient à un domaine.
Compte cible Un compte cible est caractérisé par l'association des entités
suivantes : un équipement et un service et un compte.
Compte de scénario Compte cible utilisable par un scénario de démarrage au début
de la session SSH.
Connexion à une cible Connexion initiée entre WALLIX Bastion et un compte cible.
(également appelée
« Connexion secondaire »)
Connexion interactive Mécanisme permettant à l'utilisateur de saisir dynamiquement
son identifiant et le mot de passe secondaire sur le sélecteur
du client proxy (RDP ou SSH) pour accéder à une ressource.
Les informations d'identification renseignées par l'utilisateur sur
ce sélecteur sont alors utilisées par le proxy pour authentifier
la session sur la ressource distante. Une ressource peut être
un service spécifique sur un équipement, ou une application
(fonctionnant sur un serveur de rebond ou un cluster).
Au préalable, l'accès à cette ressource par authentification
interactive doit être autorisé pour cet utilisateur et un compte
avec les mêmes identifiant et mot de passe doit exister sur cette
ressource.
Connexion primaire Voir Connexion WALLIX Bastion.
Connexion secondaire Voir Connexion à une cible.
14
Connexion WALLIX Bastion Connexion initiée entre un utilisateur et WALLIX Bastion.

(également appelée
« Connexion primaire »)
Domaine global Entité de gestion regroupant une multitude de comptes cibles
pouvant être utilisés pour l'authentification sur une multitude
d'équipements. Un processus de changement du mot de passe
(politique et plugin de changement) peut être déployé sur tous
les comptes du domaine global.
Un domaine global peut être associé à un coffre-fort externe

à mots de passe. Dans ce cas, ce domaine regroupe des
comptes gérés par une entité externe via l'association d'un
plugin de coffre-fort externe. Par conséquent, un mécanisme de
changement de mot de passe ne peut pas être déployé sur les
comptes affiliés au sein de WALLIX Bastion.
Domaine local Entité de gestion regroupant une multitude de comptes cibles
pouvant être utilisés pour l'authentification sur un seul et unique
équipement. Un processus de changement du mot de passe
(politique et plugin de changement) peut être déployé sur tous
les comptes du domaine local.
Équipement Équipement physique ou virtuel pour lequel WALLIX Bastion
gère l'accès aux sessions ou mots de passe.
Emprunt Opération consistant à récupérer et afficher les accréditations
d'un compte donné. Le verrouillage du compte peut être
paramétré lors de cette opération afin d'empêcher une utilisation
concomitante par plusieurs utilisateurs.
Mappage de compte (ou Mécanisme permettant à un utilisateur de se connecter à
« Account mapping ») une ressource en utilisant ses informations d'identification
(identifiant et mot de passe). Ceci est particulièrement utile
lorsque le compte utilisateur est déclaré sur un annuaire
d’entreprise et qu’il possède des accès sur la ressource cible.
Les accréditations primaires (identifiant et mot de passe) sont
alors utilisées par un client RDP ou SSH pour authentifier une
session sur la ressource distante. Une ressource peut être
un service spécifique sur un équipement ou une application
(fonctionnant sur un serveur de rebond ou un cluster). Au
préalable, l'accès à cette ressource par mappage de compte
doit être autorisé pour cet utilisateur et un compte avec les
mêmes identifiant et mot de passe doit exister sur cette
ressource.
Mot de passe Mot de passe, clé SSH, ticket Kerberos ou toute autre donnée
secrète permettant d'authentifier un compte sur un système.
Ressource Les entités suivantes constituent les ressources : un
équipement (association d'un équipement et d'un service dans
le contexte de mappage de compte), une cible ou un compte.
Restitution Opération consistant à restituer les accréditations d'un compte
donné. Cette action est complémentaire à l'opération d'emprunt
des accréditations. Si le verrouillage du compte a été paramétré
lors de l'emprunt, le déverrouillage est effectué lors de la
restitution.
15
Scénario de connexion Scénario permettant d’automatiser une connexion vers un

équipement ne proposant pas de protocoles supportant l’envoi
automatisé des informations d'identification (SSH ou RDP).
Scénario de démarrage Scénario pouvant être utilisé au début de la session shell
SSH pour effectuer certaines actions, comme par exemple,
permettre à l'utilisateur d'acquérir les privilèges « root » avec
les commandes « su » ou « sudo » sans que ce dernier ait
connaissance du mot de passe.
Verrouillage Mécanisme visant à empêcher une utilisation concomitante d'un
compte par plusieurs utilisateurs.
16
Chapitre 4. Concepts
4.1. Généralités
WALLIX Bastion est une solution destinée aux équipes techniques qui administrent les
infrastructures informatiques (serveurs, équipements réseau, équipements de sécurité, etc.). Cette
solution permet de répondre aux besoins de contrôle et de traçabilité des accès des administrateurs.
A ces fins, WALLIX Bastion intègre des fonctionnalités de contrôle d’accès (ACL) et de traçabilité.
Il constitue un sas pour les administrateurs qui souhaitent se connecter aux équipements en :
• vérifiant les éléments d’authentification fournis par l’utilisateur,

• vérifiant ses droits d’accès sur la ressource demandée,
• gérant les mots de passe des comptes cibles.
WALLIX Bastion permet également d’automatiser les connexions vers les équipements cibles. Ceci
augmente le niveau de sécurisation du système d’information en empêchant la divulgation des
accréditations d’authentification des serveurs à administrer.
Les protocoles aujourd’hui supportés sont :
• SSH (et ses sous-systèmes),

• TELNET, RLOGIN,
• RDP et VNC,
• RAW TCP/IP. Ce protocole permet de rediriger les connexions TCP/IP d'un port local au poste
client vers un serveur cible en utilisant la redirection de ports TCP/IP locaux. Le proxy SSH agit
alors comme un serveur SSH dont le rôle est uniquement de faire la redirection de port TCP/IP
local. Si un canal de type session shell est ouvert au début, il servira alors de monitoring sur les
actions de redirection effectuées.
Pour surveiller son activité, superviser les connexions et configurer les différentes entités qui le
composent, WALLIX Bastion possède une interface Web, également appelée « GUI » (« Graphical
User Interface »), compatible avec Internet Explorer, Chrome et Firefox.
4.2. Positionnement de WALLIX Bastion dans

l’infrastructure réseau
WALLIX Bastion se positionne entre une zone de confiance faible et une zone de confiance forte.
La zone de confiance forte étant représentée par l'ensemble des équipements que WALLIX Bastion
isole.
Ces équipements et leurs comptes associés sont nommés « comptes cibles » dans la terminologie
WALLIX Bastion.
La zone de confiance faible est représentée par la population ayant un accès direct à WALLIX
Bastion :
• le personnel de l’entreprise
• la zone internet
17
Pour les utilisateurs de la solution, l’accès aux comptes cibles (dans la zone de confiance forte)
n’est possible qu’à travers WALLIX Bastion.
Figure 4.1. WALLIX Bastion dans l’infrastructure réseau
4.3. Concepts des ACL de WALLIX Bastion

WALLIX Bastion dispose d’un moteur avancé de gestion de droits implémentant des ACL (« Access
Control List » ou liste de contrôle d’accès en français) pour savoir qui a accès à quoi, quand et par
le biais de quel(s) protocole(s).
Ces ACL sont constituées des objets suivants :
• des utilisateurs : correspondant à des utilisateurs physiques de WALLIX Bastion d'un annuaire
utilisateur interne et/ou externe,
• des groupes d’utilisateurs : regroupant un ensemble d’utilisateurs,
• des équipements : correspondant à un équipement, physique ou virtualisé, auquel on souhaite
accéder via WALLIX Bastion,
• des comptes cibles : des comptes déclarés sur un équipement ou une application,
• des groupes de cibles : regroupant un ensemble de comptes cibles,
• des applications : tout type d’applications et de services fonctionnant sur un équipement ou un
ensemble d'équipements.
Une autorisation doit être définie dans WALLIX Bastion pour permettre à l'utilisateur d'accéder à
un compte cible. Ces autorisations sont déclarées entre un groupe d’utilisateurs et un groupe de
comptes cibles (ceci nécessite donc que chaque compte cible appartienne à un groupe de cibles
et que chaque utilisateur appartienne à un groupe d’utilisateurs).
Cette autorisation permet aux utilisateurs du groupe « X » d’accéder aux comptes cibles du groupe
« Y » à travers les protocoles « A », « B » ou « C ».
A ces entités primaires sont ajoutées des entités permettant de définir :
• les plages horaires de connexion
18
• la criticité de l’accès aux ressources cibles

• s’il faut enregistrer la session ou non
• le type de procédure d’authentification de l’utilisateur
Il est également possible de définir différents profils d’administrateur WALLIX Bastion avec soit
un accès total à toutes les fonctionnalités de WALLIX Bastion soit des droits limités à certaines
fonctionnalités. Par exemple, il est possible de définir uniquement l'accès aux données d'audit pour
les auditeurs WALLIX Bastion ou encore d'autoriser les administrateurs WALLIX Bastion à ajouter/
modifier des utilisateurs, configurer l'administration du système, gérer les autorisations, etc.
4.4. Mise en production
WALLIX Bastion possède un ensemble d’outils d’import permettant de faciliter sa mise en
production.
Cependant, il est conseillé, pour réussir sa mise en production, de recenser :
• les rôles des utilisateurs qui devront accéder aux comptes cibles,
• les rôles des utilisateurs qui devront administrer WALLIX Bastion,
• les équipements et les comptes cibles qui devront être accessibles à travers la solution.
Il est nécessaire de pouvoir répondre, pour chaque utilisateur, aux questions suivantes :
• cet utilisateur a-t-il le droit d’administrer la solution, et le cas échéant, quels sont les droits qui
doivent lui être accordés ?
• cet utilisateur a-t-il besoin d’accéder à des comptes cibles ?
• quand cet utilisateur a-t-il le droit de se connecter ?
• doit-il accéder à des ressources critiques ?
Il est nécessaire de pouvoir répondre, pour chaque compte cible ou équipement, aux questions
suivantes :
• ce compte cible ou cet équipement est-il critique ?

• faut-il enregistrer les sessions des utilisateurs accédant à ce compte ?
• par quel(s) protocole(s) ce compte cible ou cet équipement est-il accessible ?
4.5. Droits de l'utilisateur connecté à WALLIX

Bastion
En fonction des droits qui lui ont été attribués lors de la configuration de son profil, un utilisateur
n'aura accès qu'à certaines fonctionnalités de WALLIX Bastion.
Un utilisateur sera uniquement autorisé à visualiser les données au sein de l'application si le droit
« Afficher » pour la fonctionnalité concernée est paramétré au niveau de son profil.
Un utilisateur sera autorisé à accéder aux différents formulaires de création, modification et
suppression des données dès lors que le droit « Modifier » pour la fonctionnalité concernée est
paramétré au niveau de son profil.
Pour plus d'informations sur la définition des profils utilisateurs, voir Section 9.3, « Profils
utilisateurs », page 90.
19
4.6. Chiffrement des données

Plusieurs types de données sensibles sont susceptibles d’être stockés dans WALLIX Bastion et
notamment :
• les informations d’authentifications primaires, c'est-à-dire les informations liées aux connexions
à WALLIX Bastion,
• les informations d’authentifications secondaires, c'est-à-dire les informations liées aux
connexions aux cibles,
• les mots de passe d’accès aux services d’authentification,
• les sauvegardes des configurations de WALLIX Bastion.
Toutes les données sensibles sont chiffrées pour garantir la sécurité.
L'accès aux cibles via les différents services (RDP ou SSH) génère des données également
chiffrées.
Les spécifications cryptographiques pour sécuriser les données au sein de WALLIX Bastion sont
décrites ci-après.
4.6.1. Administration avec le protocole HTTPS (interface

Web et API)
Chiffrement avec le protocole TLSv1.3 :
• TLS_AES_256_GCM_SHA384
• TLS_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1)
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1)
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1)
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1)
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
4.6.2. Administration avec le protocole SSH

Algorithmes d'échange de clés :
• curve25519-sha256
• curve25519-sha256@libssh.org
• diffie-hellman-group-exchange-sha256
Algorithmes de clé d'hôte du serveur :
• ecdsa-sha2-nistp256
• ssh-ed25519
20
Algorithmes de chiffrement :
• aes128-ctr
• aes192-ctr
• aes256-ctr
• aes128-gcm@openssh.com
• aes256-gcm@openssh.com
• chacha20-poly1305@openssh.com
Algorithmes d'intégrité :
• hmac-sha2-256-etm@openssh.com
• hmac-sha2-512-etm@openssh.com
• hmac-sha2-256
• hmac-sha2-512
4.6.3. Algorithmes des connexions primaires RDP (basés

sur TLS)
• TLS_CHACHA20_POLY1305_SHA256
• TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256
• TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA256
• TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
21
• TLS_DHE_RSA_WITH_AES_256_CCM
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
• RSA_WITH_AES_256_CCM_8
• RSA_WITH_AES_256_CCM
• RSA_WITH_AES_128_CCM_8
• RSA_WITH_AES_128_CCM
• ECDHE-ARIA256-GCM-SHA384
• ECDHE-ARIA128-GCM-SHA256
• DHE_RSA_WITH_AES_256_CCM_8
• DHE_RSA_WITH_AES_128_CCM_8
• DHE_RSA_WITH_AES_128_CCM
• DHE-RSA-ARIA256-GCM-SHA384
• DHE-RSA-ARIA128-GCM-SHA256
• ARIA256-GCM-SHA384
• ARIA128-GCM-SHA256
4.6.4. Algorithmes des connexions primaires SSH

• curve25519-sha256@libssh.org
• diffie-hellman-group-exchange-sha256
Algorithmes de clé d'hôte :
• ssh-ed25519
• ssh-rsa
• rsa-sha2-256
• rsa-sha2-512
Algorithmes de chiffrement :
• aes128-ctr
• aes192-ctr
• aes256-ctr
• chacha20-poly1305@openssh.com
Algorithmes d'intégrité :
• hmac-sha2-256
• hmac-sha2-512
4.6.5. Algorithmes des connexions secondaires

Ces algorithmes dépendent des protocoles supportés par les cibles.
22
Chapitre 5. Fonctionnalités spécifiques
5.1. WALLIX Session Manager
Cette fonctionnalité spécifique de WALLIX Bastion 8.0.2 est accessible selon les termes de votre
contrat de licence logicielle.
Elle permet à l'administrateur notamment :
• d'identifier les utilisateurs connectés à des équipements donnés et de surveiller leur activité : les
sessions peuvent être visualisées en temps réel via l'interface Web d'administration de WALLIX
Bastion ou téléchargées pour être visionnées en local sur le poste de travail de l'administrateur,
• de visionner les enregistrements vidéo des actions effectuées lors des sessions des utilisateurs
à privilèges,
• d'obtenir un accès direct à la ressource en utilisant des clients natifs tels que PuTTY, WinSCP,
MSTC ou OpenSSH,
• de définir et configurer des politiques de connexion au moyen de mécanismes disponibles pour
les protocoles RDP, VNC, SSH, TELNET, RLOGIN et RAW TCP/IP.
Pour plus d'informations, voir Chapitre 12, « Gestion des sessions », page 214.
5.2. WALLIX Password Manager

Cette fonctionnalité spécifique de WALLIX Bastion 8.0.2 est accessible selon les termes de votre
contrat de licence logicielle.
Elle permet à l'administrateur notamment de :
• sécuriser les mots de passe des comptes cibles et des clés SSH,
• gérer les opérations d'emprunt et de restitution des accréditations des comptes cibles,
• changer ou générer les mots de passe des comptes cibles,
• définir une politique de changement des mots de passe pouvant être sélectionnée lors de la
création/modification d'un domaine global,
• sélectionner un plugin de changement des mots de passe parmi la liste configurée au sein de
WALLIX Bastion lors de la création/modification d'un domaine local ou global.
Pour plus d'informations, voir Chapitre 11, « Gestion des mots de passe », page 200.
5.3. Coffre-fort externe à mots de passe

WALLIX Bastion offre une approche modulaire de la gestion de coffre-fort à mots de passe.
Ce processus permet à un cluster de Bastions de gérer les sessions et les accès des utilisateurs
concernant des comptes gérés par un seul Bastion du cluster. Dans ce contexte, la gestion de
comptes implique la mise en place du changement d'accréditations (mot de passe et clé SSH) et
d'une politique d'emprunt.
Le coffre-fort local représente le coffre-fort par défaut. Les comptes stockés dans ce coffre-fort sont
gérés par l'instance Bastion locale. Ces comptes peuvent être utilisés pour permettre l'accès aux
sessions ou aux accréditations via l'interface Web ou le Web Service API REST.
23
Les coffres-forts externes sont représentés dans l'instance Bastion locale par l'intermédiaire de
plugins. Ceux-ci font la liaison communicante entre l'instance Bastion locale et le coffre-fort externe.
Actuellement, le plugin de coffre-fort externe à mots de passe « Bastion » est disponible pour
permettre la connexion et l'utilisation du coffre-fort d'une instance WALLIX Bastion.
Du point de vue d'une instance Bastion locale, le plugin « Bastion » représente le coffre-fort à
mots de passe de l'instance Bastion distante. Les comptes stockés dans ce coffre-fort sont gérés
par l'instance Bastion distante et peuvent être utilisés par l'instance Bastion locale afin d'accéder
aux sessions ou aux accréditations via l'interface Web ou le Web Service API REST. Ces comptes
doivent être importés dans l'instance Bastion locale afin de pouvoir être utilisés par celle-ci.
L'instance Bastion locale utilise le Web service API REST de l'instance Bastion distante pour établir
un canal de communication sécurisé afin d'emprunter ou de restituer les accréditations des comptes
mais également étendre la durée de l'emprunt (lorsque ce paramètre est configuré dans la politique
d'emprunt sur l'instance Bastion distante).
Les plugins de coffres-forts externes à mots de passe « CyberArk Enterprise Password Vault »,
« HashiCorp Vault » et « Thycotic Secret Server » sont également embarqués dans WALLIX Bastion
pour permettre la connexion et l'utilisation des coffres-forts intégrés aux solutions de gestion de
privilèges de ces entreprises.
Les comptes des coffres-forts externes sont associés à l'instance Bastion locale par l'intermédiaire
des domaines globaux assurant la fonction de conteneurs de ces comptes. Plusieurs domaines
peuvent pointer vers un même coffre-fort externe.
Pour plus d'informations sur la configuration de l'instance Bastion locale en vue de l'utilisation des
comptes de coffres-forts externes, voir Section 10.3, « Domaines », page 149, Section 10.7,
« Plugins de coffres-forts externes à mots de passe », page 191 et Section 11.1, « Autorisations
de l'utilisateur sur les mots de passe », page 200.
5.4. Haute Disponibilité
La fonctionnalité « Haute Disponibilité », également appelée « High-Availability » ou « HA », de
WALLIX Bastion 8.0.2 apporte, par l’intermédiaire d’un cluster bi-appliances de type « failover » (ou
« actif/passif »), une continuité du service WALLIX Bastion (accès aux équipements cibles et à la
console Web, enregistrement des sessions) en cas d’indisponibilité des services sur la machine
de production (le « Master »).
Cette reprise automatique des services par le second nœud du cluster (le « Slave ») est obtenue
par :
• le partage d’une adresse IP virtuelle par les deux WALLIX Bastion du cluster, les adresses IP
réelles étant inconnues des utilisateurs.
• la réplication sur le second nœud du cluster des informations de configuration, des journaux de
connexions et des fichiers contenant les enregistrements de sessions ainsi que les fichiers de
configuration WALLIX Bastion par le mécanisme de réplication DRBD.
• un mécanisme de notification par e-mail avise l’administrateur de WALLIX Bastion en cas de :
– bascule du service en mode « dégradé » (le nœud « Slave » a pris le relais)
– indisponibilité du nœud « Slave »
– détection d’une anomalie (service indisponible, etc.)
– synchronisation des disques terminée
Pour plus d'informations, voir Section 8.14, « Haute Disponibilité », page 68.
24
Chapitre 6. Premiers pas avec WALLIX

Bastion
6.1. Configuration préalable des ports réseau
TCP et UDP
6.1.1. Communication depuis WALLIX Bastion
Les ports suivants doivent être ouverts pour permettre les communications depuis WALLIX Bastion :
• SSH : 22
• RDP : 3389
• HTTP/HTTPS : 80/443
• SMTP : 25
• SMTPS : 465
• SMTP+STARTTLS : 587
• NTP : 123
• DNS : 53
• Authentification externe Kerberos : 88
• Authentification externe LDAP : 389
• Authentification externe LDAP sur SSL : 636
• Authentification externe RADIUS : 1812
• Authentification externe TACACS+ : 49
• Stockage réseau NFS : 2049
• Stockage réseau SMB/CIFS : 445
• SMB pour la gestion de mots de passe : 139 | 445
• Syslog : 514
• SNMP : 162 pour les notifications trap
6.1.2. Communication vers WALLIX Bastion

Les ports suivants doivent être ouverts pour permettre les communications vers WALLIX Bastion :
• Proxy SSH/SFTP/TELNET/RLOGIN : 22
• Proxy RDP/VNC : 3389
• SNMP : 161 pour les accès en lecture/écriture aux OID
• Interface ligne de commande d’administration de WALLIX Bastion (console SSHADMIN) : 2242
• Interface Web d’administration de WALLIX Bastion (GUI) : 443
25
6.2. Connexion à WALLIX Bastion en ligne de

commande
Un démon SSH est en écoute sur le port 2242 permettant de se connecter à une console shell
d’administration.
Pour des raisons de sécurité, tous les mots de passe du système doivent être changés dès la
première connexion.
Important :
Veuillez bien retenir votre nouveau mot de passe car celui-ci est le seul moyen de se
connecter par la suite.
Lors de l'installation de WALLIX Bastion, un mode graphique affiche des boîtes de dialogue pour
vous guider pas à pas dans les étapes de la configuration.
La procédure ci-dessous détaille les principales étapes de la configuration de la connexion à

WALLIX Bastion.
1. Première étape : choisir la langue de disposition du clavier que vous souhaitez utiliser
Si la langue de disposition du clavier actuelle est détectée, elle est alors mise en surbrillance
dans la liste. Dans le cas où cette langue ne figure pas dans la liste, vous pouvez sélectionner
« More options... » pour afficher plus de choix.
2. Seconde étape : définir le mot de passe de l'utilisateur « wabadmin »
Les informations d'identification configurées par défaut sont les suivantes :
• Mot de passe : SecureWabAdmin
Vous êtes invité(e) à changer le mot de passe par défaut de l'utilisateur « wabadmin ». Saisissez
et confirmez le nouveau mot de passe.
Par défaut, l'utilisateur « wabadmin » est configuré avec des privilèges restreints. Suivez la
prochaine étape pour configurer l'utilisateur « wabsuper » afin d'accéder à des privilèges
étendus.
3. Troisième étape : définir le mot de passe de l'utilisateur « wabsuper »
Lorsque le nouveau mot de passe de l'utilisateur « wabadmin » a été confirmé, vous êtes
invité(e) à saisir et confirmer le nouveau mot de passe de l'utilisateur « wabsuper ».
Le mot de passe de l'utilisateur « wabsuper » peut être passé avec la commande « super »
pour obtenir des privilèges étendus, et notamment l'acquisition des privilèges « root » à l'aide
de la commande « sudo » qui utilise le même mot de passe. Une fois connecté avec les
privilèges « root », vous pouvez utiliser un ensemble de scripts pour exploiter WALLIX Bastion
au quotidien.
4. Quatrième étape : définir le mot de passe de l'utilisateur « GRUB »
Lorsque le nouveau mot de passe de l'utilisateur « wabsuper » a été confirmé, vous êtes invité(e)
à changer le mot de passe par défaut de l'utilisateur « GRUB ».
Vous avez alors la possibilité d'utiliser le même mot de passe que celui renseigné
précédemment pour l'utilisateur « wabsuper » ou de définir un nouveau mot de passe.
26
Important :
Seuls les caractères ASCII sont supportés. Si le mot de passe renseigné pour
l'utilisateur « wabsuper » contient des caractères non ASCII , alors il n'est pas
possible d'utiliser ce même mot de passe pour l'utilisateur « GRUB » : vous devez
définir un mot de passe différent.
Avertissement :
Sous VMware, une fois l'installation initiale terminée et après le redémarrage du
système, la saisie du mot de passe de l'utilisateur « GRUB » répond par défaut à la
disposition du clavier QWERTY.
Les informations d'identification configurées par défaut sont les suivantes :
• Identifiant : wabbootadmin. L'utilisateur disposant d'un clavier AZERTY doit taper
« zqbbootqd,in » pour saisir « wabbootadmin ».
• Mot de passe : SecureWabBoot (ce mot de passe par défaut est normalement
modifié au cours de cette étape).
Utilisez la commande suivante si vous souhaitez changer ce mot de passe
ultérieurement :
wabsuper@wab$ WABChangeGrub
Attention aux caractères spéciaux et fautes de frappe car il n'est pas possible de
corriger la saisie. Cependant, la touche « Esc » permet d'effacer toute la saisie.
5. Cinquième et dernière : définir la configuration réseau

Lorsque le mot de passe de l'utilisateur « GRUB » a été défini, vous êtes invité(e) à effectuer
la configuration réseau.
6.3. Parcourir le menu de l'interface Web

Menu Sous-menu Actions
Mes préférences Modifier les préférences
utilisateurs
Voir Section 7.3, « Paramétrer

les préférences
utilisateur », page 39
Mes autorisations Sessions Afficher les autorisations de
l'utilisateur sur les sessions et
accéder aux cibles
Voir Section 12.1,

« Autorisations de l'utilisateur
sur les sessions », page 214
Mots de passe Afficher les autorisations
de l'utilisateur sur les
accréditations et accéder aux
accréditations des cibles
27

Voir Section 11.1,
« Autorisations de l'utilisateur
sur les mots de
passe », page 200
Audit Sessions courantes Lister et fermer les connexions
Voir Section 12.3.1, « Sessions

courantes », page 219
Historique des sessions Lister les connexions terminées
et afficher les enregistrements
de sessions
Voir Section 12.3.4, « Historique

des sessions », page 221
Historique des comptes Lister les activités des comptes

des comptes », page 226
Historique des approbations Lister les demandes
d'approbation en cours et
dépassées

des approbations », page 227
Historique des Lister les authentifications
authentifications primaires
Voir Section 12.3.8,

« Historique des
authentifications », page 228
Statistiques sur les Générer les graphiques de
connexions statistiques sur les connexions
Voir Section 12.3.9,
« Statistiques sur les
connexions », page 229
Utilisateurs Comptes Gérer et importer (fichier .csv et
annuaire LDAP) les utilisateurs
WALLIX Bastion
Voir Section 9.1, « Comptes

utilisateurs », page 76
Groupes Gérer et importer (fichier .csv)
les groupes d'utilisateurs
WALLIX Bastion
Voir Section 9.2, « Groupes

Profils Gérer et importer (fichier .csv)
les profils utilisateurs WALLIX
Bastion
28

Voir Section 9.3, « Profils
Cibles Équipements Gérer et importer (fichier .csv)
les équipements cibles
Voir Section 10.1,

« Équipements », page 127
Applications Gérer et importer (fichier .csv)
les applications cibles
Voir Section 10.2,

« Applications », page 138
Domaines Gérer et importer (fichier .csv)
les domaines globaux et locaux
Voir Section 10.3,

« Domaines », page 149
Comptes Gérer et importer (fichier .csv)
les comptes cibles

cibles », page 160
Clusters Gérer et importer (fichier .csv)
les clusters de serveurs de
rebond
Voir Section 10.6,

« Clusters », page 187
Groupes Gérer et importer (fichier .csv)
les groupes de cibles
Voir Section 10.5, « Groupes de

cibles », page 173
Plugins de coffres-forts Afficher la liste des plugins de
coffres-forts externes à mots de
passe disponibles
Voir Section 10.7, « Plugins de

coffres-forts externes à mots de
passe », page 191
Politiques d'emprunt Gérer les politiques d'emprunt
du mot de passe
Voir Section 10.8, « Politiques

d'emprunt », page 196
Autorisations Gestion des autorisations Gérer et importer (fichier .csv)
les autorisations entre les
groupes de cibles et les groupes
d'utilisateurs
29

Voir Chapitre 13, « Gestion des
autorisations », page 258
Mes approbations en cours Gérer les demandes
d'approbation en cours et
fournir une réponse
Voir Section 13.5, « Visualiser

les approbations en
cours », page 263
Mon historique Lister les demandes
d'approbations d'approbation en cours et
dépassées
Voir Section 13.6, « Visualiser
l'historique des
approbations », page 264
Gestion des sessions Politiques de connexion Gérer les mécanismes
d'authentification pour les
proxies (RDP, VNC, SSH,
TELNET, RLOGIN et RAW TCP/
IP)

de connexion », page 231
Options d'enregistrement Gérer les options de
stockage des enregistrements
de sessions
Voir Section 12.5, « Options

des enregistrements de
sessions », page 234
Gestion des mots de passe Politiques changement de Gérer les politiques de
mot de passe changement de mot de passe

de changement des mots de
passe », page 210
Plugins changement de mot Afficher la liste des plugins
de passe disponibles pour le changement
de mot de passe
Voir Section 11.2, « Plugins

de changement des mots de
passe », page 202
Configuration Options de configuration Configurer des aspects
spécifiques de WALLIX Bastion
(comme par exemple, les
options spécifiques pour
l'interface Web (GUI), le proxy
RDP, le proxy SSH, etc.)
30

Voir Chapitre 8, « Configuration
de la machine », page 42
Plages horaires Gérer les plages horaires
Voir Section 13.8,

« Configuration des plages
horaires », page 268
Authentifications externes Gérer les méthodes
d'authentification externe
(LDAP, Active Directory,
Kerberos, RADIUS)
Voir Section 9.7, « Configuration

des authentifications
externes », page 109
Domaines LDAP/AD Intégrer des comptes
utilisateurs via LDAP ou Active
Directory
Importer (fichier .csv)

des domaines LDAP/AD
et des correspondances
d'authentification LDAP

de l'intégration avec un
domaine LDAP ou Active
Directory », page 116
Notifications Gérer le mécanisme de
notification

des notifications », page 98
Politique de mots de passe Gérer les politiques des mots de
locaux passe locaux

de la politique de mot de passe
local », page 100
Messages de connexion Configurer les bannières
affichées lors de la connexion
de l'utilisateur aux proxies
Voir Section 12.21, « Messages

de connexion », page 256
Configuration X509 Configurer l'authentification par
certificat X509

de l'authentification par certificat
X509 », page 101
31

Clés d'API Gérer les clés d'API
Voir Section 15.3, « Gestion de

clés d'API REST », page 285
Licence Afficher et mettre à jour la clé de
licence
Voir Section 8.2,

« Licence », page 46
Chiffrement Définir la protection
cryptographique
Voir Section 8.3,

« Chiffrement », page 48
Logs audit Afficher le contenu du fichier
« wabaudit »
Voir Section 8.5, « Journaux et

logs système », page 50
Système Statut Afficher les informations
générales sur le statut du
système
Voir Section 8.4, « Statut du

système », page 49
Réseau Configurer les paramètres
réseau
Voir Section 8.6,

« Réseau », page 51
Service de temps Configurer les paramètres du
service de temps (NTP)
Voir Section 8.7, « Service de

temps », page 52
Stockage distant Gérer le stockage distant des
enregistrements de sessions
Voir Section 8.8, « Stockage

distant », page 53
Intégration SIEM Gérer le routage des logs
vers d'autres périphériques du
réseau
Voir Section 8.9, « Intégration

SIEM », page 54
SNMP Gérer l'agent SNMP
Voir Section 8.10,

« SNMP », page 55
32

Serveur SMTP Configurer le serveur de mail
pour l'envoi des notifications
Voir Section 8.12, « Serveur

SMTP », page 62
Contrôle des services Définir le mappage des services
avec les interfaces réseau et
les services WALLIX Bastion à
activer/désactiver
Voir Section 8.11, « Contrôle

des services », page 59
Syslog Afficher le contenu du fichier
« syslog »

Messages au démarrage Afficher le contenu du fichier
« dmesg »

Sauvegarde/Restauration Sauvegarde et restauration de
la configuration de WALLIX
Bastion
Voir Section 8.13, « Sauvegarde

et restauration », page 63
Import/Export CSV Importer des données depuis un
fichier .csv
Exporter des données sous la

forme d'un fichier .csv, une
archive .zip ou .tar.gz
Voir :
Section 9.1, « Comptes

utilisateurs », page 76,
Section 9.2, « Groupes

Section 9.3, « Profils

Section 10.1,
« Équipements », page 127,
Section 10.2,
« Applications », page 138,
Section 10.3,
« Domaines », page 149,
33

Section 10.4, « Comptes
cibles », page 160,
Section 10.6,
« Clusters », page 187,
Section 10.5, « Groupes de

cibles », page 173,
Section 13.1, « Ajouter une

autorisation », page 258,
Section 9.8, « Configuration

de l'intégration avec un
domaine LDAP ou Active
Directory », page 116
Utilisateurs depuis LDAP/AD Importer des utilisateurs depuis
un annuaire LDAP ou AD

6.4. Disponibilité des fonctionnalités

spécifiques
6.4.1. Gestion des sessions
Le menu « Gestion des sessions » et l'entrée « Sessions » du menu « Mes autorisations » peuvent
uniquement être administrés si la fonctionnalité WALLIX Session Manager est associée à votre clé
de licence.
6.4.2. Gestion des mots de passe

Le menu « Gestion des mots de passe » et l'entrée « Mots de passe » du menu « Mes autorisations
» peuvent uniquement être administrés si la fonctionnalité WALLIX Password Manager est associée
à votre clé de licence.
6.5. Navigation au sein des tableaux de

l'interface Web
L'interface Web de WALLIX Bastion présente des fonctionnalités vous permettant de rechercher,
trier, supprimer et personnaliser les données affichées au sein des tableaux.
6.5.1. Rechercher des données dans les tableaux

Une zone dédiée vous permet de rechercher des données au sein des tableaux de WALLIX Bastion.
La zone déployable, nommée « Filtres » (ou le champ « Rechercher : » sur certaines pages) et
située au-dessus de l'en-tête des tableaux, vous permet d'effectuer une recherche par occurrences
34
en renseignant un terme dans les champs dont les intitulés correspondent aux en-têtes des
colonnes du tableau.
Le symbole * peut aussi être utilisé dans ces champs pour effectuer une recherche spécifique. Ce
caractère peut être positionné à n'importe quel endroit pour remplacer toute chaîne de caractères
(chaînes vides y compris) dans les termes de la recherche.
Le tableau ci-dessous illustre les types possibles de recherche avec l'utilisation du symbole * :
Chaîne de Renvoie uniquement les lignes dont au moins une colonne contient...
recherche
rdp* toute chaîne commençant par le mot « rdp » (ex. : RDPDevice1)
*rdp toute chaîne se terminant par le mot « rdp » (ex. : ServiceRdp)
*rdp* or rdp toute chaîne contenant le mot « rdp », sans tenir compte de la position du
mot-clé dans la chaîne de caractères trouvée.
r*p toute chaîne commençant par « r » et se terminant par « p ». (ex. : Rdp, RP)
Le bouton « Rechercher » vous permet de lancer la recherche.
Note :
Le recherche n'est pas sensible à la casse.
Il est possible de saisir un mot-clé dans plusieurs champs à la fois pour affiner le résultat
de la recherche.
La recherche porte sur l'ensemble du tableau et pas uniquement sur la page active.
6.5.2. Trier des données dans les tableaux

Il est possible de trier les données affichées dans les tableaux de l'interface Web par ordre
alphabétique ou numérique, croissant ou décroissant, en utilisant les flèches haut et bas situées
au niveau des en-têtes de colonnes : flèche vers le haut pour le tri par ordre croissant, flèche vers
le bas pour le tri par ordre décroissant.
Notez que vous pouvez effectuer un tri multi-colonne en cliquant sur plusieurs en-têtes de colonne
tout en maintenant enfoncée la touche « Ctrl » sur un clavier Windows ou Linux, ou la touche
« cmd » sur un clavier Mac.
Note :
Ce tri agit sur l'ensemble des données contenues dans le tableau et pas uniquement sur
les données figurant sur la page active.
Lorsqu'une donnée trop longue apparaît tronquée au sein d'un tableau (par exemple :
« abcdefghijk... »), il est alors possible d'afficher la valeur textuelle entière dans une info-
bulle en passant le curseur de la souris sur ce libellé pendant une durée de 0,5 seconde.
6.5.3. Modifier les tableaux

Il est possible d'afficher ou de masquer les colonnes d'un tableau, de modifier leur largeur et
également l'ordre dans lequel elles apparaissent.
35
Pour ce faire, cliquez sur le bouton « Modifier l'affichage » situé sous le tableau que vous souhaitez
personnaliser.
Une fenêtre s'ouvre : elle affiche les colonnes, leur ordre actuel et leur largeur.
Vous pouvez effectuer les modifications nécessaires :
• Si vous souhaitez masquer ou afficher une colonne, décochez ou cochez la case située au début
de la ligne de la colonne concernée (les colonnes sont cochées par défaut).
Avertissement :
Vous ne pouvez pas masquer la colonne « Nom » car les données de cette colonne
contiennent un lien d'accès vers une page de modification.
• Si vous souhaitez changer l'ordre dans lequel les colonnes sont affichées, utilisez les flèches
haut et bas pour les organiser dans l'ordre souhaité.
• Si vous souhaitez redimensionner la taille d'une colonne, saisissez une nouvelle valeur dans le
champ « Largeur » de la colonne à élargir ou rétrécir.
Une fois que vous avez effectué les modifications désirées, cliquez sur le bouton « Valider et
fermer » pour sauvegarder la nouvelle configuration du tableau.
6.5.4. Supprimer des éléments dans les tableaux

Il est possible de supprimer des éléments dans les tableaux de l'interface Web, à tout moment et
sur chaque onglet et sous-onglet.
Pour ce faire, sélectionnez un ou plusieurs élément(s) à l'aide de la case à cocher située en début
de ligne puis cliquez sur le bouton « Supprimer » situé dans le coin supérieur droit de la page.
36
Chapitre 7. Connexion sur l'interface

Web
Note :
Il est possible de choisir l'interface qui s'affichera par défaut à partir du menu
« Configuration » > « Options de configuration » > « GUI ». Pour plus d'informations, voir
Section 8.1.1, « Configurer l'interface utilisateur Web », page 43.
7.1. Accès à l'interface Web d'administration

Pour accéder à l’interface Web d’administration de WALLIX Bastion, saisissez l’URL suivante dans
la barre d'adresse de votre navigateur :
https://adresse_ip_bastion/ui ou https://<nom_bastion>/ui
Avertissement :
L'interface par défaut n’est pas compatible avec Internet Explorer.
Votre navigateur doit être configuré pour accepter les cookies et exécuter le JavaScript.
WALLIX Bastion est livré en standard avec un compte administrateur d’usine dont les informations
d'identification par défaut sont les suivantes :
• Identifiant : admin
• Mot de passe : admin
Pour des raisons de sécurité, le mot de passe du compte administrateur devra être changé dès
la première connexion. Pour plus d’informations, voir Section 7.3, « Paramétrer les préférences
utilisateur », page 39.
La page de connexion de WALLIX Bastion prend en charge les méthodes d'authentification

suivantes : mot de passe, Kerberos, LDAP, RADIUS, TACACS+, PINGID et X509. Dans le cas
d'une authentification via Kerberos ou certificat X509, il vous suffit de cliquer sur le bouton
correspondant, dans la section « Autre méthode d'authentification », pour accéder à l'interface Web.
Pour plus d'informations sur la configuration de ces méthodes d'authentification, voir Section 9.7,
« Configuration des authentifications externes », page 109 et Section 9.6, « Configuration de
l'authentification par certificat X509 », page 101.
Par ailleurs, l'utilisateur AD peut être invité à changer son mot de passe après expiration sur cette
page ou lors de la connexion à la session RDP ou SSH. Pour cela :
• le serveur Active Directory doit être sous Windows Server 2008 R2 au minimum,
• l'option « AD user password change » (accessible depuis le menu « Configuration » > « Options
de configuration » > « Global » > section « main ») doit être cochée et,
• au moins un protocole de chiffrement (à savoir, StartTLS ou SSL) doit être paramétré sur la
méthode d'authentification associée au domaine. Pour plus d'informations, voir Section 9.7.1.3,
« Ajouter une authentification externe LDAP », page 112 et Section 9.8, « Configuration de
l'intégration avec un domaine LDAP ou Active Directory », page 116.
37
Note :
L'image du logo, le nom du produit ou encore l'affichage de la mention du copyright
sur l'écran de connexion de WALLIX Bastion peuvent être gérés depuis le menu
« Configuration » > « Options de configuration » > « GUI » > section « oem ». Pour plus
d'informations, voir Section 8.1, « Configuration de l'interface », page 43.
Le message d'avertissement sur l'écran de connexion peut être géré depuis

« Configuration » > « Messages de connexion ». Pour plus d'informations, voir
Section 12.21, « Messages de connexion », page 256.
Figure 7.1. Écran de connexion
Une fois l’authentification réussie, la page suivante s'affiche :
38
Figure 7.2. Page d’accueil WALLIX Bastion (affichée pour un profil administrateur)
7.2. Description de la page de bienvenue

La page de bienvenue de WALLIX Bastion se compose :
• d'un en-tête contenant :

– le nom de l'utilisateur connecté. Lorsque vous passez la souris sur la zone du nom d'utilisateur,
un menu contextuel affiche une entrée pour accéder à la page « Mes préférences » et à l'icône
de déconnexion.
– l'icône « Aide » qui permet d'afficher un menu donnant accès à la documentation technique
sous forme d'une aide en ligne contextuelle,
– l'icône « Notifications » qui permet de visualiser les éventuelles notifications (les demandes
d'approbation pour l'utilisateur ayant le profil approbateur ainsi que l'avertissement sur
l'expiration du mot de passe),
– l'icône « Import/Export » qui permet d'accéder à la page « Import/Export »,
– l'icône « Interface précédente » qui permet d'accéder à l'interface précédente.
• d'un menu vertical sur la gauche de l'écran à partir duquel l'ensemble des fonctionnalités
d'administration de WALLIX Bastion sont accessibles. L'interface Web est organisée
verticalement et horizontalement afin de permettre une navigation plus fluide.
• d'une zone sur laquelle est affiché le message de bienvenue. Les informations de ce message
peuvent être masquées en cliquant sur le bouton « Ne plus afficher ».
• d'un tableau de bord situé dans le bas de l'écran présentant les raccourcis vers les fonctionnalités
les plus utilisées.
7.3. Paramétrer les préférences utilisateur
39
Vous pouvez afficher la page « Mes préférences » en passant votre curseur sur la zone du nom
d'utilisateur située en haut à droite de l'écran. Tous les utilisateurs ont accès à cette page qui permet
de modifier leurs paramètres, quels que soient leurs droits d’administration.
La page « Mes préférences » permet de renseigner les quatre onglets suivants :
• « Profil » : pour changer l'adresse électronique et sélectionner la langue,

• « Mot de passe » : pour changer le mot de passe (uniquement si l'utilisateur a été déclaré
localement avec une authentification « local_password »),
• « Clé publique SSH » : pour glisser-déposer, importer ou saisir manuellement une clé
publique SSH utilisant l'algorithme RSA, ED25519 ou ECDSA, ou supprimer une clé publique
SSH existante (uniquement si l'utilisateur a été déclaré localement avec une authentification
« local_sshkey »),
Avertissement :
Il est impossible de glisser-déposer, importer ou saisir une clé dans l'onglet « Clé publique
SSH » si aucun algorithme n'est autorisé pour la clé SSH sur la page « Politique mots
de passe locaux » du menu « Configuration ». Pour plus d'informations, voir Section 9.5,
« Configuration de la politique de mot de passe local », page 100.
Cette clé doit être au format OpenSSH. Sinon, un message d'erreur s'affiche.
Si vous utilisez PuTTYgen pour générer la clé, vous devez enregistrer dans un fichier
texte la clé publique affichée au format OpenSSH lors de la génération. A titre d'exemple,
cette clé est libellée comme suit :
« ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEA0yR9lBQov6[.....]c3xu9p/xNjw== rsa-

key-20151204 »
Vous pouvez alors charger cette clé dans l'onglet « Clé publique SSH ».
Si une clé existe déjà, vous pouvez charger une clé privée en utilisant PuTTYgen pour
générer la clé publique correspondante au bon format.
• « Clé GPG » : pour glisser-déposer, charger ou afficher une clé GPG, ou supprimer une clé GPG
existante,
• « Affichage » : pour changer la taille d'affichage de WALLIX Bastion. Ce paramètre s'applique
seulement pour les connexions via le navigateur en cours d'utilisation.
40
Figure 7.3. Page « Mes préférences »
7.4. Résumé
Dans l'ensemble des pages de modification de l'interface Web, un résumé est affiché sur la droite
de votre écran. Il récapitule les informations définies précédemment.
En cliquant sur les entrées principales du résumé, vous êtes redirigé(e) sur les onglets
correspondants et vous avez la possibilité de saisir, compléter, modifier ou supprimer des
informations. Notez que vous pouvez choisir de masquer ou d'afficher ce résumé à tout moment.
41
Chapitre 8. Configuration de la machine
La page « Options de configuration » du menu « Configuration » permet une configuration avancée
des paramètres globaux de WALLIX Bastion.
Cliquer sur l'option souhaitée dans la liste pour afficher les paramètres concernés qui peuvent être
configurés sur la page dédiée pour :
• les paramètres globaux,

• l'interface Web (« GUI »). Pour plus d'informations, voir Section 8.1, « Configuration de
l'interface », page 43,
• l'interface Web précédente (« GUI (Legacy) »),
• le loggeur,
• l'OEM (« OEM (Legacy GUI) »),
• le proxy RDP,
• le proxy RDP session manager,
• l'API REST,
• les options de conservation des logs des sessions. Pour plus d'informations, voir Section 14.18,
« Exporter et/ou purger les enregistrements de sessions automatiquement », page 277 et
Section 14.21, « Vérifier l'intégrité des fichiers de log des sessions », page 279,
• le proxy SSH,
• le Watchdog.
Sur chacune de ces pages, une description utile peut être affichée pour tous les champs en cochant
la case du champ « Aide sur les options » en haut à droite de la page. Cette description mentionne
le format approprié à prendre en compte dans le champ concerné.
Avertissement :
Les options affichées en cochant la case du champ « Options avancées » en haut à
droite de la page doivent UNIQUEMENT être modifiées sur demande de l’Équipe Support
WALLIX ! Un point d’exclamation orange est affiché en regard des champs concernés.
42
Figure 8.1. Page « Options de configuration » pour

le proxy SSH avec les descriptions des champs
8.1. Configuration de l'interface
L'interface Web de WALLIX Bastion peut être personnalisée pour répondre à vos besoins
spécifiques.
8.1.1. Configurer l'interface utilisateur Web

A partir du menu « Configuration » > « Options de configuration » > « GUI », sous la section
« ui », vous pouvez sélectionner l'interface utilisateur Web qui s'affichera par défaut dans le champ
« Default user interface ». Pour plus d'informations, voir l'illustration Figure 8.2, « Page « Options
de configuration » pour la configuration de l'interface Web (GUI) - Partie 1 », page 45.
Si « current » est sélectionné, alors l'utilisateur sera redirigé sur la page de connexion de l'interface
par défaut. Il aura, cependant, toujours accès à l'interface précédente via le lien « Interface
précédente » situé en haut de la page.
Si « legacy » est sélectionné, alors l'utilisateur sera redirigé sur la page de connexion de l'interface
précédente. Il aura, néanmoins, toujours accès à l'interface par défaut via le lien « Basculer vers
l'interface par défaut » situé en haut de la page ou aux deux interfaces via :
https://adresse_ip_bastion/ui ou https://<nom_bastion>/ui pour l'interface par

défaut
43
https://adresse_ip_bastion ou https://<nom_bastion> pour l'interface précédente
Note :
Si l'option de configuration « Link switch default interface » (accessible depuis
« Configuration » > « Options de configuration » > « GUI (Legacy) ») est décochée, alors
le lien « Basculer vers l'interface par défaut » ne s'affichera pas sur la page d'accueil de
l'interface précédente. L’utilisateur ne pourra donc pas accéder à l'interface par défaut.
8.1.2. Configurer le délai de déconnexion de la session

A partir du menu « Configuration » > « Options de configuration » > « GUI », sous la section « ui »,
vous pouvez modifier le délai de déconnexion de la session dans le champ « Session timeout ».
Pour plus d'informations, voir l'illustration Figure 8.2, « Page « Options de configuration » pour la
configuration de l'interface Web (GUI) - Partie 1 », page 45.
Par défaut, la valeur de ce délai est paramétrée à 900 secondes. La valeur minimale de ce délai
ne peut être paramétrée en deçà de 300 secondes.
La modification de ce délai s'appliquera à la prochaine connexion.
8.1.3. Configurer l'OEM
A partir du menu « Configuration » > « Options de configuration » > « GUI », vous avez la possibilité
de personnaliser l'interface Web en configurant sous la section « oem » :
• le nom du produit affiché sur les pages de l'interface ainsi que sur l'onglet du navigateur Web
(« Product name »),
• la version courte du nom du produit (« Product name short »),
• le nom de l’Équipe Support (« Product support name »),
• l'affichage du copyright de WALLIX sur la page de connexion (« Copyright login »),
• l'icône du site affichée en miniature sur l'onglet du navigateur Web (« Favicon »),
• le logo affiché en haut du menu latéral de gauche (« Logo »),
• la version réduite du logo affichée en haut du menu latéral de gauche lorsque ce dernier est
réduit (« Logo small »),
• le logo affiché sur la page de connexion (« Login page logo »),
• le message d'accueil de la page de connexion pour chaque langue prise en charge par WALLIX
Bastion (« Login page title »),
• la couleur du message d'accueil et du message de connexion affichés sur la page de connexion
(« Login page info color »),
• la couleur d'arrière-plan du panneau droit de la page de connexion (« Login page background
color »),
• l'image d'arrière-plan du panneau gauche de la page de connexion (« Login page background
image »).
Notez que les images doivent être au format PNG et qu'il est possible de restaurer les images par
défaut de WALLIX Bastion en sélectionnant la case à cocher « Restore default image ».
44

la configuration de l'interface Web (GUI) - Partie 1
45

la configuration de l'interface Web (GUI) - Partie 2
8.2. Licence
L’utilisation de WALLIX Bastion est contrôlée par une clé de licence. Cette clé contient les éléments
inclus dans les termes du contrat commercial et est fournie par la société WALLIX. Elle est
renseignée dans WALLIX Bastion par le client via l'interface utilisateur Web.
Sur la page « Licence » du menu « Configuration », vous pouvez visualiser les caractéristiques de
la licence et mettre à jour la clé de licence.
En fonction des termes du contrat commercial, le mécanisme de la licence vérifie :
• le type de licence,
• la date d'expiration de la licence,
Note :
Lorsque les notifications sont activées concernant l'avertissement sur l'expiration de la
licence, un e-mail d'avertissement sera envoyé 15 jours, 10 jours, puis 5 jours et enfin
1 jour avant la date d'expiration de la licence. Pour plus d'informations, voir Section 9.4,
« Configuration des notifications », page 98.
46
• le nombre maximum de connexions simultanées au Bastion (c'est-à-dire les connexions

primaires),
Note :
Les connexions du compte administrateur associé au profil « WAB_administrator » ne
sont pas comptabilisées ici.
• le nombre maximum de connexions simultanées aux cibles (c'est-à-dire les connexions

secondaires),
• le nombre maximum d'équipements et d'applications pouvant être déclarés (si la fonctionnalité
WALLIX Password Manager est associée à la clé de licence) et/ou utilisés comme cibles de
connexion (si la fonctionnalité WALLIX Session Manager est associée à la clé de licence),
• lorsque la fonctionnalité WALLIX Password Manager est associée à la clé de licence, le nombre
maximum de cibles incluses dans des groupes pouvant être déclarées pour emprunter les
accréditations des comptes.
Note :
Chaque cible n'est comptée qu'une seule fois, quel que soit le nombre de groupes
auxquels elle appartient.
• lorsque la fonctionnalité WALLIX Session Manager est associée à la clé de licence, le nombre
maximum de cibles incluses dans des groupes pouvant être déclarées pour initialiser des
sessions.
Note :
Chaque cible n'est comptée qu'une seule fois, quel que soit le nombre de groupes
auxquels elle appartient.
Les comptes cibles utilisables comme comptes de scénario ne sont pas comptabilisés
ici.
• lorsque la fonctionnalité WALLIX Password Manager est associée à la clé de licence, le nombre
maximum de clients utilisant l'outil WALLIX Application-to-Application Password Manager
(également appelé « WAAPM »). La documentation relative à WAAPM peut être téléchargée
depuis le site du Support WALLIX (https://support.wallix.com/).
Pour obtenir une licence, le fichier de contexte doit être envoyé au Support WALLIX (https://
support.wallix.com/). Pour générer et télécharger ce fichier de contexte, cliquez sur
« Télécharger le fichier de contexte ». Ce fichier peut alors être envoyé au Support WALLIX
(https://support.wallix.com/) pour obtenir une mise à jour de la clé de licence.
Pour mettre à jour la clé de licence, copiez la clé reçue dans un fichier puis, téléchargez celui-ci
dans le champ « Mettre à jour le fichier » et cliquez sur le bouton « Mettre à jour la licence ».
Avertissement :
La licence est liée aux adresses MAC des deux premières interfaces du Bastion (dans
le cas où plus d'une interface est déclarée). Si WALLIX Bastion est déployé sous un
environnement virtuel utilisant deux machines sur deux nœuds différents, il est impératif
de vérifier la correspondance des adresses MAC afin d'assurer la redondance. De plus,
47
il est fortement recommandé de définir des adresses MAC statiques afin d'éviter un
éventuel changement au cours d'un redémarrage.
8.2.1. Gérer la clé de licence via la ligne de commande

La clé de licence peut également être gérée via la ligne de commande une fois connecté(e) avec
les privilèges « root ».
Pour afficher les propriétés et les métriques de la licence :
wab2:~# WABGetLicenseInfo
Pour générer le fichier de contexte de licence :
wab2:~# WABSetLicense -c -f <Fichier de contexte>
Pour importer une nouvelle licence :
wab2:~# WABSetLicense -u -f <Fichier de mise à jour>
Pour supprimer la licence :
wab2:~# WABSetLicense -d
8.3. Chiffrement
Le chiffrement de WALLIX Bastion sécurise vos données sensibles (telles que les accréditations
des comptes cibles, les mots de passe des utilisateurs locaux, les connexions à l'interface Web,
les connexions RDP et SSH, etc.) en les chiffrant par un algorithme cryptographique fort. Pour
plus d'informations sur les spécifications cryptographiques pour sécuriser les données au sein du
Bastion, voir Section 4.6, « Chiffrement des données », page 20.
Cet algorithme utilise une clé de chiffrement confidentielle, propre à votre WALLIX Bastion et
totalement inaccessible par l'utilisateur.
Il est recommandé de sécuriser cette clé en définissant une phrase de chiffrement (passphrase)
associée de 12 caractères minimum lors de l'installation de WALLIX Bastion, sur l'onglet
« Encryption » (« Chiffrement ») du menu « Configuration ». La définition de cette phrase de
chiffrement dans le champ « Passphrase » rend l'accès à WALLIX Bastion plus difficile et renforce
ainsi la sécurité de vos données. En effet, toute personne malveillante ne possédant pas la phrase
de chiffrement ne pourra accéder à votre produit.
Il est impératif de mémoriser cette phrase de chiffrement car elle vous sera obligatoirement
demandée :
• lors de la restauration de la configuration de WALLIX Bastion (voir Section 8.13, « Sauvegarde

et restauration », page 63). Si votre phrase de chiffrement est perdue, vous ne serrez plus en
mesure d'accéder à vos données sur les stockages distants,
• à chaque redémarrage du système. Tant que la phrase de chiffrement de la clé n'a
pas été saisie dans l’interface Web d’administration par l'administrateur possédant le profil
« WAB_administrator », le menu de configuration « Système » est masqué et les services de
connexion des proxies de WALLIX Bastion sont inutilisables.
• lors du changement de la phrase de chiffrement. Si vous désirez changer votre phrase de
chiffrement, vous devez saisir la phrase de chiffrement actuelle pour pouvoir en définir une
nouvelle.
48
Important :
Pour des raisons de sécurité, la phrase de chiffrement peut uniquement être définie au
moment de l'installation de WALLIX Bastion. Il ne sera plus possible de la définir par la
suite.
Lorsqu'une phrase de chiffrement a été définie, elle ne peut plus être supprimée. Une
phrase de chiffrement existante peut cependant être modifiée.
Après initialisation du chiffrement, il est fortement recommandé d’effectuer au moins une

sauvegarde de WALLIX Bastion afin de conserver une copie de la clé de chiffrement en
lieu sûr (voir Section 8.13, « Sauvegarde et restauration », page 63).
Après avoir configuré le chiffrement, vous pouvez revenir à tout moment sur l'onglet « Chiffrement »
du menu « Configuration » soit pour vérifier que votre WALLIX Bastion est prêt et sécurisé ou pour
modifier la phrase de chiffrement.
Figure 8.4. Page "Chiffrement"
8.4. Statut du système
Sur la page « Statut » du menu « Système », vous pouvez notamment visualiser les informations
suivantes concernant le système :
• la version actuelle de WALLIX Bastion,

• le nombre de sessions courantes RDP ou SSH initiées depuis WALLIX Bastion,
Note :
Il s'agit de la liste des connexions actives sur la page « Sessions courantes » du menu
« Audit ».
• le taux d'utilisation du CPU,
49
• l'utilisation de la RAM,
• le taux d'utilisation du swap,
• l'espace disponible de la partition /var (sur laquelle les enregistrements des sessions sont
sauvegardés).
Note :
L'utilisation de la RAM n'inclut pas le cache du système.
Tous les fichiers journaux et les fichiers relatifs aux informations de debug peuvent être téléchargés
sous la forme d'une archive .zip en cliquant sur le bouton « Télécharger les informations de debug »
en bas à droite de la page.
Figure 8.5. Page « Statut »
8.5. Journaux et logs système

Vous pouvez visualiser et sauvegarder les journaux depuis l'interface utilisateur Web.
Tous les fichiers de ces journaux (avec l'extension .log) peuvent être téléchargés sous la forme
d'une archive .zip en cliquant sur l'icône dédiée dans la partie droite de la page concernée.
WALLIX Bastion recense les journaux système suivants :
• « syslog » affiché sur la page « Syslog » du menu « Système ». Ce journal affiche le log des
sessions, et notamment la majorité des messages liés au fonctionnement des proxies ou à
l'utilisation de l'interface Web d'administration,
• « dmesg » affiché sur la page « Messages au démarrage » du menu « Système ». Ce journal
affiche le journal de démarrage du système,
• « wabaudit » affiché sur la page « Logs audit » du menu « Configuration ». Ce journal affiche les
connexions et les opérations effectuées par les auditeurs et les administrateurs.
50
Par ailleurs, tous les fichiers journaux et les fichiers relatifs aux informations de debug peuvent être
téléchargés depuis la page « Statut » du menu « Système ».
Note :
Certains logs système enregistrés sur la partition /var/log sont conservés pendant une
durée maximale de 5 semaines.
8.6. Réseau
Sur la page « Réseau » du menu « Système », vous pouvez notamment définir/modifier la
configuration réseau de la machine.
Vous pouvez modifier notamment :
• le nom d’hôte,
• le nom de domaine,
• la configuration des interfaces réseaux, y compris les interfaces VLAN et virtuelles. Chaque
interface doit appartenir à un sous-réseau différent.
Important :
L’interface eth1 (port 2 sur la machine) est dédiée à l’interconnexion de la Haute
Disponibilité (également appelée « High-Availability » ou « HA »). Aucun autre service
ne peut être affecté à cette interface. Pour plus d'informations, voir Section 8.11.1,
« Mappage des services », page 60.
Vous pouvez ajouter :
• des routes et notamment de l'interface de sortie par défaut et de la passerelle associée,
Note :
L'interface de sortie par défaut peut être sélectionnée parmi une liste comprenant
toutes les interfaces physiques configurées, ainsi que toutes les interfaces VLAN et
virtuelles.
L'adresse IP renseignée pour la passerelle doit correspondre au sous-réseau configuré

pour l'interface de sortie sélectionnée.
• des entrées dans le fichier « hosts »,

• des serveurs DNS.
Avertissement :
Avant de changer l’adresse IP de WALLIX Bastion utilisée pour communiquer avec le
serveur de fichier sur lequel se trouve un stockage distant, nous vous recommandons
de désactiver le stockage distant et de le réactiver après le changement d’adresse. Pour
plus d'informations, voir Section 8.8, « Stockage distant », page 53.
51
Figure 8.6. Page « Réseau »
8.7. Service de temps
Sur la page « Service de temps » du menu « Système », vous pouvez définir le fuseau horaire
de WALLIX Bastion.
Ce paramétrage est particulièrement important car :
• WALLIX Bastion doit être synchronisé en date et en heure avec les serveurs d’authentification
Kerberos,
• WALLIX Bastion est le référentiel de temps pour les informations d’audit remontées et la gestion
des plages horaires.
Note :
Par défaut, le service de temps est activé et la synchronisation est effectuée sur les
serveurs de temps du projet Debian.
52
Figure 8.7. Page « Service de temps »
8.8. Stockage distant
Sur la page « Stockage distant » du menu « Système », vous pouvez activer l'export des
enregistrements vidéo des session vers un système de fichiers distant en paramétrant une
connexion vers un serveur SMB/CIFS, NFS ou Amazon EFS.
Note :
WALLIX Bastion effectue un déplacement automatique des enregistrements des
sessions récemment terminées depuis un stockage local vers un stockage distant. Pour
plus d'informations, voir Section 14.19, « Déplacer les enregistrements de sessions
depuis un stockage local vers un stockage distant », page 278.
Lorsque le stockage distant est activé mais que le serveur de fichiers est temporairement
indisponible, l'ensemble des fonctionnalités de WALLIX Bastion reste accessible. Les
enregistrements de sessions sont néanmoins conservés sur le stockage local pendant
le temps d'indisponibilité du serveur.
Le paramétrage de la connexion s'effectue en renseignant les éléments suivants :
• le type du système de fichiers distant : les systèmes supportés sont SMB/CIFS, NFS et Amazon
EFS,
• la version du protocole,
Note :
Si la valeur « Automatique » est sélectionnée, alors WALLIX Bastion essaiera de
détecter automatiquement la version.
Pour SMB/CIFS, la détection « Automatique » ne prend pas en charge les versions de
protocole inférieures à SMBv2.1.
Pour NFS, la détection « Automatique » ne prend pas en charge les versions de
protocole NFSv4.1 et NFSv4.2.
Pour Amazon EFS, seule la détection « Automatique » est disponible et sélectionnée
par défaut.
53
• l’adresse IP ou le FQDN du serveur de fichiers,

• le numéro de port du service distant (sauf pour Amazon EFS),
• le répertoire distant où seront stockés les enregistrements (sauf pour Amazon EFS).
Pour SMB/CIFS, vous devez également indiquer :
• le nom d’utilisateur pour se connecter sur le service distant,

• son mot de passe.
Le bouton « Activer » permet d'activer la configuration.
Avertissement :
Si des enregistrements ont déjà été réalisés depuis WALLIX Bastion, l’activation du
stockage distant masquera les anciennes sessions (celles-ci seront de nouveau visibles
lorsque le stockage sera désactivé).
Figure 8.8. Page « Stockage distant »
8.9. Intégration SIEM
Sur la page « Intégration SIEM » du menu « Système », vous pouvez paramétrer le routage des
informations suivantes vers un ou plusieurs autres équipements réseau via des serveurs SIEM ou
syslog :
• le journal d'audit de WALLIX Bastion (c'est-à-dire « wabaudit »),

• les méta-données des sessions SSH,
• les méta-données des sessions RDP,
• les activités du compte.
Avertissement :
Cette page est uniquement affichée lorsque la fonctionnalité « SIEM » est associée à la
clé de licence.
54
Les journaux et logs seront alors envoyés à l’adresse IP, au port et via le protocole de transmission
(UDP, TCP ou TLS) sélectionnés et également stockés sur le système de fichiers local, afin d’être
toujours disponibles à la lecture sur la page « Logs audit » du menu « Configuration ». Pour plus
d'informations sur ce journal, voir Section 8.5, « Journaux et logs système », page 50.
Vous pouvez choisir un format de log entre le format standard RFC 5424 ou le format RFC 3164.
Lorsque le format de log RFC 3164 est sélectionné, vous pouvez choisir le format d'horodatage
entre le format RFC 3164 ou le format ISO (AAAA-MM-JJTHH:MM:SS±TZ). Ce dernier contient en
plus l’année et le fuseau horaire.
Note :
Lors de la mise à jour à partir d'une version antérieure à WALLIX Bastion 6.2.3, le format
RFC 3164 s'applique par défaut à tous les serveurs syslog configurés précédemment sur
la page « Intégration SIEM ».
Le format RFC 3164 format s'applique toujours aux sauvegardes créées uniquement sur
la version WALLIX Bastion 6.x.
Pour plus d'informations sur l'export des données, voir Chapitre 16, « Messages
SIEM », page 288.
Il est également possible de configurer le client TLS en ajoutant un fichier de configuration

spécifique. Pour plus d'informations, voir Section 14.24, « Configurer le client TLS pour l'intégration
SIEM », page 280.
Figure 8.9. Page « Intégration SIEM »
8.10. SNMP
WALLIX Bastion embarque un agent SNMP disposant des caractéristiques suivantes :
• versions du protocole supporté : 2c, 3

• MIB implémentées : MIB 2, DISMAN-EVENT-MIB
• prise en charge de mécanismes d’alertes (« traps ») et des notifications relatives à la
consommation du disque et à la charge du CPU
55
• pas d’ACL sur l’adresse IP source.
Note :
Le port 161 doit être ouvert pour permettre les communications vers WALLIX Bastion
pour les accès en lecture/écriture aux OID.
Le port 162 doit être ouvert pour permettre les communications depuis WALLIX Bastion
pour les notifications trap.
Une valeur par défaut de 20 connexions simultanées minimum est requise pour chaque
port.
Sur la page « SNMP » du menu « Système », vous pouvez configurer cet agent en définissant les
paramètres associés.
La section « Paramétrage général » recense les champs suivants :
• « Sysname » : saisir le nom du système, par exemple, « WALLIX Bastion 8.0.2 ».

• « Syscontact » : saisir l'adresse e-mail de l'administrateur du système au format
« root@yourdomain ».
• « Syslocation » : saisir l'emplacement du système.
• « Sysdescr » : si nécessaire, saisir une description. Par défaut, ce champ n'est pas renseigné.
• « Statut » : choisir d'activer ou de désactiver l'agent SNMP. Par défaut, l’agent est désactivé.
• « Activer les notifications trap » : cocher la case pour activer les notifications via les « traps »
SNMP. Par défaut, les notifications « traps » sont désactivées.
• « Récepteur trap » : saisir l'adresse du récepteur. Ce champ est affiché et requis lorsque les
notifications « traps » sont activées.
La section « Paramétrage SNMPv2 » recense les champs suivants :
• « Désactiver SNMPv2 » : cocher cette option pour désactiver la version 2c du protocole SNMP.
• « Communauté » : saisir le nom de la communauté utilisée pour la connexion à WALLIX Bastion.
Ce champ est affiché et requis lorsque la version 2c du protocole SNMP est activée.
• « Communauté trap » : saisir le nom de la communauté utilisée pour l'envoi des messages
« traps ». Ce champ est affiché et requis lorsque les notifications « traps » et la version 2c du
protocole SNMP sont activées.
La section « Paramétrage SNMPv3 » recense les champs suivants :
• « Phrase de passe pour l'authentification » : saisir et confirmer la phrase de passe pour

l'authentification. Ce champ doit comporter plus de 8 caractères. La phrase de passe pour
l'authentification doit être renseignée au même moment que la phrase de passe pour le
chiffrement.
• « Phrase de passe pour le chiffrement » : saisir et confirmer la clé secrète pour le chiffrement.
Ce champ doit comporter plus de 8 caractères. La phrase de passe pour le chiffrement doit être
renseignée au même moment que la phrase de passe pour l'authentification.
• « Configuration du récepteur trap » : cette sous-section s'affiche lorsque les notifications « traps »
sont activées et que la version 2c du protocole SNMP est désactivée. Elle recense les champs
suivants :
56
– « Utilisateur trap » : saisir le nom d'utilisateur utilisé pour l'authentification sur le récepteur
« trap ». Par défaut, ce champ n'est pas renseigné.
– « Niveau de sécurité » : sélectionner le niveau de sécurité souhaité et renseigner les champs
correspondants en fonction de la sélection.
Si l'option « Authentification seulement » est sélectionnée, saisir et confirmer la phrase de

passe pour l'authentification et sélectionner l'algorithme de cryptage (SHA ou MD5).
Si l'option « Authentification et chiffrement » est sélectionnée, saisir et confirmer les phrases de

passe pour l'authentification et pour le chiffrement et sélectionner les algorithmes de cryptage
correspondants (SHA ou MD5 pour l'authentification et AES ou DES pour le chiffrement).
La section « Valeurs de seuil ( % ) » permet de renseigner les valeurs au-dessus desquelles les
notifications sont déclenchées. Elle recense les champs suivants :
• « Consommation du disque » : si nécessaire, modifier la valeur en pourcentage relative à la

consommation du disque. Des notifications sont envoyées lorsque la consommation du disque
dépasse cette valeur.
• « Charge moyenne CPU » : si nécessaire, modifier les valeurs en pourcentage relatives à
la charge moyenne du CPU sur des intervalles de 1, 5 et 15 minutes. Des notifications sont
envoyées lorsque ces valeurs sont dépassées.
Les valeurs renseignées dans cette section peuvent être réinitialisées en cliquant sur le bouton
« Restaurer les valeurs de seuil par défaut » en bas à gauche de la section.
Avertissement :
Par défaut, l’agent est désactivé et son activation est uniquement réalisable depuis
l’interface Web.
Par défaut, les notifications « traps » sont désactivées et leur activation est uniquement
réalisable depuis l’interface Web. Lorsqu'elles sont activées, seules les notifications
fonctionnant sous un système d'acquittement (c'est-à-dire les « traps » de type INFORM)
sont envoyées.
Par défaut, la version 2c du protocole SNMP est désactivée sur une instance WALLIX
Bastion nouvellement installée et son activation est uniquement réalisable depuis
l’interface Web.
La version 3 du protocole SNMP est systématiquement activée. Cependant, les phrases

de passe pour l'authentification et le chiffrement doivent être toutes deux renseignées au
même moment pour assurer un bon fonctionnement de l'agent.
Lorsque les Bastions sont configurés en mode Haute Disponibilité, l'agent SNMP
monitore l'ensemble des nœuds via l'adresse IP virtuelle.
Exemples d’utilisation pour la version 2c du protocole SNMP :
$ snmpget -v2c -c WALLIXdefault 192.168.0.5 system.sysDescr.0

SNMPv2-MIB::sysDescr.0 = STRING: "WALLIX Bastion Version 8.0.2"
$ snmpget -v2c -c WALLIXdefault 192.168.0.5 system.sysUpTime.0
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (65833) 0:10:58.33
$ snmpget -v2c -c WALLIXdefault 192.168.0.5 IF-MIB::ifHCOutOctets.1
IF-MIB::ifHCOutOctets.1 = Counter64: 255823831
57
Exemples d'utilisation pour la version 3 du protocole SNMP :
$ snmpget -v3 -l authPriv -u wabsnmp -a SHA -A <authpass> -x AES -X <privpass>

192.168.0.5 system.sysDescr.0
SNMPv2-MIB::sysDescr.0 = STRING: "WALLIX Bastion Version 8.0.2"
192.168.0.5 system.sysUpTime.0
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (65833) 0:10:58.33
192.168.0.5 IF-MIB::ifHCOutOctets.1
IF-MIB::ifHCOutOctets.1 = Counter64: 255823831
Avertissement :
Les OID système sont définis dans la MIB "SNMPv2-MIB". Veuillez vérifier que cette MIB
est installée sur votre environnement client.
L'agent SNMP peut tracer certaines données de WALLIX Bastion. La liste des variables
présentant ces données peut être récupérée en téléchargeant les deux fichiers suivants :
• /usr/share/snmp/mibs/wallix/WALLIX-SMI et,
• /usr/share/snmp/mibs/wallix/WALLIX-BASTION-MIB. Ce fichier WALLIX-
BASTION-MIB recense les descriptions des différentes variables et peut être ouvert
avec un éditeur de texte.
Ces fichiers MIB peuvent également être téléchargés sous la forme d'une archive .zip en
cliquant sur le bouton « Télécharger les fichiers MIB » en haut à droite de la page.
La commande suivante permet d'afficher toutes les variables exposées :
• pour la version 2c du protocole SNMP :
$ snmpwalk -v2c -c <community> 192.168.0.5 WALLIX-BASTION-

MIB::bastion
• pour la version 3 du protocole SNMP :
$ snmpwalk -v3 -l authPriv -u wabsnmp -a SHA -A <authpass> -x AES -

X <privpass> 192.168.0.5 WALLIX-BASTION-MIB::bastion
58
Figure 8.10. Page « SNMP » avec configuration de l'agent
8.11. Contrôle des services

Sur la page « Contrôle des services » du menu « Système », vous pouvez définir le mappage des
services pour chacune des interfaces réseaux et sélectionner les services à activer/désactiver. Pour
plus d'informations, voir Section 8.11.1, « Mappage des services », page 60 et Section 8.11.2,
« Activation des services », page 61.
Figure 8.11. Page « Contrôle des services »
59
8.11.1. Mappage des services

L’administrateur peut choisir l’affectation des services par interface réseau sur le cadre « Mappage
des services ». Ainsi, il est possible de restreindre les opérations d’administration à une seule
interface pour améliorer la sécurité de WALLIX Bastion.
Les services sont regroupés selon les fonctionnalités suivantes :
• « Fonctionnalités utilisateur et auditeur »,

• « Fonctionnalités d'administration », et
• « Haute Disponibilité ».
Le groupe de services « Fonctionnalités utilisateur et auditeur » recense notamment l’accès aux

cibles, les données des historiques ainsi que les enregistrements de sessions.
Afin de pouvoir sélectionner les services souhaités, les interfaces doivent être configurées au
préalable sur la page « Réseau ». Chaque interface doit appartenir à un sous-réseau différent. Pour
plus d'informations, voir Section 8.6, « Réseau », page 51.
Important :
L’interface eth1 (port 2 sur la machine) est dédiée, si elle est présente, à l’interconnexion
de la Haute Disponibilité (également appelée « High-Availability » ou « HA »). Aucun
autre service ne peut y être affecté et le service « Haute Disponibilité » ne peut pas
être déplacé vers une autre interface. Le service « Haute Disponibilité » n’est donc pas
sélectionnable si cette interface n’est pas présente.
Par défaut, les fonctionnalités propres aux utilisateurs (notamment le droit d'accès aux
équipements) et aux auditeurs (notamment le droit d'audit) ne sont pas accessibles sur l’interface
Web d’administration mais il est cependant possible d'en débloquer l'accès en cochant les cases
suivantes : « Fonctionnalités utilisateur (droits d'accès comptes cibles) » et « Fonctionnalités
auditeur (droits audit sessions) ».
WALLIX Bastion embarque également un pare-feu permettant, entre autres, de le protéger des
attaques DDoS. Il est possible de limiter les connexions IP acceptées en parallèle vers le Bastion à
un nombre pré-défini en cochant la case du champ « Limiter le nombre de connexions par IP » puis,
en indiquant la valeur correspondante dans le champ « Nombre de connexions ». Par exemple, si
la valeur renseignée dans ce champ est égale à « 10 », alors un utilisateur ne pourra effectuer que
10 connexions simultanées au Bastion depuis son poste de travail.
L'option « Activer le filtrage de chemin inverse » est uniquement interprétée lorsque WALLIX
Bastion dispose de deux interfaces sans Haute Disponibilité configurées avec deux sous-réseaux
(ou « subnets ») différents (c'est-à-dire eth0 avec le subnet X et eth2 avec le subnet Y) et le chemin
par défaut est paramétré sur l'une des deux interfaces (c'est-à-dire eth0).
Par défaut, lorsqu'un paquet avec une adresse IP source n'appartenant pas au subnet Y entre via
l'interface eth2, WALLIX Bastion ne répond pas (aucun paquet ne sort via les deux interfaces sans
Haute Disponibilité). Cela est dû à la configuration du filtrage de chemin inverse paramétré avec le
kernel grsec. Pour plus d'informations sur le filtrage de chemin inverse, voir http://tldp.org/
HOWTO/Adv-Routing-HOWTO/lartc.kernel.rpf.html.
Si WALLIX Bastion doit répondre au paquet entrant (via l'interface eth2), alors le filtrage de chemin
inverse doit être désactivé.
Lorsque la case de l'option « Activer le filtrage de chemin inverse » est cochée, il n'y a aucune
réponse de WALLIX Bastion (sur les paquets en provenance d'un subnet différent de l'interface
d'entrée).
60
Lorsque la case de l'option « Activer le filtrage de chemin inverse » est décochée (par défaut),
WALLIX Bastion répond à tous les paquets entrants (via l'interface d'entrée).
8.11.2. Activation des services

L'administrateur peut choisir les services à activer ou désactiver sur le cadre « Activation des
services ».
Les services configurables sont les suivants :
• GUI : l’interface Web d’administration de WALLIX Bastion (port 443)

• RDP : le proxy RDP/VNC (port 3389)
• SSH : le proxy SSH/SFTP/TELNET/RLOGIN (port 22)
• SSHADMIN : l’interface ligne de commande d’administration de WALLIX Bastion (port 2242)
Lors de l’installation de WALLIX Bastion, ces services sont automatiquement activés par défaut.
Dans le cas d'une utilisation restreinte de WALLIX Bastion, l'administrateur peut activer/désactiver
les services à l’aide d’un outil en ligne de commande sur la console ou via l’interface en ligne de
commande "ssh" (port 2242) :
wabsuper$ sudo -i WABServices

##################################
# WALLIX Bastion Services Status #
##################################
gui : ENABLED
rdp : ENABLED
ssh : ENABLED
sshadmin : ENABLED
Sans paramètre, l’outil présente l’état actuel de la configuration des services.
Le paramètre --help permet de lister les arguments pouvant être utilisés pour effectuer cette
configuration.
wabsuper$ sudo -i WABServices --help

usage: /opt/wab/bin/WABServices action [service's name]
Configure WALLIX Bastion Services
actions:
list list services status
enable enable a service
disable disable a service
L’administrateur doit saisir la commande suivante pour désactiver la GUI :
wabsuper$ sudo -i WABServices disable gui

Configuration applied
Puis, l’administrateur doit saisir cette commande pour la réactiver :
wabsuper$ sudo -i WABServices enable gui

Configuration applied
61
8.12. Serveur SMTP
Sur la page « Serveur SMTP » du menu « Système », vous pouvez définir/modifier la configuration
du serveur mail à utiliser pour l’envoi des notifications.
La page de configuration du serveur SMTP recense les champs suivants :
• le protocole utilisé : SMTP (par défaut), SMTPS ou SMTPS + STARTTLS,

• la méthode d'authentification : Aucune (par défaut), Automatique (le serveur SMTP choisit
automatiquement une méthode), PLAIN, LOGIN, SCRAM-SHA-1, CRAM-MD5, DIGEST-MD5 ou
NTLM,
• l'adresse du serveur (adresse IP ou FQDN),
• le port du serveur (par défaut : 25 en SMTP, 465 en SMTPS et 587 en SMTP+STARTTLS),
• l'e-mail du postmaster qui recevra des messages en provenance des services locaux,
• le nom de l’expéditeur (par défaut : WALLIX Bastion),
• le hash du certificat. Cette donnée doit correspondre au certificat du serveur. Ce hash peut
être saisi manuellement ou récupéré automatiquement en cliquant sur le bouton « Vérifier le
certificat ». Dans ce cas, l'adresse et le port du serveur doivent être renseignés. Lorsque ce hash
est saisi manuellement, il peut être comparé au certificat du serveur en cliquant sur le bouton
« Vérifier le certificat ». En cas de non-concordance entre les deux certificats, une erreur s'affiche
et le hash peut être modifié en cliquant sur le bouton « Remplacer le hash ».
• l'e-mail de l'expéditeur,
Attention :
L'adresse renseignée dans ce champ peut également être utilisée comme une adresse
de destination pour certains messages d'alertes système.
• éventuellement, un nom d’utilisateur et un mot de passe.
Pour tester la configuration, saisissez une ou plusieurs adresses de destination dans le champ « E-
mails des destinataires pour le test » puis, cliquez sur le bouton « Tester ».
Figure 8.12. Page « Serveur SMTP »
62
8.13. Sauvegarde et restauration
Sur la page « Sauvegarde/Restauration» du menu « Système », vous pouvez effectuer ou restaurer
une copie de sauvegarde de la configuration de WALLIX Bastion.
Chaque sauvegarde est chiffrée avec une clé de 16 caractères. Vous devez connaître la clé d’une
sauvegarde avant sa restauration.
Si une phrase de chiffrement a été renseignée sur l'instance Bastion sauvegardée, alors celle-ci
doit obligatoirement être renseignée lors de la restauration.
Avertissement :
• Seules les sauvegardes créées à partir de la version WALLIX Bastion 5.0.4.9 ou
ultérieure peuvent être restaurées.
• Les enregistrements de sessions ne sont pas sauvegardés lors de la sauvegarde/
restauration.
• Toutes les données modifiées ou ajoutées après une sauvegarde seront perdues si
cette sauvegarde est restaurée.
• L’administrateur sera déconnecté. Il devra se reconnecter avec un des comptes
présents dans la sauvegarde, qui peuvent être différents de ceux présents avant
l'opération de sauvegarde/restauration.
• Il est possible de définir le nombre de jours de conservation des sauvegardes. Ce
paramètre peut être géré depuis « Configuration » > « Options de configuration » > «
Global » puis, saisir un nombre entier positif dans le champ « Remove backup older
than ». Toutes les sauvegardes plus anciennes que cette valeur, exprimée en nombre
de jours, sont alors supprimées.
• Il peut être nécessaire de lancer le script bastion-update-lastconnection après
la restauration d'une version antérieure à WALLIX Bastion 6.2 pour récupérer les
informations relatives aux dates de dernières connexions sur les écrans de l'interface
Web. Ce processus peut prendre quelques minutes.
Figure 8.13. Page « Sauvegarde/Restauration »
8.13.1. Restauration des fichiers de configuration
63
Lors de la restauration, les fichiers de configuration de certains paramètres fonctionnels situés sous
/etc/opt/wab/ sont restaurés à côté de la configuration actuelle qui n’est donc pas écrasée.
Pour les utiliser, vous devez supprimer les fichiers de la configuration actuelle et renommer à la
place ceux restaurés par la sauvegarde, qui portent comme extension additionnelle le nom du fichier
de sauvegarde suivi d’un timestamp qui correspond à la date de restauration.
Après avoir renommé les fichiers en supprimant l’extension additionnelle, vous devez redémarrer
les services correspondants à l'aide des commandes suivantes :
# systemctl restart apache2

$ systemctl restart mysql
$ systemctl restart wabengine
$ systemctl restart wabrestapi
$ systemctl restart wabgui
$ systemctl restart sashimi
$ systemctl restart redemption
Cependant, la plupart des fichiers de configuration relatifs à certains services, les clés et les
certificats sont restaurés à la place de ceux présents dans la configuration actuelle.
Ces fichiers sont situés sous les répertoires suivants :
• /var/wab/apache2/, comme par exemple :

– la configuration du statut d'activation de l'authentification X509 :
/var/wab/apache2/x509_ready
– les clés, certificats et CRL du serveur Apache pour l'authentification X509 :
/var/wab/apache2/ssl.crt/*
/var/wab/apache2/ssl.crl/*
• /var/wab/etc/, comme par exemple :
– la configuration MySQL :
/var/wab/etc/mysql/my.cnf
– la configuration du proxy RDP :
/var/wab/etc/rdp/rdpproxy.ini
– les clés et certificat du proxy RDP :
/var/wab/etc/rdp/*.pem
/var/wab/etc/rdp/rdpproxy.key
/var/wab/etc/rdp/rdpproxy.crt
– les clés publiques et privées du proxy SSH :
64
/var/wab/etc/ssh/*
Attention :
Il est à noter que les propriétés relatives à la licence et au FQDN dans /var/wab/
etc/wabengine.conf/ sont conservées lors de la restauration.
• /var/wab/config/, regroupant les fichiers de configuration système et réseau.
8.13.2. Sauvegarde/Restauration en ligne de commande

Il est possible d’effectuer les opérations de sauvegarde et de restauration à l’aide de scripts
spécifiques.
8.13.2.1. Script pour la sauvegarde

wab2:~# /opt/wab/bin/wallix-config-backup.py -h
Usage: wallix-config-backup.py [options]
Options:
-h, --help show this help message and exit
-d DIRECTORY, --directory=DIRECTORY
Directory where you want to store your backup.
-s, --sdcard Set this option to store the Backup in the sdcard.
DIRECTORY est le chemin du répertoire dans lequel sera créé le fichier de sauvegarde.
L’option -s peut être utilisée pour créer une copie sur un support externe (carte SD ou clé USB).
8.13.2.2. Script pour la restauration

wab2:~# /opt/wab/bin/wallix-config-restore.py -h
Usage: wallix-config-restore.py [options] -f FILENAME
wallix-config-restore.py [options] -s
Restores WALLIX Bastion backup from the specified file or from the sdcard. The
default behaviour is to restore the configuration part related to the network
page of the system settings menu only on the same host and in the same
standalone or HA mode. You can use options to ignore completely the system
settings and restore only the business data, or to force ignoring or restoring
the network part.
Options:
-f FILENAME, --file=FILENAME
Provide the full path of the Backup file (.wbk).
Conflicts with -s
-s, --sdcard Enter in interactive mode to select file on SDcard.
Conflicts with -f
-a, --aes Set this option to force use of AES256 instead of GPG
symmetric cipher (for compatibility with old backup
files).
-b, --blowfish Set this option to force use of Blowfish instead of
GPG symmetric cipher (for compatibility with old
65
backup files). Overridden by -a

-S, --nosystem Set this option to not restore any system settings.
-N, --nonetwork Set this option to never restore network and HA
settings. Overridden by -S
--forcenetwork Set this option to force restoration of network and HA
settings. (Not recommended). Overridden by -S
FILENAME est le chemin du fichier de sauvegarde.
L’option -s peut être utilisée pour restaurer depuis le support externe (carte SD ou clé USB).
Les options -a et -b ne doivent normalement pas être utilisées. Sans ces options, le fichier est
déchiffré avec GPG.
L’option -S peut être utilisée pour ne pas restaurer la partie de la configuration des paramètres
du système (définis dans le menu « Système »). Dans ce cas, seules les données métier seront
restaurées.
L’option -N peut être utilisée pour ne pas restaurer la partie de la configuration réseau définie sur
la page « Réseau » du menu « Système » et, lorsque la Haute Disponibilité est opérationnelle, les
adresses réseau du pair et du cluster.
L’option --forcenetwork, dont l’usage n’est pas recommandé, peut être utilisée pour forcer
la restauration de la partie de la configuration réseau (définie sur la page « Réseau » du
menu « Système ») lorsque la restauration s’effectue sur une machine différente ou dans
un mode Haute Disponibilité/standalone différent. Dans ce cas, les fichiers non présents
initialement dans /var/wab/config comme le fichier ha.py ou les fichiers correspondants
à l’adresse MAC de la machine seront restaurés en y accolant le nom de la sauvegarde
sans extension. Par exemple, si l’archive bastion.myhost_2019-05-01_16-30-00.wbk
contient le fichier MAC 01_02_03_04_05_06.py mais que l’adresse MAC
01:02:03:04:05:06 n’est pas présente sur la machine, le fichier sera
renommé 01_02_03_04_05_06.py.bastion.myhost_2019-05-01_16-30-00. Vous
pouvez supprimer ces fichiers ou utiliser les informations qu’ils contiennent pour mettre à jour les
fichiers correspondants de votre système avant de redémarrer les services.
Après avoir restauré la configuration à l'aide du script wallix-config-restore.py, vous devez

redémarrer les services de WALLIX Bastion à l'aide de la commande suivante :
wab2:~# systemctl restart wabsystemconfiguration

systemctl restart wabengine
systemctl restart wabrestapi
systemctl restart wabgui
systemctl restart sashimi
systemctl restart redemption
8.13.3. Configuration de la sauvegarde automatique

WALLIX Bastion effectue une sauvegarde automatique configurée dans une tâche cron. Par défaut,
celle-ci est effectuée tous les jours à 18:50 dans le fuseau horaire de WALLIX Bastion, défini sur
la page « Service de temps » du menu « Système ». Pour plus d’informations, voir Section 8.7,
« Service de temps », page 52.
Les fichiers sont stockés dans le répertoire /var/wab/backups.
Vous pouvez changer l’heure et la fréquence de sauvegarde dans le fichier /etc/cron.d/

wabcore en modifiant la ligne lançant la commande WABExecuteBackup.
66
Les champs sont ceux d’une crontab, à savoir MINUTE, HEURE, JOUR_DU_MOIS, MOIS et
JOUR_DE_LA_SEMAINE.
Les valeurs autorisées pour chaque champ sont les suivantes :
• MINUTE : de 0 à 59
• HEURE : de 0 à 23
• JOUR_DU_MOIS : de 1 à 31
• MOIS : de 1 à 12
• JOUR_DE_LA_SEMAINE : de 0 à 7 (0 ou 7 pour le dimanche)
Chaque champ peut aussi prendre pour valeur un astérisque « * » qui correspond à toutes les
valeurs possibles. Les listes sont également permises en séparant les valeurs par des virgules ; les
intervalles peuvent également être définis en séparant les bornes par un trait d’union, par exemple
« 1,2,5-9,12-15,21 ».
Vous pouvez également modifier le chemin et la valeur de la clé utilisée en éditant le fichier /opt/
wab/bin/WABExecuteBackup et en modifiant les valeurs DIR et KEY au début du fichier.
Il est possible de définir une clé pour chiffrer la sauvegarde automatique lors de sa génération. Ce
paramètre peut être géré depuis « Configuration » > « Options de configuration » > « Global » puis,
saisir une chaîne de 16 caractères dans le champ « Backup key ».
8.13.4. Purge de la sauvegarde automatique

WALLIX Bastion effectue une purge des fichiers stockés de la sauvegarde automatique configurée
dans une tâche cron. Par défaut, celle-ci est effectuée tous les jours à 03:42 dans le fuseau horaire
de WALLIX Bastion, défini sur la page « Service de temps » du menu « Système ». Pour plus
d’informations, voir Section 8.7, « Service de temps », page 52.
Vous pouvez définir une limite en heures, jours ou mois pour la sauvegarde des traces ou indiquer
l’espace libre minimum acceptable en paramétrant les arguments de la ligne lançant la commande
WABBackupPurge.
wab2:~# WABBackupPurge -h
usage: WABBackupPurge [-h] [--age AGE] [--min-free MIN_FREE] [--priorize-free]
Purge WALLIX Bastion backups. If enough free space, no backup is deleted even
if older than the given age threshold.
optional arguments:
--age AGE, -A AGE Keep all traces younger than the given age in hours.
Valid suffixes are 'd[ays]' for days, or 'm[onths]'
for months. (default: 30d)
--min-free MIN_FREE, -F MIN_FREE
Free space minimum threshold in bytes. Valid suffixes
are 'KB' for 1000 bytes, 'KiB' for 1024 bytes, 'MB'
for 1.000.000 bytes, 'MiB' for 1.048.576 bytes, 'GB'
for 1.000.000.000 bytes, 'GiB' for 1.073.741.824
bytes, '%' for percentage of total disk space
(default: 10%)
--priorize-free, -p If provided, ignore AGE and try to free as much space
as possible until the free space threshold is reached.
67
Lorsque cette commande est lancée, la purge est effectuée sur les fichiers de sauvegarde jusqu’à
ce que le seuil d’espace libre minimum acceptable soit supérieur ou égal à la valeur du paramètre
MIN_FREE.
Seuls les fichiers de sauvegarde antérieurs à la valeur du paramètre AGE sont supprimés sauf si
l'argument --priorize-free est renseigné, et jusqu’à ce que le seuil d’espace libre minimum
acceptable soit supérieur ou égal à la valeur du paramètre MIN_FREE.
Il est possible de définir le nombre de jours de conservation des sauvegardes sur l'interface Web.
Ce paramètre peut être géré depuis « Configuration » > « Options de configuration » > « Global
» puis, saisir un nombre entier positif dans le champ « Remove backup older than ». Toutes les
sauvegardes plus anciennes que cette valeur, exprimée en nombre de jours, sont alors supprimées.
Lorsque la commande WABBackupPurge est lancée, la valeur dans ce champ est alors considérée
comme valeur par défaut si l'argument AGE n'est pas renseigné.
8.14. Haute Disponibilité
8.14.1. Limitations d’exploitation et prérequis
Le cluster Haute Disponibilité de type actif/passif de WALLIX Bastion 8.0.2 ne possède pas de
fonctionnalité de répartition de charge (ou « load balancing »).
Les deux appareils doivent être reliés directement entre eux par un câble croisé branché sur le port
RJ45 numéroté « 2 ».
Les interfaces HA pour les nœuds « Master » et « Slave » doivent être toutes deux configurées en
IP statiques appartenant au même sous-réseau IP.
La configuration système (et notamment les fichiers/etc/hosts et /etc/network/

interfaces) doit être effectuée via l’interface Web ou le script WABHASetup pour éviter toute
désynchronisation avec les fichiers de configuration du système de fichiers répliqués.
Les numéros de version et de correctif WALLIX Bastion des deux nœuds du cluster doivent être
strictement au même niveau.
Avertissement :
La fonctionnalité HA de WALLIX Bastion a été conçue pour répondre aux problèmes
matériels liés au disque, à la carte mère, à la carte réseau, etc. et son utilisation sous un
environnement virtuel n'est pas prise en charge.
Sur un environnement virtuel, l'installation est différente car le « matériel » n'existe pas.
Par conséquent, nous vous recommandons d'utiliser la fonctionnalité Haute Disponibilité
de VMware. La Haute Disponibilité de VMware est disponible depuis le premier niveau
de licence (VMware vSphere Standard) et nécessite au moins deux hyperviseurs. Pour
plus d'informations, veuillez suivre le lien suivant : https://www.vmware.com/uk/
products/vsphere/high-availability.html
Pour plus d'informations, voir également le Guide de Démarrage Rapide.
Attention :
Il est nécessaire de respecter les recommandations suivantes avant d'installer un
nouveau nœud au sein d'une configuration en Haute-Disponibilité existante :
68
• le nouveau nœud doit être strictement au même niveau que l'autre nœud en termes
de numéros de version et de correctif WALLIX Bastion,
• le nouveau nœud doit avoir le même nombre d'interfaces configurées, interfaces VIP
et VLAN comprises mais interfaces VIP HA exclues (interfaces avec le suffixe « ha »),
• la capacité de stockage du disque pour le nouveau nœud doit être égale ou supérieure
à celle de l'ancien nœud,
• l'horloge système du nouveau nœud doit être synchronisée avec celle de l'autre nœud.
8.14.2. Configuration du cluster
1. Vérifier que les deux appareils sont reliés directement entre eux par un câble croisé branché
sur le port RJ45 numéroté « 2 ».
2. Démarrer les deux machines du cluster en commençant indifféremment par l’une ou par l’autre.
Les appareils livrés sont pré-installés mais la fonctionnalité cluster n’est pas configurée.
3. Se connecter directement sur la console de la machine définie comme « Master » par
l’intermédiaire du compte « wabadmin ».
Attention :
Toutes les données sur la machine définie comme « Esclave » seront définitivement
supprimées !
4. Se connecter en super-utilisateur avec la commande « super » puis la commande « sudo -i ».

5. Vérifier que les horloges des deux nœuds du cluster sont bien synchronisées via la commande
Linux « date » ou par synchronisation sur un serveur NTP comme expliqué dans la section 5.3.4,
« Configuration du service de temps » du Guide de Démarrage Rapide.
6. Vérifier qu’un serveur SMTP est configuré et fonctionnel en effectuant le test d’envoi de
notification comme expliqué dans la section 5.3.5, « Configuration du serveur SMTP » du Guide
de Démarrage Rapide.
7. Vérifier que les deux machines sont configurées en IP statique, que leurs interfaces « eth1 »
sont actives et qu’elles ont des noms de machines différents. Sinon, utiliser l’interface Web pour
effectuer les réglages nécessaires.
Noter l’adresse IP de l’interface « eth1 » du nœud « Slave » qui est celle qu’il faudra utiliser
pour répondre à la question « Slave IP: » lors de l’exécution de la commande « WABHASetup »
décrite à l’étape suivante.
8. Exécuter la commande « WABHASetup » sur la console de la machine définie comme
« Master » et suivre les instructions :
wabsuper$ WABHASetup
Slave IP:
HA Virtual IP:
HA Virtual netmask:
HA Notification mail address:
...
Note :
Un fichier journal wabhasetup.log est créé dans le répertoire depuis lequel cette
commande a été lancée et permet de sauvegarder le résultat de l'opération.
69
La commande WABHASetup demande alors la configuration d'interfaces pour toutes

les interfaces physiques mappées avec les services. Pour plus d'informations
sur la configuration du mappage des services, voir Section 8.11, « Contrôle des
services », page 59.
9. Le cluster WALLIX Bastion est maintenant configuré et activé.
8.14.3. Démarrage du cluster
Le cluster est maintenant accessible sur les adresses IP virtuelles renseignées via l'outil de
configuration WABHASetup. Seules ces adresses doivent être communiquées à vos utilisateurs.
Le mail suivant est envoyé à l’adresse indiquée à l’issue de la configuration de la Haute Disponibilité
de WALLIX Bastion.
Subject: [WAB] - The WALLIX Bastion HA has been configured

This notification sums up your HA configuration. Initial MASTER node: ... Initial SLAVE node: ...
HA Virtual ip: ...
8.14.4. Arrêt/Redémarrage du cluster
Pour contrôler le fonctionnement du cluster, l’administrateur peut utiliser les commandes de
maintenance ci-dessous.
Il est à noter que les commandes « start » et « stop » ne s’appliqueront qu’au nœud local.
# sudo systemctl stop wabha

# sudo systemctl start wabha
Avertissement :
Pour éviter une bascule involontaire, il est recommandé d’arrêter le nœud « Slave » avant
le « Master » et de démarrer le nœud « Slave » après le « Master ».
Pour vérifier l’état actuel d’un nœud, l’administrateur peut utiliser la commande suivante :
wabsuper$ /opt/wab/bin/WABHAStatus
8.14.5. Reprise sur une erreur fatale (WALLIX Bastion HA is

locked down)
Lorsque la Haute Disponibilité de WALLIX Bastion détecte un dysfonctionnement et qu’elle n’arrive
pas à le résoudre automatiquement (en redémarrant le service concerné) alors la procédure de
basculement se bloque.
Après avoir émis une notification concernant la détection d’une erreur fatale, elle crée le fichier de
lock et s’arrête. La présence de ce fichier empêche la Haute Disponibilité de redémarrer et évite
ainsi qu’elle essaye indéfiniment de résoudre le problème.
Après avoir résolu le dysfonctionnement, ce fichier de lock doit être supprimé manuellement avec
la commande suivante :
70
affected_node# rm /etc/opt/wab/ha/fatal_error
8.14.6. Coupures réseau et Split-Brain

Si les nœuds sont toujours connectés au réseau mais ne sont plus connectés ensemble (câble
réseau débranché entre deux switches, etc.), le nœud passif va passer en « Master » (procédure
standard le « Master » n’étant plus actif de son point de vue). Nous sommes donc dans une
configuration avec deux nœuds « Master » et les données du volume partagé vont commencer
à diverger.
Lors de la restauration de la connectivité, la couche DRBD du volume partagé va détecter la

divergence (également appelée « Split-Brain ») et le cluster ne fonctionnera plus. En effet, les deux
machines ayant continué de fonctionner indépendamment, leurs données sont incompatibles et
une intervention manuelle est requise.
Comme précisé dans la notification, c’est à l’administrateur de résoudre la divergence en

sélectionnant le nœud le plus à jour. La notification contient la liste des derniers fichiers modifiés
sur les deux Bastions.
Trois possibilités peuvent se présenter :
1. L’interruption a été courte et les nœuds n’ont pas été utilisés (pas de sessions créées, pas de
comptes ajoutés, etc.), alors l’administrateur peut choisir n’importe quel nœud comme étant le
« Master » de référence.
2. L’interruption fut courte et/ou un seul des nœuds n’a été vraiment utilisé (symbolisé par la
présence de fichiers de sessions et de dates de modifications plus récentes sur un seul des
nœuds). L’administrateur doit alors choisir ce nœud comme nouveau « Master » de référence.
3. L’interruption a été complexe et les deux nœuds ont été utilisés en parallèle (cas improbable,
lié à un grave dysfonctionnement réseau). L’administrateur doit alors choisir un nœud comme
nouveau « Master » de référence (celui avec le plus de modifications à son actif) et sauvegarder
les données de l’autre nœud. Enfin, il restera à les importer manuellement dans le nouveau
« Master ».
Une fois le « Master » de référence choisi, la procédure suivante doit être appliquée pour restaurer
le cluster :
outdated_node# drbdadm secondary wab

ref_master# drbdadm primary wab
outdated_node# drbdadm invalidate wab
ref_master# (drbdadm cstate wab | grep -q StandAlone) && drbdadm connect wab
outdated_node# (drbdadm cstate wab | grep -q StandAlone) && drbdadm connect wab
ref_master# systemctl start wabha
outdated_node# systemctl start wabha
8.14.7. Reconfiguration réseau du cluster

Avertissement :
Toutes les opérations de maintenance du cluster doivent être réalisées sur le nœud
« Master ».
Lorsque les Bastions sont configurés en mode Haute Disponibilité, les changements réseaux
comme les adresses IP ne peuvent plus se faire via l’interface Web. Les deux machines ayant leurs
71
disques synchronisés par le réseau, il est nécessaire de se connecter sur le nœud « Master » en
SSH et procéder comme suit :
wabsuper$ WABHASetup --reconfigure_hosts

...
8.14.8. Remplacement d’une machine défectueuse

Avertissement :
Toutes les opérations de maintenance sur le cluster doivent être réalisées sur le nœud
« Master ».
Dans le cas du remplacement d’un nœud, il faut tout d’abord déconnecter le matériel défectueux
et démarrer une instance WALLIX Bastion de remplacement. Il convient ensuite de le configurer
avec la même IP statique que le nœud manquant, puis entrer la commande suivante sur le nœud
fonctionnel :
wabsuper$ WABHASetup --configure_new_slave

...
8.14.9. Récupération d’un volume défectueux

Avertissement :
Toutes les opérations de maintenance sur le cluster doivent être réalisées sur le nœud
« Master ».
Dans le cas d’erreur d’intégrité du système de fichiers, détectable via les messages du noyau (ie :
« File system is now read-only due to the potential of on-disk corruption.
Please run fsck.ext4 once the file system is unmounted. »), suivre la procédure
ci-dessous :
1. Éteindre la Haute Disponibilité sur les deux nœuds en commençant par le « Slave » en tapant la
commande « sudo -i WABHAInitd --force stop ».
2. Vérifier que le système de fichiers partagés est bien démonté sur les deux nœuds en tapant
la commande « sudo -i umount /var/wab ».
3. Désactiver DRBD sur le nœud « Slave » en tapant la commande « sudo -i drbdadm secondary
wab ».
4. Activer DRBD sur le nœud « Master » en tapant la commande « sudo -i drbdadm primary wab ».
5. Sur le nœud « Master », exécuter la commande « sudo -i fsck.ext4 -y -f /dev/drbd1 ».
slave_node# WABHAInitd --force stop

master_node# WABHAInitd --force stop
8.14.10. Tests de bon fonctionnement de la Haute

Disponibilité
Afin de vérifier les différentes reprises sur erreurs gérées par la fonctionnalité Haute Disponibilité
de WALLIX Bastion, il est conseillé de réaliser les tests qui suivent avant de mettre la solution
72
en production. Dans les sections suivantes, nous nommerons « WabA » le nœud actuellement
« Master » et « WabB » le nœud « Slave ».
8.14.10.1. Basculement du « Master » vers le « Slave » (logiciel)

Action : éteindre la Haute Disponibilité sur le « Master »
WabA# systemctl stop wabha
Conséquence : le « Slave » va détecter le dysfonctionnement

Notification : [WAB] - WALLIX Bastion HA master WabA error detected by the WabB!
(HA_MASTER_FAULT) Reason: Service unreachable on master node!
Résultat : le « Slave » prend la main.
Notification : [WAB] - The WALLIX Bastion HA master WabB is online
Résolution complète : relancer la Haute Disponibilité sur le « Master » et il deviendra le nouveau
« Slave ».
WabA# systemctl start wabha
Notification : [WAB] - The WALLIX Bastion HA slave WabA is online
8.14.10.2. Basculement du « Master » vers le « Slave » (matériel)

Action : éteindre physiquement le « Master » (retrait du câble d’alimentation)
Conséquence : le « Slave » va détecter le dysfonctionnement
Notification : [WAB] - WALLIX Bastion HA master WabA error detected by the WabB!
(HA_MASTER_FAULT) Reason: Host does not respond to ping...
Résultat : le « Slave » prend la main
Résolution complète : rallumer le « Master » et il deviendra le nouveau « Slave »
8.14.10.3. Détection d’un dysfonctionnement sur le « Master »

Action : injection d’un dysfonctionnement sur le « Master » (service ssh désactivé)
WabA# mv /etc/ssh/sshd_config /etc/ssh/sshd_config.tmp

WabA# systemctl stop ssh
Conséquence : les deux nœuds vont détecter le dysfonctionnement (ssh non accessible)
Notifications : [WAB] - WALLIX Bastion HA master WabA error detected by WabA Reason: Service
ssh isn't responding and we couldn't restart it!
Notifications : [WAB] - WALLIX Bastion HA master WabA error detected by WabB Reason: Host
respond to ping but ssh service is down, will try to switch to master...
Résultat : le « Slave » va prendre la main et le « Master » va se downgrader « Slave »
73

Résolution complète : réparer le dysfonctionnement afin que WabA soit à nouveau capable de
devenir « Master »
WabA# mv /etc/ssh/sshd_config.tmp /etc/ssh/sshd_config

WabA# systemctl start ssh
8.14.10.4. Détection d’un dysfonctionnement sur le « Slave »

Action : éteindre physiquement le « Slave » (retrait du câble d’alimentation)
Conséquence : le « Master » va détecter le dysfonctionnement
Notification : [WAB] - The WALLIX Bastion HA slave WabB isn't connected to master WabA
anymore! Master data replication isn't working.
Résultat : la réplication des données est interrompue mais le volume est encore fonctionnel (en
mode dégradé)
Résolution complète : rallumer le « Slave »
Notification : [WAB] - The WALLIX Bastion HA slave WabB is online
Note : Si le volume de données écrit sur le « Master » dégradé est négligeable (ex : pas de nouvelle
session), la synchronisation est instantanée. Dans le cas contraire, une notification est envoyée.
Notification : [WAB] - The WALLIX Bastion HA cluster synchronization completed! The data on both
nodes is now fully synchronized.
8.14.10.5. Perte de la connectivité entre les deux nœuds

Action : déconnecter un des nœuds du réseau ou faire en sorte que les deux Bastions ne puissent
plus communiquer entre eux, ex : avec iptables
WabA# iptables -A INPUT -s IpWabB -j DROP; iptables -A OUTPUT -d IpWabB -j DROP

WabB# iptables -A INPUT -s IpWabA -j DROP; iptables -A OUTPUT -d IpWabA -j DROP
Conséquence : les deux nœuds vont détecter le dysfonctionnement. Le master va continuer de

fonctionner en mode dégradé.
Notification : [WAB] - The WALLIX Bastion HA slave WabB isn't connected to the master WabA
anymore! Master data replication isn't working.
Notification : [WAB] - The WALLIX Bastion HA master WabA error detected by
sparewab2.corp.wallix.com Reason: Host does not respond to ping...
Conséquence : le « Slave » va supposer que le master est éteint et il va donc basculer en « Master »
et fonctionner en mode dégradé à son tour.
Notification : [WAB] - The WALLIX Bastion HA slave WabA isn't connected to the master master
WabB anymore! Master data replication isn't working.
Résultat : le volume partagé va diverger entre les deux nœuds. Le cas le plus probable est qu’un
des nœuds ne soit plus sur le réseau, dans ce cas la résolution est triviale : reconnecter les deux
Bastions ou si vous avez utilisé iptables :
WabA# iptables -F
74
WabB# iptables -F
Notification: [WAB] - The WALLIX Bastion HA disks diverged (split brain detected) The WALLIX
Bastion HA drbd shared volume is now disconnected. Peers have lost connection with each other
and both have switched to master node... Data can't be synced cleanly! You need to manually
discard the changes on one of the nodes.
Une fois le nœud identifié, suivre les instructions mentionnées dans l'e-mail :
failing_node# drbdadm secondary wab

recent_node# drbdadm primary wab
failing_node# drbdadm invalidate wab
failing_node# drbdadm connect wab
recent_node# systemctl start wabha
failing_node# systemctl start wabha
Pour une résolution complète, suivre les instructions mentionnées dans l'e-mail :
WabB# drbdadm secondary wab

WabA# drbdadm primary wab
WabB# drbdadm invalidate wab
WabB# drbdadm connect wab
WabA# systemctl start wabha
WabB# systemctl start wabha
Notification: [WAB] - The WALLIX Bastion HA master WabA is online
Notification: [WAB] - The WALLIX Bastion HA slave WabB is online
75
Chapitre 9. Utilisateurs
Le menu « Utilisateurs » vous permet de créer et gérer les utilisateurs/administrateurs WALLIX
Bastion.
Il permet aussi de configurer les groupes utilisateurs sur lesquels les autorisations seront portées.
Pour plus d'informations, voir Chapitre 13, « Gestion des autorisations », page 258.
Note :
Les identifiants des comptes utilisateurs ne sont pas sensibles à la casse mais celle-ci
est préservée lors de la création du compte.
9.1. Comptes utilisateurs
Sur la page « Comptes », vous pouvez :
• lister les comptes utilisateurs selon un filtre d'affichage sur les comptes locaux ou les
comptes de domaine liés à des domaines LDAP ou ActiveDirectory. Lorsqu'un domaine LDAP
ou ActiveDirectory est sélectionné dans la liste, les utilisateurs de l'annuaire liés par une
correspondance avec un groupe utilisateurs de WALLIX Bastion sont affichés. Pour plus
d'informations sur cette correspondance, voir Section 9.8, « Configuration de l'intégration avec
un domaine LDAP ou Active Directory », page 116.
• ajouter/modifier/supprimer un compte utilisateur.
• identifier les utilisateurs pour lesquels le droit « Récupération du mot de passe » est activé au
niveau de leur profil : une icône en forme de clé est alors affichée dans la colonne « Profil » sur
la ligne concernée. Ces utilisateurs reçoivent un e-mail contenant les accréditations des cibles en
cas de changement du mot de passe. Pour plus d'informations, voir Section 11.4, « Configuration
du mode « bris de glace » », page 212.
Pour plus d'informations sur les profils utilisateurs, voir Section 9.3, « Profils
utilisateurs », page 90.
• débloquer un compte utilisateur verrouillé en cliquant sur l'icône en forme de cadenas affichée
dans la colonne « Statut » sur la ligne concernée. Un compte utilisateur est verrouillé lorsque le
nombre maximum d'échecs d'authentification autorisés a été atteint. Ce nombre maximum est
défini au niveau de la politique de mot de passe local. Pour plus d’informations, voir Section 9.5,
« Configuration de la politique de mot de passe local », page 100.
• identifier les utilisateurs pour lesquels le compte est actif : une icône en forme de coche est
affichée dans la colonne « Statut » sur la ligne concernée.
• identifier les utilisateurs pour lesquels le compte est expiré : une icône en forme de sablier
est affichée dans la colonne « Statut » sur la ligne concernée. La date d'expiration d'un compte
utilisateur est définissable lors de la création ou de la modification du compte.
• identifier les utilisateurs pour lesquels le compte est désactivé : une icône en forme
d'avertissement est affichée dans la colonne « Statut » sur la ligne concernée. La désactivation
d'un compte utilisateur est définissable lors de la création ou de la modification du compte.
• accéder au détail du compte pour visualiser les droits de l’utilisateur sur l'interface Web mais
aussi ses autorisations sur les équipements, les applications et les comptes cibles.
• importer des utilisateurs à partir d'un fichier .csv afin d'alimenter la base de données WALLIX
Bastion avec des comptes utilisateurs.
76
Il est possible de rechercher, trier et supprimer les données affichées dans le tableau de la page
« Comptes ». Pour plus d'informations, voir Section 6.5, « Navigation au sein des tableaux de
l'interface Web », page 34.
Figure 9.1. Page « Comptes »
9.1.1. Ajouter un utilisateur
Sur la page « Comptes », cliquez sur « Ajouter un utilisateur » pour afficher la page de création
du compte utilisateur.
Cette page recense les champs suivants :
• un identifiant, celui-ci sera utilisé par l’utilisateur pour s’authentifier sur l’interface utilisateur Web
ainsi que sur les proxies.
• un nom usuel, un nom permettant d’identifier à qui appartient l’identifiant.
• une adresse électronique, pouvant être modifiée ultérieurement par l'utilisateur.
• un champ permettant de charger une clé publique GPG : l'utilisateur recevra le nouveau mot de
passe dans un e-mail crypté. Cette clé pourra être modifiée ultérieurement par l'utilisateur.
• une langue préférée, permettant de sélectionner dans quelles langues seront affichées les
messages remontés par les proxies à l’utilisateur. Ce choix pourra être modifié ultérieurement
par l'utilisateur.
• un profil, permettant de définir les droits et les limitations de l’utilisateur (voir Section 9.3, « Profils
utilisateurs », page 90).
• une case à cocher pour indiquer si le compte utilisateur est désactivé. Dans ce cas, l'utilisateur
ne sera pas autorisé à se connecter sur l'interface Web de WALLIX Bastion et aux proxies. Par
défaut, cette case est décochée.
Attention :
Lorsque cette case est décochée et qu'aucun droit n'est défini au niveau du profil de
l'utilisateur, alors ce dernier ne sera pas autorisé à se connecter non seulement sur
l'interface Web de WALLIX Bastion, mais aussi au Web Service API REST et aux
sessions RDP et SSH.
77
• un champ contenant un calendrier (affiché par un clic-droit) afin de sélectionner, si nécessaire,

la date d'expiration du compte.
• une liste de groupes, qui permet de choisir dans quel(s) groupe(s) l'utilisateur doit être placé. Il
est aussi possible d’ajouter un utilisateur dans un groupe sur la page d’ajout ou de modification
d’un groupe (voir Section 9.2, « Groupes utilisateurs », page 86).
• une procédure d’authentification propre à chaque utilisateur (voir Section 9.7, « Configuration des
authentifications externes », page 109). Il est possible d’en sélectionner plusieurs pour indiquer
les serveurs de secours des authentifications externes (LDAP, RADIUS, etc.).
• lorsque la méthode d'authentification choisie est « local_password » :
– un champ permettant de saisir et confirmer un mot de passe, il peut exister des contraintes sur
les mots de passe acceptés (voir Section 9.5, « Configuration de la politique de mot de passe
local », page 100). Ce mot de passe pourra être modifié ultérieurement par l'utilisateur.
– un champ permettant de forcer la modification du mot de passe pour l'utilisateur. Ce dernier
reçoit alors un message l’informant de la création de son compte et de la nécessité de
modifier son mot de passe lors de sa première connexion (voir aussi Section 8.12, « Serveur
SMTP », page 62). Dans le cas où l'administrateur force la modification, l'utilisateur devra alors
obligatoirement changer son mot de passe à la prochaine authentification, soit sur l'écran de
connexion de WALLIX Bastion soit lors de la connexion à la session RDP ou SSH. Aucun
accès ne lui sera accordé tant que le mot de passe ne sera pas changé.
• lorsque la méthode d'authentification choisie est « local_sshkey », un champ permettant
d'importer ou de saisir manuellement une clé publique SSH utilisant l'algorithme RSA, ED25519
ou ECDSA. Cette clé pourra être modifiée ultérieurement par l'utilisateur.
Avertissement :
Il n'est pas possible de définir une clé si aucun algorithme n'est autorisé pour
la clé publique SSH sur la page « Politique mots de passe locaux » du menu
« Configuration ». Pour plus d'informations, voir Section 9.5, « Configuration de la
politique de mot de passe local », page 100.
Cette clé doit être au format OpenSSH. Sinon, un message d’erreur s’affiche.
Si vous utilisez PuTTYgen pour générer la clé, vous devez enregistrer dans un
fichier texte la clé publique affichée au format OpenSSH lors de la génération. A titre
d'exemple, cette clé est libellée comme suit :
« ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEA0yR9lBQov6[.....]c3xu9p/xNjw==
rsa-key-20151204 »
Vous pouvez alors charger cette clé dans la zone dédiée sur cette page.
Si une clé existe déjà, vous pouvez charger une clé privée en utilisant PuTTYgen pour
générer la clé publique correspondant au bon format.
• lorsque la méthode d'authentification choisie est « local_x509 », un champ permettant de

saisir le DN (« Distinguished Name ») ou nom distinctif du certificat pour l'authentification de
l'utilisateur (voir Section 9.6.4, « Configuration de l'authentification des utilisateurs », page 105)
si l'authentification X509 est configurée pour WALLIX Bastion.
• une adresse IP/subnet source ou une plage d’adresses, permettant de limiter l’accès aux proxies
et à l’interface Web à cette adresse ou plage d'adresses IP.
78
Figure 9.2. Page « Comptes » en mode création
9.1.2. Modifier un utilisateur

Sur la page « Comptes », cliquez sur un identifiant d'utilisateur puis sur « Modifier cet utilisateur »
pour afficher la page de modification du compte.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de l'utilisateur.
Note :
Si le champ « Mot de passe » n’est pas modifié, le mot de passe de l’utilisateur n’est
pas modifié.
9.1.3. Supprimer un utilisateur
Sur la page « Comptes », sélectionnez un ou plusieurs comptes à l’aide de la case à cocher au début
de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WALLIX Bastion affiche
une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
9.1.4. Visualiser les droits d'un utilisateur sur l'interface

Web
Sur la page « Comptes », cliquez sur un compte pour afficher les données de l'utilisateur et étendre
la zone « Droits sur la GUI » pour visualiser les données correspondantes pour cet utilisateur.
79
9.1.5. Visualiser les équipements, applications et comptes

cibles accessibles par un utilisateur
Sur la page « Comptes », cliquez sur un compte pour afficher les données de l'utilisateur et étendre
les zones suivantes pour visualiser les autorisations correspondantes :
• « Autorisations sur les équipements » : cette zone affiche la liste des équipements accessibles
par cet utilisateur,
Cliquez sur l'icône au début de la ligne afin de télécharger un fichier de configuration pour établir
une connexion.
• « Autorisations sur les applications » : cette zone affiche la liste des applications accessibles par
cet utilisateur,
Cliquez sur l'icône au début de la ligne afin de télécharger un fichier de configuration pour établir
une connexion.
• « Autorisations sur les comptes » : cette zone affiche la liste des comptes cibles accessibles par
cet utilisateur.
9.1.6. Importer des utilisateurs

Vous pouvez importer des utilisateurs à partir :
• d’un fichier CSV,

• ou d’un annuaire d’entreprise (LDAP ou Active Directory) si vous souhaitez répliquer un
instantané de votre annuaire dans la base de données de WALLIX Bastion. Vous pouvez
avoir recours à la fonctionnalité d’intégration à un domaine LDAP qui utilise directement
l’annuaire (voir Section 9.8, « Configuration de l'intégration avec un domaine LDAP ou Active
Directory », page 116).
9.1.6.1. Importer des utilisateurs depuis un fichier .csv

Vous pouvez alimenter la base utilisateurs de WALLIX Bastion à partir d’un fichier .csv :
• soit depuis la page « CSV » du menu « Import/Export ». Vous pouvez alors cocher la case
« Utilisateurs » pour importer les données. Les séparateurs de champs et de listes sont également
configurables.
• soit depuis la page « Comptes » du menu « Utilisateurs ». Vous pouvez cliquer sur l'icône
« Importer depuis un fichier CSV » en haut à droite de la page pour importer les données. Vous
êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case « Utilisateurs » est
déjà cochée pour l'import des données. Les séparateurs de champs et de listes sont également
configurables.
Le fichier doit commencer par une ligne contenant le marqueur :
#wab730 user
Important :
Les données relatives au mot de passe, à la clé SSH ou encore au certificat X509 des
utilisateurs ne sont pas indiquées dans le fichier .csv lors de l'export. Celles-ci doivent
donc être renseignées dans le fichier .csv avant l'import.
80
La mise à jour des données existantes lors de l'import d’un fichier .csv entraîne un
remplacement des anciennes données par écrasement.
Chaque ligne suivante doit être formée comme indiqué ci-dessous :
Champ Type R(equis)/ Valeurs possibles Valeur par défaut

O(ptionnel)
Identifiant Texte R [aA-zZ], [0-9], '-', '_' N/A
Groupes Texte O [aA-zZ], [0-9], '-', '_' N/A
Plusieurs groupes peuvent

exister pour le même
utilisateur.
Si le groupe utilisateurs
n'existe pas, il est créé
avec la plage horaire par
défaut « allthetime ».
Nom usuel Texte O Texte libre N/A
IP source IP/FQDN O [aA-zZ], [0-9], '-', '_' N/A
Peut être soit une adresse,

soit un domaine ou encore
une plage d'IP (ex. :
« 10.10.10.11-10.10.10.42 »).
Profil Texte R Profils définis N/A
Date expiration Date et O AAAA-MM-JJ et HH:MM N/A
du compte heure
Date et heure auxquelles
le compte expirera.
Authentifications Texte R Authentifications définies N/A
utilisateur
Plusieurs authentifications
peuvent exister pour le
même utilisateur.
Clé publique Texte Requis lorsque [aA-zZ], [0-9], '-', '_' N/A
l'authentification est
« local_sshkey »
Cette donnée n'est

pas indiquée dans
le fichier .csv
lors de l'export
des utilisateurs. Elle
doit donc être
renseignée dans le
fichier .csv avant
l'import.
Mot de passe Texte Requis lorsque Texte libre N/A
l'authentification est
« local_password » Doit être conforme à
la politique de mot de
81

O(ptionnel)
Cette donnée n'est passe actuelle (nombre de
pas indiquée dans caractères spéciaux, etc.).
le fichier .csv
lors de l'export Lorsque l'import est
des utilisateurs. Elle effectué à partir de la
doit donc être version 6.1 de WALLIX
renseignée dans le Bastion :
fichier .csv avant
• si ce champ est
l'import.
vide, alors le mot de
passe est supprimé
lors de l'import.
Attention ! L'import ne
peut s'effectuer lorsqu'il
n'existe pas d'autre
moyen d'authentification
pour l'utilisateur (clé
SSH, etc.) ;
• si ce champ est
renseigné avec le mot-
clé [hidden], alors le
mot de passe existant
n'est pas modifié.
Attention ! Si aucun mot
de passe n'est défini
pour le compte, alors ce
champ prend la valeur
[hidden] ;
• si ce champ est
renseigné avec une
valeur autre que le mot-
clé [hidden], alors le
mot de passe est mis à
jour avec cette nouvelle
valeur.
Attention ! Lorsque l'import

est effectué à partir
d'une version antérieure à
WALLIX Bastion 6.1 et si
ce champ est vide, alors
le mot de passe n'est PAS
supprimé lors de l'import.
E-mail Texte R Adresse e-mail N/A
Forcer le Booléen R Vrai ou Faux Faux
changement de
mot de passe
Compteur Entier O Entier positif, verrouillera 0
d’échecs l’utilisateur si supérieur
d’authentification ou égal à la valeur
82

O(ptionnel)
du nombre maximum
d’échecs d’authentification
par utilisateur spécifiée
dans la politique de mots
de passe.
Date de Texte O Ignoré N/A
dernière
connexion
Langue Texte O « de » pour Allemand « en »
préférée
« en » pour Anglais
« es » pour Espagnol

« fr » pour Français
« ru » pour Russe

DN certificat Texte Requis lorsque Un DN de certificat N/A
l'authentification est comme indiqué dans
« local_x509 » la section 9.6.4,
« Configuration de
Cette donnée n'est l'authentification des
pas indiquée dans utilisateurs », page 105
le fichier .csv
lors de l'export
des utilisateurs. Elle
doit donc être
renseignée dans le
fichier .csv avant
l'import.
Désactivé Booléen O Vrai ou Faux Faux
Option permettant
de définir si le
compte utilisateur
est désactivé ou
non.
Exemple de syntaxe d'import :
#wab730 user
martin;linuxadmins;Pierre Martin;;user;;local;;jMpdu9/
x2z;martin@wallix.com;False;0;;fr
;/C=FR/O=Wallix/CN=PKI_USER;False
Après l’importation du fichier .csv, un résumé de l’opération s’affiche.
Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base de
données de WALLIX Bastion mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante
est indiquée.
83
Figure 9.3. Page « CSV » - case « Utilisateurs » cochée
9.1.6.2. Importer des utilisateurs depuis un annuaire LDAP ou Active Directory

Depuis la page « Utilisateurs depuis LDAP/AD » du menu « Import/Export », vous pouvez importer
les données utilisateurs stockées dans un annuaire distant pour alimenter la base ACL interne de
WALLIX Bastion.
Cette procédure vous permet uniquement d'importer des utilisateurs depuis un annuaire distant.
Si vous souhaitez intégrer directement des utilisateurs à un domaine LDAP à partir d'un
annuaire en maintenant la synchronisation avec les changements effectués dans ce dernier,
veuillez consulter Section 9.8, « Configuration de l'intégration avec un domaine LDAP ou Active
Directory », page 116.
Avertissement :
Si les utilisateurs importés doivent s’authentifier sur l’annuaire utilisé pour
l’importation, il est nécessaire de créer auparavant la méthode d’authentification (voir
aussi Section 9.7.1, « Ajouter une authentification externe », page 110)
Cas 1 : Importer des utilisateurs depuis un annuaire LDAP sans utilisation d'Active Directory
Pour importer des utilisateurs depuis un annuaire LDAP sans utilisation d'Active Directory, il est
nécessaire de renseigner les champs sur la page « Utilisateurs depuis LDAP/AD » comme indiqué
ci-dessous :
• « Serveur » : saisir l'adresse du serveur (adresse IP ou FQDN).

• « Port » : le port de connexion par défaut est renseigné. Cette donnée peut être modifiée si
nécessaire.
• « Active Directory » : cette case ne doit pas être cochée.
• « Chiffrement » : sélectionner le protocole de chiffrement souhaité. Le port de connexion est alors
mis à jour en fonction de cette sélection.
• « DN de base » : le DN (« Distinguished Name ») ou nom distinctif de l’unité d’organisation doit
être renseigné.
84
• « Attribut identifiant » : renseigner le nom de l’attribut de l' utilisateur LDAP qui sera utilisé comme
identifiant au sein de WALLIX Bastion.
• « Attribut e-mail de l'utilisateur » : saisir l'attribut de l’adresse mail de l’utilisateur.
• « Filtre de recherche » : la requête permettant de récupérer tous les utilisateurs de l'annuaire est
renseignée par défaut. Cette donnée peut être modifiée pour récupérer les utilisateurs souhaités,
en utilisant la syntaxe LDAP.
• « Méthode de bind » : sélectionner soit une méthode de bind anonyme soit une méthode de
simple bind. Lorsque la méthode de simple bind est sélectionnée, les champs « Utilisateur » et
« Mot de passe » sont alors affichés.
• « Utilisateur » et « Mot de passe » : il est nécessaire de renseigner un nom d’utilisateur et un mot
de passe à utiliser pour rechercher l’identifiant dans l’annuaire. Ces champs ne sont pas affichés
lorsque la méthode de bind anonyme est sélectionnée.
Note :
L’utilisateur doit avoir les droits de lecture sur le DN de base utilisé.
Cas 2 : Importer des utilisateurs depuis un annuaire LDAP utilisant l'Active Directory
Pour importer des utilisateurs depuis un annuaire LDAP utilisant l'Active Directory, il est nécessaire
de renseigner les champs sur la page « Utilisateurs depuis LDAP/AD » comme indiqué ci-dessous :
• « Serveur » : saisir l'adresse du serveur (adresses IP ou FQDN).

• « Port » : le port de connexion par défaut est renseigné. Cette donnée peut être modifiée si
nécessaire.
• « Active Directory » : cocher la case.
• « DN de base » : dépend du nom de domaine. Par exemple pour le domaine « mycorp.lan », le
DN de base devrait être « dc=mycorp,dc=lan ».
• « Attribut identifiant » : l’identifiant de connexion est « sAMAccountName ».
• « Attribut e-mail de l'utilisateur » : saisir l'attribut de l’adresse mail de l’utilisateur.
• « Filtre de recherche » : la requête permettant de récupérer tous les utilisateurs de l'annuaire est
renseignée par défaut. Cette donnée peut être modifiée pour récupérer les utilisateurs souhaités,
en utilisant la syntaxe AD.
simple bind. Lorsque la méthode de simple bind est sélectionnée, les champs « Utilisateur » et
« Mot de passe » sont alors affichés.
• « Utilisateur » et « Mot de passe » : il est nécessaire de renseigner un nom d’utilisateur et un mot
de passe à utiliser pour rechercher l’identifiant dans l’annuaire. Ces champs ne sont pas affichés
lorsque la méthode de bind anonyme est sélectionnée.
Note :
Lorsque les champs sont renseignés, cliquez sur le bouton « Import ».

Si l’importation réussit, une page contenant la liste des utilisateurs extraite de l’annuaire s'affiche :
sélectionnez les utilisateurs que vous souhaitez importer au sein de WALLIX Bastion en cochant
85
la case au début de la ligne correspondante. Avant l'import définitif, vous devez attribuer aux
utilisateurs sélectionnés une authentification et un profil utilisateur. Un groupe d'utilisateurs et un
nom de domaine peuvent également être associés à la sélection.
Cliquez enfin sur le bouton « Import » pour procéder à l'import dans la base des utilisateurs de
WALLIX Bastion.
Après l’importation, un résumé de l’opération s’affiche. Ce récapitulatif affiche un état du nombre

d'utilisateurs qui ont été créés/rejetés dans la base de données de WALLIX Bastion. En cas de
rejet, l'erreur correspondante est indiquée.
Note :
L'identifiant de l'utilisateur importé se caractérise par la syntaxe suivante :
• « nom_de_domaine\sAMAccountName » dans le cas d'un annuaire LDAP utilisant

l'Active Directory, ou
• « nom_de_domaine\uid » dans le cas d'un annuaire LDAP sans utilisation d'Active
Directory.
Figure 9.4. Page « Utilisateurs depuis LDAP/AD »
9.2. Groupes utilisateurs
Sur la page « Groupes », vous pouvez :
• lister les groupes utilisateurs enregistrés,

• ajouter/modifier/supprimer un ou plusieurs groupes,
• voir qui sont les membres de chacun des groupes,
• importer des groupes utilisateurs à partir d'un fichier .csv afin d'alimenter la base utilisateurs de
WALLIX Bastion.
Note :
L'administrateur ne visualisera pas sur cette page le profil défini pour un groupe (affiché
dans le champ « Profil ») lorsque ce profil dispose d'au moins un droit que le profil
de cet administrateur ne peut pas accorder en tant que droit transmissible. Pour plus
d'informations, voir Section 9.3, « Profils utilisateurs », page 90.
86
« Groupes ». Pour plus d'informations, voir Section 6.5, « Navigation au sein des tableaux de
Figure 9.5. Page « Groupes »
9.2.1. Ajouter un groupe utilisateurs

Sur la page « Groupes », cliquez sur « Ajouter un groupe » pour afficher la page de création du
groupe utilisateur.
• le nom du groupe,
• une description,
• la(les) plage(s) horaire(s) à appliquer,
Note :
Si plusieurs plages horaires sont sélectionnées, la plage horaire appliquée associe
toutes ces plages horaires.
• une liste de sélection des utilisateurs du groupe,

• une liste d’actions à appliquer lors de la détection de certaines chaînes de caractères (définies
dans le champ « Règles ») sur le flux montant des proxies (voir Section 10.5.1.7.1, « Analyse des
flux SSH / Détection de motifs (ou « patterns ») », page 177 et Section 10.5.1.7.2, « Analyse
des flux RDP / Détection de motifs (ou « patterns ») », page 182),
Avertissement :
La détection de chaînes de caractères n’est active que pour les données envoyées
par le client vers le serveur et uniquement pour les connexions sous des protocoles
spécifiques (disponibles dans la liste du champ « Sous-protocole »).
• dans le cas d’une intégration LDAP/AD telle que décrite dans la section 9.8, « Configuration de
l'intégration avec un domaine LDAP ou Active Directory », page 116, les champs du cadre
« Correspondance d'authentification LDAP » permettent de définir le profil à utiliser pour les
membres du groupe et pour chaque lien avec un annuaire, le DN du groupe de l’annuaire.
87
Avertissement :
Si aucun domaine LDAP/AD n'est configuré au sein de WALLIX Bastion, alors le cadre
« Correspondance d'authentification LDAP » n'est pas affiché sur cette page.
Figure 9.6. Page « Groupes » en mode création
9.2.2. Modifier un groupe utilisateurs

Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour afficher
la page de modification du groupe.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du groupe.
Le champ "Autorisations" liste les autorisations actives associées au groupe utilisateurs.
Note :
L'administrateur ne visualisera pas la zone « Correspondance d'authentification LDAP »
lorsque le profil associé au groupe dispose d'au moins un droit que le profil de
cet administrateur ne peut pas accorder en tant que droit transmissible. Pour plus
9.2.3. Supprimer un groupe utilisateurs
88
Sur la page « Groupes », sélectionnez un ou plusieurs groupes à l’aide de la case à cocher au début
Avertissement :
Vous ne pouvez pas supprimer un groupe utilisateurs lié à des autorisations actives (voir
Chapitre 13, « Gestion des autorisations », page 258).
9.2.4. Visualiser les membres d’un groupe utilisateurs

Sur la page « Groupes », cliquez sur un nom de groupe pour afficher les informations sur ce groupe :
le champ « Utilisateurs » contient la liste des utilisateurs de ce groupe.
Figure 9.7. Page « Groupes » - Informations sur le groupe
9.2.5. Importer des groupes utilisateurs

Sur la page « Groupes », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite
de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu
« Import/Export » : la case « Groupes utilisateurs » est déjà cochée pour l'import des données. Les
séparateurs de champs et de listes sont également configurables.
#wab730 usersgroup
Important :
Champ Type R(equis)/ Valeurs possibles Valeur

O(ptionnel) par défaut
Nom Texte R [aA-zZ], [0-9], '-', '_' N/A
Description Texte O Texte libre N/A
Profil Texte O Profils définis N/A
89

Plage horaire Texte R Plages horaires définies N/A
Plusieurs plages horaires

peuvent exister pour le
même groupe utilisateurs.
Utilisateurs Texte O Utilisateurs définis N/A
Il peut n'y avoir aucun

utilisateur ou un ou plusieurs
utilisateurs définis.
est indiquée.
9.3. Profils utilisateurs
Sur la page « Profils », vous pouvez :
• lister les profils utilisateurs,

• ajouter/modifier/supprimer un ou plusieurs profils utilisateurs,
• définir les droits et les limitations d'administration sur WALLIX Bastion pour un profil,
• importer des profils utilisateurs à partir d'un fichier .csv afin d'alimenter la base utilisateurs de
WALLIX Bastion.
« Profils ». Pour plus d'informations, voir Section 6.5, « Navigation au sein des tableaux de l'interface
Web », page 34.
9.3.1. Profils par défaut

Plusieurs profils utilisateurs sont configurés par défaut dans WALLIX Bastion. Ces profils prédéfinis
affichés sur la page « Profils » sont les suivants :
• « approver » (« approbateur ») : ce profil peut accepter/rejeter des demandes d'approbation pour

accéder aux comptes cibles.
• « auditor » (« auditeur ») : ce profil peut consulter les données d’audit de WALLIX Bastion (voir
Section 12.3, « Données d'audit », page 219) mais ne peut pas accéder aux comptes cibles
• « operation_administrator » (« administrateur_opération ») : ce profil peut effectuer
toute opération. Cependant, il n'a pas accès aux fonctionnalités suivantes : le menu
« Système » (comprenant la sauvegarde et la restauration du système), le menu « Audit », tous
les journaux et logs systèmes et les comptes cibles.
• « disabled » (« désactivé ») : ce profil ne dispose d’aucun droit ; il peut être modifié ou supprimé s'il
n'est pas utilisé mais il ne devrait pas être utilisé pour désactiver un compte utilisateur. Nous vous
recommandons de cocher l'option « Désactivé » sur la page d'ajout/de modification du compte
90
utilisateur si vous souhaitez désactiver un utilisateur. Pour plus d'informations, voir Section 9.1,
« Comptes utilisateurs », page 76.
Attention :
Le profil « disabled » (« désactivé ») s'affiche uniquement sur une version de
migration de WALLIX Bastion car il est hérité par défaut d'une version antérieure.
Lors de la migration, les utilisateurs disposant de l'ancien profil « disabled » sont
automatiquement associés au profil « user » et l'option « Désactivé » sur la page de
modification du compte utilisateur est cochée par défaut.
• « system_administrator » (« administrateur_système ») : ce profil dispose de tous les droits

d'administration système via le menu « Système ». Il peut modifier la configuration de l'appliance,
accéder à la console pour créer et restaurer des sauvegardes et visualiser tous les journaux et
logs systèmes. Cependant, ce profil ne dispose pas d'un accès aux comptes cibles.
• « user » (« utilisateur ») : ce profil n'a aucun droit d’administration mais peut accéder aux comptes
cibles.
• « WAB_administrator » (« administrateur_WAB ») : ce profil possède tous les droits
d’administration et peut se connecter aux comptes cibles.
Note :
La configuration pour le compte administrateur d'usine est le profil
« WAB_administrator ».
9.3.2. Ajouter un profil utilisateur

Sur la page « Profils », cliquez sur « Ajouter un profil » pour afficher la page de création du profil
utilisateur.
Cette page recense les éléments suivants :
• un champ pour la saisie du nom du profil,
• une zone (« Droits ») permettant de définir les droits des membres du profil,
• une zone (« Droits transmissibles ») permettant de définir les droits pouvant être accordés par
les membres du profil. Cette zone est uniquement affichée lorsque le droit « Modifier » pour la
fonctionnalité « Utilisateurs », « Profils utilisateurs » ou « Paramètres » est paramétré sur la
partie « Droits »,
• une zone (« Autres fonctionnalités ») permettant de renseigner des limitations pour les membres
du profil.
Sur la partie « Droits », vous pouvez définir les autorisations pour les fonctionnalités principales de
l'interface Web affichées depuis le menu de WALLIX Bastion :
• « Aucun » : pas de droit ouvert : le menu n’apparaîtra pas lors de la connexion de l’utilisateur,
• « Afficher » : l'utilisateur peut consulter les éléments créés mais ne peut pas les modifier,
• « Modifier » : l'utilisateur peut consulter et modifier des éléments,
• « Exécuter » (uniquement pour la sauvegarde et la restauration) : l'utilisateur peut lancer
une sauvegarde ou une restauration du système (voir Section 8.13, « Sauvegarde et
restauration », page 63).
91
Une autre option est disponible pour activer/désactiver l'accès aux comptes cibles.
La partie « Droits transmissibles » est affichée si le droit « Modifier » pour la fonctionnalité

« Utilisateurs », « Profils utilisateurs » ou « Paramètres » est paramétré sur la partie « Droits ».
Sur la partie « Droits transmissibles », vous pouvez définir les autorisations pouvant être accordées
par les membres du profil. Ces autorisations sont héritées des droits définis pour le profil. Les droits
pouvant être accordés par les membres du profil ne peuvent pas être supérieurs à leurs propres
droits. Par conséquent, un profil ne peut pas autoriser la modification d'une fonctionnalité s'il n'a
pas lui-même le droit de modifier cette même fonctionnalité et la possibilité de transmettre ce droit
(sauf pour les droits « Audit session » et « Accès aux comptes cibles »).
Note :
Un utilisateur ne visualisera pas les profils et les membres des profils disposant d'au
moins un droit que cet utilisateur ne possède pas (exception faite des droits « Audit
session » et « Accès aux comptes cibles »).
Cependant, cette règle ne s'applique pas à l'entrée « Groupes » du menu « Utilisateurs »

ni sur les entrées du menu « Audit ».
Sur la partie « Autres fonctionnalités », vous pouvez définir des limitations pour les membres du
profil, à partir des champs suivants :
• « Limitations sur les adresses IP » : définir la ou les adresses IP sources à laquelle ou auxquelles
l'accès est restreint pour la connexion primaire. Cette adresse peut être définie comme une
adresse IP unique, un masque de sous-réseau ou encore un nom d'hôte.
• « Limitations sur les groupes utilisateurs » et « Limitations sur les groupes de cibles » :
sélectionnez les groupes utilisateurs et/ou les groupes de cibles qui seront seulement visibles
et gérables par les membres de ce profil. Les autorisations définies pour les membres du profil
s'appliqueront à ces groupes. De plus, il sera uniquement possible d'ajouter des utilisateurs et/
ou des comptes cibles dans ces groupes.
Si vous définissez des limitations sur des groupes de cibles, sélectionnez dans la liste de valeurs
le groupe auquel appartiendront les nouveaux comptes cibles par défaut.
Les limitations définies sur cette partie s'appliquent aux utilisateurs rattachés à ce profil, qu'ils
soient des utilisateurs locaux ou bien des utilisateurs importés depuis un annuaire LDAP/AD ou
encore les membres d'un groupe utilisateurs de WALLIX Bastion liés par une correspondance
d'authentification à un groupe de l'annuaire LDAP/AD .
Avertissement :
Si l'accès aux comptes cibles est autorisé pour le profil, il est recommandé de ne pas
définir des limitations pour les membres du profil sur la partie « Autres fonctionnalités ».
En effet, cette action pourrait causer des incohérences fonctionnelles.
92
Figure 9.8. Page « Profils » en mode création
9.3.3. Modifier un profil utilisateur

Sur la page « Profils », cliquez sur un nom de profil pour afficher la page de modification du profil.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du profil,
excepté le champ « Nom du profil » qui n’est pas modifiable.
Avertissement :
Un profil prédéfini ne peut être ni supprimé ni modifié.
9.3.4. Supprimer un profil utilisateur

Sur la page « Profils », sélectionnez un ou plusieurs profils à l’aide de la case à cocher au début de
la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WALLIX Bastion affiche une
fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
Avertissement :
Un profil prédéfini ne peut être ni supprimé ni modifié.
Vous ne pouvez pas supprimer un profil utilisateur lorsqu'au moins un utilisateur est
rattaché à ce profil.
9.3.5. Importer des profils utilisateurs

Sur la page « Profils », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite de la
page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu « Import/
Export » : la case « Profils » est déjà cochée pour l'import des données. Les séparateurs de champs
et de listes sont également configurables.
#wab730 profile
93
Important :

Droits Texte R Droits définis pour les N/A
membres du profil.
Valeurs possibles :
- : aucun droit
r : droit « Afficher »
w : droit « Modifier »
x : droit « Exécuter »
Ces droits se définissent

en respectant l'ordre de la
liste des fonctionnalités de
l'interface Web de WALLIX
Bastion, affichée pour un profil
donné.
Liste des fonctionnalités dans

l'ordre et droits possibles pour
chacune :
- Audit session ('-', 'r')
- Audit système ('-', 'r')
- Utilisateurs ('-', 'r', 'w')
- Groupes utilisateurs ('-', 'r',

'w')
- Cibles & comptes ('-', 'r', 'w')
- Groupes de cibles ('-', 'r', 'w')
- Gestion des autorisations

('-', 'r', 'w')
- Gestion des approbations

('-', 'r', 'w')
- Profils utilisateurs ('-', 'w')
- Paramètres ('-', 'r', 'w')
94

- Paramètres système ('-', 'w')
- Sauvegarde/Restauration
('-', 'x')
- Récupération du mot de
passe ('-', 'x')
Un profil avec la définition

--rrrrw---wx- aura les droits
suivants :
- Audit session : aucun droit
- Audit système : aucun droit
- Utilisateurs : droit
« Afficher »
- Groupes utilisateurs : droit

« Afficher »
- Cibles & comptes : droit

« Afficher »
- Groupes de cibles : droit

« Afficher »
- Gestion des autorisations :

droit « Modifier »
- Gestion des approbations :

aucun droit
- Profils utilisateurs : aucun

droit
- Paramètres : aucun droit
- Paramètres système : droit

« Modifier »
- Sauvegarde/Restauration :
droit « Exécuter »
- Récupération du mot de
passe : aucun droit
Accès aux Booléen R Vrai ou Faux Faux
comptes
cibles
Limitations IP/subnet/ O [aA-zZ], [0-9], '-', '/', '.' N/A
sur les hôte
adresses IP par exemple, pour un subnet :
1.1.1.0/24
95

Il peut n'y avoir aucune
adresse réseau ou une ou
plusieurs adresses définies.
Dans ce cas, elles
doivent être séparées par
« ; », par exemple :
10.10.10.10;24.12.33.125
Limitations Booléen R Vrai ou Faux Faux
sur les
groupes
utilisateurs
Groupes Texte O Groupes utilisateurs définis N/A
utilisateurs
Il peut n'y avoir aucun groupe
utilisateurs ou un ou plusieurs
groupes utilisateurs définis.
Limitations Booléen R Vrai ou Faux Faux
sur les
groupes de
cibles
Groupes de Texte O Groupes de cibles définis N/A
cibles
Il peut n'y avoir aucun groupe
de cibles ou un ou plusieurs
groupes de cibles définis.
Groupe de Texte O Groupe de cibles par défaut N/A
cibles par défini
défaut
Droits Texte O Droits transmissibles définis N/A
transmissibles pour les membres du profil.
Valeurs possibles :
- : aucun droit
r : droit « Afficher »
w : droit « Modifier »
x : droit « Exécuter »
Ces droits se définissent en

respectant les droits du profil
renseignés dans la colonne
« Droits ».
Liste des fonctionnalités dans

l'ordre et droits possibles pour
chacune :
- Session audit ('-', 'r')
96

- System audit ('-', 'r')
- Users ('-', 'r', 'w')
- Targets & accounts ('-', 'r',

'w')
- Manage Authorizations ('-',

'r', 'w')
- Manage Approvals ('-', 'r',

'w')
- User profiles ('-', 'w')

- Settings ('-', 'r', 'w')
- System settings ('-', 'w')
- Backup/Restore ('-', 'x')
- Credential recovery ('-', 'x')
Un profil avec la définition

--rrw---wx- aura les droits
suivants :
- Session audit : aucun droit
- System audit : aucun droit
- Users : droit « Afficher »
- Targets & accounts : droit

« Afficher »
- Manage Authorizations :
droit « Modifier »
- Manage Approvals : aucun

droit
- User profiles : aucun droit
- Settings : aucun droit
- System settings : droit

« Modifier »
- Backup/Restore : droit
« Exécuter »
- Credential recovery : aucun

droit
97
est indiquée.
9.4. Configuration des notifications

WALLIX Bastion vous permet de définir des notifications. Ces notifications sont déclenchées et
envoyées à l'utilisateur lors de la détection d’évènements tels que :
• une erreur lors de l'authentification primaire, c'est-à-dire un échec de l'authentification d'un

utilisateur sur WALLIX Bastion,
• une erreur lors d'une connexion secondaire, c'est-à-dire un échec de la connexion à une cible,
• une connexion ou un emprunt de mot de passe sur une cible critique,
• une nouvelle empreinte de clé SSH enregistrée,
• une mauvaise empreinte de clé SSH détectée,
• une erreur d'intégrité,
Note :
Lorsque les notifications sont activées pour ce type d'évènement, l'e-mail récapitule les
erreurs pour les sessions datant de plus de 3 jours par défaut. Il est cependant possible
de définir une autre valeur pour ce nombre de jours. Ce paramètre peut être modifié
depuis « Configuration » > « Options de configuration » > « Session log policy ». Sur
cette page, saisissez un nombre entier positif dans le champ « Summarize error older
than » de la section « IntegrityChecker ». Si la valeur « 0 » est renseignée dans ce
champ, alors l'e-mail de notification ne présente pas de récapitulatif des erreurs.
• une erreur RAID,

• la détection d’une occurrence lors de l’analyse du flux montant SSH ou RDP,
• un avertissement sur l'expiration de la licence,
Note :
Lorsque les notifications sont activées pour ce type d'évènement, l'e-mail
d'avertissement sera envoyé 15 jours, 10 jours, puis 5 jours et enfin 1 jour avant la
date d'expiration de la licence.
• une alerte relative à l’expiration des mots de passe,

• une alerte concernant l’espace disque disponible.
Sur l'onglet « Notifications » du menu « Configuration », vous pouvez ajouter, modifier ou supprimer
des notifications.
Il est également possible de rechercher, trier, supprimer et personnaliser les données affichées
dans le tableau de la page « Notifications ». Pour plus d'informations, voir Section 6.5, « Navigation
au sein des tableaux de l'interface Web », page 34.
9.4.1. Ajouter une notification

Sur l'onglet « Notifications » du menu « Configuration », cliquez sur le bouton « + Notification »
pour afficher la page de création de la notification.
98
• le nom de la notification,
• la description de la notification,
• un bouton pour activer ou désactiver la notification par e-mail. Par défaut, la notification est
activée.
• l’e-mail du destinataire,
Note :
Lorsque vous avez saisi une adresse e-mail valide, cliquez sur « + » situé à la fin
du champ pour l'ajouter à la liste des destinataires. Une fois que l'adresse e-mail est
ajoutée, vous avez la possibilité de la supprimer de la liste en cliquant sur l'icône rouge
« - ».
Vous pouvez ajouter autant de destinataires que nécessaire.
• la langue dans laquelle la notification sera envoyée au destinataire,

• des cases à cocher pour sélectionner les types d’évènements qui déclencheront la notification.
Figure 9.9. Page « Notifications » en mode création
Note :
Vous pouvez configurer les paramètres d’envoi des mails sur l'onglet « Serveur SMTP »
du menu « Système » (voir Section 8.12, « Serveur SMTP », page 62).
99
9.4.2. Modifier une notification

Sur l'onglet « Notifications » du menu « Configuration », cliquez sur un nom de notification. La page
de modification de la notification s'affiche et vous permet de modifier les données déjà renseignées.
Les champs de cette page sont les mêmes que ceux affichés sur la page de création de la
notification, à l'exception du champ « Nom » qui n’est pas modifiable.
9.4.3. Supprimer une notification

Sur l'onglet « Notifications » du menu « Configuration », sélectionnez une notification à l’aide de la
case à cocher située en début de ligne puis cliquez sur le bouton « Supprimer ». WALLIX Bastion
affiche une fenêtre demandant une confirmation avant la suppression définitive de la notification
sélectionnée.
9.5. Configuration de la politique de mot de

passe local
La politique de mot de passe permet d’établir des règles relatives au stockage des mots de passe
locaux. Ces règles définissent notamment le niveau de complexité du mot de passe.
Par défaut, la longueur minimale d’un mot de passe est définie à 12 caractères, les 4 derniers
mots de passe utilisés ne peuvent être réutilisés, et il n’est pas possible d’utiliser un mot de passe
similaire au nom de l’utilisateur.
De plus, une liste de mots de passe interdits, car triviaux est insérée par défaut.
Sur la page « Politique mots de passe locaux » du menu « Configuration », vous pouvez définir la
politique de mot de passe et également configurer la durée de vie des mots de passe. Pour cela,
cliquez sur « Modifier cette politique » pour afficher la page de modification de la politique du mot
de passe local.
• la durée de validité du mot de passe, en jours. Passée cette durée, l’utilisateur sera invité à
changer son mot de passe sur l'écran de connexion de WALLIX Bastion ou lors de la connexion
à la session RDP ou SSH. Il est recommandé que cette valeur soit inférieure à un an.
• l’échéance avant le premier avertissement, en jours, permet à l’utilisateur de savoir que son mot
de passe va bientôt expirer. Il est recommandé de définir ici une valeur d'au moins 20 jours.
• la longueur minimale du mot de passe. Cette donnée doit être supérieure à la somme des autres
contraintes de nombre de caractères. Il est recommandé de définir ici une valeur d'au moins 12
caractères.
• le nombre maximum d'échecs d'authentification autorisés par utilisateur. Il est recommandé de
définir ici une valeur maximum de 5 tentatives d'authentification.
• le nombre minimum de caractères spéciaux dans le mot de passe. Il est recommandé de définir
ici une valeur d'au moins 1 caractère.
• le nombre minimum de lettres majuscules dans le mot de passe. Il est recommandé de définir
• le nombre minimum de lettres minuscules dans le mot de passe. Il est recommandé de définir
100
• le nombre minimum de caractères numériques dans le mot de passe. Il est recommandé de

définir ici une valeur d'au moins 1 caractère.
• le nombre de mots de passe précédents non réutilisables. Il est recommandé de rejeter au moins
les 4 derniers mots de passe utilisés.
• une case à cocher permettant d’autoriser un mot de passe similaire à l’identifiant de l’utilisateur.
Il est recommandé de ne pas permettre la similitude.
• un fichier permettant de définir une liste de mot de passe interdits.
Note :
La liste des mots de passe interdits doit être fournie dans un fichier au format UTF-8.
• une liste permettant de sélectionner un ou plusieurs algorithmes autorisés pour la clé publique
SSH. Si l'algorithme « RSA » est sélectionné, un champ s'affiche alors pour saisir la longueur
minimale de la clé. Cette valeur ne doit pas être inférieure à 1024 bits.
Note :
Tous les algorithmes sont sélectionnés par défaut. Si aucun algorithme n'est
sélectionné, alors il n'est pas possible de définir une clé publique SSH depuis la page
« Mes préférences » ni d'en attribuer une à un utilisateur local sur la page « Comptes »
du menu « Utilisateurs ».
Figure 9.10. Page « Politique mots de passe locaux » en mode modification
9.6. Configuration de l'authentification par

certificat X509
WALLIX Bastion prend en charge l'authentification par certificat X509 afin de permettre aux
utilisateurs de s'authentifier avec des certificats.
Sur l'onglet « Configuration X509 » situé dans le menu « Configuration », vous pouvez configurer
l'authentification X509 ainsi que les listes de révocation de certificats (CRL) et le protocole de
101
vérification de certificat en ligne (OCSP). Pour ce faire, cliquez sur les sous-onglets dédiés :
« Certificats », « CRL » et « OCSP ».
9.6.1. Activation de l'authentification par certificat X509

9.6.1.1. Prérequis pour la configuration
Avant de configurer l’authentification via X509, assurez-vous de disposer des éléments requis
suivants :
• la clé publique au format PEM de l’Autorité de Certification ayant délivré ce certificat du serveur.
Il peut s’agir d’un certificat auto-signé ou délivré par une autorité reconnue,
• le certificat au format PEM pour le serveur Web de WALLIX Bastion,
• la clé privée au format PEM correspondant à ce certificat du serveur.
9.6.1.2. Configuration X509
Sur le sous-onglet « Certificats », suivre les étapes suivantes pour configurer et activer
l'authentification X509 :
• Dans la section « Certificats serveur X509 » :

1. Télécharger le certificat de l'AC au format PEM (il contient la clé publique).
2. Télécharger le certificat du serveur au format PEM (il contient la clé publique).
3. Télécharger la clé privée du serveur au format PEM.
• Dans la section « Authentification X509 », activer l'authentification à l'aide du bouton « Activer
l'authentification X509 ».
• Cliquer sur le bouton « Valider » pour activer l'authentification X509 et redémarrer l'interface Web
de WALLIX Bastion. Ce processus peut prendre quelques secondes.
Avertissement :
Si l'authentification X509 est activée, l'algorithme cryptographique TLSv1.3 pour la
connexion HTTPS est désactivée. Cependant, cet algorithme est désactivé par défaut
lorsque l'authentification X509 n'est pas activée.
Note :
L'interface Web de WALLIX Bastion et le Web Service API REST sont indisponibles
pendant la durée de cette phase de configuration. Les connexions sur l'interface sont
donc déconnectées.
Cependant, il n'y a aucune répercussion pour les sessions RDP et SSH.
102
Figure 9.11. Onglet "Configuration X509" pour le téléchargement des certificats
9.6.2. Gestion de la liste de révocation de certificats (CRL)

Sur le sous-onglet « CRL », suivre les étapes suivantes pour configurer la gestion des CRL :
1. Télécharger un fichier contenant une liste de révocation de certificats (CRL).

2. Renseigner une adresse à partir de laquelle la CRL est automatiquement récupérée. La
récupération est effectuée toutes les heures.
3. Activer le bouton « Activer la vérification de la liste de révocation de certificats (CRL) » pour
effectuer un contrôle de cette liste. La vérification est désactivée par défaut.
4. Cliquer sur le bouton « Valider ».
Note :
Les fichiers CRL sont stockés dans le répertoire /var/wab/apache2/ssl.crl/.
Un fichier importé contenant plusieurs CRL sera divisé en plusieurs fichiers CRL unitaires.
Une CRL importée remplacera uniquement une ancienne version si le chiffre

correspondant à la donnée « CRLNumber » est supérieur ou égal à celui de l'ancienne
version.
Il est également possible de mettre à jour cette liste via une commande dédiée. Pour plus
d'informations, voir Section 14.27, « Mettre à jour la liste de révocation CRL (Certificate
Revocation List) », page 284.
103
Figure 9.12. Onglet « Configuration X509 » pour la configuration de la CRL
9.6.3. Gestion du protocole de vérification de certificat en

ligne (OCSP)
L'OCSP fournit des informations sur le statut de révocation des certificats lorsqu'un utilisateur se
connecte à un serveur via un certificat SSL. Le répondeur OCSP reçoit la requête et renvoie une
réponse indiquant que :
• le certificat est valide,

• le certificat est révoqué,
• les informations liées au certificat sont inconnues.
Sur le sous-onglet « OCSP », suivre les étapes suivantes pour configurer l'OCSP:
1. Sélectionner l'une des trois directives.

2. Renseigner l'URL du proxy qui sera utilisé pour les requêtes au répondeur OCSP. Le répondeur
OCSP utilisé correspond à celui du certificat.
3. Renseigner l'URI du serveur OCSP par défaut qui sera utilisé à la place des répondeurs OCSP.
4. Activer le bouton « Activer la validation OCSP de la chaîne de certificats client » pour valider
les certificats de la chaîne de certificats du client auprès d'un répondeur OCSP.
104
Figure 9.13. Onglet "Configuration X509" pour la configuration de l'OCSP
9.6.4. Configuration de l'authentification des utilisateurs

Sur l'onglet « Comptes » situé dans le menu « Utilisateurs », vous devez configurer la méthode
d'authentification de l'utilisateur.
La section « Authentification locale - X509 » et le champ « DN de certificat » apparaissent

sur la page lors de l'ajout ou de la modification d'un utilisateur (voir Section 9.1, « Comptes
utilisateurs », page 76). Pour associer l'utilisateur au certificat, le DN (« Distinguished Name »)
ou nom distinctif du certificat doit être renseigné dans le champ « DN de certificat » comme suit :
CN=Lucas Martin,O=MyCorp,L=PARIS,ST=IDF,C=FR
Lorsque ce certificat sera utilisé, l’utilisateur lié sera authentifié sur WALLIX Bastion.
Attention :
Certains certificats ont un attribut « emailAddress » noté « E =... » dans le DN du certificat.
Cet attribut doit être remplacé par « emailAddress =... » dans le champ dédié.
Note :
Les certificats doivent être signés par la même Autorité de Certification que celui du
serveur Web.
Les caractères Unicode sont pris en charge dans le DN si le certificat est encodé en
UTF-8 selon la RFC2253, sinon seuls les caractères ASCII standards sont supportés.
La longueur maximale du DN prise en charge est de 1024 octets (le nombre exact de
caractères peut être inférieur selon la longueur de l’encodage UTF-8).
105
Figure 9.14. Page « Comptes » en mode modification avec le champ « DN de certificat »
9.6.5. Authentification X509
9.6.5.1. Authentification X509 sur l'interface Web
Lors de la prochaine connexion, la page d’authentification de WALLIX Bastion affiche un nouveau
lien permettant de s’authentifier via un certificat SSL.
106
Figure 9.15. Écran de connexion avec authentification X509
Les utilisateurs et les administrateurs peuvent ainsi s’authentifier à l’aide d’un certificat stocké dans
le navigateur.
Figure 9.16. Authentification d’un utilisateur via un certificat SSL
9.6.5.2. Connexion à la cible en X509

Lorsque l'utilisateur s’authentifie via un certificat X509, le processus de connexion est le suivant :
1. L'utilisateur se connecte à un équipement cible via un client RDP ou SSH.
107
2. Le proxy interroge WALLIX Bastion afin d'obtenir le mode d’authentification de l’utilisateur sur
l’interface Web.
3. Si l'utilisateur est authentifié en X509, une demande de confirmation de connexion s'affiche sur
l'interface Web.
4. L'utilisateur doit confirmer cette demande pour être automatiquement authentifié sur la cible.
Il peut choisir d'accepter ou de rejeter plusieurs connexions automatiques simultanées pour les
sessions RDP, SSH ou pour les deux pendant une durée définie et exprimée en secondes, en
activant le bouton « S'applique également à toutes les connexions pour : » et en paramétrant
les champs suivants .
Figure 9.17. Demande de confirmation de connexion à une cible
Avertissement :
Le navigateur et le client RDP ou SSH doivent tous deux être lancés sur le même poste
de travail (donc utiliser la même adresse IP) pour permettre l'affichage de la demande
de confirmation de connexion.
La valeur de la durée maximum pendant laquelle les connexions automatiques sont

autorisées peut être définie dans le champ « X509 automatic sessions timer » depuis
« Configuration » > « Options de configuration » > « Global ». Cette durée ne peut excéder
60 secondes et correspond à une valeur par défaut de 15 secondes. L'utilisateur ne peut
renseigner dans la fenêtre contextuelle une durée supérieure à cette valeur.
En cas d'authentification par mappage de compte, l'utilisateur devra entrer son mot de
passe sur la cible.
9.6.6. Désactivation et désinstallation du mode

d'authentification par certificat X509
Sur le sous-onglet « Certificats », vous pouvez désactiver ou désinstaller l'authentification par
certificat X509.
• Pour désactiver l'authentification X509, effectuer les étapes suivantes :

1. Désactiver le bouton « Activer l'authentification X509 » dans la section « Authentification
X509 ».
• Pour désinstaller l'authentification X509, cliquer sur le bouton « Désinstaller la configuration
X509 ».
Avertissement :
L'interface Web est redémarrée. Ainsi, aucune connexion utilisateur doit être active.
108
La configuration par défaut est restaurée : les certificats sont supprimés et de nouveaux
certificats auto-signés sont générés.
Il n’est plus possible pour les utilisateurs de s’authentifier via leurs certificats.
Figure 9.18. Onglet "Configuration X509"
9.7. Configuration des authentifications

externes
Les méthodes d’authentification externes définissables au sein de WALLIX Bastion permettent de
configurer l'authentification d'un utilisateur sur l'application.
Une méthode d'authentification externe est associée à un compte utilisateur lors de la création
ou la modification du compte. Pour plus d'informations, voir Section 9.1.1, « Ajouter un
utilisateur », page 77.
WALLIX Bastion supporte les méthodes d’authentifications suivantes :
• LDAP,
• Active Directory,
• Kerberos,
• RADIUS.
Sur la page « Authentifications externes » du menu « Configuration », vous pouvez ajouter, modifier

ou supprimer des configurations d’authentifications externes.
Il est également possible de rechercher, trier et supprimer les données affichées dans le tableau
de la page « Authentifications externes ». Pour plus d'informations, voir Section 6.5, « Navigation
109
Note :
Par défaut, WALLIX Bastion est configuré avec l’authentification « local » permettant aux
utilisateurs de s’authentifier via le moteur de données interne au produit.
9.7.1. Ajouter une authentification externe

Sur la page « Authentifications externes » du menu « Configuration », cliquez sur « Ajouter une
authentification » pour afficher la page de création de l'authentification externe.
• un type d’authentification : sélectionner le type souhaité pour afficher les champs requis pour la
définition de l’authentification,
• un nom pour l’authentification,
• l'adresse du serveur (adresse IP ou FQDN),
• un port de connexion.
Consulter les sections suivantes pour obtenir des informations détaillées sur la création des
authentifications externes sur cette page.
Figure 9.19. Page « Authentifications externes »

en mode création pour l'authentification LDAP
9.7.1.1. Ajouter une authentification externe Kerberos

Pour les authentifications Kerberos, il est nécessaire de s'assurer dans un premier temps que
l'infrastructure Kerberos, le navigateur et le client proxy SSH sont correctement configurés pour
permettre l'authentification.
Les champs requis doivent être renseignés comme ci-dessous :
• « Centre de distribution des clés (KDC) » : le nom de domaine ou l'adresse IP du serveur KDC
doit être renseigné,
• « Nom du royaume » : le nom de domaine (REALM) doit être renseigné,
110
• « Fichier keytab » : les fichiers keytab nécessaires afin d’établir les connexions doivent être
importés. Chaque fichier keytab chargé est fusionné avec les fichiers chargés précédemment.
La présence d’un service de type HTTP dans un keytab active le support de Kerberos pour
s’authentifier sur la GUI ; il faut pour cela utiliser le préfixe iwab dans l’URL : https://
adresse_ip_bastion/iwab ou https://<nom_bastion>/iwab.
Les services de type HOST sont utilisés pour l’authentification Kerberos auprès du proxy SSH.
Il est alors possible d’utiliser un ticket « forwardable » pour se connecter à une cible au sein
du même domaine Kerberos en utilisant le mappage de compte (voir Section 10.4.1, « Ajouter
un compte cible à un domaine global », page 161, Section 10.4.2, « Ajouter un compte
cible à un équipement », page 164 ou Section 10.4.3, « Ajouter un compte cible à une
application », page 166).
• « Utiliser le nom de domaine primaire » : cette option est uniquement pertinente dans un contexte
d'utilisation de cette authentification comme second facteur, après une première authentification
LDAP. Cocher la case pour forcer la mention du nom de domaine dans l'identifiant (par exemple,
« user@domain ») lors de la seconde authentification.
Pour qu’un utilisateur authentifié en mode Kerberos (via la GUI ou le proxy SSH) soit reconnu par
WALLIX Bastion, au moins l'une des deux conditions suivantes est requise :
• l’utilisateur est défini localement sur WALLIX Bastion et une authentification Kerberos est
configurée pour cet utilisateur ou,
• l’utilisateur est un utilisateur LDAP ayant un groupe WALLIX Bastion associé. Dans ce cas, au
moins l'une des configurations suivantes est requise:
– une association locale doit être définie pour le domaine LDAP de l’utilisateur et le nom du
domaine Kerberos doit correspondre au nom du domaine LDAP (non sensible à la casse) ou,
– un domaine LDAP par défaut est défini sur WALLIX Bastion.
9.7.1.2. Ajouter une authentification externe Kerberos-Password

Ce type d'authentification est perçu par l'utilisateur comme une authentification standard (à savoir :
saisie d'un identifiant et d'un mot de passe). WALLIX Bastion agit alors comme un client Kerberos.
Pour les authentifications Kerberos-Password, il est nécessaire de s'assurer dans un premier temps
que l'infrastructure Kerberos est correctement configurée pour permettre l'authentification.
Les champs requis doivent être renseignés comme ci-dessous :
• « Centre de distribution des clés (KDC) » : le nom de domaine ou l'adresse IP du serveur KDC
doit être renseigné,
• « Nom du royaume » : le nom de domaine (REALM) doit être renseigné,
• « Fichier keytab » : les fichiers keytab nécessaires afin d’établir les connexions doivent être
importés. Chaque fichier keytab chargé est fusionné avec les fichiers chargés précédemment.
Pour qu’un utilisateur authentifié en mode Kerberos-Password soit reconnu par WALLIX Bastion,
au moins l'une des deux conditions suivantes est requise :
• l’utilisateur est défini localement sur WALLIX Bastion et une authentification Kerberos-Password
est configurée pour cet utilisateur ou,
111
• l’authentification Kerberos-Password est utilisée comme second facteur après une première
authentification LDAP avec ou sans utilisation d'Active Directory.
9.7.1.3. Ajouter une authentification externe LDAP

Cas 1 : Ajouter une authentification externe LDAP sans utilisation d'Active Directory
Pour ajouter une authentification externe LDAP sans utilisation d'Active Directory, il est nécessaire
de renseigner les champs sur la page « Authentifications externes » comme indiqué ci-dessous :
• « Timeout (s) » : indiquer le temps d'attente maximum (exprimé en secondes) pour une tentative
de connexion au serveur LDAP. Cette valeur correspond à 3 secondes par défaut.
Attention :
Ce timeout s'applique à toute nouvelle authentification externe LDAP. Les
authentifications externes LDAP héritées d'une version antérieure de WALLIX Bastion
conservent l'ancienne valeur de timeout définie.
• « Active Directory » : cette case ne doit pas être cochée.

• « DN de base » : le DN (« Distinguished Name ») ou nom distinctif de l’unité d’organisation doit
être renseigné.
• « Attribut connexion » : l'attribut connexion utilisé pour la connexion doit être renseigné. Par
défaut, cet attribut de connexion correspond à « uid ». L'attribut « mail » peut être renseigné dans
ce champ pour permettre aux utilisateurs associés à cette authentification d'utiliser leur e-mail
lors de la connexion sur l'interface Web. Les formats de login suivants sont alors pris en charge :
– jdoe@masociete.com@domaine. Le format est « login@domaine » avec l'e-mail défini comme
login (dans cet exemple, « jdoe@masociete.com »),
– domaine\\jdoe@masociete.com. Le format est « domaine\\login » avec l'e-mail défini comme
– jdoe@masociete.com avec le domaine défini comme domaine LDAP/AD par défaut.
• « Attribut identifiant » : l’attribut identifiant doit être renseigné. L’attribut identifiant doit
correspondre au nom de l’attribut LDAP où est stocké l’identifiant de l’utilisateur WALLIX Bastion.
Par défaut, cet attribut correspond à « uid ».
simple bind.
Lorsque la méthode de bind anonyme est sélectionnée, les champs « Utilisateur » / « Mot de
passe » ainsi que le champ « Clé et certificat client » ne sont pas affichés.
Lorsque la méthode de simple bind est sélectionnée et qu'aucun protocole de chiffrement n'est
renseigné, les champs « Utilisateur » et « Mot de passe » sont requis.
Lorsque la méthode de simple bind est sélectionnée et que le protocole de chiffrement choisi est
« StartTLS » ou « SSL », les champs « Utilisateur » / « Mot de passe » ainsi que le champ « Clé et
certificat client » sont optionnels. Cependant, il est obligatoire de renseigner au moins l'un d'entre
eux (soit la paire « Utilisateur » / « Mot de passe », soit le champ « Clé et certificat client »).
• « Utilisateur » et « Mot de passe » : renseigner un nom d’utilisateur et un mot de passe à utiliser
pour rechercher l’identifiant dans l’annuaire. Ces champs ne sont pas affichés lorsque la méthode
de bind anonyme est sélectionnée.
112
Note :
• « Description » : renseigner une description si nécessaire.

• « Certificat AC » : ce champ est affiché lorsque le protocole de chiffrement sélectionné est
« StartTLS » ou « SSL ». Renseigner un chemin afin de charger le fichier contenant le certificat de
l'AC. L'authenticité du certificat est comparée au certificat du serveur LDAP lors de la connexion.
• « Clé et certificat client » : ce champ est affiché lorsque la méthode de simple bind est
sélectionnée et que le protocole de chiffrement choisi est « StartTLS » ou « SSL ». Renseigner un
chemin afin de charger la clé privée et le certificat utilisé pour se connecter et s'authentifier auprès
du serveur LDAP en fournissant un fichier PKCS#12. Une fois le fichier chargé, une phrase de
chiffrement peut être renseignée pour le certificat dans le champ dédié. L'authenticité du certificat
est comparée au certificat de l'AC lors de la connexion.
d'utilisation de cette authentification comme second facteur après une première authentification
Lorsque les champs sont renseignés, il est possible de tester la configuration de l'authentification
LDAP externe en cliquant sur le bouton « Test ». Un test en cours peut être annulé à tout moment.
Cas 2 : Ajouter une authentification externe LDAP utilisant l'Active Directory
Important :
Lors de l'utilisation de cette méthode, l'utilisateur peut être invité à changer son mot
de passe après expiration sur l'écran de connexion de WALLIX Bastion ou lors de la
connexion à la session RDP ou SSH. Pour cela :
• le serveur Active Directory doit être sous Windows Server 2008 R2 au minimum,
• l'option « AD user password change » (accessible depuis le menu « Configuration » >
« Options de configuration » > « Global » > section « main ») doit être cochée et,
• au moins un protocole de chiffrement doit être paramétré pour cette méthode dans le
champ « Chiffrement » (à savoir, « StartTLS » ou « SSL »).
Pour ajouter une authentification externe LDAP utilisant l'Active Directory, il est nécessaire de
renseigner les champs sur la page « Authentifications externes » comme ci-dessous :
de connexion au serveur LDAP. Cette valeur correspond à 3 secondes par défaut.
Attention :
Ce timeout s'applique à toute nouvelle authentification externe LDAP. Les
authentifications externes LDAP héritées d'une version antérieure de WALLIX Bastion
conservent l'ancienne valeur de timeout définie.
• « Active Directory » : cocher la case.

113
• « DN de base » : dépend du nom de domaine. Par exemple pour le domaine « mycorp.lan », le
DN de base devrait être « dc=mycorp,dc=lan ».
• « Attribut connexion » : l'attribut connexion utilisé pour la connexion doit être renseigné. Par
défaut, cet attribut de connexion correspond à « sAMAccountName ». L'attribut « mail » peut
être renseigné dans ce champ pour permettre aux utilisateurs associés à cette authentification
d'utiliser leur e-mail lors de la connexion sur l'interface Web. Les formats de login suivants sont
alors pris en charge :
– jdoe@masociete.com@domaine. Le format est « login@domaine » avec l'e-mail défini comme
– domaine\\jdoe@masociete.com. Le format est « domaine\\login » avec l'e-mail défini comme
– jdoe@masociete.com avec le domaine défini comme domaine LDAP/AD par défaut.
• « Attribut identifiant » : l’attribut identifiant doit être renseigné. Par défaut, cet attribut correspond
à « sAMAccountName ».
simple bind soit une méthode de bind SASL (basée sur GSS-API).
Note :
La méthode de bind SASL basée sur GSS-API doit être sélectionnée quand l'utilisateur
LDAP est inclus dans le groupe « Utilisateurs protégés » (ou « Protected Users »).
Lorsque la méthode de bind anonyme est sélectionnée, les champs « Utilisateur » / « Mot de
passe » ainsi que le champ « Clé et certificat client » ne sont pas affichés.
Lorsque la méthode de simple bind est sélectionnée et qu'aucun protocole de chiffrement n'est
renseigné, les champs « Utilisateur » et « Mot de passe » sont requis.
Lorsque la méthode de simple bind est sélectionnée et que le protocole de chiffrement choisi est
« StartTLS » ou « SSL », les champs « Utilisateur » / « Mot de passe » ainsi que le champ « Clé et
certificat client » sont optionnels. Cependant, il est obligatoire de renseigner au moins l'un d'entre
eux (soit la paire « Utilisateur » / « Mot de passe », soit le champ « Clé et certificat client »).
Lorsque la méthode de bind SASL (basée sur GSS-API) est sélectionnée et que le protocole de
chiffrement choisi est « StartTLS » ou « SSL », les champs « Utilisateur » et « Mot de passe »
sont requis.
• « Utilisateur » et « Mot de passe » : renseigner un nom d’utilisateur et un mot de passe à utiliser
pour rechercher l’identifiant dans l’annuaire. Ces champs ne sont pas affichés lorsque la méthode
de bind anonyme est sélectionnée.
• « Certificat AC » : ce champ est affiché lorsque le protocole de chiffrement sélectionné est
« StartTLS » ou « SSL ». Renseigner un chemin afin de charger le fichier contenant le certificat de
l'AC. L'authenticité du certificat est comparée au certificat du serveur LDAP lors de la connexion.
• « Clé et certificat client » : ce champ est affiché lorsque la méthode de simple bind est
sélectionnée et que le protocole de chiffrement choisi est « StartTLS » ou « SSL ». Renseigner un
chemin afin de charger la clé privée et le certificat utilisé pour se connecter et s'authentifier auprès
du serveur LDAP en fournissant un fichier PKCS#12. Une fois le fichier chargé, une phrase de
chiffrement peut être renseignée pour le certificat dans le champ dédié. L'authenticité du certificat
est comparée au certificat de l'AC lors de la connexion.
114
Lorsque les champs sont renseignés, il est possible de tester la configuration de l'authentification
LDAP externe en cliquant sur le bouton « Test ». Un test en cours peut être annulé à tout moment.
9.7.1.4. Ajouter une authentification externe RADIUS

Pour les authentifications RADIUS, WALLIX Bastion supporte le mécanisme challenge-réponse.
Les champs doivent être renseignés comme ci-dessous :
de connexion au serveur. Cette valeur correspond à 5 secondes par défaut.
Attention :
Ce timeout s'applique à toute nouvelle authentification externe RADIUS. Les
authentifications externes RADIUS héritées d'une version antérieure de WALLIX
Bastion conservent l'ancienne valeur de timeout définie.
• « Secret » : renseigner la clé de chiffrement des paquets.

• « Description » : renseigner une description, si nécessaire.
Note :
Lors de l'utilisation de cette authentification comme second facteur, si un utilisateur
effectue plusieurs connexions et que l'adresse IP du client est la même que celle utilisée
pour l'authentification précédente, alors il/elle ne sera pas invité(e) à s'authentifier de
nouveau.
9.7.1.5. Ajouter une authentification externe PingID

Pour les authentifications PingID, les champs doivent être renseignés comme ci-dessous :
de connexion au serveur. Cette valeur correspond à 30 secondes par défaut.
• « Fichier de propriétés » : renseigner un chemin pour charger le fichier de propriétés PingID
(intitulé pingid.properties) contenant les paramètres spécifiques pour les comptes. Ce
fichier peut être téléchargé depuis l'interface d'administration PingID.
• « Forcer OTP » : cocher la case pour forcer l'authentification par mot de passe à usage unique
(également appelée authentification « OTP »). Dans ce cas, aucun autre mode d'authentification
ne sera proposé.
115
Note :
L'administrateur WALLIX Bastion doit rappeler à l'utilisateur de renseigner uniquement
son identifiant pour accéder à l'interface Web lors d'une authentification via PingID.
9.7.2. Modifier une authentification externe

Sur la page « Authentifications externes », cliquez sur un nom d’authentification puis sur « Modifier
cette authentification » pour afficher la page de modification de l’authentification.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de
l’authentification.
9.7.3. Supprimer une authentification externe

Sur la page « Authentifications externes », sélectionnez une ou plusieurs authentifications à l’aide
de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection.
WALLIX Bastion affiche une fenêtre demandant une confirmation avant la suppression définitive
des lignes sélectionnées.
Avertissement :
Vous ne pouvez pas supprimer une authentification externe lorsqu’au moins un utilisateur
est rattaché à cette authentification.
9.8. Configuration de l'intégration avec un

domaine LDAP ou Active Directory
WALLIX Bastion peut intégrer directement des utilisateurs à partir d'annuaires LDAP ou Active
Directory (AD) afin de vous éviter de les créer localement au sein de l'application.
La gestion des comptes utilisateurs de WALLIX Bastion peut être intégrée avec un ou plusieurs
annuaires LDAP ou AD. Lorsqu’une telle intégration est mise en place, les comptes utilisateurs ne
sont plus présents localement dans la configuration de WALLIX Bastion et les informations relatives
à un compte sont retrouvées dans l’annuaire à chaque fois qu’un utilisateur se connecte à l'un des
services de WALLIX Bastion.
Pour configurer une intégration, il faut d’abord ajouter les authentifications externes
permettant la connexion aux annuaires (voir Section 9.7, « Configuration des authentifications
externes », page 109).
Sur la page « Domaines LDAP/AD » du menu « Configuration », vous pouvez définir,
configurer, modifier, supprimer et importer des domaines. Il est également possible d’importer des
correspondances d’authentification LDAP depuis la page « CSV » du menu « Import/Export ».
Notez que vous avez la possibilité de rechercher, trier et supprimer les données affichées dans le
tableau de la page « Domaines LDAP/AD ». Pour plus d'informations, voir Section 6.5, « Navigation
Note :
Il est possible de configurer les options TLS pour permettre la demande d'un
certificat de l'AC donné lors de l'authentification sur un serveur LDAP en éditant le
116
fichier /etc/ldap/ldap.conf. Pour plus d'informations sur ce fichier, voir http://

www.openldap.org/software/man.cgi?query=ldap.conf.
9.8.1. Ajouter un domaine LDAP/AD

Sur la page « Domaines LDAP/AD » du menu « Configuration », cliquez sur « Ajouter un domaine »
pour afficher la page de création du domaine LDAP/AD.
Un domaine recense les attributs du schéma de l’annuaire à utiliser pour trouver les attributs
nécessaires pour un compte du Bastion.
Ces attributs sont recensés au sein des différentes zones sur la page « Domaines LDAP/AD ».
La zone dans la partie supérieure de la page recense les caractéristiques principales suivantes
pour le domaine :
• un nom pour le domaine WALLIX Bastion,

• l'option du domaine par défaut : cette case peut être cochée pour permettre la suppression
de la nomenclature du domaine (c'est-à-dire @domain) de l'identifiant de l'utilisateur lors de
l'authentification sur WALLIX Bastion. Ainsi, une correspondance peut être établie entre les
utilisateurs locaux définis au sein de WALLIX Access Manager et les utilisateurs du domaine du
Bastion.
• un nom pour le domaine LDAP/AD,
• la sélection du type d'annuaire à utiliser dans la liste de valeurs présente dans le cadre
« Annuaires disponibles » puis, le choix des annuaires parmi ceux proposés pour le type choisi. Si
plusieurs annuaires sont sélectionnés, ils sont utilisés successivement, les uns après les autres,
jusqu'à la réponse d'un serveur. Cela permet de tolérer les pannes d'un des serveurs d'annuaires
tant que les configurations (utilisateurs, groupes, etc.) sont identiques.
• éventuellement, la sélection de l’authentification secondaire à utiliser dans la liste de
valeurs présente dans le cadre « Authentifications secondaires disponibles » pour permettre
une authentification à deux facteurs après l'authentification sur le domaine. Si plusieurs
authentifications (obligatoirement de même type : par exemple, uniquement RADIUS ou PingID,
etc.) sont sélectionnées, elles sont utilisées successivement, les unes après les autres, jusqu'à
la réponse d'un serveur. Cela permet de tolérer les pannes d'un des serveurs d'authentifications
secondaires tant que les configurations sont identiques.
Note :
A l'exception de l'authentification externe LDAP, toutes les authentifications externes
définies depuis la page « Authentifications externes » du menu « Configuration »
peuvent être utilisées dans le cadre de l'authentification à deux facteurs, après une
première authentification LDAP.
La zone « Attributs utilisateur » recense les attributs suivants :
• l'identifiant : l’attribut du schéma est indiqué dans le champ « Attribut identifiant » sur
la page « Authentifications externes » (voir Section 9.7.1, « Ajouter une authentification
externe », page 110). Par défaut, WALLIX Bastion utilise « sAMAccountName » avec AD ou
« uid » avec LDAP.
• l'attribut groupe : il s’agit de l’attribut décrivant l’appartenance d'un utilisateur à un groupe. Par
défaut, il s’agit de « memberOf » avec un serveur AD et « (&(ObjectClass=posixGroup)
117
(memberUid=${uid})) » pour un serveur LDAP. Il s’agit d’une requête LDAP permettant de

trouver les groupes contenant l’utilisateur défini par son « uid ». En effet, par défaut, certains
serveurs ne maintiennent pas pour chaque compte la liste des groupes auxquels il appartient.
Il faut donc utiliser une requête supplémentaire pour les récupérer. La syntaxe « ${uid} » est
propre au Bastion ; l'attribut « uid » peut être remplacé par n’importe quel attribut de l’utilisateur.
Lorsque le serveur LDAP supporte le champ « memberOf », son utilisation est recommandée.
C’est le cas notamment des serveurs OpenLDAP configurés avec l’overlay « memberOf ».
Il est possible avec un serveur AD de prendre en compte des groupes récursifs. Pour cela, il faut
remplacer la valeur par défaut par la requête suivante :
(&(ObjectClass=group)(member:1.2.840.113556.1.4.1941:=${distinguishedName}))
Cette requête peut être plus lente que la requête par défaut.
• l'attribut nom usuel : généralement, il s'agit de l’attribut « displayName » pour AD et de « cn »
pour LDAP.
• l'attribut e-mail : attribut de l’adresse mail de l’utilisateur (AD et LDAP).
• le domaine par défaut du mail : le composant du domaine utilisé pour construire l'adresse e-
mail de l'utilisateur si celle-ci n'a pas été trouvée dans l'annuaire. Cette adresse est construite en
préfixant le domaine avec l’identifiant de l'utilisateur.
• l'attribut langue : généralement, il s'agit de l'attribut « preferredLanguage » (AD et LDAP).
• la langue par défaut : langue par défaut des membres du domaine si la langue n’est pas définie
dans l’annuaire.
La zone « Options X509 » recense les propriétés suivantes :
• une option pour sélectionner l'authentification X509 : si cette option est cochée, alors les
utilisateurs peuvent uniquement s'authentifier sur le domaine LDAP/AD en utilisant la méthode
d'authentification par certificat X509. Lorsque cette option est cochée, les champs sur cette zone
sont alors accessibles.
• la condition pour établir la correspondance entre le domaine LDAP/AD et le certificat X509. Si
aucune condition n'est renseignée dans le champ « Condition de correspondance », alors le
domaine LDAP/AD peut être utilisé pour l'authentification X509 quel que soit le certificat.
Cette condition est formulée selon les variables suivantes récupérées à partir du certificat :
Variables de WALLIX Bastion Description

${issuer} DN de l'émetteur du certificat du client
${issuer_c} Nom du pays dans le DN de l'émetteur
${issuer_l} Nom de la localité dans le DN de l'émetteur
${issuer_o} Nom de l'organisation dans le DN de l'émetteur
${issuer_ou} Nom de l'unité organisationnelle dans le DN de l'émetteur
${issuer_cn} Nom usuel dans le DN de l'émetteur
${issuer_st} Nom de l'état ou de la province dans le DN de l'émetteur
${issuer_email} Adresse e-mail dans le DN de l'émetteur
${subject} DN sujet du certificat client
${subject_c} Nom du pays dans le DN sujet
${subject_l} Nom de la localité dans le DN sujet
${subject_o} Nom de l'organisation dans le DN sujet
118
Variables de WALLIX Bastion Description

${subject_ou} Nom de l'unité organisationnelle dans le DN sujet
${subject_cn} Nom usuel dans le DN sujet
${subject_st} Nom de l'état ou de la province dans le DN sujet
${subject_email} Adresse e-mail dans le DN sujet
${subject_uid} UID dans le DN sujet
${mail} Entrées d'extension subjectAltName du certificat de
serveur de type rfc822Name
${msupn} Entrées d'extension subjectAltName de type otherName
du certificat client, sous la forme Microsoft User Principal
Name
${dns} Entrées d'extension subjectAltName du certificat de
serveur de type dNSName
${username} Nom usuel extrait du DN sujet ou partie locale du DN sujet
si celui-ci est un e-mail (ex. : « local-part@domain »)
Par exemple, la condition de correspondance ci-dessous associera le domaine avec un certificat

émis par une organisation dont le nom (« issuer_o ») contient « Company Ltd. » OU un certificat
dont le nom usuel (« issuer_cn ») contient « Security Cert » et, dont l’unité organisationnelle
de l'utilisateur (« subject_ou ») correspond à « Finance&Accounting » :
${issuer_o}~Company Ltd. || ${issuer_cn}~Security Cert &&

${subject_ou}=Finance&Accounting
L'opérateur « && » (c'est-à-dire « ET ») est prioritaire sur l'opérateur « || » (c'est-à-dire « OU »).
Les valeurs sont sensibles à la casse, contrairement aux variables.
Important :
Cette formulation respecte la syntaxe utilisée dans les filtres de recherche avancée de
l'API REST. Pour plus d'informations sur cette syntaxe, consulter la page de l'aide en
ligne à l’adresse suivante :
https://adresse_ip_bastion/api/doc/Usage.html#search
• le filtre de recherche LDAP/AD pour récupérer les utilisateurs du domaine. Cette donnée utilise
la syntaxe de filtre LDAP mais toutes les variables mentionnées pour le champ « Condition de
correspondance » peuvent également être utilisées.
Note :
Toutes les variables mentionnées dans le champ « Filtre de recherche » doivent exister
dans le certificat pour fournir un filtre LDAP/AD valide et retrouver les utilisateurs
correspondants.
Par exemple, la syntaxe de filtre ci-dessous retrouvera les utilisateurs LDAP/AD dont le « cn »
correspond au « subject_cn » du certificat ou dont l'« uid » correspond au « subject_uid » du
certificat et, dont l'attribut « preferredLanguage » correspond à « fr » :
(&(|(cn=${subject_cn})(uid=${subject_uid}))(preferredLanguage=fr))
119
Par exemple, la syntaxe de filtre ci-dessous retrouvera les utilisateurs AD dont la partie locale du
« userPrincipalName » correspond au « subject_cn » du certificat et dont le domaine contient
soit « company.com » soit « biz.company.com » :
(|(userPrincipalName=${subject_cn}@company.com)(userPrincipalName=
${subject_cn}@biz.company.com))
• dans le cadre de l'utilisation de l'authentification X509 avec un serveur AD, la mention du nom de
domaine pour la correspondance avec l'e-mail SAN. Le domaine est utilisé dans la vérification
du champ e-mail de l'extension X509 Subject Alternative Name (SAN).
Il faut ensuite ajouter des correspondances d’authentification LDAP/AD en associant les groupes de
l’annuaire LDAP/AD avec les groupes utilisateurs de WALLIX Bastion sur la zone « Correspondance
d'authentification LDAP », dans le bas de la page.
Une correspondance permet de lier le groupe utilisateurs de WALLIX Bastion renseigné dans le
champ « Groupe utilisateurs » à un groupe de l’annuaire en précisant la valeur correspondante
de l’attribut groupe défini au-dessus (par exemple, son DN complet pour « memberOf ») dans le
champ « Groupe LDAP ». Si le groupe WALLIX Bastion n’était pas déjà lié par une correspondance,
il faut également sélectionner le profil WALLIX Bastion pour les membres du groupe dans le champ
« Profil ».
Dans le cas où aucune correspondance n’est trouvée quand un utilisateur se connecte, il est
possible de demander à le placer dans un groupe par défaut, en cochant la case de l’option
« Groupe par défaut pour les utilisateurs sans groupe dans ce domaine », disponible sur la gauche
de la ligne. Ainsi, n’importe quel utilisateur défini dans l’annuaire peut accéder à WALLIX Bastion.
Les correspondances sont également modifiables depuis la page de modification du groupe

utilisateurs (voir Section 9.2, « Groupes utilisateurs », page 86).
Note :
Sur la zone « Correspondance d'authentification LDAP », l'administrateur ne visualisera
pas les correspondances dont les profils disposent d'au moins un droit que le profil
de cet administrateur ne peut pas accorder en tant que droit transmissible. Pour plus
120
Figure 9.20. Page « Domaines LDAP/AD » en mode création
9.8.2. Modifier un domaine LDAP/AD

Sur la page « Domaines LDAP/AD », cliquez sur un nom de domaine pour afficher la page de
modification du domaine.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du domaine,
excepté le champ « Nom de domaine WALLIX Bastion » qui n’est pas affiché.
9.8.3. Supprimer un domaine LDAP/AD
121
Sur la page « Domaines LDAP/AD », sélectionnez un ou plusieurs domaines à l’aide de la case à

cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WALLIX
Bastion affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes
sélectionnées.
Avertissement :
Vous ne pouvez pas supprimer un domaine lorsqu'au moins un groupe utilisateurs est lié
à ce domaine par une correspondance.
9.8.4. Importer des domaines LDAP/AD

Sur la page « Domaines LDAP/AD », cliquez sur l'icône « Importer depuis un fichier CSV » en
haut à droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV »
du menu « Import/Export » : la case « Domaines LDAP/AD » est déjà cochée pour l'import des
données. Les séparateurs de champs et de listes sont également configurables.
#wab730 domain
Important :

O(ptionnel)
Nom pour le domaine

WALLIX Bastion
Domaine par Booléen R Vrai ou Faux Faux
défaut
Nom domaine Texte R [aA-zZ], [0-9], '-', '_' N/A
LDAP
Nom du domaine LDAP
défini
Authentification Booléen R Vrai ou Faux Faux
X509
Nom domaine Texte O [aA-zZ], [0-9], '-', '_' N/A
pour e-mail SAN
Nom du domaine pour Vide si Vérifier e-mail
e-mail SAN défini SAN X509v3 = Faux
Authentifications Texte R [aA-zZ], [0-9], '-', '_' N/A
utilisateurs
Authentifications
externes définies
122

O(ptionnel)
Au moins une
authentification externe
doit être définie.
Authentifications Texte O [aA-zZ], [0-9], '-', '_' N/A
secondaires
utilisateurs Authentifications
secondaires externes
définies
Attribut groupe Texte O [aA-zZ], [0-9], '-', '_' LDAP-AD : « memberOf »
Attribut groupe défini LDAP :

« (&(ObjectClass=posixGroup)
(memberUid=${uid})) »
Attribut nom Texte O [aA-zZ], [0-9], '-', '_' LDAP-AD :
usuel « displayName » LDAP :
Attribut nom usuel « cn »
défini
Attribut e-mail Texte O [aA-zZ], [0-9], '-', '_' « mail »
Attribut e-mail défini

Attribut langue Texte O [aA-zZ], [0-9], '-', '_' « preferredLanguage »
Attribut langue défini

Langue par Texte R Langue par défaut des « de » pour Allemand
défaut membres du domaine
si la langue n’est pas « en » pour Anglais
définie dans l’annuaire. « es » pour Espagnol
« fr » pour Français
« ru » pour Russe

Domaine par Texte R Domaine par défaut du « wallix.com »
défaut du mail mail défini. Les espaces
et les caractères
spéciaux ne sont pas
autorisés.
Condition X509 Texte O Condition pour établir la N/A
correspondance entre
le domaine LDAP/
AD et le certificat
X509. Cette condition
est formulée selon les
variables récupérées à
partir du certificat. Pour
plus d'informations,
voir le tableau
listant ces variables
dans la procédure
Section 9.8.1, « Ajouter
123

O(ptionnel)
un domaine LDAP/
AD », page 117.
Filtre de Texte O Filtre de recherche N/A
recherche X509 LDAP/AD pour
récupérer les
utilisateurs du domaine.
Exprimé selon la
syntaxe de filtre
DAP mais toutes les
variables mentionnées
pour le champ
« Condition X509 »
peuvent également
être utilisées. Pour
plus d'informations,
voir le tableau
listant ces variables
dans la procédure
Section 9.8.1, « Ajouter
un domaine LDAP/
AD », page 117
est indiquée.
9.8.5. Importer des correspondances LDAP/AD sur les

groupes utilisateurs
Sur la page « CSV » du menu « Import/Export », cochez la case « Correspondances LDAP/AD
sur les groupes utilisateurs » pour importer les données. Les séparateurs de champs et de listes
sont également configurables.
#wab730 usersgroupmappings
Important :

124

Nom canonique du groupe
utilisateurs WALLIX Bastion de
la correspondance
Ce groupe utilisateurs doit

exister avec un profil défini.
Nom de Texte O [aA-zZ], [0-9], '-', '_' N/A
domaine
Nom canonique du domaine
LDAP de la correspondance
Ce domaine LDAP doit exister.
Si aucun nom de domaine

et aucun groupe LDAP
ne sont renseignés, alors
toutes les correspondances
existantes sont supprimées lors
de l'import.
Groupes LDAP Texte O Règle permettant de définir les N/A
utilisateurs du groupe LDAP
mis en correspondance avec
le groupe utilisateurs WALLIX
Bastion.
Elle précise la valeur

correspondante de l’attribut
groupe défini (par exemple,
son DN complet pour
« memberOf »).
Par exemple :
'CN=Account Mapping users,
CN=Users,DC=2008,
DC=system,DC=enterprise'
IMPORTANT : Si cette chaîne

contient des espaces et/ou
des virgules, alors elle doit
être libellée entre guillemets
simples (comme illustré dans
l'exemple ci-dessus).
Si aucun groupe LDAP n'est

renseigné, alors toutes les
correspondances existantes
pour le couple groupe/domaine
sont supprimées lors de
l'import.
125

Si un groupe LDAP est
renseigné mais sans domaine
LDAP, alors l'import n'est pas
effectué.
est indiquée.
126
Chapitre 10. Cibles
Le menu « Cibles » vous permet de créer et gérer des équipements, applications, domaines,
comptes et groupes accessibles depuis WALLIX Bastion.
Ce chapitre présente les fonctionnalités de ce menu, à savoir les onglets suivants :
• « Équipements » (voir Section 10.1, « Équipements », page 127),

• « Applications » (voir Section 10.2, « Applications », page 138),
• « Domaines » (voir Section 10.3, « Domaines », page 149),
• « Comptes » (voir Section 10.4, « Comptes cibles », page 160),
• « Clusters » (voir Section 10.6, « Clusters », page 187),
• « Groupes » (voir Section 10.5, « Groupes de cibles », page 173),
• « Plugins de coffres-forts » (voir Section 10.7, « Plugins de coffres-forts externes à mots de
passe », page 191),
• « Politiques d'emprunt » (voir Section 10.8, « Politiques d'emprunt », page 196).
Important :
Il peut être nécessaire de lancer le script bastion-update-lastconnection après
la mise à jour de WALLIX Bastion pour récupérer les informations relatives aux dates de
dernières connexions sur les écrans de ce menu. Ce processus peut prendre quelques
minutes.
10.1. Équipements
Un équipement est caractérisé par un dispositif physique ou virtuel pour lequel WALLIX Bastion
gère l'accès aux sessions ou mots de passe.
Sur l'onglet « Équipements » situé dans le menu « Cibles », vous pouvez :
• lister les équipements,

• ajouter, modifier et supprimer un équipement.
Il est possible d'importer des équipements à partir d'un fichier .csv afin d'alimenter la base
ressources de WALLIX Bastion. Pour plus d'informations, voir Section 10.1.4, « Importer des
équipements », page 134.
Il est possible également de rechercher, trier, supprimer et personnaliser les données affichées
dans le tableau de la page « Équipements ». Pour plus d'informations, voir Section 6.5, « Navigation
10.1.1. Ajouter un équipement
Sur l'onglet « Équipements » situé dans le menu « Cibles », cliquez sur le bouton « + Équipement »
pour afficher la page de création de l'équipement.
Cette page recense les sous-onglets suivants : « Général », « Services », « Domaines locaux »,
« Comptes locaux », « Comptes globaux », « Groupes » et « Certificats ».
10.1.1.1. Définir les informations générales

Le sous-onglet « Général » recense les champs suivants :
127
• le nom de l'équipement : il s'agit du nom qui sera utilisé par les utilisateurs pour accéder à cet
équipement. Ce nom peut être sans relation avec le nom DNS de la machine. Un nom existant
ne peut être attribué à un autre équipement.
• un alias : il permet de donner un deuxième nom à un équipement. Le nom de l'équipement est
prioritaire sur l'alias. Un alias existant ne peut pas être attribué à un autre équipement.
• l'adresse IP ou le FQDN de l'équipement : il s'agit d'une adresse réseau,
Il est possible de définir un ensemble de cibles appartenant à un sous-réseau (ou « subnet »).

Il convient pour cela de renseigner un subnet à la place de l'adresse IP lors de la création de
l'équipement en utilisant une notation CIDR (<adresse réseau>/<nombre de bits du masque>),
par exemple : 192.168.0.15/24).
• une description.
Note :
Après avoir renseigné les informations générales dans le sous-onglet « Général » et
cliqué sur « Valider », vous avez accès aux autres sous-onglets de la page de création
de l'équipement.
Figure 10.1. Page « Équipements » en mode création
10.1.1.2. Gérer les services

Le sous-onglet « Services » permet de lister, ajouter, modifier et supprimer les services permettant
d'accéder à l'équipement.
Pour ajouter un service, cliquez sur le bouton « + Service » afin de choisir le protocole souhaité dans
la liste déroulante. Une fenêtre s'ouvre et vous invite à sélectionner et saisir les champs suivants :
• le nom du service : il s’agit du nom qui sera utilisé par les utilisateurs pour accéder à ce service.
Ce nom peut être sans relation avec le nom du protocole et le numéro de port.
• le port par défaut,
• une politique de connexion définissant le mécanisme d'authentification pour le service sur cet
équipement. Pour plus d'informations, voir Section 12.4, « Politiques de connexion », page 231.
128
Vous pouvez déclarer un scénario de connexion pour les politiques de connexion définies sur
les protocoles TELNET ou RLOGIN. Pour plus d'informations, voir Section 12.13, « Scénario de
connexion TELNET/RLOGIN sur un équipement cible », page 240.
Vous pouvez déclarer un scénario de démarrage pour les politiques de connexion définies sur
le protocole SSH. Pour plus d'informations, voir Section 12.15, « Scénario de démarrage SSH
sur un équipement cible », page 242.
• un domaine global : lors de l'ajout d'un protocole RDP, il est nécessaire de sélectionner un
domaine global afin de pouvoir créer des cibles pour des applications et des clusters,
• une liste d'options propres au proxy pour les connexions RDP et SSH. Pour plus d'informations,
voir Section 10.1.5, « Options spécifiques du protocole SSH », page 136 et Section 10.1.6,
« Options spécifiques du protocole RDP », page 137.
Note :
Si vous souhaitez ajouter d'autres services, vous pouvez répéter cette action autant de
fois que nécessaire.
Après avoir défini le service, vous avez la possibilité de l'ajouter à un groupe afin de configurer un
groupe de cibles pour la gestion des sessions par mappage de compte et/ou connexion interactive.
Les associations de ressources peuvent également être gérées à partir de l'onglet « Groupes »
(pour plus d'informations, voir Section 10.5.1, « Ajouter un groupe de cibles », page 173).
Pour ajouter un service à un groupe, sélectionnez la case à cocher située au début de la ligne du
service concerné puis cliquez sur le bouton « Ajouter au groupe ». Une fenêtre s'ouvre et vous
invite à renseigner et à sélectionner les champs suivants :
• le nom du groupe : vous pouvez sélectionner un groupe existant ou en créer un,

• le type de cible : mappage de compte ou connexion interactive,
• les services.
Note :
Après avoir cliqué sur le bouton « Ajouter et continuer », les données renseignées sont
enregistrées et vous pouvez associer le service à un autre groupe et/ou type de cible.
Autrement, cliquez sur le bouton « Ajouter et fermer » pour sauvegarder les données et
fermer la fenêtre.
10.1.1.3. Gérer les domaines locaux

Le sous-onglet « Domaines locaux » permet de lister et supprimer des domaines locaux associés
à l'équipement.
Ces domaines locaux sont uniquement associés à l'équipement depuis :
• le sous-onglet « Comptes locaux » situé dans l'onglet « Équipements » ou,

• la page de création du compte d'équipement de l'onglet « Comptes », accessible depuis le
menu « Cibles » (pour plus d'informations, voir Section 10.4.2, « Ajouter un compte cible à un
équipement », page 164).
10.1.1.4. Gérer les comptes locaux
129
Le sous-onglet « Comptes locaux » permet de lister, ajouter, modifier et supprimer des comptes
locaux liés à l'équipement.
Pour ajouter un compte local, cliquez sur le bouton « + Compte local ». Une fenêtre s'ouvre et vous
invite à sélectionner et à renseigner les champs suivants :
• sur l'onglet « Général » :
– le nom du domaine local à associer avec l'équipement : vous pouvez sélectionner un domaine
local existant ou en créer un,
– le nom du compte : il s’agit du nom qui sera utilisé par les utilisateurs pour accéder au compte
local,
– l'identifiant du compte,
– un champ pour associer des ressources : une association de ressources est nécessaire pour
créer des cibles pour des applications et des clusters,
– une description,
– la politique d'emprunt,
– un bouton pour activer ou désactiver le changement automatique du mot de passe pour ce
compte,
– un bouton pour activer ou désactiver le changement automatique de la clé SSH pour ce compte.
• sur l'onglet « Mot de passe » :
– un mot de passe et sa confirmation,
– un bouton pour activer et désactiver le changement manuel du mot de passe et sa propagation
sur la cible.
Note :
Vous avez la possibilité de supprimer un mot de passe déjà défini pour ce compte en
cliquant sur le bouton « Supprimer mot de passe ».
• sur l'onglet « Clé privée SSH » :

– une clé privée SSH qui peut être générée ou chargée au format OpenSSH ou PuTTY (il est
possible d'indiquer la phrase de chiffrement associée si elle a été définie),
– un bouton pour télécharger la clé publique SSH correspondante au format OpenSSH ou
ssh.com,
– un bouton pour activer ou désactiver le changement manuel de la clé privée SSH et sa
propagation sur la cible.
Note :
Vous avez la possibilité de supprimer la clé privée SSH déjà définie pour ce compte
en cliquant sur le bouton « Supprimer la clé privée SSH existante ».
Après avoir ajouté le compte local sur l'équipement, vous avez la possibilité d'ajouter ce compte
à un groupe afin de configurer :
• un groupe de cibles pour la gestion des sessions à partir d'un compte (pour plus d'informations,
voir Section 10.5.1.2, « Configurer un groupe de cibles pour la gestion des sessions à partir d'un
compte du coffre-fort », page 174),
130
• un groupe de cibles pour la gestion des sessions pour un compte de scénario (pour plus
d'informations, voir Section 10.5.1.3, « Configurer un groupe de cibles pour le compte de scénario
lors d'une session SSH », page 175),
• un groupe de cibles pour la gestion des mots de passe à partir d'un compte (pour plus
d'informations, voir Section 10.5.1.6, « Configurer un groupe de cibles pour la gestion des mots
de passe à partir d'un compte du coffre-fort », page 177).
Note :
Les associations de ressources peuvent également être gérées à partir de
l'onglet « Groupes » (pour plus d'informations, voir Section 10.5, « Groupes de
cibles », page 173).
Pour ajouter un compte local à un groupe, sélectionnez la case à cocher située au début de la ligne
du compte local concerné puis cliquez sur le bouton « Ajouter au groupe ». Une fenêtre s'ouvre et
vous invite à renseigner et à sélectionner les champs suivants :

• le type de cible : compte pour la gestion des sessions, compte de scénario pour la gestion des
sessions ou compte pour la gestion des mots de passe,
• le service (s'il est nécessaire pour le type de cible sélectionné),
• les comptes locaux.
Note :
enregistrées et vous pouvez associer le compte local à un autre groupe et/ou type de cible
et/ou service. Autrement, cliquez sur le bouton « Ajouter et fermer » pour sauvegarder
les données et fermer la fenêtre.
10.1.1.5. Gérer les comptes globaux

Le sous-onglet « Comptes globaux » permet de lister, ajouter, modifier et supprimer des comptes
globaux appartenant à un domaine global existant déjà au sein de WALLIX Bastion.
Pour ajouter un compte global, cliquez sur le bouton « + Compte global ». Une fenêtre s'ouvre et
vous invite à sélectionner et à renseigner les champs :
• sur l'onglet « Général » :

– le nom du domaine global,
– le nom du compte : il s’agit du nom qui sera utilisé par les utilisateurs pour accéder au compte
global,
– l'identifiant du compte,
– un champ pour associer des ressources : une association de ressources est nécessaire pour
créer des cibles pour des applications et des clusters,
– une description,
– la politique d'emprunt,
– un bouton pour activer ou désactiver le changement automatique du mot de passe pour ce
compte,
131
– un bouton pour activer ou désactiver le changement automatique de la clé SSH pour ce compte,
– la période de validité du certificat si le compte est défini sur un domaine associé à une Autorité
de Certification. Si aucune valeur n'est renseignée dans ce champ, alors le certificat est valide
pour une durée illimitée.
• sut l'onglet « Mot de passe » :
– un mot de passe et sa confirmation,
– un bouton pour activer ou désactiver le changement manuel du mot de passe et sa propagation
sur la cible.
Note :
Vous avez la possibilité de supprimer un mot de passe déjà défini pour ce compte en
cliquant sur le bouton « Supprimer mot de passe ».
• sur l'onglet « Clé privée SSH » :

– une clé privée SSH qui peut être générée ou chargée au format OpenSSH ou PuTTY (il est
possible d'indiquer la phrase de chiffrement associée si elle a été définie),
– un bouton pour télécharger la clé publique SSH correspondante au format OpenSSH ou
ssh.com,
– un bouton pour activer ou désactiver le changement manuel de la clé privée SSH et sa
propagation sur la cible.
Note :
Vous avez la possibilité de supprimer la clé privée SSH déjà définie pour ce compte
en cliquant sur le bouton « Supprimer la clé privée SSH existante ».
Après avoir ajouté le compte global, vous avez la possibilité de l'ajouter à un groupe afin de
configurer un groupe de cibles pour la gestion des sessions à partir d'un compte (pour plus
d'informations, voir Section 10.5.1.2, « Configurer un groupe de cibles pour la gestion des sessions
à partir d'un compte du coffre-fort », page 174).
Note :
Les associations de ressources peuvent également être gérées à partir de
Pour ajouter un compte global à un groupe, sélectionnez la case à cocher située au début de la
ligne du compte global concerné puis cliquez sur le bouton « Ajouter au groupe ». Une fenêtre
s'ouvre et vous invite à renseigner et à sélectionner les champs suivants :

• le type de cible : compte pour la gestion des sessions,
• le service,
• les comptes globaux.
132
Note :
enregistrées et vous pouvez associer le compte global à un autre groupe et/ou service.
Autrement, cliquez sur le bouton « Ajouter et fermer » pour sauvegarder les données et
fermer la fenêtre.
10.1.1.6. Gérer les groupes de cibles associés à l'équipement

Le sous-onglet « Groupes » permet de lister, modifier et supprimer des associations de ressources
déjà existantes sur cet équipement.
Note :
Pour pouvoir gérer des associations, des comptes cibles et des services doivent exister
sur l'équipement.
Lorsque vous cliquez sur un nom de groupe, vous êtes redirigé(e) sur la page de modification
des données de ce groupe. Vous avez alors la possibilité de configurer, modifier ou supprimer
les données constituant ce groupe. Pour plus d'informations, voir Section 10.5, « Groupes de
cibles », page 173.
10.1.1.7. Afficher et supprimer les certificats ou les clés sur l'équipement

Sur l'onglet « Équipements », cliquez sur un nom d'équipement afin d'afficher les données
correspondantes puis cliquez sur le sous-onglet « Certificats » pour visualiser la liste des certificats
ou des clés sur cet équipement.
Pour supprimer un certificat ou une clé, sélectionnez la case à cocher située au début de la ligne
du certificat ou de la clé concerné(e) puis cliquez sur le bouton « Supprimer ».
Attention :
Un utilisateur est autorisé à visualiser les certificats sur l'équipement lorsque le droit
« Afficher » pour la fonctionnalité « Cibles & comptes » est paramétré au niveau de son
profil (voir Section 9.3, « Profils utilisateurs », page 90).
Un utilisateur est autorisé à supprimer les certificats sur l'équipement lorsque le droit
« Modifier » pour la fonctionnalité « Cibles & comptes » est paramétré au niveau de son
10.1.2. Modifier un équipement
Sur l'onglet « Équipements » situé dans le menu « Cibles », cliquez sur un nom d’équipement. La
page de modification s'affiche et vous permet de modifier les données déjà renseignées.
Pour plus d'informations sur l'ajout de données dans les sous-onglets, voir Section 10.1.1, « Ajouter
un équipement », page 127.
10.1.3. Supprimer un équipement
Sur l'onglet « Équipements » situé dans le menu « Cibles », sélectionnez un ou plusieurs
équipements à l’aide de la case à cocher située en début de ligne puis cliquez sur le bouton
« Supprimer ». WALLIX Bastion affiche une fenêtre demandant une confirmation avant la
suppression définitive des lignes sélectionnées.
133
Avertissement :
Vous ne pouvez pas supprimer un équipement sur lequel des comptes cibles sont
déclarés.
10.1.4. Importer des équipements

Cliquez sur « Import/Export » situé dans l'en-tête en haut à droite de la page pour importer
les données. Lorsque la page est ouverte, cliquez sur l'onglet « CSV » et sélectionnez
« Équipements »à l'aide de la case à cocher. Les séparateurs de champs et de listes sont également
configurables.
#wab730 resource
Important :

Nom de Texte R [aA-zZ], [0-9], '-', '_' N/A
l'équipement
Alias Texte O Texte libre N/A
Adresse réseau IP/ R [aA-zZ], [0-9], '-', '/', '.' N/A
FQDN/
Subnet par exemple, pour un subnet :
1.1.1.0/24
Domaine local Texte O Domaines locaux créés via une N/A
association avec un équipement ou un
compte cible
Il peut n'y avoir aucun domaine local

ou un ou plusieurs domaines locaux
(créés sur cet équipement).
Service/ Texte O Pour mentionner un domaine global N/A
Protocole/Port/ pour un sous-protocole :
Politique de
connexion/ nom/PROTOCOLE/port/poli-
Sous-protocole tique_connexion/
mon_domaine_global/sous-
protocole1|sous-protocole2
Important : s'il n'y a pas de domaine

global, la syntaxe suivante doit être
respectée :
134

nom/PROTOCOLE/port/
politique_connexion//sous-protocole1|
sous-protocole2
nom : Texte libre

(1)
PROTOCOLE : Nom de protocole :
voir ci-dessous
port : Numéro de port (optionnel)

politique_connexion : Nom de la
politique de connexion
(2)
sous-protocole : Nom de sous-
protocole (optionnel) : voir ci-dessous
(1)
PROTOCOLE : une des valeurs suivantes : SSH, TELNET, RLOGIN, RDP, VNC, RAWTCPIP.
(2)
sous-protocole pour SSH : une des valeurs suivantes : SSH_SHELL_SESSION,
SSH_REMOTE_COMMAND, SSH_SCP_UP, SSH_SCP_DOWN, SSH_X11, SFTP_SESSION,
SSH_DIRECT_TCPIP, SSH_REVERSE_TCPIP, SSH_AUTH_AGENT. Pour plus d'informations,
voir Section 10.1.5, « Options spécifiques du protocole SSH », page 136.
sous-protocole pour RDP : une des valeurs suivantes : RDP_CLIPBOARD_UP,

RDP_CLIPBOARD_DOWN, RDP_CLIPBOARD_FILE, RDP_PRINTER, RDP_COM_PORT,
RDP_DRIVE, RDP_SMARTCARD, RDP_AUDIO_OUTPUT. Pour plus d'informations, voir
Section 10.1.6, « Options spécifiques du protocole RDP », page 137.
Si sous-protocole n'est pas mentionné, alors tous les sous-protocoles sont ajoutés. La valeur des
autres protocoles est identique à PROTOCOL et peut être omise.
Pour mentionner plusieurs sous-protocoles au sein d'un même protocole, il n'est pas nécessaire
de reprendre toute la structure : les sous-protocoles peuvent être séparés par une barre verticale
(ou « pipe ») : « | » comme illustré dans l'exemple ci-dessous :
rdp/RDP/3389/RDP//RDP_CLIPBOARD_UP|RDP_CLIPBOARD_DOWN|RDP_PRINTER|RDP_COM_PORT|
RDP_DRIVE|RDP_SMARTCARD
est indiquée.
135
Figure 10.2. Page « CSV » - case « Équipements » cochée
10.1.5. Options spécifiques du protocole SSH

Le protocole SSH est divisé en sous-protocoles déterminant principalement les types de canaux
que la session est autorisée à ouvrir. Ceux-ci sont les suivants :
• SSH_SHELL_SESSION : autorise le démarrage des sessions shell,

• SSH_REMOTE_COMMAND : autorise l'exécution de commandes à distance,
• SSH_SCP_UP : autorise le transfert de fichiers vers l'équipement cible (transfert SCP depuis le
client vers le serveur),
• SSH_SCP_DOWN : autorise le transfert de fichiers depuis l'équipement cible (transfert SCP
depuis le serveur vers le client),
• SSH_X11 : autorise l'affichage d'applications X11 s'exécutant sur un équipement cible,
• SFTP_SESSION : autorise le transfert bi-directionnel de fichiers via SFTP (session SFTP),
• SSH_DIRECT_TCPIP : autorise la redirection directe de port TCP/IP (depuis le client vers le
serveur),
• SSH_REVERSE_TCPIP : autorise la redirection inverse de port TCP/IP (depuis le serveur vers
le client),
• SSH_AUTH_AGENT : autorise le transfert d'authentification par agent (auth-agent multi-hops),
Chacun de ces sous-systèmes fait l'objet d'une autorisation spécifique sur WALLIX Bastion.
L'ouverture d'un shell distant ou le transfert d'un fichier peut vous être refusé si vous ne possédez
pas l'autorisation sur le sous-système concerné.
136
Note :
Certains clients requièrent également l'autorisation SSH_SHELL_SESSION pour
effectuer le listing des répertoires quand ils sont utilisés en mode SCP.
Certaines autorisations doivent être associées à d'autres pour fonctionner correctement :
- l'autorisation SSH_X11 doit être associée à SSH_SHELL_SESSION ou
SSH_REMOTE_COMMAND (au moins à l'une des deux),
- l'autorisation SSH_AUTH_AGENT doit être associée à SSH_SHELL_SESSION ou
SSH_REMOTE_COMMAND (au moins à l'une des deux),
- l'autorisation SSH_REVERSE_TCPIP doit être associée à SSH_SHELL_SESSION.
Les options SSH_SHELL_SESSION, SSH_REMOTE_COMMAND, SSH_SCP_UP/
DOWN et SFTP_SESSION permettent d'ouvrir des canaux de type session. Par défaut,
un seul canal de ce type peut être ouvert au cours d'une connexion (ou session) SSH.
Pour permettre l'ouverture de plusieurs canaux de type session, l'option « Allow multi
channels » doit être activée au niveau de la politique de connexion SSH (accessible
depuis le menu « Gestion des sessions » > « Politiques de connexion ». Pour plus
d'informations, voir Section 12.4, « Politiques de connexion », page 231.).
10.1.6. Options spécifiques du protocole RDP

Le protocole RDP est divisé en sous-protocoles déterminant principalement les actions autorisées
pour la session. Ceux-ci sont les suivants :
• RDP_CLIPBOARD_UP : autorise le transfert de données via le presse-papier depuis le client

vers la session RDP,
• RDP_CLIPBOARD_DOWN : autorise le transfert de données via le presse-papier depuis la
session vers le client RDP,
• RDP_CLIPBOARD_FILE : autorise le transfert de fichier avec la fonction copier/coller via le
presse-papier,
• RDP_PRINTER : autorise l'utilisation d'imprimantes locales lors de la session à distance,
• RDP_COM_PORT : autorise l'utilisation de ports locaux série et parallèle lors de la session à
distance,
• carte à puce
• RDP_DRIVE : autorise l'utilisation de disques locaux lors de la session à distance,
• RDP_SMARTCARD : autorise l'utilisation des cartes à puce locales lors de la session à distance,
• RDP_AUDIO_OUTPUT : autorise la lecture audio lors de la session à distance.
Chacun de ces sous-systèmes fait l'objet d'une autorisation spécifique sur WALLIX Bastion.
Le transfert de données via le presse-papier ou l'utilisation de votre disque local lors de la session à
distance peut vous être refusé si vous ne possédez pas l'autorisation sur le sous-système concerné.
Note :
Certaines autorisations doivent être associées à d'autres pour fonctionner correctement :
- l'autorisation RDP_CLIPBOARD_FILE doit être associée à RDP_CLIPBOARD_UP pour
transférer un fichier via le presse-papier depuis le client vers la session RDP,
137
- l'autorisation RDP_CLIPBOARD_FILE doit être associée à RDP_CLIPBOARD_DOWN

pour transférer un fichier via le presse-papier depuis la session vers le client RDP.
10.2. Applications
WALLIX Bastion vous permet de gérer des sessions d’application en utilisant un serveur de rebond
sur lequel est installée l’application. L’utilisateur se connecte à WALLIX Bastion et choisit une
application dans le sélecteur (voir la figure 10.3, « Flux d'une session applicative », page 138).
WALLIX Bastion initie alors une session RDP et lance automatiquement l’application en lui
fournissant les informations de compte nécessaires (identifiant, mot de passe). La session
d'application est alors enregistrée comme une session RDP.
Important :
Il n'est pas possible de lancer une application associée à une cible fonctionnant sous un
système d'exploitation Windows 10 car le service Bureau à distance ne supporte pas la
fonction « alternate shell ».
Avertissement :
Afin de permettre à WALLIX Bastion de gérer les connexions à une application, cette
dernière doit être en mesure de recevoir le nom du compte et le mot de passe à utiliser
pour la connexion comme arguments de la ligne de commande.
Figure 10.3. Flux d'une session applicative

Sur la page « Applications », vous pouvez :
• lister les applications,

• ajouter/modifier/supprimer une application,
• importer des applications à partir d'un fichier .csv afin d'alimenter la base ressources de WALLIX
Bastion.
« Applications ». Pour plus d'informations, voir Section 6.5, « Navigation au sein des tableaux de
10.2.1. Configuration du serveur de rebond
138
Les serveurs à partir de Windows Server 2003 sont supportés comme serveurs de rebond. A partir
de la version Windows Server 2008, le rôle « Services Terminal Server » ou « Bureau à Distance »
doit être installé.
Avertissement :
Après une période de grâce de 120 jours, il faut installer des Client Access Licences
(CAL) pour pouvoir continuer à utiliser ces services.
Il faut permettre à l’utilisateur d’avoir le droit de lancer l’application. Cela peut se faire en permettant
l’accès aux programmes non répertoriés ou en ajoutant l’application aux programmes autorisés,
comme décrit ci-dessous.
En cas d'utilisation du mode « session probe », il est nécessaire de publier l'invite de commande
(cmd.exe) en tant que programme RemoteApp. Pour plus d'informations sur ce mode et sa
configuration, nous vous recommandons fortement de consulter Section 12.18, « Utilisation du
mode « session probe » », page 246.
• Permettre l’accès aux programmes non répertoriés :

1. Cliquer sur le menu « Démarrer ».
2. Sélectionner « Programmes » > « Outils d’administration » > « Services Bureau à distance »
puis ouvrir l’application « Gestionnaire RemoteApp ».
3. Dans le cadre « Vue d’ensemble », cliquer sur « Changer les paramètres Terminal Server ».
4. Sur l’onglet « Terminal Server », dans le cadre « Accès aux programmes non répertoriés »,
choisir « Autoriser les utilisateurs à démarrer les programmes répertoriés et non ».
• Ajouter l’application aux programmes autorisés :
3. Dans le cadre « Actions », cliquer sur « Ajouter des programmes RemoteApp ».
4. Choisir l’application dans la liste affichée en cochant la case correspondante et éditer les
propriétés de l’application afin de permettre l’utilisation de tous les arguments de la ligne de
commande.
Il est recommandé de mettre la plus petite valeur possible au délai maximal pendant lequel une
session utilisateur déconnectée est gardée active sur le serveur Terminal Server. Pour cela, suivre
la procédure ci-dessous.

puis ouvrir l’application « Configuration d’hôte de session Bureau à distance » pour abaisser
le délai maximal à 1 minute. Pour cela :
• dans le cadre « Connexions », sélectionner la connexion nommée « RDP-Tcp »,
• sur l’onglet « Sessions », sélectionner « Remplacer les paramètres de l’utilisateur » et
paramétrer la valeur du champ « Fin d’une session déconnectée » à 1 minute.
4. Choisir l’application dans la liste affichée en cochant la case correspondante et éditer les
propriétés de l’application afin de permettre l’utilisation de tous les arguments de la ligne de
commande.
139
Il est également possible d’utiliser les politiques de groupe pour gérer ce paramètre.
Il est possible de permettre plusieurs connexions avec le même compte cible sur un serveur de
rebond.
Pour un serveur Windows Server 2008 ou une version plus récente :

puis ouvrir l’application « Configuration d’hôte de session Bureau à distance ».
3. Dans le cadre « Modifier les paramètres », dans le groupe « Général », double-cliquer sur
« Restreindre les utilisateurs à une session unique » et décocher la case.
Alternativement, il est possible d’utiliser le paramètre correspondant avec une stratégie de compte.
A partir de Windows Server 2012, un paramétrage supplémentaire est nécessaire pour permettre
l’accès d’un client qui n’utilise pas l’authentification au niveau du réseau. Ce paramétrage s’effectue
de la manière suivante :
1. Ouvrir le « Gestionnaire de Serveur » et sélectionner « Services Bureau à distance ».

2. Sélectionner la collection voulue dans « Collections ». La collection par défaut se nomme
« Quick Session Collections ».
3. Dans le cadre « Propriétés », sélectionner « Modifier les propriétés ».
4. Dans la section « Sécurité », décocher l’option « Autoriser les connexions uniquement pour
les ordinateurs exécutant les services Bureau à distance avec authentification au niveau du
réseau ».
10.2.2. Configuration du lancement de l'application en mode

RemoteApp
Le mode RemoteApp permet de faire apparaître les applications (telles que définies depuis «
Cibles » > « Applications ») accessibles via RDP comme si elles étaient lancées en local depuis
le poste de l'utilisateur. Ce mode permet ainsi de démarrer une session à distance mais qui
apparaît comme une fenêtre d'application unique. L'application en mode RemoteApp se présente à
l'utilisateur comme intégrée au bureau du poste client et non pas depuis le bureau distant du client
RDP. L'application en mode RemoteApp est lancée dans une fenêtre redimensionnable, pouvant
être déplacée entre plusieurs moniteurs et dispose de sa propre entrée dans la barre des tâches.
Le mode RemoteApp est activé par défaut lors de la connexion à des applications. Ce paramètre
peut être géré depuis « Configuration » > « Options de configuration » > « GUI (Legacy) » puis,
cochez/décochez l'option « Rdp remote app mode ».
Le redimensionnement de la fenêtre de l'application en mode RemoteApp est activé par défaut. Ce

paramètre peut être géré depuis « Configuration » > « Options de configuration » > « RDP proxy »
puis, cochez/décochez l'option « Allow resize hosted desktop » de la section « remote program ».
Quand cette fonctionnalité est activée, une icône en forme d'épingle apparaît dans le coin supérieur
droit de la fenêtre RemoteApp qui héberge la session RDP classique. Le redimensionnement est
autorisé lorsque la pointe de l'épingle est orientée vers la gauche.
La session RemoteApp se ferme 20 secondes après la fermeture de la dernière fenêtre ou icône

de barre de tâches. Il est cependant possible de raccourcir ce laps de temps, en définissant un
délai avant l'affichage d'un message de déconnexion pour fermer la session. Ce délai peut être
140
paramétré au niveau du champ « Remote programs disconnect message display », sur la page de
configuration de la politique de connexion définie sur le protocole RDP. Cette page est accessible
depuis le menu « Gestion des sessions » > « Politiques de connexion ».
De plus, il peut s'avérer nécessaire de convertir la session RemoteApp en session Alternate Shell
pour accéder à une application RemoteApp publiée via un serveur de rebond, dans le cadre d'une
session initialisée par Access Manager. Pour cela, il faut sélectionner l'option « Wabam uses
translated remotapp », sous la section « rdp », sur la page de configuration de la politique de
connexion définie sur le protocole RDP, accessible depuis le menu « Gestion des sessions » > «
Politiques de connexion ».
Avertissement :
Ce champ est affiché lorsque la case du champ « Options avancées » sur la droite de
la page est cochée et doit être UNIQUEMENT modifié sur les instructions de l’Équipe
Support WALLIX !
Important :
Les sessions RemoteApp d'un utilisateur connecté simultanément à une ou plusieurs
applications sont dissociées par défaut lorsqu'elles sont consultées depuis les pages «
Sessions courantes » et « Historiques des sessions » du menu « Audit ». Si l'option
« Rdp enable sessions split » (accessible depuis « Configuration » > « Options de
configuration » > « GUI (Legacy) » > section « main » est décochée, il est possible
d'obtenir une vue superposée de ces sessions.
Le client Connexion Bureau à Distance (MSTSC) connecté à un serveur Windows

Server 2008 ou 2012 ne permet pas le partage de session entre plusieurs programmes
RemoteApp. Il y aura autant de sessions RDP créées que de programmes RemoteApp
lancés.
Des problèmes d'affichage ont été constatés sur le client Microsoft lors de l'utilisation
du mode RemoteApp en configuration multi-moniteurs. Des dysfonctionnements se
produisent lorsque le moniteur primaire n'est pas situé dans la partie supérieure gauche
de l'écran virtuel. La solution de contournement recommandée consiste à localiser le
moniteur primaire dans la partie supérieure gauche de l'écran virtuel. Voir https://
go.microsoft.com/fwlink/?LinkId=191444 pour plus d'informations sur l'écran
virtuel.
Il est possible d'utiliser le mode « session probe » pour lancer les applications définies au
sein du Bastion. Ce mode de fonctionnement a pour avantage de bloquer le lancement
de processus fils. Ce qui n'est pas le cas lors de l'utilisation du mode natif RemoteApp.
Cependant, il est à noter que les restrictions définies lors de la création du programme
RemoteApp dans Windows (groupes d'utilisateurs, arguments de ligne de commandes
autorisés, etc.) ne seront pas prises en compte. Ce mode peut être géré depuis « Gestion
des sessions » > « Politiques de connexion » > « RDP » puis, cochez/décochez l'option
« Use session probe to launch remote program » de la section « rdp ». Pour plus
d'informations sur le mode « session probe », voir Section 12.18, « Utilisation du mode
« session probe » », page 246.
10.2.3. Automatisation des connexions à une application via

les scripts AutoIt
141
Note :
Pour l'automatisation de connexions à des applications Web, voir Section 10.2.4,
« Automatisation des connexions à une application Web via WALLIX Application
Driver », page 143.
Les applications professionnelles proposent généralement un écran d’authentification pour

permettre à un utilisateur d’accéder uniquement aux données dont il a besoin. La phase
d’authentification consiste à vérifier le compte et le mot de passe entrés manuellement par cet
utilisateur. Ce dernier a donc connaissance de ces informations sensibles.
Afin de limiter la divulgation d’informations, nous recommandons l'utilisation de scripts AutoIt. Ceux-
ci sont pris en charge par WALLIX Bastion pour remplir les formulaires d’identification de façon
automatique. Cette méthode permet notamment de récupérer des informations d’identification de
l’application via un canal virtuel RDP. Ainsi, l’utilisateur ne pourra pas en prendre connaissance.
En cas de contrainte technique forte et risque de sécurité limité, les informations d'identification
peuvent également être passées à l’application directement en tant qu'arguments de la ligne de
commande. Cependant, cette option n'est pas recommandée car l'utilisateur de l’application a ainsi
facilement accès à ces informations.
Pour que les scripts AutoIt puissent récupérer les informations d'identification via le canal virtuel
RDP, il est nécessaire de paramétrer l'activation de canal depuis « Configuration » > « Options de
configuration » > « RDP proxy » puis, sous la section « mod_rdp », saisissez le nom du canal virtuel
dans le champ « Auth channel ». Le caractère « * » indique à WALLIX Bastion qu’il faut utiliser le
nom par défaut wablnch. Il est à noter que pour fonctionner, WALLIX Bastion et le script AutoIt
doivent utiliser le même nom de canal virtuel.
Une fois le canal virtuel activé, le script AutoIt doit être déployé sur le serveur Terminal Server, puis
ajouté aux programmes RemoteApp autorisés :
Note :
Un script AutoIT générique de connexion peut être mis à disposition sur
demande auprès de l’Équipe Support. Nous vous invitons à la contacter pour de
plus amples renseignements (voir Chapitre 17, « Contacter le Support WALLIX
Bastion », page 319).

4. Choisir le chemin de l'exécutable du script AutoIt dans la liste affichée en cochant la case
correspondante.
Ensuite, lors de la configuration de l’application depuis la page « Applications » de WALLIX Bastion :
• dans le champ « Paramètres », renseigner l’URL de connexion,

• dans le champ « Chemin de l’application », saisir le chemin de l’exécutable du script AutoIt.
Exemple :
142
Dans cet exemple, le script WABIELogon_VC_64.exe lance le navigateur Internet Explorer,

récupère les identifiants via le canal virtuel et se connecte sur l'application.
Une fois l'application configurée, elle peut être ensuite associée à un groupe de cibles via le menu
« Cibles » > « Groupes ».
10.2.4. Automatisation des connexions à une application

Web via WALLIX Application Driver
WALLIX Application Driver, également appelé AppDriver, est un outil permettant d'accéder à des
applications Web par l'injection automatique d’accréditations (identifiant et mot de passe) dans les
formulaires d'authentification.
Note :
Pour l'automatisation de connexions à des applications lourdes, voir Section 10.2.3,
« Automatisation des connexions à une application via les scripts AutoIt », page 141.
Application Driver récupère les informations d’authentification de l’application via un canal virtuel
RDP et connecte automatiquement l'utilisateur.
Les formulaires d'authentification sont ainsi remplis sans l’intervention de l’utilisateur et les données
sensibles ne sont pas divulguées lors de la phase d’authentification.
Avertissement :
Application Driver ainsi que les scripts de configuration sont mis à disposition des
administrateurs des serveurs de rebond sur demande auprès de l’Équipe Support. Nous
vous invitons à la contacter pour de plus amples renseignements (voir Chapitre 17,
« Contacter le Support WALLIX Bastion », page 319).
10.2.4.1. Configuration du canal virtuel RDP

Pour configurer le canal virtuel, il est nécessaire de saisir le nom du canal virtuel RDP dans le
champ « Auth channel » situé dans « Configuration » > « Options de configuration » > « RDP proxy
» > section « mod_rdp ». Le caractère « * » est déjà renseigné par défaut. Il indique à WALLIX
Bastion qu’il faut utiliser le nom par défaut du canal virtuel de WALLIX : wablnch.
143
Note :
WALLIX Bastion et Application Driver doivent utiliser le même nom de canal virtuel pour
fonctionner correctement.
10.2.4.2. Déploiement de WALLIX Application Driver et des scripts

1. Télécharger le fichier AppDriver.exe et les scripts WABChromeLogonUIA.lua et
WABIELogon.lua fournis par l’Équipe Support sur le serveur cible utilisé pour l'exécution des
applications Web.
2. Copier le fichier AppDriver.exe dans un dossier dédié, par exemple : C:\AppDriver
\AppDriver.exe.
3. Copier les deux scripts dans ce même dossier.
10.2.4.3. Configurer l’application sur l'onglet « Applications » dans le menu

« Cibles »
1. Dans le champ « Paramètres » de la section « Application », renseigner le chemin du script ainsi
que les paramètres obligatoires et optionnels. Pour plus d'informations, voir Section 10.2.4.4,
« Paramètres obligatoires et optionnels pour l'interpréteur et les scripts », page 145.
2. Dans le champ « Chemin de l’application » situé dans la section « Information pour », renseigner
le chemin d'Application Driver.
Exemple de configuration :
Dans cet exemple, le champ « Paramètres » est renseignée avec

la valeur suivante : /lua_file:C:\AppDriver\WABChromeLogonUIA.lua /
e:URL=https://192.168.1.161/ /e:IgnoreCertificateErrors=Yes. Cela signifie que
le script WABChromeLogonUIA.lua lance le navigateur Google Chrome, récupère les identifiants
via le canal virtuel, se connecte sur l'application en injectant les identifiants récupérés et ignore les
erreurs lors de la vérification des certificats.
144
10.2.4.4. Paramètres obligatoires et optionnels pour l'interpréteur et les scripts

Paramètres obligatoires pour l'interpréteur Lua (version 2.2.0.2570)
Paramètre Description
/lua_file:<Lua script file name> Définit l'emplacement du script Lua utilisé pour ouvrir la
session Web.
/e:URL=<URL> Définit l'URL du site Web.
Paramètres optionnels pour Internet Explorer (version 0.3.3) : script WABIELogon.lua

/e:UsernameFieldId=<username field ID> Optionnel. Définit l'id du champ nom d'utilisateur
sur la page Web de connexion. Est ignoré
lorsque la connexion s'effectue sur deux pages.
/e:PasswordFieldId=<password field ID> Optionnel. Définit l'id du champ mot de passe sur
la page Web de connexion. Est ignoré lorsque la
connexion s'effectue sur deux pages.
/e:SubmitButtonId=<Button Id> Optionnel. Définit l'id du bouton "Soumettre" sur
la page Web de connexion. Est ignoré lorsque la
connexion s'effectue sur deux pages.
/e:EnterInsteadClicking=Yes Optionnel. Valide le formulaire par pression de
la touche « Entrée » dans les champs de saisie
de texte à la place de l'utilisation de bouton «
Soumettre ».
/e:TwoPageSignIn=Yes Optionnel. Active la connexion sur deux pages.
/e:FirstPageReadyElementId=<Element ID> Optionnel. Définit l'id d'un élément HTML servant
à déterminer que la première page Web est
entièrement chargée et prête dans le cas d'une
connexion sur deux pages.
/e:SecondPageReadyElementId=<Element ID> Optionnel. Définit l'id d'un élément HTML servant
à déterminer que la seconde page Web est
entièrement chargée et prête dans le cas d'une
connexion sur deux pages.
/e:PreSignInLinkClassName=<link class name> Optionnel. Définit le nom de classe d'un lien
d'ancrage HTML servant à déterminer que la
page est entièrement chargée et prête.
Paramètres optionnels pour Google Chrome

(version 0.2.4) : script WABChromeLogonUIA.lua
/e:DisableKioskMode=Yes Optionnel. Empêche le lancement de Google Chrome
en mode Kiosque.
/e:IgnoreCertificateErrors=Yes Optionnel. Demande à Chrome d'ignorer les erreurs
lors de la vérification des certificats.
/e:RemoveDomainFromUsername=Yes Optionnel. Supprime @<domain> dans l’identifiant.
/e:TwoPageSignIn=Yes Optionnel. Active la connexion sur deux pages.
10.2.5. Ajouter une application
145
Sur la page « Applications », cliquez sur « Ajouter une application » pour afficher la page de création
de l'application.
• le nom de l’application. Il s'agit d'une donnée interne.

• les paramètres, c'est-à-dire les arguments de la ligne de commande. Ils sont concaténés au
chemin du programme. Afin d’insérer le nom du compte, le mot de passe à utiliser et les
informations d'identification de l'application, les variables ${USER}, ${PASSWORD} et ${APPID}
permettent d’indiquer l’emplacement de la substitution. WALLIX Bastion la fera automatiquement
avec les informations du compte sélectionné par l’utilisateur et l'identifiant de l'application.
• une liste de valeurs permettant de sélectionner une politique de connexion définie sur le protocole
RDP pour la connexion à la cible d'application,
• une liste de valeurs permettant de sélectionner le nom de la cible ou du cluster,
Note :
Pour pouvoir ajouter une application sur une cible ou dans un cluster, il est nécessaire
d'associer des ressources. Pour plus d'informations, voir Section 10.4.1, « Ajouter un
compte cible à un domaine global », page 161 ou Section 10.4.2, « Ajouter un compte
cible à un équipement », page 164.
• une liste de valeur permettant de sélectionner le ou les domaine(s) global(aux),

• le(s) nom(s) du ou des domaine(s) local(aux),
• le chemin de l’exécutable du programme ainsi que le répertoire d’exécution. Dans le cas d’un
cluster, il faut fournir ces valeurs pour chaque équipement. Pour plus d'informations, voir la
section 10.6, « Clusters », page 187.
Pour permettre aux utilisateurs de se connecter à l'application, il faut maintenant lui associer des
comptes comme décrit dans Section 10.4, « Comptes cibles », page 160. La gestion des droits
d’accès se fait au moyen des autorisations de la même manière que les équipements. Il faut alors
utiliser le protocole RDP.
Figure 10.4. Page « Applications » en mode modification
146
10.2.6. Modifier une application

Sur la page « Applications », cliquez sur un nom d’application puis sur « Modifier cette application »
pour afficher la page de modification de l'application.
l'application.
10.2.7. Supprimer une application

Sur la page « Applications », sélectionnez une ou plusieurs applications à l’aide de la case à
cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WALLIX
sélectionnées.
Avertissement :
Vous ne pouvez pas supprimer une application sur laquelle des comptes cibles sont
déclarés.
10.2.8. Ajouter un compte sur une application

Sur la page « Applications », cliquez sur un nom d’application afin d’afficher les données
correspondantes puis déployez la zone « Comptes de l'application » pour visualiser la liste des
comptes existants sur cette application.
Cliquez sur « Ajouter un compte » pour créer un compte sur cette application : vous accédez alors
à la page de création du compte. Pour plus d'informations, voir Section 10.4.3, « Ajouter un compte
cible à une application », page 166.
10.2.9. Gérer les associations de ressources avec

l'application
Sur la page « Applications », cliquez sur un nom d’application afin d'afficher les données
correspondantes puis déployez la zone « Comptes associés » pour visualiser la liste des ressources
associées à l’application.
Chaque ligne représente une association et recense les champs suivants :
• le nom du compte cible,

• le nom du domaine,
• le service,
• les utilisateurs autorisés.
Cliquez sur « Gérer l'association » pour gérer l'association des ressources : vous accédez alors
à une page listant la ou les ressources disponibles et la ou les ressources sélectionnées pour
l'application. Déplacez une ressource depuis le cadre « Comptes disponibles » vers le cadre
« Comptes sélectionnés » pour effectuer l'association. Et inversement, déplacez une ressource
depuis le cadre « Comptes sélectionnés » vers le cadre « Comptes disponibles » pour supprimer
l'association.
10.2.10. Importer des applications
147
Sur la page « Applications », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à
droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du
menu « Import/Export » : la case « Applications » est déjà cochée pour l'import des données. Les
séparateurs de champs et de listes sont également configurables.
#wab730 application
Important :

Domaine local Texte O Il peut n'y avoir aucun domaine N/A
local ou un ou plusieurs
domaines locaux créés sur cette
application.
Domaine Texte O Il peut n'y avoir aucun domaine N/A
global global ou un ou plusieurs
domaines définis.
Cible Texte R Format pour une application N/A
sur un équipement :
compte@domaine@mon_
équipement:rdp, rdp étant le
nom du protocole défini sur
l'équipement
Format pour une application sur

un cluster : nom du cluster
Paramètres Texte O Arguments de la ligne de N/A
commande. Les variables
${USER}, ${PASSWORD} et
${APPID} peuvent être utilisées
pour insérer le nom du compte,
le mot de passe à utiliser et les
informations d'identification de
l'application.
Chemins Texte R Pour une application sur N/A
un équipement : chemin de
l'application
Pour une application sur

un cluster : cible1=
'chemin1' cible2='chemin2',
pour chaque cible du cluster,
148

avec cible1 au format
compte@domaine@mon_
équipement:rdp
Répertoires de Texte O Pour une application sur un N/A
démarrage cluster :
cible1='rdem1' cible2='rdem2'
Politique de Texte O Nom de la politique de RDP
connexion connexion sur le protocole RDP

est indiquée.
Figure 10.5. Page « CSV » - case « Applications » cochée
10.3. Domaines
Un domaine global représente une entité de gestion regroupant une multitude de comptes cibles
pouvant être utilisés pour l'authentification sur une multitude d'équipements. L'avantage significatif
de cette entité réside dans le déploiement et la synchronisation du changement de mot de passe
en une seule fois sur tous les comptes des équipements associés au domaine.
Un domaine global peut également être associé à un coffre-fort externe à mots de passe. Dans ce
cas, ce domaine regroupe des comptes gérés par une entité externe via l'association d'un plugin
de coffre-fort externe. Par conséquent, un mécanisme de changement de mot de passe ne peut
pas être déployé sur les comptes associés au sein de WALLIX Bastion. Pour plus d'informations,
voir Section 5.3, « Coffre-fort externe à mots de passe », page 23.
Un domaine local représente une entité de gestion regroupant une multitude de comptes cibles
pouvant être utilisés pour l'authentification sur un seul et unique équipement. L'avantage significatif
149
de cette entité réside dans le déploiement et la synchronisation du changement de mot de passe

en une seule fois sur tous les comptes associés au domaine.
Les domaines locaux sont créés lors de l'association à un équipement ou un compte cible. Pour
plus d'informations, voir Section 10.1, « Équipements », page 127 et Section 10.4, « Comptes
cibles », page 160.
Sur la page « Domaines », vous pouvez :
• lister les domaines globaux ou locaux selon un filtre d'affichage sur le type de domaine,
• identifier les domaines qui sont associés à une Autorité de Certification,
• identifier les domaines pour lesquels le changement de mot de passe est activé,
• identifier les domaines qui sont associés à un coffre-fort externe à mots de passe,
• ajouter/modifier/supprimer un domaine global,
• modifier un domaine local,
• importer des domaines globaux ou locaux à partir d'un fichier .csv afin d'alimenter la base
ressources de WALLIX Bastion,
• changer les mots de passe de tous les comptes sur le domaine global.
Il est également possible de rechercher, trier et supprimer les données affichées dans le tableau de
la page « Domaines ». Pour plus d'informations, voir Section 6.5, « Navigation au sein des tableaux
de l'interface Web », page 34.
10.3.1. Ajouter un domaine global

Avertissement :
Les domaines locaux sont créés lors de l'association à un équipement ou un compte cible.
Pour plus d'informations, voir Section 10.1, « Équipements », page 127 et Section 10.4,
« Comptes cibles », page 160.
Sur la page « Domaines », veuillez vous assurer d'avoir sélectionné la valeur « Global » dans le
champ « Afficher le type de domaine » en haut de la page. Cliquez sur « Ajouter un domaine global »
pour afficher la page de création du domaine global.
• le nom du domaine : une représentation du domaine propre à l'application et utilisée pour afficher
les comptes et les cibles sur l'interface utilisateur Web ou lors des sessions RDP/SSH.
• le nom réel du domaine : le nom du domaine externe si le domaine créé représente une
correspondance d'un domaine externe (LDAP, AD, NIS). Le nom réel du domaine est ignoré
lorsque le changement de mot de passe est effectué sur des cibles sous système Unix.
• le type de coffre-fort : choisissez si le domaine est associé à un coffre-fort à mots de passe local
ou externe,
Avertissement :
Ce champ est uniquement affiché lorsque la fonctionnalité « Coffres-forts Externes »
est associée à la clé de licence.
150
• si le type de coffre-fort choisi est « Local » ou si la fonctionnalité « Coffres-forts Externes » n'est

pas associée à la clé de licence, des options pour définir l'Autorité de Certification SSH à associer
au domaine pour la connexion. L’Autorité de Certification (ou « AC ») est représentée par une
paire de clés privée/publique SSH). Il est possible de :
– générer une clé : dans ce cas, sélectionnez le type et la longueur appropriés pour la clé dans
la liste (par défaut, RSA 2048) ou,
– renseigner un chemin pour charger le fichier contenant une clé existante (au format OpenSSH
ou PuTTY) et indiquer la phrase de chiffrement associée (si définie).
Pour plus d'informations, voir Section 10.3.2, « Associer le domaine à une Autorité de Certification
SSH », page 152.
• si le type de coffre-fort choisi est « Local » ou si la fonctionnalité « Coffres-forts Externes » n'est
pas associée à la clé de licence, une option permettant d'activer le changement de mot de passe
pour les comptes de ce domaine et, le cas échéant :
– la politique de changement de mot de passe à sélectionner pour ce domaine. Pour plus
d'informations, voir Section 11.3, « Politiques de changement des mots de passe », page 210.
– le plugin de changement de mot de passe à sélectionner pour ce domaine ainsi que les
paramètres apparentés à renseigner. Pour plus d'informations, voir Section 11.2, « Plugins de
changement des mots de passe », page 202.
Note :
La clé publique de l'AC est transférée sur l'équipement cible (pour un domaine local) ou
sur le serveur cible (pour un domaine global) lorsqu'un plugin de changement de mot
passe est paramétré sur le domaine et la fonctionnalité WALLIX Password Manager
• si le type de coffre-fort choisi est « Externe », sélectionnez le plugin de coffre-fort pour ce domaine
et renseignez les paramètres correspondants. Pour plus d'informations, voir Section 5.3, « Coffre-
fort externe à mots de passe », page 23 et Section 10.7, « Plugins de coffres-forts externes à
mots de passe », page 191.
Avertissement :
Ce champ est uniquement affiché lorsque la fonctionnalité « Coffres-forts Externes »
Figure 10.6. Page « Domaines » en mode création
151
10.3.2. Associer le domaine à une Autorité de Certification

SSH
Une Autorité de Certification (ou « AC ») peut être associée à un domaine local (de type « Local à
un équipement ») ou global (lorsque ce dernier n'est pas associé à un coffre-fort externe à mots de
passe). Elle permet de certifier les clés SSH pour les comptes cibles. Une AC est définie par une
paire de clés SSH (une clé privée et une clé publique). La clé privée de l'AC signe les clés publiques
des comptes cibles du domaine. Ces clés publiques signées sont aussi appelées « certificats » et
sont utilisées par le client SSH pour établir la connexion avec le serveur cible. Ce dernier vérifie
l'authenticité du certificat en utilisant la clé publique de l'AC lors de la connexion.
Il n'est plus nécessaire de copier les clés publiques des comptes cibles sur les serveurs cibles. Il
suffit simplement de copier la clé publique de l'AC dans /etc/ssh/wallix_ca_user.pub ou un
autre fichier, de la déclarer dans le fichier de configuration sshd du daemon en utilisant l'attribut
TrustedUserCAKeys comme suit: TrustedUserCAKeys /etc/ssh/wallix_ca_user.pub
puis, redémarrer le daemon SSH.
Lorsqu'un plugin de changement de mot passe est paramétré sur le domaine, WALLIX Bastion se
charge de transférer la clé publique de l'AC et la configuration correspondante sur l'équipement
cible (pour un domaine local) ou sur le serveur cible (pour un domaine global). Par ailleurs, la clé
publique SSH du compte administrateur n'est pas signée. Afin de permettre l'authentification SSH
en utilisant ce compte, la clé publique doit être présente sur le serveur cible (généralement dans le
fichier authorized_keys situé dans le répertoire principal du compte cible).
Lorsqu'une AC est associée à un domaine, les clés publiques SSH de tous les comptes cibles sur
ce domaine sont automatiquement signées par l'AC. Sur la page récapitulative d'un compte du
domaine associé à une AC, il est alors possible de télécharger le certificat signé correspondant
au lieu de la clé publique SSH. De plus, lorsqu'un utilisateur souhaite emprunter les accréditations
d'un compte cible d'un domaine associé à une AC, il a la possibilité de télécharger le certificat. La
clé privée seule ne suffit pas pour l'authentification.
10.3.3. Modifier un domaine global ou local

Sur la page « Domaines », sélectionnez « Global » ou « Local à un équipement » ou « Local à
une application » dans le champ « Afficher le type de domaine » en haut de la page, en fonction
du type de domaine que vous souhaitez modifier. Ensuite, cliquez sur un nom de domaine puis sur
« Modifier ce domaine global » ou « Modifier ce domaine local » pour afficher la page de modification
correspondante.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du domaine
global.
Lorsque le changement de mot de passe est activé sur le domaine, le champ « Compte
administrateur » vous permet de sélectionner le compte cible qui sera utilisé pour changer le mot de
passe sur un autre compte cible en cas de non-concordance entre WALLIX Bastion et l'équipement.
Cette opération est dénommée « réconciliation ».
Avertissement :
Le compte administrateur est obligatoire sur le domaine local lors de l'utilisation du plugin
de changement de mot de passe Fortinet FortiGate ou IBM 3270. Ce compte doit être
défini dans un premier temps sur le domaine depuis la zone « Comptes du domaine »
152
sur la page récapitulative du domaine, une fois l'étape de création du domaine effectuée.
Pour plus d'informations, voir Section 10.3.4, « Ajouter un compte sur un domaine global
ou local », page 153. Lorsque l'option « Activer le changement de mot de passe » a
été cochée sur la page de modification du domaine, sélectionnez ce compte depuis la
liste du champ « Compte administrateur » avant de sélectionner le plugin dans le champ
« Plugin de changement de mot de passe ».
Lorsque le domaine global est associé à un coffre-fort externe à mots de passe, les informations
correspondantes sont affichées sur la page récapitulative du domaine dans les champs « Plugin
de coffre-fort externe » et « Paramètres du plugin de coffre-fort ».
Si une Autorité de Certification SSH a été définie pour ce domaine (de type « Global » ou « Local à
un équipement »), une ligne avec le type et la longueur de la clé privée de l'AC est affichée sur la
page de modification du domaine. Il est alors possible de :
• supprimer cette clé et/ou,
• la remplacer :
– soit en générant une nouvelle clé : dans ce cas, sélectionnez le type et la longueur appropriés
pour la clé dans la liste (par défaut, RSA 2048),
– soit en renseignant un chemin pour charger le fichier contenant une clé existante (au format
OpenSSH ou PuTTY) et indiquer la phrase de chiffrement associée (si définie).
• télécharger la clé publique correspondante au format OpenSSH ou ssh.com sur la page

récapitulative du domaine, au niveau du champ « Clé publique AC ».
Note :
Lors d'un changement de la clé privée de l'AC du domaine, les clés SSH de tous les
comptes sur ce domaine seront re-signées avec la nouvelle Autorité de Certification.
La clé publique de l'AC est transférée sur l'équipement cible (pour un domaine local) ou
sur le serveur cible (pour un domaine global) lorsqu'un plugin de changement de mot
passe est paramétré sur le domaine et la fonctionnalité WALLIX Password Manager est
associée à la clé de licence.
Pour plus d'informations, voir Section 10.3.2, « Associer le domaine à une Autorité de

Certification SSH », page 152.
10.3.4. Ajouter un compte sur un domaine global ou local

Sur la page « Domaines », sélectionnez « Global » ou « Local à un équipement » ou « Local à
une application » dans le champ « Afficher le type de domaine » en haut de la page, en fonction
du type de domaine que vous souhaitez afficher. Cliquez sur un nom de domaine afin d’afficher les
données correspondantes puis déployez la zone « Comptes du domaine » pour visualiser la liste
des comptes existants sur ce domaine.
Cliquez sur « Ajouter un compte » pour créer un compte sur ce domaine : vous accédez alors à la
page de création du compte. Pour plus d'informations, voir Section 10.4.1, « Ajouter un compte cible
à un domaine global », page 161 pour ajouter un compte de domaine global ou voir Section 10.4.2,
« Ajouter un compte cible à un équipement », page 164 pour ajouter un compte d'équipement
ou voir Section 10.4.3, « Ajouter un compte cible à une application », page 166 pour ajouter un
compte d'application.
153
10.3.5. Changer les mots de passe de tous les comptes d'un

domaine global
Sur la page « Domaines », veuillez vous assurer d'avoir sélectionné « Global » dans le champ
« Afficher le type de domaine » en haut de la page. Sélectionnez un domaine global pour lequel le
changement de mot de passe est activé pour afficher les données correspondantes. Vous pouvez
déployer la zone « Comptes du domaine » pour visualiser la liste des comptes existants sur ce
domaine. Ensuite, cliquez sur le bouton « Changer les mots de passe » sur la droite de la page pour
changer instantanément les mots de passe de tous les comptes de ce domaine. WALLIX Bastion
affiche une fenêtre demandant une confirmation avant d'effectuer cette action.
Note :
Le bouton « Changer les mots de passe » sur la droite de la page est affiché lorsqu'un
compte administrateur est défini pour le domaine.
Les mots de passe sont changés en conformité avec la politique de changement de
mot de passe sélectionnée pour ce domaine global. Pour plus d'informations, voir
Section 11.3, « Politiques de changement des mots de passe », page 210.
10.3.6. Changer les mots de passe de tous les comptes d'un

domaine local
Sur la page « Domaines », veuillez vous assurer d'avoir sélectionné « Local à un équipement »
ou « Local à une application » dans le champ « Afficher le type de domaine » en haut de la
page. Sélectionnez un domaine local pour lequel le changement de mot de passe est activé pour
afficher les données correspondantes. Vous pouvez déployer la zone « Comptes du domaine » pour
visualiser la liste des comptes existants sur ce domaine. Ensuite, cliquez sur le bouton « Changer
les mots de passe » sur la droite de la page pour changer instantanément les mots de passe de
tous les comptes de ce domaine. WALLIX Bastion affiche une fenêtre demandant une confirmation
avant d'effectuer cette action.
Note :
Le bouton « Changer les mots de passe » sur la droite de la page est affiché lorsqu'un
compte administrateur est défini pour le domaine.
Les mots de passe sont changés en conformité avec la politique de changement de mot
de passe sélectionnée pour ce domaine local. Pour plus d'informations, voir Section 11.3,
« Politiques de changement des mots de passe », page 210.
10.3.7. Révoquer le certificat signé des comptes d'un

domaine associé à une Autorité de Certification
Sur la page « Domaines », veuillez vous assurer d'avoir sélectionné « Global » ou « Local à un
équipement » dans le champ « Afficher le type de domaine » en haut de la page. Sélectionnez
un domaine associé à une Autorité de Certification pour afficher les données correspondantes.
Déployez la zone « Comptes du domaine » pour visualiser la liste des comptes existants sur ce
domaine. Vous pouvez alors :
• soit révoquer les certificats de tous les comptes du domaine en cliquant sur l'en-tête de colonne
intitulé « Révoquer tout »,
154
• soit révoquer le certificat d'un compte donné en cliquant sur le bouton « Révoquer » à la fin de
la ligne concernée.
Une liste de révocation de certificats est automatiquement générée et transmise au serveur cible
pour signaler que ce ou ces certificats ne peuvent plus être utilisés pour la connexion.
10.3.8. Supprimer un domaine global

« Afficher le type de domaine » en haut de la page. Ensuite, sélectionnez un ou plusieurs domaines
à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la
sélection. WALLIX Bastion affiche une fenêtre demandant une confirmation avant la suppression
définitive des lignes sélectionnées.
10.3.9. Importer des domaines globaux

« Afficher le type de domaine » en haut de la page. Ensuite, cliquez sur l'icône « Importer depuis
un fichier CSV » en haut à droite de la page pour importer les données. Vous êtes alors redirigé(e)
sur la page « CSV » du menu « Import/Export » : la case « Domaines globaux » est déjà cochée
pour l'import des données. Les séparateurs de champs et de listes sont également configurables.
#wab730 globaldomain
Important :
Champ Type R(equis)/O(ptionnel) Valeurs possibles Valeur

par défaut
Nom réel Texte O Texte libre N/A
Compte admin Texte O Un compte existant sur le N/A
domaine
Ce champ est uniquement

pris en compte lorsque
le domaine existe et le
compte a été créé sur ce
domaine.
Vide si un plugin de coffre-

fort externe est défini pour
le domaine
Politique de Texte R/O Politique de changement N/A
changement de de mot de passe définie
mot de passe Requis lorsque le
changement de mot
155

par défaut
de passe est activé (un Vide si un plugin de coffre-
des 4 derniers champs fort externe est défini pour
est renseigné) le domaine
Plugin de Texte R/O Plugin de changement de N/A

changement de mot de passe défini
changement de mot Vide si un plugin de coffre-
de passe est activé (un fort externe est défini pour
des 4 derniers champs le domaine
est renseigné)
Infos de Texte R/O Tous les arguments N/A
changement de nécessaires pour le plugin
mot de passe Requis pour certains de changement de mot de
types de plugins passe défini
Requis pour certains

plugins
Format : clé1=valeur1
clé2=valeur2
Cisco : hôte (requis),

motdepasse_enable
(requis), port (optionnel)
Windows :
adresse_controleur_domaine
(requis)
Unix : hôte (requis), port

(optionnel),
motdepasse_root
(optionnel - le mot
de passe root peut
uniquement être défini si
un compte_admin a été
sélectionné au préalable)
Oracle : hôte (requis),

port (requis), nom_service
(requis), admin_mode
(optionnel et paramétré à
« Normal » par défaut
si non renseigné). Les
valeurs possibles pour le
champ admin_mode sont :
« Normal », « SYSDBA »,
« SYSOPER » et
« SYSDBA »
156

par défaut
Vide si un plugin de coffre-
fort externe est défini pour
le domaine
Plugin de coffre- Texte O Plugin de coffre-fort N/A
fort externe externe défini
Vide si le changement de
mot de passe est activé
pour le domaine
Infos plugin de Texte Requis lorsque le Tous les arguments N/A
coffre-fort externe plugin de coffre-fort est nécessaires pour le plugin
défini de coffre-fort externe
défini
clé2=valeur2
Bastion : url_api (requis),

clé_api (optionnel),
identifiant_service
(optionnel),
motpasse_service
(optionnel)
L'URL d'API doit

commencer par « https:// »
et se terminer par « /api/
vX.Y ». La version d'API
minimale supportée est la
2.3.
Vide si le changement de
mot de passe est activé
pour le domaine
est indiquée.
157
Figure 10.7. Page « CSV » - case « Domaines globaux » cochée
10.3.10. Importer des domaines locaux

Sur la page « Domaines », veuillez vous assurer d'avoir sélectionné « Local à l'équipement » ou
« Local à l'application » dans le champ « Afficher le type de domaine » en haut de la page. Ensuite,
cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite de la page pour importer
les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case
« Domaines locaux » est déjà cochée pour l'import des données. Les séparateurs de champs et
de listes sont également configurables.
#wab730 localdomain
Important :

Équipement Texte R/O Au moins un équipement N/A
ou une application doit être
défini.
Application Texte R/O Au moins un équipement N/A
ou une application doit être
défini.
Compte admin Texte O Un compte existant sur le N/A
domaine
158

Ce champ est uniquement
pris en compte lorsque le
domaine existe et le compte
a été créé sur ce domaine.
Politique de Texte R/O Politique de changement N/A
changement de de mot de passe définie
changement de mot
de passe est
activé (un des 4
derniers champs est
renseigné)
Plugin de Texte R/O Plugin de changement de N/A
changement de mot de passe défini
changement de mot
de passe est
activé (un des 4
derniers champs est
renseigné)
Infos de Texte R/O Tous les arguments N/A
changement de nécessaires pour le plugin
mot de passe Requis pour certains de changement de mot de
types de plugins passe défini
Requis pour certains

plugins
clé2=valeur2
Cisco :
motdepasse_enable
(requis), port (optionnel)
Windows : pas de
paramètre spécifique à
renseigner
Unix : port (optionnel),

motdepasse_root
(optionnel)
Pour les équipements :
Oracle : port (requis),

nom_service (requis),
admin_mode (optionnel et
paramétré à « Normal »
par défaut si non
renseigné). Les valeurs
possibles pour le champ
admin_mode sont :
159

« SYSOPER » et
« SYSDBA »
Pour les applications :
Oracle : hôte (requis),

port (requis), nom_service
(requis), admin_mode
(optionnel et paramétré à
« Normal » par défaut
si non renseigné). Les
valeurs possibles pour le
champ admin_mode sont :
« SYSOPER » et
« SYSDBA »
est indiquée.
Figure 10.8. Page « CSV » - case « Domaines locaux » cochée
10.4. Comptes cibles
Un compte est une entité (gérée par WALLIX Bastion ou un coffre-fort externe à mots de passe)
permettant à un utilisateur de s'authentifier sur un système et de se voir attribuer un niveau
d'autorisation défini pour accéder aux ressources de ce système à des fins de gestion. Un compte
appartient à un domaine.
160
Un compte cible est caractérisé par l'association des entités suivantes : un équipement et un service
et un compte.
Il existe trois types de compte cible :
• Compte de domaine global : le compte est défini sur un domaine global et est utilisé pour accéder
aux services sur des équipements rattachés à ce domaine.
• Compte d'équipement : le compte est défini sur un équipement et est utilisé uniquement pour
accéder à un service sur cet équipement.
• Compte d'application : le compte est défini uniquement pour une application (un compte pour
accéder au serveur de rebond–l'équipement cible sur lequel l'application s'exécute–peut s'avérer
nécessaire).
Sur l'onglet « Comptes » situé dans le menu « Cibles », vous pouvez :
• lister les comptes cibles et les domaines, équipements et applications déclarés sur ces derniers,
• ajouter, modifier et supprimer un compte.
Il est possible d'importer des comptes cibles à partir d'un fichier .csv afin d'alimenter la base
comptes cibles », page 170.
dans le tableau de la page « Comptes ». Pour plus d'informations, voir Section 6.5, « Navigation
10.4.1. Ajouter un compte cible à un domaine global

Sur l'onglet « Comptes » situé dans le menu « Cibles », cliquez sur la section « Comptes de domaine
global » puis sur le bouton « + Compte » pour afficher la page de création du compte de domaine
global.
Cette page recense les sous-onglets suivants : « Général », « Mot de passe » et « Clé privée SSH ».

Le sous-onglet « Général » vous invite à sélectionner et à renseigner les champs suivants :
• le nom du domaine global sur lequel vous souhaitez ajouter un compte. Il sera impossible de
modifier le nom du domaine global après avoir cliqué sur « Valider ».
• le nom du compte : il s'agit d'une représentation interne du compte. Cette information est affichée
sur le sélecteur de session et la page d'emprunt des accréditations du compte sur l'interface Web.
Ce nom doit être unique sur le domaine WALLIX Bastion.
Important :
Lorsque le compte est créé sur un domaine global associé à un coffre-fort
externe à mots de passe lié au plugin Bastion (voir Section 10.7.1, « Plugin
Bastion », page 191 pour plus d'informations), son nom doit respecter la convention
suivante : « nom_du_compte\domaine_global » ou « nom_du_compte\\domaine_local
\\équipement » ou encore « nom_du_compte\\domaine_local\\application ». Le
séparateur « \\ » doit être utilisé.
161
« nom_du_compte » correspond au nom d'un compte sur l'instance WALLIX Bastion

distante.
« domaine_global » et « domaine_local » correspondent respectivement à un domaine

global et un domaine local sur l'instance WALLIX Bastion distante.
« équipement » et « application » correspondent respectivement à un équipement et

à une application sur le domaine local de l'instance WALLIX Bastion distante.
• l'identifiant du compte : il s'agit de l'identifiant du compte distant. Cette information n'est pas
affichée sur le sélecteur de session et la page d'emprunt des accréditations du compte sur
l'interface Web.
• un champ pour associer des ressources : une association de ressources est nécessaire
pour créer des cibles pour des applications et des clusters. Afin d'associer des ressources,
sélectionnez un équipement et un service dans les listes déroulantes puis cliquez sur « + ». Il est
possible de supprimer cette association une fois qu'elle a été créée en cliquant sur l'icône rouge
« - ». Vous pouvez associer autant de ressources que nécessaire.
• un champ pour sélectionner la politique d'emprunt à associer au compte. Pour plus d'informations,
voir Section 10.8, « Politiques d'emprunt », page 196.
• un bouton pour activer ou désactiver le changement automatique du mot de passe pour ce
compte. Voir Section 4.6, « Chiffrement des données », page 20 pour plus d'informations sur le
chiffrement des données relatif au stockage du mot de passe.
• un bouton pour activer ou désactiver le changement automatique de la clé SSH pour ce compte.
• la période de validité du certificat, si le compte est défini sur un domaine associé à une Autorité
de Certification. Le format approprié est le suivant :
[nombre de semaines]wk[nombre de jours]d[nombre d'heures]h[nombre de

minutes]min[nombre de secondes]s
Si aucune valeur n'est renseignée dans ce champ, alors le certificat est valide pour une durée
illimitée.
Note :
du compte de domaine global.
162
Figure 10.9. Page « Nouveau compte de domaine global »
10.4.1.2. Définir le mot de passe

Sur le sous-onglet « Mot de passe », saisissez et confirmez le mot de passe du compte.
Vous avez également la possibilité de changer manuellement le mot de passe du compte et
de le propager instantanément sur la cible à l'aide du bouton « Propager le changement des
accréditations ».
Une fois le mot de passe du compte défini, cliquez sur « Valider ».
Notez que vous pouvez supprimer un mot de passe déjà défini pour ce compte en cliquant sur le
bouton « Supprimer mot de passe ».
10.4.1.3. Définir une clé privée SSH

Sur le sous-onglet « Clé privée SSH », vous pouvez définir la clé privée pour la connexion SSH.
Il est possible de :
• générer une clé : dans ce cas, sélectionnez un système de signature de clé privée dans la liste ou,
• glisser-déposer un fichier ou renseigner un chemin pour charger le fichier contenant une clé
privée existante (au format OpenSSH ou PuTTY) et indiquer la phrase de chiffrement associée
(si définie).
Vous pouvez également changer manuellement la clé privée SSH du compte et la propager
instantanément sur la cible à l'aide du bouton « Propager le changement des accréditations ».
Après avoir défini la clé privée SSH pour le compte, cliquez sur « Valider ».
Vous avez à présent la possibilité de télécharger la clé publique SSH correspondante au format
OpenSSH ou ssh.com à l'aide du bouton « Télécharger la clé publique SSH ».
Notez que vous pouvez supprimer la clé privée SSH définie pour ce compte en cliquant sur le
bouton « Supprimer la clé privée SSH existante ».
10.4.1.4. Associer le compte à un groupe

Après avoir créé un compte de domaine global, vous avez la possibilité d'ajouter ce compte à un
groupe afin de créer un compte cible pour la gestion des sessions ou la gestion des mots de passe.
163
Note :
Ce type d'association peut également être géré à partir de l'onglet « Groupes » (pour plus
d'informations, voir Section 10.5, « Groupes de cibles », page 173).
Pour ajouter un compte de domaine global à un groupe, sélectionnez la case à cocher située au
début de la ligne du compte global concerné puis cliquez sur le bouton « Ajouter au groupe ». Une
fenêtre s'ouvre et vous invite à renseigner et à sélectionner les champs suivants :
• le nom du groupe : sélectionnez un groupe existant ou créez-en un nouveau,

• la description du groupe,
• le type de cible : sélectionnez le type de cible pour créer l'association pour la gestion des sessions
ou pour la gestion des mots de passe,
• le champ "Depuis" : sélectionnez le type de ressource souhaité pour l'association de ressources,
• l'équipement ou l'application sur lequel ou laquelle le compte sera défini,
• le service (si nécessaire),
• le compte global.
Note :
enregistrées et vous pouvez gérer de nouvelles associations de ressources. Autrement,
cliquez sur le bouton « Ajouter et fermer » pour sauvegarder les données et fermer la
fenêtre.
10.4.2. Ajouter un compte cible à un équipement

Sur l'onglet « Comptes » situé dans le menu « Cibles », cliquez sur la section « Comptes
d'équipement » puis sur le bouton « + Compte » pour afficher la page de création du compte
d'équipement.
Cette page recense les sous-onglets suivants : « Général », « Mot de passe » et « Clé privée SSH ».

• le nom de l'équipement sur lequel vous souhaitez ajouter un compte. Il sera impossible de
modifier le nom de l'équipement après avoir cliqué sur « Valider ».
• le nom du domaine local : vous pouvez sélectionner un domaine local existant ou en créer un. Il
sera impossible de modifier le nom du domaine local après avoir cliqué sur « Valider ».
l'interface Web.
• un champ pour associer des ressources : une association de ressources est nécessaire
pour créer des cibles pour des applications et des clusters. Afin d'associer des ressources,
sélectionnez un service dans la liste déroulante puis cliquez sur « + ». Il est possible de supprimer
164
cette association une fois qu'elle a été créée en cliquant sur l'icône rouge « - ». Vous pouvez
associer autant de ressources que nécessaire.
• un bouton pour activer ou désactiver le changement automatique du mot de passe pour ce
compte. Voir Section 4.6, « Chiffrement des données », page 20 pour plus d'informations sur le
chiffrement des données relatif au stockage du mot de passe.
• un bouton pour activer ou désactiver le changement automatique de la clé SSH pour ce compte.
Note :
du compte d'équipement.

accréditations ».
10.4.2.3. Définir la clé privée SSH

Sur le sous-onglet « Clé privée SSH », vous pouvez définir la clé privée pour la connexion SSH.
Il est possible de :
• générer une clé : dans ce cas, sélectionnez un système de signature de clé privée dans la liste ou,
• glisser-déposer un fichier ou renseigner un chemin pour charger le fichier contenant une clé
privée existante (au format OpenSSH ou PuTTY) et indiquer la phrase de chiffrement associée
(si définie).
Vous pouvez également changer manuellement la clé privée SSH du compte et la propager
instantanément sur la cible à l'aide du bouton « Propager le changement des accréditations ».
Lorsque vous avez défini la clé privée SSH pour le compte, cliquez sur « Valider ».
Vous avez à présent la possibilité de télécharger la clé publique SSH correspondante au format
OpenSSH ou ssh.com à l'aide du bouton « Télécharger la clé publique SSH ».
Notez que vous pouvez supprimer la clé privée SSH définie pour ce compte en cliquant sur le
bouton « Supprimer la clé privée SSH existante ».

Après avoir créé un compte d'équipement, vous avez la possibilité d'ajouter ce compte à un groupe
afin de créer un compte cible pour la gestion des sessions ou la gestion des mots de passe.
165
Note :
Ce type d'association de ressources peut également être géré à partir de
Pour ajouter un compte d'équipement à un groupe, sélectionnez la case à cocher située au début
de la ligne du compte d'équipement concerné puis cliquez sur le bouton « Ajouter au groupe ». Une

• le compte local.
Avertissement :
Le compte est affiché dans la liste autant de fois qu'il y a de services définis sur
l'équipement auquel il appartient. Assurez-vous donc de sélectionner uniquement le(s)
compte(s) souhaité(s) pour l'association au groupe.
Note :
enregistrées et vous pouvez associer le compte local à un autre groupe et/ou type
de cible. Autrement, cliquez sur le bouton « Ajouter et fermer » pour sauvegarder les
données et fermer la fenêtre.
10.4.3. Ajouter un compte cible à une application

Sur l'onglet « Comptes » situé dans le menu « Cibles », cliquez sur la section « Comptes
d'application » puis sur le bouton « + Compte » pour afficher la page de création du compte
d'application.
Cette page recense les sous-onglets suivants : « Général » et « Mot de passe ».

• le nom de l'application sur laquelle vous souhaitez ajouter un compte. Il sera impossible de
modifier le nom de l'application après avoir cliqué sur « Valider ».
• le nom du domaine local : vous pouvez sélectionner un domaine local existant ou en créer un. Il
sera impossible de modifier le nom du domaine local après avoir cliqué sur « Valider ».
l'interface Web.
166
• un bouton bascule pour activer ou désactiver le changement automatique du mot de passe pour
ce compte. Voir Section 4.6, « Chiffrement des données », page 20 pour plus d'informations sur
le chiffrement des données relatif au stockage du mot de passe.
Note :
cliqué sur « Valider », vous avez accès au sous-onglet « Mot de passe » de la page de
création du compte d'application.

accréditations ».

Après avoir créé un compte d'application, vous avez la possibilité d'ajouter ce compte à un groupe
afin de créer un compte cible pour la gestion des sessions ou la gestion des mots de passe.
Note :
Ce type d'association peut également être géré à partir de l'onglet « Groupes » (pour plus
d'informations, voir Section 10.5, « Groupes de cibles », page 173).
Pour ajouter un compte d'application à un groupe, sélectionnez la case à cocher située au début
de la ligne du compte d'application concerné puis cliquez sur le bouton « Ajouter au groupe ». Une

• le compte local.
Note :
enregistrées et vous pouvez associer le compte local à un autre groupe et/ou type
de cible. Autrement, cliquez sur le bouton « Ajouter et fermer » pour sauvegarder les
données et fermer la fenêtre.
10.4.4. Modifier un compte cible
167
Sur l'onglet « Comptes » situé dans le menu « Cibles », cliquez sur un nom de compte. La page de
modification de ce dernier s'affiche et vous permet de modifier les données déjà renseignées.
Pour plus d'informations, voir Section 10.4.1, « Ajouter un compte cible à un domaine
global », page 161 pour modifier un compte de domaine global ou voir Section 10.4.2, « Ajouter
un compte cible à un équipement », page 164 pour modifier un compte d'équipement ou voir
Section 10.4.3, « Ajouter un compte cible à une application », page 166 pour modifier un compte
d'application.
Avertissement :
Lorsque les accréditations d'un compte cible sont en cours d'emprunt, il n'est pas possible
de modifier l'identifiant, le mot de passe, la clé privée SSH et la politique d'emprunt
définis sur ce compte, via l'interface Web ou l'API REST. Il est d'abord nécessaire de
restituer les accréditations du compte en utilisant l'option « Forcer la restitution » pour
modifier ces données. Pour plus d'informations, voir Section 12.3.6, « Historique des
comptes », page 226.
Lorsque le compte de domaine global est défini sur un domaine associé à une Autorité de
Certification, il est possible de modifier la durée de validité du certificat ou de la renseigner
si elle n'a pas été définie précédemment. Le format approprié est le suivant :
[nombre de semaines]wk[nombre de jours]d[nombre d'heures]h[nombre
de minutes]min[nombre de secondes]s
Cependant si cette valeur est modifiée ou définie à ce stade alors l'ancienne durée de
validité s'applique encore et la nouvelle durée de validité du certificat sera effective lors
du prochain changement de clé SSH.
10.4.5. Changer automatiquement les accréditations pour

un ou plusieurs comptes
Sur l'onglet « Comptes » situé dans le menu « Cibles », vous avez la possibilité de lancer un
changement automatique du mot de passe et de la clé privée SSH pour un ou plusieurs comptes
de type : compte de domaine global, compte d'équipement et compte d'application.
Pour ce faire :
1. Cliquez sur le sous-onglet correspondant au type de compte souhaité,

2. Sélectionnez un ou plusieurs comptes cibles appartenant à un domaine autorisant le
changement des accréditations, à l’aide de la case à cocher située au début de chaque ligne,
3. Cliquez sur le bouton « Changement automatique des accréditations »,
4. Sélectionner le(s) type(s) d'accréditation que vous voulez changer ainsi que le(s) compte(s)
concerné(s) dans la nouvelle fenêtre,
5. Cliquez sur « Valider et fermer » pour lancer le changement automatique des accréditations
pour le(s) compte(s).
Les accréditations sont maintenant changées sur WALLIX Bastion et sur la ou les cible(s)
concernée(s).
Note :
Le changement automatique des accréditations n'est possible que pour les comptes
appartenant à un domaine sur lequel le changement de mot de passe est activé.
168
Lorsque ce changement est lancé, les accréditations sont changées instantanément sur
WALLIX Bastion et propagées sur la ou les cible(s) concernée(s).
Les accréditations sont changées automatiquement :
• en conformité avec la politique de changement de mot de passe sélectionnée pour ce

domaine. Pour plus d'informations, voir Section 11.3, « Politiques de changement des
• lorsque la politique d'emprunt autorise le changement des mots de passe
lors de la restitution. Pour plus d'informations, voir Section 10.8, « Politiques
d'emprunt », page 196.
10.4.6. Changer manuellement les accréditations d'un

compte cible donné
A partir de l'onglet « Comptes » situé dans le menu « Cibles », vous avez la possibilité de changer
manuellement le mot de passe et/ou la clé privée SSH d'un compte et de propager instantanément
ce changement sur la cible.
Pour ce faire, cliquez sur le nom du compte afin d'ouvrir la page de modification de ce dernier.
Vous pouvez alors :
• sur le sous-onglet « Mot de passe » : saisir et confirmer le nouveau mot de passe du compte et
activer le bouton « Propager le changement des accréditations »,
• sur le sous-onglet « Clé privée SSH », dans la section « Envoi d'une clé privée » : charger la
nouvelle clé et activer le bouton « Propager le changement des accréditations ».
Une fois les champs renseignés et le bouton de propagation activé, cliquez sur « Valider » pour
propager le nouveau mot de passe et/ou la nouvelle clé privée SSH sur la cible.
Note :
Le changement manuel des accréditations n'est possible que pour les comptes
appartenant à un domaine sur lequel le changement de mot de passe est activé.
Lorsque ce changement est lancé, les nouvelles accréditations sont changées
instantanément sur WALLIX Bastion et propagées sur la ou les cible(s) concernée(s).
Les accréditations sont changées :
• en conformité avec la politique de changement de mot de passe sélectionnée pour ce

domaine. Pour plus d'informations, voir Section 11.3, « Politiques de changement des
• lorsque la politique d'emprunt autorise le changement des mots de passe
lors de la restitution. Pour plus d'informations, voir Section 10.8, « Politiques
d'emprunt », page 196.
10.4.7. Supprimer un compte cible

Sur l'onglet « Comptes » situé dans le menu « Cibles », sélectionnez un ou plusieurs comptes
cibles à l’aide de la case à cocher située en début de ligne puis cliquez sur le bouton « Supprimer ».
169
10.4.8. Importer des comptes cibles

Cliquez sur « Import/Export » situé dans l'en-tête en haut à droite de la page pour importer les
données. Lorsque la page est ouverte, cliquez sur l'onglet « CSV » et sélectionnez « Comptes »à
l'aide de la case à cocher. Les séparateurs de champs et de listes sont également configurables.
#wab730 account
Important :

Identifiant Texte R Texte libre N/A
Mot de passe Texte O Texte libre N/A
L'authentification peut être

effectuée soit par mot de
passe, soit par une clé privée
ou les deux ou aucun des
deux.
Lorsque l'import est effectué

à partir de la version 6.1 de
WALLIX Bastion :
• si ce champ est vide, alors le

mot de passe est supprimé
lors de l'import ;
• si ce champ est renseigné
avec le mot-clé [hidden],
alors le mot de passe
existant n'est pas modifié.
Attention ! Si aucun mot
de passe n'est défini pour
le compte, alors ce champ
prend la valeur [hidden] ;
avec une valeur autre que le
mot-clé [hidden], alors le
mot de passe est mis à jour
avec cette nouvelle valeur.
Attention ! Lorsque l'import est

effectué à partir d'une version
170

antérieure à WALLIX Bastion
6.1 et si ce champ est vide,
alors le mot de passe n'est PAS
supprimé lors de l'import.
Clé privée Texte O Texte libre N/A
L'authentification peut être

effectuée soit par mot de
passe, soit par une clé privée
ou les deux ou aucun des
deux.
Lorsque l'import est effectué

à partir de la version 6.1 de
WALLIX Bastion :
• si ce champ est vide, alors la

clé privée est supprimée lors
de l'import ;
avec le mot-clé [hidden],
alors la clé existante n'est
pas modifiée. Attention ! Si
aucune clé n'est définie pour
le compte, alors ce champ
prend la valeur [hidden] ;
avec une valeur autre que le
mot-clé [hidden], alors la
clé est mise à jour avec cette
nouvelle valeur.
Attention ! Lorsque l'import

est effectué à partir d'une
version antérieure à WALLIX
Bastion 6.1 et si ce champ est
vide, alors la clé n'est PAS
supprimée lors de l'import.
La valeur de la clé privée étant

relativement longue, celle-ci
doit être mentionnée entre
guillemets pour l'import.
Phrase de Texte O Texte libre N/A
chiffrement
Phrase de chiffrement pour
la clé privée. Ce champ est
utilisé lorsqu'une nouvelle clé
est renseignée dans le champ
« Clé privée ».
171

Changement Booléen R Vrai ou Faux Faux
automatique du
mot de passe
Changement Booléen R Vrai ou Faux Faux
automatique de
la clé SSH
Politique Texte R Politique d'emprunt définie N/A
d'emprunt
Domaine Texte O Pour un compte sur un N/A
équipement :
Équipement
• domaine : domaine local de
Application
l'équipement
Ressources • équipement : nom de
l'équipement
• ressources : services
concernés (optionnel et
doivent exister sur
l'équipement)
Pour un compte sur une

application :
• domaine : domaine local de

l'application
• application : nom de
l'application
Pour un compte sur un

domaine global :
• domaine : nom du domaine

global
• - ressources : équipement
sur le domaine représenté
par la syntaxe
équipement:protocole
(optionnel)
Exemple de syntaxe d'import pour un équipement, un domaine et une application :
#wab730 account
my_device_user;device_user_login;description;False;P4sSw0rD;;False;default;
local_domain_1;my_device;;my_domain_user;domain_user_login;description;True;
P4sSw0rD;;False;default;my_global_domain;;;device_on_domain:rdpmy_app_user;
app_user_login;description;False;P4sSw0rD;;True;default;local_domain_1;;my_application;
172
est indiquée.
Figure 10.10. Page « CSV » - case « Comptes » cochée
10.5. Groupes de cibles
Sur l'onglet « Groupes » situé dans le menu « Cibles », vous pouvez :
• lister les groupes de cibles déclarés,

• ajouter, modifier et supprimer un groupe,
• visualiser les comptes cibles inclus dans chaque groupe,
• configurer un groupe pour la gestion des sessions et la gestion des mots de passe.
Il est possible d'importer des groupes de cibles à partir d'un fichier .csv afin d'alimenter la base
groupes de cibles », page 185.
dans le tableau de la page « Groupes ». Pour plus d'informations, voir Section 6.5, « Navigation
10.5.1. Ajouter un groupe de cibles

Sur l'onglet « Groupes » situé dans le menu « Cibles », cliquez sur le bouton « + Groupe » pour
afficher la page de création du groupe.
173
Cette page recense les sous-onglets suivants : « Général », « Cibles de gestion des sessions »,
« Cibles de gestion des mots de passe » et « Restrictions ».

Le sous-onglet « Général » recense les champs suivants :
• le nom du nouveau groupe de cibles,

• une description.
Note :
Après avoir renseigné les informations générales dans le sous-onglet « Général », cliquez
sur « Valider » pour pouvoir accéder aux autres sous-onglets de la page de création du
groupe.
10.5.1.2. Configurer un groupe de cibles pour la gestion des sessions à partir

d'un compte du coffre-fort
La procédure suivante consiste à définir, au sein d'un groupe donné, les comptes cibles qui seront
accessibles à distance à partir d'un client RDP ou SSH.
1. Sur le sous-onglet « Cibles de gestion des sessions », cliquez sur la section « Compte » puis
sur le bouton « + Cible(s) » pour afficher la page de création d'association des ressources.
2. Dans le champ « Depuis », sélectionnez la valeur souhaitée pour effectuer l'association : « Un
équipement et ses comptes locaux », « Un équipement et des comptes globaux », « Une
application et ses comptes locaux » ou « Une application et des comptes globaux ».
3. En fonction de la valeur choisie précédemment, sélectionnez l'équipement ou l'application
concerné(e) par l'association dans le champ suivant.
4. Dans le champ « Service », sélectionnez (si nécessaire) le service qui sera utilisé pour accéder
au(x) compte(s) cible(s).
5. Après avoir renseigné les champs, la liste des comptes disponibles s'affiche. Sélectionnez le(s)
compte(s) cible(s) concerné(s) par l'association à l’aide de la case à cocher située en début
de ligne.
6. Cliquez sur le bouton « Ajouter et continuer » pour enregistrer les données renseignées et
poursuivre la création d'autres associations au sein du groupe. Sinon, cliquez sur « Ajouter
et fermer » pour sauvegarder les données et fermer la page de création d'association de
ressources.
Note :
Il doit y avoir au moins un compte local et/ou un compte global défini sur cet équipement
ou sur cette application pour pouvoir effectuer l'association.
Il doit y avoir au moins un service existant sur l'équipement pour pouvoir configurer cette
association.
Vous pouvez supprimer une association en sélectionnant le(s) compte(s) concerné(s) par la
suppression à l'aide de la case à cocher située en début de ligne puis, cliquez sur le bouton
« Supprimer association(s) ». WALLIX Bastion affiche une fenêtre demandant une confirmation
avant la suppression définitive des lignes sélectionnées.
174
10.5.1.3. Configurer un groupe de cibles pour le compte de scénario lors d'une

session SSH
La procédure suivante consiste à définir, au sein d'un groupe donné, les comptes cibles qui seront
utilisables par un scénario de démarrage lorsque la session SSH aura débuté. Ces comptes sont
dénommés « comptes de scénario ». Pour plus d'informations, voir Section 12.15, « Scénario de
démarrage SSH sur un équipement cible », page 242.
1. Sur le sous-onglet « Cibles de gestion des sessions », cliquez sur la section « Compte de
scénario » puis sur le bouton « + Cible(s) » pour afficher la page de création d'association des
ressources.
équipement et ses comptes locaux » ou « Un domaine global et ses comptes ».
3. En fonction de la valeur choisie précédemment, sélectionnez l'équipement ou le domaine global
concerné par l'association dans le champ suivant.
de ligne.
ressources.
Note :
Il doit y avoir au moins un compte local défini sur cet équipement et/ou un compte global
défini sur ce domaine global pour pouvoir effectuer l'association.
10.5.1.4. Configurer un groupe de cibles pour la gestion des sessions par

mappage de compte
La procédure suivante consiste à définir, au sein d'un groupe donné, les cibles qui seront
accessibles par le biais du mappage de compte.
Un accès par le biais du mappage de compte peut être défini sur une ressource (équipement
+service ou application) dès lors qu'un service est sauvegardé sur cette même ressource.
Avertissement :
La méthode d'authentification PASSWORD_MAPPING doit être sélectionnée au niveau
de la politique de connexion associée à la cible pour pouvoir se connecter à celle-ci
via le mappage de compte (pour plus d'informations, voir Section 12.4, « Politiques de
connexion », page 231).
Le mappage de compte avec la méthode d'authentification PASSWORD_MAPPING n'est

pas fonctionnel si l'utilisateur s'authentifie via une méthode sans échange de mot de
passe telle que :
175
• Kerberos ou certificat X509 pour WALLIX Bastion,

• SAML ou certificat X509 pour WALLIX Access Manager.
1. Sur le sous-onglet « Cibles de gestion des sessions », cliquez sur la section « Mappage de
compte » puis sur le bouton « + Cible(s) » pour afficher la page de création d'association des
ressources.
équipement et ses services » ou « Applications ».
3. Si vous souhaitez accéder à un équipement, sélectionnez celui concerné par l'association dans
le champ suivant.
4. Après avoir renseigné les champs, la liste des services ou des applications disponibles s'affiche.
Sélectionnez le(s) service(s) concerné(s) ou l'(les) application(s) concernée(s) par l'association
à l’aide de la case à cocher située en début de ligne.
ressources.
10.5.1.5. Configurer un groupe de cibles pour la gestion des sessions en

connexion interactive
La procédure suivante consiste à définir, au sein d'un groupe donné, les cibles qui seront
accessibles par le biais de la connexion interactive.
Un accès par le biais de la connexion interactive peut être défini sur une ressource (équipement
+service ou application) dès lors qu'un service est sauvegardé sur cette même ressource.
Note :
La méthode d'authentification PASSWORD_INTERACTIVE doit être sélectionnée au
niveau de la politique de connexion associée à la cible pour pouvoir se connecter à celle-
ci via la connexion interactive (pour plus d'informations, voir Section 12.4, « Politiques
de connexion », page 231).
1. Sur le sous-onglet « Cibles de gestion des sessions », cliquez sur la section « Connexion
interactive » puis sur le bouton « + Cible(s) » pour afficher la page de création d'association
des ressources.
équipement et ses services » ou « Applications ».
3. Si vous souhaitez accéder à un équipement, sélectionnez celui concerné par l'association dans
le champ suivant.
4. Après avoir renseigné les champs, la liste des services ou des applications disponibles s'affiche.
Sélectionnez le(s) service(s) concerné(s) ou l'(les) application(s) concernée(s) par l'association
à l’aide de la case à cocher située en début de ligne.
176
ressources.
10.5.1.6. Configurer un groupe de cibles pour la gestion des mots de passe à

partir d'un compte du coffre-fort
La procédure suivante consiste à définir, au sein d'un groupe donné, les comptes cibles pour
lesquels la visualisation ou l'emprunt du mot de passe sera autorisé. Pour plus d'informations, voir
Section 11.1, « Autorisations de l'utilisateur sur les mots de passe », page 200.
1. Sur le sous-onglet « Cibles de gestion des mots de passe », cliquez sur le bouton « + Cible(s) »
pour afficher la page de création d'association des ressources.
équipement et ses comptes locaux », « Un domaine et ses comptes » ou « Une application et
ses comptes locaux ».
3. En fonction de la valeur choisie précédemment, sélectionnez l'équipement, le domaine global
ou l'application concerné(e) par l'association dans le champ suivant.
de ligne.
ressources.
10.5.1.7. Gérer les restrictions
10.5.1.7.1. Analyse des flux SSH / Détection de motifs (ou « patterns »)
Lors de la création/modification de groupes utilisateurs ou de groupes de cibles, il est possible

de définir des « restrictions » par le biais d'un ensemble d’actions à appliquer lors de la détection
de certaines chaînes de caractères sur le flux montant du proxy SSH en activant/désactivant la
détection de motifs, également appelés « patterns ». Les données analysées sont celles saisies
par l’utilisateur.
Note :
Il est possible de définir un ensemble de commandes autorisées pour une exécution
en « remote command » sous la forme d'expressions régulières pour le sous-protocole
SSH_REMOTE_COMMAND. Pour plus d'informations, voir Section 10.5.1.7.1.5,
177
« Motifs (ou « patterns ») de commandes autorisées pour le sous-protocole

SSH_REMOTE_COMMAND », page 181.
Pour ajouter une restriction, cliquez sur le sous-onglet « Restrictions » puis sur le bouton « +
Restriction » pour afficher la fenêtre de création dédiée. Les actions applicables doivent être
sélectionnées dans le champ « Action » et, les règles correspondantes doivent être définies dans
le champ « Règles ».
En cas de détection, l'action associée sera exécutée : coupure de session pour une action « Kill »
(ou « Fermer ») ou envoi d'une notification dans le cas d'une action « Notify » (ou « Notifier »).
Avertissement :
La détection de chaînes de caractères n’est active que pour les données envoyées par
le client vers le serveur.
La liste des motifs appliqués est la somme de ceux présents dans les groupes d’utilisateurs et les
groupes de cibles. L’action liée est la plus restrictive : si l’un des groupes porte l’action « Kill » (ou
« Fermer »), c’est cette action qui sera choisie.
Les règles sont à rentrer sous la forme d’expressions régulières, à raison d’une expression par ligne.
Exemple : pour empêcher la suppression de fichiers, les expressions à rentrer dans le champ
« Règles » sont :
unlink\s+.*
rm\s+.*
10.5.1.7.1.1. Avertissement pour les actions « Kill » (ou « Fermer »)
Par défaut, les actions « Kill » (ou « Fermer ») coupent la session à la première détection.
Il est néanmoins possible de définir un nombre de détections avec blocage et avertissement avant
coupure de la session.
Pour cela, il est nécessaire de paramétrer une option globale du proxy SSH : sur l'onglet « Options
de configuration » du menu « Configuration », sélectionner « SSH proxy » dans la liste pour
accéder à la page de configuration du proxy SSH, puis saisir un nombre entier positif dans le champ
« Warning count ». Par défaut, cette valeur correspond à « 0 ».
Par exemple, une valeur de « 5 » avertira cinq fois l’utilisateur d’une détection (tout en bloquant
l’exécution de la commande) avant de couper la session à la sixième détection.
Avertissement :
Par défaut, les saisies clavier non affichées sur le terminal (comme par exemple, les mots
de passe) ne sont pas journalisées au sein de WALLIX Bastion, sauf si l'option « Log all
kbd » est activée sur la page de configuration de la politique de connexion. Cependant,
un utilisateur malveillant peur forcer cet affichage de façon permanente au cours de la
session, via la commande suivante :
stty -echo
Dans ce cas, il est alors possible de couper la session en définissant la règle de type
« Kill » suivante dans le sous-onglet « Restrictions » de l'onglet « Groupes » :
178
10.5.1.7.1.2. Transferts de fichiers
Pour les sous-protocoles SFTP_SESSION, SSH_SCP_UP et SSH_SCP_DOWN, il est possible de

créer une expression basée sur la taille des fichiers dans le but de détecter le transfert de fichiers
volumineux. La syntaxe est la suivante:
$filesize:>X
X est une taille en octets.
Une lettre finale (telle que « m », « k », « g ») peut être mentionnée pour indiquer une échelle,
comme indiqué dans le tableau ci-dessous :
Lettre Échelle
k 1 000
m 1 000 000
g 1 000 000 000
10
K 1024 (2 )
20
M 1 048 576 (2 )
30
G 1 073 741 824 (2 )
Tableau 10.1. Échelle
10.5.1.7.1.3. Limite sur les quantités de données descendantes
Pour les sous-protocoles SSH_SHELL_SESSION, SSH_REMOTE_COMMAND, TELNET et

RLOGIN, il est possible de créer une expression basée sur la définition d'une limite sur le volume
de données descendantes depuis le serveur vers le poste client. La syntaxe est la suivante:
$downsize:>X
X est une taille en octets.
Une lettre finale (telle que « m », « k », « g ») peut être mentionnée pour indiquer une échelle,
comme indiqué dans le tableau ci-dessous :
Lettre Echelle
k 1 000
m 1 000 000
g 1 000 000 000
10
K 1024 (2 )
20
M 1 048 576 (2 )
30
G 1 073 741 824 (2 )
Tableau 10.2. Échelle
10.5.1.7.1.4. Détections de commandes Cisco IOS
Les routeurs CISCO sous IOS sont des systèmes assez restreints pour la saisie des commandes
mais supportent l’auto-complétion et la saisie partielle lorsque les préfixes de commandes sont non
ambigus.
179
Il est donc nécessaire d’avoir une extension particulière de la syntaxe des règles pour interdire ou
autoriser certaines commandes de la manière la plus complète possible sur un système cible de
ce type.
Avertissement :
Une cible ayant ce type de règles de détection sera considérée comme un équipement
CISCO IOS. Il ne faut donc pas l’utiliser pour un autre type de cible comme Linux/Unix
sous peine de dysfonctionnement.
Cette extension de syntaxe est utilisable avec les sous-protocoles SSH_SHELL_SESSION,

RLOGIN ou TELNET (selon le type de connexion), pour n’importe quel type d’action.
Deux modes sont disponibles :
• Liste blanche de commandes : seules les commandes listées sont autorisées. Dans le champ
« Règles », la syntaxe à utiliser est la suivante : $acmd:[liste de commandes]
• Liste noire de commandes : toutes les commandes sont autorisées sauf celles listées. Dans le
champ « Règles », la syntaxe à utiliser est la suivante : $cmd:[liste de commandes]
La liste de commande est délimitée par des crochets, chaque commande est séparée par une
virgule. Par exemple : [enable, show kerberos, access-template, configure
terminal]
Une commande peut contenir un séparateur « : » qui indique la fin du préfixe non ambigu.
La commande en elle-même ne peut pas contenir de caractères « : ». Par exemple pour les
commandes « en[able] », « sh[ow] kerb[eros] », « access-t[emplate] », et « conf[igure] t[erminal] »
la liste serait : [en:able, sh:ow kerb:eros, access-t:emplate, conf:igure
t:erminal]
Exemple de liste blanche :
$acmd:[en:able, sh:ow kerb:eros, access-t:emplate, conf:igure t:erminal]

$acmd:[sh:ow]
Exemple de liste noire :
$cmd:[en:able, sh:ow]
En cas de déclarations multiples, toutes les listes du même type sont fusionnées.
Si des listes blanches et noires sont déclarées en même temps, la détection se fera par la liste
blanche dans laquelle on aura enlevé les commandes de la liste noire.
Par défaut, et de manière implicite, les commandes « alias » et « prompt » seront ajoutées à une
liste noire et la commande « exit » sera ajoutée à une liste blanche.
Exemple de détection utilisant la liste blanche : [w:here, sh:ow ke:rberos, co:nnect]
Saisie Détection
show Oui
show kerb Non
sh ke c Non
180
Saisie Détection
show kron schedule Oui
show ip arp Oui
config t Oui
where Non
w Non
alias show montrer Oui
exit Non
Tableau 10.3. Détection Cisco IOS avec liste blanche
Exemple de détection utilisant la liste noire : [w:here, sh:ow ke:rberos, co:nnect]
Saisie Détection
show Non
show kerb Oui
sh ke c Oui
show kron schedule Non
show ip arp Non
config t Non
where Oui
w Oui
alias show montrer Oui
exit Non
Tableau 10.4. Détection Cisco IOS avec liste noire
10.5.1.7.1.5. Motifs (ou « patterns ») de commandes autorisées pour le sous-protocole

SSH_REMOTE_COMMAND
Il est possible de définir un ensemble de commandes autorisées pour une exécution en « remote
command » sous la forme d'expressions régulières. Une commande qui ne correspondrait pas à
cet ensemble sera détectée.
La syntaxe est la suivante :
$allow:<re_1>
Les commandes correspondant à l'expression régulière <re_1> sont alors autorisées. Celles qui
ne correspondent pas à cette expression régulière sont détectées.
Si plusieurs expressions de type « allow » sont définies, une commande sera autorisée si elle vérifie
au moins l'une d'elles.
La suite de règles suivante :
$allow:<re_1>
$allow:<re_2>
...
181
$allow:<re_n>
peut également être formulée ainsi :
$allow:<re_1> |<re_2>| ... |<re_n>
Les règles définies sous la forme d'expressions régulières standards sont également vérifiées.
Ainsi, une règle définie à la fois sous la forme d'une expression régulière autorisée et d'une
expression régulière standard sera détectée, et l'action correspondante sera exécutée en
conséquence.
Exemple de détection pour la règle : $allow:abc
Saisie Détection
abc Non
cde Oui
Tableau 10.5. Commandes
Exemples de détection pour les règles :
$allow:abc
$allow:ps.*
Saisie Détection
abc Non
cde Oui
ps aux Non
ps aux | grep eggs Non
ls Oui
Exemples de détection pour les règles :
$allow:abc
$allow:ps.*
ps.*\|
Saisie Détection
abc Non
cde Oui
ps aux Non
ps aux | grep eggs Oui
ls Oui
10.5.1.7.2. Analyse des flux RDP / Détection de motifs (ou « patterns »)
182
Lors de la création/modification de groupes utilisateurs ou de groupes de cibles, il est possible de

définir des « restrictions » par le biais d'un ensemble d’actions à appliquer lors de la détection de
certaines chaînes de caractères dans le flux clavier du proxy RDP (les données analysées sont
celles tapées par l’utilisateur) et/ou dans les barres de titre des fenêtres (les données analysées
sont celles affichées à l’écran). Cela se fait en activant/désactivant la détection de motifs, également
appelés « patterns ».
Pour ajouter une restriction, cliquez sur le sous-onglet « Restrictions » puis sur le bouton « +
Restriction » pour afficher la fenêtre de création dédiée. Les actions applicables doivent être
sélectionnées dans le champ « Action » et, les règles correspondantes doivent être définies dans
le champ « Règles ».
En cas de détection, l'action associée sera exécutée : coupure de session pour une action « Kill »
(ou « Fermer ») ou envoi d'une notification dans le cas d'une action « Notify » (ou « Notifier »).
Avertissement :
La détection de chaînes de caractères n’est active que pour les données envoyées par
le client vers le serveur.
La liste des motifs appliqués est la somme de ceux présents dans les groupes d’utilisateurs et les
groupes de cibles. L’action liée est la plus restrictive : si l’un des groupes porte l’action « Kill » (ou
« Fermer »), c’est cette action qui sera choisie.
Les actions sont à rentrer sous la forme d’expressions régulières, à raison d’une expression par
ligne.
Une expression préfixée par « $kbd: » s’appliquera uniquement aux flux clavier.
Une expression préfixée par « $ocr: » ou sans préfixe s’appliquera uniquement aux titres des
fenêtres.
Enfin, une expression préfixée par « $kbd-ocr: » ou « $ocr-kbd: » s’appliquera aux deux.
Par exemple, pour empêcher la suppression de fichiers depuis l’invite de commande (cmd.exe),
les expressions à rentrer sont les suivantes :
$kbd:del\s+.*
$kbd:erase\s+.*
Pour empêcher l’ouverture de l’invite de commande elle-même :
$ocr:Invite de commande
$ocr:.*\\cmd.exe
Les préfixes suivants peuvent être utilisés pour affiner la recherche de caractères :
• « $content: » recherche une chaîne,

• « $exact-content: » recherche une chaîne complète. Ce préfixe devient « content: » s'il est utilisé
avec « $kbd: ».
• « $regex: » recherche une expression régulière. Il s'agit du comportement par défaut.
• « $exact-regex: » recherche une expression formée par « ^motif$ ».
Par exemple, « $content,ocr:abc.exe » s'appliquera sur toutes les fenêtres contenant la chaîne
« abc.exe ».
183
Le caractère « . » n'est pas considéré comme un caractère d'expression régulière.
Le caractère « - » est utilisé comme séparateur pour « $ocr: » et « $kbd: ». Les caractères de
séparateur supportés sont « - » et « , ».
Avertissement :
Si vous choisissez de fermer la session quand une barre de titre de fenêtre spécifique
est affichée, les utilisateurs ne pourront pas se reconnecter tant que cette fenêtre n’aura
pas été fermée ou son titre changé car leurs sessions seront de nouveau fermées
immédiatement.
10.5.1.7.3. Importer/exporter des restrictions pour les groupes de cibles et les groupes

utilisateurs
Vous pouvez importer les restrictions définies lors de la création ou la modification de groupes
utilisateurs ou de groupes de cibles. Ces restrictions déterminent les actions à appliquer lors
de la détection de certaines chaînes de caractères sur le flux montant des proxies (voir
Section 10.5.1.7.1, « Analyse des flux SSH / Détection de motifs (ou « patterns ») », page 177 et
Section 10.5.1.7.2, « Analyse des flux RDP / Détection de motifs (ou « patterns ») », page 182).
données. Lorsque la page est ouverte, cliquez sur l'onglet « CSV » et sélectionnez « Comptes »à
l'aide de la case à cocher. Les séparateurs de champs et de listes sont également configurables.
#wab730 restriction
Important :

Le nom du groupe est unique.

Type Texte R Cible / Utilisateur N/A
Action Texte R « Kill » (ou « Fermer ») /
« Notify » (ou « Notifier »)
Règles Texte R Expressions régulières, à N/A
raison d’une expression par
ligne
Il peut y avoir des règles

définies à la fois sur les groupes
de cibles et sur les groupes
utilisateurs au sein du même
fichier.
184

Sous- Texte R Nom du sous-protocole N/A
protocole
est indiquée.
Attention :
Un utilisateur est autorisé à exporter les restrictions lorsqu'au moins le droit « Afficher »
pour la fonctionnalité « Cibles & comptes » est paramétré au niveau de son profil (voir
Section 9.3, « Profils utilisateurs », page 90).
Si seul le droit « Afficher » pour la fonctionnalité « Cibles & comptes » est paramétré au
niveau de son profil, alors l'utilisateur sera autorisé à exporter les restrictions uniquement
sur les groupes de cibles.
Si le droit « Afficher » pour la fonctionnalité « Utilisateurs » est également paramétré au

niveau de son profil, alors l'utilisateur sera autorisé à exporter les restrictions définies sur
les groupes utilisateurs qu'il/elle peut visualiser (en fonction des limitations du profil. Pour
plus d'informations, voir Section 9.3, « Profils utilisateurs », page 90).
Si seul le droit « Afficher » pour la fonctionnalité « Utilisateurs » est paramétré au niveau

de son profil, alors l'utilisateur ne pourra exporter aucune restriction.
10.5.2. Modifier un groupe de cibles

Sur l'onglet « Groupes » situé dans le menu « Cibles », cliquez sur un nom de groupe pour afficher
la page de modification de ce dernier. Vous êtes invité(e) à modifier les données renseignées
précédemment.
Pour plus d'informations sur la saisie des données dans les sous-onglets, voir Section 10.5.1,
« Ajouter un groupe de cibles », page 173.
10.5.3. Supprimer un groupe de cibles

Sur l'onglet « Groupes » situé dans le menu « Cibles », sélectionnez un ou plusieurs groupes de
cibles à l’aide de la case à cocher au début de la ligne puis cliquez sur le bouton « Supprimer ».
Avertissement :
Vous ne pouvez pas supprimer un groupe de cibles lorsque des autorisations actives (voir
Chapitre 13, « Gestion des autorisations », page 258) sont rattachées à ce groupe.
10.5.4. Importer des groupes de cibles
185
données. Lorsque la page est ouverte, cliquez sur l'onglet « CSV » et sélectionnez « Groupes
de cibles »à l'aide de la case à cocher. Les séparateurs de champs et de listes sont également
configurables.
#wab730 targetsgroup
Important :

Le nom du groupe est unique.

Comptes cibles Texte O Comptes cibles sélectionnés N/A
pour la gestion des sessions
Il peut n'y avoir aucun compte

cible ou un ou plusieurs
comptes cibles dans chaque
catégorie ou dans toutes les
catégories en même temps.
Un compte cible peut être

défini sur un domaine global
(et non local).
Format pour les comptes

cibles :
compte@domaine@équipe-
ment:protocole
Mappage de Texte O Cibles en mappage de compte N/A
compte sélectionnées
Format pour les cibles en

mappage de compte :
Connexion Texte O Cibles en connexion N/A
interactive interactive sélectionnées
Format pour les cibles en

connexion interactive :
186

Comptes Texte O Comptes cibles sélectionnés N/A
pour la gestion des mots de
passe
Format pour les comptes

cibles :
compte@domaine ou
compte@domaine@équipement
ou
compte@domaine@application
est indiquée.
Figure 10.11. Page « CSV » - case « Groupes de comptes cibles » cochée
10.6. Clusters
Un cluster est un groupe de serveurs de rebond. L’utilisation d’un cluster à la place d’un équipement
unique permet de mettre en place de la répartition de charge et de la Haute Disponibilité pour une
application. La sélection du serveur de rebond à utiliser pour exécuter une application se fait en
187
deux étapes. WALLIX Bastion trie les serveurs en commençant par celui avec le moins de sessions
ouvertes, puis essaie de se connecter à chacun jusqu’à la première tentative qui réussit.
Sur la page « Clusters », vous pouvez :
• lister les clusters et les comptes cibles déclarés sur chacun des groupes,
• ajouter/modifier/supprimer un cluster,
• importer des clusters à partir d'un fichier .csv afin d'alimenter la base ressources de WALLIX
Bastion.
la page « Clusters ». Pour plus d'informations, voir Section 6.5, « Navigation au sein des tableaux
10.6.1. Ajouter un cluster
Sur la page « Clusters », cliquez sur « Ajouter un cluster » pour afficher la page de création du
cluster.
• un champ pour la saisie du nom du cluster,

• les cibles pouvant être sélectionnées pour appartenir au cluster : déplacez une cible depuis le
cadre « Comptes cibles disponibles » vers le cadre « Comptes cibles sélectionnées » pour choisir
la cible. Et inversement, déplacez une cible depuis le cadre « Comptes cibles sélectionnées »
vers le cadre « Comptes cibles disponibles » pour supprimer l'association.
Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans
la zone dédiée au niveau de l'icône loupe.
Vous pouvez effectuer une sélection multiple dans la liste des cadres.
Figure 10.12. Page « Clusters » en mode création
188
10.6.2. Modifier un cluster
Sur la page « Clusters », cliquez sur un nom de cluster puis sur « Modifier ce cluster » pour afficher
la page de modification du cluster.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du cluster.
10.6.3. Supprimer un cluster
Sur la page « Clusters », sélectionnez un ou plusieurs clusters à l’aide de la case à cocher au début
10.6.4. Importer des clusters

Sur la page « Clusters », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite
de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu
« Import/Export » : la case « Clusters » est déjà cochée pour l'import des données. Les séparateurs
de champs et de listes sont également configurables.
#wab730 cluster
Important :

Compte cible Texte R/O Comptes cibles définis N/A
Il doit y avoir au moins

un compte cible existant
ou une cible existante en
mappage de compte ou
encore une cible existante
en connexion interactive.
Il peut n'y avoir aucune cible

ou une ou plusieurs cibles
dans chaque catégorie ou
dans toutes les catégories
pour le cluster.
Mappage de Texte R/O Cibles en mappage de N/A
compte compte définies

189


pour le cluster.
Connexion Texte R/O Cibles en connexion N/A
interactive interactive définies

pour le cluster.
est indiquée.
Figure 10.13. Page « CSV » - case « Clusters » cochée
190
10.7. Plugins de coffres-forts externes à mots

de passe
Sur la page « Plugins de coffres-forts » du menu « Cibles », vous pouvez visualiser la liste des
plugins configurés au sein de WALLIX Bastion. Pour plus d'informations, voir Section 5.3, « Coffre-
fort externe à mots de passe », page 23.
Avertissement :
Cette page est uniquement affichée lorsque la fonctionnalité « Coffres-forts Externes »
Un plugin de coffre-fort externe à mots de passe peut être sélectionné lors de la création d'un
domaine global (voir Section 10.3, « Domaines », page 149) et plusieurs paramètres peuvent
être définis en fonction du plugin choisi.
Notez qu'il est possible de rechercher et trier les données affichées dans le tableau de la page
« Plugins de coffres-forts ». Pour plus d'informations, voir Section 6.5, « Navigation au sein des
tableaux de l'interface Web », page 34.
Figure 10.14. Page « Plugins de coffres-forts »
10.7.1. Plugin Bastion
Ce plugin permet la connexion à distance à WALLIX Bastion afin d'accéder au coffre-fort externe
via le Web service API REST. Pour plus d'informations, voir Section 5.3, « Coffre-fort externe à
Les paramètres à définir pour ce plugin lors de la création d'un domaine global (voir Section 10.3,
« Domaines », page 149) sont les suivants :
• URL d'API : URL de l'API REST pour accéder au coffre-fort. Ce paramètre est requis. Cette
URL doit commencer par « https:// » et se terminer par « /api/vX.Y ». La version d'API minimale
supportée est la 2.3.
• Clé d'API : clé pour se connecter à l'API REST. Si une clé est renseignée, elle doit être saisie
une deuxième fois pour confirmation. Cette clé doit être générée sur l'instance WALLIX Bastion
distante.
• Identifiant compte de service : identifiant du compte de service pour se connecter à l'API REST.
Cet identifiant doit correspondre à l'identifiant d'un compte utilisateur sur l'instance WALLIX
Bastion distante.
191
• Mot de passe compte de service : mot de passe du compte de service pour se connecter à l'API
REST. Si un mot de passe est renseigné, il doit être saisi une deuxième fois pour confirmation.
10.7.2. Plugin CyberArk Enterprise Password Vault

Ce plugin permet d'accéder au coffre-fort d'une solution de gestion de privilèges CyberArk
Enterprise Password Vault via le Web service API REST. Pour plus d'informations, voir Section 5.3,
« Coffre-fort externe à mots de passe », page 23.
• URL d'API : URL de l'API REST pour accéder au coffre-fort. Ce paramètre est requis. Cette URL
doit commencer par « https:// » et se terminer par « PasswordVault ».
• Nom du coffre : nom du conteneur de la solution de gestion de privilèges CyberArk Enterprise
Password Vault dans lequel les secrets sont stockés. Ce paramètre est requis.
Cet identifiant doit correspondre à l'identifiant d'un compte utilisateur au sein de la solution de
gestion de privilèges CyberArk Enterprise Password Vault.
• Durée maximum d'emprunt (minutes) : intervalle de temps maximum, exprimé en minutes,
pendant lequel l'emprunt peut être effectué. A la fin de cette période, une restitution automatique
est effectuée par le système. Si la valeur "0" est renseignée dans ce champ, alors aucune
restitution automatique n'est effectuée.
10.7.3. Plugin HashiCorp Vault

Ce plugin permet d'accéder au coffre-fort de la solution de gestion de secrets HashiCorp Vault via
le Web service API REST. Pour plus d'informations, voir Section 5.3, « Coffre-fort externe à mots
de passe », page 23.
10.7.3.1. Configuration de la solution de gestion de secrets HashiCorp Vault

Les paramètres suivants doivent être configurés pour le moteur des secrets du coffre-fort :
• Type : Key/Value (KV)

• Version du moteur : Version 1
Les données secrètes sont structurées de la façon suivante au sein de la solution :
1. Racine du coffre-fort
└── 2. Nom du moteur des secrets
├── 3. Nom du compte WALLIX Bastion
├── Identifiant (champ « login »)
├── Mot de passe (champ « password »)
├── Certificat SSH (champ « ssh_certificate »)

└── Clé SSH (champ « ssh_key »)
└── Autre nom de compte WALLIX Bastion
192
├── Identifiant (champ « login »)
├── Mot de passe (champ « password »)
├── Certificat SSH (champ « ssh_certificate »)

└── Clé SSH (champ « ssh_key »)
Chaque moteur des secrets est associé à un domaine.

Les données du compte au sein de la solution sont encodées en UTF-8.
L'identifiant et une accréditation minimum (mot de passe ou clé SSH) sont requis.
La clé SSH doit être renseignée au format OpenSSH ou PEM. Le certificat correspond au contenu
d'une clé publique signée téléchargeable depuis l'interface Web de WALLIX Bastion.
Figure 10.15. Exemple : Données secrètes du compte « user1 » au sein du

moteur « engine_one » dans la solution de gestion de secrets HashiCorp Vault
10.7.3.2. Configuration dans WALLIX Bastion

• URL d'API : URL de l'API REST pour accéder au coffre-fort. Ce paramètre est requis.
• Chemin moteur secrets : chemin d'accès au moteur des secrets du coffre-fort. Ce paramètre est
requis.
• Jeton : jeton pour accéder au coffre-fort dans le cadre d'une méthode d'authentification « Token ».
Si un jeton est renseigné, il doit être saisi une deuxième fois pour confirmation.
• Identifiant : identifiant du compte pour accéder au coffre-fort dans le cadre d'une méthode
d'authentification « Userpass ». Cet identifiant doit correspondre à l'identifiant d'un compte
utilisateur au sein de la solution de gestion de secrets HashiCorp Vault.
193
• Mot de passe : mot de passe du compte pour accéder au coffre-fort dans le cadre d'une méthode
d'authentification « Userpass ». Si un mot de passe est renseigné, il doit être saisi une deuxième
fois pour confirmation.
• Fichier PKCS#12 : renseigner un chemin afin de fournir un fichier PKCS#12 pour charger la
clé privée et la clé publique utilisées pour accéder au coffre-fort, dans le cadre d'une méthode
d'authentification « TLS Certificate ».
• Phrase de chiffrement fichier PKCS#12 : phrase de chiffrement de déverrouillage des clés
fournies dans le fichier PKCS#12 pour la méthode d'authentification « TLS Certificate ». Si une
phrase de chiffrement est renseignée, elle doit être saisie une deuxième fois pour confirmation.
• Nom du rôle : nom du rôle associé à l'Autorité de Certification (ou « AC ») sur le serveur de la
solution de gestion de secrets HashiCorp Vault.
10.7.4. Plugin Thycotic Secret Server

Ce plugin permet d'accéder au coffre-fort de la solution de gestion de secrets Thycotic Secret Server
via le Web service API REST. Pour plus d'informations, voir Section 5.3, « Coffre-fort externe à
Ce plugin permet notamment d'effectuer les opérations d'emprunt et de restitution des mots de
passe et des clés SSH des comptes cibles. Cependant, il ne permet pas d'étendre la durée
d'emprunt des accréditations.
Certaines fonctionnalités de la solution de gestion de secrets Thycotic Secret Server ne sont pas
prises en charge par WALLIX Bastion. Par conséquent, les secrets gérés par des comptes habilitant
au moins l'une des fonctionnalités suivantes ne sont pas accessibles :
• la protection DoubleLock est définie,

• une approbation est requise,
• un commentaire est requis.
10.7.4.1. Paramètres du plugin
• URL d'API : URL de l'API REST pour accéder au coffre-fort. Ce paramètre est requis. Cette
URL doit commencer par « https:// » et se terminer par « /SecretServer », par exemple « https://
coffre.masociete.com/SecretSever ».
Cet identifiant doit correspondre à l'identifiant d'un compte utilisateur au sein de la solution de
gestion de secrets Thycotic Secret Server.
• Champ de l'identifiant : nom du champ contenant l'identifiant du compte au sein de la solution
de gestion de secrets Thycotic Secret Server. Ce nom est sensible à la casse. Ce paramètre est
requis et contient la valeur « Username » par défaut.
Avertissement :
Les champs « Identifiant compte de service » et « Mot de passe compte de service »
sont optionnels. Si aucun compte de service n'est renseigné, l'utilisateur doit alors
194
s'authentifier avec un mot de passe via les proxies RDP ou SSH ou l'interface Web afin
d'accéder au coffre-fort de la solution de gestion de secrets Thycotic Secret Server. Les
authentifications par certificat X509, clé SSH ou ticket Kerberos ne fonctionnant pas dans
ce contexte, il est alors nécessaire de définir un compte de service.
10.7.4.2. Accès au coffre-fort
Le processus d'accès au coffre-fort afin de récupérer le secret d'un compte est le suivant :
• Si l'utilisateur s'est authentifié avec un identifiant et un mot de passe, alors ces accréditations sont
utilisées pour accéder au serveur de la solution de gestion de secrets Thycotic Secret Server ;
• Si l'utilisateur s'est authentifié en utilisant un ticket Kerberos ou une clé SSH ou encore un
certificat X509 (ou tout autre mode d'authentification sans renseignement de mot de passe), le
compte de service est utilisé pour récupérer le secret. Dans ce cas, le compte de service doit
avoir au minimum les mêmes droits que ceux du compte de l'utilisateur.
• Si aucune de ces méthodes ne fonctionne, il est alors impossible d'accéder au coffre-fort pour
récupérer un secret.
10.7.4.3. Récupération du secret du compte

Afin de récupérer le secret d'un compte (à savoir : le mot de passe ou la clé SSH) au sein de
la solution de gestion de secrets Thycotic Secret Server, ce compte doit être associé à WALLIX
Bastion par l'intermédiaire d'un domaine global assurant la fonction de conteneurs de ces comptes.
La recherche est effectuée par l'indication du numéro d'identification du secret (ou « Secret ID »),
au sein du coffre-fort externe, dans le champ « Identifiant » du compte cible au sein de WALLIX
Bastion. Ce compte cible est alors associé au compte dans le coffre-fort de la solution de gestion
de secrets Thycotic Secret Server.
Exemple : Recherche du compte dont le « Secret ID » correspond à « 26 » :
- Sur l'interface de la solution Thycotic Secret Server, les paramètres de ce compte sont les
suivants :
L'URL mentionnée sur la capture d'écran ci-dessus indique qu'il s'agit bien du compte dont le
« Secret ID » correspond à « 26 ».
195
- Sur l'interface Web de WALLIX Bastion, les paramètres définis pour le plugin Thycotic Secret
Server sont les suivants :
Comme indiqué sur la capture d'écran ci-dessus, la valeur dans « Champ de l'identifiant »
correspond au nom du champ contenant l'identifiant du compte au sein de la solution de gestion
de secrets Thycotic Secret Server, à savoir : « Username ». La valeur de l'identifiant du compte
renseignée dans le champ « Username » est donc « root », comme indiqué sur la capture d'écran
précédente.
- Sur l'interface Web de WALLIX Bastion, les paramètres définis pour le compte cible sont les
suivants :
Comme indiqué sur la capture d'écran ci-dessus :
• le champ « Nom » contient le nom du compte cible qui sera affiché sur le sélecteur du client
proxy, à savoir : « SSH_root »
• le champ « Identifiant » contient le numéro « 26 » du « Secret ID » pour établir une
correspondance avec le compte de la solution Thycotic Secret Server et récupérer le secret
correspondant.
Avertissement :
Étant donné que le champ « Identifiant » contient le numéro du « Secret ID », l'option
« copier depuis le nom » ne doit pas être cochée. En effet, ce champ ne doit pas
correspondre à l'identifiant du compte distant.
10.8. Politiques d'emprunt
196
La politique d'emprunt définit les paramètres relatifs au processus d'emprunt du compte. Elle
peut être sélectionnée lors de la création ou de la modification d'un compte cible. Pour plus
d'informations, voir Section 10.4, « Comptes cibles », page 160.
Lors du processus d'emprunt des accréditations, l'utilisateur a accès aux informations suivantes :
• l'identifiant du compte,
• le mot de passe si celui-ci a été défini pour le compte sur l'instance locale ou distante de WALLIX
Bastion,
• la clé privée SSH si celle-ci a été définie pour le compte sur l'instance locale ou distante de
WALLIX Bastion,
• le certificat (c'est-à-dire la clé publique SSH signée) si le compte est défini sur un domaine associé
à une Autorité de Certification.
Sur l'onglet « Politiques d'emprunt » situé dans le menu « Cibles », vous pouvez :
• lister les politiques d'emprunt,

• ajouter, modifier et supprimer une politique d'emprunt.
Avertissement :
Une politique d'emprunt par défaut appelée « default » est configurée au sein de WALLIX
Bastion. Vous pouvez modifier cette politique mais vous ne pouvez pas la supprimer.
dans le tableau de la page « Politiques d'emprunt ». Pour plus d'informations, voir Section 6.5,
« Navigation au sein des tableaux de l'interface Web », page 34.
10.8.1. Ajouter une politique d'emprunt

Sur l'onglet « Politiques d'emprunt » situé dans le menu « Cibles », cliquez sur le bouton « + Politique
d'emprunt » pour afficher la page de création de la politique d'emprunt.
Cette page recense les sous-onglets suivants : « Général » et « Comptes ».
L'onglet « Général » vous permet de saisir :
• le nom de la politique d'emprunt,

• un bouton pour activer le verrouillage du compte durant le processus d'emprunt du mot de passe
afin d'éviter une utilisation simultanée par plusieurs utilisateurs,
• si le verrouillage est activé :
– la durée d'emprunt, exprimée en heures, en minutes et en secondes. Cette durée doit être
renseignée.
– l'extension de la durée d'emprunt, exprimée en heures, en minutes et en secondes,
– la durée maximum d'emprunt, exprimée en heures, en minutes et en secondes,
Note :
Ce champ doit être renseigné si la durée d'emprunt et l'extension de la durée
d'emprunt sont toutes deux paramétrées. De plus, cette durée doit être supérieure
ou égale à la somme des valeurs définies pour la durée d'emprunt et l'extension.
197
Si l'extension de la durée n'est pas définie, ce champ doit être vide ou la valeur saisie
doit être la même que celle définie pour la durée d'emprunt.
– une case à cocher pour activer le changement du mot de passe lors de la restitution.
Figure 10.16. Page « Politiques d'emprunt » en mode création

Le sous-onglet « Comptes » vous permet de :
• lister les comptes associés à la politique d'emprunt concernée dans des sections dédiées,
• modifier un compte associé à la politique d'emprunt. Pour cela, cliquez sur la section
correspondante au type du compte puis, cliquez sur le nom du compte pour afficher la page de
modification de ce dernier.
Pour plus d'informations, voir Section 10.4.1, « Ajouter un compte cible à un domaine
global », page 161 pour modifier un compte de domaine global, Section 10.4.2, « Ajouter
un compte cible à un équipement », page 164 pour modifier un compte d'équipement et
Section 10.4.3, « Ajouter un compte cible à une application », page 166 pour modifier un compte
d'application.
• supprimer des comptes associés à la politique d'emprunt. Pour cela, sélectionnez le(s) comptes
concerné(s) à l'aide de la case à cocher située en début de ligne puis, cliquez sur le bouton
« Supprimer ».
10.8.2. Modifier une politique d'emprunt

Sur l'onglet « Politiques d'emprunt » situé dans le menu « Cibles », cliquez sur un nom de
politique pour afficher la page de modification de cette dernière. Vous pouvez modifier les données
renseignées précédemment.
Pour plus d'informations sur l'ajout de données dans les sous-onglets, voir Section 10.8.1, « Ajouter
une politique d'emprunt », page 197.
198
Avertissement :
Si l'accès aux comptes cibles n'est pas autorisé pour le profil, alors les membres du profil
ne peuvent ni supprimer ni modifier une politique d'emprunt du mot de passe.
10.8.3. Supprimer une politique d'emprunt

Sur l'onglet « Politiques d'emprunt » situé dans le menu « Cibles », sélectionnez une ou plusieurs
politiques à l'aide de la case à cocher située en début de ligne puis cliquez sur « Supprimer ».
Avertissement :
Vous ne pouvez pas supprimer une politique d'emprunt du mot de passe lorsque celle-
ci est associée à au moins un compte cible.
ne peuvent ni supprimer ni modifier une politique d'emprunt du mot de passe.
199
Chapitre 11. Gestion des mots de passe

Avertissement :
Le menu « Gestion des mots de passe » et l'entrée « Mots de passe » du menu «
Mes autorisations » peuvent être utilisés lorsque la fonctionnalité WALLIX Password
Manager est associée à votre clé de licence (voir Section 5.2, « WALLIX Password
Manager », page 23).
11.1. Autorisations de l'utilisateur sur les mots

de passe
Sur la page « Mots de passe » du menu « Mes autorisations », l'utilisateur peut visualiser la liste
des comptes cibles pour lesquels il/elle est autorisé(e) à emprunter les accréditations.
Pour chaque compte, l'utilisateur a la possibilité d'effectuer les actions suivantes :
• cliquer sur « Afficher » au début de la ligne afin d'afficher les accréditations du compte
concerné sur une autre page. Dans ce cas, le verrouillage du compte a été désactivé au niveau
de la politique d'emprunt associée à ce compte : plusieurs utilisateurs peuvent accéder aux
accréditations au même moment.
• cliquer sur « Emprunter » au début de la ligne afin d'afficher les accréditations du compte
concerné sur une autre page. Dans ce cas, le verrouillage du compte a été activé au niveau de
la politique d'emprunt associée à ce compte : seul cet utilisateur peut accéder aux accréditations
à cet instant. Pour plus d'informations, voir Section 10.8, « Politiques d'emprunt », page 196.
Important :
Si une approbation n'est pas nécessaire pour autoriser l'accès aux accréditations
ou bien si elle a été acceptée par les approbateurs, l'utilisateur a directement
accès à ces données. Sinon, un message d'erreur s'affiche et l'utilisateur
doit formuler une demande pour obtenir l'accès aux accréditations. Pour plus
d'informations, voir Section 11.1.1, « Accès aux mots de passe via une procédure
d'approbation », page 201.
Lorsqu'un changement de mot de passe est en cours, il n'est pas possible d'emprunter
et donc d'afficher les accréditations du compte concerné. Un message d'erreur s'affiche
alors pour informer l'utilisateur que le compte est temporairement indisponible pour
l'opération d'emprunt des accréditations.
• cliquer sur « Emprunter à distance » au début de la ligne afin d'afficher les accréditations du
compte de coffre-fort externe concerné sur une autre page.
• identifier le compte verrouillé suite à un emprunt des accréditations en cours. Dans ce cas,
aucune action ne peut être effectuée jusqu'à ce que ce compte soit déverrouillé.
• envoyer une demande aux approbateurs pour accéder aux accréditations du compte en cliquant
sur « Demande » dans la colonne « Approbation » à la fin de la ligne. Pour plus d'informations,
voir Section 11.1.1, « Accès aux mots de passe via une procédure d'approbation », page 201.
Lorsque l'utilisateur a accès à la page affichant les accréditations du compte, il/elle peut visualiser :
200
• le nom du compte en cours d'emprunt mentionné au-dessus du cadre,

• l'identifiant du compte,
• les accréditations du compte, à savoir :
– le mot de passe si celui-ci a été défini pour le compte sur l'instance locale ou distante de
WALLIX Bastion,
– la clé privée SSH si celle-ci a été définie pour le compte sur l'instance locale ou distante de
WALLIX Bastion. Cette clé peut être téléchargée au format OpenSSH ou PuTTY et peut être
chiffrée avec une phrase de chiffrement renseignée dans le champ dédié.
– le certificat (c'est-à-dire la clé publique SSH signée) si le compte est défini sur un domaine
associé à une Autorité de Certification. Ce certificat signé peut être téléchargé au format
OpenSSH ou ssh.com.
Sur la page affichant les accréditations du compte, l'utilisateur peut également :
• cliquer sur le bouton « Restituer » pour mettre un terme à l'emprunt. L'utilisateur est alors redirigé
vers la page listant les comptes cibles autorisés. Si le verrouillage a été activé dans la politique
d'emprunt associée à ce compte, cette action de restitution déverrouille le compte. Pour plus
d'informations, voir Section 10.8, « Politiques d'emprunt », page 196.
• cliquer sur le bouton « Étendre l'emprunt » si une extension de la durée d'emprunt a été définie
dans la politique d'emprunt associée à ce compte. Dans le cas contraire, ce bouton n'est pas
affiché sur cette page. Cette action permet de prolonger l'emprunt et peut donc être effectuée
plusieurs fois tant que la durée maximum n'a pas été atteinte. Pour plus d'informations, voir
Section 10.8, « Politiques d'emprunt », page 196.
Lorsque le verrouillage du compte a été activé dans la politique d'emprunt associée à ce compte,
ce dernier reste verrouillé pendant la durée définie dans cette même politique. Il est alors
nécessaire de cliquer sur le bouton « Restituer » pour déverrouiller le compte avant la fin de la
durée d'emprunt. Néanmoins, le compte est automatiquement restitué à la fin de cette durée et
l'utilisateur est alors redirigé vers la page listant les comptes cibles autorisés. Le temps restant
avant la restitution automatique est affiché sous les accréditations. Pour plus d'informations, voir
Section 10.8, « Politiques d'emprunt », page 196.
11.1.1. Accès aux mots de passe via une procédure

d'approbation
Si une procédure d'approbation a été définie pour autoriser l'accès aux accréditations de la cible,
l'utilisateur peut notifier les approbateurs d'une demande d'accès en cliquant sur « Demande »
dans la colonne « Approbation ». La page « Demande d'approbation » s'affiche alors et une date
et une heure de début ainsi qu'une durée doivent être renseignées. Un commentaire pour saisir
un motif concernant la demande d'approbation ainsi qu'une référence peuvent être renseignés
respectivement dans les champs « Commentaire » et « Référence du ticket », si les options
correspondantes ont été activées lors de la définition de l'autorisation. Dans le cas contraire,
ces deux champs ne sont pas affichés. Pour plus d'informations, voir Section 13.7, « Procédure
Lorsque la requête est formulée, l'utilisateur est redirigé sur la page « Mots de passe » et il/elle
peut visualiser le statut des demandes d'approbation envoyées dans le tableau en bas de la page.
Chaque ligne présente les informations suivantes :
• la cible pour laquelle la demande est formulée,
201
• la date et l'heure de début de la demande,

• la durée de la demande,
• la référence du ticket associé à la demande,
• le quorum actuel,
• le statut de la demande,
• les réponses des approbateurs.
L'utilisateur peut cliquer sur l'icône bloc-notes au début de la ligne pour obtenir une vue détaillée
de la demande. Le bouton « Annuler la demande » sur la page permet d'annuler les demandes
encore valides.
Figure 11.1. Menu « Mes autorisations » - Page « Mots de passe »
11.2. Plugins de changement des mots de passe

Sur la page « Plugins chgt mot de passe » du menu « Gestion des mots de passe », vous pouvez
visualiser la liste des plugins configurés au sein de WALLIX Bastion ainsi que les changements
d'accréditations supportés (mot de passe ou clé SSH) pour chaque type de domaine.
Un plugin de changement de mot de passe peut être sélectionné lors de la création/modification

d'un domaine global ou local (voir Section 10.3, « Domaines », page 149) et plusieurs paramètres
peuvent être définis en fonction du plugin choisi.
Figure 11.2. Page « Plugins de changement de mot de passe »
11.2.1. Matrice des plugins

Le tableau suivant recense les principales caractéristiques du changement d'accréditation pour
chaque plugin.
202
Nom du Version N° de Changement du Changement Clé SSH et/ou Clé d'hôte Compte Qui est le compte
plugin du port TCP mot de passe de la clé SSH certificat SSH partagée administrateur administrateur ?
plugin sur domaine sur domaine supportés ? avec les requis sur le
global ou local ? global ou proxies ? domaine ?
local ?
Cisco 1.0.2 22 Global/Local à - - Non Non Utilisateur avec les
un équipement droits « superuser » /
compte administrateur
défini sur l'équipement
Dell 1.1 22 Global/Local à - - Non Non Utilisateur root avec les
iDRAC un équipement privilèges du compte
« Administrateur »
Fortinet 1.0 22 Global/Local à Local à un Clé Oui Oui Compte « admin »
FortiGate un équipement équipement avec le profil de compte

uniquement « super_admin »
203
IBM 1.0.0 623 Local à un - - Non Non Utilisateur habilité
3270 équipement à changer les
uniquement mots de passe
Juniper 1.0 22 Local à un - - Non Non Utilisateur « admin »
SRX équipement avec les privilèges
uniquement « super-user »
LDAP 1.0 389 Global/Local à - - Non Non Utilisateur habilité
un équipement à changer les
mots de passe
MySQL 1.0.3 3306 Global/Local à - - Non Non Compte super utilisateur
un équipement et avec tous les privilèges
une application
Oracle 1.0.2 1521 Global/Local à - - Non Non Utilisateur avec le
un équipement et privilège système
une application « ALTER USER »
Palo 1.0 22 Local à un - - Non Non Compte administratif
Alto équipement avec les privilèges
PA-500 uniquement super utilisateur
Unix 1.1.1 22 Global/Local à Global/Local à Clé et certificat Oui Non Compte root
un équipement un équipement avec UID=« 0 »
Windows 1.0.1 445 Global/Local à - - Non Non Compte administrateur
11.2.2. Plugin Cisco
Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine global ou local
(voir Section 10.3, « Domaines », page 149) sont les suivants :
• Hôte : nom d'hôte ou adresse IP de l'équipement. Ce paramètre est uniquement requis pour un
domaine global.
• Port : numéro du port de l'équipement (port SSH par défaut : 22),
• Mot de passe de enable : mot de passe d'élévation de privilèges pour la commande « enable
». Ce paramètre est requis.
11.2.3. Plugin Dell iDRAC

domaine global.
• Index : index du compte à privilèges. Par défaut, il correspond à l'index 2. Ce paramètre est requis.
• Version iDRAC : version de l'équipement. Par défaut, elle correspond à Dell iDRAC8. Ce
paramètre est requis.
11.2.4. Plugin Fortinet FortiGate

domaine global.
• Configuration : chaîne de caractères référençant la section de la configuration. Par défaut, seule
la configuration « System admin » est actuellement prise en charge.
Avertissement :
Le compte administrateur est obligatoire sur le domaine local pour ce plugin. Ce compte
doit être défini dans un premier temps sur le domaine depuis la zone « Comptes du
domaine » sur la page récapitulative du domaine, une fois l'étape de création du domaine
effectuée. Pour plus d'informations, voir Section 10.3.4, « Ajouter un compte sur un
domaine global ou local », page 153. Lorsque l'option « Activer le changement de mot de
passe » a été cochée sur la page de modification du domaine, sélectionnez ce compte
depuis la liste du champ « Compte administrateur » avant de sélectionner le plugin
Fortinet FortiGate dans le champ « Plugin de changement de mot de passe ».
11.2.5. Plugin IBM 3270

Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine local à un
équipement uniquement (voir Section 10.3, « Domaines », page 149) sont les suivants :
• Port : numéro du port du système (port 3272 sur TLS par défaut : 623). Ce paramètre est requis.
204
• Scénario : scénario au format texte lancé par le plugin pour changer les mots de passe. Ce
paramètre est requis.
Ce scénario comprend les commandes suivantes et accepte également les commentaires et les
lignes vides :
• EXPECT : s'attend à recevoir une chaîne de caractères spécifique à une ligne donnée qui doit
être absolue, en partant de la ligne 1 en haut du terminal ;
• IF EXPECT/ELSE/FI : s'attend à recevoir une chaîne de caractères spécifique à une ligne
donnée qui doit être absolue, en partant de la ligne 1 en haut du terminal. Si la chaîne est trouvée,
alors la condition dans l'élément du bloc TRUE est exécutée. Dans le cas contraire, la condition
dans l'élément du bloc ELSE est exécutée si existante.
• MOVE_TO : déplace le curseur à une position donnée, en partant de la ligne et de la colonne 1
en haut du terminal (par exemple, la commande MOVE_TO:5:18 déplace le curseur à la ligne
5, colonne 18) ;
• PUT : écrit une chaîne de caractères spécifique à la position du curseur ;
• SEND_ENTER | SEND_PF3 | SEND_PF4 | SEND_PF5 | SEND_PF6 | SEND_PF7 | SEND_PF8 : ces
commandes renvoient la touche correspondante (par exemple, ENTER ou PF7) au terminal.
• LOG_ERROR: écrit le message renseigné en paramètre dans les journaux d'erreurs ;
• LOG_SCREEN: écrit l'écran entier du terminal 3270 ainsi que la position du curseur dans les
journaux d'erreurs
• QUIT: termine la session. Le mot de passe est considéré comme inchangé.
Les variables suivantes sont interprétées à l'exécution :
• $admin_login : envoie l'identifiant administrateur

• $admin_password : envoie le mot de passe administrateur
• $account : envoie le nom du compte cible dont le mot de passe est en cours de changement
• $old_password : envoie l'ancien mot de passe
• $new_password : envoie le nouveau mot de passe. Le mot de passe est considéré comme
changé si le script du scénario s'est correctement exécuté.
Exemple de scénario :
Un émulateur AS/390 prenant en charge les fonctions du terminal 3270 est disponible ici : http://
www.canpub.com/teammpg/de/sim390/.
#######
# Script for MUSIC AS/390 emulator
# with TN3270 support
#######
####
# Welcome screen
EXPECT:16:Multi-User System for
SEND_ENTER
####
# Login screen
EXPECT:3:MUSIC Userid:
PUT:$account
MOVE_TO:5:18
PUT:$old_password
205
SEND_ENTER
####
# Login errors
IF EXPECT:7:Password incorrect
LOG_ERROR:Bad password !
QUIT
FI
IF EXPECT:7:Userid is not authorized

LOG_SCREEN
LOG_ERROR:Bad username
QUIT
FI
####
#
EXPECT:1:Userid last signed
SEND_ENTER
####
# Change password
EXPECT:12:Change password
PUT:7
SEND_ENTER
EXPECT:17:Enter your current MUSIC sign-on password

PUT:$old_password
SEND_ENTER
EXPECT:19:Enter a new MUSIC sign-on password

PUT:$new_password
SEND_ENTER
EXPECT:23:Please enter the new password again

PUT:$new_password
SEND_ENTER
####
# End of changing password
IF EXPECT:4:SELECT OPTION
PUT:X
ELSE
# Quit with an error
LOG_ERROR:Password has not been changed
# Print the terminal screen to syslog
LOG_SCREEN
QUIT
FI
# End of script. If reached, password has been successfully changed
Avertissement :
Le compte administrateur est obligatoire sur le domaine local pour ce plugin lorsque les
variables $admin_login et $admin_password sont renseignées dans le scénario. Ce
206
compte doit être défini dans un premier temps sur le domaine depuis la zone « Comptes
du domaine » sur la page récapitulative du domaine, une fois l'étape de création du
domaine effectuée. Pour plus d'informations, voir Section 10.3.4, « Ajouter un compte
sur un domaine global ou local », page 153. Lorsque l'option « Activer le changement
de mot de passe » a été cochée sur la page de modification du domaine, sélectionnez
ce compte depuis la liste du champ « Compte administrateur » avant de sélectionner le
plugin IBM 3270, dans le champ « Plugin de changement de mot de passe ».
11.2.6. Plugin Juniper SRX

Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine local à un
équipement uniquement (voir Section 10.3, « Domaines », page 149) sont les suivants :
• Port : numéro du port de l'équipement (port SSH par défaut : 22).
11.2.7. Plugin LDAP
• Hôte : nom d'hôte ou adresse IP du serveur. Ce paramètre est requis.

• Port : numéro du port du serveur (port par défaut : 389). Ce paramètre est requis.
• Chiffrement : protocole de chiffrement à utiliser : STARTTLS (valeur par défaut), TLS ou Aucun.
Ce paramètre est requis.
• Timeout réseau : temps d'attente maximum exprimé en secondes pour une tentative de
connexion au serveur.
• DN de bind administrateur | Mot de passe administrateur : DN de bind et mot de passe de
l'administrateur autorisé à se connecter à l'annuaire LDAP ou Active Directory. Ces paramètres
sont requis.
exemple de DN de bind LDAP : « CN=administrator, DC=mycompany, DC=com » ;
exemple de DN de bind Active Directory : « administrator@mycompany.com »
Avertissement :
Si un compte administrateur est défini sur le domaine pour ce plugin, alors les
paramètres de ce compte sont utilisés pour la connexion à l'annuaire LDAP ou Active
Directory. Ceux définis dans les champs « DN de bind administrateur » et « Mot de
passe administrateur » ne sont alors pas pris en considération.
Ce compte doit être défini dans un premier temps sur le domaine depuis la zone
« Comptes du domaine » sur la page récapitulative du domaine, une fois l'étape de
création du domaine effectuée. Pour plus d'informations, voir Section 10.3.4, « Ajouter
un compte sur un domaine global ou local », page 153. Lorsque l'option « Activer le
changement de mot de passe » a été cochée sur la page de modification du domaine,
sélectionnez ce compte depuis la liste du champ « Compte administrateur » avant de
sélectionner le plugin LDAP, dans le champ « Plugin de changement de mot de passe ».
• Attribut mot de passe : attribut du mot de passe pour le changement de mot de passe. Par défaut,
il correspond à l'attribut LDAP « userPassword ». Ce paramètre est requis.
• Format DN utilisateur : syntaxe du DN de l'utilisateur utilisé pour renseigner le compte
concerné par le changement de mot de passe. Par défaut, cela correspond à la chaîne « CN=
207
${USER},DC=dev,DC=example,DC=com » où le paramètre « ${USER} » sera remplacé par

l'identifiant. Ce format est également utilisé pour le compte administrateur éventuellement défini
sur le domaine pour ce plugin. Ce paramètre est requis.
• Paramètres personnalisés : attributs personnalisés supplémentaires à renseigner pour le
changement de mot de passe. Ces paramètres peuvent être requis par le serveur et dépendent
de la configuration de ce dernier. Chaque association « paramètre=valeur » doit être renseignée
sur une seule ligne.
11.2.8. Plugin MySQL
• Hôte : nom d'hôte ou adresse IP de la base de données. Ce paramètre est uniquement requis
pour un domaine global.
• Port : numéro du port de la base de données.
11.2.9. Plugin Oracle
Ce plugin permet le changement du mot de passe de la base de données Oracle.
• Hôte : nom d'hôte ou adresse IP de la base de données. Ce paramètre est uniquement requis
pour un domaine global.
• Port : numéro du port de la base de données,
• Nom du service : nom du service de la base de données (SID). Ce paramètre est requis.
• Mode admin : mode de connexion pour le compte administrateur. Le mode approprié peut être
sélectionné à partir de la liste de valeurs. Ce paramètre est utilisé pour la mise en place de la
réconciliation. Lorsque la réconciliation a lieu, le changement de mot passe est effectué et le
compte verrouillé est débloqué.
11.2.10. Plugin Palo Alto PA-500

Le paramètre à définir pour ce plugin lors de la création/modification d'un domaine local à un
équipement uniquement (voir Section 10.3, « Domaines », page 149) est le suivant :
• Port : numéro du port du serveur (port SSH par défaut : 22).
11.2.11. Plugin Unix
• Hôte : nom d'hôte ou adresse IP du système. Ce paramètre est uniquement requis pour un
domaine global.
• Port : numéro du port du système (port SSH par défaut : 22),
• Mot de passe root : mot de passe pour la connexion avec les privilèges « root ».
Dans certains cas, le compte root ne peut pas être en mesure de se connecter à la cible afin
d'effectuer un changement de mot de passe via SSH pour des raisons de sécurité. Le plugin
208
Unix utilise alors le compte administrateur paramétré sur le domaine pour établir la connexion à
la cible et utilise le mot de passe root avec la commande « su ».
Lorsque la réconciliation est requise, l'authentification du compte administrateur peut être

effectuée par mot de passe ou clé SSH.
11.2.12. Plugin Windows
• Adresse du contrôleur de domaine : nom d'hôte ou adresse IP du contrôleur de domaine. Ce

paramètre est uniquement requis pour un domaine global.
• Identifiant administrateur et mot de passe administrateur : identifiant et mot de passe d'un compte
à privilèges autorisé à changer les mots de passe d'autres comptes. Ces paramètres sont
optionnels mais veuillez noter que WALLIX Bastion ne pourra pas définir le nouveau mot de
passe d'un compte si l'ancien n'existe pas. Ces paramètres correspondent aux accréditations
du compte sélectionné dans le champ « Compte administrateur » (voir Section 10.3,
« Domaines », page 149) sur la page du domaine et sont utilisés pour la mise en place de la
réconciliation.
Afin de permettre le bon déroulement du changement de mot de passe sur un serveur Windows
Server autonome (« standalone »), ce compte à privilèges doit être inclus dans le groupe
administrateurs.
Afin de permettre le bon déroulement du changement de mot de passe sur un serveur

Windows Server configuré avec Active Directory, ce compte à privilèges doit avoir le
droit « Reset password » paramétré sur les autres comptes du domaine. Pour plus
d'informations sur la délégation de droit pour effectuer le changement des mots de passe des
comptes utilisateurs Active Directory, voir https://www.petri.com/delegate-permission-reset-ad-
user-account-passwords.
Avertissement :
Afin de permettre le bon déroulement du changement automatique de mot de passe au
sein de WALLIX Bastion, nous vous recommandons vivement de modifier la valeur définie
par défaut pour la durée de vie minimale du mot de passe, au niveau des paramètres de
la politique de mot de passe de Windows. Cette valeur devrait être paramétrée à « 0 » :
• sur un serveur Windows Server autonome (« standalone »), la durée de vie minimale

du mot de passe peut être changée dans les paramètres de sécurité de Windows pour
les comptes locaux, au niveau de la politique locale via « Stratégie de sécurité locale »
> « Stratégies de comptes » > « Stratégie de mot de passe » > « Durée de vie minimale
du mot de passe » ;
• sur un serveur Windows Server configuré avec Active Directory, la durée de vie
minimale du mot de passe peut être changée dans les paramètres de sécurité de
Windows pour les comptes de domaines, au niveau des stratégies de groupe via «
Éditeur de gestion des stratégies de groupe » > « Configuration ordinateur » > «
Paramètres Windows » > « Paramètres de sécurité » > « Stratégies de comptes » > «
Stratégie de mot de passe » > « Durée de vie minimale du mot de passe ».
Par ailleurs, afin d'éviter des erreurs liées au délai d'attente (« timeout ») lors du
changement de mot de passe sur une cible sous Windows Server 2012, nous vous
209
recommandons d'activer la règle « Netlogon Service(NP-In) », au niveau des paramètres

avancés du pare-feu Windows.
11.3. Politiques de changement des mots de

passe
Une politique de changement des mots de passe détermine les paramètres du changement des
mots de passe (à savoir : mot de passe, clé SSH ou les deux) et peut être sélectionnée lors de
la création/modification d'un domaine global ou local. Pour plus d'informations, voir Section 10.3,
« Domaines », page 149.
Avertissement :
Tous les mots de passe pour lesquels le changement automatique est configuré comme
indiqué Section 10.4.5, « Changer automatiquement les accréditations pour un ou
plusieurs comptes », page 168 seront remplacés. Il vous appartient de vérifier que les
e-mails contenant les nouveaux mots de passe ont bien été reçus et qu’ils peuvent être
déchiffrés. Nous vous recommandons d'effectuer un test du processus en vous basant
sur un compte administrateur unique.
Sur la page « Politiques chgt mot de passe » du menu « Gestion des mots de passe », vous pouvez
lister, ajouter, modifier ou supprimer des politiques de changement des mots de passe.
de la page « Politiques changement de mot de passe ». Pour plus d'informations, voir Section 6.5,
« Navigation au sein des tableaux de l'interface Web », page 34.
Avertissement :
Une politique de changement des mots de passe par défaut appelée « default » est
configurée au sein de WALLIX Bastion. Cette politique ne peut être ni supprimée ni
modifiée.
11.3.1. Ajouter une politique de changement des mots de

passe
Sur la page « Politiques chgt mot de passe », cliquez sur « Ajouter une politique de changement
de mot de passe » pour afficher la page de création de la politique.
• un champ pour la saisie du nom de la politique,

• la périodicité du changement, c'est-à-dire à la fréquence à laquelle le changement des mots
de passe est automatiquement déclenché. Le format du champ « Périodicité du changement »
doit respecter la notation cron et prend en charge la syntaxe usuelle sur 5 champs <Minute>
<Hour> <Day_of_the_Month> <Month_of_the_Year> <Day_of_the_Week> et les
raccourcis du type @.
Par exemple, si ce champ est renseigné avec l'expression 0 0 * * * ou @daily, alors la tâche
de changement de mot de passe est exécutée chaque jour à minuit. Pour plus d'informations,
voir https://fr.wikipedia.org/w/index.php?title=Cron#CRON_expression.
210
Des listes de valeurs sont disponibles sous ce champ pour définir précisément cette périodicité
en notation cron.
Si aucune valeur n'est renseignée dans ce champ, alors aucune périodicité de changement du
mot de passe n'est définie.
• des options pour indiquer si la politique concerne soit un changement de mot de passe, soit un
changement de clé SSH ou encore un changement des deux.
Lorsque la définition de la politique concerne un changement de mot de passe, l'encart « Génération

du mot de passe » s'affiche et recense les champs suivants :
• la longueur du mot de passe, c'est-à-dire le nombre de caractères que le mot de passe doit
contenir,
• le nombre minimum de caractères ASCII non alphanumériques (ou caractères spéciaux) que le
mot de passe doit contenir,
• le nombre minimum de caractères alphabétiques en minuscules que le mot de passe doit
contenir,
• le nombre minimum de caractères alphabétiques en majuscules que le mot de passe doit
contenir,
• le nombre minimum de chiffres que le mot de passe doit contenir,
• les caractères interdits dans le mot de passe.
Lorsque la définition de la politique concerne un changement de clé SSH, l'encart « Génération de

la clé SSH » s'affiche et recense les champs suivants :
• une liste de valeurs permettant de sélectionner le type de clé SSH et,

• en fonction du type sélectionné, une liste de valeurs permettant d'indiquer la longueur de la clé.
Le tableau suivant récapitule les types de clés SSH et les tailles autorisées pour chaque type :
Type de clé Longueur autorisée

RSA 1024 bits | 2048 bits | 4096 bits | 8192 bits
DSA 1024 bits
ECDSA 256 bits | 384 bits | 521 bits
ED25519 N/A
Lorsque la définition de la politique concerne à la fois un changement de mot de passe et de clé

SSH, alors les deux encarts s'affichent et contiennent les champs décrits ci-dessus.
211
Figure 11.3. Page « Politiques de changement de mot de passe » en mode création
11.3.2. Modifier une politique de changement des mots de

passe
Sur la page « Politiques chgt mot de passe », cliquez sur un nom de politique puis sur « Modifier
cette politique de changement de mot de passe » pour afficher la page de modification de la
politique.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la politique.
Avertissement :
ne peuvent ni supprimer ni modifier une politique de changement des mots de passe.
11.3.3. Supprimer une politique de changement des mots de

passe
Sur la page « Politiques chgt mot de passe », sélectionnez une ou plusieurs politiques à l’aide de
la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection.
Avertissement :
ne peuvent ni supprimer ni modifier une politique de changement des mots de passe.
11.4. Configuration du mode « bris de glace »

WALLIX Bastion intègre un mode « bris de glace » permettant à l'utilisateur d'obtenir les
accréditations des groupes de cibles du Bastion, à savoir : login, cn (« common name »), mots de
212
passe et clés SSH. Ceci peut s'avérer utile notamment dans le cas de l'indisponibilité du service
WALLIX Bastion.
Les accréditations du Bastion sont communiqués automatiquement à l'utilisateur chaque nuit à

02:34 dans le fuseau horaire de WALLIX Bastion (défini sur la page « Service de temps » du menu
« Système ») : il/elle reçoit un e-mail crypté contenant la liste de toutes les accréditations des
groupes de cibles du Bastion, dans le périmètre des limitations définies pour son profil.
Par ailleurs, l'utilisateur reçoit un e-mail crypté contenant le nouveau mot de passe et/ou la
nouvelle clé SSH du compte cible à chaque changement (automatique ou manuel), en fonction
des politiques de changement de mot de passe et d'emprunt associées au compte. Pour plus
d'informations, voir Section 10.4.5, « Changer automatiquement les accréditations pour un ou
plusieurs comptes », page 168 et Section 10.4.6, « Changer manuellement les accréditations d'un
compte cible donné », page 169.
Important :
L'utilisateur reçoit ces notifications lorsque les conditions suivantes sont réunies :
• une clé publique GPG est déclarée pour l'utilisateur (voir Section 7.3, « Paramétrer les
préférences utilisateur », page 39),
• l'utilisateur a le droit d'obtenir la liste de toutes les accréditations de WALLIX Bastion :
le droit « Exécuter » pour la fonctionnalité « Récupération du mot de passe » est
paramétré au niveau de son profil (voir Section 9.3, « Profils utilisateurs », page 90),
• le changement (automatique ou manuel) doit être activé :
– au niveau du domaine : une politique de changement de mot de passe et un plugin
de changement de mot de passe doivent être associés au domaine. Pour plus
d'informations, voir Section 10.3, « Domaines », page 149, Section 11.3, « Politiques
de changement des mots de passe », page 210 et Section 11.2, « Plugins de
changement des mots de passe », page 202.
– au niveau du compte cible : une politique d'emprunt doit être associée au compte et le
changement automatique du mot de passe et/ou de la clé SSH doit être activé, le cas
échéant. Pour plus d'informations, voir Section 10.4, « Comptes cibles », page 160
et Section 10.8, « Politiques d'emprunt », page 196.
Note :
L'e-mail contenant la liste de toutes les accréditations peut être décrypté à l'aide d'un outil
compatible avec le format PGP. Il est nécessaire de décrypter la pièce jointe séparément
puis d'utiliser ensuite un outil compatible avec le format CSV ou JSON, lorsque le fichier
joint contient une extension de ce type.
Les notifications relatives à des changements successifs d'accréditations lors de la

restitution et les notifications non envoyées pour cause de défaillances réseau sont
regroupées afin d'être envoyées dans le prochain e-mail. Cet envoi est effectué dans un
intervalle de 15 minutes.
213
Chapitre 12. Gestion des sessions

Avertissement :
Le menu « Gestion des sessions » et l'entrée « Sessions » du menu « Mes autorisations »
peuvent être utilisés lorsque la fonctionnalité WALLIX Session Manager est associée à
votre clé de licence (voir Section 5.1, « WALLIX Session Manager », page 23).
12.1. Autorisations de l'utilisateur sur les

sessions
Sur la page « Sessions » du menu « Mes autorisations », l'utilisateur peut visualiser la liste des
cibles auxquelles il/elle est autorisé(e) à se connecter.
Sur chaque ligne, l'utilisateur peut accéder à la cible en cliquant sur l'une des icônes suivantes :
• : cette icône permet à l'utilisateur de télécharger un fichier de configuration RDP ou un script

shell avec la commande SSH (WALLIX-PuTTY sous Windows ou SSH sous d'autres systèmes)
qu'il/elle peut sauvegarder pour établir une connexion depuis un client RDP ou SSH (suffixe du
nom de fichier .puttywab ou .xsh ou .rdp sous Windows et .sh ou .remmina sous Linux). Dans ce
cas, le mot de passe WALLIX Bastion est requis pour la connexion.
• : (« Accès immédiat (mot de passe valable une fois, limité dans le temps) ») : cette icône
permet à l'utilisateur d'ouvrir le fichier pour établir une connexion immédiate depuis un client
RDP (suffixe du nom de fichier .rdp sous Windows et .sh ou .remmina sous Linux). Dans ce cas,
aucun mot de passe n'est requis mais l'accès est autorisé pour une durée limitée. Cette icône
est également affichée pour une connexion à une application.
• : (« Accès immédiat avec WALLIX-PuTTY (mot de passe valable une fois, limité dans le
temps) ») : cette icône permet à l'utilisateur d'ouvrir le fichier pour établir une connexion immédiate
depuis un client SSH (suffixe du nom de fichier .puttywab ou .xsh sous Windows et .sh sous
Linux). Dans ce cas, aucun mot de passe n'est requis mais l'accès est autorisé pour une durée
limitée. Veuillez voir également Section 12.2, « Connexion à la cible en mode interactif pour les
protocoles SCP et SFTP », page 218 pour l'authentification SSH.
Note :
L'affichage des icônes et donc l'accès au fichier pour établir la connexion dépend du
paramétrage des types de connexions et de fichiers pour RDP et SSH en fonction des
systèmes d'exploitation, depuis « Configuration » > « Options de configuration » > « GUI
(Legacy) », au sein des champs suivants :
• « Rdp connection links » et « Ssh connection links »,

• « Rdp windows filetype » et « Rdp other os filetype »,
• « Ssh windows filetype » et « Ssh other os filetype ».
Lorsque l'autorisation concerne un service RAWTCPIP, seule l'application WALLIX-

PuTTY permet à l'utilisateur de télécharger ou d'ouvrir le fichier pour établir la connexion
(suffixe du nom de fichier .puttywab). Pour plus d'informations sur WALLIX-PuTTY, voir
Section 12.1.1, « Options spécifiques pour les sessions SSH », page 215.
214
Note :
Dans un processus de répartition de charge, il est possible de renseigner le FQDN ou
l'adresse IP de l'instance WALLIX Bastion vers laquelle l'utilisateur est redirigé lors de
l'accès à la cible, depuis « Configuration » > « Options de configuration » > « GUI
(Legacy) » :
• dans le champ « Connection file fqdn standard » : lorsqu'un fichier de configuration est
téléchargé pour établir une connexion à la cible,
• dans le champ « Connection file fqdn otp » : lorsqu'un accès immédiat à la cible est
effectué avec l'utilisation du mot de passe valable une fois et limité dans le temps (mode
« one-time password »).
12.1.1. Options spécifiques pour les sessions SSH

Le type de fichier téléchargeable depuis les plates-formes Windows pour les sessions SSH peut
être sélectionné depuis « Configuration » > « Options de configuration » > « GUI (Legacy) » puis,
sélectionnez la valeur souhaitée dans « Ssh windows filetype ».
Pour pouvoir utiliser les fichiers .puttywab sous Windows, il faut auparavant télécharger et
installer l'application WALLIX-PuTTY à partir du lien « Télécharger WALLIX-PuTTY » affiché
dans le haut de la page. Ce lien est uniquement affiché lorsque le poste de travail est sous
un environnement Windows et si l'utilisateur dispose également d'au moins une autorisation
sur une cible SSH. L'installation prend en charge l'association des fichiers afin que l'application
soit démarrée automatiquement. L'installation ne nécessite pas de privilèges d'administration.
Cependant l'installation est uniquement fonctionnelle pour l'utilisateur connecté et non pour
l'ensemble des utilisateurs du poste de travail.
12.1.2. Options spécifiques pour les sessions RDP

Le lien « Télécharger le fichier de configuration RDP » affiché dans le haut de la page permet
à l'utilisateur de télécharger un fichier de configuration RDP avec le mode RemoteApp activé.
L'utilisateur peut alors sauvegarder le fichier pour établir une connexion à une application en mode
interactif via le sélecteur du client RDP. Ce lien est uniquement affiché lorsque le mode RemoteApp
est activé et si l'utilisateur dispose également d'au moins une autorisation sur une application. Le
mode RemoteApp est activé par défaut lors de la connexion à des applications (telles que définies
depuis « Cibles » > « Applications »). Ce paramètre peut être géré depuis « Configuration » > «
Options de configuration » > « GUI (Legacy) » puis, cochez/décochez l'option « Rdp remote app
mode ».
La zone « Options » affichée sur la gauche, dans le haut de la page, permet de sélectionner
la résolution et la profondeur des couleurs de la fenêtre du client RDP. Les paramètres sont
sauvegardés pour le poste en cours d'utilisation. Ainsi, un utilisateur peut établir une connexion
RDP via un ordinateur de bureau ou un ordinateur portable avec des paramètres de résolution
différents pour chaque poste de travail.
Pour plus d'informations sur le mode RemoteApp, voir Section 10.2.2, « Configuration du lancement
de l'application en mode RemoteApp », page 140.
Avertissement :
Les sessions RemoteApp d'un utilisateur connecté simultanément à une ou plusieurs
applications sont dissociées par défaut lorsqu'elles sont consultées depuis les pages «
215
Sessions courantes » et « Historiques des sessions » du menu « Audit ». Si l'option

« Rdp enable sessions split » (accessible depuis « Configuration » > « Options de
configuration » > « GUI (Legacy) » > section « main » est décochée, il est possible
d'obtenir une vue superposée de ces sessions.
Le client Connexion Bureau à Distance (MSTSC) connecté à un serveur Windows

Server 2008 ou 2012 ne permet pas le partage de session entre plusieurs programmes
RemoteApp. Il y aura autant de sessions RDP créées que de programmes RemoteApp
lancés.
Des problèmes d'affichage ont été constatés sur le client Microsoft lors de l'utilisation
du mode RemoteApp en configuration multi-moniteurs. Des dysfonctionnements se
produisent lorsque le moniteur primaire n'est pas situé dans la partie supérieure gauche
de l'écran virtuel. La solution de contournement recommandée consiste à localiser le
moniteur primaire dans la partie supérieure gauche de l'écran virtuel. Voir https://
go.microsoft.com/fwlink/?LinkId=191444 pour plus d'informations sur l'écran
virtuel.
Par ailleurs, afin de permettre le support des glyphes entre un client iOS client et le proxy RDP
et afficher correctement le texte du sélecteur lors de la connexion aux sessions sur les appareils
mobiles, l'option « Bogus ios glyph support level » est cochée par défaut. Ce paramètre peut être
géré depuis « Configuration » > « Options de configuration » > « RDP proxy » > section « client ».
De plus, les caractères Unicode doivent être supportés pour que le client Connexion Bureau à
Distance fonctionne sous iOS. Ce paramètre peut être géré depuis « Configuration » > « Options de
configuration » > « RDP proxy » puis, cochez/décochez l'option « Unicode keyboard event support »
de la section « globals ». Cependant, cette option n'est pas encore supportée pour les sessions
VNC.
Le comportement du clavier étant différent pour les sessions VNC en fonction de l'environnement
du serveur cible, des options permettent de déclarer cet environnement afin de prendre en charge
le comportement correspondant. Ces options sont accessibles depuis la section « vnc », sur la
page de configuration de la politique de connexion définie sur le protocole VNC. Cette page est
accessible depuis le menu « Gestion des sessions » > « Politiques de connexion » :
• lorsque l'option « Server unix alt » est sélectionnée,

– le serveur cible sous un environnement Unix peut recevoir tous les caractères Unicode envoyés
par le client,
– le serveur cible sous un environnement Windows interdit tout caractère Unicode mais autorise
les caractères spéciaux avec la combinaison des touches AltGr+€.
• lorsque l'option « Server is apple » est sélectionnée, les spécificités du clavier propres au serveur
VNC Apple sont prise en charges.
12.1.3. Accès aux sessions via une procédure d'approbation

Si une procédure d'approbation a été définie pour autoriser la connexion à la cible, l'utilisateur peut
notifier les approbateurs et obtenir l'accès à la cible en cliquant sur « Demande » dans la colonne
« Approbation ». La page « Demande d'approbation » s'affiche alors et une date et une heure de
début ainsi qu'une durée doivent être renseignées. Un commentaire pour saisir un motif concernant
la demande d'approbation ainsi qu'une référence peuvent être renseignés respectivement dans
les champs « Commentaire » et « Référence du ticket », si les options correspondantes ont été
activées lors de la définition de l'autorisation. Dans le cas contraire, ces deux champs ne sont pas
affichés. Pour plus d'informations, voir Section 13.7, « Procédure d'approbation », page 265.
216
Lorsque la requête est formulée, l'utilisateur est redirigé sur la page « Sessions » et il/elle peut
visualiser le statut des demandes d'approbation envoyées dans le tableau en bas de la page.

L'utilisateur peut cliquer sur l'icône bloc-notes au début de la ligne pour obtenir une vue détaillée
de la demande. Le bouton « Annuler la demande » sur la page permet d'annuler les demandes
encore valides.
Note :
Un script peut être appelé lors de la création de la demande d'approbation, au début et à la
fin de chaque session dans la plage de la durée de la demande, pour gérer l'approbation
dans un système externe de gestion de ticket. Le champ « Ticket » doit être renseigné
(même si optionnel) pour permettre le lancement de ce script.
Le chemin vers ce script doit être renseigné dans le champ « Ticketing interface path »
depuis « Configuration » > « Options de configuration » > « Global ». Lorsque ce script est
appelé, il reçoit en paramètre le chemin vers un fichier contenant toutes les informations
sur la session.
Exemple des informations du fichier lors de la création de la demande d'approbation :
[request]
user=johndoe
target=target1@local@repo:SSH
date=2017-09-22 10:12:19
duration=300
ticket=1234
comment=I have to install patches
session_id=
session_start=0
session_end=0
target_host=
Exemple des informations du fichier au début de la session :

[request]
user=johndoe
date=2017-09-22 10:12:00
duration=300
ticket=1234
session_id=15ea8a529008635d5254006c3e07
session_start=2017-09-22 10:12:29
session_end=0
target_host=host1.mydomain.lan
217
Exemple des informations du fichier à la fin de la session :
[request]
user=johndoe
date=2017-09-22 10:12:00
duration=300
ticket=1234
session_id=15ea8a529008635d5254006c3e07
session_start=2017-09-22 10:12:30
session_end=2017-09-22 10:12:34
target_host=host1.mydomain.lan
Lorsque l'utilisateur renseigne le formulaire de demande d'approbation pour démarrer

la session depuis le client RDP ou SSH, la référence du ticket doit être correctement
renseignée. Dans le cas contraire, le script retourne une erreur et le processus de
demande d'approbation s'arrête.
Figure 12.1. Menu « Mes autorisations » - Page « Sessions »
12.2. Connexion à la cible en mode interactif

pour les protocoles SCP et SFTP
Les protocoles SCP et SFTP ne permettant pas l'authentification en mode interactif sur un compte
cible, il est alors nécessaire de rajouter des options spécifiques lors de la connexion primaire
(c'est-à-dire la connexion initiée entre l'utilisateur et WALLIX Bastion) pour obtenir des invites de
connexion sur la cible, sous la forme d'invites de commande ou boîtes de dialogue, en utilisant le
clavier interactif primaire (« keyboard interactive »). Ceci suppose que le client supporte la méthode
d'authentification par le clavier interactif (« keyboard interactive »).
Le point d'interrogation « ? » est un caractère interdit dans l'identifiant de l'utilisateur mais il peut
être utilisé comme séparateur pour indiquer des options (à droite) demandant explicitement une
invite pour saisir un identifiant et/ou mot de passe de connexion à la cible.
L'option « p » demande le mot de passe de la cible.
L'option « l » demande l'identifiant (ou login) de la cible.
Le point d'interrogation « ? » sans option demande par défaut le mot de passe de la cible.
Exemples :
Identifiant : “wabuser” : pas d'invite supplémentaire
218
Identifiant : “wabuser?” : invite de saisie du mot de passe de la cible

Identifiant : “wabuser?p” : invite de saisie du mot de passe de la cible
Identifiant : “wabuser?l” : invite de saisie de l'identifiant de la cible
Identifiant : “wabuser?lp” : invite de saisie de l'identifiant de la cible en premier, puis invite de
saisie du mot de passe de la cible.
Le mot de passe est requis lorsque la méthode d'authentification PASSWORD_INTERACTIVE a été
sélectionnée au niveau de la politique de connexion associée à la cible (pour plus d'informations,
voir Section 12.4, « Politiques de connexion », page 231).
12.3. Données d'audit
Le menu « Audit » permet à l'auditeur de visualiser les données d'audit de WALLIX Bastion et
notamment les historiques des connexions.
Un auditeur est un utilisateur qui a été désigné par un administrateur WALLIX Bastion avec le droit
d'audit : le droit « Afficher » pour la fonctionnalité « Audit session » est paramétré au niveau de son
12.3.1. Sessions courantes
Sur la page « Sessions courantes » du menu « Audit », l’auditeur peut visualiser la liste des
connexions actives au cours desquelles des sessions RDP ou SSH ont été initiées depuis WALLIX
Bastion et sont en cours. Il est à noter que les connexions actives sur l’interface Web et pour
lesquelles des sessions ne sont pas initiées ne sont donc pas représentées dans cette liste.
Note :
Le terme générique « connexion » sera utilisé dans cette section pour désigner
indifféremment les connexions SSH et RDP.
Dans le haut de la page, l'auditeur peut choisir d'activer/désactiver le rafraîchissement automatique

des données affichant les connexions courantes. Lorsque l'option correspondante est activée, il est
possible de déterminer la fréquence de ce rafraîchissement. Ceci peut notamment s'avérer utile
lors de la sélection des connexions actives à interrompre.
• l’utilisateur (désigné sous la forme : identifiant@machine(ip)),

• la cible accédée (désignée sous la forme : compte@équipement:service),
• l'hôte ou l'adresse IP de la cible,
• la nomenclature des protocoles source (RDP ou SSH) et de destination,
• l’heure d’initialisation de la connexion,
• la durée de la connexion.
Sur cette page, l'auditeur peut également interrompre une ou plusieurs connexions : pour cela, il
faut sélectionner une ou plusieurs connexions à l’aide de la case à cocher au début de la ligne
puis, cliquer sur l'icône rouge, dans l'en-tête de colonne, pour fermer les sessions correspondantes.
WALLIX Bastion affiche une fenêtre demandant une confirmation avant l'interruption des
connexions. Les utilisateurs connectés via RDP ou SSH sont alors informés que la connexion a été
interrompue par l'administrateur, comme illustré ci-dessous :
219
Figure 12.2. Coupure de connexion SSH initiée par l'administrateur
Note :
Lors de l'interruption d'une connexion, l'auditeur a la possibilité d'empêcher un utilisateur
local de se reconnecter. Cette action peut être gérée depuis « Configuration » > « Options
de configuration » > « GUI (Legacy) » puis, cochez l'option « Audit kill session lock user
». Par défaut, cette option est décochée : la fonctionnalité est alors désactivée.
12.3.2. Visualisation en temps réel des sessions courantes

Sur la page « Sessions courantes » du menu « Audit », l’auditeur peut visualiser les sessions
courantes RDP ou SSH en temps réel lorsque l'enregistrement de session a été activé au niveau
de l'autorisation définie pour le groupe utilisateurs et le groupe de cibles. Pour plus d'informations,
voir Chapitre 13, « Gestion des autorisations », page 258.
L’auditeur peut cliquer sur l'icône de la loupe située au début de la ligne concernée dans la liste
pour ouvrir une fenêtre lui permettant de visualiser la session en temps réel. Un deuxième clic sur
l'icône permet de fermer la fenêtre.
Note :
L'auditeur peut visualiser la session courante SSH même lorsque l'enregistrement de
session n'a pas été activé au niveau de l'autorisation définie pour le groupe utilisateurs
et le groupe de cibles.
12.3.3. Partage et prise de contrôle à distance des sessions

courantes RDP
Sur la page « Sessions courantes » du menu « Audit », l’auditeur peut lancer le processus de prise
de contrôle d'une session courante RDP partagée par l'utilisateur.
220
Avertissement :
Le partage et la prise de contrôle de la session courante RDP est disponible via WALLIX
Bastion pour les cibles sous Windows Server 2012 et ultérieur prenant en charge la
fonctionnalité de contrôle à distance « Remote Desktop Shadowing ».
L'option de configuration avancée du proxy RDP « Session shadowing support »
(accessible depuis « Configuration » > « Options de configuration » > « RDP proxy » puis,
section « mod_rdp ») doit être activée pour permettre le partage et la prise de contrôle
de la session courante RDP via WALLIX Bastion.
Le déroulement du processus est alors le suivant :

1. Dans un premier temps, l'utilisateur se connecte à une cible RDP pour initialiser une session.
2. Sur la page « Sessions courantes » du menu « Audit », l’auditeur peut alors cliquer sur l'icône
de contrôle de la session située au début de la ligne concernée dans la liste. Cette action lance
sur son poste le téléchargement d'un fichier qui lui permettra d'établir une connexion immédiate
à la session de l'utilisateur depuis un client RDP (suffixe du nom de fichier .rdp sous Windows et
.sh ou .remmina sous Linux).
3. La prise de contrôle à distance requiert alors la permission de l'utilisateur : une fenêtre s'affiche
sur sa session pour lui demander son approbation, pendant une durée limitée.
4. L'auditeur peut exécuter le fichier téléchargé afin d'établir une connexion immédiate à la session
de l'utilisateur depuis le client RDP.
Note :
Une seule demande de prise de contrôle à distance peut être envoyée au cours de la
session de l'utilisateur.
L'auditeur ne pourra pas prendre le contrôle à distance sur la session de l'utilisateur tant
que ce dernier n'aura pas accepté la demande sur la fenêtre dédiée.
12.3.4. Historique des sessions

Sur la page « Historique des sessions » du menu « Audit », l’auditeur peut visualiser
l’historique de l’ensemble des connexions effectuées sur les cibles depuis WALLIX Bastion et
également visionner les enregistrements des sessions (voir Section 12.3.5, « Enregistrements de
sessions », page 223).
Attention :
Un auditeur associé à un profil comprenant des limitations peut visualiser l'historique
des sessions seulement s'il est autorisé à voir l'autorisation définie pour la session.
Cette autorisation est déterminée pour un groupe utilisateurs et un groupe de cibles
visualisables par l'auditeur.
Avertissement :
Cette page affiche uniquement les connexions aux cibles terminées. Pour obtenir une
vue des connexions actives, voir Section 12.3.1, « Sessions courantes », page 219.
221
Cette page ne recense pas les connexions de l'utilisateur et, par conséquent, les échecs
de connexion de l'utilisateur liés à ses droits d'accès. Pour obtenir ce type d'information,
voir Section 12.3.8, « Historique des authentifications », page 228. Les messages
SIEM permettent notamment d'obtenir plus d'informations sur les authentifications et les
autorisations d'accès. Pour obtenir ce type d'informations, voir Chapitre 16, « Messages
SIEM », page 288.
Figure 12.3. Page « Historique des sessions »
• l’utilisateur et l’IP source de connexion (désigné sous la forme : identifiant@ipsource),

• la cible accédée (désignée sous la forme : compte@équipement:service),
• l’hôte ou l’IP de la cible,
• le protocole source et de destination,
• l’heure d’initialisation de la connexion,
• l’heure de fin de la connexion,
• la durée de la connexion,
• la taille du fichier de l'enregistrement de la session. Pour plus d'informations, voir Section 12.3.5,
« Enregistrements de sessions », page 223.
Note :
La taille du fichier de l'enregistrement de la session n'est pas affichée lorsque la session
a été initiée sur une version antérieure à WALLIX Bastion 6.2.
• une icône symbolisant le résultat de la connexion. En cas d’échec, un clic sur l'icône permet
à l’auditeur d’obtenir des informations sur le problème de connectivité (par exemple, mot de
passe du compte erroné, échec d'authentification sur la cible, ressource injoignable, session
interrompue par l'administrateur ou par une action « Kill », etc.). Cette description peut être
modifiée si nécessaire. En cas de succès, un clic sur l'icône permet d’ajouter une description
dans une zone dédiée. L'ajout de commentaires dans cette zone est consigné dans le journal
d'audit de WALLIX Bastion (c'est-à-dire « wabaudit »). Pour plus d'informations sur ce journal,
voir Section 8.5, « Journaux et logs système », page 50.
Des filtres peuvent être définis dans le haut de la page pour faciliter la recherche et restreindre
l'affichage aux données pertinentes. Ces filtres sont les suivants :
222
• un tri sur l'affichage de toutes les données ou tous les équipements existants ou encore, toutes
les applications existantes,
• la définition d'une plage de dates,
• la définition des N derniers jours, semaines ou mois,
• une recherche par occurrences dans les colonnes. Pour plus d'informations, voir Section 6.5.1,
« Rechercher des données dans les tableaux », page 34.
Note :
Seuls les 1000 derniers enregistrements sont affichés dans l’interface utilisateur Web.
Le filtrage par recherche d’occurrences opère sur ces 1000 enregistrements. Seule la
définition d’une plage de dates permet de récupérer des sessions plus anciennes.
Toutes les données sur cette page sont téléchargeables sous la forme d'un fichier .csv.
12.3.5. Enregistrements de sessions
WALLIX Bastion embarque un visualiseur de vidéo de session permettant un accès direct à la
lecture des enregistrements de sessions sans avoir recours à l'installation d'un plugin de navigateur,
d'une application ou encore d'un codec vidéo particulier.
Les enregistrements de sessions sont sauvegardés sur la partition /var/wab/recorded/ (pour

le stockage local) ou /var/wab/remote/recorded/ (pour le stockage distant) et peuvent être
archivés ou purgés à l'aide d'un script dédié. Pour plus d'informations, voir Section 14.17, « Exporter
et/ou purger les enregistrements de sessions manuellement », page 275 et Section 14.18,
« Exporter et/ou purger les enregistrements de sessions automatiquement », page 277.
Le chiffrement et la signature des enregistrements de sessions peuvent être paramétrés sur la page
« Options d'enregistrement » du menu « Gestion des sessions ». Pour plus d'informations, voir
Section 12.5, « Options des enregistrements de sessions », page 234.
Sur la page « Historique des sessions » du menu « Audit », l’auditeur peut visualiser les
enregistrements de sessions.
Des icônes peuvent être affichées au début des lignes pour effectuer des actions spécifiques :
• : cette icône permet à l’auditeur de télécharger l’enregistrement de la session au format brut

ttyrec pour la session SSH, ou bien au format pcap (visualisable avec l'analyseur de paquets
Wireshark) pour la session RAWTCPIP.
• : cette icône permet à l’auditeur de télécharger le contenu visible de la session SSH au format
texte plat (txt).
• : cette icône permet à l’auditeur d’afficher la page de visualisation de l’enregistrement de la
session. Un visualiseur permet alors de parcourir la vidéo de la session. Les informations de la
session sont affichées dans le haut de la page.
Dans le cadre de la visualisation d'une session SSH, il est possible d'obtenir la transcription de la
vidéo, les méta-données de la session mais aussi de télécharger les fichiers transférés au cours
de la session dans les zones dédiées sous le visualiseur.
223
Figure 12.4. Page « Historique des sessions » - Visualisation d'une session SSH
Dans le cadre de la visualisation d'une session RDP, il est possible :

– de générer puis télécharger le film entier, d'abord en cliquant sur le bouton « Générer » situé
sous le visualiseur, puis en cliquant sur l'icône affichée dès la génération du film terminée.
Note :
Dans le cadre de la visualisation d'une vidéo de session d'application en mode
RemoteApp, la surface du contenu affiché dans le visualiseur RDP peut être
paramétrée. Ce paramètre peut être géré depuis le menu « Configuration » >
224
« Options de configuration » > « RDP proxy » puis, sous la section « video »,

sélectionner l'option appropriée dans le champ « Smart video cropping ».
Figure 12.5. Visualiseur
– de naviguer rapidement dans le film, via le visualiseur, à partir d'une séquence donnée en
cliquant sur les vignettes de la zone « Liste des captures d'écran ».
Figure 12.6. Zone « Liste des captures d'écran »

– de télécharger les données de la session en cliquant sur l'icône dans la zone « Données
de la session ». Si l'option OCR est activée, les titres des applications détectées dans le film
225
par le module d’OCR sont indexés et affichés dans cette zone. Il est alors possible de cliquer
sur les entrées de la liste pour naviguer rapidement dans le film à partir du visualiseur.
Figure 12.7. Zone « Données de la session »

– de télécharger les fichiers transférés au cours de la session dans la zone « Fichiers
transférés ».
• : cette icône permet à l'auditeur d’afficher le détail de la demande d'approbation (avec les
réponses et commentaires des approbateurs). Cette icône s'affiche sur la ligne si la session
correspondante a fait l'objet d'une procédure d'approbation. Pour plus d'informations, voir
Section 13.7, « Procédure d'approbation », page 265.
12.3.6. Historique des comptes

Sur la page « Historique des comptes » du menu « Audit », l'auditeur peut :
• vérifier l'activité sur les comptes,

• visualiser l'historique des changements du mot de passe,
• forcer la restitution des accréditations d'un compte.
Dans la colonne « Activité », l'auditeur peut cliquer sur « Afficher » pour visualiser l'historique des
activités pour le compte sur une page dédiée. Cette page affiche un tableau listant les emprunts/
restitutions des accréditations du compte enregistrés pour une date et une heure données.
Attention :
Un auditeur associé à un profil comprenant des limitations peut visualiser l'historique des
activités du compte seulement s'il est autorisé à voir les deux groupes de l'autorisation
définie pour la visualisation des accréditations de ce compte.
Dans la colonne « Historique », l'auditeur peut cliquer sur « Afficher » pour visualiser l'historique des
changements du mot de passe du compte sur une page dédiée. Cette page affiche les informations
liées aux changements du mot de passe ou de la clé SSH du compte pour une date et une heure
données.
Attention :
Un auditeur associé à un profil comprenant des limitations peut visualiser l'historique des
changements du mot de passe du compte seulement s'il est autorisé à voir le compte
concerné.
Dans la colonne « Actions », l'option « Forcer la restitution » est disponible pour les comptes
empruntés par les utilisateurs. L’auditeur peut cliquer sur cette option pour restituer les
226
accréditations du compte. Il est à noter que la session RDP ou SSH en cours n'est pas fermée
lorsque la restitution des accréditations du compte est forcée.
Note :
L'option « Forcer la restitution » est systématiquement disponible pour les comptes définis
sur un domaine global associé à un coffre-fort externe à mots de passe. Dans ce cas, la
colonne « Coffre-fort externe » affiche une coche pour les comptes concernés.
Les activités du compte suivantes sont sauvegardées dans /var/log/vault-activity.log :
• l'emprunt,
• l'extension de la durée d'emprunt,
• la restitution et la restitution automatique,
• la restitution forcée.
Ces informations peuvent être redirigées vers un logiciel de type SIEM si le routage a été
configuré au sein de WALLIX Bastion. Pour plus d'informations, voir Section 8.9, « Intégration
SIEM », page 54.
Note :
Certains logs système enregistrés sur la partition /var/log sont conservés pendant
durée maximale de 5 semaines.
Figure 12.8. Page « Historique des comptes »
12.3.7. Historique des approbations

Sur la page « Historique des approbations » du menu « Audit », l’auditeur peut visualiser toutes les
demandes d'approbation (en cours ou expirées) formulées pour accéder aux sessions. Pour plus
d'informations sur les approbations, voir Section 13.7, « Procédure d'approbation », page 265.
Lorsque l'auditeur affiche le détail d'une demande d'approbation au statut « en cours », cette action
est consignée dans le journal d'audit de WALLIX Bastion (c'est-à-dire « wabaudit »). Pour plus
d'informations sur ce journal, voir Section 8.5, « Journaux et logs système », page 50.
Attention :
Un auditeur associé à un profil comprenant des limitations peut visualiser l'historique
des approbations seulement s'il est autorisé à voir l'autorisation définie pour formuler la
227
demande d'approbation. Cette autorisation est déterminée pour un groupe utilisateurs et

un groupe de cibles visualisables par l'auditeur.

Note :
• l’utilisateur qui a formulé la demande,
• la date et l'heure de fin de la demande,
Un clic sur l'icône bloc-notes au début de la ligne permet à l’auditeur d’obtenir une vue détaillée
de la demande.
Figure 12.9. Page « Historique des approbations »
12.3.8. Historique des authentifications
228
Sur la page « Historique des authentifications » du menu « Audit », l’auditeur peut visualiser les
tentatives d’authentification sur les interfaces des proxies RDP et SSH (respectivement sur les
ports 3389 et 22).

Note :
• la date de l’évènement,
• l’identifiant fourni (nom d’utilisateur WALLIX Bastion),
• l’adresse IP source,
• le résultat de l’authentification symbolisé par une icône représentant un succès ou un échec,
• un diagnostic du résultat fournissant une indication plus précise sur le résultat de
l'authentification.
Figure 12.10. Page « Historique des authentifications »
12.3.9. Statistiques sur les connexions

Sur la page « Statistiques sur les connexions » du menu « Audit », l’auditeur peut visualiser les
informations statistiques sur les connexions effectuées à travers WALLIX Bastion sur une période
de temps donnée. Cette période peut être une plage calendaire ou un nombre de jours précédant
la date courante.
229
L’auditeur peut sélectionner le type d’informations statistiques qu'il souhaite visualiser dans la liste
de valeurs située dans le coin supérieur gauche de la page : « Statistiques » ou « Ressources
inutilisées ».
Si l’auditeur choisit la valeur « Statistiques » (sélectionnée par défaut), l'affichage peut être restreint
aux évènements les plus/moins fréquents (connexions aux cibles par équipement ou par utilisateur
ou par date, etc.) : 35 éléments maximum peuvent être affichés.
Les options suivantes peuvent être sélectionnées pour la génération du rapport statistique :
• le nombre de connexions aux cibles par équipement,

• le nombre de connexions aux cibles par compte cible,
• le nombre de connexions à WALLIX Bastion par utilisateur,
• le nombre de connexions aux cibles par utilisateur,
• les connexions aux cibles par durée,
• le temps total des connexions aux cibles par utilisateur,
• les connexions aux cibles par date,
• le nombre maximum de connexions aux cibles simultanées par date.
Des filtres peuvent être définis dans le bas de la page pour faciliter la recherche et restreindre
l'affichage aux données pertinentes. Ces filtres sont basés sur une sélection parmi des utilisateurs
WALLIX Bastion et/ou des équipements et/ou des comptes cibles.
Une fois les diagrammes générés, l’auditeur peut cliquer sur les rapports concernant les
connexions WALLIX Bastion et les connexions aux comptes cibles pour en visualiser le détail
sur les pages « Historique des authentifications » (voir Section 12.3.8, « Historique des
authentifications », page 228) ou « Historique des sessions » (voir Section 12.3.4, « Historique
des sessions », page 221).
Un tableau dans l'en-tête des diagrammes générés récapitule les filtres sélectionnés et un bouton
sous les graphiques permet de télécharger chacun de ces rapports statistiques sous la forme d’un
fichier .csv.
Si l’auditeur choisit la valeur « Ressources inutilisées », il/elle peut visualiser les utilisateurs ou
les comptes cibles inactifs sur une période de temps donnée. Cette période peut être une plage
calendaire ou un nombre de jours précédant la date courante. Les données peuvent être affichées
directement sous forme de liste sur la page active ou encore téléchargées sous la forme d’un
fichier .csv.
Figure 12.11. Page « Statistiques sur les connexions »
230
Figure 12.12. Exemple d'un rapport statistique
12.4. Politiques de connexion
Sur la page « Politiques de connexion » du menu « Gestion des sessions », vous pouvez ajouter,
modifier ou supprimer les politiques de connexion. Ces dernières représentent les mécanismes
d'authentification existants au sein de WALLIX Bastion.
231
Les mécanismes disponibles pour les protocoles RDP, VNC, SSH, TELNET, RLOGIN et RAW TCP/
IP sont prédéfinis dans l'application et ne peuvent être ni supprimés ni modifiés.
Une politique de connexion peut être sélectionnée lors de la création/modification d'un équipement
et est associée à un service spécifique sur cet équipement. Pour plus d'informations, voir
Section 10.1, « Équipements », page 127.
Sur chaque page, une description utile peut être affichée pour tous les champs en sélectionnant la
case du champ « Aide sur les options » sur la droite. Cette description inclut le format à respecter
lors de la saisie des données dans le champ.
Avertissement :
Les options spécifiques affichées lorsque la case du champ « Options avancées » sur la
droite est cochée doivent être UNIQUEMENT modifiées sur les instructions de l’Équipe
Support WALLIX ! Une icône représentant un point d'exclamation sur fond orange est
affichée en marge des champs concernés.
Il est également possible de rechercher et trier les données affichées dans le tableau de la page
« Politiques de connexion ». Pour plus d'informations, voir Section 6.5, « Navigation au sein des
tableaux de l'interface Web », page 34.
Figure 12.13. Page « Politiques de connexion »
12.4.1. Ajouter une politique de connexion

Sur la page « Politiques de connexion », vous pouvez ajouter une politique de connexion :
• en cliquant sur « Ajouter une politique de connexion » pour afficher la page de création de la
politique,
• en dupliquant une politique existante afin d’utiliser ses paramètres : cliquez sur l'icône dans la
colonne « Action » sur la droite de la ligne souhaitée dans le tableau pour afficher la page de
création de la politique avec les paramètres hérités de la politique choisie. Dans ce cas, seuls
les champs « Nom de la politique » et « Description » ne sont pas hérités de la politique choisie
et sont vides.
• le nom de la politique de connexion,

• la sélection du protocole souhaité (automatiquement renseigné si vous créez une politique en
utilisant les paramètres d'une politique existante),
• la sélection des méthodes d'authentification et des paramètres propres au protocole choisi,
232
• la définition d'une règle de transformation pour la récupération d'un identifiant de connexion.

Pour plus d’informations, voir Section 12.6, « Règle de transformation pour la récupération d'un
identifiant pour la connexion secondaire », page 234.
• la définition d'une règle de transformation pour récupérer les accréditations d'un compte du coffre-
fort. Pour plus d’informations, voir Section 12.7, « Règle de transformation pour la récupération
des accréditations d'un compte dans le coffre-fort de WALLIX Bastion », page 235.
Pour les politiques de connexion définies sur les protocoles TELNET ou RLOGIN, une suite de
commandes doit être renseignée dans le champ « Scenario » pour définir une authentification. Un
scénario de connexion est défini par défaut mais peut être modifié. Pour plus d'informations, voir
Section 12.13, « Scénario de connexion TELNET/RLOGIN sur un équipement cible », page 240.
Pour les politiques de connexion définies sur le protocole SSH, un scénario de démarrage peut
être renseigné dans le champ « Scenario » (de la section « startup scenario ») pour effectuer des
actions spécifiques au début de la session. Pour plus d'informations, voir Section 12.15, « Scénario
de démarrage SSH sur un équipement cible », page 242.
Le mode « session probe » peut être activé pour les politiques de connexion définies sur le
protocole RDP. Pour plus d'informations, voir Section 12.18, « Utilisation du mode « session
probe » », page 246.
Figure 12.14. Page « Politiques de connexion »

en mode création pour le protocole RLOGIN
12.4.2. Modifier une politique de connexion

Sur la page « Politiques de connexion », cliquez sur un nom de politique puis sur « Modifier cette
politique de connexion » pour afficher la page de modification de la politique.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la politique,
excepté le champ « Protocole » qui n'est pas modifiable.
Avertissement :
ne peuvent ni supprimer ni modifier une politique de connexion.
233
12.4.3. Supprimer une politique de connexion

Sur la page « Politiques de connexion », sélectionnez une ou plusieurs politiques à l’aide de la
case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection.
Avertissement :
Vous ne pouvez pas supprimer une politique de connexion lorsque celle-ci est associée
à un équipement (au niveau du service sur la page « Équipements »). Pour plus
d'informations sur l'association d'une politique de connexion à un équipement, voir
Section 10.1.1, « Ajouter un équipement », page 127.
ne peuvent ni supprimer ni modifier une politique de connexion.
12.5. Options des enregistrements de sessions

Sur la page « Options d'enregistrement » du menu « Gestion des sessions », vous pouvez choisir
d'activer ou non le chiffrement et la signature pour les enregistrements des sessions.
Ces enregistrements sont visualisables sur la page « Historique des sessions » du menu «
Audit ». Pour plus d'informations, voir Section 12.3.4, « Historique des sessions », page 221 et
Section 12.3.5, « Enregistrements de sessions », page 223.
Les enregistrements chiffrés peuvent être relus uniquement par l'instance WALLIX Bastion qui les
a créés.
L’algorithme de chiffrement utilisé est AES 256 CBC. La signature est effectuée en calculant une
empreinte HMAC SHA 256. L’empreinte est vérifiée lors d'une demande de visualisation.
Figure 12.15. Page « Options d'enregistrement »
12.6. Règle de transformation pour la

récupération d'un identifiant pour la connexion
secondaire
Une règle de transformation basée sur une chaîne de caractères peut être définie pour obtenir un
identifiant pour la connexion sur un compte secondaire en établissant une correspondance à partir :
234
• d'un identifiant d'un compte utilisateur, si la cible appartient à un groupe configuré pour le
mappage de compte (pour plus d'informations, voir Section 10.5.1.4, « Configurer un groupe de
cibles pour la gestion des sessions par mappage de compte », page 175),
• d'un identifiant d'un compte cible dans le coffre-fort de WALLIX Bastion, si la cible appartient
à un groupe configuré pour la gestion des sessions à partir des comptes du coffre-fort (pour
plus d'informations, voir Section 10.5.1.2, « Configurer un groupe de cibles pour la gestion des
sessions à partir d'un compte du coffre-fort », page 174).
Cette règle se définie dans le champ « Transformation rule » sur la page de configuration de la
politique de connexion, accessible depuis le menu « Gestion des sessions » > « Politiques de
connexion ».
La chaîne de caractères inclut le champ requis ${LOGIN} et, dans le cas d'une correspondance
LDAP, le champ optionnel ${DOMAIN}.
La règle de transformation renvoie la chaîne de caractères et remplace les champs ${LOGIN} et

${DOMAIN} avec les valeurs appropriées (à savoir : le login et le domaine).
Le résultat produit correspond alors à l'identifiant pour la connexion sur la cible.
Note :
La règle de transformation définie est ignorée si la cible appartient à un groupe configuré
pour la connexion interactive (pour plus d'informations, voir Section 10.5.1.5, « Configurer
un groupe de cibles pour la gestion des sessions en connexion interactive », page 176).
Exemple 12.1. Exemple de règle de transformation :

${DOMAIN}WIN2k3\${LOGIN} : ajout d'un suffixe au niveau du domaine
${LOGIN}: forçage du login sans aucun domaine
${LOGIN}@QA: utilisation d'un domaine différent
12.7. Règle de transformation pour la

récupération des accréditations d'un compte
dans le coffre-fort de WALLIX Bastion
Une règle de transformation basée sur une chaîne de caractères peut être définie pour récupérer
les accréditations d'un compte existant dans le coffre-fort de WALLIX Bastion pour une cible définie
en mappage de compte. Elle permet d'établir une correspondance à partir d'un compte utilisateur
avec ce compte dans le coffre-fort.
Cette règle de transformation s'applique uniquement lorsque :
• la cible appartient à un groupe configuré pour le mappage de compte (pour plus d'informations,
voir Section 10.5.1.4, « Configurer un groupe de cibles pour la gestion des sessions par mappage
de compte », page 175),
• La méthode d'authentification PUBKEY_VAULT et/ou PASSWORD_VAULT doit être sélectionnée
au niveau de la politique de connexion associée à la cible.
235
Cette règle se définit dans le champ « Vault transformation rule » sur la page de configuration de
la politique de connexion, accessible depuis le menu « Gestion des sessions » > « Politiques de
connexion ».
La chaîne de caractères inclut les champs suivants :
• ${USER}. Ce champ est substitué par l'identifiant de l'utilisateur,

• ${DOMAIN}. Ce champ est substitué par le domaine de l'utilisateur dans le cas d'une
correspondance LDAP,
• ${USER_DOMAIN}. Ce champ est substitué par l'identifiant de l'utilisateur + "@" + le domaine
de l'utilisateur, si existant,
• ${GROUP}. Ce champ est substitué par le groupe utilisateurs faisant l'objet de l'autorisation,
• ${DEVICE}. Ce champ est substitué par le nom de l'équipement.
Une expression régulière (ou "regex") peut être mentionnée pour la transformation en utilisant la
syntaxe : ${USER:/regex/substitution}. Par exemple, pour substituer tous les identifiants utilisateur
commençant par la lettre "A" par "B", la variable ${USER} doit être renseignée ainsi : ${USER:/
Â/B}.
La règle de transformation renvoie la chaîne de caractères et remplace les champs avec les valeurs
appropriées.
Le résultat produit correspond alors à la syntaxe du compte existant dans le coffre-fort pour lequel
les accréditations sont à récupérer.
Exemple 12.2. Exemple de règles de transformation :

${USER:/âdm_/adm_domain1_}@domain1
Cette syntaxe correspond à une expression régulière pouvant se lire de la manière suivante :
• ${USER : Le traitement se fait sur la partie identifiant de l’utilisateur,

• /âdm_ : La vérification doit se faire sur l'identifiant commençant pas « adm_ »,
• /adm_domain1_ : Si la condition précédente est respectée, alors l'identifiant est substitué par
cette valeur,
• @domain1 : Ce suffixe est ajouté après la variable substituée.
Si le début de l'identifiant de l’utilisateur qui se connecte correspond « adm_ », alors cette partie
sera substituée par « adm_domain1_ ». Puis, « @domain1 » sera ajouté à la fin de l'identifiant.
Dans cet exemple, l'identifiant « adm_jdoe » est alors substitué par « adm_domain1_jdoe ».
12.8. Utilisation d'un logiciel antivirus ou d'une

solution DLP (Data Loss Prevention) avec ICAP
Il est possible de configurer des connexions vers des serveurs ICAP de logiciels antivirus ou de
solutions DLP (Data Loss Prevention) pour vérifier la validité des fichiers transférés au cours des
sessions RDP et SSH.
Les fichiers vérifiables sont ceux transférés via les sous-protocoles SFTP et SCP (SFTP_SESSION,
SSH_SCP_UP et SSH_SCP_DOWN) au cours de la session SSH et par la fonction copier/coller
via le presse-papier (RDP_CLIPBOARD_FILE) au cours de la session RDP.
236
La vérification des fichiers ne bloque pas le transfert de fichiers. Le statut retourné par le serveur
ICAP est tracé :
• dans les méta-données de la session affichées sur la page « Historique des sessions » du
menu « Audit », dans la zone « Méta-données de la session ». Pour plus d'informations, voir
Section 12.3.4, « Historique des sessions », page 221 et Section 12.3.5, « Enregistrements
de sessions », page 223.
• dans les messages SIEM, si le routage vers un logiciel de type SIEM est configuré au sein de
WALLIX Bastion. Pour plus d'informations, voir Section 8.9, « Intégration SIEM », page 54 et
Chapitre 16, « Messages SIEM », page 288.
12.8.1. Configuration de la connexion vers les serveurs

ICAP
Un serveur ICAP peut être configuré pour chaque protocole (RDP et SSH) et chaque sens de
transfert, à savoir :
• pour les fichiers transférés en « upload », c'est-à-dire depuis le client vers le serveur (comme
par exemple, un logiciel antivirus) et,
• pour les fichiers transférés en « download », c'est-à-dire depuis le serveur vers le client (comme
par exemple, une solution DLP).
Les paramètres des serveurs ICAP peuvent être définis depuis le menu « Configuration » > «
Options de configuration » > « RDP proxy » (pour le protocole RDP) ou « SSH proxy » (pour le
protocole SSH), au sein des sections suivantes :
• [icap_server_up] pour la configuration du serveur ICAP pour les fichiers transférés en « upload »
et,
• [icap_server_down] pour la configuration du serveur ICAP pour les fichiers transférés en
« download ».
Pour chaque serveur ICAP, ces paramètres sont les suivants :
• « Host » : adresse IP ou FQDN du serveur ICAP,

• « Port » : port du serveur ICAP,
• « Service name » : nom du service sur le serveur ICAP,
• « Tls » : option à cocher si TLS est activé sur le serveur ICAP.
12.8.2. Activation de la vérification des fichiers

La vérification des fichiers transférés peut être activée ou désactivée depuis « Gestion des
sessions » > « Politiques de connexion » > « RDP » (pour le protocole RDP) ou « SSH » (pour le
protocole SSH). Cette vérification est désactivée par défaut.
Dans la section [file_verification], les paramètres à renseigner sont les suivants :
• « Enable up » : option à cocher pour activer la vérification des fichiers transférés en « upload »
par le serveur ICAP configuré dans la section [icap_server_up] des options de configuration du
proxy associé (accessible depuis le menu « Configuration » > « Options de configuration » > «
RDP proxy » ou « SSH proxy »),
• « Enable down » : option à cocher pour activer la vérification des fichiers transférés en
« download » par le serveur ICAP configuré dans la section [icap_server_down] des options
237
de configuration du proxy associé (accessible depuis le menu « Configuration » > « Options de

configuration » > « RDP proxy » ou « SSH proxy »).
Lorsque la politique de connexion est définie sur le protocole RDP, la section [file_verification]
permet de renseigner également les paramètres suivants :
• « Clipboard text up » : option à cocher pour activer la vérification du texte transféré en « upload »
par la fonction copier/coller via le presse-papier par les serveurs ICAP. Cette vérification est
effective lorsque l'option « Enable up » est cochée.
• « Clipboard text down » : option à cocher pour activer la vérification du texte transféré en
« download » par la fonction copier/coller via le presse-papier par les serveurs ICAP. Cette
vérification est effective lorsque l'option « Enable down » est cochée.
12.8.3. Activation de la sauvegarde de fichiers en cas

d'invalidité lors de la vérification
Lorsque la vérification des fichiers transférés est activée depuis la politique de connexion définie
sur le protocole RDP ou SSH protocol (voir Section 12.8.2, « Activation de la vérification des
fichiers », page 237), il est possible de sauvegarder les fichiers invalides transférés.
Pour cela, sur la page de configuration de la politique de connexion, accessible depuis le menu
« Gestion des sessions » > « Politiques de connexion » > « RDP » (pour le protocole RDP) ou «
SSH » (pour le protocole SSH), l'option « On invalid verification » dans le champ « Store file » sous
la section [file_storage] doit être cochée.
Les fichiers invalides transférés sont visualisables et téléchargeables sur la page « Historique des
sessions » du menu « Audit », dans la zone « Fichiers transférés ». Pour plus d'informations, voir
Section 12.3.4, « Historique des sessions », page 221 et Section 12.3.5, « Enregistrements de
sessions », page 223.
Note :
L'enregistrement de sessions doit être activé pour l'autorisation définie (voir Section 13.1,
« Ajouter une autorisation », page 258) pour permettre à l'auditeur de visualiser et
télécharger les fichiers transférés sur la page « Historique des sessions » du menu «
Audit ».
12.9. Activation de la sauvegarde des fichiers

transférés au cours de la session RDP ou SSH
Il est possible de sauvegarder les fichiers transférés au cours de la session RDP ou SSH.
Pour cela, sur la page de configuration de la politique de connexion, accessible depuis le menu
« Gestion des sessions » > « Politiques de connexion » > « RDP » (pour le protocole RDP) ou «
SSH » (pour le protocole SSH), l'option « Always » dans le champ « Store file » sous la section
[file_storage] doit être cochée.
Les fichiers transférés sont visualisables et téléchargeables sur la page « Historique des
sessions » du menu « Audit », dans la zone « Fichiers transférés ». Pour plus d'informations, voir
Section 12.3.4, « Historique des sessions », page 221 et Section 12.3.5, « Enregistrements de
sessions », page 223.
238
Note :
L'enregistrement de sessions doit être activé pour l'autorisation définie (voir Section 13.1,
« Ajouter une autorisation », page 258) pour permettre à l'auditeur de visualiser et
télécharger les fichiers transférés sur la page « Historique des sessions » du menu «
Audit ».
12.10. Configuration des données sensibles

enregistrées dans les logs pour le protocole
RDP
Il est possible de configurer le masquage ou l'affichage de certaines données sensibles dans les
logs au cours de la session RDP enregistrée.
Ainsi, l'option « Keyboard input masking level », accessible depuis le menu « Gestion des sessions »
> « Politiques de connexion » > « RDP », sous la section « session log » permet de configurer le
masquage ou l'affichage des entrées clavier, mots de passe ou textes non identifiés dans les méta-
données de la session.
Ces informations sont visualisables sur la page « Historique des sessions » du menu « Audit », dans
la zone « Méta-données de la session ». Pour plus d'informations, voir Section 12.3.4, « Historique
des sessions », page 221 et Section 12.3.5, « Enregistrements de sessions », page 223.
12.11. Autorisation ou rejet des canaux virtuels

dynamiques pour le protocole RDP
Les canaux virtuels dynamiques peuvent être ouverts lors de la connexion à la session RDP pour
permettre le transfert de tout type de données.
Il est possible de configurer les canaux virtuels dynamiques pouvant être autorisés ou rejetés lors
de la session RDP.
Ces canaux peuvent être renseignés dans les champs « Allowed dynamic channels » et « Denied
dynamic channels » de la section « rdp », sur la page de configuration de la politique de connexion
définie sur le protocole RDP. Cette page est accessible depuis le menu « Gestion des sessions »
> « Politiques de connexion ».
Par défaut, tous les canaux virtuels dynamiques sont autorisés. La configuration dans le champ
« Denied dynamic channels » est prioritaire sur celle définie dans le champ « Allowed dynamic
channels ».
Lors de la tentative d'ouverture d'un canal virtuel dynamique, l'information relative à son autorisation
ou son rejet est tracée :
• dans les méta-données de la session affichées sur la page « Historique des sessions » du
menu « Audit », dans la zone « Méta-données de la session ». Pour plus d'informations, voir
Section 12.3.4, « Historique des sessions », page 221 et Section 12.3.5, « Enregistrements
de sessions », page 223.
• dans les messages SIEM, si le routage vers un logiciel de type SIEM est configuré au sein de
WALLIX Bastion. Pour plus d'informations, voir Section 8.9, « Intégration SIEM », page 54 et
Chapitre 16, « Messages SIEM », page 288.
239
Avertissement :
Le rejet de canaux virtuels dynamiques peut perturber les connexions RDP.
12.12. Configuration du log de toutes les

entrées clavier pour les protocoles RLOGIN,
SSH et TELNET
La journalisation de toutes les entrées claviers, qu'elles soient affichées ou non sur le terminal,
peut être configurée pour les politiques de connexion définies sur les protocoles RLOGIN, SSH
et TELNET.
Cette journalisation complète peut être activée en sélectionnant l’option « Log all kbd » sur la page
de configuration de la politique de connexion, accessible depuis le menu « Gestion des sessions »
> « Politiques de connexion ».
Si cette option est désactivée, alors seules les entrées clavier affichées sur le terminal sont
journalisées.
Ces informations sont visualisables sur la page « Historique des sessions » du menu « Audit », dans
la zone « Méta-données de la session ». Pour plus d'informations, voir Section 12.3.4, « Historique
des sessions », page 221 et Section 12.3.5, « Enregistrements de sessions », page 223.
Avertissement :
Lorsque cette option est activée, les mots de passe saisis au cours de la session sont
alors journalisés et, par conséquent, affichés en clair.
12.13. Scénario de connexion TELNET/RLOGIN

sur un équipement cible
Une séquence d'authentification peut être déclarée en renseignant le champ « Scenario » sur la
page de configuration de la politique de connexion définie sur le protocole TELNET ou RLOGIN,
accessible depuis le menu « Gestion des sessions » > « Politiques de connexion ». Pour plus
d'informations, voir Section 12.4, « Politiques de connexion », page 231.
Cette séquence permet d’interpréter les ordres envoyés par un shell interactif et d’automatiser la
connexion. Il s’agit d’un pseudo langage dont la syntaxe comprend les éléments suivants :
• SEND : envoi d’une chaîne de caractères

• EXPECT : s’attend à recevoir une chaîne de caractères au cours des 10 prochaines secondes.
Cette valeur doit être cohérente avec la langue du serveur.
• (?i) : ignore la casse
• $login : envoi d’un identifiant
• $password : envoi d’un mot de passe
Ainsi, la séquence suivante (testée sur un switch 3Com Superstack accessible via TELNET) :
SEND:\r\n
240
EXPECT:(?i)login:
SEND:$login\r\n
EXPECT:(?i)Password:
SEND:$password\r\n
S’interprète de la manière suivante :
• envoi d’un retour chariot,

• attendre la réception de la chaîne « login » (en ignorant la casse),
• envoyer l’identifiant suivi d’un retour chariot,
• attendre la réception de la chaîne « password » (en ignorant la casse),
• envoyer le mot de passe suivi d’un retour chariot.
Cette séquence doit aussi fonctionner pour les serveurs TELNET sous Windows.
Pour les serveurs TELNET fonctionnant sous Unix ou Linux, utilisez plutôt la séquence suivante :
EXPECT:(?i)login:
SEND:$login\n
SEND:$password\n
Pour les équipements RLOGIN, seul le mot de passe est attendu, ainsi la séquence
d'authentification suivante est fonctionnelle pour une connectivité en RLOGIN, vers un système
sous Debian 5.0 lenny :
SEND:$password\n
Note :
En règle générale, l’identifiant est déjà fourni pour les connexions SSH (en mode clavier
interactif « keyboard interactive ») et RLOGIN. Il est nécessaire de le fournir dans la
séquence uniquement pour les connexions TELNET.
12.14. Configuration des algorithmes

de cryptographie pris en charge sur les
équipements cibles
Les algorithmes de cryptographie autorisés sur les équipements cibles peuvent être configurés
sur les pages relatives aux politiques de connexion définies sur les protocoles RDP ou SSH. Les
sections suivantes présentes cette configuration.
12.14.1. Paramètres de cryptographie SSH sur les

équipements cibles
Les algorithmes de cryptographie autorisés sur les équipements cibles peuvent être déclarés en
les mentionnant dans les champs de la section « algorithms », sur la page de configuration de la
politique de connexion définie sur le protocole SSH. Cette page est accessible depuis le menu «
Gestion des sessions » > « Politiques de connexion ».
241
Si aucun algorithme n'est renseigné, alors tous les algorithmes supportés par le proxy SSH sont
autorisés sur les équipements cibles.
Par défaut, aucun algorithme n'est listé dans ces champs afin de garantir une compatibilité
maximale avec les serveurs cibles.
Avertissement :
Cette section est uniquement affichée lorsque la case du champ « Options avancées
» sur la droite de la page est cochée et elle doit être UNIQUEMENT modifiée sur les
instructions de l’Équipe Support WALLIX !
12.14.2. Paramètres de cryptographie RDP sur les

équipements cibles
Les algorithmes de cryptographie autorisés sur les équipements cibles peuvent être déclarés en
les mentionnant dans certains champs de la section « rdp », sur la page de configuration de la
politique de connexion définie sur le protocole RDP. Cette page est accessible depuis le menu «
Gestion des sessions » > « Politiques de connexion ».
Ces champs sont les suivants :
• « Tls min level » : niveau minimum de version TLS pris en charge. Par défaut, aucun niveau
minimum n'est configuré dans ce champ afin de garantir une compatibilité maximale avec les
serveurs cibles.
• « Tls max level » : niveau maximum de version TLS pris en charge. Par défaut, aucun niveau
maximum n'est configuré dans ce champ afin de garantir une compatibilité maximale avec les
serveurs cibles.
• « Cipher string » : algorithmes de cryptographie supplémentaires utilisés pour les connexions
TLSv1.2 supportés par le client. Par défaut, aucune valeur n'est renseignée dans ce champ
pour prendre en compte la configuration globale système correspondant au niveau de sécurité
2 du protocole SSL. La valeur « ALL » doit être renseignée afin de prendre en charge tous les
algorithmes de cryptographie et garantir une compatibilité maximale avec les serveurs cibles.
• « Show common cipher list » : option à cocher pour afficher, dans les fichiers de log, les
algorithmes communs pris en charge par le client et le serveur.
12.15. Scénario de démarrage SSH sur un

équipement cible
Un scénario de démarrage peut être déclaré en renseignant le champ « Scenario » de la section «
startup scenario » sur la page de configuration de la politique de connexion définie sur le protocole
SSH, accessible depuis le menu « Gestion des sessions » > « Politiques de connexion ».
Il peut, par exemple, être utilisé au début de la session shell SSH pour permettre à l'utilisateur
d'acquérir les privilèges « root » avec les commandes « su » ou « sudo » sans que ce dernier ait
connaissance du mot de passe.
12.15.1. Commandes
Un scénario est défini par une suite de commandes séparées par un retour chariot : une ligne d’un
scénario représente donc une commande.
242
Une commande est définie par un couple type et valeur, séparés entre eux par deux points ':'
TYPE:VALUE.
Une commande commençant par # sera ignorée.
Ce scénario de démarrage est représenté par une suite de commandes d’attente de réponse et
d’envois de données exécutées au début d'une session à partir d’un shell portant sur une cible
SSH. La syntaxe comprend les commandes suivantes :
• SEND : cette commande envoie la valeur associée au serveur et passe à la suite du scénario.
La valeur associée peut contenir un token (voir Section 12.15.2, « Token ou

« jeton » », page 243).
Par exemple, pour envoyer la commande « sudo » interactive :
SEND:exec sudo -i
• EXPECT : cette commande se met en attente d’une réponse du serveur en correspondance avec
la valeur associée avant d’exécuter la suite du scénario.
La valeur associée est une expression régulière et peut contenir un token (voir Section 12.15.2,
« Token ou « jeton » », page 243) qui sera interprété avant l'expression régulière. Cette valeur
doit être cohérente avec la langue du serveur.
Par exemple, pour attendre un prompt de commande :
EXPECT:.*@.*:~$
Si, au bout d’un certain temps, aucune réponse du serveur ne correspond à la valeur associée,
alors le scénario échoue.
Un échec de scénario met fin à la session.
Pendant l’exécution du scénario, aucune action utilisateur n’est possible à part son interruption par
l’utilisation des touches CTRL+C ou CTRL+D. Cette interruption met le scénario en échec et met
fin à la session.
L’utilisateur reprend la main du terminal une fois le scénario terminé avec succès.
12.15.2. Token ou « jeton »
La valeur d’une commande peut contenir un token.
Un token est une partie de la valeur qui sera remplacée par un attribut fourni par le proxy SSH ou
WALLIX Bastion.
Un token est représenté par la syntaxe suivante : ${type} ou ${type:param}, il est défini par
un type et un paramètre optionnel.
Les types de token pouvant être utilisés sont les suivants : login, password et user.
Aucun paramètre n'est à renseigner pour le type de token user.
Si aucun paramètre n’est renseigné pour les types de token login et password, alors l'attribut
sera celui du compte cible de la session courante.
• ${login} : login du compte cible courant,

• ${password} : mot de passe du compte cible courant,
243
• ${user} : identifiant du compte primaire, c'est-à-dire de l'utilisateur WALLIX Bastion.
Si un paramètre est fourni, il définit le compte au sein de WALLIX Bastion pour lequel les attributs
(« login » ou « password ») doivent être récupérés.
• ${login:account@domain} : login d’un compte de domaine global,

• ${password:account@domain} : mot de passe d’un compte de domaine global,
• ${login:account@domain@} : login d’un compte sur le domaine local à l'équipement courant,
• ${password:account@domain@} : mot de passe d’un compte sur le domaine local à
l’équipement courant.
Un échec de récupération d'attribut pour un token implique l’échec du scénario.
Exemple de script pour une élévation de privilèges avec la commande « sudo » :
SEND:exec sudo -i
EXPECT:password.*:
SEND:${password}
Exemple de script pour un changement d'utilisateur sur un compte « root » du même équipement
avec la commande « su » :
SEND:exec su - root
EXPECT:Password:
SEND:${password:root@local@}
12.15.3. Configuration du scénario de démarrage SSH

Un script de démarrage peut être configuré dans la rubrique « startup_scenario » pour les politiques
de connexion définies sur le protocole SSH.
Ce mode peut être activé en sélectionnant l’option « Enable » sur la page de configuration de
la politique de connexion définie sur le protocole SSH, accessible depuis le menu « Gestion des
sessions » > « Politiques de connexion ».
Cette rubrique recense les champs suivants :
• « Enable » : cette case à cocher permet d’activer ou désactiver le scénario de démarrage. Par
défaut, cette option est désactivée.
• « Scenario » : ce champ permet de renseigner le scénario de démarrage.
• « Show output » : cette case à cocher permet d’afficher ou masquer les entrées/sorties sur le
Shell pendant l’exécution du scénario. Par défaut, cette option est activée.
• « Timeout » : ce champ permet de définir le délai d’attente (en secondes) d’une commande
EXPECT avant échec.
Avertissement :
Support WALLIX !
• « Ask startup » : cette case à cocher permet d’activer ou désactiver un prompt pour demander à
l’utilisateur s’il souhaite exécuter le scénario. Par défaut, le scénario est obligatoirement exécuté.
244
Avertissement :
Support WALLIX !
12.16. Configuration du mode transparent pour

les proxies RDP et SSH
Ce mode permet au proxy d’intercepter le trafic réseau destiné à une cible même lorsque l’utilisateur
a précisé l’adresse de la cible à la place de l'adresse de WALLIX Bastion.
Ce mode peut être activé depuis le menu « Configuration » > « Options de configuration » :
• sur la page de configuration « RDP proxy » en cochant la case du champ « Enable transparent
mode », sous la section « globals »,
• sur la page de configuration « SSH proxy » en cochant la case du champ « Enable transparent
mode », sous la section « main ».
Pour utiliser le mode transparent, il faut que le réseau soit configuré afin d’envoyer le flux RDP ou
SSH destiné aux cibles vers les interfaces réseaux utilisateurs de WALLIX Bastion. Ceci peut être
fait au moyen de routes IP. WALLIX Bastion agit alors comme une passerelle.
Le proxy intercepte le trafic envoyé vers le port TCP 3389 (pour les protocoles RDP et VNC). Le
trafic arrivant vers WALLIX Bastion sans lui être destiné mais intercepté par ce dernier ou un autre
port (différent du port 3389) est perdu.
Le proxy choisit automatiquement la cible en fonction de l’adresse IP destination de la connexion.

Lorsqu'une seule cible correspond à cette adresse, la connexion se fait automatiquement sans que
le sélecteur soit affiché. Sinon, le sélecteur affiche la liste des cibles possibles correspondant à
cette adresse.
De plus, il est possible de définir un ensemble de ressources cibles appartenant à un sous-réseau.

Il suffit pour cela de préciser le sous-réseau à la place de l’adresse IP de l’hôte cible dans le champ
« Hôte de l'équipement » lors de la création de l'équipement, depuis la page « Équipements »,
en utilisant la notation CIDR (<adresse de réseau>/<nombre de bits de masque>). Pour plus
d'information sur cette configuration, voir Section 10.1.1, « Ajouter un équipement », page 127.
Dans le cas où l’adresse IP destination de la connexion correspond à plusieurs cibles dont au

moins une est définie par adresse IP (ou FQDN), alors les cibles définies par sous-réseau sont
ignorées pour la connexion. Lorsqu'une seule cible correspond à cette adresse, la connexion se
fait automatiquement sans que le sélecteur soit affiché.
Une fois le mode transparent activé pour RDP ou SSH, les paramètres suivants permettent de
contrôler le comportement du proxy :
• L'option « Auth mode passthrough » (accessible depuis le menu « Configuration » > « Options
de configuration » > « SSH proxy » pour SSH ou depuis le menu « Configuration » > « Options
de configuration » > « RDP proxy sesman » pour RDP) permet d'activer/désactiver la délégation
d’authentification. Celle-ci permet d’éviter que WALLIX Bastion procède à une authentification
lorsque le proxy reçoit une demande de connexion. La demande d’authentification est alors
transmise directement à la cible et WALLIX Bastion autorise la connexion si l’authentification par
245
la cible est établie. Cela permet de déployer WALLIX Bastion dans un environnement où seule
la cible connaît le mot de passe comme c’est le cas, par exemple, pour certaines configurations
de VMware Horizon View.
• Le champ « Default login » (accessible depuis le menu « Configuration » > « Options de
configuration » > « SSH proxy » pour SSH ou, depuis le menu « Configuration » > « Options de
configuration » > « RDP proxy sesman » pour RDP) permet de renseigner un utilisateur WALLIX
Bastion différent de l’identité RDP ou SSH. Dans ce cas, les sessions et leurs enregistrements
seront associés à cet utilisateur WALLIX Bastion. Les informations d’identification RDP ou SSH
sont enregistrées dans le champ cible quand elles sont disponibles.
12.17. Configuration de la fonctionnalité
KeepAlive pour le proxy RDP
La fonctionnalité KeepAlive permet de maintenir une session RDP ouverte en l'absence totale de
trafic réseau entre WALLIX Bastion et le client RDP. Un message est alors envoyé par WALLIX
Bastion au client RDP pour maintenir la liaison entre les deux.
Pour activer cette fonctionnalité, il est nécessaire de renseigner l’intervalle de temps en

millisecondes entre deux émissions de messages KeepAlive. Ce paramètre peut être géré depuis «
Configuration » > « Options de configuration » > « RDP proxy » puis, renseignez la valeur appropriée
pour l'option « Rdp keepalive connection interval ». Par défaut, cette valeur est égale à « 0 » : la
fonctionnalité est alors désactivée.
Avertissement :
Les clients RDP basés sur FreeRDP peuvent être incompatibles avec les messages
KeepAlive.
12.18. Utilisation du mode « session probe »

Le mode « session probe » permet de collecter des ensembles riches de méta-données de session
liées à l'activité des utilisateurs. Ces informations peuvent être redirigées vers un logiciel de
type SIEM afin d'identifier des évènements significatifs. Pour plus d'informations, voir Section 8.9,
« Intégration SIEM », page 54.
Ce mode peut être activé en cochant l'option « Enable session probe » sur la page de configuration
de la politique de connexion définie sur le protocole RDP, accessible depuis le menu « Gestion des
sessions » > « Politiques de connexion ».
Ce mode ne nécessite pas de déploiement spécifique. Il s'exécute dans la session RDP de

l'utilisateur en fonction des privilèges de ce dernier. De ce fait, il n’entraîne pas d'augmentation de
la surface d'attaque du système d’information.
Les méta-données sont collectées par le mode « session probe » lors des évènements suivants :
• changement de fenêtre active,

• activation d'un bouton dans une fenêtre,
• sélection d'un bouton radio ou d'une case à cocher dans une fenêtre,
• changement de contenu dans un champ de texte dans une fenêtre,
• changement de disposition des touches clavier,
246
• début et fin d'un processus,

• échange de fichiers via le presse-papier,
• échanges de fichiers via des disques locaux redirigés.
Le mode « session probe » peut également bloquer les connexions TCP par rebond. Une connexion
par rebond consiste à passer par une cible WALLIX Bastion pour accéder à une autre machine sur
le réseau interne. Ce mode peut alors détecter et interrompre ce type de connexion.
Le mode « session probe » contribue à la protection des mots de passe saisis dans la session en
détectant l’entrée du curseur dans des champs de saisie de mot de passe ou dans une fenêtre
UAC (User Account Control). Quand un tel évènement se produit dans la session, WALLIX Bastion
reçoit alors l'information afin de mettre en pause la collecte des données saisies au clavier.
12.18.1. Mode de fonctionnement par défaut

Le mode « session probe » est activé par défaut sur la page de configuration de la politique de
Politiques de connexion ». En cas d'échec au démarrage, WALLIX Bastion peut être configuré pour
retenter une nouvelle connexion sans ce mode. Ce mécanisme de rattrapage garantit au maximum
l'accès à une session RDP utilisable mais rallonge le temps nécessaire à l'établissement de la
connexion. Ce mode est conçu pour la phase de mise au point des paramètres et ne doit pas être
utilisé pour la production.
Si le mode « session probe » s'arrête pour une raison quelconque, WALLIX Bastion interrompra
la session en cours.
Comme pour une session RDP classique, si l'utilisateur se déconnecte sans fermer une session
sous le mode « session probe », celle-ci continuera à fonctionner via le service Bureau à distance
(pour une durée prédéterminée). Pendant ce laps de temps, l'utilisateur a la possibilité de reprendre
la session là où il l'a laissée. Afin de garantir un niveau satisfaisant de sécurité, ce mode
dispose d'un mécanisme visant à empêcher la reprise de la session de l'utilisateur par une autre
incompatible.
Les incompatibilités qui empêchent la reprise d'une session par une autre peuvent être les
suivantes :
• une différence au niveau du compte primaire,

• une différence au niveau du type de cible (« équipement » ou « application »),
• une différence d'application cible.
Si WALLIX Bastion constate une impossibilité de reprise de la session RDP, la connexion en cours
est interrompue et une nouvelle prend le relais de façon transparente pour l'utilisateur.
12.18.2. Choix du lanceur
Le lanceur intelligent « smart launcher » est utilisé par défaut pour une session RDP standard. Il
est possible d’utiliser le lanceur classique en modifiant la politique de connexion, accessible depuis
le menu « Gestion des sessions » > « Politiques de connexion ».
Il existe cependant une exception : lorsque le client RDP a spécifié un programme à démarrer lors
de la connexion, alors le lanceur classique est utilisé pour lancer le mode Session Probe.
Lors de la connexion à une application (telle que définie depuis « Cibles » > « Applications »), seul
le lanceur classique fonctionne. Ce choix est fait automatiquement par le proxy RDP.
247
12.18.3. Prérequis
Le mode « session probe » fonctionne sous un système d'exploitation Windows avec le service
Bureau à distance supportant la fonction « alternate shell ».
Les environnements sous Windows XP et les serveurs à partir de Windows Server 2003 supportent
l'utilisation du lanceur intelligent « smart launcher ».
Lorsque le lanceur « smart launcher » est utilisé :
• la redirection du presse-papier doit être autorisée par Remote Desktop Services (ou Terminal
Services) sur la cible. Ceci est le cas par défaut.
• les touches de raccourci Windows+R doivent être activées au niveau des stratégies de groupe
de la cible (ceci est le cas par défaut). Les touches de raccourci peuvent être désactivées
via « Éditeur de stratégie de groupe locale » > « Configuration utilisateur » > « Modèles
d'administration » > « Composants Windows » > « Explorateur Windows » ou « Explorateur de
fichiers » > « Désactiver les touches de raccourci Windows+X » ou « Désactiver les touches de
raccourci Windows ».
Le lanceur classique ne fonctionne que sur les cibles sous des environnements Windows Server
et Windows XP. Il ne fonctionnera pas avec les cibles sous Windows 7, 8.x et 10.
A partir de Windows Server 2008, et uniquement dans le cas de l'utilisation du lanceur
classique, il est nécessaire de publier l'invite de commande (cmd.exe) en tant que programme
RemoteApp. Pour plus d'informations, voir https://technet.microsoft.com/en-gb/
library/cc753788.aspx. De plus, il est nécessaire d'autoriser tous les paramètres de
ligne de commande pour ce programme en sélectionnant le bouton radio « Allow any
command-line parameters » dans la boîte de dialogue « Remote Desktop Connection Program
properties ». Pour plus d'informations, voir https://blogs.technet.microsoft.com/
infratalks/2013/02/06/publishing-remoteapps-and-remote-session-in-
remote-desktop-services-2012/.
La redirection des lecteurs locaux doit être autorisée par Remote Desktop Services (ou Terminal
Services) sur la cible. Ceci est le cas par défaut.
Le répertoire temporaire du compte secondaire (compte Windows) doit disposer d’au moins 5 Mo
d’espace disque disponible.
Le compte de l'utilisateur Windows doit pouvoir lancer des scripts batch et des exécutables depuis
son répertoire temporaire personnel (ceci est le cas par défaut). Il est possible d'imposer une
restriction logicielle via « Stratégie de groupe » > « Configuration ordinateur » > « Paramètres
Windows » > « Paramètres de sécurité » > « Stratégies de restriction logicielle » en ajoutant une
nouvelle règle dans « Règles supplémentaires ».
12.18.4. Configuration
La configuration du mode « session probe » peut être effectuée sur la page de configuration de
la politique de connexion définie sur le protocole RDP, accessible depuis le menu « Gestion des
sessions » > « Politiques de connexion ». La section « session probe » recense les paramètres
suivants :
Champ « Enable session probe »
Cocher/décocher la case pour activer/désactiver le mode « session probe ».
Champ « Use smart launcher »
248
Cocher/décocher la case pour activer/désactiver l'utilisation du lanceur intelligent « smart launcher »

au démarrage du mode « session probe ».
Avertissement :
Les cibles sous des environnements Windows XP et Windows Server 2003 et ultérieur
sont pris en charge.
Il n'est pas nécessaire de publier l'invite de commande (cmd.exe) en tant que programme
RemoteApp pour utiliser « smart launcher », sauf dans le cas de l'utilisation du mode «
session probe » lors du lancement d'une application.
La redirection du presse-papier doit être autorisée par Terminal Services pour utiliser «
smart launcher » (ceci est le cas par défaut).
Champ « Enable launch mask »

Le mode « session probe » est chargé par un script de commandes. Sans l'intervention de WALLIX
Bastion, ce dernier affiche une fenêtre de console de couleur noire peu esthétique dans la session
RDP. De plus, l'utilisateur peut interagir avec cette fenêtre et perturber le bon déroulement du
chargement. Le masquage permet de bloquer l'affichage et les saisies souris et clavier pendant
la phase du chargement du mode « session probe » et, de ce fait, rendre invisible la fenêtre de
la console.
Les données affichées dans la fenêtre de la console sont utiles pour diagnostiquer d'éventuels
problèmes de chargement du mode « session probe », c'est pourquoi l'utilisateur a la possibilité
de désactiver le masquage.
Avertissement :
Support WALLIX !
Champ « On launch failure »

Sélectionner le comportement souhaité dans l'éventualité d'un échec de démarrage du mode «
session probe ».
L'option « 0: ignore failure and continue » peut ne pas fonctionner correctement sous certaines
versions de Windows.
Champ « Launch timeout »
Ce champ est utilisé lorsque le comportement sélectionné dans le champ « On launch failure »
correspond à l'option « 1: disconnect user ». Il permet de renseigner le temps d'attente (exprimé
en millisecondes) avant que WALLIX Bastion considère l'échec de démarrage du mode « session
probe ».
Avertissement :
Support WALLIX !
Champ « Launch fallback timeout »
249
Ce champ est utilisé lorsque le comportement sélectionné dans le champ « On launch failure »
correspond à l'option « 0: ignore failure and continue » ou « 2: reconnect without Session Probe ».
Il permet de renseigner le temps d'attente (exprimé en millisecondes) avant que WALLIX Bastion
considère l'échec de démarrage du mode « session probe ».
Avertissement :
Support WALLIX !
Champ « Start launch timeout timer only after logon »

Cocher la case pour optimiser le démarrage du mode « session probe ».
Avertissement :
Seuls les serveurs à partir de Windows Server 2008 ou plus récents sont supportés !
Champ « Keepalive timeout »

Ce champ permet de renseigner le temps d'attente (exprimé en millisecondes) entre l'émission par
WALLIX Bastion d'une requête de KeepAlive vers le mode « session probe » et la réception de la
réponse correspondante.
WALLIX Bastion envoie régulièrement des messages KeepAlive à destination du mode « session
probe ». Sans une réponse de la part de ce dernier et à l'expiration du délai, WALLIX Bastion
conclura que le mode « session probe » n'est plus actif et coupera la connexion.
WALLIX Bastion peut également couper la connexion lorsque le comportement sélectionné dans
le champ « On keepalive timeout » correspond à l'option « 1: disconnect user ».
Avertissement :
Support WALLIX !
Champ « On keepalive timeout »

Sélectionner le comportement souhaité lorsqu'une perte de réponse au message KeepAlive est
détectée.
L'option « 2: freeze session and wait for next keepalive response » entraîne le gel de la session en
cours avec l'affichage d'un message d'erreur. La session ne sera réactivée qu'après la réception
d'une réponse au message KeepAlive.
Champ « End disconnected session »
Si cette case est cochée, alors les sessions déconnectées seront automatiquement fermées par
le mode « session probe ».
Avertissement :
Une coupure réseau peut provoquer la déconnexion des sessions RDP en cours. Si cette
option est activée, toutes les données non sauvegardées seront définitivement perdues.
250
Champ « Enable log »
Si cette case est cochée, alors les fichiers de log de la session Windows sont stockés dans le
répertoire temporaire de l'utilisateur.
Ce fichier de log peut être très verbeux. Il est donc recommandé de ne pas maintenir ce fichier
activé de façon prolongée afin de ne pas occasionner la saturation du disque dur.
Avertissement :
Support WALLIX !
Champ « Enable bestsafe interaction »
Cocher/décocher la case pour activer/désactiver l'interaction du mode « session probe » avec

l'agent WALLIX BestSafe. Pour plus d'informations, voir Section 12.19, « Utilisation du mode «
session probe » avec l'agent WALLIX BestSafe », page 253.
Champ « Public session »
Si cette case est cochée, alors une session fermée (c'est-à-dire une session pour laquelle
l'utilisateur ne s'est pas déconnecté) peut être récupérée par un autre utilisateur.
Champ « Outbound connection monitoring rules »
Ce champ permet de renseigner les règles de blocage des connexions TCP par rebond.
Ces règles sont généralement formulées ainsi : <$préfixe:><adresse de connexion:port>.
Les règles doivent être séparées les unes des autres par des virgules (« , »).
Les formats suivants sont autorisés pour le port de destination :
• un port spécifique, par exemple : « 3389 »,

• un port quelconque, par exemple : « 0 » or « * »,
• une plage de ports inclusive, par exemple : « 1024-65535 ». L'une des deux valeurs de cette
plage peut être omise. Dans ce cas, « 1 » est la valeur par défaut pour le début de la plage et «
65535 » est la valeur par défaut pour la fin de la plage.
Une règle d'autorisation est formulée avec le préfixe $allow. Elle autorise la connexion vers des
hôtes distants.
Une règle de notification est formulée avec le préfixe $notify. Elle autorise la connexion vers des
hôtes distants et permet de générer une notification.
Une règle d'interdiction est formulée avec le préfixe $deny. Elle interdit la connexion. Le préfixe
$deny peut être omis. Une règle formulée avec le préfixe $deny est prioritaire sur une règle
formulée avec le préfixe $notify pour la même adresse de connexion.
Par exemple, pour interdire toutes les connexions RDP par rebond, on peut utiliser la règle : «
$deny:0.0.0.0/0:3389 » ou « 0.0.0.0/0:3389 ».
Champ « Process monitoring rules »
Ce champ permet de renseigner les règles de surveillance lors du lancement de processus.
251
Ces règles sont généralement formulées ainsi : <$préfixe:><motif de recherche>.
Les règles doivent être séparées les unes des autres par des virgules (« , »).
Une règle de notification est formulée avec le préfixe $notify. Elle permet de générer une
notification.
Exemple : $notify:notepad.exe : l'ouverture de l'application notepad.exe est notifiée mais pas

interdite.
Une règle d'interdiction est formulée avec le préfixe $deny. Elle permet d'interrompre le processus,
en plus de la notification. Le préfixe $deny peut être omis. Une règle formulée avec le préfixe $deny
est prioritaire sur une règle formulée avec le préfixe $notify.
Exemple 1 : $deny:notepad.exe : l'ouverture de l'application notepad.exe est interdite et notifiée.
Exemple 2 : notepad.exe,cmd.exe : l'ouverture des applications notepad.exe et cmd.exe est

interdite et notifiée.
Exemple 3 : $notify:notepad.exe,$deny:notepad.exe : même résultat que celui de l'exemple 1

ci-dessus.
Par ailleurs, les règles formulées par <$prefix:><@> s'appliquent à tous les processus fils de
l'application (telle que définie depuis « Cibles » > « Applications »). Par conséquent, si cette règle
correspond à :
• $deny:@, alors l'ouverture de tout processus fils (quel que soit son nom) est interdite et notifiée,
• $notify:@, alors l'ouverture de tout processus fils (quel que soit son nom) est notifiée mais pas
interdite.
Champ « Extra system processes »
Ce champ permet de renseigner les processus à ignorer lors de la détection de la fin de l'application.
Les processus doivent être séparés les uns des autres par des virgules (« , »).
Champ « Childless window as unidentified input fied »
Si cette case est cochée, alors les données saisies (telles que les mots de passe) dans des
fenêtres primaires d'applications dans lesquelles aucun sous-composant graphique n'est détecté
sont masquées.
Ces fenêtres sont alors considérées comme des champs de saisie non identifiés.
Avertissement :
Ce paramétrage fonctionne uniquement si la valeur « 2: passwords and unidentified texts
are masked » (masquage des mots de passe et des textes non identifiés) est sélectionnée
dans le champ « Keyboard input masking level » de la section « session log », pour
l'affichage des informations dans les méta-données de la session.
Champ « Windows of these applications as unidentified input fied »
Lorsque des exécutables d'applications (par exemple « chrome.exe ») sont renseignés dans ce
champ, alors les données saisies dans les fenêtres générées par ces applications sont masquées.
Ces fenêtres sont alors considérées comme des champs de saisie non identifiés.
252
Les exécutables doivent être séparés les uns des autres par des virgules (« , »).
Avertissement :
Ce paramétrage fonctionne uniquement si la valeur « 2: passwords and unidentified texts
are masked » (masquage des mots de passe et des textes non identifiés) est sélectionnée
dans le champ « Keyboard input masking level » de la section « session log », pour
l'affichage des informations dans les méta-données de la session.
12.18.5. Lancement du mode « session probe » depuis un

répertoire spécifique
Par défaut, le mode « session probe » s'exécute automatiquement depuis le répertoire temporaire
du compte de l'utilisateur Windows lors de la connexion à une cible pour effectuer une session RDP.
Cependant, des restrictions matérielles peuvent dans certains cas empêcher cette exécution. Il est
alors possible de définir un autre répertoire à partir duquel le mode « session probe » se lancera.
Pour permettre le lancement du mode « session probe » depuis un emplacement différent du

répertoire temporaire du compte de l'utilisateur Windows, il est nécessaire de suivre les étapes de
la procédure suivante :
1. Créer un nouveau répertoire sur la cible qui sera utilisé comme répertoire de démarrage par
le mode « session probe ».
Important :
Tous les utilisateurs Windows doivent avoir les droits en écriture.
2. Définir une variable d'environnement pour tous les utilisateurs Windows sur la cible qui pointera
vers ce nouveau répertoire.
Important :
La longueur maximale du nom de la variable d'environnement est de 3 caractères.
3. Renseigner le nom de cette variable d'environnement dans le champ « Alternate directory

environment variable » (affiché en option avancée) sous la section « session probe » sur la
page de configuration de la politique de connexion définie sur le protocole RDP, accessible
depuis le menu « Gestion des sessions » > « Politiques de connexion ».
Avertissement :
Le fichier exécutable du mode « session probe » est conservé dans le répertoire. Ce
fichier sera remplacé lors d'une nouvelle connexion.
12.19. Utilisation du mode « session probe »

avec l'agent WALLIX BestSafe
Lorsque l'agent WALLIX BestSafe est déployé sur une cible Windows, il peut interagir avec le mode
« session probe » afin d'enrichir sa collecte des méta-données de session.
253
Note :
Cette interaction est prise en charge à partir de WALLIX BestSafe Enterprise version
4.0.0.
12.19.1. Activation de l'interaction avec l'agent WALLIX

BestSafe
Le mode « session probe » est activé par défaut sur la page de configuration de la politique de
Politiques de connexion ».
L'interaction avec l'agent WALLIX BestSafe est désactivée par défaut. Ce paramètre peut être géré
depuis « Gestion des sessions » > « Politiques de connexion » > « RDP » puis, cochez l'option «
Enable bestsafe interaction » de la section « session probe ».
12.19.2. Log des évènements

Le mode « session probe » reçoit les notifications de tous les évènements détectés et/ou générés
par l'agent WALLIX BestSafe déployé sur les cibles Windows. Ces notifications sont ensuite
transférées et journalisées au sein de WALLIX Bastion dans les méta-données de la session et
les messages SIEM.
12.19.3. Détection des connexions sortantes

Le mode « session probe » crée automatiquement une règle de surveillance à partir de l'agent
WALLIX BestSafe afin d'être notifié des connexions sortantes. Lors de la réception d'une notification
depuis l'agent, le mode « session probe » agit en fonction des règles (allow, deny, or notify)
définies dans le champ « Outbound connection monitoring rules ». Pour plus d'informations sur
ce champ, voir Section 12.18.4, « Configuration », page 248. Ce fonctionnement est toujours
opérationnel sur les cibles Windows sur lesquelles l'agent WALLIX BestSafe n'est pas déployé.
12.19.4. Détection du lancement de processus

Le mode « session probe » crée automatiquement une règle de privilège à partir de l'agent WALLIX
BestSafe afin d'être notifié des lancements de processus. Lors de la réception d'une notification
depuis l'agent, le mode « session probe » agit en fonction des règles (allow, deny, or notify)
définies dans le champ « Process monitoring rules ». Pour plus d'informations sur ce champ, voir
Section 12.18.4, « Configuration », page 248. Ce fonctionnement est toujours opérationnel sur
les cibles Windows sur lesquelles l'agent WALLIX BestSafe n'est pas déployé.
12.20. Répartition de charge avec Remote

Desktop Connection Broker
Remote Desktop Connection Broker (RD Connection Broker) est un service de rôle du système
d’exploitation Windows Server 2012 et 2016 ayant pour vocation de :
• permettre à l'utilisateur de se reconnecter à sa session existante dans une batterie de serveurs

hôtes de session Bureau à distance à charge répartie ;
254
• permettre de répartir uniformément la charge de sessions entre les différents serveurs dans une
batterie de serveurs hôtes de session Bureau à distance à charge répartie ;
• fournir aux utilisateurs un accès aux ordinateurs virtuels hébergés sur les serveurs hôtes de
virtualisation Bureau à distance et aux programmes RemoteApp hébergés sur les serveurs hôtes
de session Bureau à distance via des connexions aux programmes RemoteApp et aux services
Bureau à distance.
Figure 12.16. Répartition de la charge
12.20.1. Prérequis
WALLIX Bastion supporte Remote Desktop Connection Broker avec la configuration suivante :
• au moins un serveur doit disposer du service de rôle RD Connection Broker,

• au moins un serveur doit disposer du service de rôle RD Licensing,
• au moins un serveur doit disposer du service de rôle RD Web Access,
• les services de rôle RD Connection Broker, RD Licensing et RD Web Access peuvent partager
un même serveur,
• plusieurs serveurs doivent disposer du service de rôle RD Session Host.
Attention :
Il est recommandé de ne pas installer le service de rôle RD Session Host sur un serveur
disposant du service de rôle RD Connection Broker.
L'utilisation de RD Connection Broker est incompatible avec un cluster défini au sein
de WALLIX Bastion, en raison d'interférences entre les deux services. Nous vous
recommandons vivement de privilégier l'utilisation de RD Connection Broker dans le
cadre de la répartition de charge.
Il n’est pas nécessaire de choisir entre les collections de type programmes RemoteApp et Bureau
à distance lorsque l'accès aux ressources est effectué via l'interface Web de WALLIX Bastion.
En effet, WALLIX Bastion utilise la collection de type programmes RemoteApp pour toutes les
connexions.
Il est nécessaire de paramétrer RD Connection Broker sur les serveurs hôtes de session Bureau
à distance. Ce paramétrage peut être effectué de façon locale (sur chacun des RD Session Host)
avec Local Group Policy Editor (gpedit.exe).
255
Les valeurs à modifier se trouvent toutes dans les sous-dossiers suivants :
• Local Computer Policy,

• Computer Configuration,
• Administrative Templates,
• Windows Components,
• Remote Desktop Services,
• Remote Desktop Session Host et,
• RD Connection Broker.
Ces valeurs sont les suivantes :
• Join RD Connection Broker,

• Configure RD Connection Broker farm name,
• Configure RD Connection Broker server name et,
• Use RD Connection Broker load balancing.
12.20.2. Configuration
RD Connection Broker doit être déclaré en tant que cible au sein de WALLIX Bastion.
Afin de cibler directement RD Connection Broker (et non pas l'un des RD Session Host), il est
nécessaire de renseigner le champ « Load balance info » au niveau de la politique de connexion
RDP, accessible depuis « Gestion des sessions » > « Politiques de connexion ».
Ce champ doit être renseigné avec l'information récupérée du champ « loadbalanceinfo:s: » dans
le fichier .rdp enregistré depuis la page Work Resources de RD Web Access (https://<ip-
rd_web_access>/rdweb/).
Voici un exemple de cette information : tsv://MS Terminal Services Plugin.1.Sessions.
Pour plus d'informations sur les politiques de connexion, voir Section 12.4, « Politiques de
connexion », page 231.
12.21. Messages de connexion
Sur l'onglet « Messages de connexion » situé dans le menu « Configuration », vous pouvez
visualiser et modifier les messages des bannières affichées à l'utilisateur lors de la connexion
primaire et de la connexion secondaire, en fonction de sa langue d'affichage préférée. Ces
messages s'affichent sur :
• l'écran de connexion de l'interface Web,

• l'écran de connexion du proxy RDP,
• la console SSH lors de l'authentification.
Note :
Ces messages ne sont pas affichés à l'utilisateur dans le cas des sessions SFTP, SCP
ou en « remote command » (SSH_REMOTE_COMMAND) avec une clé SSH pour
l'authentification primaire ou un ticket Kerberos.
256
Figure 12.17. Page « Messages de connexion »
257
Chapitre 13. Gestion des autorisations

WALLIX Bastion permet de définir des autorisations. Celles-ci déterminent les comptes cibles et
les protocoles qui peuvent être utilisés par l'utilisateur pour se connecter aux équipements.
Les autorisations s'appliquent à des groupes utilisateurs rattachés à des groupes de cibles. Tous
les utilisateurs appartenant à un même groupe héritent des mêmes autorisations.
Sur la page « Gestion des autorisations » du menu « Autorisations », vous pouvez :
• lister les autorisations déclarées,

• ajouter/modifier/supprimer une autorisation,
• importer des autorisations à partir d'un fichier .csv afin d'alimenter la base autorisations de
WALLIX Bastion.
de la page « Gestion des autorisations ». Pour plus d'informations, voir Section 6.5, « Navigation
Figure 13.1. Page « Gestion des autorisations »
13.1. Ajouter une autorisation

Sur la page « Gestion des autorisations », cliquez sur « Ajouter une autorisation » pour afficher la
page de création de l’autorisation.
Une autorisation représente un lien créé entre un groupe utilisateurs et un groupe de cibles.
Plusieurs autorisations peuvent être créées entre ces deux groupes.
• un groupe utilisateurs,
• un groupe de cibles,
• un champ pour la saisie du nom de l’autorisation (le caractère « & » n'est pas autorisé),
• une case à cocher pour indiquer si les cibles concernées par la nouvelle autorisation sont critiques
ou non (une notification peut être envoyée à chaque fois qu’un accès a lieu sur une cible critique),
• une case à cocher pour activer ou désactiver les sessions à distance. Cette option est cochée par
défaut pour la nouvelle autorisation. Dans ce cas, vous pouvez sélectionner dans la liste du cadre
258
inférieur les protocoles pouvant être associés avec un groupe utilisateurs et un groupe de cibles
donnés. Déplacez un protocole depuis le cadre « Protocoles/Sous-protocoles disponibles » vers
le cadre « Protocoles/Sous-protocoles sélectionnés » pour choisir le protocole. Et inversement,
déplacez un protocole depuis le cadre « Protocoles/Sous-protocoles sélectionnés » vers le cadre
« Protocoles/Sous-protocoles disponibles » pour supprimer l'association.
• une case à cocher pour activer ou désactiver l’enregistrement de session. Les types
d’enregistrements réalisés dépendent du protocole d’accès à l’équipement.
Avertissement :
L’enregistrement d’une session basée sur le protocole RDP inclut à la fois la vidéo et
la reconnaissance automatique par OCR des applications exécutées sur la machine
distante par détection des barres de titre.
L’algorithme utilisé pour la détection du contenu des barres de titre est très rapide de
manière à pouvoir être exécuté en temps réel. Cependant, il fonctionne uniquement
avec le style de fenêtre « Windows Standard » et la taille de polices par défaut de
96PPP avec une profondeur de couleur supérieure ou égale à 15 bits (15, 16, 24 ou 32
bits, donc pas en mode 8 bits). Dans sa version actuelle, tout changement du style des
barres de titre, même à première vue visuellement proche, par exemple un passage à
« Windows classique », ou encore un changement de couleur de la barre de titre, du
style ou de la taille de la police ou de la résolution de rendu rendra la fonction OCR
inopérante. L’OCR est, de plus, configuré de manière à détecter uniquement les barres
de titre d’application terminées par les trois icônes fermer, minimiser, maximiser. Si la
barre de titre contient une icône, celle-ci sera généralement remplacée par des points
d’interrogation précédant le texte reconnu.
• une case à cocher pour activer ou désactiver l’emprunt de mot de passe. Cette option est cochée
par défaut pour la nouvelle autorisation.
• une case à cocher pour activer ou désactiver une procédure d’approbation pour
la nouvelle autorisation. Pour plus d’informations, voir Section 13.7, « Procédure
259
Figure 13.2. Page « Gestion des autorisations » en mode création
13.2. Modifier une autorisation

Sur la page « Gestion des autorisations », cliquez sur l'icône bloc-notes au début de la ligne
souhaitée pour afficher la page de modification de l'autorisation.
l'autorisation, excepté les champs « Groupe utilisateurs » et « Groupe de cibles » qui ne sont pas
modifiables.
13.3. Supprimer une autorisation

Sur la page « Gestion des autorisations », sélectionnez une ou plusieurs autorisations à l’aide de
la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection.
13.4. Importer des autorisations

Sur la page « Gestion des autorisations », cliquez sur l'icône « Importer depuis un fichier CSV » en
haut à droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV »
du menu « Import/Export » : la case « Autorisations » est déjà cochée pour l'import des données.
Les séparateurs de champs et de listes sont également configurables.
260
#wab730 authorization
Important :

Nom Texte R Nom de l'autorisation créée N/A
Groupe utilisateurs Texte R Groupe utilisateurs défini N/A
Groupe de cibles Texte R Groupe de cibles défini N/A
(1)
Sous-protocole Texte R si Autoriser les Nom de sous-protocole : N/A
sessions = Vrai voir ci-dessous
Il peut y avoir un ou plusieurs

protocoles
Est critique Booléen R Vrai ou Faux Faux
Est enregistré Booléen R Vrai ou Faux Faux
Autoriser l'emprunt Booléen R Vrai ou Faux Faux
de mot de passe
Autoriser les Booléen R Vrai ou Faux Faux
sessions
Approbation Booléen R Vrai ou Faux Faux
requise
Avec commentaire Booléen R Vrai ou Faux Faux
Faux si
Approbation
requise = Faux
Vrai si
Commentaire
obligatoire =
Vrai
Commentaire Booléen R Vrai ou Faux Faux
obligatoire
Faux si
Approbation
requise = Faux
Avec ticket Booléen R Vrai ou Faux Faux
Faux si
Approbation
requise = Faux
261

Vrai si Ticket
obligatoire =
Vrai
Ticket obligatoire Booléen R Vrai ou Faux Faux
Faux si
Approbation
requise = Faux
Groupes Texte R si Approbation Groupes d'approbateurs N/A
d'approbateurs requise = Vrai définis
Vide si
Il peut y avoir un ou plusieurs Approbation
groupes d'approbateurs requise = Faux
Quorum actif Entier R Nombre entier entre 0 et le "0"
nombre d’approbateurs dans
les groupes
Au moins un quorum (actif ou

inactif) doit être défini et doit
être supérieur à 0
Quorum inactif Entier R Nombre entier entre 0 et le "0"
nombre d’approbateurs dans
les groupes
Au moins un quorum (actif ou

inactif) doit être défini et doit
être supérieur à 0
Connexion unique Booléen O Vrai ou Faux Faux
Faux si
Approbation
requise = Faux
Timeout Entier O La valeur est exprimée en "0"
approbation minutes.
(1)
Sous-protocole : une des valeurs suivantes :
SSH_SHELL_SESSION, SSH_REMOTE_COMMAND, SSH_SCP_UP, SSH_SCP_DOWN,

SSH_X11, SFTP_SESSION, RDP, VNC, TELNET, RLOGIN, SSH_DIRECT_TCPIP,
SSH_REVERSE_TCPIP, SSH_AUTH_AGENT, RDP_CLIPBOARD_UP,
RDP_CLIPBOARD_DOWN, RDP_CLIPBOARD_FILE, RDP_PRINTER, RDP_COM_PORT,
RDP_DRIVE, RDP_SMARTCARD, RDP_AUDIO_OUTPUT, RAWTCPIP.
Pour plus d'informations, voir Section 10.1.5, « Options spécifiques du protocole SSH », page 136
et Section 10.1.6, « Options spécifiques du protocole RDP », page 137.
Exemple de syntaxe d'import :
#wab730 authorization
Group_users1;target_group1;SSH_SHELL_SESSION SFTP_SESSION;False;False;True;True;
description;False;False;False;False;False;group_approvers;1;2;False;0
262
est indiquée.
13.5. Visualiser les approbations en cours

Sur la page « Mes approbations en cours », l'approbateur peut visualiser toutes les demandes
d’approbation en cours envoyées par les utilisateurs pour accéder aux cibles ou aux accréditations
des cibles et pour lesquelles il/elle doit formuler une réponse.
Figure 13.3. Page « Mes approbations en cours »
Dans le haut de la page, l'approbateur peut choisir d'activer/désactiver le rafraîchissement

automatique des données sur les demandes d'approbation en cours. Lorsque l'option
correspondante est activée, il est possible de déterminer la fréquence de ce rafraîchissement.
En cliquant sur l'icône du bloc-notes au début de la ligne, l'approbateur est redirigé sur une page
affichant le détail de la demande d'approbation.
263
Figure 13.4. « Mes approbations en cours » -

Page du détail de la demande d'approbation
Sur cette page, l'approbateur peut :
• cliquer sur le bouton « Notifier les approbateurs » pour notifier à nouveau les approbateurs,
• visualiser les réponses des autres approbateurs,
• indiquer dans la zone « Commentaire » le motif de son approbation/rejet de la demande,
• réduire la durée de la demande en modifiant la valeur dans le champ « Durée »,
• réduire le timeout paramétré pour la connexion en modifiant la valeur dans le champ « Timeout ».
Si l'utilisateur n'a pas effectué de connexion sur la cible et que ce timeout est passé, alors la
demande au statut « accepté » passe au statut « fermé ».
• cliquer sur le bouton « Annuler », « Rejeter » ou « Approuver » pour effectuer l'action
correspondante.
Étant donné qu'il est toujours possible d'ouvrir une session ou d'accéder aux accréditations d'une
cible tant que la durée d'une demande acceptée n'est pas dépassée, l'approbateur peut annuler
la demande avant son expiration pour interdire à l'utilisateur d'accéder de nouveau à la cible en
cliquant sur le bouton « Annuler ».
Pour plus d'informations, voir Section 13.7, « Procédure d'approbation », page 265.
13.6. Visualiser l'historique des approbations

Sur la page « Mon historique d'approbations », l'approbateur peut visualiser toutes les demandes
qui ne sont plus en attente d'approbation.

Note :
264
Figure 13.5. Page « Mon historique d'approbations »

En cliquant sur l'icône du bloc-notes au début de la ligne, l'approbateur est redirigé sur une page
affichant le détail des réponses à la demande d'approbation.
Étant donné qu'il est toujours possible d'ouvrir une session ou d'accéder aux accréditations d'une
cible tant que la durée d'une demande acceptée n'est pas dépassée, l'approbateur peut annuler
la demande avant son expiration pour interdire à l'utilisateur d'accéder de nouveau à la cible en
cliquant sur le bouton « Annuler la demande ».
Pour plus d'informations, voir Section 13.7, « Procédure d'approbation », page 265.
Figure 13.6. « Mon historique d'approbations » - Page

du détail de l'historique de la demande d'approbation
13.7. Procédure d'approbation
265
WALLIX Bastion prend en charge les autorisations dynamiques à l’aide de procédure d’approbation.
Ce mécanisme repose sur les plages horaires d’accès aux cibles ou aux accréditations des cibles.
Cette procédure permet aux administrateurs d’affiner l’accès aux ressources sensibles et d’accepter
la demande d’accès en dehors des plages définies. Lorsqu’un utilisateur souhaite démarrer une
nouvelle session sur une cible ou encore accéder aux accréditations d'une cible, une demande est
d’abord envoyée aux approbateurs.
Un approbateur est un utilisateur qui a été désigné par un administrateur WALLIX Bastion avec le
droit d’approbation : le droit « Modifier » pour la fonctionnalité « Gestion des approbations » est
paramétré au niveau de son profil (voir Section 9.3, « Profils utilisateurs », page 90).
Les approbateurs peuvent décider d’autoriser ou rejeter l’ouverture d’une session ou l'accès aux
accréditations de la cible. Une demande est approuvée lorsque le quorum a été atteint. Le quorum
est le nombre minimum de réponses favorables requises pour une autorisation particulière.
13.7.1. Configuration de la procédure
Les procédures d’approbation sont définies sur les autorisations. Pour plus d'informations, voir
Section 13.1, « Ajouter une autorisation », page 258.
Si la case du champ « Activer la procédure d'approbation » est cochée au cours de la définition de

l'autorisation, alors un utilisateur devra formuler une demande d'approbation pour obtenir l’accès
à la cible ou encore aux accréditations de la cible. Les approbateurs sont désignés pour répondre
aux demandes pour une autorisation en sélectionnant des groupes utilisateurs appropriés : pour
cela, déplacez les groupes utilisateurs depuis le cadre « Groupes d'approbateurs disponibles »
vers le cadre « Groupes d'approbateurs sélectionnés » pour choisir les groupes. Et inversement,
déplacez un groupe utilisateurs depuis le cadre « Groupes d'approbateurs sélectionnés » vers le
cadre « Groupes d'approbateurs disponibles » pour supprimer l'association.
Le droit « Modifier » pour la fonctionnalité « Gestion des approbations » doit être paramétré au
niveau du profil utilisateur de tous les utilisateurs des groupes sélectionnés.
Lors d’une demande d’approbation formulée par un utilisateur qui souhaite se connecter à une cible
ou accéder aux accréditations d'une cible concernée par une autorisation, tous les approbateurs
des groupes sélectionnés en sont informés par courrier électronique. Celui-ci contient un lien qui
redirige l’approbateur sur la page « Mes approbations en cours » du menu « Autorisations » et sur
laquelle il peut répondre à la demande. Cette fonctionnalité est accessible par les approbateurs
via l’interface dédiée au groupe de services « Fonctionnalités utilisateur et auditeur ». Pour plus
d'informations, voir Section 8.11.1, « Mappage des services », page 60.
Une demande pour une cible est définie par au moins la date et l’heure de début ainsi que la durée
prévue de la session, mais elle possède aussi des attributs facultatifs tels qu'une référence de
ticket et un commentaire. Pour une autorisation spécifique, ces attributs peuvent être demandés,
systématiquement ou jamais, selon les options sélectionnées dans les champs « Commentaire »
et « Ticket » lors de la configuration de l'autorisation.
Il est possible de définir le nombre d’approbateurs requis pour accepter une demande. Ce
paramètre est configuré en définissant un quorum. Le quorum doit être égal ou inférieur au nombre
d’approbateurs disponibles.
Lors de la configuration de l'autorisation, un quorum peut être défini :
• pour les périodes d’activité, en renseignant une valeur dans le champ « Quorum dans les
plages horaires autorisées ». Un quorum pour les périodes d’activité égal à 0 signifie que les
approbations ne sont pas exigées pour les périodes d’activité.
266
• pour les périodes d’inactivité, en renseignant une valeur dans le champ « Quorum en dehors des
plages horaires autorisées ». Un quorum pour les périodes inactives égal à 0 signifie qu’aucune
connexion n’est possible pendant les périodes d’inactivité.
Une connexion unique peut être définie pour l'approbation. L'utilisateur est alors limité à une seule
connexion au cours de la durée de l'approbation.
Un timeout au format [heures]h[minutes]m peut être défini pour l'approbation. Si l'utilisateur

n'a pas effectué de connexion sur la cible et que ce timeout est passé, alors la demande au
statut « accepté » passe automatiquement au statut « fermé ». Lorsque l'approbateur accepte la
demande, cette valeur est alors renseignée comme valeur maximale dans le champ « Timeout »
sur le formulaire. L'approbateur peut alors réduire cette valeur.
13.7.2. Étapes de la procédure
Un utilisateur formule une demande d'approbation à partir du menu « Mes autorisations » sur
l’interface Web de WALLIX Bastion (pour un accès immédiat ou ultérieur) ou lors de la connexion
à un client RDP ou SSH (pour un accès immédiat). Tous les approbateurs sont notifiés par courrier
électronique. Les approbateurs ont ensuite la possibilité d'accepter ou rejeter la demande via
l’interface Web de WALLIX Bastion.
Une demande valide (dont la durée n’est pas encore expirée) peut être dans l'un des statuts
suivants:
• une demande est au statut « accepté » lorsque le quorum a été atteint,
Note :
Lorsque le premier approbateur valide la demande alors que la date et l'heure de début
sont passées :
– la date et l'heure de début de la demande prennent alors comme valeur la date et
l'heure de cette validation,
– la date et l'heure de fin de la demande sont alors prolongées de la durée de
l'approbation, à partir de cette validation.
• une demande est au statut « rejeté » et par la suite invalidée dès qu’un approbateur la rejette.
L’utilisateur est alors notifié par courrier électronique du refus et du motif du rejet.
• une demande est au statut « en cours » tant que le quorum n'a pas été atteint et qu’elle n’a pas
été rejetée.
Si la demande n’est plus valide (c'est-à-dire que sa durée est expirée), elle est alors au statut «
fermé » et il n’est plus possible pour un approbateur de répondre à la demande. De même, il n’est
pas possible de répondre aux demandes qui ont été acceptées ou rejetées.
Note :
Une demande est également au statut « fermé » lorsque l'un des éléments suivants
a été supprimé : l'utilisateur à l'origine de la demande et/ou la cible concernée et/ou
l'autorisation concernée.
Une demande au statut « accepté » passe automatiquement au statut « fermé » si

l'utilisateur n'a pas effectué de connexion sur la cible et que le timeout défini pour
l'approbation est passé.
267
Chaque approbateur a la possibilité de réduire la durée d’une requête. La durée est diminuée au
fur et à mesure des réponses : en répondant à la même demande, l'approbateur suivant voit la
durée réduite et non pas la durée initiale.
Les utilisateurs peuvent voir les statuts de leurs demandes d’approbation sur le menu « Mes
autorisations ».
Lorsque le quorum est atteint, l’utilisateur est averti par courrier électronique. L'utilisateur peut alors
démarrer la session ou accéder aux accréditations de la cible pour la durée allouée. Si la session
est déconnectée avant la fin de la durée, l’utilisateur peut démarrer une nouvelle session sans une
nouvelle approbation aussi longtemps que la fin de la période définie par la durée de l’approbation
d’origine n’est pas écoulée. Afin d’empêcher un utilisateur de se reconnecter après la première
séance, les approbateurs ont la possibilité d'annuler une demande.
13.8. Configuration des plages horaires

Les plages horaires définissables au sein de WALLIX Bastion permettent de configurer les périodes
durant lesquelles un utilisateur est autorisé à se connecter aux cibles.
Une plage horaire est associée à un ou plusieurs groupes utilisateurs. Pour plus d'informations,
voir Section 9.2, « Groupes utilisateurs », page 86.
Sur la page « Plages horaires » du menu « Configuration », vous pouvez ajouter, modifier ou
supprimer des plages horaires.
Avertissement :
Une plage horaire dénommée « allthetime » est configurée par défaut au sein de WALLIX
Bastion. Elle autorise la connexion des utilisateurs à toutes les heures et tous les jours.
Vous ne pouvez pas supprimer cette plage horaire.
Le référentiel de temps utilisé est l'heure locale de WALLIX Bastion.
13.8.1. Ajouter une plage horaire

Sur la page « Plages horaires », cliquez sur « Ajouter une plage horaire » pour afficher la page
de création de la plage horaire.
• le nom de la plage horaire,

• une case à cocher pour désactiver la déconnexion automatique à l'issue de la période de temps,
• une zone extensible pour ajouter une ou plusieurs périodes.
Chaque période correspond à une période calendaire permettant aux utilisateurs de se connecter :
• entre des dates précises,

• sur des jours de la semaine déterminés,
• sur une plage horaire délimitée pendant les jours autorisés.
268
Figure 13.7. Page « Plages horaires » en mode création
13.8.2. Modifier une plage horaire

Sur la page « Plages horaires », cliquez sur un nom de plage horaire pour afficher la page de
modification de la plage horaire.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la plage
horaire, excepté le champ « Nom de la plage horaire » qui n’est pas modifiable.
13.8.3. Supprimer une plage horaire

Sur la page « Plages horaires », sélectionnez une ou plusieurs plages horaires à l’aide de la case
à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WALLIX
sélectionnées.
Avertissement :
Vous ne pouvez pas supprimer une plage horaire lorsque celle-ci est associée à un
groupe utilisateurs.
269
Chapitre 14. Commandes spécifiques
Les sections suivantes présentent des commandes pouvant s'avérer utiles lors de l'administration
de WALLIX Bastion. Tous les cas ne sont pas présentés et nous vous invitons à contacter l’Équipe
Support WALLIX (voir Chapitre 17, « Contacter le Support WALLIX Bastion », page 319) pour
de plus amples renseignements.
Le tableau ci-dessous récapitule les informations et les sections s'y rapportant :
Commande / Script Voir...

bastion-update-lastconnection Section 8.13, « Sauvegarde et restauration », page 63
bastion-traceman Section 14.19, « Déplacer les enregistrements de
sessions depuis un stockage local vers un stockage
distant », page 278
WABBackupPurge Section 8.13.4, « Purge de la sauvegarde
automatique », page 67
WABChangeGrub Section 14.8, « Changer le mot de passe
GRUB », page 273
WABChangeKeyboard Section 14.6, « Changer la disposition du
clavier », page 272
WABConsole Section 14.15, « Utiliser WABConsole pour changer le
mot de passe de l'utilisateur », page 274
WABExecuteBackup Section 8.13.3, « Configuration de la sauvegarde
automatique », page 66
WABGetGuiUrl Section 14.7, « Obtenir l'URL de la GUI », page 273
WABGetLicenseInfo Section 14.14, « Gérer la clé de licence », page 274
WABCRLFetch Section 14.27, « Mettre à jour la liste de révocation CRL
(Certificate Revocation List) », page 284
WABGuiCertificate Section 14.25, « Changer les certificats auto-signés des
services », page 281
WABHASetup et WABHAStatus Section 14.12, « Configurer la Haute Disponibilité
(également appelée « High-Availability » ou «
HA ») », page 273
WABInitReset Section 14.2, « Restaurer la configuration d'usine de
WALLIX Bastion », page 271
WABJournalCtl Section 14.16, « Afficher le contenu des logs de
"journalctl" », page 275
WABNetworkConfiguration Section 14.9, « Changer la configuration
réseau », page 273
WABResetCrypto Section 14.4, « Réinitialiser le chiffrement des données
de WALLIX Bastion », page 272
WABRestoreDefaultAdmin Section 14.3, « Restaurer le compte administrateur
d'usine », page 272
WABSecurityLevel Section 14.10, « Changer la configuration du niveau de
sécurité », page 273
WABServices Section 14.11, « Configurer les services », page 273
270
Commande / Script Voir...

WABSessionLogExport Section 14.17, « Exporter et/ou purger
les enregistrements de sessions
manuellement », page 275 ; voir
également Section 14.18, « Exporter et/
ou purger les enregistrements de sessions
automatiquement », page 277
WABSessionLogImport Section 14.20, « Ré-importer les enregistrements de
sessions archivés », page 279
WABSessionLogIntegrityChecker Section 14.21, « Vérifier l'intégrité des fichiers de log des
sessions », page 279
WABSetLicense Section 14.14, « Gérer la clé de licence », page 274
WABSshServerGenRsaKey.sh Section 14.25, « Changer les certificats auto-signés des
services », page 281
WABVersion Section 14.5, « Obtenir les informations de version de
WALLIX Bastion », page 272
wallix-config-backup.py Section 8.13.2, « Sauvegarde/Restauration en ligne de
commande », page 65
wallix-config-restore.py Section 8.13.2, « Sauvegarde/Restauration en ligne de
commande », page 65
14.1. Se connecter à WALLIX Bastion en ligne

de commande
Pour plus d'informations, voir Section 6.2, « Connexion à WALLIX Bastion en ligne de
commande », page 26.
14.2. Restaurer la configuration d'usine de

WALLIX Bastion
Vous pouvez exécuter la commande suivante connecté(e) avec les privilèges « root » pour restaurer
la configuration d'usine de WALLIX Bastion :
# WABInitReset
Un message s'affiche alors pour demander la confirmation avant la restauration de la configuration.

Par défaut, cette commande restaure uniquement la configuration pour la disposition du clavier, le
menu GRUB et les utilisateurs.
Il est possible de restaurer toute la configuration (à savoir : la disposition du clavier, le menu GRUB,
les interfaces réseau et les utilisateurs) ou un élément spécifique de la configuration en utilisant
l’option --reset, comme par exemple :
# WABInitReset ––reset interfaces
Lorsque l'option --reset est mentionnée, aucun message ne s'affichera pour demander la
confirmation avant la restauration de la configuration.
271
L'option -h affiche le message d'aide listant les arguments pouvant être utilisés pour effectuer cette
action.
14.3. Restaurer le compte administrateur

d'usine
Vous pouvez exécuter la commande suivante connecté(e) avec les privilèges « root » pour restaurer
le compte administrateur :
# WABRestoreDefaultAdmin
14.4. Réinitialiser le chiffrement des données de

WALLIX Bastion
Vous pouvez exécuter la commande suivante connecté(e) avec les privilèges « root » pour
réinitialiser la clé de chiffrement de WALLIX Bastion :
# WABResetCrypto
Un message s'affiche alors pour demander la confirmation avant la réinitialisation du chiffrement.
Attention :
La réinitialisation du chiffrement efface toutes les données présentes dans WALLIX
Bastion (comptes utilisateurs, enregistrements des sessions, etc.) !
Il est donc fortement recommandé d’effectuer une copie sauvegarde de la configuration

de WALLIX Bastion AVANT de procéder à la réinitialisation du chiffrement. Pour plus
d'informations, voir Section 8.13, « Sauvegarde et restauration », page 63.
14.5. Obtenir les informations de version de

WALLIX Bastion
Vous pouvez exécuter la commande suivante pour obtenir la version, le numéro et la date de build
de WALLIX Bastion :
# WABVersion
L'historique de toutes les opérations d'installation (installation et mises à jour de WALLIX Bastion
mais également installation et suppression de correctifs Hotfixes) peut s'afficher en exécutant la
commande :
# WABVersion -H
14.6. Changer la disposition du clavier

Vous pouvez exécuter la commande suivante pour choisir une autre langue de disposition du
clavier :
272
# WABChangeKeyboard
14.7. Obtenir l'URL de la GUI

Vous pouvez exécuter la commande suivante pour obtenir l'URL de l'interface Web :
# WABGetGuiUrl
14.8. Changer le mot de passe GRUB

Vous pouvez exécuter la commande suivante pour modifier le mot de passe GRUB :
# WABChangeGrub
14.9. Changer la configuration réseau

Vous pouvez exécuter la commande suivante pour modifier la configuration réseau paramétrée
dans WALLIX Bastion :
# WABNetworkConfiguration
Note :
Lorsque WALLIX Bastion est configuré en mode Haute Disponibilité (également appelé
mode « HA » ou « High-Availability »), cette commande peut uniquement être exécutée
sur le nœud « Master ».
14.10. Changer la configuration du niveau de

sécurité
Vous pouvez exécuter la commande suivante pour modifier la configuration du niveau de sécurité
paramétrée dans WALLIX Bastion :
# WABSecurityLevel
14.11. Configurer les services

Vous pouvez exécuter la commande suivante pour configurer les services :
# WABServices
Pour plus d'informations, voir Section 8.11.2, « Activation des services », page 61.
14.12. Configurer la Haute Disponibilité

(également appelée « High-Availability » ou «
HA »)
273
Vous pouvez exécuter la commande suivante pour configurer la HA :
wabsuper$ WABHASetup
Note :
Cette commande peut uniquement être exécutée sur le nœud « Master ».
Pour vérifier l’état actuel d’un nœud, vous pouvez exécuter la commande suivante :
wabsuper$ /opt/wab/bin/WABHAStatus
Pour plus d'informations, voir Section 8.14, « Haute Disponibilité », page 68.
14.13. Générer le rapport sur l'état du système

Un programme permet de récupérer des informations sur l'état de WALLIX Bastion. Il peut être utile
de le lancer pour communiquer le rapport généré à l’Équipe Support, le cas échéant.
Pour récupérer ce programme, il est nécessaire de vous identifier sur le site du Support WALLIX
(https://support.wallix.com/) puis, cliquez sur l’onglet « Downloads » et téléchargez le
fichier « sysinfo», sous la section « Script de vérification de l'état du système » de la version
appropriée de WALLIX Bastion.
Lancez ensuite ce programme et transférez le fichier sysinfo.txt présent dans l'archive générée
(sysinfo.gz) à l’Équipe Support.
14.14. Gérer la clé de licence

Vous pouvez exécuter la commande suivante pour afficher les informations de licence :
# WABGetLicenseInfo
Vous pouvez exécuter la commande suivante pour générer le fichier de contexte de licence :
# WABSetLicense -c -f <Fichier de contexte>
Vous pouvez exécuter la commande suivante pour importer une nouvelle licence :
# WABSetLicense -u -f <Fichier de mise à jour>
Vous pouvez exécuter la commande suivante pour supprimer la licence :
# WABSetLicense -d
Pour plus d'informations, voir Section 8.2, « Licence », page 46.
14.15. Utiliser WABConsole pour changer le mot

de passe de l'utilisateur
WALLIX Bastion 8.0.2 fournit une interface de type « lignes de commande » permettant à
l'administrateur ou à l'utilisateur d'effectuer certaines opérations.
Le jeu de commandes accessibles dépend du profil de l’utilisateur.
274
Pour accéder à la console, vous pouvez :
• soit exécuter la commande suivante :
# WABConsole
• soit vous connecter au Bastion à l’aide d’un client SSH de la façon suivante :
$ ssh -t admin@wab.mycorp.lan console

admin@wab.mycorp.lan password:
wab> help
Pour obtenir la liste des commandes, il suffit de taper help à l’invite de la console.
Chaque commande dispose d’une aide en tapant soit help soit -h.
La commande actuellement disponible pour un utilisateur avec le profil « WAB_administrator » est :
change_user_password.
La commande actuellement disponible pour un utilisateur standard est : change_password.
14.16. Afficher le contenu des logs de

"journalctl"
Vous pouvez exécuter la commande suivante pour afficher le contenu des logs de "journalctl" :
# WABJournalCtl
14.17. Exporter et/ou purger les

enregistrements de sessions manuellement
Vous pouvez exécuter le script suivant pour exporter et/ou purger les enregistrements de sessions :
# /opt/wab/bin/WABSessionLogExport -h
action.
Ce script permet de créer un fichier .archive, sauvegardé dans /var/wab/recorded/
export_sessionset contenant pour la période définie :
• l’ensemble des sessions RDP et SSH,

• un fichier au format .csv contenant l’export des données visualisables sur la page « Historique
des sessions » (voir Section 12.3.4, « Historique des sessions », page 221).
Note :
Les archives locales doivent être déplacées manuellement par l'administrateur dans /
var/wab/remote/recorded/export_sessions. Un script permet d'archiver et/ou
purger les enregistrements de sessions de façon automatique. Vous pouvez définir des
options depuis l'interface Web de WALLIX Bastion pour configurer les actions qui seront
effectuées par ce script. Pour plus d'informations, voir Section 14.18, « Exporter et/ou
purger les enregistrements de sessions automatiquement », page 277.
275
Toutes les sessions pour la période définie seront également supprimées, sauf si l’option -p est
spécifiée.
Il est possible d'archiver et/ou purger les sessions en fonction de leurs identifiants en utilisant l’option
--sessions.
Il est possible d'archiver et/ou purger uniquement les sessions non corrompues en utilisant l’option
--good-only.
Il est possible d'archiver et/ou purger uniquement les sessions corrompues en utilisant l’option -
w ou --wrong-only.
Il est possible d'archiver et/ou purger les sessions en fonction d'un statut donné (par exemple, les
sessions en échec ou encore les sessions interrompues, etc.) en utilisant l’option --status.
Il est possible d'archiver et/ou purger uniquement les sessions stockées en local en utilisant l'option
--local-storage.
Il est possible d'archiver et/ou purger uniquement les sessions sur un stockage distant en utilisant
l'option --remote-storage.
Il est possible d'archiver et/ou purger les traces concernant des cibles sous un protocole donné
(SSH, RDP, etc.) en utilisant l’option --protocol.
Il est possible d'archiver et/ou purger uniquement les sessions non-critiques en utilisant l’option --
non-critical.
Il est possible d'archiver et/ou purger les traces concernant un ou plusieurs utilisateurs donnés en
utilisant l’option --user.
Il est possible d'archiver et/ou purger les traces concernant des utilisateurs dans un ou plusieurs
groupes utilisateurs donnés en utilisant l’option --user-group.
Il est possible d'archiver et/ou purger les traces concernant une ou plusieurs cibles données en
utilisant l’option --target.
Il est possible d'archiver et/ou purger les traces concernant des cibles dans un ou plusieurs groupes
de cibles donnés en utilisant l’option --target-group.
Il est possible de ne pas archiver les traces en utilisant l'option -a. Dans ce cas, les informations
sur les sessions concernées sont affichées sur la ligne de commande.
Il est possible de ne pas purger les traces en utilisant l'option -p. Dans ce cas, les informations sur
les sessions concernées sont affichées sur la ligne de commande.
Il est possible d'afficher les fichiers orphelins concernant les sessions déjà purgées en utilisant
l'option --show-orphans. Ces fichiers peuvent être supprimés avec l'option -P ou --purge-
orphans. Dans ce cas, ces fichiers ne seront pas archivés, même si une archive est créée.
Il est possible de renseigner une phrase de chiffrement pour l'archive en utilisant l'option --
passphrase. Il n'est cependant pas conseillé d'utiliser cette dernière car cette phrase est affichée
en clair sur la ligne de commande.
Il est possible de renseigner un descripteur de fichier à partir duquel la phrase de chiffrement peut
être récupérée en utilisant l'option --passphrase-fd.
Il est possible de renseigner le chemin vers un fichier à partir duquel la phrase de chiffrement peut
être récupérée en utilisant l'option --passphrase-file.
Vous pouvez exécuter le script suivant pour ré-importer les fichiers d'archive générés :
276
# /opt/wab/bin/WABSessionLogImport -h
action. Pour plus d'informations, voir Section 14.20, « Ré-importer les enregistrements de sessions
archivés », page 279.
Un script permet d'archiver et/ou purger les enregistrements de sessions de façon automatique.
Vous pouvez définir des options depuis l'interface Web de WALLIX Bastion pour configurer les
actions qui seront effectuées par ce script. Pour plus d'informations, voir Section 14.18, « Exporter
et/ou purger les enregistrements de sessions automatiquement », page 277.
Un autre script permet également de gérer le déplacement des enregistrements de sessions depuis
un stockage local vers un stockage distant. Pour plus d'informations, voir Section 14.19, « Déplacer
les enregistrements de sessions depuis un stockage local vers un stockage distant », page 278.
14.18. Exporter et/ou purger les

enregistrements de sessions automatiquement
Un script lancé dans une tâche cron permet d'archiver et/ou purger les enregistrements de sessions
sauvegardés sur la partition /var/wab/recorded/ (pour le stockage local) ou /var/wab/
remote/recorded/ (pour le stockage distant). Par défaut, ce script est lancé tous les jours à
04:00 dans le fuseau horaire de WALLIX Bastion, défini sur la page « Service de temps » du menu
« Système ». Pour plus d’informations, voir Section 8.7, « Service de temps », page 52.
Les options de la section « Retention Policy », accessible depuis le menu « Configuration » > «
Options de configuration » > « Session log policy » permettent notamment de configurer les actions
effectuées par ce script :
• si une valeur est renseignée dans le champ « Remove sessions older than », alors toutes les
sessions plus anciennes que cette valeur en nombre de jours (avec le suffixe « d », comme par
exemple « 20d » pour 20 jours) ou en nombre de mois (avec le suffixe « m », comme par exemple
« 36m » pour 36 mois) sont supprimées. Si aucun suffixe n'est renseigné, alors la valeur est
considérée par défaut comme exprimée en nombre de jours.
• tous les fichiers orphelins présents sur le stockage local sont supprimés ;
• si une valeur est renseignée dans le champ « Archive sessions older than », alors toutes les
sessions plus anciennes que cette valeur en nombre de jours (avec le suffixe « d », comme
par exemple « 20d » pour 20 jours) ou en nombre de mois (avec le suffixe « m », comme par
exemple « 36m » pour 36 mois) sont archivées. Si aucun suffixe n'est renseigné, alors la valeur
est considérée par défaut comme exprimée en nombre de jours. Cet archivage concerne aussi
bien les sessions présentes sur le stockage local que sur le stockage distant.
• si un chemin vers un script est renseigné dans le champ « Post archive script », alors celui-ci
est appelé pour l'export des archives. Dans le cas contraire, les archives sont transférées sur le
stockage distant, si existant.
• les éléments présents sur le stockage local sont supprimés, en procédant du plus ancien au
plus récent et par catégorie, jusqu'à ce qu'une taille d'espace disque libre soit atteinte. Cette
valeur doit être renseignée dans le champ « Remove sessions below free space ». Cette taille
s'exprime en bytes (avec les suffixes « kb », « kib », « Mb », « Mib », « Gb » et « Gib ») ou
en pourcentage d'espace disque de la partition /var/wab. Cette suppression s'effectue dans
l'ordre des éléments suivants :
– d'abord, les archives de plus de 24h,
– ensuite, les sessions non critiques plus anciennes que la valeur renseignée dans le champ
« Prefer sessions older than »,
277
– puis, les sessions critiques plus anciennes que la valeur renseignée dans le champ « Prefer
sessions older than »,
– ensuite, les sessions non critiques de plus de 24h,
– puis, les sessions critiques plus anciennes que la valeur renseignée dans le champ « Keep
critical newer than » ou de plus de 24h,
– ensuite, les sessions non critiques de moins de 24h,
– puis, les archives de moins de 24h,
– enfin, les sessions critiques de moins de 24h si aucune valeur n'est renseignée dans le champ
« Keep critical newer than ».
• une notification sur les éléments archivés et supprimés et lorsque l'objectif d'espace disque
disponible n'est pas atteint est envoyée.
Les archives sont supprimées sans considération du caractère critique ou non des sessions.
Par ailleurs, il est possible de modifier la phrase de chiffrement définie par défaut dans le champ
« Archive key ». Cette phrase de chiffrement est utilisée pour chiffrer les éléments archivés.
14.19. Déplacer les enregistrements de

sessions depuis un stockage local vers un
stockage distant
WALLIX Bastion effectue un déplacement automatique des enregistrements des sessions
récemment terminées depuis un stockage local vers un stockage distant. Par défaut, cette action
est réalisée dans une tâche cron lancée toutes les 5 minutes.
Vous pouvez cependant exécuter le script suivant pour lancer ce déplacement manuellement :
# /opt/wab/bin/bastion-traceman -h
action.
Il est possible d'utiliser les sous-commandes suivantes :
• info : cette sous-commande permet d'obtenir un état de l'espace disque disponible sur le
stockage distant,
Exemple de syntaxe pour la sous-commande info :
# bastion-traceman info
• move local : cette sous-commande permet de déplacer les enregistrements de sessions depuis
le stockage distant vers le stockage local,
Exemple de syntaxe pour la sous-commande move local :
# bastion-traceman move local
• move remote : cette sous-commande permet de déplacer les enregistrements de sessions
depuis le stockage local vers le stockage distant.
Exemple de syntaxe pour la sous-commande move remote :
# bastion-traceman move remote
278
Les critères de sélection disponibles pour les enregistrements de sessions sont les mêmes
que ceux pouvant être utilisés pour exporter et/ou purger les enregistrements de sessions
manuellement, à l'exception des options --local-storage et --remote-storage. Pour plus
d'informations, voir Section 14.17, « Exporter et/ou purger les enregistrements de sessions
manuellement », page 275.
Note :
Lorsque les répertoires contenant les enregistrements de sessions deviennent vides
à l'issue du déplacement, ceux-ci sont supprimés. Les répertoires considérés sont les
suivants :
• /var/wab/recorded/ssh/<YYYY-MM-DD>
• /var/wab/recorded/rdp/<YYYY-MM-DD>
• /var/wab/remote/recorded/ssh/<YYYY-MM-DD>
• /var/wab/remote/recorded/rdp/<YYYY-MM-DD>
Il est à noter que le répertoire du jour courant n'est jamais supprimé.

Sur la page « Stockage distant » du menu « Système », vous pouvez configurer l'export
des enregistrements vidéo des sessions vers un système de fichiers externe. Pour plus
d'informations, voir Section 8.8, « Stockage distant », page 53.
14.20. Ré-importer les enregistrements de

sessions archivés
Vous pouvez exécuter le script suivant pour ré-importer les enregistrements de sessions archivés
lors de l'exécution du script WABSessionLogExport :
# /opt/wab/bin/WABSessionLogImport -h
action.
Il est possible de lister uniquement le contenu de l'archive en utilisant l'option --list. L'archive
ne sera pas ré-importée.
14.21. Vérifier l'intégrité des fichiers de log des

sessions
Vous pouvez exécuter la commande suivante pour vérifier l’intégrité des fichiers de log des sessions
sauvegardés dans /var/wab/:
# /opt/wab/bin/WABSessionLogIntegrityChecker -h
action.
Les critères de sélection des traces disponibles sont les mêmes que ceux pouvant être
utilisés pour exporter et/ou purger les enregistrements de sessions manuellement. Pour plus
d'informations, voir Section 14.17, « Exporter et/ou purger les enregistrements de sessions
manuellement », page 275.
279
Lorsque les notifications pour les erreurs d'intégrité sont activées, l'e-mail récapitule les erreurs
pour les sessions datant de plus de 3 jours par défaut. Il est cependant possible de définir une
autre valeur pour ce nombre de jours. Ce paramètre peut être géré depuis « Configuration » > «
Options de configuration » > « Session log policy » puis, saisir un nombre entier positif dans le
champ « Summarize error older than » de la section « Integrity Checker ». Si la valeur « 0 » est
renseignée dans ce champ, alors le mail de notification ne présente pas de récapitulatif des erreurs.
14.22. Changer l’identification des serveurs

cibles
Lors de la connexion à un serveur cible via un protocole sécurisé (tel que RDP ou SSH), WALLIX
Bastion vérifie que le certificat ou la clé présenté(e) au proxy par le serveur correspond bien à celui/
celle connu(e) du système pour ce serveur.
Si ce certificat ou cette clé est différent(e), le proxy de WALLIX Bastion fermera la connexion
car il peut s’agir d’une attaque. Il est donc nécessaire d’informer WALLIX Bastion de tout
changement de certificat ou de clé. Pour cela, vous pouvez supprimer le certificat ou la clé
déclaré(e) sur l'équipement et le nouveau certificat ou la nouvelle clé sera automatiquement
récupéré(e) et sauvegardé(e) lors du prochain accès à l’équipement par le proxy RDP ou SSH.
Pour plus d'informations, voir Section 10.1.1.7, « Afficher et supprimer les certificats ou les clés sur
l'équipement », page 133.
14.23. Configurer les options TLS pour

l'authentification externe LDAP
Il est possible de configurer les options TLS pour permettre la demande d'un certificat de l'AC
donné lors de l'authentification sur un serveur LDAP en éditant le fichier /etc/ldap/ldap.conf.
Pour plus d'informations sur ce fichier, voir http://www.openldap.org/software/man.cgi?
query=ldap.conf.
14.24. Configurer le client TLS pour l'intégration

SIEM
Il est possible de configurer le client TLS pour permettre le routage des informations vers d'autres
équipements réseau via des solutions SIEM en ajoutant le fichier /etc/syslog-ng/conf.d/
tls_siem.conf.
Les paramètres suivants doivent être configurés dans le contenu du fichier, tel que décrit ci-
dessous :
• <SIEM_SERVER>
• <SIEM_PORT>
• <CA_DIR>
• <CLIENT_KEY>
• <CLIENT_CERT>
cat /etc/syslog-ng/conf.d/tls_siem.conf
280
destination d_rltp {
syslog( <SIEM_SERVER>
transport("tls")
port(<SIEM_PORT>)
tls(
peer-verify(required-trusted) ca_dir(<CA_DIR>)
key_file(<CLIENT_KEY>)
cert_file(<CLIENT_CERT>)
)
);
};
log {
source(s_src);
destination(d_rltp);
};
Une configuration TLS peut également être effectuée depuis l'interface Web. Pour plus
d'informations, voir Section 8.9, « Intégration SIEM », page 54.
14.25. Changer les certificats auto-signés des

services
14.25.1. Changer le certificat de l'interface Web et de l'API
Remplacez les fichiers de certification suivants dans le répertoire /var/wab/apache2/ssl.crt :
• ca.crt (le certificat d'autorité racine),
Note :
Le nouveau certificat généré sous la forme d'un fichier .pem doit d'abord être converti
au format .crt avant le remplacement dans le répertoire.
• server.pem (la clé publique),

• server.key (la clé privée) et,
• éventuellement crl.pem (la liste de révocation de certificats). S'il n'est pas nécessaire de
révoquer un site, alors le fichier crl.pem par défaut ne doit pas être remplacé.
Une fois les fichiers remplacés, il peut être nécessaire de redémarrer le service Apache avec la
commande suivante :
# systemctl restart apache2
Note :
Ces fichiers sont également modifiés lors de l'application de la procédure de configuration
de l'authentification X509. Pour plus d'informations, voir Section 9.6, « Configuration de
l'authentification par certificat X509 », page 101.
Si la Haute Disponibilité est configurée, le répertoire dans lequel les certificats sont
regroupés est partagé entre les nœuds. La procédure doit s'appliquer uniquement sur
le nœud actif.
281
Vous pourrez par la suite regénérer un certificat auto-signé avec la commande suivante :
# WABGuiCertificate selfsign -f
14.25.2. Changer le certificat du proxy RDP

Pour installer votre certificat, copiez celui-ci au format PEM avec sa clé privée sur le Bastion.
Ensuite, exécutez la commande suivante sur la console SSH (2242) en remplaçant les paramètres
par les chemins complets des fichiers correspondants :
# rdpcert --key --inkey=./<fichier_clé_privée_2048_bit_rsa>.key --x509

--inx509=./<X509_certificate_file>.pem --force
Une fois les fichiers remplacés, redémarrez le proxy RDP avec la commande suivante :
# systemctl restart redemption
Note :
Vous pourrez par la suite regénérer un certificat auto-signé avec la commande suivante :
# rdpcert --key --force
14.25.3. Changer la clé serveur du proxy SSH

Pour installer votre clé serveur au format RSA+PEM, copiez celle-ci sur WALLIX Bastion dans le
répertoire /var/wab/etc/ssh/server_rsa.key location.
La clé serveur doit utiliser l'algorithme RSA et une taille minimale de 4096 bits est recommandée.
Pour installer votre clé serveur au format ED25519, copiez celle-ci sur WALLIX Bastion dans le
répertoire /var/wab/etc/ssh/server_ed25519.key location.
Note :
Vous pouvez générer une clé serveur pour le proxy SSH sur WALLIX Bastion en
supprimant les clés serveur actuelles et en exécutant le script générateur avec la
commande suivante :
# rm /var/wab/etc/ssh/server_rsa.key
# rm /var/wab/etc/ssh/server_ed25519.key
# WABSshServerGenRsaKey.sh
14.26. Configurer la cryptographie des services

14.26.1. Configurer le niveau de sécurité pour permettre la
compatibilité du protocole RDP
Les anciens clients RDP peuvent ne pas être compatibles par défaut avec WALLIX Bastion. Nous
vous conseillons néanmoins d'utiliser un client moderne, comme le client MSTSC connecté à
282
un serveur Windows Server 2008 R2 (au minimum), afin de conserver un niveau de sécurité
satisfaisant.
Pour restaurer la compatibilité et donc permettre les connexions, il est nécessaire d'effectuer
les actions suivantes au niveau de la configuration du proxy RDP, sur la page « Options de
configuration » du menu « Configuration », sous la section « client » :
• pour les clients sous Windows Server 2000 et inférieur : cochez la case de l'option « Tls fallback
legacy »,
• pour les clients supportant TLS à partir de Windows XP : abaissez la version minimale du
protocole TLS supportée en renseignant la valeur « 0 » dans le champ « Tls min level » puis,
supprimez la valeur dans le champ « Ssl cipher list ».
Avertissement :
Nous vous rappelons que ces opérations abaissent le niveau de sécurité des services
de WALLIX Bastion.
14.26.2. Configurer le niveau de sécurité pour permettre la

compatibilité du protocole SSH
Les algorithmes de cryptographie autorisés par le proxy SSH peuvent être déclarés en les
mentionnant dans les champs suivants au niveau de la configuration du proxy SSH, sur la page
« Options de configuration » du menu « Configuration » :
• Dans la section « main » : « Hostkeys », « Client kex algos », « Client cipher algos », « Client
integrity algos », « Client compression algos » ;
• Dans la section « front_algorithms » : « Dh modulus min size ».
Il est recommandé de conserver la configuration par défaut de ces algorithmes afin de garantir un
niveau de sécurité maximum avec les clients SSH.
Avertissement :
Ces champs sont uniquement affichés lorsque la case du champ « Options avancées
» sur la droite de la page est cochée et ils doivent être UNIQUEMENT modifiés sur les
instructions de l’Équipe Support WALLIX !
14.26.3. Restaurer les paramètres de cryptographie par

défaut
Pour modifier les réglages du serveur Web GUI, éditez le fichier suivant comme indiqué ci-dessous :
# vim.tiny /etc/apache2/sites-enabled/wab-httpd.conf
1. Décommentez les lignes suivantes :
SSLProtocol TLSv1.2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!EDH
2. Commentez toutes les autres lignes portant les mêmes clés.
283
14.27. Mettre à jour la liste de révocation CRL

(Certificate Revocation List)
Pour mettre à jour le certificat CRL, vous pouvez :
• soit copier le fichier au sein de WALLIX Bastion au format PEM. Puis, lancez la commande
suivante :
# WABCRLFetch -f CRL_FILE
• soit exécuter la commande suivante depuis la console SSH (port 2242), en remplaçant les
paramètres par les données correspondantes et le chemin complet du fichier CRL local :
client$ nc -l -p A_LOCAL_PORT -c "cat MY_LOCAL_CRL_FILE" &

client$ ssh -p 2242 -R A_WAB_PORT:localhost:LOCAL_PORT_ABOVE wabadmin@wab
wabadmin@wab$ super
wabsuper@wab$ nc localhost WAB_PORT_ABOVE|sudo /opt/wab/bin/WABCRLFetch [-n
NAME]
Exemple :
client$ nc -l -p 43210 -c "cat wallix_crls/2020/wallix-2020-02-29.crl" &

client$ ssh -p 2242 -R 54321:localhost:43210 wabadmin@wab
wabadmin@wab$ super
wabsuper@wab$ nc localhost 54321|sudo /opt/wab/bin/WABCRLFetch -n
wallix-2020-02-29.crl
Note :
Les fichiers CRL sont stockés dans le répertoire /var/wab/apache2/ssl.crl/.
Un fichier importé contenant plusieurs CRL sera divisé en plusieurs fichiers CRL unitaires.
Une CRL importée remplace uniquement une ancienne version si le chiffre correspondant
à la donnée « CRLNumber » est supérieur ou égal à celui de l'ancienne version.
Il est également possible de gérer cette liste via l'interface Web. Pour plus d'informations,
voir Section 9.6.2, « Gestion de la liste de révocation de certificats (CRL) », page 103.
284
Chapitre 15. Web Services API REST

WALLIX Bastion intègre deux API utilisables pour fournir un accès aux ressources et effectuer
également des opérations basiques (telles que de la création, modification ou suppression de
données).
Ces API utilisent un protocole REST basé sur JSON.
15.1. Documentation de l'API REST WALLIX

Bastion
La documentation de la dernière version du service (3.3) est disponible en ligne à l’adresse
suivante :
https://adresse_ip_bastion/api/doc
Le changelog de cette version est disponible en ligne à l’adresse suivante :
https://adresse_ip_bastion/api/doc/APIChangelog.html
La documentation de la version 3.2 du service est disponible en ligne à l’adresse suivante :
https://adresse_ip_bastion/api/v3.2/doc
Le changelog de la version 3.2 est disponible en ligne à l’adresse suivante :
https://adresse_ip_bastion/api/v3.2/doc/APIChangelog.html
La documentation de la version 2.4 du service est disponible en ligne à l’adresse suivante :
https://adresse_ip_bastion/api/v2.4/doc
Le changelog de la version 2.4 est disponible en ligne à l’adresse suivante :
https://adresse_ip_bastion/api/v2.4/doc/APIChangelog.html
Note :
Les versions 2.0, 2.1, 2.2, 2.3, 3.0 et 3.1 de l'API REST sont obsolètes et ne sont plus
disponibles pour cette version de WALLIX Bastion.
15.2. Documentation de l'API REST SCIM

La documentation de la dernière version du service (2.0) est disponible en ligne à l’adresse
suivante :
https://adresse_ip_bastion/scim/doc
15.3. Gestion de clés d'API REST

Une clé d'API REST est nécessaire pour authentifier une requête.
Sur la page « Clés d'API » du menu « Configuration », vous pouvez :
285
• lister les clés d'API REST enregistrées,

• générer/modifier/supprimer une clé d'API REST,
• visualiser les adresses IP à partir desquelles la connexion est autorisée pour une clé donnée.
Important :
Seul l'administrateur dont le profil possède tous les droits y compris les droits
transmissibles (comme le profil « WAB_administrator ») peut visualiser l'entrée « Clés
d'API » du menu « Configuration ».
la page « Clés d'API ». Pour plus d'informations, voir Section 6.5, « Navigation au sein des tableaux
15.3.1. Générer une clé d’API

Sur la page « Clés d’API », cliquez sur « Générer une clé d’API » pour afficher la page de génération
de la clé d’API.
• la clé d’API chiffrée générée,

• un nom devant être renseigné pour identifier la clé,
• l'adresse IP à partir de laquelle la connexion est autorisée pour cette clé. Vous pouvez ajouter
plusieurs adresses IP autorisées pour la clé.
Figure 15.1. Page « Clés d'API » - Génération de la clé
15.3.2. Modifier une clé d’API

Sur la page « Clés d’API », cliquez sur un nom de clé d’API pour afficher la page de modification
de la clé d’API.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de génération de la clé
d’API, excepté le champ « Clé d’API » qui n’est pas affiché.
286
15.3.3. Supprimer une clé d’API

Sur la page « Clés d’API », sélectionnez une ou plusieurs clés d’API à l’aide de la case à
cocher au début de la ligne puis, cliquez sur l’icône corbeille pour supprimer la sélection. WALLIX
sélectionnées.
287
Chapitre 16. Messages SIEM
WALLIX Bastion 8.0.2 utilise les messages syslog pour l'envoi de données vers les solutions SIEM
depuis le système, mais également lors de certaines actions effectuées depuis l'interface Web ou
encore depuis les services RDP ou SSH.
Les sections suivantes répertorient des exemples de logs.
16.1. Logs de l'interface Web de WALLIX

Bastion
Le format des messages est le suivant :
[wabaudit] action=”[ACTION]” type=”[OBJTYPE]” object=”[UID/CN/NAME]”

user=”[WHO]” infos=”[INFOS]”
Exemple:
[wabaudit] action="edit" type="User" object="jdoe" user="admin"

client_ip="192.168.140.1" infos="UserAuths [Add < win2k16.acme.net >]"
La chaîne fournit des messages pour les différents types d'objets décrits dans les sections
suivantes.
16.1.1. Type d'objet : Compte

Actions : création (« add »), suppression (« delete »), modification (« edit »)
Exemples :
[wabaudit] action="add" type="Account"

object="account_with_approval@QA_DOMAIN_SIMPLE" user="admin"
client_ip="10.10.45.212" infos="name [account_with_approval], login
[account_with_approval], autoChangePassword [True], autoChangeSSHKey
[True], isExternalVault [False]"
[wabaudit] action="edit" type="Account"

object="account_154954837938@local1@application_154954837837"
user="QA_ADMIN" client_ip="10.10.45.212" infos=""
[wabaudit] action="delete" type="Account"

object="account_154954844398@local1@application_154954844399"
16.1.2. Type d'objet : Activité du compte (Audit)

Action : liste (« list »)
Exemple :
[wabaudit] action="list" type="accountactivity"

object="168c1c48f141e911005056b60af6" user="admin"
client_ip="10.10.43.84" infos=""
288
16.1.3. Type d'objet : Historique du compte (Audit)

Exemple :
[wabaudit] action="list" type="accounthistory"
object="168c1c48f141e911005056b88ag7" user="admin"
16.1.4. Type d'objet : Réponse de la demande d'approbation

Action : création (« add »)
Exemple :
[wabaudit] action="add" type="Answer" object="<Answer (uid: None,
user: QA_USER_APPROVER_1, approved: True, text: some comment)>"
user="QA_USER_APPROVER_1" client_ip="10.10.45.212" infos="username
[QA_USER_APPROVER_1], creation [2019-02-07 15:08:38.577548], text [some
comment], approved [True]"
16.1.5. Type d'objet : Clé d'API

Actions : création (« add »), suppression (« delete »)
Exemples :
[wabaudit] action="add" type="Apikey" object="apikey_154954880399"
user="QA_ADMIN" client_ip="10.10.45.212" infos="cn
[apikey_154954880399], apikey [********], ipLimitation []"
[wabaudit] action="delete" type="Apikey" object="apikey_154954882800"
16.1.6. Type d'objet : Application

Exemples :
[wabaudit] action="add" type="Application" object="QA_APP_DUMMY"
user="admin" client_ip="10.10.45.212" infos="target
[account@local@QA_DEVICE_DUMMY_WIN:RDP]"
[wabaudit] action="delete" type="Application"
object="application_154954836612" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
[wabaudit] action="edit" type="Application"
object="application_154954842057" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
16.1.7. Type d'objet : Chemin de l'application

Exemples :
289
[wabaudit] action="add" type="Apppath"

object="account@local@QA_DEVICE_DUMMY_WIN:RDP[<C:\Program Files
(x86)\Mozilla Firefox\firefox.exe>:<C:\>]" user="admin"
client_ip="10.10.45.212" infos="program [C:\Program Files (x86)\Mozilla
Firefox\firefox.exe], workingdir [C:\]"
[wabaudit] action="delete" type="Apppath"
object="account_154954841440@local1@device_154954841439:rdp[<None>:<C:
\Program Files (x86)\Mozilla Firefox\firefox.exe>]" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
16.1.8. Type d'objet : Approbation

Exemples :
[wabaudit] action="add" type="Approval" object="<Approval(uid=
\'168c849f0378d7f4005056b69255\', status=3, begin=2019-02-07 15:08:00,
end=2019-02-07 15:18:00, quorum=1)>\n" user="user_154954851465"
client_ip="10.10.45.212" infos="status [3], begin [2019-02-07
15:08:00], creation [2019-02-07 15:08:35.382824], duration [600],
end [2019-02-07 15:18:00], username [user_154954851465], targetname
[user_1@local@QA_DEVICE_WITH_APPROVAL_OPTIONAL_COMMENT_AND_TICKET:SSH],
quorum [1], email [qa-notify@wallix.com], language [en]"
[wabaudit] action="delete" type="Approval" object="<Approval(uid=
\'168c849f0378d7f4005056b69255\', status=4, begin=2019-02-07
15:08:00, end=2019-02-07 15:18:00, quorum=1)>\n" user="OPERATOR"
[wabaudit] action="edit" type="Approval" object="<Approval(uid=
\'168c849fa6a347bd005056b69255\', status=1, begin=2019-02-07 15:08:00,
end=2019-02-07 15:18:00, quorum=1)>\n" user="QA_USER_APPROVER_1"
client_ip="10.10.45.212" infos="status ['3' to '1']"
[wabaudit] action="list" type="Approval" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
16.1.9. Type d'objet : Autorisation

Exemples :
[wabaudit] action="add" type="Authorization"
object="QA_USER_GROUP_UNIX:QA_DEVICE_GROUP_UNIX" user="admin"
client_ip="10.10.45.212" infos="cn [unix_group], targetGroupIdentifier
[QA_DEVICE_GROUP_UNIX], isRecorded [True], isCritical [False],
userAccess [False], proxyAccess [True], subprotocols [SSH_SHELL_SESSION,
SSH_REMOTE_COMMAND, SSH_SCP_UP and 7 other(s)], approvalRequired
[False], hasComment [False], mandatoryComment [False], hasTicket [False],
mandatoryTicket [False], activeQuorum [0], inactiveQuorum [0]"
[wabaudit] action="delete" type="Authorization"
object="user_group_154954865272:target_group_154954865373"
290
[wabaudit] action="edit" type="Authorization"

object="user_group_154954869778:target_group_154954869779"
16.1.10. Type d'objet : Sauvegarde/Restauration

Actions : sauvegarde (« backup »), chargement (« download »), restauration (« restore »)
Exemples :
[wabaudit] action="backup" type="Backup/Restore" user="admin"
client_ip="192.168.0.12" infos="Backup ['wab-6.0-
cspn_2019-02-04_16-59-11.wbk' saved]"
[wabaudit] action="download" type="Backup/Restore" user="admin"
cspn_2019-02-04_16-59-11.wbk' downloaded]"
[wabaudit] action="restore" type="Backup/Restore" user="admin"
cspn_2019-02-04_16-59-11.wbk' restored]"
16.1.11. Type d'objet : Politiques d'emprunt

Exemples :
[wabaudit] action="add" type="CheckoutPolicy"
object="QA_CHECKOUT_POLICY_LOCK" user="admin" client_ip="10.10.45.212"
infos="enableLock [True], duration [600], extension [0], maxDuration
[600], checkinChange [0]"
[wabaudit] action="delete" type="CheckoutPolicy"
object="checkout_policy_154954874456" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
[wabaudit] action="edit" type="CheckoutPolicy"
object="checkout_policy_154954875282" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
16.1.12. Type d'objet : Cluster

Exemples :
[wabaudit] action="add" type="Cluster" object="cluster_154954837225"
user="QA_ADMIN" client_ip="10.10.45.212" infos="member_targets
[account_154954837122@local1@device_154954837021:rdp,
account_154954837224@local1@device_154954837123:rdp]"
[wabaudit] action="delete" type="Cluster" object="cluster_154954875802"
[wabaudit] action="edit" type="Cluster" object="cluster_154954878267"
291
16.1.13. Type d'objet : Politique de connexion

Exemples :
[wabaudit] action="add" type="ConnectionPolicy"
object="QA_CONNECTION_POLICY_SSH_AGENT_FORWARDING" user="admin"
client_ip="10.10.45.212" infos="cn
[QA_CONNECTION_POLICY_SSH_AGENT_FORWARDING], protocol [SSH], services
[], methods [PASSWORD_VAULT, PUBKEY_VAULT, PUBKEY_AGENT_FORWARDING
and 1 other(s)], Data [server_pubkey[server_pubkey_check]:
'1', server_pubkey[server_pubkey_create_message]: '1',
server_pubkey[server_access_allowed_message]: '0',
server_pubkey[server_pubkey_success_message]: '0',
server_pubkey[server_pubkey_failure_message]: '1',
server_pubkey[server_pubkey_store]: 'True', trace[log_all_kbd]: 'False',
startup_scenario[ask_startup]: 'False', startup_scenario[show_output]:
'True', startup_scenario[enable]: 'False', startup_scenario[timeout]:
'10', startup_scenario[scenario]: '', general[transformation_rule]:
'', session[inactivity_timeout]: '0', session[allow_multi_channels]:
'False', algorithms[kex_algos]: '', algorithms[compression_algos]: '',
algorithms[cipher_algos]: '', algorithms[integrity_algos]: '']"
[wabaudit] action="edit" type="ConnectionPolicy" object="SSH"
user="admin" client_ip="10.10.45.212" infos="methods [Add <
PASSWORD_VAULT, PUBKEY_VAULT, PASSWORD_INTERACTIVE and 1 other(s) >,
Remove < PUBKEY_VAULT, PASSWORD_MAPPING, PASSWORD_VAULT and 1 other(s)
>], Data [session[allow_multi_channels]: 'False' => 'on']"
[wabaudit] action="delete" type="ConnectionPolicy"
object="connection_policy_154954884812" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
16.1.14. Type d'objet : Informations de changement des

accréditations
Exemples :
[wabaudit] action="add" type="CredChgInfo" object="local1/None"
user="QA_ADMIN" client_ip="10.10.45.212" infos="service_name ['None' to
'XE'], host ['None' to 'my.db.hostname'], port ['None' to '1234']"
[wabaudit] action="delete" type="CredChgInfo" object="<CredChgInfo(uid=
\'168c849848928a52005056b69255\')>\n" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
[wabaudit] action="edit" type="CredChgInfo" object="local1/None"
16.1.15. Type d'objet : Politique de changement de mot de

passe
292
Exemples :
[wabaudit] action="add" type="CredChgPolicy"
object="QA_PASSWORD_CHANGE_POLICY" user="admin" client_ip="10.10.45.212"
infos="pwdLength [8], specialChars [1], changePeriod []"
[wabaudit] action="delete" type="CredChgPolicy"
object="password_change_policy_name_154954918141" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
[wabaudit] action="edit" type="CredChgPolicy"
object="password_change_policy_name_154954918865" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
16.1.16. Type d'objet : Équipement

Exemples :
[wabaudit] action="add" type="Device"
object="QA_DEVICE_SSH_SHELL_SESSION" user="admin"
client_ip="10.10.45.212" infos="Host [10.10.45.148], Alias
[QA_DEVICE_SSH_SHELL_SESSION_ALIAS]"
[wabaudit] action="delete" type="Device" object="device_154954886966"
[wabaudit] action="edit" type="Device" object="device_154954892089"
16.1.17. Type d'objet : Domaine global

Exemples :
[wabaudit] action="add" type="Globaldomain" object="QA_DOMAIN_SIMPLE"
user="admin" client_ip="10.10.45.212" infos="cn [QA_DOMAIN_SIMPLE], name
[QA_DOMAIN_SIMPLE]"
[wabaudit] action="delete" type="Globaldomain"
object="global_domain_154954904181" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
[wabaudit] action="edit" type="Globaldomain"
object="global_domain_154954904486" user="QA_ADMIN"
client_ip="10.10.45.212" infos="credchgplugin ['None' to 'Windows'],
credchgpolicy ['None' to 'default'], adminAccount ['None' to
'account_154954904487...']"
16.1.18. Type d'objet : Domaine LDAP

Exemples :
[wabaudit] action="add" type="Ldapdomain" object="QA_DOMAIN_1"
user="admin" client_ip="10.10.45.212" infos="description [], ldapDomain
293
[domain1.qa], defaultLanguage [en], defaultEmailDomain [wallix],

groupAttribute [memberOf], snAttribute [displayName], emailAttribute
[mail], languageAttribute [preferredLanguage], isDefaultDomain [True]"
[wabaudit] action="delete" type="Ldapdomain"
object="domain_154955334782" user="admin" client_ip="192.168.122.1"
infos=""
[wabaudit] action="edit" type="Ldapdomain" object="domain_154955334798"
user="admin" client_ip="10.10.45.212" infos="description ['some
description' to 'updated'], snAttribute ['' to 'updated']"
16.1.19. Type d'objet : Correspondance LDAP

Exemples :
[wabaudit] action="add" type="LdapMapping" object="<QA_DOMAIN_1,
OU=Group> in user_group_154954913825 GROUP" user="QA_ADMIN"
client_ip="10.10.45.212" infos="ldapGroup [OU=Group], domain
[QA_DOMAIN_1], group [user_group_154954913825]"
[wabaudit] action="delete" type="LdapMapping" object="<QA_DOMAIN_1,
OU=Group> in user_group_154954913825 GROUP" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
16.1.20. Type d'objet : Domaine local

Exemples :
[wabaudit] action="add" type="Localdomain" object="local"
user="admin" client_ip="10.10.45.212" infos="cn [local], device
[QA_DEVICE_SSH_SHELL_SESSION]"
[wabaudit] action="delete" type="Localdomain" object="local1"
[wabaudit] action="edit" type="Localdomain" object="local1"
user="QA_ADMIN" client_ip="10.10.45.212" infos="adminAccount ['None' to
'account_154954837938...']"
16.1.21. Type d'objet : Notification

Exemples :
[wabaudit] action="add" type="Notification"
object="notification_154955208543" user="QA_ADMIN"
client_ip="10.10.45.212" infos="dest [qa-notify@wallix.com], flag [0],
isNotificationEnable [True], type [EMAIL]"
[wabaudit] action="delete" type="Notification"
client_ip="10.10.45.212" infos=""
294
[wabaudit] action="edit" type="Notification"

client_ip="10.10.45.212" infos="flag ['16' to '0']"
16.1.22. Type d'objet : Période

Exemples :
[wabaudit] action="add" type="Period" object="<2030-01-01 to 2099-12-31 ,
00:00:00 to 23:59:00, 127>" user="QA_ADMIN" client_ip="10.10.45.212"
infos="startDate [2030-01-01], endDate [2099-12-31], startTime
[00:00:00], endTime [23:59:00], weekmask [127]"
[wabaudit] action="delete" type="Period" object="<2010-01-01 to
2020-01-01 , 09:30:00 to 18:30:00, 124>" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
16.1.23. Type d'objet : Profil

Exemples :
[wabaudit] action="add" type="Profile" object="QA_PROFILE_IP_FORBIDDEN"
user="admin" client_ip="10.10.45.212" infos="ip_limitation [1.1.1.1],
habilitationFlag [1], groups_limitation [], groups_member []"
[wabaudit] action="delete" type="Profile" object="profile_154954924847"
[wabaudit] action="edit" type="Profile" object="profile_154954927022"
16.1.24. Type d'objet : Politique du mot de passe local

Action : modification (« edit »)
Exemple :
[wabaudit] action="edit" type="PwdPolicy" object="default" user="admin"
client_ip="10.10.45.212" infos="pwdMinLowerLetter ['1' to '0'],
rsaMinLength ['4096' to '1024']"
16.1.25. Type d'objet : Options d'enregistrement

Exemple :
[wabaudit] action="edit" type="Recording Options" user="admin"
client_ip="10.10.43.28" infos="Recording Options ['No encryption, with
checksum' to 'No encryption, no checksum']"
16.1.26. Type d'objet : Restriction

Action : création (« add »)
295
Exemple :
[wabaudit] action="add" type="Restriction" object="<kill, Kill.+Softly,

SSH_SHELL_SESSION> in GROUP QA_USER_GROUP_UNIX_KILL" user="admin"
client_ip="10.10.45.212" infos="action [kill], data [Kill.+Softly],
groups [QA_USER_GROUP_UNIX_KILL], subprotocol [SSH_SHELL_SESSION]"
16.1.27. Type d'objet : Service

Exemples :
[wabaudit] action="add" type="Service"

object="QA_DEVICE_SSH_SHELL_SESSION:SSH" user="admin"
client_ip="10.10.45.212" infos="protocol [SSH], port [22], subprotocols
[SSH_SHELL_SESSION], connectionPolicy [SSH]"
[wabaudit] action="delete" type="Service"

object="device_154954928856:ssh" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
[wabaudit] action="edit" type="Service" object="device_154954931097:ssh"

16.1.28. Type d'objet : Logs des sessions

Exemple :
[wabaudit] action="list" type="sessionlog" user="OPERATOR"

client_ip="127.0.0.1" infos="Current sessions"
16.1.29. Type d'objet : Groupe de comptes cibles

Exemples :
[wabaudit] action="add" type="Targetgroup" object="QA_DEVICE_GROUP_UNIX"

user="admin" client_ip="10.10.45.212" infos="Users [], Targets
[__WIL__@am_il_domain@QA_DEVICE_TELNET:TELNET,
__WAM__@am_il_domain@QA_DEVICE_SSH_SCP_DOWN:SSH,
pubkey_account_without_password@local@QA_DEVICE_SSH_FORWARDING:SSH and
35 other(s)], Profiles_limit [], Timeframes [allthetime]"
[wabaudit] action="delete" type="Targetgroup"

object="target_group_154954938767" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
[wabaudit] action="edit" type="Targetgroup"

object="target_group_154954945465" user="QA_ADMIN"
client_ip="10.10.45.212" infos="Description ['some desc' to 'some other
desc']"
296
16.1.30. Type d'objet : Plage horaire

Exemples :
[wabaudit] action="add" type="TimeFrame" object="timeframe_154954856399"
user="QA_ADMIN" client_ip="10.10.45.212" infos="description [],
isOvertimable [False]"
[wabaudit] action="delete" type="TimeFrame"
object="timeframe_154954953374" user="QA_ADMIN" client_ip="10.10.45.212"
infos=""
[wabaudit] action="edit" type="TimeFrame"
object="timeframe_154954954305" user="QA_ADMIN" client_ip="10.10.45.212"
infos=""
16.1.31. Type d'objet : Utilisateur

Exemples :
[wabaudit] action="add" type="User" object="QA_USER_IP_FORBIDDEN"
user="admin" client_ip="10.10.45.212" infos="email [qa-
notify@wallix.com], preferredLanguage [en], host [1.1.1.1], profile
[user], groups [QA_USER_GROUP_UNIX], forceChangePwd [False], userPassword
[********], userauths [local]"
[wabaudit] action="edit" type="User" object="user_154954924239"
user="user_154954924239" client_ip="10.10.45.212" infos="email ['qa-
notify@wallix.com...' to 'qa-notify+1@wallix.c...']"
[wabaudit] action="delete" type="User" object="UNKNOWN_USER"
16.1.32. Type d'objet : Authentification externe

Actions : add, delete, edit
Exemples :
[wabaudit] action="add" type="UserAuth" object="QA_USER_AUTH_KERBEROS"
user="admin" client_ip="10.10.45.212" infos="wabAuthType [KERBEROS],
description [], port [88], host [10.10.45.148], kerDomControler
[QA.IFR.LAN]"
[wabaudit] action="delete" type="UserAuth"
object="auth_LDAP_154955198487" user="QA_ADMIN" client_ip="10.10.45.212"
infos=""
[wabaudit] action="edit" type="UserAuth" object="auth_LDAP_154955202505"
user="QA_ADMIN" client_ip="10.10.45.212" infos="description ['None' to
'updated while used b...']"
16.1.33. Type d'objet : Groupe utilisateurs

297
Exemples :
[wabaudit] action="add" type="Usergroup" object="QA_USER_GROUP_UNIX"
user="admin" client_ip="10.10.45.212" infos="Users [], Profiles_limit [],
Timeframes [allthetime]"
[wabaudit] action="delete" type="Usergroup"
object="user_group_154954962345" user="QA_ADMIN"
client_ip="10.10.45.212" infos=""
[wabaudit] action="edit" type="Usergroup"
object="user_group_154954965326" user="QA_ADMIN"
client_ip="10.10.45.212" infos="Description ['some desc' to 'some other
desc']"
16.1.34. Type d'objet : Paramètres X509 (CRL)

Exemples :
[wabaudit] action="add" type="X509 Parameters" user="admin"
client_ip="192.168.0.12" infos="CRL [url fetched hourly]"
[wabaudit] action="delete" type="X509 Parameters" user="admin"
client_ip="192.168.0.12" infos="CRL [deleted]"
[wabaudit] action="edit" type="X509 Parameters" user="admin"
client_ip="192.168.0.12" infos="CRL [file updated]"
16.2. Logs du service SSH

La chaîne fournit des messages pour les évènements décrits dans les sections suivantes.
16.2.1. Flux d'une session réussie

16.2.1.1. Connexion réussie
sshproxy: [sshproxy] psid="15493629957933" type="INCOMING_CONNECTION"
src_ip="10.10.43.84" src_port="54446"
sshproxy: [sshproxy] psid="15493629957933" user="user01"
type="AUTHENTICATION_TRY"
pubkey_hash="2aab6ee7ace610650e14de24d318fa9defefe984377923e382daae6c4b648ebb"
method="SSH Key" pubkey_type="ssh-ed25519"
type="AUTHENTICATION_FAILED"
pubkey_hash="2aab6ee7ace610650e14de24d318fa9defefe984377923e382daae6c4b648ebb"
method="SSH Key" pubkey_type="ssh-ed25519"
type="AUTHENTICATION_TRY" method="Password"
wabengine: [wabauth] action="authentify" user="user01"
client_ip="10.10.43.84" status="success" infos="diagnostic [\'Active
Directory\' -password- authentication succeeded]"
298

type="AUTHENTICATION_SUCCESS" method="Password"
Note :
Le numéro psid est identique pour toutes les actions journalisées pour une même
session.
16.2.1.2. Affichage du sélecteur du proxy

type="TARGET_CONNECTION" login="root" host="10.10.47.53"
sessionid="168bd3b417f437ae005056b60af6"
target="root@local@10.10.47.53:ssh:SSH_ALL" port="22"
sshproxy: [SSH Session] session_id="168bd3b417f437ae005056b60af6"
client_ip="10.10.43.84" target_ip="10.10.47.53" user="user01"
device="10.10.47.53" service="ssh" account="root"
type="SESSION_ESTABLISHED_SUCCESSFULLY"
device="10.10.47.53" service="ssh" account="root" type="KBD_INPUT"
data="exit"
type="TARGET_DISCONNECTION" sessionid="168bd3b417f437ae005056b60af6"
target="root@local@10.10.47.53:ssh:SSH_ALL"
Note :
session.
16.2.1.3. Retour au sélecteur du proxy

device="10.10.47.53" service="ssh" account="root"
type="SESSION_DISCONNECTION" duration="0:00:05"
type="DISCONNECTION"
Note :
session.
16.2.2. Flux d'un échec de connexion : connexion refusée,

machine éteinte ou service indisponible
type="TARGET_CONNECTION" login="root" host="10.10.47.53"
299
sessionid="168bd4545a2dba16005056b60af6"
target="root@local@10.10.47.53:TELNET:SSH_ALL" port="23"
sshproxy: [SSH Session] session_id="168bd4545a2dba16005056b60af6"
device="10.10.47.53" service="TELNET" account="root"
type="CONNECTION_FAILED"
type="TARGET_CONNECTION_FAILED" reason="Connection failed" login="root"
host="10.10.47.53" target="root@local@10.10.47.53:TELNET:SSH_ALL"
port="23"
type="TARGET_DISCONNECTION" sessionid="168bd4545a2dba16005056b60af6"
target="root@local@10.10.47.53:TELNET:SSH_ALL"
Note :
session.
16.2.3. Flux d'un échec de connexion : cible invalide ou

accès refusé
ssh -t roota@local@10.10.47.53:ssh:SSH_ALL:user01@10.10.47.20
type="TARGET_ERROR" reason="Invalid target"
target="roota@local@10.10.47.53:ssh:SSH_ALL"
type="DISCONNECTION"
Note :
session.
16.2.4. Ouverture de session réussie

[SSH Session] type=”SESSION_ESTABLISHED_SUCCESSFULLY”
session_id="002ac1d68450742e1928b88df3ca15385d710b33"
client_ip="192.168.1.10" target_ip="192.168.1.200" user="maint"
device="debian" service="ssh" account="admin"
16.2.5. Échec de l'ouverture de session

[SSH Session] type=”CONNECTION_FAILED”
device="debian" service="ssh" account="admin"
300
16.2.6. Déconnexion de la session
[SSH Session] type=”SESSION_DISCONNECTION”
session_id=”002ac1d68450742e1928b88df3ca15385d710b33”
client_ip=”192.168.1.10” target_ip=”192.168.1.200” user=”maint”
device=”debian” service=”ssh” account=”admin” duration=”9:12:12”
Note :
Le format de la durée de la session (« duration ») est le suivant :
h:mm:ss
« h » : le nombre d'heures. Ce nombre est uniquement formulé sur un chiffre pour les
valeurs de « 0 » à « 9 ».
« mm » : les minutes sont toujours formulées sur 2 chiffres ;
« ss » : les secondes sont toujours formulées sur 2 chiffres.
Exemples :
duration="0:00:07"
duration="2:15:01"
duration="16:23:16"
duration="88:02:01"
duration="157:45:59"
16.2.7. Évènements sur un canal

16.2.7.1. Ouverture / fermeture du canal X11
[SSH Session] type="CHANNEL_EVENT"
device="debian" service="ssh" account="admin" data="Open X11 Channel"
channel_id="C0001"

device="debian" service="ssh" account="admin" data="Close X11 Channel"
channel_id="C0001"
16.2.7.2. Ouverture / fermeture du canal d'authentification par agent (AuthAgent)

device="debian" service="ssh" account="admin" data="Open AuthAgent
Channel" channel_id="C0001"

301

device="debian" service="ssh" account="admin" data="Close AuthAgent
16.2.7.3. Ouverture / fermeture du canal de redirection de port TCP/IP

device="debian" service="ssh" account="admin" data="Open Direct
TCPIP Channel" channel_id="C0001" src="127.0.0.1" src_port="45678"
dst="localhost" dst_port="1234"

device="debian" service="ssh" account="admin" data="Close Direct TCPIP
16.2.7.4. Ouverture / fermeture du canal de redirection de port TCP/IP inverse

device="debian" service="ssh" account="admin" data="Open Reverse
TCPIP Channel" channel_id="C0001" src="127.0.0.1" src_port="45678"
dst="localhost" dst_port="1234"

device="debian" service="ssh" account="admin" data="Close Reverse TCPIP
16.2.8. Évènements de type requête

16.2.8.1. Requête X11
[SSH Session] type="REQUEST_EVENT"
device="debian" service="ssh" account="admin" data="Request X11"
16.2.8.2. Requête d'authentification par agent (AuthAgent)

device="debian" service="ssh" account="admin" data="Request AuthAgent"
16.2.8.3. Requête de socket TCP/IP inverse

302

device="debian" service="ssh" account="admin" data="Request Reverse TCPIP
Socket"
device="debian" service="ssh" account="admin" data="Cancel Reverse TCPIP
Socket"
16.2.9. Détection de motif sur un shell ou une commande à

distance
[SSH Session] type="NOTIFY_PATTERN_DETECTED"
device="debian" service="ssh" account="admin" pattern="tail"
[SSH Session] type="KILL_PATTERN_DETECTED"
device="debian" service="ssh" account="admin" pattern="rm"
[SSH Session] type="WARNING_PATTERN_DETECTED"
device="debian" service="ssh" account="admin" pattern="tail"
16.2.10. Détection de commande sur des équipements

Cisco
[SSH Session] type="NOTIFY_COMMAND_DETECTED"
device="cisco" service="ssh" account="admin" command="access-template"
[SSH Session] type="KILL_COMMAND_DETECTED"
device="cisco" service="ssh" account="admin" command="configure terminal"
[SSH Session] type="WARNING_COMMAND_DETECTED"
device="cisco" service="ssh" account="admin" command="access-template"
16.2.11. Actions SFTP
Ces actions sont : stat, lstat, opendir, remove, mkdir, rmdir, rename, readlink, symlink, link, status.
[SSH Session] type=”SFTP_EVENT”
device="debian" service="ssh" account="admin" data=”lstat /home/admin/”
303
16.2.12. Restriction de taille de fichier sur SFTP

[SSH Session] type=”KILL_SIZELIMIT_DETECTED”
device="debian" service="ssh" account="admin" data=”Restriction: /var/
log/syslog file too big”
[SSH Session] type=”NOTIFY_SIZELIMIT_DETECTED”

device="debian" service="ssh" account="admin" data=”Restriction: /var/
log/syslog file too big”
16.2.13. Début de transfert de fichier sur SFTP

device="debian" service="ssh" account="admin" data=”get /var/log/syslog
begin”
16.2.14. Fin de transfert de fichier sur SFTP avec taille et

hachage du fichier
device="debian" service="ssh" account="admin" data=”get /
var/log/syslog done, length= 338079, sha256 =
711cf730055826274d76ebb0505e13973f69d1b55d81199385362f5f319e9453”
16.2.15. Restriction de taille de fichier sur SCP

[SSH Session] type="KILL_SIZELIMIT_DETECTED"
device="debian" service="ssh" account="admin" data="Restriction: /var/
log/syslog file too big"
[SSH Session] type="SCP Event" session_id="sssss" user="uuuuu"

device="ddddd" service="SSSSS" account="aaaaa" data="Kill Restriction:
<filename> file too big"
16.2.16. Début de transfert de fichier sur SCP

[SSH Session] type=”SCP_EVENT”
device="debian" service="ssh" account="admin" data=”get /var/log/syslog
begin”
304
16.2.17. Fin de transfert de fichier sur SCP avec taille et

hachage du fichier
[SSH Session] type=”SCP_EVENT”
device="debian" service="ssh" account="admin" data=”get /
var/log/syslog done, length= 338079, sha256 =
711cf730055826274d76ebb0505e13973f69d1b55d81199385362f5f319e9453”
16.2.18. Entrée saisie au clavier par l’utilisateur

[SSH Session] type=”KBD_INPUT”
device="debian" service="ssh" account="admin" data=”ls -al”
16.2.19. Export de la mention d'appartenance au groupe

pour le compte cible dans les méta-données de la session
[SSH Session] type=”GROUP_MEMBERSHIP” session_id=”SESSIONID-0000”
device=”debian” service=”ssh” account=”tartempion” groups="foo,bar,mod"
Note :
Cette fonctionnalité peut être activée en cochant l'option « Log group membership », sous
la section « trace », au niveau de la politique de connexion SSH (accessible depuis le
menu « Gestion des sessions » > « Politiques de connexion »).
16.2.20. Vérification de fichier par le serveur ICAP

16.2.20.1. Vérification d'un fichier valide
[SSH Session] session_id=”SESSIONID-0000” client_ip=”192.168.1.10”
target_ip=”192.168.1.200” user=”maint” device=”win2k8” service=”sshd”
account=”doe” type="FILE_VERIFICATION" direction="UP" filename="/home/
doe/viruses/abc" status="OK"
16.2.20.2. Vérification d'un fichier invalide

doe/viruses/abc" status="Forbidden"
Note :
Le statut peut changer en fonction du serveur ICAP.
305
16.2.20.3. Erreur de connexion au serveur ICAP

account=”doe” type="FILE_VERIFICATION_ERROR" icap_service="avscan"
status="Unable to connect to ICAP server"
16.3. Logs du service RDP

La chaîne fournit des messages pour les évènements décrits dans les sections suivantes.
16.3.1. Flux d'un échec de connexion : connexion refusée,

machine éteinte ou service indisponible
rdpproxy: [rdpproxy] psid="154937229523480" user="user01@Active Directory
Domain" type="TARGET_CONNECTION" target="Administrator" host="1.1.1.1"
port="3389"
rdpproxy: [rdpproxy] psid="154937229523480" user="user01@Active
Directory Domain" type="TARGET_CONNECTION_FAILED" target="Administrator"
host="1.1.1.1" port="3389" reason="All trials done"
rdpproxy: [RDP Session] session_id="168bdc90a110d2b5005056b60af6"
client_ip="10.10.43.84" target_ip="1.1.1.1" user="user01@Active
Directory Domain" device="win_Invalid" service="RDP"
account="Administrator" type="CONNECTION_FAILED"
Note :
session.
16.3.2. Flux d'un échec de connexion : cible invalide ou

accès refusé
rdpproxy: [rdpproxy] psid="15496397758462" type="INCOMING_CONNECTION"
src_ip="10.10.43.84" src_port="35302"
rdpproxy: [rdpproxy] psid="15496397758462" user="user01"
type="AUTHENTICATION_TRY" method="Password"
wabengine: [wabauth] action="authentify" user="user01"
client_ip="10.10.43.84" status="success" infos="diagnostic [\'Active
Directory\' -password- authentication succeeded]"
type="TARGET_ERROR" target="Administrator@local" reason="Target not found
in user rights"
rdpproxy: [rdpproxy] psid="15496397758462" user="user01" type="LOGOUT"
306
rdpproxy: [rdpproxy] psid="15496397758462" type="DISCONNECT"
Note :
session.
16.3.3. Ouverture de session réussie

[RDP Session] type=”SESSION_ESTABLISHED_SUCCESSFULLY”
session_id=”SESSIONID-0000” client_ip=”192.168.1.10”
target_ip=”192.168.1.200” user=”maint” device=”win2k8” service=”rdp”
account=”Maintenance”
16.3.4. Transfert de fichier via le presse-papier

[RDP Session] type=”CB_COPYING_PASTING_FILE_TO_REMOTE_SESSION”
target_ip=”192.168.1.200” user=”maint” device=”win2k8”
service=”rdp” account=”Maintenance” file_name=”20160725-183530_659.log”
size=”42816744”
sha256=”5933e6ca43514b5b4108ca07be7b040f161c5331b4455449a204cc9c502f9c0a”
16.3.5. Téléchargement de fichier via le presse-papier

RDP Session] type=”CB_COPYING_PASTING_FILE_FROM_REMOTE_SESSION”
service=”rdp” account=”Maintenance” file_name=”20160725-183530_659.log”
size=”42816744”
sha256=”45d6f2826b24d69faed524e5f42020c917e29c9deaf162845f7c441b0d5561d8”
16.3.6. Transfert de données via le presse-papier (telles que

image, son, etc. sauf texte au format Unicode ou données
locales)
[RDP Session] session_id=”SESSIONID-0000” client_ip=”192.168.1.10”
account=”Maintenance” type=”CB_COPYING_PASTING_DATA_TO_REMOTE_SESSION”
format=”Preferred DropEffect” size=”4”
16.3.7. Téléchargement de données via le presse-papier

(telles que image, son, etc. sauf texte au format Unicode ou
données locales)
account=”Maintenance” type=”CB_COPYING_PASTING_DATA_FROM_REMOTE_SESSION”
format=”Preferred DropEffect” size=”4”
307
16.3.8. Transfert de données via le presse-papier (telles que

texte au format Unicode ou données locales)
type=”CB_COPYING_PASTING_DATA_TO_REMOTE_SESSION_EX”
format=”CF_UNICODETEXT” size=”32” partial_data=”This is a test!”
16.3.9. Téléchargement de données via le presse-papier

(telles que texte au format Unicode ou données locales)
type=”CB_COPYING_PASTING_DATA_FROM_REMOTE_SESSION_EX”
format=”CF_UNICODETEXT” size=”32” partial_data=”This is a test!”
16.3.10. Lecture d'un fichier du poste de travail depuis le

serveur
16.3.10.1. Accès non-séquentiel ou partiel au fichier
account=”Maintenance” type=”DRIVE_REDIRECTION_READ” file_name=”home/
out.txt”
16.3.10.2. Accès séquentiel ou complet au fichier

account=”Maintenance” type=”DRIVE_REDIRECTION_READ_EX” file_name=”home/
out.txt size=”4281”
sha256=”5933e6ca43514b5b4108ca07be7b040f161c5331b4455449a204cc9c502f9c0a”
16.3.11. Écriture d'un fichier du poste de travail par le

serveur
16.3.11.1. Accès non-séquentiel ou partiel au fichier
account=”Maintenance” type=”DRIVE_REDIRECTION_WRITE” file_name=”home/
out.txt”
16.3.11.2. Accès séquentiel ou complet au fichier

service=”rdp” account=”Maintenance” type=”DRIVE_REDIRECTION_WRITE_EX”
308
file_name=”home/out.txt size=”5423”
sha256=”45d6f2826b24d69faed524e5f42020c917e29c9deaf162845f7c441b0d5561d8”
16.3.12. Déconnexion de la session par la cible

[RDP Session] type=”SESSION_DISCONNECTION” session_id=”SESSIONID-0000”
device=”win2k8” service=”rdp” account=”Maintenance” duration=”9:12:12”
Note :
h:mm:ss
Exemples :
duration="0:00:07"
duration="2:15:01"
duration="16:23:16"
duration="88:02:01"
16.3.13. Session terminée par le proxy

[RDP Session] type=”SESSION_DISCONNECTION” session_id=”SESSIONID-0000”
device=”win2k8” service=”rdp” account=”Maintenance” duration=”9:12:12”
Note :
h:mm:ss
Exemples :
duration="0:00:07"
duration="2:15:01"
duration="16:23:16"
duration="88:02:01"
309
16.3.14. Fin de session en cours

[RDP Session] type=”SESSION_ENDING_IN_PROGRESS”
Note :
Ce log apparaît quand une session met du temps à s'arrêter et dépasse de délai d'attente
du proxy RDP.
16.3.15. Barres de titre des fenêtres telles que détectées par

le mode « session probe »
Les données peuvent contenir le titre et la ligne de commande du processus.
[RDP Session] type=”TITLE_BAR” session_id=”SESSIONID-0000”
device=”win2k8” service=”rdp” account=”Maintenance” source=”Probe”
window=”out.txt - Bloc-notes”
16.3.16. Barres de titre des fenêtres telles que détectées par

l'OCR
[RDP Session] type=”TITLE_BAR” session_id=”SESSIONID-0000”
device=”win2k8” service=”rdp” account=”Maintenance” source=”OCR”
window=”out.txt - Bloc-notes”
16.3.17. Saisies clavier de l'utilisateur traduites dans la

langue d'utilisation actuelle
[RDP Session] type=”KBD_INPUT” session_id=”SESSIONID-0000”
device=”win2k8” service=”rdp” account=”Maintenance” data=” to connect to
remote TCP host.”
16.3.18. Clic sur un bouton dans une fenêtre

Le message contient le titre de la fenêtre et le nom du bouton.
[RDP Session] type=”BUTTON_CLICKED” session_id=”SESSIONID-0000”
device=”win2k8” service=”rdp” account=”Maintenance” windows=”\"Bloc-
notes\",\"\",\"\"” button=”Ne pas en&registrer'”
16.3.19. Modification du texte dans un champ textuel d'une

fenêtre
Le message contient le titre de la fenêtre et le nom du champ.
310
[RDP Session] type=”EDIT_CHANGED” session_id=”SESSIONID-0000”

device=”win2k8” service=”rdp” account=”Maintenance”
windows=”\"Propriétés de : id.txt\",\"Général\"” edit=”Nom du fichier :”
16.3.20. Focus sur et en dehors d'un champ de mot de

passe
[RDP Session] type=”PASSWORD_TEXT_BOX_GET_FOCUS”
account=”Maintenance” status=”yes”
16.3.21. Focus sur et en dehors d'un champ de saisie non

identifié
[RDP Session] type=”UNIDENTIFIED_INPUT_FIELD_GET_FOCUS”
16.3.22. Nouvelles fenêtres activées telles que détectées par

le mode « session probe »
Le message contient le titre de la fenêtre, le nom de la classe de la fenêtre et la ligne de commande
du processus.
[RDP Session] type=”FOREGROUND_WINDOW_CHANGED”

service=”rdp” account=”Maintenance” text=”PuTTY Configuration”
class_name=”PuTTYConfigBox” command_line=”\"C:\\Users\\Maintenance\
\Desktop \\putty.exe\"”
16.3.23. Changement de disposition du clavier

Le message contient le nom de la langue.
[RDP Session] type=”INPUT_LANGUAGE” session_id=”SESSIONID-0000”

device=”win2k8” service=”rdp” account=”Maintenance” identifier=”0x040C”
display_name=”French (France)”
16.3.24. Création d'un nouveau processus

[RDP Session] type=”NEW_PROCESS” session_id=”SESSIONID-0000”
device=”win2k8” service=”rdp” account=”Maintenance” command_line=”C:
\\Windows\\system32\\DllHost.exe /Processid:{49F171DD- B51A-40D3-9A6C-
2D674CC729D}”'
311
16.3.25. Fin d'un processus

[RDP Session] type=”COMPLETED_PROCESS” session_id=”SESSIONID-0000”
device='win2k8' service='rdp' account=”Maintenance” command_line=”C: \
\Windows\\system32\\TSTheme.exe -Embedding”
16.3.26. Démarrage d'une session VNC

[VNC Session] type=”SESSION_ESTABLISHED_SUCCESSFULLY”
target_ip=”192.168.1.210” user=”maint” device=”win2k3” service=”vnc”
account=”vncuser”
16.3.27. Fin d'une session VNC

[VNC Session] type=”SESSION_DISCONNECTION” session_id=”SESSIONID-0000”
device=”win2k3” service=”vnc” account=”vncuser" duration=”9:12:12”
Note :
h:mm:ss
Exemples :
duration="0:00:07"
duration="2:15:01"
duration="16:23:16"
duration="88:02:01"
16.3.28. Affichage de l'invite UAC

[RDP Session] type=”UAC_PROMPT_BECOME_VISIBLE”
16.3.29. Correspondance du certificat X509 du serveur

[RDP Session] type=”SERVER_CERTIFICATE_MATCH_SUCCESS”
312

account=”Maintenance” description=”X.509 server certificate match”
16.3.30. Connexion au serveur autorisée

[RDP Session] type=”CERTIFICATE_CHECK_SUCCESS”
account=”Maintenance” description="Connexion to server allowed"
16.3.31. Nouveau certificat X509 créé

[RDP Session] type=”SERVER_CERTIFICATE_NEW” session_id=”SESSIONID-0000”
device=”win2k8” service=”rdp” account=”Maintenance” description=”New
X.509 certificate created”
16.3.32. Échec de correspondance du certificat X509 du

serveur
[RDP Session] type=”SERVER_CERTIFICATE_MATCH_FAILURE”
account=”Maintenance” description=”X.509 server certificate match
failure”
16.3.33. Erreur interne du certificat X509

[RDP Session] type=”SERVER_CERTIFICATE_ERROR”
account=”Maintenance” description=”X.509 server certificate internal
error: \"No such file or directory\"”
16.3.34. Création de ticket Kerberos

[RDP Session] type="KERBEROS_TICKET_CREATION"
encryption_type="AES256_CTS_HMAC_SHA1_96(18)"
client_name="user01@lab.rd.wallix.com" server_name="host/
ad01.lab.rd.wallix.com@LAB.RD.WALLIX.COM" start_time="2018/12/05
17:51:56" end_time="2018/12/06 03:51:56" renew_time="2018/12/12 17:51:56"
flags="[name_canonicalize | ok_as_delegate | pre_authent | renewable |
forwardable](0x40a50000)"
16.3.35. Suppression de ticket Kerberos

[RDP Session] type="KERBEROS_TICKET_DELETION"
encryption_type="AES256_CTS_HMAC_SHA1_96(18)"
client_name="user01@lab.rd.wallix.com" server_name="host/
ad01.lab.rd.wallix.com@LAB.RD.WALLIX.COM" start_time="2018/12/05
17:51:56" end_time="2018/12/06 03:51:56" renew_time="2018/12/12 17:51:56"
313
flags="[name_canonicalize | ok_as_delegate | pre_authent | renewable |

forwardable](0x40a50000)"
16.3.36. État des cases à cocher dans les méta-données

collectées par le mode « session probe »
Le message contient l'état d'une case à cocher une fois l'action effectuée.
[RDP Session] type=”CHECKBOX_CLICKED” session_id=”SESSIONID-0000”

device=”win2k8” service=”rdp” account=”Maintenance” windows=”\"Remote
Desktop Connection\",\"\",\"\"” checkbox=”Allow me to save credentials'”
state="checked"
Les valeurs possibles pour le champ « state »sont les suivantes :
• « checked » : la case est cochée,

• « indeterminate » : la case à cocher est dans un état intermédiaire, dans le cas où trois états
sont possibles pour celle-ci,
• « unchecked » : la case est décochée,
• « unavailable » : l'état de la case à cocher n'a pas pu être interprété.
16.3.37. Données de navigation Web collectées par le mode

« session probe »
Les données peuvent être collectées à partir des navigateurs suivants : Internet Explorer, Microsoft
Edge, Mozilla Firefox et Google Chrome.
[RDP Session] type=”WEB_BEFORE_NAVIGATE” session_id=”SESSIONID-0000”

device=”win2k8” service=”rdp” account=”Maintenance” url=”https://
fr.wikipedia.org/” post="no"
[RDP Session] type=”WEB_DOCUMENT_COMPLETE” session_id=”SESSIONID-0000”

fr.wikipedia.org/” title="Wikipédia, l'encyclopédie libre"
[RDP Session] type=”WEB_NAVIGATE_ERROR” session_id=”SESSIONID-0000”

fr.wikipedia.org/todoist” title="Not found" code="404"
display_name="NOT_FOUND"
[RDP Session] type=”WEB_ENCRYPTION_LEVEL_CHANGED”

account=”Maintenance” identifier="6" display_name="Secure128Bit"
[RDP Session] type=”WEB_ATTEMPT_TO_PRINT” session_id=”SESSIONID-0000”

fr.wikipedia.org/” title="Wikipédia, l'encyclopédie libre"
314
[RDP Session] type=”WEB_THIRD_PARTY_URL_BLOCKED”

account=”Maintenance” url=”https://www.download.org/”
[RDP Session] type=”WEB_PRIVACY_IMPACTED” session_id=”SESSIONID-0000”
device=”win2k8” service=”rdp” account=”Maintenance” impacted="no"
[RDP Session] type=”WEB_NAVIGATION” session_id=”SESSIONID-0000”
fr.wikipedia.org/”
Les données concernant ce dernier message ne peuvent pas être collectées depuis Internet
Explorer.
16.3.38. Export de la mention d'appartenance au groupe

pour le compte cible dans les méta-données de la session
[RDP Session] type=”GROUP_MEMBERSHIP” session_id=”SESSIONID-0000”
device=”win2k8” service=”rdp” account=”Maintenance”
groups="None,All,Users,Remote Desktop Users,REMOTE INTERACTIVE
LOGON,INTERACTIF,LOCAL"
16.3.39. Vérification de fichier par le serveur ICAP

16.3.39.1. Vérification d'un fichier valide
doe/viruses/abc" status="OK"
16.3.39.2. Vérification d'un fichier invalide

doe/viruses/abc" status="Forbidden"
Note :
16.3.39.3. Vérification d'un texte transféré par la fonction copier/coller via le

presse-papier valide
account=”doe” type="TEXT_VERIFICATION" direction="UP" copy_id="003"
status="OK"
315
16.3.39.4. Vérification d'un texte transféré par la fonction copier/coller via le

presse-papier invalide
account=”doe” type="TEXT_VERIFICATION" direction="UP" copy_id="005"
status="Forbidden"
Note :
16.3.39.5. Erreur de connexion au serveur ICAP

account=”doe” type="FILE_VERIFICATION_ERROR" icap_service="avscan"
status="Unable to connect to ICAP server"
16.3.40. Ouverture du canal virtuel dynamique

16.3.40.1. Canal virtuel dynamique autorisé
[RDP Session] type="DYNAMIC_CHANNEL_CREATION_ALLOWED"
session_id="SESSIONID-0000" client_ip="192.168.1.10"
target_ip="192.168.1.200" user="maint" device="win2k8" service="rdp"
account="Maintenance" channel_name="SocksChannel"
16.3.40.2. Canal virtuel dynamique rejeté

[RDP Session] type="DYNAMIC_CHANNEL_CREATION_REJECTED"
session_id="SESSIONID-0000" client_ip="192.168.1.10"
target_ip="192.168.1.200" user="maint" device="win2k8" service="rdp"
account="Maintenance" channel_name="SocksChannel"
16.4. Logs du système
La chaîne fournit des messages pour les activités décrites dans les sections suivantes.
16.4.1. Intégrité des fichiers de log des sessions

16.4.1.1. Contrôle d'intégrité réussi
[integrity] session_uid="168bd4814f18ce92005056b60af6" status="OK"
type="SSH_SHELL_SESSION" user="user01@Active Directory
Domain@10.10.43.84" target=root@local@10.10.47.53:ssh" begin="2019-02-05
11:50:44" end="2019-02-05 11:50:49"
[integrity] session_uid="168bd4dbaf97a9fd005056b60af6" status="OK"
type="RDP" user="user01@Active Directory Domain@10.10.43.84"
target=Administrator@local@winAD:rdp" begin="2019-02-05 11:56:55"
end="2019-02-05 11:57:26"
316
16.4.1.2. Erreur d'intégrité : fichier de log des sessions corrompu

[integrity] session_uid="168bdad7ef8916bd005056b60af6" status="failed"
type="RDP" user="user01@Active Directory Domain@10.10.43.84"
target=Administrator@local@winAD:rdp" begin="2019-02-05 13:41:31"
end="2019-02-05 13:41:43" files=[
"/var/wab/recorded/
rdp/168bdad7ef8916bd005056b60af6,user01@ActiveDirectoryDomain@10.10.43.84,Adminis
DEV,2131.log",
"/var/wab/recorded/
rdp/168bdad7ef8916bd005056b60af6,user01@ActiveDirectoryDomain@10.10.43.84,Adminis
DEV,2131.mwrm" ]
16.4.2. Configuration réseau
Exemples :
[sysaudit] action="add" type="route" object="eth0<10.10.0.0>"
[sysaudit] action="delete" type="route" object="eth0<10.10.0.0>"
[sysaudit] action="edit" type="route" object="eth0<10.10.0.0>"
infos="changed netmask from None to 255.255.255.0"
16.4.3. Configuration du serveur SIEM

Exemples :
[sysaudit] action="add" object="1.1.1.1" type="siem-dest"
[sysaudit] action="delete" object="1.1.1.1" type="siem-dest"
[sysaudit] action="edit" object="1.1.1.1" type="siem-dest" infos="SIEM
destination enabled"
[sysaudit] action="edit" object="1.1.1.1" type="siem-dest" infos="changed
port from 514 to 2514"
[sysaudit] action="edit" object="1.1.1.1" type="siem-dest" infos="changed
remote protocol from udp to tls"
16.4.4. Configuration du stockage distant

Exemples :
[sysaudit] action="edit" type="remote-storage" infos="remote storage
enabled"
[sysaudit] action="edit" type="remote-storage" infos="changed remote
storage type from cifs to nfs"
317
16.4.5. Configuration du mappage des services

Exemples :
[sysaudit] action="edit" type="service-mapping" infos="iptables rules

enabled"
[sysaudit] action="edit" type="service-mapping" infos="changed the limit

of parallel connections per IP from 10 to 5"
[sysaudit] action="edit" type="service-mapping" infos="changed HA

interface mapping from ['eth1'] to ['eth1.0']"
16.5. Logs des activités du coffre-fort

La chaîne fournit des messages pour les activités du compte suivantes :
• l'emprunt,
• l'extension de la durée d'emprunt,
• la restitution et la restitution automatique,
• la restitution forcée,
• le changement des accréditations.
Exemples :
[Vault Activity] action="checkout" user="administrator"

account="limited_user@local@bastion" session="False" result="Checkout
successful"
[Vault Activity] action="extend checkout" user="administrator"

account="limited_user@local@bastion" session="False" result="Checkout
extension successful"
[Vault Activity] action="checkout" user="OPERATOR"

account="limited_user@local@bastion" session="False" result="Force
checkin successful"
[Vault Activity] action="credential change"

account="limited_user@local@bastion" credential type="any"
result="failed" reason="missing new credentials from account"
318
Chapitre 17. Contacter le Support
WALLIX Bastion
Le support technique de WALLIX Bastion est joignable pour vous apporter son assistance du lundi
au vendredi (sauf jours fériés) de 08:00 à 19:00 CET, par les moyens suivants:
Web : https://support.wallix.com/
Téléphone : 01 70 36 37 50 (depuis la France) / +33 1 70 36 37 50 (depuis l'étranger)
319
Index sessions courantes en temps réel, 220

statistiques sur les connexions, 229
Authentification
authentification par certificat X509, 101
A Authentification par certificat X509, 101
Accréditations authentification X509, 106
changement automatique pour un compte cible, configuration, 102
168 configuration des utilisateurs, 105
changement manuel pour un compte cible, 169 désactiver, 108
politiques d'emprunt, 196 désinstaller, 108
Accueil, 39 gestion de l'OCSP, 104
ACL gestion des CRL, 103
présentation, 18 Authentifications externes, 109
Activation des services, 61 ajouter, 110
Algorithmes ajouter pour Kerberos, 110
chiffrement des données, 20 ajouter pour Kerberos-Password, 111
Antivirus ajouter pour LDAP, 112
configuration pour la vérification des fichiers ajouter pour PingID, 115
transférés avec ICAP pour RDP et SSH, 236 ajouter pour RADIUS, 115
API REST, 285 menu, 109
documentation, 285, 285 modifier, 116
générer une clé, 286 supprimer, 116
gestion de clé, 285 AutoIt
modifier une clé, 286 scripts, 142
supprimer une clé, 287 Autorisation
API REST SCIM , 285 mots de passe, 200
API REST WALLIX Bastion , 285 sessions, 214
Application Driver, 143 Autorisations, 258
canal virtuel, 143 ajouter, 258
Applications, 138 importer, 260
ajouter, 145 modifier, 260
ajouter un compte, 147 procédure d'approbation, 265
Application Driver, 143 supprimer, 260
configuration du serveur de rebond, 139 visualiser l'historique des approbations, 264
gérer les associations de ressources, 147 visualiser les approbations en cours, 263
importer, 147
menu, 138 B
mode RemoteApp, 140
Bienvenue, 39
modifier, 147
Bris de glace
scripts AutoIt, 142
configuration , 212
supprimer, 147
Audit
enregistrements de sessions, 223
C
gestion des sessions, 219 Canal virtuel, 143
historique des approbations, 227 Canaux virtuels dynamiques
historique des authentifications, 229 autorisation pour RDP, 239
historique des comptes, 226 rejet pour RDP, 239
historique des sessions, 221 Certificats
partage des sessions courantes RDP, 220 équipements, 133
prise de contrôle des sessions courantes RDP, Changement automatique des accréditations, 168
220 Changement manuel des accréditations, 169
recording options, 234 Chiffrement, 48
sessions courantes, 219 algorithmes, 20
menu, 48
320
passphrase, 48 configuration des paramètres de

phrase de chiffrement, 48 cryptographie RDP, 242
présentation, 20 configuration des paramètres de
Cibles cryptographie SSH, 241
applications, 138 gérer les associations de groupes de cibles,
ajouter, 145 133
ajouter un compte, 147 importer, 134
Application Driver, 143 lister/supprimer un domaine local, 129
configuration du serveur de rebond, 139 modifier, 133
gérer les associations de ressources, 147 options spécifiques RDP, 137
importer, 147 options spécifiques SSH, 136
mode RemoteApp, 140 scénario de connexion TELNET/RLOGIN, 240
modifier, 147 scénario de démarrage SSH, 242
scripts AutoIt, 142 supprimer, 133
supprimer, 147 supprimer les certificats, 133
clusters, 187 groupes de cibles, 173
ajouter, 188 ajouter, 173
importer, 189 configurer pour la connexion interactive, 176
modifier, 189 configurer pour la gestion des mots de passe
supprimer, 189 à partir d'un compte du coffre-fort, 177
compte cible sur un domaine global configurer pour la gestion des sessions à partir
ajouter, 161 d'un compte du coffre-fort, 174
compte cible sur un équipement configurer pour le mappage de compte, 175
ajouter, 164 configurer pour le scénario de démarrage de
compte cible sur une application la session SSH, 175
ajouter, 166 détection de motifs (ou « patterns ») sur le flux
comptes cibles, 160 RDP, 182
changer automatiquement les accréditations, détection de motifs (ou « patterns ») sur le flux
168 SSH, 177
changer manuellement les accréditations, 169 importer, 185
importer, 170 importer/exporter des restrictions, 184
modifier, 167 modifier, 185
supprimer, 169 supprimer, 185
domaines, 149 plugins de coffres-forts à mots de passe, 191
ajouter, 150 politiques d'emprunt, 196
ajouter un compte, 153 ajouter, 197
associer à une AC, 152 modifier, 198
associer à une Autorité de Certification SSH, supprimer, 199
152 CIDR
changer les mots de passe de tous les notation, 245
comptes, 154, 154 Clé d'API
importer, 155, 158 générer, 286
modifier, 152 modifier, 286
révoquer le certificat signé des comptes , 154 supprimer, 287
supprimer, 155 Clé SSH
équipements, 127 ajouter une politique d'emprunt, 197
ajouter, 127 changement automatique pour un compte cible,
ajouter/lister/modifier/supprimer un compte 168
global, 131 changement manuel pour un compte cible, 169
ajouter/lister/modifier/supprimer un compte modifier une politique d'emprunt, 198
local, 130 politiques d'emprunt, 196
ajouter/lister/modifier/supprimer un service, supprimer une politique d'emprunt, 199
128 Clusters, 187
321
ajouter, 188 vérifier l'intégrité des fichiers de log des

importer, 189 sessions, 279
menu, 187 Compte cible sur un domaine global
modifier, 189 ajouter, 161
supprimer, 189

Bastion Admin Guide FR

Transféré par

Informations du document

Titre original

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Bastion Admin Guide FR

Titre original :

Transféré par

Droits d'auteur :

BASTION DOCUMENTATION

WALLIX Bastion 8.0

Table des matières

8.3. Chiffrement ................................................................................................................ 48

9.5. Configuration de la politique de mot de passe local ................................................ 100

10.4.2. Ajouter un compte cible à un équipement .................................................. 164

12.19.3. Détection des connexions sortantes ......................................................... 254

14.26.1. Configurer le niveau de sécurité pour permettre la compatibilité du

16.3.26. Démarrage d'une session VNC ................................................................ 312

• Amazon Web Services (AWS),

WALLIX Bastion est soumis au contrat de licence logicielle WALLIX.

1.5. À propos de ce document

WALLIX fournit également en complément les documents suivants :

ACL Acronyme pour « Access Control List » (liste de contrôle

Connexion WALLIX Bastion Connexion initiée entre un utilisateur et WALLIX Bastion.

Un domaine global peut être associé à un coffre-fort externe

Scénario de connexion Scénario permettant d’automatiser une connexion vers un

• vérifiant les éléments d’authentification fournis par l’utilisateur,

Les protocoles aujourd’hui supportés sont :

• SSH (et ses sous-systèmes),

4.2. Positionnement de WALLIX Bastion dans

Figure 4.1. WALLIX Bastion dans l’infrastructure réseau

4.3. Concepts des ACL de WALLIX Bastion

Ces ACL sont constituées des objets suivants :

A ces entités primaires sont ajoutées des entités permettant de définir :

• les plages horaires de connexion

• la criticité de l’accès aux ressources cibles

• ce compte cible ou cet équipement est-il critique ?

4.5. Droits de l'utilisateur connecté à WALLIX

4.6. Chiffrement des données

Toutes les données sensibles sont chiffrées pour garantir la sécurité.

4.6.1. Administration avec le protocole HTTPS (interface

Chiffrement avec le protocole TLSv1.2 :

4.6.2. Administration avec le protocole SSH

Algorithmes de clé d'hôte du serveur :

4.6.3. Algorithmes des connexions primaires RDP (basés

Chiffrement avec le protocole TLSv1.2 :

4.6.4. Algorithmes des connexions primaires SSH

Algorithmes de clé d'hôte :

4.6.5. Algorithmes des connexions secondaires

5.2. WALLIX Password Manager

5.3. Coffre-fort externe à mots de passe

Pour plus d'informations, voir Section 8.14, « Haute Disponibilité », page 68.

Chapitre 6. Premiers pas avec WALLIX

6.1.2. Communication vers WALLIX Bastion

6.2. Connexion à WALLIX Bastion en ligne de

La procédure ci-dessous détaille les principales étapes de la configuration de la connexion à

Les informations d'identification configurées par défaut sont les suivantes :

• Mot de passe : SecureWabAdmin

5. Cinquième et dernière : définir la configuration réseau

6.3. Parcourir le menu de l'interface Web

Voir Section 7.3, « Paramétrer

Voir Section 12.1,

Menu Sous-menu Actions

Voir Section 12.3.1, « Sessions

Voir Section 12.3.4, « Historique

Voir Section 12.3.6, « Historique

Voir Section 12.3.7, « Historique

Voir Section 12.3.8,

Voir Section 9.1, « Comptes

Voir Section 9.2, « Groupes

Menu Sous-menu Actions

Voir Section 10.1,

Voir Section 10.2,

Voir Section 10.3,