Bastion Admin Guide FR

GUIDE D’ADMINISTRATION
WALLIX Bastion 9.0.5
Reference: https://doc.wallix.com/fr/bastion/9.0.5/Bastion-admin-guide
Copyright © 2021 WALLIX
WALLIX Bastion 9.0.5 – Guide d’Administration
Table des matières

1. Introduction .......................................................................................................................... 12
1.1. Préambule ................................................................................................................. 12
1.2. Copyright, Licences ................................................................................................... 12
1.3. Composants tiers ...................................................................................................... 12
1.4. Légende .................................................................................................................... 12
1.5. À propos de ce document ......................................................................................... 13
2. Compatibilités et limitations .................................................................................................. 14
3. Glossaire .............................................................................................................................. 15
4. Concepts .............................................................................................................................. 18
4.1. Généralités ................................................................................................................ 18
4.2. Positionnement de WALLIX Bastion dans l’infrastructure réseau ............................... 18
4.3. Concepts des ACL de WALLIX Bastion .................................................................... 19
4.4. Mise en production ................................................................................................... 20
4.5. Droits de l'utilisateur connecté à WALLIX Bastion ..................................................... 20
4.6. Chiffrement des données .......................................................................................... 21
4.6.1. Administration avec le protocole HTTPS (interface Web et API) ..................... 21
4.6.2. Administration avec le protocole SSH ............................................................ 21
4.6.3. Algorithmes des connexions primaires RDP (basés sur TLS) ......................... 22
4.6.4. Algorithmes des connexions primaires SSH ................................................... 23
4.6.5. Algorithmes des connexions secondaires ....................................................... 24
5. Fonctionnalités spécifiques .................................................................................................. 25
5.1. WALLIX Session Manager ........................................................................................ 25
5.2. WALLIX Password Manager ..................................................................................... 25
5.3. Coffre-fort externe à mots de passe ......................................................................... 25
5.4. Haute Disponibilité .................................................................................................... 26
6. Premiers pas avec WALLIX Bastion .................................................................................... 27
6.1. Configuration préalable des ports réseau TCP et UDP ............................................. 27
6.1.1. Communication depuis WALLIX Bastion ........................................................ 27
6.1.2. Communication vers WALLIX Bastion ............................................................ 27
6.2. Connexion à WALLIX Bastion en ligne de commande .............................................. 28
6.3. Parcourir le menu de l'interface Web ........................................................................ 30
6.4. Disponibilité des fonctionnalités spécifiques .............................................................. 37
6.4.1. Gestion des sessions ..................................................................................... 37
6.4.2. Gestion des mots de passe ........................................................................... 37
6.5. Gestion de la recherche, du tri des données et de la personnalisation de l'affichage
dans les tableaux de l'interface Web ............................................................................... 37
6.5.1. Recherche des données ................................................................................ 37
6.5.2. Tri des données ............................................................................................. 38
6.5.3. Personnalisation de l'affichage ....................................................................... 38
6.5.4. Suppression des données .............................................................................. 39
7. Connexion sur l'interface Web ............................................................................................. 40
7.1. Accès à l'interface Web d'administration ................................................................... 40
7.2. Description de la page de bienvenue ........................................................................ 42
7.3. Paramétrer les préférences utilisateur ....................................................................... 42
7.4. Résumé ..................................................................................................................... 44
8. Configuration de la machine ................................................................................................ 45
8.1. Configuration de l'interface ........................................................................................ 46
8.1.1. Configurer l'interface utilisateur Web .............................................................. 46
8.1.2. Configurer le délai de déconnexion de la session .......................................... 47
8.1.3. Configurer le mode debug ............................................................................. 47
8.1.4. Configurer l'OEM ............................................................................................ 47
2
8.2. Licence ..................................................................................................................... 50

8.2.1. Gérer la clé de licence via la ligne de commande .......................................... 52
8.2.2. Gérer l'envoi de notifications .......................................................................... 52
8.3. Chiffrement ................................................................................................................ 52
8.4. Statut du système ..................................................................................................... 54
8.5. Journaux et logs système ......................................................................................... 55
8.6. Réseau ..................................................................................................................... 55
8.7. Service de temps ...................................................................................................... 58
8.8. Stockage distant ....................................................................................................... 59
8.9. Intégration SIEM ....................................................................................................... 60
8.10. SNMP ...................................................................................................................... 61
8.11. Contrôle des services .............................................................................................. 64
8.11.1. Mappage des services ................................................................................. 65
8.11.2. Activation des services ................................................................................. 66
8.12. Serveur SMTP ........................................................................................................ 67
8.13. Sauvegarde et restauration ..................................................................................... 68
8.13.1. Restauration des fichiers de configuration .................................................... 69
8.13.2. Sauvegarde/Restauration en ligne de commande ........................................ 70
8.13.3. Configuration de la sauvegarde automatique ............................................... 71
8.13.4. Purge de la sauvegarde automatique ........................................................... 72
8.14. Haute Disponibilité .................................................................................................. 73
8.14.1. Limitations d’exploitation et prérequis ........................................................... 73
8.14.2. Configuration du cluster ............................................................................... 74
8.14.3. Démarrage du cluster ................................................................................... 75
8.14.4. Arrêt/Redémarrage du cluster ...................................................................... 75
8.14.5. Reprise sur une erreur fatale (WALLIX Bastion HA is locked down) .............. 75
8.14.6. Coupures réseau et Split-Brain .................................................................... 76
8.14.7. Reconfiguration réseau du cluster ................................................................ 76
8.14.8. Remplacement d’une machine défectueuse ................................................. 77
8.14.9. Récupération d’un volume défectueux .......................................................... 77
8.14.10. Tests de bon fonctionnement de la Haute Disponibilité ............................... 77
9. Utilisateurs ........................................................................................................................... 81
9.1. Comptes utilisateurs .................................................................................................. 81
9.1.1. Ajouter un utilisateur ...................................................................................... 82
9.1.2. Modifier un utilisateur ..................................................................................... 84
9.1.3. Supprimer un utilisateur ................................................................................. 84
9.1.4. Visualiser les droits d'un utilisateur sur l'interface Web ................................... 85
9.1.5. Visualiser les équipements, applications et comptes cibles accessibles par
un utilisateur ............................................................................................................. 85
9.1.6. Importer des utilisateurs ................................................................................. 85
9.2. Groupes utilisateurs .................................................................................................. 92
9.2.1. Ajouter un groupe utilisateurs ........................................................................ 92
9.2.2. Modifier un groupe utilisateurs ....................................................................... 93
9.2.3. Supprimer un groupe utilisateurs ................................................................... 94
9.2.4. Visualiser les membres d’un groupe utilisateurs ............................................. 94
9.2.5. Importer des groupes utilisateurs ................................................................... 94
9.3. Profils utilisateurs ...................................................................................................... 95
9.3.1. Profils par défaut ............................................................................................ 95
9.3.2. Ajouter un profil utilisateur ............................................................................. 96
9.3.3. Modifier un profil utilisateur ............................................................................ 98
9.3.4. Supprimer un profil utilisateur ........................................................................ 98
9.3.5. Importer des profils utilisateurs ...................................................................... 98
9.4. Politique de conservation des données utilisateur ................................................... 103
3
9.5. Configuration des notifications ................................................................................ 104

9.5.1. Ajouter une notification ................................................................................. 105
9.5.2. Modifier une notification ............................................................................... 106
9.5.3. Supprimer une notification ............................................................................ 106
9.5.4. Créer des modèles de notifications personnalisées ...................................... 106
9.6. Configuration de la politique de mots de passe locaux ............................................ 109
9.7. Configuration de l'authentification par certificat X509 .............................................. 111
9.7.1. Activation de l'authentification par certificat X509 ......................................... 111
9.7.2. Gestion de la liste de révocation de certificats (CRL) ................................... 113
9.7.3. Gestion du protocole de vérification de certificat en ligne (OCSP) ................ 114
9.7.4. Configuration de l'authentification des utilisateurs ........................................ 115
9.7.5. Authentification X509 ................................................................................... 116
9.7.6. Désactivation et désinstallation du mode d'authentification par certificat
X509 ....................................................................................................................... 118
9.8. Configuration des authentifications externes ........................................................... 119
9.8.1. Ajouter une authentification externe ............................................................. 120
9.8.2. Modifier une authentification externe ............................................................ 126
9.8.3. Supprimer une authentification externe ........................................................ 126
9.9. Configuration de l'intégration avec un domaine LDAP ou Active Directory ............... 127
9.9.1. Ajouter un domaine LDAP/AD ...................................................................... 127
9.9.2. Modifier un domaine LDAP/AD .................................................................... 132
9.9.3. Supprimer un domaine LDAP/AD ................................................................. 132
9.9.4. Importer des domaines LDAP/AD ................................................................ 133
9.9.5. Importer des correspondances LDAP/AD sur les groupes utilisateurs ........... 135
10. Cibles ............................................................................................................................... 138
10.1. Équipements ......................................................................................................... 138
10.1.1. Ajouter un équipement ............................................................................... 138
10.1.2. Modifier un équipement .............................................................................. 145
10.1.3. Utiliser les étiquettes pour organiser les équipements ................................ 145
10.1.4. Supprimer un équipement .......................................................................... 147
10.1.5. Importer des équipements .......................................................................... 147
10.1.6. Options spécifiques du protocole SSH ....................................................... 149
10.1.7. Options spécifiques du protocole RDP ....................................................... 150
10.2. Applications ........................................................................................................... 151
10.2.1. Configuration du serveur de rebond ........................................................... 152
10.2.2. Configuration du lancement de l'application en mode RemoteApp .............. 153
10.2.3. Automatisation des connexions à une application via les scripts AutoIt ....... 155
10.2.4. Automatisation des connexions à une application Web via WALLIX
Application Driver ................................................................................................... 156
10.2.5. Ajouter une application ............................................................................... 162
10.2.6. Modifier une application ............................................................................. 163
10.2.7. Supprimer une application .......................................................................... 163
10.2.8. Ajouter un compte sur une application ....................................................... 163
10.2.9. Gérer les associations de ressources avec l'application ............................. 164
10.2.10. Importer des applications ......................................................................... 164
10.3. Domaines .............................................................................................................. 166
10.3.1. Ajouter un domaine global ......................................................................... 167
10.3.2. Associer le domaine à une Autorité de Certification SSH ............................ 168
10.3.3. Modifier un domaine global ou local ........................................................... 169
10.3.4. Ajouter un compte sur un domaine global ou local ..................................... 170
10.3.5. Changer les mots de passe de tous les comptes d'un domaine global ........ 170
10.3.6. Changer les mots de passe de tous les comptes d'un domaine local .......... 171
4
10.3.7. Révoquer le certificat signé des comptes d'un domaine associé à une
Autorité de Certification .......................................................................................... 171
10.3.8. Supprimer un domaine global .................................................................... 171
10.3.9. Importer des domaines globaux ................................................................. 172
10.3.10. Importer des domaines locaux ................................................................. 175
10.4. Comptes cibles ..................................................................................................... 177
10.4.1. Ajouter un compte cible à un domaine global ............................................. 178
10.4.2. Ajouter un compte cible à un équipement .................................................. 181
10.4.3. Ajouter un compte cible à une application .................................................. 184
10.4.4. Modifier un compte cible ............................................................................ 185
10.4.5. Changer automatiquement les accréditations pour un ou plusieurs
comptes .................................................................................................................. 186
10.4.6. Changer manuellement les accréditations d'un compte cible donné ............ 186
10.4.7. Supprimer un compte cible ........................................................................ 187
10.4.8. Importer des comptes cibles ...................................................................... 187
10.5. Groupes de cibles ................................................................................................. 191
10.5.1. Ajouter un groupe de cibles ....................................................................... 191
10.5.2. Modifier un groupe de cibles ...................................................................... 203
10.5.3. Supprimer un groupe de cibles .................................................................. 203
10.5.4. Importer des groupes de cibles .................................................................. 203
10.6. Clusters ................................................................................................................. 205
10.6.1. Ajouter un cluster ....................................................................................... 205
10.6.2. Modifier un cluster ...................................................................................... 206
10.6.3. Supprimer un cluster .................................................................................. 206
10.6.4. Importer des clusters .................................................................................. 206
10.7. Plugins de coffres-forts externes à mots de passe ................................................ 208
10.7.1. Plugin Bastion ............................................................................................ 209
10.7.2. Plugin CyberArk Enterprise Password Vault ............................................... 209
10.7.3. Plugin HashiCorp Vault .............................................................................. 210
10.7.4. Plugin Thycotic Secret Server .................................................................... 212
10.8. Politiques d'emprunt .............................................................................................. 214
10.8.1. Ajouter une politique d'emprunt .................................................................. 215
10.8.2. Modifier une politique d'emprunt ................................................................. 216
10.8.3. Supprimer une politique d'emprunt ............................................................. 217
10.9. Auto-découverte .................................................................................................... 217
10.9.1. Configurer un scan de réseau .................................................................... 218
10.9.2. Configurer un scan d'annuaire Active Directory .......................................... 218
10.9.3. Lancer un scan manuellement ................................................................... 220
10.9.4. Configurer un lancement de scan périodique ............................................. 220
10.9.5. Visualiser les résultats d'un job de scan ..................................................... 220
10.9.6. Intégrer les équipements découverts dans WALLIX Bastion ....................... 221
11. Gestion des mots de passe ............................................................................................. 223
11.1. Autorisations de l'utilisateur sur les mots de passe ................................................ 223
11.1.1. Accès aux mots de passe via une procédure d'approbation ........................ 224
11.2. Plugins de changement des mots de passe .......................................................... 225
11.2.1. Matrice des plugins .................................................................................... 226
11.2.2. Plugin Cisco ............................................................................................... 230
11.2.3. Plugin Dell iDRAC ...................................................................................... 230
11.2.4. Plugin Fortinet FortiGate ............................................................................ 230
11.2.5. Plugin IBM 3270 ......................................................................................... 230
11.2.6. Plugin Juniper SRX .................................................................................... 233
11.2.7. Plugin LDAP ............................................................................................... 233
11.2.8. Plugin MySQL ............................................................................................ 234
5
11.2.9. Plugin Oracle .............................................................................................. 234

11.2.10. Plugin Palo Alto PA-500 ........................................................................... 234
11.2.11. Plugin Unix ............................................................................................... 234
11.2.12. Plugin Windows ........................................................................................ 235
11.2.13. Plugin WindowsService ............................................................................ 236
11.3. Politiques de changement des mots de passe ...................................................... 236
11.3.1. Ajouter une politique de changement des mots de passe ........................... 237
11.3.2. Modifier une politique de changement des mots de passe .......................... 239
11.3.3. Supprimer une politique de changement des mots de passe ...................... 239
11.4. Configuration du mode « bris de glace » ............................................................... 239
12. Gestion des sessions ....................................................................................................... 241
12.1. Autorisations de l'utilisateur sur les sessions ......................................................... 241
12.1.1. Options spécifiques pour les sessions SSH ............................................... 242
12.1.2. Options spécifiques pour les sessions RDP ............................................... 242
12.1.3. Accès aux sessions via une procédure d'approbation ................................. 243
12.2. Connexion à la cible en mode interactif pour les protocoles SCP et SFTP ............. 245
12.3. Données d'audit .................................................................................................... 246
12.3.1. Sessions courantes .................................................................................... 246
12.3.2. Visualisation en temps réel des sessions courantes ................................... 247
12.3.3. Partage et prise de contrôle à distance des sessions courantes RDP ......... 248
12.3.4. Historique des sessions ............................................................................. 249
12.3.5. Enregistrements de sessions ..................................................................... 251
12.3.6. Historique des comptes .............................................................................. 255
12.3.7. Historique des approbations ....................................................................... 256
12.3.8. Historique des authentifications .................................................................. 257
12.3.9. Statistiques sur les connexions .................................................................. 258
12.4. Politiques de connexion ........................................................................................ 260
12.4.1. Ajouter une politique de connexion ............................................................ 261
12.4.2. Modifier une politique de connexion ........................................................... 262
12.4.3. Supprimer une politique de connexion ....................................................... 263
12.5. Options des enregistrements de sessions ............................................................. 263
12.6. Règle de transformation pour la récupération d'un identifiant pour la connexion
secondaire ...................................................................................................................... 263
12.7. Règle de transformation pour la récupération des accréditations d'un compte
dans le coffre-fort de WALLIX Bastion ........................................................................... 264
12.8. Utilisation d'un logiciel antivirus ou d'une solution DLP (Data Loss Prevention)
avec ICAP ...................................................................................................................... 265
12.8.1. Configuration de la connexion vers les serveurs ICAP ............................... 266
12.8.2. Activation de la vérification des fichiers ...................................................... 266
12.8.3. Blocage du transfert des fichiers en cas d'invalidité lors de la vérification .... 267
12.8.4. Activation de la sauvegarde de fichiers en cas d'invalidité lors de la
vérification .............................................................................................................. 267
12.9. Activation de la sauvegarde des fichiers transférés au cours de la session RDP
ou SSH .......................................................................................................................... 268
12.10. Configuration de l'authentification cible par carte à puce pour le protocole RDP ... 268
12.11. Mise en place d'un silo d'authentification AD ....................................................... 269
12.11.1. Description générale ................................................................................. 269
12.11.2. Procédure ................................................................................................. 269
12.12. Configuration des données sensibles enregistrées dans les logs pour le
protocole RDP ................................................................................................................ 271
12.13. Autorisation ou rejet des canaux virtuels dynamiques pour le protocole RDP ....... 271
12.14. Configuration du log de toutes les entrées clavier pour les protocoles RLOGIN,
SSH et TELNET ............................................................................................................. 272
6
12.15. Scénario de connexion TELNET/RLOGIN sur un équipement cible ..................... 273

12.16. Configuration des algorithmes de cryptographie pris en charge sur les
équipements cibles ......................................................................................................... 274
12.16.1. Paramètres de cryptographie SSH sur les équipements cibles ................. 274
12.16.2. Paramètres de cryptographie RDP sur les équipements cibles ................. 274
12.17. Scénario de démarrage SSH sur un équipement cible ........................................ 275
12.17.1. Commandes ............................................................................................. 275
12.17.2. Token ou « jeton » .................................................................................... 276
12.17.3. Configuration du scénario de démarrage SSH .......................................... 277
12.18. Configuration du mode transparent pour les proxies RDP et SSH ....................... 278
12.19. Configuration de la fonctionnalité KeepAlive pour les proxies .............................. 279
12.19.1. Configuration de la fonctionnalité KeepAlive pour la liaison entre le proxy
RDP et le client RDP ............................................................................................. 279
SSH et le client SSH ............................................................................................. 279
SSH et le serveur cible SSH .................................................................................. 280
12.20. Utilisation du mode « session probe » ................................................................ 280
12.20.1. Mode de fonctionnement par défaut ......................................................... 281
12.20.2. Choix du lanceur ...................................................................................... 281
12.20.3. Prérequis .................................................................................................. 282
12.20.4. Configuration ............................................................................................ 282
12.20.5. Lancement du mode « session probe » depuis un répertoire spécifique .... 287
12.21. Utilisation du mode « session probe » avec l'agent WALLIX BestSafe ................. 288
12.21.1. Activation de l'interaction avec l'agent WALLIX BestSafe .......................... 288
12.21.2. Log des évènements ................................................................................ 288
12.21.3. Détection des connexions sortantes ......................................................... 288
12.21.4. Détection du lancement de processus ...................................................... 288
12.22. Répartition de charge avec Remote Desktop Connection Broker ......................... 288
12.22.1. Prérequis .................................................................................................. 289
12.22.2. Configuration ............................................................................................ 290
12.23. Messages de connexion ..................................................................................... 290
13. Tableaux de bord ............................................................................................................. 292
13.1. Tableau de bord d'administration ........................................................................... 292
13.1.1. Visualisation des données sur l'onglet « Live » ........................................... 292
13.1.2. Visualisation des données sur l'onglet « KPIs » .......................................... 293
13.1.3. Fonctionnalités communes ......................................................................... 294
13.2. Tableau de bord d'audit ......................................................................................... 295
13.2.1. Visualisation des données .......................................................................... 295
13.2.2. Fonctionnalités communes ......................................................................... 296
14. Gestion des autorisations ................................................................................................. 298
14.1. Ajouter une autorisation ........................................................................................ 298
14.2. Modifier une autorisation ....................................................................................... 299
14.3. Supprimer une autorisation ................................................................................... 299
14.4. Importer des autorisations ..................................................................................... 300
14.5. Visualiser les approbations en cours ..................................................................... 302
14.6. Visualiser l'historique des approbations ................................................................. 303
14.7. Procédure d'approbation ....................................................................................... 305
14.7.1. Configuration de la procédure .................................................................... 305
14.7.2. Étapes de la procédure .............................................................................. 306
14.8. Configuration des plages horaires ......................................................................... 307
14.8.1. Ajouter une plage horaire ........................................................................... 307
14.8.2. Modifier une plage horaire ......................................................................... 308
7
14.8.3. Supprimer une plage horaire ...................................................................... 308

15. Commandes spécifiques .................................................................................................. 309
15.1. Se connecter à WALLIX Bastion en ligne de commande ....................................... 310
15.2. Restaurer la configuration d'usine de WALLIX Bastion .......................................... 310
15.3. Restaurer le compte administrateur d'usine .......................................................... 311
15.4. Changer le mot de passe du compte administrateur d'usine .................................. 311
15.5. Réinitialiser le chiffrement des données de WALLIX Bastion ................................. 311
15.6. Obtenir les informations de version de WALLIX Bastion ........................................ 312
15.7. Changer la disposition du clavier .......................................................................... 312
15.8. Obtenir l'URL de la GUI ........................................................................................ 312
15.9. Changer le mot de passe GRUB .......................................................................... 312
15.10. Changer la configuration réseau ......................................................................... 312
15.11. Changer la configuration du niveau de sécurité ................................................... 313
15.12. Configurer les services ........................................................................................ 313
15.13. Configurer la Haute Disponibilité (également appelée « High-Availability » ou «
HA ») .............................................................................................................................. 314
15.14. Générer le rapport sur l'état du système ............................................................. 314
15.15. Gérer la clé de licence ........................................................................................ 314
15.16. Utiliser WABConsole pour changer le mot de passe de l'utilisateur ...................... 314
15.17. Afficher le contenu des logs de "journalctl" ......................................................... 315
15.18. Exporter et/ou purger les enregistrements de sessions manuellement ................. 315
15.19. Exporter et/ou purger les enregistrements de sessions automatiquement ............ 317
15.20. Déplacer les enregistrements de sessions depuis un stockage local vers un
stockage distant ............................................................................................................. 318
15.21. Ré-importer les enregistrements de sessions archivés ........................................ 319
15.22. Vérifier l'intégrité des fichiers de log des sessions ............................................... 319
15.23. Changer l’identification des serveurs cibles ......................................................... 320
15.24. Configurer les options TLS pour l'authentification externe LDAP ......................... 320
15.25. Configurer le client TLS pour l'intégration SIEM .................................................. 320
15.26. Changer les certificats auto-signés des services ................................................. 321
15.26.1. Changer le certificat de l'interface Web et de l'API ................................... 321
15.26.2. Changer le certificat du proxy RDP .......................................................... 322
15.26.3. Changer la clé serveur du proxy SSH ...................................................... 322
15.27. Configurer la cryptographie des services ............................................................ 323
15.27.1. Configurer le niveau de sécurité pour permettre la compatibilité du
protocole RDP ........................................................................................................ 323
15.27.2. Configurer le niveau de sécurité pour permettre la compatibilité du
protocole SSH ........................................................................................................ 323
15.27.3. Restaurer les paramètres de cryptographie par défaut ............................. 324
15.28. Mettre à jour la liste de révocation CRL (Certificate Revocation List) ................... 324
16. Configuration de l'intégration avec le connecteur WALLIX Trustelem ............................... 325
17. Web Services API REST ................................................................................................. 326
17.1. Documentation de l'API REST WALLIX Bastion .................................................... 326
17.2. Documentation de l'API REST SCIM .................................................................... 326
17.3. Gestion de clés d'API REST ................................................................................. 326
17.3.1. Générer une clé d’API ................................................................................ 327
17.3.2. Modifier une clé d’API ................................................................................ 327
17.3.3. Supprimer une clé d’API ............................................................................ 328
18. Messages SIEM ............................................................................................................... 329
18.1. Logs d'authentification ........................................................................................... 329
18.1.1. Authentification réussie .............................................................................. 329
18.1.2. Échec d'authentification .............................................................................. 329
18.1.3. Interruption d'authentification (soit par le client soit par l'utilisateur) ............. 330
8
18.2. Logs de l'interface Web de WALLIX Bastion ......................................................... 330

18.2.1. Type d'objet : Compte ................................................................................ 330
18.2.2. Type d'objet : Activité du compte (Audit) .................................................... 330
18.2.3. Type d'objet : Historique du compte (Audit) ................................................ 331
18.2.4. Type d'objet : Réponse de la demande d'approbation ................................ 331
18.2.5. Type d'objet : Clé d'API .............................................................................. 331
18.2.6. Type d'objet : Application ............................................................................ 331
18.2.7. Type d'objet : Chemin de l'application ........................................................ 332
18.2.8. Type d'objet : Approbation .......................................................................... 332
18.2.9. Type d'objet : Autorisation .......................................................................... 332
18.2.10. Type d'objet : Sauvegarde/Restauration ................................................... 333
18.2.11. Type d'objet : Politiques d'emprunt ........................................................... 333
18.2.12. Type d'objet : Cluster ................................................................................ 333
18.2.13. Type d'objet : Politique de connexion ....................................................... 334
18.2.14. Type d'objet : Informations de changement des accréditations .................. 334
18.2.15. Type d'objet : Politique de changement de mot de passe ......................... 335
18.2.16. Type d'objet : Équipement ........................................................................ 335
18.2.17. Type d'objet : Domaine global .................................................................. 335
18.2.18. Type d'objet : Domaine LDAP .................................................................. 335
18.2.19. Type d'objet : Correspondance LDAP ....................................................... 336
18.2.20. Type d'objet : Domaine local .................................................................... 336
18.2.21. Type d'objet : Notification ......................................................................... 336
18.2.22. Type d'objet : Période ............................................................................... 337
18.2.23. Type d'objet : Profil ................................................................................... 337
18.2.24. Type d'objet : Politique du mot de passe local .......................................... 337
18.2.25. Type d'objet : Options d'enregistrement .................................................... 337
18.2.26. Type d'objet : Restriction .......................................................................... 338
18.2.27. Type d'objet : Service ............................................................................... 338
18.2.28. Type d'objet : Logs des sessions .............................................................. 338
18.2.29. Type d'objet : Groupe de cibles ................................................................ 338
18.2.30. Type d'objet : Plage horaire ...................................................................... 339
18.2.31. Type d'objet : Utilisateur ........................................................................... 339
18.2.32. Type d'objet : Authentification externe ...................................................... 339
18.2.33. Type d'objet : Groupe utilisateurs ............................................................. 340
18.2.34. Type d'objet : Paramètres X509 (CRL) ..................................................... 340
18.3. Logs du service SSH ............................................................................................ 340
18.3.1. Flux d'une session réussie ......................................................................... 340
18.3.2. Flux d'un échec de connexion : connexion refusée, machine éteinte ou
service indisponible ................................................................................................ 342
18.3.3. Flux d'un échec de connexion : cible invalide ou accès refusé .................... 342
18.3.4. Ouverture de session réussie ..................................................................... 343
18.3.5. Échec de l'ouverture de session ................................................................ 343
18.3.6. Déconnexion de la session ........................................................................ 343
18.3.7. Évènements sur un canal ........................................................................... 343
18.3.8. Évènements de type requête ..................................................................... 344
18.3.9. Détection de motif sur un shell ou une commande à distance .................... 345
18.3.10. Détection de commande sur des équipements Cisco ............................... 345
18.3.11. Actions SFTP ........................................................................................... 346
18.3.12. Restriction de taille de fichier sur SFTP ................................................... 346
18.3.13. Début de transfert de fichier sur SFTP ..................................................... 346
18.3.14. Fin de transfert de fichier sur SFTP avec taille et hachage du fichier ......... 346
18.3.15. Restriction de taille de fichier sur SCP ..................................................... 346
18.3.16. Début de transfert de fichier sur SCP ....................................................... 347
9
18.3.17. Fin de transfert de fichier sur SCP avec taille et hachage du fichier .......... 347
18.3.18. Entrée saisie au clavier par l’utilisateur .................................................... 347
18.3.19. Export de la mention d'appartenance au groupe pour le compte cible
dans les méta-données de la session .................................................................... 347
18.3.20. Vérification de fichier par le serveur ICAP ................................................ 347
18.4. Logs du service RDP ............................................................................................ 348
18.4.1. Flux d'un échec de connexion : connexion refusée, machine éteinte ou
service indisponible ................................................................................................ 348
18.4.2. Flux d'un échec de connexion : cible invalide ou accès refusé .................... 348
18.4.3. Ouverture de session réussie ..................................................................... 349
18.4.4. Transfert de fichier via le presse-papier ..................................................... 349
18.4.5. Téléchargement de fichier via le presse-papier .......................................... 350
18.4.6. Transfert de données via le presse-papier (telles que image, son, etc. sauf
texte au format Unicode ou données locales) ........................................................ 350
18.4.7. Téléchargement de données via le presse-papier (telles que image, son,
etc. sauf texte au format Unicode ou données locales) .......................................... 350
18.4.8. Transfert de données via le presse-papier (telles que texte au format
Unicode ou données locales) ................................................................................. 350
18.4.9. Téléchargement de données via le presse-papier (telles que texte au
format Unicode ou données locales) ...................................................................... 350
18.4.10. Lecture d'un fichier du poste de travail depuis le serveur .......................... 351
18.4.11. Écriture d'un fichier du poste de travail par le serveur ............................... 351
18.4.12. Déconnexion de la session par la cible .................................................... 351
18.4.13. Session terminée par le proxy .................................................................. 352
18.4.14. Fin de session en cours ........................................................................... 352
18.4.15. Barres de titre des fenêtres telles que détectées par le mode « session
probe » ................................................................................................................... 352
18.4.16. Barres de titre des fenêtres telles que détectées par l'OCR ...................... 353
18.4.17. Saisies clavier de l'utilisateur traduites dans la langue d'utilisation
actuelle ................................................................................................................... 353
18.4.18. Clic sur un bouton dans une fenêtre ........................................................ 353
18.4.19. Modification du texte dans un champ textuel d'une fenêtre ....................... 353
18.4.20. Focus sur et en dehors d'un champ de mot de passe .............................. 353
18.4.21. Focus sur et en dehors d'un champ de saisie non identifié ....................... 353
18.4.22. Nouvelles fenêtres activées telles que détectées par le mode « session
probe » ................................................................................................................... 354
18.4.23. Changement de disposition du clavier ...................................................... 354
18.4.24. Création d'un nouveau processus ............................................................ 354
18.4.25. Fin d'un processus ................................................................................... 354
18.4.26. Blocage d'un processus ........................................................................... 354
18.4.27. Démarrage d'une session VNC ................................................................ 354
18.4.28. Fin d'une session VNC ............................................................................. 355
18.4.29. Affichage de l'invite UAC .......................................................................... 355
18.4.30. Correspondance du certificat X509 du serveur ......................................... 355
18.4.31. Connexion au serveur autorisée ............................................................... 355
18.4.32. Nouveau certificat X509 créé ................................................................... 355
18.4.33. Échec de correspondance du certificat X509 du serveur .......................... 356
18.4.34. Erreur interne du certificat X509 ............................................................... 356
18.4.35. Création de ticket Kerberos ...................................................................... 356
18.4.36. Suppression de ticket Kerberos ................................................................ 356
18.4.37. État des cases à cocher dans les méta-données collectées par le mode
« session probe » ................................................................................................... 356
18.4.38. Données de navigation Web collectées par le mode « session probe » ..... 357
10
18.4.39. Export de la mention d'appartenance au groupe pour le compte cible

dans les méta-données de la session .................................................................... 358
18.4.40. Vérification de fichier par le serveur ICAP ................................................ 358
18.4.41. Ouverture du canal virtuel dynamique ...................................................... 359
18.5. Logs du système ................................................................................................... 359
18.5.1. Intégrité des fichiers de log des sessions ................................................... 359
18.5.2. Changements de la configuration système ................................................. 360
18.6. Logs des activités du coffre-fort ............................................................................ 361
19. Contacter le Support WALLIX Bastion ............................................................................. 362
Index ...................................................................................................................................... 363
11
Chapitre 1. Introduction
1.1. Préambule
Nous vous remercions d'avoir choisi WALLIX Bastion.
La solution WALLIX Bastion est commercialisée sous la forme d'un serveur dédié prêt à l'emploi
ou sous la forme d'une machine virtuelle pour environnements virtuels suivants :
• Amazon Web Services (AWS),

• Google Cloud Platform (GCP),
• Kernel-based Virtual Machine (KVM),
• Microsoft Azure,
• Microsoft Hyper-V,
• OpenStack,
• VMware vSphere.
Les équipes WALLIX ont apporté le plus grand soin à l'élaboration de ce produit et souhaitent qu'il
vous apporte entière satisfaction.
1.2. Copyright, Licences
Le présent document est la propriété de la société WALLIX et ne peut être reproduit sans son
accord préalable.
Tous les noms de produits ou de sociétés cités dans le présent document sont des marques
déposées de leurs propriétaires respectifs.
WALLIX Bastion est soumis au contrat de licence logicielle WALLIX.
WALLIX Bastion est basé sur des logiciels libres. La liste et le code source des logiciels sous
licence GPL et LGPL utilisés par WALLIX Bastion sont disponibles auprès de WALLIX. Pour les
obtenir, il suffit d'en faire une demande par internet en créant une requête à l'adresse https://
support.wallix.com/ ou par écrit à l'adresse suivante :
WALLIX
Service Support
250 bis, Rue du Faubourg Saint-Honoré
75008 PARIS
FRANCE
1.3. Composants tiers
Veuillez vous référer au document Third-Party Components pour obtenir la liste des paquets
modifiés par WALLIX et les informations relatives aux termes des contrats de licence.
1.4. Légende
prompt $ commande à taper <paramètre à remplacer>
12
retour de la commande
sur une ou plusieurs lignes
prompt $
1.5. À propos de ce document

Ce document constitue le Guide d’Administration de WALLIX Bastion 9.0.5. Il vous sera utile pour
configurer WALLIX Bastion avant sa mise en production, mais également dans son administration
et son exploitation au quotidien.
WALLIX fournit également en complément les documents suivants :
• un Guide de Démarrage Rapide pour vous assister lors du premier démarrage de l'appareil
(machine physique ou virtuelle) pour sa configuration ou encore pour vous indiquer comment
accéder aux images pour le déploiement de WALLIX Bastion sur les environnements virtuels ;
• un Guide Utilisateur pour vous guider dans votre utilisation de WALLIX Bastion en vue d'accéder
aux équipements que vous administrez.
Ces documents peuvent être téléchargés depuis le site du Support WALLIX (https://
support.wallix.com/).
13
Chapitre 2. Compatibilités et limitations
Veuillez vous référer au document Release Notes pour vérifier la compatibilité de WALLIX Bastion
9.0.5 avec différents clients ou cibles et obtenir plus d'informations sur les limitations, les problèmes
connus et également les prérequis techniques et les nouvelles fonctionnalités de cette nouvelle
version.
Il n'est pas recommandé de modifier la configuration de votre système ou d'installer un autre logiciel
car cette action pourrait nuire au bon fonctionnement de votre WALLIX Bastion. Toute installation
d'outils ou de programmes doit uniquement être effectuée sur les instructions de l’Équipe Support.
Pour plus d'informations, voir Chapitre 19, « Contacter le Support WALLIX Bastion », page 362.
14
Chapitre 3. Glossaire
Au cours de votre utilisation de WALLIX Bastion et au fur et à mesure que vous avancerez dans
la lecture de ce document, vous allez être amené(e) à rencontrer les termes techniques suivants.
Cette liste n'est pas exhaustive.
ACL Acronyme pour « Access Control List » (liste de contrôle

d’accès). Se dit d’un système permettant de gérer de manière
fine les accès à une ressource (que celle-ci soit un équipement,
un fichier, etc...).
Application cible Une application cible est caractérisée par l'association des
entités suivantes : une application et un compte.
Authentification externe Authentification pilotée par un annuaire externe à WALLIX
Bastion.
Authentification locale Authentification pilotée par WALLIX Bastion.
Cible Voir Application cible et Compte cible.
Coffre-fort à mots de passe Structure gérant des comptes. La définition de politiques permet
de configurer cette structure et de renforcer l'utilisation du
compte.
Coffre-fort externe à mots de Structure externe gérant des comptes.
passe
Compte Entité (gérée par WALLIX Bastion ou un coffre-fort externe à
mots de passe) permettant à un utilisateur de s'authentifier sur
un système et de se voir attribuer un niveau d'autorisation défini
pour accéder aux ressources de ce système, à des fins de
gestion. Un compte appartient à un domaine.
Compte cible Un compte cible est caractérisé par l'association des entités
suivantes : un équipement et un service et un compte.
Compte de scénario Compte cible utilisable par un scénario de démarrage au début
de la session SSH.
Connexion à une cible Connexion initiée entre WALLIX Bastion et un compte cible.
(également appelée
« Connexion secondaire »)
Connexion interactive Mécanisme permettant à l'utilisateur de saisir dynamiquement
son identifiant et le mot de passe secondaire sur le sélecteur
du client proxy (RDP ou SSH) pour accéder à une ressource.
Les informations d'identification renseignées par l'utilisateur sur
ce sélecteur sont alors utilisées par le proxy pour authentifier
la session sur la ressource distante. Une ressource peut être
un service spécifique sur un équipement, ou une application
(fonctionnant sur un serveur de rebond ou un cluster).
Au préalable, l'accès à cette ressource par authentification
interactive doit être autorisé pour cet utilisateur et un compte
avec les mêmes identifiant et mot de passe doit exister sur cette
ressource.
Connexion primaire Voir Connexion WALLIX Bastion.
Connexion secondaire Voir Connexion à une cible.
15
Connexion WALLIX Bastion Connexion initiée entre un utilisateur et WALLIX Bastion.

(également appelée
« Connexion primaire »)
Domaine global Entité de gestion regroupant une multitude de comptes cibles
pouvant être utilisés pour l'authentification sur une multitude
d'équipements. Un processus de changement du mot de passe
(politique et plugin de changement) peut être déployé sur tous
les comptes du domaine global.
Un domaine global peut être associé à un coffre-fort externe

à mots de passe. Dans ce cas, ce domaine regroupe des
comptes gérés par une entité externe via l'association d'un
plugin de coffre-fort externe. Par conséquent, un mécanisme de
changement de mot de passe ne peut pas être déployé sur les
comptes affiliés au sein de WALLIX Bastion.
Domaine local Entité de gestion regroupant une multitude de comptes cibles
pouvant être utilisés pour l'authentification sur un seul et unique
équipement. Un processus de changement du mot de passe
(politique et plugin de changement) peut être déployé sur tous
les comptes du domaine local.
Équipement Équipement physique ou virtuel pour lequel WALLIX Bastion
gère l'accès aux sessions ou mots de passe.
Emprunt Opération consistant à récupérer et afficher les accréditations
d'un compte donné. Le verrouillage du compte peut être
paramétré lors de cette opération afin d'empêcher une utilisation
concomitante par plusieurs utilisateurs.
Mappage de compte (ou Mécanisme permettant à un utilisateur de se connecter à
« Account mapping ») une ressource en utilisant ses informations d'identification
(identifiant et mot de passe). Ceci est particulièrement utile
lorsque le compte utilisateur est déclaré sur un annuaire
d’entreprise et qu’il possède des accès sur la ressource cible.
Les accréditations primaires (identifiant et mot de passe) sont
alors utilisées par un client RDP ou SSH pour authentifier une
session sur la ressource distante. Une ressource peut être
un service spécifique sur un équipement ou une application
(fonctionnant sur un serveur de rebond ou un cluster). Au
préalable, l'accès à cette ressource par mappage de compte
doit être autorisé pour cet utilisateur et un compte avec les
mêmes identifiant et mot de passe doit exister sur cette
ressource.
Mot de passe Mot de passe, clé SSH, ticket Kerberos ou toute autre donnée
secrète permettant d'authentifier un compte sur un système.
Ressource Les entités suivantes constituent les ressources : un
équipement (association d'un équipement et d'un service dans
le contexte de mappage de compte), une cible ou un compte.
Restitution Opération consistant à restituer les accréditations d'un compte
donné. Cette action est complémentaire à l'opération d'emprunt
des accréditations. Si le verrouillage du compte a été paramétré
lors de l'emprunt, le déverrouillage est effectué lors de la
restitution.
16
Scénario de connexion Scénario permettant d’automatiser une connexion vers un

équipement ne proposant pas de protocoles supportant l’envoi
automatisé des informations d'identification (SSH ou RDP).
Scénario de démarrage Scénario pouvant être utilisé au début de la session shell
SSH pour effectuer certaines actions, comme par exemple,
permettre à l'utilisateur d'acquérir les privilèges « root » avec
les commandes « su » ou « sudo » sans que ce dernier ait
connaissance du mot de passe.
Verrouillage Mécanisme visant à empêcher une utilisation concomitante d'un
compte par plusieurs utilisateurs.
17
Chapitre 4. Concepts
4.1. Généralités
WALLIX Bastion est une solution destinée aux équipes techniques qui administrent les
infrastructures informatiques (serveurs, équipements réseau, équipements de sécurité, etc.). Cette
solution permet de répondre aux besoins de contrôle et de traçabilité des accès des administrateurs.
A ces fins, WALLIX Bastion intègre des fonctionnalités de contrôle d’accès (ACL) et de traçabilité.
Il constitue un sas pour les administrateurs qui souhaitent se connecter aux équipements en :
• vérifiant les éléments d’authentification fournis par l’utilisateur,

• vérifiant ses droits d’accès sur la ressource demandée,
• gérant les mots de passe des comptes cibles.
WALLIX Bastion permet également d’automatiser les connexions vers les équipements cibles. Ceci
augmente le niveau de sécurisation du système d’information en empêchant la divulgation des
accréditations d’authentification des serveurs à administrer.
Les protocoles aujourd’hui supportés sont :
• SSH (et ses sous-systèmes),

• TELNET, RLOGIN,
• RDP et VNC,
• RAW TCP/IP. Ce protocole permet de rediriger les connexions TCP/IP d'un port local au poste
client vers un serveur cible en utilisant la redirection de ports TCP/IP locaux. Le proxy SSH agit
alors comme un serveur SSH dont le rôle est uniquement de faire la redirection de port TCP/IP
local. Si un canal de type session shell est ouvert au début, il servira alors de monitoring sur les
actions de redirection effectuées.
Pour surveiller son activité, superviser les connexions et configurer les différentes entités qui le
composent, WALLIX Bastion possède une interface Web, également appelée « GUI » (« Graphical
User Interface »), compatible avec Internet Explorer, Chrome et Firefox.
4.2. Positionnement de WALLIX Bastion dans

l’infrastructure réseau
WALLIX Bastion se positionne entre une zone de confiance faible et une zone de confiance forte.
La zone de confiance forte étant représentée par l'ensemble des équipements que WALLIX Bastion
isole.
Ces équipements et leurs comptes associés sont nommés « comptes cibles » dans la terminologie
WALLIX Bastion.
La zone de confiance faible est représentée par la population ayant un accès direct à WALLIX
Bastion :
• le personnel de l’entreprise
• la zone internet
18
Pour les utilisateurs de la solution, l’accès aux comptes cibles (dans la zone de confiance forte)
n’est possible qu’à travers WALLIX Bastion.
Figure 4.1. WALLIX Bastion dans l’infrastructure réseau
4.3. Concepts des ACL de WALLIX Bastion

WALLIX Bastion dispose d’un moteur avancé de gestion de droits implémentant des ACL (« Access
Control List » ou liste de contrôle d’accès en français) pour savoir qui a accès à quoi, quand et par
le biais de quel(s) protocole(s).
Ces ACL sont constituées des objets suivants :
• des utilisateurs : correspondant à des utilisateurs physiques de WALLIX Bastion d'un annuaire
utilisateur interne et/ou externe,
• des groupes d’utilisateurs : regroupant un ensemble d’utilisateurs,
• des équipements : correspondant à un équipement, physique ou virtualisé, auquel on souhaite
accéder via WALLIX Bastion,
• des comptes cibles : des comptes déclarés sur un équipement ou une application,
• des groupes de cibles : regroupant un ensemble de comptes cibles,
• des applications : tout type d’applications et de services fonctionnant sur un équipement ou un
ensemble d'équipements.
Une autorisation doit être définie dans WALLIX Bastion pour permettre à l'utilisateur d'accéder à
un compte cible. Ces autorisations sont déclarées entre un groupe d’utilisateurs et un groupe de
comptes cibles (ceci nécessite donc que chaque compte cible appartienne à un groupe de cibles
et que chaque utilisateur appartienne à un groupe d’utilisateurs).
Cette autorisation permet aux utilisateurs du groupe « X » d’accéder aux comptes cibles du groupe
« Y » à travers les protocoles « A », « B » ou « C ».
A ces entités primaires sont ajoutées des entités permettant de définir :
• les plages horaires de connexion
19
• la criticité de l’accès aux ressources cibles

• s’il faut enregistrer la session ou non
• le type de procédure d’authentification de l’utilisateur
Il est également possible de définir différents profils d’administrateur WALLIX Bastion avec soit
un accès total à toutes les fonctionnalités de WALLIX Bastion soit des droits limités à certaines
fonctionnalités. Par exemple, il est possible de définir uniquement l'accès aux données d'audit pour
les auditeurs WALLIX Bastion ou encore d'autoriser les administrateurs WALLIX Bastion à ajouter/
modifier des utilisateurs, configurer l'administration du système, gérer les autorisations, etc.
4.4. Mise en production
WALLIX Bastion possède un ensemble d’outils d’import permettant de faciliter sa mise en
production.
Cependant, il est conseillé, pour réussir sa mise en production, de recenser :
• les rôles des utilisateurs qui devront accéder aux comptes cibles,
• les rôles des utilisateurs qui devront administrer WALLIX Bastion,
• les équipements et les comptes cibles qui devront être accessibles à travers la solution.
Il est nécessaire de pouvoir répondre, pour chaque utilisateur, aux questions suivantes :
• cet utilisateur a-t-il le droit d’administrer la solution, et le cas échéant, quels sont les droits qui
doivent lui être accordés ?
• cet utilisateur a-t-il besoin d’accéder à des comptes cibles ?
• quand cet utilisateur a-t-il le droit de se connecter ?
• doit-il accéder à des ressources critiques ?
Il est nécessaire de pouvoir répondre, pour chaque compte cible ou équipement, aux questions
suivantes :
• ce compte cible ou cet équipement est-il critique ?

• faut-il enregistrer les sessions des utilisateurs accédant à ce compte ?
• par quel(s) protocole(s) ce compte cible ou cet équipement est-il accessible ?
4.5. Droits de l'utilisateur connecté à WALLIX

Bastion
En fonction des droits qui lui ont été attribués lors de la configuration de son profil, un utilisateur
n'aura accès qu'à certaines fonctionnalités de WALLIX Bastion.
Un utilisateur sera uniquement autorisé à visualiser les données au sein de l'application si le droit
« Afficher » pour la fonctionnalité concernée est paramétré au niveau de son profil.
Un utilisateur sera autorisé à accéder aux différents formulaires de création, modification et
suppression des données dès lors que le droit « Modifier » pour la fonctionnalité concernée est
paramétré au niveau de son profil.
Pour plus d'informations sur la définition des profils utilisateurs, voir Section 9.3, « Profils
utilisateurs », page 95.
20
4.6. Chiffrement des données

Plusieurs types de données sensibles sont susceptibles d’être stockés dans WALLIX Bastion et
notamment :
• les informations d’authentifications primaires, c'est-à-dire les informations liées aux connexions
à WALLIX Bastion,
• les informations d’authentifications secondaires, c'est-à-dire les informations liées aux
connexions aux cibles,
• les mots de passe d’accès aux services d’authentification,
• les sauvegardes des configurations de WALLIX Bastion.
Toutes les données sensibles sont chiffrées pour garantir la sécurité.
L'accès aux cibles via les différents services (RDP ou SSH) génère des données également
chiffrées.
Les spécifications cryptographiques pour sécuriser les données au sein de WALLIX Bastion sont
décrites ci-après.
4.6.1. Administration avec le protocole HTTPS (interface

Web et API)
Chiffrement avec le protocole TLSv1.3 :
• TLS_AES_256_GCM_SHA384
• TLS_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1)
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1)
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1)
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1)
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
4.6.2. Administration avec le protocole SSH

Algorithmes d'échange de clés :
• curve25519-sha256
• curve25519-sha256@libssh.org
• diffie-hellman-group-exchange-sha256
Algorithmes de clé d'hôte du serveur :
• ecdsa-sha2-nistp256
• ssh-ed25519
21
Algorithmes de chiffrement :
• aes128-ctr
• aes192-ctr
• aes256-ctr
• aes128-gcm@openssh.com
• aes256-gcm@openssh.com
• chacha20-poly1305@openssh.com
Algorithmes d'intégrité :
• hmac-sha2-256-etm@openssh.com
• hmac-sha2-512-etm@openssh.com
• hmac-sha2-256
• hmac-sha2-512
4.6.3. Algorithmes des connexions primaires RDP (basés

sur TLS)
• TLS_CHACHA20_POLY1305_SHA256
• TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256
• TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA256
• TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA256
22
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_256_CCM
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
• RSA_WITH_AES_256_CCM_8
• RSA_WITH_AES_256_CCM
• RSA_WITH_AES_128_CCM_8
• RSA_WITH_AES_128_CCM
• ECDHE-ARIA256-GCM-SHA384
• ECDHE-ARIA128-GCM-SHA256
• DHE_RSA_WITH_AES_256_CCM_8
• DHE_RSA_WITH_AES_128_CCM_8
• DHE_RSA_WITH_AES_128_CCM
• DHE-RSA-ARIA256-GCM-SHA384
• DHE-RSA-ARIA128-GCM-SHA256
• ARIA256-GCM-SHA384
• ARIA128-GCM-SHA256
4.6.4. Algorithmes des connexions primaires SSH

• curve25519-sha256@libssh.org
• diffie-hellman-group-exchange-sha256
Algorithmes de clé d'hôte :
• ecdsa-sha2-nistp256
• ssh-ed25519
• ssh-rsa
• rsa-sha2-256
• rsa-sha2-512
Algorithmes de chiffrement :
• aes128-ctr
• aes192-ctr
• aes256-ctr
• chacha20-poly1305@openssh.com
Algorithmes d'intégrité :
• hmac-sha2-256
• hmac-sha2-512
23
4.6.5. Algorithmes des connexions secondaires

Ces algorithmes dépendent des protocoles supportés par les cibles.
24
Chapitre 5. Fonctionnalités spécifiques
5.1. WALLIX Session Manager
Cette fonctionnalité spécifique de WALLIX Bastion 9.0.5 est accessible selon les termes de votre
contrat de licence logicielle.
Elle permet à l'administrateur notamment :
• d'identifier les utilisateurs connectés à des équipements donnés et de surveiller leur activité : les
sessions peuvent être visualisées en temps réel via l'interface Web d'administration de WALLIX
Bastion ou téléchargées pour être visionnées en local sur le poste de travail de l'administrateur,
• de visionner les enregistrements vidéo des actions effectuées lors des sessions des utilisateurs
à privilèges,
• d'obtenir un accès direct à la ressource en utilisant des clients natifs tels que PuTTY, WinSCP,
MSTC ou OpenSSH,
• de définir et configurer des politiques de connexion au moyen de mécanismes disponibles pour
les protocoles RDP, VNC, SSH, TELNET, RLOGIN et RAW TCP/IP.
Pour plus d'informations, voir Chapitre 12, « Gestion des sessions », page 241.
5.2. WALLIX Password Manager

Cette fonctionnalité spécifique de WALLIX Bastion 9.0.5 est accessible selon les termes de votre
contrat de licence logicielle.
Elle permet à l'administrateur notamment de :
• sécuriser les mots de passe des comptes cibles et des clés SSH,
• gérer les opérations d'emprunt et de restitution des accréditations des comptes cibles,
• changer ou générer les mots de passe des comptes cibles,
• définir une politique de changement des mots de passe pouvant être sélectionnée lors de la
création/modification d'un domaine global,
• sélectionner un plugin de changement des mots de passe parmi la liste configurée au sein de
WALLIX Bastion lors de la création/modification d'un domaine local ou global.
Pour plus d'informations, voir Chapitre 11, « Gestion des mots de passe », page 223.
5.3. Coffre-fort externe à mots de passe

WALLIX Bastion offre une approche modulaire de la gestion de coffre-fort à mots de passe.
Ce processus permet à un cluster de Bastions de gérer les sessions et les accès des utilisateurs
concernant des comptes gérés par un seul Bastion du cluster. Dans ce contexte, la gestion de
comptes implique la mise en place du changement d'accréditations (mot de passe et clé SSH) et
d'une politique d'emprunt.
Le coffre-fort local représente le coffre-fort par défaut. Les comptes stockés dans ce coffre-fort sont
gérés par l'instance Bastion locale. Ces comptes peuvent être utilisés pour permettre l'accès aux
sessions ou aux accréditations via l'interface Web ou le Web Service API REST.
25
Les coffres-forts externes sont représentés dans l'instance Bastion locale par l'intermédiaire de
plugins. Ceux-ci font la liaison communicante entre l'instance Bastion locale et le coffre-fort externe.
Actuellement, le plugin de coffre-fort externe à mots de passe « Bastion » est disponible pour
permettre la connexion et l'utilisation du coffre-fort d'une instance WALLIX Bastion.
Du point de vue d'une instance Bastion locale, le plugin « Bastion » représente le coffre-fort à
mots de passe de l'instance Bastion distante. Les comptes stockés dans ce coffre-fort sont gérés
par l'instance Bastion distante et peuvent être utilisés par l'instance Bastion locale afin d'accéder
aux sessions ou aux accréditations via l'interface Web ou le Web Service API REST. Ces comptes
doivent être importés dans l'instance Bastion locale afin de pouvoir être utilisés par celle-ci.
L'instance Bastion locale utilise le Web service API REST de l'instance Bastion distante pour établir
un canal de communication sécurisé afin d'emprunter ou de restituer les accréditations des comptes
mais également étendre la durée de l'emprunt (lorsque ce paramètre est configuré dans la politique
d'emprunt sur l'instance Bastion distante).
Les plugins de coffres-forts externes à mots de passe « CyberArk Enterprise Password Vault »,
« HashiCorp Vault » et « Thycotic Secret Server » sont également embarqués dans WALLIX Bastion
pour permettre la connexion et l'utilisation des coffres-forts intégrés aux solutions de gestion de
privilèges de ces entreprises.
Les comptes des coffres-forts externes sont associés à l'instance Bastion locale par l'intermédiaire
des domaines globaux assurant la fonction de conteneurs de ces comptes. Plusieurs domaines
peuvent pointer vers un même coffre-fort externe.
Pour plus d'informations sur la configuration de l'instance Bastion locale en vue de l'utilisation des
comptes de coffres-forts externes, voir Section 10.3, « Domaines », page 166, Section 10.7,
« Plugins de coffres-forts externes à mots de passe », page 208 et Section 11.1, « Autorisations
de l'utilisateur sur les mots de passe », page 223.
5.4. Haute Disponibilité
La fonctionnalité « Haute Disponibilité », également appelée « High-Availability » ou « HA », de
WALLIX Bastion 9.0.5 apporte, par l’intermédiaire d’un cluster bi-appliances de type « failover » (ou
« actif/passif »), une continuité du service WALLIX Bastion (accès aux équipements cibles et à la
console Web, enregistrement des sessions) en cas d’indisponibilité des services sur la machine
de production (le « Master »).
Cette reprise automatique des services par le second nœud du cluster (le « Slave ») est obtenue
par :
• le partage d’une adresse IP virtuelle par les deux WALLIX Bastion du cluster, les adresses IP
réelles étant inconnues des utilisateurs.
• la réplication sur le second nœud du cluster des informations de configuration, des journaux de
connexions et des fichiers contenant les enregistrements de sessions ainsi que les fichiers de
configuration WALLIX Bastion par le mécanisme de réplication DRBD.
• un mécanisme de notification par e-mail avise l’administrateur de WALLIX Bastion en cas de :
– bascule du service en mode « dégradé » (le nœud « Slave » a pris le relais)
– indisponibilité du nœud « Slave »
– détection d’une anomalie (service indisponible, etc.)
– synchronisation des disques terminée
Pour plus d'informations, voir Section 8.14, « Haute Disponibilité », page 73.
26
Chapitre 6. Premiers pas avec WALLIX

Bastion
6.1. Configuration préalable des ports réseau
TCP et UDP
6.1.1. Communication depuis WALLIX Bastion
Les ports suivants doivent être ouverts pour permettre les communications depuis WALLIX Bastion :
• SSH : 22
• RDP : 3389
• HTTP/HTTPS : 80/443
• SMTP : 25
• SMTPS : 465
• SMTP+STARTTLS : 587
• NTP : 123
• DNS : 53
• Authentification externe Kerberos : 88
• Authentification externe LDAP : 389
• Authentification externe LDAP sur SSL : 636
• Authentification externe RADIUS : 1812
• Authentification externe TACACS+ : 49
• Stockage réseau NFS : 2049
• Stockage réseau SMB/CIFS : 445
• SMB pour la gestion de mots de passe : 139 | 445
• Syslog : 514
• SNMP : 162 pour les notifications trap
6.1.2. Communication vers WALLIX Bastion

Les ports suivants doivent être ouverts pour permettre les communications vers WALLIX Bastion :
• Proxy SSH/SFTP/TELNET/RLOGIN : 22
• Proxy RDP/VNC : 3389
• SNMP : 161 pour les accès en lecture/écriture aux OID
• Interface ligne de commande d’administration de WALLIX Bastion (console SSHADMIN) : 2242
• Interface Web d’administration de WALLIX Bastion (GUI) : 443
27
6.2. Connexion à WALLIX Bastion en ligne de

commande
Un démon SSH est en écoute sur le port 2242 permettant de se connecter à une console shell
d’administration.
Pour des raisons de sécurité, tous les mots de passe du système doivent être changés dès la
première connexion.
Important :
Veuillez bien retenir votre nouveau mot de passe car celui-ci est le seul moyen de se
connecter par la suite.
Lors de l'installation de WALLIX Bastion, un mode graphique affiche des boîtes de dialogue pour
vous guider pas à pas dans les étapes de la configuration.
La procédure ci-dessous détaille les principales étapes de la configuration de la connexion à
WALLIX Bastion.
1. Première étape : choisir la langue de disposition du clavier que vous souhaitez utiliser
Si la langue de disposition du clavier actuelle est détectée, elle est alors mise en surbrillance
dans la liste. Dans le cas où cette langue ne figure pas dans la liste, vous pouvez sélectionner
« More options... » pour afficher plus de choix.
2. Seconde étape : définir le mot de passe de l'utilisateur « wabadmin »
Les informations d'identification configurées par défaut sont les suivantes :
• Mot de passe : SecureWabAdmin
Vous êtes invité(e) à changer le mot de passe par défaut de l'utilisateur « wabadmin ». Saisissez
et confirmez le nouveau mot de passe.
Par défaut, l'utilisateur « wabadmin » est configuré avec des privilèges restreints. Suivez la
prochaine étape pour configurer l'utilisateur « wabsuper » afin d'accéder à des privilèges
étendus.
Note :
Le nouveau mot de passe doit comporter au minimum 14 caractères dont 1 lettre
majuscule, 1 lettre minuscule, 1 chiffre et 1 caractère spécial.
La durée de validité de ce nouveau mot de passe est de 180 jours. Passée cette
durée, l'utilisateur « wabadmin » sera invité à changer ce mot de passe lors de sa
connexion sur la console.
3. Troisième étape : définir le mot de passe de l'utilisateur « wabsuper »

Lorsque le nouveau mot de passe de l'utilisateur « wabadmin » a été confirmé, vous êtes
invité(e) à saisir et confirmer le nouveau mot de passe de l'utilisateur « wabsuper ».
Le mot de passe de l'utilisateur « wabsuper » peut être passé avec la commande « super »
pour obtenir des privilèges étendus, et notamment l'acquisition des privilèges « root » à l'aide
de la commande « sudo » qui utilise le même mot de passe. Une fois connecté avec les
28
privilèges « root », vous pouvez utiliser un ensemble de scripts pour exploiter WALLIX Bastion
au quotidien.
Note :
Le nouveau mot de passe doit comporter au minimum 14 caractères dont 1 lettre
majuscule, 1 lettre minuscule, 1 chiffre et 1 caractère spécial.
La durée de validité de ce nouveau mot de passe est de 180 jours. Passée cette
durée, l'utilisateur « wabsuper » sera invité à changer ce mot de passe lors de sa
connexion sur la console.
Suivez la prochaine étape pour configurer le mot de passe GRUB.

4. Quatrième étape : définir le mot de passe de l'utilisateur « GRUB »
Lorsque le nouveau mot de passe de l'utilisateur « wabsuper » a été confirmé, vous êtes invité(e)
à changer le mot de passe par défaut de l'utilisateur « GRUB ».
Vous avez alors la possibilité d'utiliser le même mot de passe que celui renseigné
précédemment pour l'utilisateur « wabsuper » ou de définir un nouveau mot de passe.
Important :
Seuls les caractères ASCII sont supportés. Si le mot de passe renseigné pour
l'utilisateur « wabsuper » contient des caractères non ASCII, alors il n'est pas possible
d'utiliser ce même mot de passe pour l'utilisateur « GRUB » : vous devez définir un
mot de passe différent.
Avertissement :
Sous VMware, une fois l'installation initiale terminée et après le redémarrage du
système, la saisie du mot de passe de l'utilisateur « GRUB » répond par défaut à la
disposition du clavier QWERTY.
Les informations d'identification configurées par défaut sont les suivantes :

• Identifiant : wabbootadmin. L'utilisateur disposant d'un clavier AZERTY doit taper
« zqbbootqd,in » pour saisir « wabbootadmin ».
• Mot de passe : SecureWabBoot (ce mot de passe par défaut est normalement
modifié au cours de cette étape).
Utilisez la commande suivante si vous souhaitez changer ce mot de passe

ultérieurement :
wabsuper@wab$ WABChangeGrub
Attention aux caractères spéciaux et fautes de frappe car il n'est pas possible de
corriger la saisie. Cependant, la touche « Esc » permet d'effacer toute la saisie.
Suivez la prochaine étape pour configurer le mot de passe de l'utilisateur « wabupgrade ».

5. Cinquième étape : définir le mot de passe de l'utilisateur « wabupgrade »
Lorsque le nouveau mot de passe de l'utilisateur « GRUB » a été confirmé, vous êtes invité(e)
à saisir et confirmer le nouveau mot de passe de l'utilisateur « wabupgrade ».
29
Important :
L'utilisateur « wabupgrade » peut uniquement effectuer des mises à niveau vers des
versions supérieures de WALLIX Bastion ou des installations de correctifs.
6. Sixième et dernière étape : définir la configuration réseau
Lorsque le mot de passe de l'utilisateur « wabupgrade » a été défini, vous êtes invité(e) à
effectuer la configuration réseau.
6.3. Parcourir le menu de l'interface Web

Menu Sous-menu Actions
Mes préférences Modifier les préférences
utilisateurs
Voir Section 7.3, « Paramétrer

les préférences
utilisateur », page 42
Mes autorisations Sessions Afficher les autorisations de
l'utilisateur sur les sessions et
accéder aux cibles
Voir Section 12.1,

« Autorisations de l'utilisateur
sur les sessions », page 241
Mots de passe Afficher les autorisations
de l'utilisateur sur les
accréditations et accéder aux
accréditations des cibles
Voir Section 11.1,

« Autorisations de l'utilisateur
sur les mots de
passe », page 223
Audit Sessions courantes Lister et fermer les connexions
Voir Section 12.3.1, « Sessions

courantes », page 246
Historique des sessions Lister les connexions terminées
et afficher les enregistrements
de sessions
Voir Section 12.3.4, « Historique

des sessions », page 249
Historique des comptes Lister les activités des comptes

des comptes », page 255
30

Historique des approbations Lister les demandes
d'approbation en cours et
dépassées

des approbations », page 256
Historique des Lister les authentifications
authentifications primaires
Voir Section 12.3.8,

« Historique des
authentifications », page 257
Statistiques sur les Générer les graphiques de
connexions statistiques sur les connexions
Voir Section 12.3.9,

« Statistiques sur les
connexions », page 258
Utilisateurs Comptes Gérer et importer (fichier .csv et
annuaire LDAP) les utilisateurs
WALLIX Bastion
Voir Section 9.1, « Comptes

utilisateurs », page 81
Groupes Gérer et importer (fichier .csv)
les groupes d'utilisateurs
WALLIX Bastion
Voir Section 9.2, « Groupes

Profils Gérer et importer (fichier .csv)
les profils utilisateurs WALLIX
Bastion
Voir Section 9.3, « Profils

Cibles Équipements Gérer et importer (fichier .csv)
les équipements cibles
Voir Section 10.1,

« Équipements », page 138
Applications Gérer et importer (fichier .csv)
les applications cibles
Voir Section 10.2,

« Applications », page 151
Domaines Gérer et importer (fichier .csv)
les domaines globaux et locaux
Voir Section 10.3,

« Domaines », page 166
31

Comptes Gérer et importer (fichier .csv)
les comptes cibles

cibles », page 177
Clusters Gérer et importer (fichier .csv)
les clusters de serveurs de
rebond
Voir Section 10.6,

« Clusters », page 205
Groupes Gérer et importer (fichier .csv)
les groupes de cibles
Voir Section 10.5, « Groupes de

cibles », page 191
Plugins de coffres-forts Afficher la liste des plugins de
coffres-forts externes à mots de
passe disponibles
Voir Section 10.7, « Plugins de

coffres-forts externes à mots de
passe », page 208
Politiques d'emprunt Gérer les politiques d'emprunt
du mot de passe
Voir Section 10.8, « Politiques

d'emprunt », page 214
Autorisations Gestion des autorisations Gérer et importer (fichier .csv)
les autorisations entre les
groupes de cibles et les groupes
d'utilisateurs
Voir Chapitre 14, « Gestion des

autorisations », page 298
Mes approbations en cours Gérer les demandes
d'approbation en cours et
fournir une réponse
Voir Section 14.5, « Visualiser

les approbations en
cours », page 302
Mon historique Lister les demandes
d'approbations d'approbation en cours et
dépassées
Voir Section 14.6, « Visualiser

l'historique des
approbations », page 303
Gestion des sessions Politiques de connexion Gérer les mécanismes
d'authentification pour les
32

proxies (RDP, VNC, SSH,
TELNET, RLOGIN et RAW TCP/
IP)

de connexion », page 260
Options d'enregistrement Gérer les options de
stockage des enregistrements
de sessions
Voir Section 12.5, « Options

des enregistrements de
sessions », page 263
Gestion des mots de passe Politiques changement de Gérer les politiques de
mot de passe changement de mot de passe

de changement des mots de
passe », page 236
Plugins changement de mot Afficher la liste des plugins
de passe disponibles pour le changement
de mot de passe
Voir Section 11.2, « Plugins

de changement des mots de
passe », page 225
Configuration Options de configuration Configurer des aspects
spécifiques de WALLIX Bastion
(comme par exemple, les
options spécifiques pour
l'interface Web (GUI), le proxy
RDP, le proxy SSH, etc.)
Voir Chapitre 8, « Configuration

de la machine », page 45
Plages horaires Gérer les plages horaires
Voir Section 14.8,

« Configuration des plages
horaires », page 307
Authentifications externes Gérer les méthodes
d'authentification externe
(LDAP, Active Directory,
Kerberos, RADIUS)
Voir Section 9.8, « Configuration

des authentifications
externes », page 119
Domaines LDAP/AD Intégrer des comptes
utilisateurs via LDAP ou Active
Directory
33

Importer (fichier .csv)
des domaines LDAP/AD
et des correspondances
d'authentification LDAP

de l'intégration avec un
domaine LDAP ou Active
Directory », page 127
Notifications Gérer le mécanisme de
notification

des notifications », page 104
Politique de mots de passe Gérer les politiques des mots de
locaux passe locaux

de la politique de mots de passe
locaux », page 109
Messages de connexion Configurer les bannières
affichées lors de la connexion
de l'utilisateur aux proxies
Voir Section 12.23, « Messages

de connexion », page 290
Configuration X509 Configurer l'authentification par
certificat X509

de l'authentification par certificat
X509 », page 111
Clés d'API Gérer les clés d'API
Voir Section 17.3, « Gestion de

clés d'API REST », page 326
Licence Afficher et mettre à jour la clé de
licence
Voir Section 8.2,

« Licence », page 50
Chiffrement Définir la protection
cryptographique
Voir Section 8.3,

« Chiffrement », page 52
Logs audit Afficher le contenu du fichier
« wabaudit »
Voir Section 8.5, « Journaux et

logs système », page 55
34

Système Statut Afficher les informations
générales sur le statut du
système
Voir Section 8.4, « Statut du

système », page 54
Réseau Configurer les paramètres
réseau
Voir Section 8.6,

« Réseau », page 55
Service de temps Configurer les paramètres du
service de temps (NTP)
Voir Section 8.7, « Service de

temps », page 58
Stockage distant Gérer le stockage distant des
enregistrements de sessions
Voir Section 8.8, « Stockage

distant », page 59
Intégration SIEM Gérer le routage des logs
vers d'autres périphériques du
réseau
Voir Section 8.9, « Intégration

SIEM », page 60
SNMP Gérer l'agent SNMP
Voir Section 8.10,

« SNMP », page 61
Serveur SMTP Configurer le serveur de mail
pour l'envoi des notifications
Voir Section 8.12, « Serveur
SMTP », page 67
Contrôle des services Définir le mappage des services
avec les interfaces réseau et
les services WALLIX Bastion à
activer/désactiver
Voir Section 8.11, « Contrôle

des services », page 64
Syslog Afficher le contenu du fichier
« syslog »

Messages au démarrage Afficher le contenu du fichier
« dmesg »
35

Sauvegarde/Restauration Sauvegarde et restauration de
la configuration de WALLIX
Bastion
Voir Section 8.13, « Sauvegarde

et restauration », page 68
Import/Export CSV Importer des données depuis un
fichier .csv
Exporter des données sous la
forme d'un fichier .csv, une
archive .zip ou .tar.gz
Voir :
Section 9.1, « Comptes

utilisateurs », page 81,
Section 9.2, « Groupes

Section 9.3, « Profils

Section 10.1,
« Équipements », page 138,
Section 10.2,
« Applications », page 151,
Section 10.3,
« Domaines », page 166,
Section 10.4, « Comptes

cibles », page 177,
Section 10.6,
« Clusters », page 205,
Section 10.5, « Groupes de

cibles », page 191,
Section 14.1, « Ajouter une

autorisation », page 298,
Section 9.9, « Configuration

de l'intégration avec un
domaine LDAP ou Active
Directory », page 127
Utilisateurs depuis LDAP/AD Importer des utilisateurs depuis
un annuaire LDAP ou AD
36

6.4. Disponibilité des fonctionnalités

spécifiques
6.4.1. Gestion des sessions
Le menu « Gestion des sessions » et l'entrée « Sessions » du menu « Mes autorisations » peuvent
uniquement être administrés si la fonctionnalité WALLIX Session Manager est associée à votre clé
de licence.
6.4.2. Gestion des mots de passe

Le menu « Gestion des mots de passe » et l'entrée « Mots de passe » du menu « Mes autorisations
» peuvent uniquement être administrés si la fonctionnalité WALLIX Password Manager est associée
à votre clé de licence.
6.5. Gestion de la recherche, du tri des données

et de la personnalisation de l'affichage dans les
tableaux de l'interface Web
L'interface Web de WALLIX Bastion présente des fonctionnalités vous permettant de rechercher,
trier, personnaliser et supprimer les données affichées au sein des tableaux.
Note :
Lorsqu'une donnée trop longue apparaît tronquée au sein d'un tableau (par exemple :
« abcdefghijk... »), il est possible d'afficher la valeur textuelle entière dans une info-bulle
en passant le curseur de la souris sur ce libellé pendant une durée de 0,5 seconde.
6.5.1. Recherche des données

Les champs de recherche situés dans la plupart des en-têtes de colonnes des tableaux de l'interface
Web permettent de rechercher des données et s'affichent en cliquant sur l'icône . Il suffit ensuite
de saisir un terme et de cliquer sur le bouton “Rechercher”. Une recherche active est symbolisée
par l'icône colorée .
Il est également possible d'effectuer une recherche sur plusieurs colonnes en répétant les actions
précédentes dans chaque colonne concernée.
Le symbole ✱ peut aussi être utilisé dans les champs de recherche pour effectuer une recherche
spécifique. Ce caractère peut être positionné à n'importe quel endroit pour remplacer toute chaîne
de caractères (chaînes vides y compris) dans les termes de la recherche.
Le tableau ci-dessous illustre les types possibles de recherche avec l'utilisation du symbole ✱ :
37
Chaîne de Renvoie uniquement les lignes dont au moins une colonne contient...
recherche
rdp* toute chaîne commençant par le mot « rdp » (ex. : RDPDevice1)
*rdp toute chaîne se terminant par le mot « rdp » (ex. : ServiceRdp)
*rdp* or rdp toute chaîne contenant le mot « rdp », sans tenir compte de la position du
mot-clé dans la chaîne de caractères trouvée.
r*p toute chaîne commençant par « r » et se terminant par « p ». (ex. : Rdp, RP)
Une recherche peut être sauvegardée en activant le bouton « Sauvegarde du filtre de recherche »
dans la fenêtre « Paramètres du tableau » accessible via l'icône . Le filtre de recherche est
ensuite enregistré pour le tableau actif.
Note :
La recherche n'est pas sensible à la casse.
La recherche porte sur l'ensemble du tableau et pas uniquement sur la page active.
Le résultat d’une recherche simple ou multiple peut être supprimé en cliquant sur l'icône puis sur
le bouton « Réinitialiser » ou, en cliquant sur l'icône située dans le coin supérieur droit de la page.
6.5.2. Tri des données

Il est possible de trier les données affichées dans les tableaux de l'interface Web par ordre
alphabétique ou numérique, croissant ou décroissant, en cliquant dans les en-têtes de colonnes :
flèche vers le haut pour le tri par ordre croissant, flèche vers le bas pour le tri par ordre décroissant.
Un tri actif est symbolisé par une flèche colorée .
Notez qu'un tri multiple peut être effectué en activant le bouton « Tri multiple » dans la fenêtre
« Paramètres du tableau » accessible via l'icône . Le tri multiple est ensuite enregistré pour le
tableau actif.
Note :
Ce tri agit sur l'ensemble des données contenues dans le tableau et pas uniquement sur
les données figurant sur la page active.
Les paramètres du tableau peuvent être restaurés en désactivant le bouton « Tri multiple » ou
en cliquant sur « Réinitialiser les paramètres du tableau ». Ces deux options sont accessibles via
l'icône .
6.5.3. Personnalisation de l'affichage
L'interface Web de WALLIX Bastion offre la possibilité de redimensionner les tableaux en cliquant
sur un séparateur de colonne et en le faisant glisser vers la gauche ou la droite jusqu'à la largeur
souhaitée.
Il est également possible d'afficher ou de masquer les colonnes d'un tableau et de redéfinir leur
ordre d'affichage depuis la fenêtre « Paramètres du tableau » accessible via l'icône .
38
Dans cette fenêtre, vous pouvez effectuer les modifications suivantes :
• changer l'ordre dans lequel les colonnes s'affichent en utilisant les flèches haut et bas,
• masquer ou afficher une colonne en décochant ou cochant la case située au début de la ligne
de la colonne concernée. Les colonnes sont cochées par défaut.
Avertissement :
La première colonne d'un tableau ou toute autre colonne contenant un lien d'accès
vers une autre page de l'interface ne peut être ni déplacée ni masquée.
• si nécessaire, restaurer les paramètres du tableau en cliquant sur « Réinitialiser les paramètres
du tableau » situé dans la fenêtre « Paramètres du tableau ».
6.5.4. Suppression des données

Il est possible de supprimer des données dans les tableaux de l'interface Web, à tout moment et
sur chaque page, en sélectionnant une ou plusieurs donnée(s) à l'aide de la case à cocher située
en début de ligne, puis en cliquant sur le bouton « Supprimer » situé dans le coin supérieur droit
de la page.
Pour supprimer toutes les données d'un tableau, sélectionnez la case à cocher située dans l'en-tête
du tableau puis cliquez sur le bouton « Supprimer » situé dans le coin supérieur droit de la page.
Avertissement :
Cette action supprime uniquement les données figurant sur la page active.
Toute sélection effectuée par le biais des cases à cocher peut être annulée en cliquant sur la croix
s'affichant dans le haut du tableau, à côté du nombre récapitulatif d’éléments sélectionnés.
39
Chapitre 7. Connexion sur l'interface

Web
Note :
Il est possible de choisir l'interface qui s'affichera par défaut à partir du menu
« Configuration » > « Options de configuration » > « GUI ». Pour plus d'informations, voir
Section 8.1.1, « Configurer l'interface utilisateur Web », page 46.
7.1. Accès à l'interface Web d'administration

Pour accéder à l’interface Web d’administration de WALLIX Bastion, saisissez l’URL suivante dans
la barre d'adresse de votre navigateur :
https://adresse_ip_bastion/ui ou https://<nom_bastion>/ui
Avertissement :
L'interface par défaut n’est pas compatible avec Internet Explorer.
Votre navigateur doit être configuré pour accepter les cookies et exécuter le JavaScript.
Pour des raisons de sécurité, WALLIX Bastion vérifie que le nom d'hôte reçu dans
l'URL correspond à son FQDN, nom d'hôte ou à l'adresse IP de l'interface. S'il n'est pas
reconnu, l'utilisateur est redirigé vers l'adresse IP de l'interface réseau utilisée. Pour éviter
toute redirection, il est possible d'ajouter des noms d'hôte et des adresses IP autorisés
via l'option « Trusted hostnames for HTTP_HOST header » accessible depuis le menu
« Configuration » > « Options de configuration » > « Global », section « main ».
WALLIX Bastion est livré en standard avec un compte administrateur d’usine dont les informations
d'identification par défaut sont les suivantes :
• Identifiant : admin
• Mot de passe : admin
Ce mot de passe par défaut peut être modifié. Pour plus d'informations, voir Section 15.4,
« Changer le mot de passe du compte administrateur d'usine », page 311.
Pour des raisons de sécurité, le mot de passe du compte administrateur devra être changé dès
la première connexion. Pour plus d’informations, voir Section 7.3, « Paramétrer les préférences
utilisateur », page 42.
La page de connexion de WALLIX Bastion prend en charge les méthodes d'authentification
suivantes : mot de passe, Kerberos, LDAP, RADIUS, TACACS+, PINGID et X509. Dans le cas
d'une authentification via Kerberos ou certificat X509, il vous suffit de cliquer sur le bouton
correspondant, dans la section « Autre méthode d'authentification », pour accéder à l'interface Web.
Pour plus d'informations sur la configuration de ces méthodes d'authentification, voir Section 9.8,
« Configuration des authentifications externes », page 119 et Section 9.7, « Configuration de
l'authentification par certificat X509 », page 111.
Par ailleurs, l'utilisateur AD peut être invité à changer son mot de passe après expiration sur cette
page ou lors de la connexion à la session RDP ou SSH. Pour cela :
40
• le serveur Active Directory doit être sous Windows Server 2008 R2 au minimum,
• l'option « AD user password change » (accessible depuis le menu « Configuration » > « Options
de configuration » > « Global » > section « main ») doit être cochée et,
• au moins un protocole de chiffrement (à savoir, StartTLS ou SSL) doit être paramétré sur la
méthode d'authentification associée au domaine. Pour plus d'informations, voir Section 9.8.1.3,
« Ajouter une authentification externe LDAP », page 122 et Section 9.9, « Configuration de
l'intégration avec un domaine LDAP ou Active Directory », page 127.
Note :
L'image du logo, le nom du produit ou encore l'affichage de la mention du copyright
sur l'écran de connexion de WALLIX Bastion peuvent être gérés depuis le menu
« Configuration » > « Options de configuration » > « GUI » > section « oem ». Pour plus
d'informations, voir Section 8.1, « Configuration de l'interface », page 46.
Le message d'avertissement sur l'écran de connexion peut être géré depuis

« Configuration » > « Messages de connexion ». Pour plus d'informations, voir
Section 12.23, « Messages de connexion », page 290.
Figure 7.1. Écran de connexion
Une fois l’authentification réussie, la page suivante s'affiche :
41
Figure 7.2. Page d’accueil WALLIX Bastion (affichée pour un profil administrateur)
7.2. Description de la page de bienvenue

La page de bienvenue de WALLIX Bastion se compose :
• d'un en-tête contenant :

– le nom de l'utilisateur connecté. Lorsque vous passez la souris sur la zone du nom
d'utilisateur, un menu contextuel affiche l'entrée pour accéder à la page « Mes préférences »,
l'icône « Interface précédente » permettant d'accéder à l'interface précédente et l'icône de
déconnexion.
– l'icône qui permet d'afficher un menu donnant accès à la documentation technique sous
forme d'une aide en ligne contextuelle,
– l'icône qui permet de visualiser les éventuelles notifications (les demandes d'approbation
pour l'utilisateur ayant le profil approbateur ainsi que l'avertissement sur l'expiration du mot
de passe).
• d'un menu vertical sur la gauche de l'écran à partir duquel l'ensemble des fonctionnalités
d'administration de WALLIX Bastion sont accessibles. L'interface Web est organisée
verticalement et horizontalement afin de permettre une navigation plus fluide.
• d'une zone sur laquelle est affiché le message de bienvenue. Les informations de ce message
peuvent être masquées en cliquant sur le bouton « Ne plus afficher ».
• d'un tableau de bord situé dans le bas de l'écran présentant les raccourcis vers les fonctionnalités
les plus utilisées.
7.3. Paramétrer les préférences utilisateur
42
Vous pouvez afficher la page « Mes préférences » en passant votre curseur sur la zone du nom
d'utilisateur située en haut à droite de l'écran. Tous les utilisateurs ont accès à cette page qui permet
de modifier leurs paramètres, quels que soient leurs droits d’administration.
La page « Mes préférences » permet de renseigner les quatre onglets suivants :
• « Profil » : pour changer l'adresse électronique et sélectionner la langue,

• « Mot de passe » : pour changer le mot de passe (uniquement si l'utilisateur a été déclaré
localement avec une authentification « local_password »),
• « Clé publique SSH » : pour glisser-déposer, importer ou saisir manuellement une clé
publique SSH utilisant l'algorithme RSA, ED25519 ou ECDSA, ou supprimer une clé publique
SSH existante (uniquement si l'utilisateur a été déclaré localement avec une authentification
« local_sshkey »),
Avertissement :
Il est impossible de glisser-déposer, importer ou saisir une clé dans l'onglet « Clé publique
SSH » si aucun algorithme n'est autorisé pour la clé SSH sur la page « Politique mots
de passe locaux » du menu « Configuration ». Pour plus d'informations, voir Section 9.6,
« Configuration de la politique de mots de passe locaux », page 109.
Cette clé doit être au format OpenSSH. Sinon, un message d'erreur s'affiche.
Si vous utilisez PuTTYgen pour générer la clé, vous devez enregistrer dans un fichier
texte la clé publique affichée au format OpenSSH lors de la génération. A titre d'exemple,
cette clé est libellée comme suit :
« ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEA0yR9lBQov6[.....]c3xu9p/xNjw== rsa-

key-20151204 »
Vous pouvez alors charger cette clé dans l'onglet « Clé publique SSH ».
Si une clé existe déjà, vous pouvez charger une clé privée en utilisant PuTTYgen pour
générer la clé publique correspondante au bon format.
• « Clé GPG » : pour glisser-déposer, charger ou afficher une clé GPG, ou supprimer une clé GPG
existante,
Avertissement :
Lorsque la clé GPG n'est pas renseignée pour l'utilisateur ayant le profil
« product_administrator » ou « operation_administrator », alors un e-mail
d'avertissement est envoyé quotidiennement à l'utilisateur afin de le notifier de
l'absence de déclaration de la clé GPG.
L'envoi de cet e-mail d'avertissement peut être géré via l'option « Missing GPG key
warning email » dans le menu « Configuration » > « Options de configuration » >
« Global ». Par défaut, cette option est activée.
43
Figure 7.3. Page « Mes préférences »
7.4. Résumé
Dans l'ensemble des pages de modification de l'interface Web, un résumé est affiché sur la droite
de votre écran. Il récapitule les informations définies précédemment.
En cliquant sur les entrées principales du résumé, vous êtes redirigé(e) sur les pages
correspondantes et vous avez la possibilité de saisir, compléter, modifier ou supprimer des
informations. Notez que vous pouvez choisir de masquer ou d'afficher ce résumé à tout moment.
44
Chapitre 8. Configuration de la machine
La page « Options de configuration » du menu « Configuration » permet une configuration avancée
des paramètres globaux de WALLIX Bastion.
Cliquer sur l'option souhaitée dans la liste pour afficher les paramètres concernés qui peuvent être
configurés sur la page dédiée pour :
• la politique de conservation des données utilisateur. Pour plus d'informations, voir Section 9.4,
« Politique de conservation des données utilisateur », page 103,
• les paramètres globaux,
• l'interface Web (« GUI »). Pour plus d'informations, voir Section 8.1, « Configuration de
l'interface », page 46,
• l'interface Web précédente (« GUI (Legacy) »),
• la configuration de la licence,
• le loggeur,
• la configuration des modules externes,
• l'OEM (« OEM (Legacy GUI) »),
• le proxy RDP,
• le proxy RDP session manager,
• l'API REST,
• les options de conservation des logs des sessions. Pour plus d'informations, voir Section 15.19,
« Exporter et/ou purger les enregistrements de sessions automatiquement », page 317 et
Section 15.22, « Vérifier l'intégrité des fichiers de log des sessions », page 319,
• le proxy SSH,
• le Watchdog.
Sur chacune de ces pages, une description utile peut être affichée pour tous les champs en cochant
la case du champ « Aide sur les options » en haut à droite de la page. Cette description mentionne
le format approprié à prendre en compte dans le champ concerné.
Avertissement :
Les options affichées en cochant la case du champ « Options avancées » en haut à
droite de la page doivent UNIQUEMENT être modifiées sur demande de l’Équipe Support
WALLIX ! Un point d’exclamation orange est affiché en regard des champs concernés.
45
Figure 8.1. Page « Options de configuration » pour

le proxy SSH avec les descriptions des champs
8.1. Configuration de l'interface
L'interface Web de WALLIX Bastion peut être personnalisée pour répondre à vos besoins
spécifiques.
8.1.1. Configurer l'interface utilisateur Web

A partir du menu « Configuration » > « Options de configuration » > « GUI », sous la section
« ui », vous pouvez sélectionner l'interface utilisateur Web qui s'affichera par défaut dans le champ
« Default user interface ». Pour plus d'informations, voir l'illustration Figure 8.2, « Page « Options
de configuration » pour la configuration de l'interface Web (GUI) - Partie 1 », page 49.
Si « current » est sélectionné, l'utilisateur sera redirigé sur la page de connexion de l'interface par
défaut. Il aura, cependant, toujours accès à l'interface précédente via le lien « Interface précédente »
qui apparaît en survolant le nom d'utilisateur situé en haut de la page.
Si « legacy » est sélectionné, alors l'utilisateur sera redirigé sur la page de connexion de l'interface
précédente. Il aura, néanmoins, toujours accès à l'interface par défaut via le lien « Basculer vers
l'interface par défaut » situé en haut de la page ou aux deux interfaces via :
https://adresse_ip_bastion/ui ou https://<nom_bastion>/ui pour l'interface par

défaut
46
https://adresse_ip_bastion ou https://<nom_bastion> pour l'interface précédente
Note :
Si l'option de configuration « Link switch default interface » (accessible depuis
« Configuration » > « Options de configuration » > « GUI (Legacy) ») est décochée, alors
le lien « Basculer vers l'interface par défaut » ne s'affichera pas sur la page d'accueil de
l'interface précédente. L’utilisateur ne pourra donc pas accéder à l'interface par défaut.
8.1.2. Configurer le délai de déconnexion de la session

A partir du menu « Configuration » > « Options de configuration » > « GUI », sous la section « ui »,
vous pouvez modifier le délai de déconnexion de la session dans le champ « Session timeout ».
Pour plus d'informations, voir l'illustration Figure 8.2, « Page « Options de configuration » pour la
configuration de l'interface Web (GUI) - Partie 1 », page 49.
Par défaut, la valeur de ce délai est paramétrée à 900 secondes. La valeur minimale de ce délai
ne peut être paramétrée en deçà de 300 secondes.
La modification de ce délai s'appliquera à la prochaine connexion.
8.1.3. Configurer le mode debug

A partir du menu « Configuration » > « Options de configuration » > « GUI », sous la section « ui »,
vous pouvez activer le mode debug en cochant la case « Debug ». Pour plus d'informations, voir
l'illustration Figure 8.2, « Page « Options de configuration » pour la configuration de l'interface Web
(GUI) - Partie 1 », page 49.
Le mode debug permet d'obtenir des informations relatives aux problèmes d'affichage des pages
de l'interface Web dans la console JavaScript du navigateur. Ces informations pourront être
communiquées à l’Équipe Support WALLIX, le cas échéant.
8.1.4. Configurer l'OEM
A partir du menu « Configuration » > « Options de configuration » > « GUI », vous avez la possibilité
de personnaliser l'interface Web en configurant sous la section « oem » :
• le nom du produit affiché sur les pages de l'interface ainsi que sur l'onglet du navigateur Web
(« Product name »),
• la version courte du nom du produit (« Product name short »),
• le nom de l’Équipe Support (« Product support name »),
• l'affichage du copyright de WALLIX sur la page de connexion (« Copyright login »),
• l'icône du site affichée en miniature sur l'onglet du navigateur Web (« Favicon »),
• le logo affiché en haut du menu latéral de gauche (« Logo »),
• la version réduite du logo affichée en haut du menu latéral de gauche lorsque ce dernier est
réduit (« Logo small »),
• le logo affiché sur la page de connexion (« Login page logo »),
• le message d'accueil de la page de connexion pour chaque langue prise en charge par WALLIX
Bastion (« Login page title »),
47
• la couleur du message d'accueil et du message de connexion affichés sur la page de connexion

(« Login page info color »),
• la couleur d'arrière-plan du panneau droit de la page de connexion (« Login page background
color »),
• l'image d'arrière-plan du panneau gauche de la page de connexion (« Login page background
image »).
Notez que les images doivent être au format PNG et qu'il est possible de restaurer les images par
défaut de WALLIX Bastion en sélectionnant la case à cocher « Restore default image ».
48

la configuration de l'interface Web (GUI) - Partie 1
49

la configuration de l'interface Web (GUI) - Partie 2
8.2. Licence
L’utilisation de WALLIX Bastion est contrôlée par une clé de licence. Cette clé contient les éléments
inclus dans les termes du contrat commercial et est fournie par la société WALLIX. Elle est
renseignée dans WALLIX Bastion par le client via l'interface utilisateur Web.
Sur la page « Licence » du menu « Configuration », vous pouvez visualiser les propriétés de votre
licence et mettre à jour la clé de licence.
En fonction des termes du contrat commercial, le mécanisme de la licence peut vérifier :
• le type de licence pour un contrat de licence de type perpétuel (« Legacy Bastion license »),
• le pack pour un contrat de licence de type souscription (« WALLIX license »),
• les add-ons pour un contrat de licence de type souscription (« WALLIX license »),
• la date d'expiration de la licence,
50
Note :
Lorsque les notifications sont activées pour l'avertissement relatif à l'expiration de la
licence, un e-mail d'avertissement sera envoyé 15 jours, 10 jours, puis 5 jours et enfin
1 jour avant la date d'expiration de la licence. Pour plus d'informations, voir Section 9.5,
« Configuration des notifications », page 104.
• le nombre de connexions simultanées au Bastion (c'est-à-dire les connexions primaires),
Note :
Les connexions du compte administrateur associé au profil « product_administrator »
ne sont pas comptabilisées ici.
• le nombre de connexions simultanées aux cibles (c'est-à-dire les connexions secondaires),

• le nombre d'utilisateurs pouvant être nommés, c'est-à dire le nombre d'utilisateurs uniques
déclarés dans WALLIX Bastion ou s'étant connectés depuis une correspondance de domaine
LDAP,
• le nombre de ressources protégées, c'est à dire le nombre d'équipements et d'applications
déclarés dans WALLIX Bastion,
• lorsque WALLIX Session Manager est associé à la clé de licence, le nombre de cibles incluses
dans des groupes pouvant être déclarées pour initialiser des sessions,
Note :
Chaque cible n'est comptée qu'une seule fois, quel que soit le nombre de groupes
auxquels elle appartient.
Les comptes cibles utilisables comme comptes de scénario ne sont pas comptabilisés
ici.
• lorsque WALLIX Password Manager est associé à la clé de licence, le nombre de cibles incluses
dans des groupes pouvant être déclarées pour emprunter les accréditations des comptes,
Note :
Chaque cible n'est comptée qu'une seule fois, quel que soit le nombre de groupes
auxquels elle appartient.
• lorsque WALLIX Password Manager est associé à la clé de licence, le nombre de clients utilisant
l'outil WALLIX Application-to-Application Password Manager (également appelé « WAAPM »).
La documentation relative à WAAPM peut être téléchargée depuis le site du Support WALLIX
(https://support.wallix.com/).
Pour obtenir une licence, un fichier de contexte doit être créé et envoyé au Support WALLIX
(https://support.wallix.com/). Pour ce faire, cliquez sur le bouton « Télécharger le fichier
de contexte » afin de générer et télécharger le fichier et envoyez ce dernier à l’Équipe Support
WALLIX qui vous fournira une mise à jour de la clé de licence.
Une fois que vous avez reçu le fichier de mise à jour de la licence, chargez-le ou glissez et déposez-
le dans la section « Mise à jour de la licence » puis cliquez sur le bouton « Valider ».
Il est possible de révoquer les licences installées sur WALLIX Bastion en cliquant sur le bouton
« Révoquer ». Les anciennes licences (« Legacy Bastion license ») sont révoquées immédiatement.
51
Les licences actuelles (« WALLIX license ») deviendront invalides 15 jours après avoir effectué la
révocation.
Avertissement :
Dans le cadre d'une licence de type perpétuel (« Legacy Bastion license »), cette dernière
est liée aux adresses MAC des deux premières interfaces du Bastion (dans le cas où plus
d'une interface est déclarée). Si WALLIX Bastion est déployé sous un environnement
virtuel utilisant deux machines sur deux nœuds différents, il est impératif de vérifier
la correspondance des adresses MAC afin d'assurer la redondance. De plus, il est
fortement recommandé de définir des adresses MAC statiques afin d'éviter un éventuel
changement au cours d'un redémarrage.
8.2.1. Gérer la clé de licence via la ligne de commande

La clé de licence peut également être gérée via la ligne de commande une fois connecté(e) avec
les privilèges « root ».
Pour afficher les propriétés et les métriques de la licence :
wab2:~# WABGetLicenseInfo
Pour générer le fichier de contexte de licence :
wab2:~# WABSetLicense -c -f <Fichier de contexte>
Pour importer une nouvelle licence :
wab2:~# WABSetLicense -u -f <Fichier de mise à jour>
Pour révoquer la licence :
wab2:~# WABSetLicense -d
Avertissement :
Les anciennes licences (« Legacy Bastion license ») sont révoquées immédiatement.
Les licences actuelles (« WALLIX license ») deviendront invalides 15 jours après avoir
effectué la révocation.
8.2.2. Gérer l'envoi de notifications

Des notifications peuvent être envoyées à l'administrateur dès que l'une des métriques de la licence
a atteint et/ou dépassé le ou les seuils donnés, définis en pourcentage. Ces seuils peuvent être
gérés depuis « Configuration » > « Options de configuration » > « License configuration » > section
« [main] ».
8.3. Chiffrement
Le chiffrement de WALLIX Bastion sécurise vos données sensibles (telles que les accréditations
des comptes cibles, les mots de passe des utilisateurs locaux, les connexions à l'interface Web,
52
les connexions RDP et SSH, etc.) en les chiffrant par un algorithme cryptographique fort. Pour
plus d'informations sur les spécifications cryptographiques pour sécuriser les données au sein du
Bastion, voir Section 4.6, « Chiffrement des données », page 21.
Cet algorithme utilise une clé de chiffrement confidentielle, propre à votre WALLIX Bastion et
totalement inaccessible par l'utilisateur.
Il est recommandé de sécuriser cette clé en définissant une phrase de chiffrement (passphrase)
associée de 12 caractères minimum lors de l'installation de WALLIX Bastion, sur la page
« Encryption » (« Chiffrement ») du menu « Configuration ». La définition de cette phrase de
chiffrement dans le champ « Passphrase » rend l'accès à WALLIX Bastion plus difficile et renforce
ainsi la sécurité de vos données. En effet, toute personne malveillante ne possédant pas la phrase
de chiffrement ne pourra accéder à votre produit.
Il est impératif de mémoriser cette phrase de chiffrement car elle vous sera obligatoirement
demandée :
• lors de la restauration de la configuration de WALLIX Bastion (voir Section 8.13, « Sauvegarde

et restauration », page 68). Si votre phrase de chiffrement est perdue, vous ne serez plus en
mesure d'accéder à vos données sur les stockages distants,
• à chaque redémarrage du système. Tant que la phrase de chiffrement de la clé n'a
pas été saisie dans l’interface Web d’administration par l'administrateur associé au profil
« product_administrator », le menu de configuration « Système » est masqué et les services de
connexion des proxies de WALLIX Bastion sont inutilisables.
• lors du changement de la phrase de chiffrement. Si vous désirez changer votre phrase de
chiffrement, vous devez saisir la phrase de chiffrement actuelle pour pouvoir en définir une
nouvelle.
Important :
Pour des raisons de sécurité, la phrase de chiffrement peut uniquement être définie au
moment de l'installation de WALLIX Bastion. Il ne sera plus possible de la définir par la
suite.
Lorsqu'une phrase de chiffrement a été définie, elle ne peut plus être supprimée. Une
phrase de chiffrement existante peut cependant être modifiée.
Après initialisation du chiffrement, il est fortement recommandé d’effectuer au moins une

sauvegarde de WALLIX Bastion afin de conserver une copie de la clé de chiffrement en
lieu sûr (voir Section 8.13, « Sauvegarde et restauration », page 68).
Après avoir configuré le chiffrement, vous pouvez revenir à tout moment sur la plage « Chiffrement »
du menu « Configuration » soit pour vérifier que votre WALLIX Bastion est prêt et sécurisé ou pour
modifier la phrase de chiffrement.
53
Figure 8.4. Page "Chiffrement"
8.4. Statut du système
Sur la page « Statut » du menu « Système », vous pouvez notamment visualiser les informations
suivantes concernant le système :
• la version actuelle de WALLIX Bastion,

• le nombre de sessions courantes RDP ou SSH initiées depuis WALLIX Bastion,
Note :
Il s'agit de la liste des connexions actives sur la page « Sessions courantes » du menu
« Audit ».
• le taux d'utilisation du CPU,

• l'utilisation de la RAM,
• le taux d'utilisation du swap,
• l'espace disponible de la partition /var/wab (sur laquelle les enregistrements des sessions sont
sauvegardés).
Note :
L'utilisation de la RAM n'inclut pas le cache du système.
Tous les fichiers journaux et les fichiers relatifs aux informations de debug peuvent être téléchargés
sous la forme d'une archive .zip en cliquant sur le bouton « Télécharger les informations de debug »
dans le bas de la page.
54
Figure 8.5. Page « Statut »
8.5. Journaux et logs système

Vous pouvez visualiser et sauvegarder les journaux depuis l'interface utilisateur Web.
Tous les fichiers de ces journaux (avec l'extension .log) peuvent être téléchargés sous la forme
d'une archive .zip en cliquant sur l'icône dédiée dans la partie droite de la page concernée.
WALLIX Bastion recense les journaux système suivants :
• « syslog » affiché sur la page « Syslog » du menu « Système ». Ce journal affiche le log des
sessions, et notamment la majorité des messages liés au fonctionnement des proxies ou à
l'utilisation de l'interface Web d'administration,
• « dmesg » affiché sur la page « Messages au démarrage » du menu « Système ». Ce journal
affiche le journal de démarrage du système,
• « wabaudit » affiché sur la page « Logs audit » du menu « Configuration ». Ce journal affiche les
connexions et les opérations effectuées par les auditeurs et les administrateurs.
Par ailleurs, tous les fichiers journaux et les fichiers relatifs aux informations de debug peuvent être
téléchargés depuis la page « Statut » du menu « Système ».
Note :
Certains logs système enregistrés sur la partition /var/log sont conservés pendant une
durée maximale de 5 semaines.
8.6. Réseau
Sur la page « Réseau » du menu « Système », vous pouvez notamment définir/modifier la
configuration réseau de la machine.
Vous pouvez modifier notamment :
55
• le nom d’hôte,
• le nom de domaine,
• la configuration des interfaces réseaux, y compris les interfaces définies pour l'agrégation de
liens, les interfaces VLAN et virtuelles.
Important :
L’interface eth1 (port 2 sur la machine) est dédiée à l’interconnexion de la Haute
Disponibilité (également appelée « High-Availability » ou « HA »). Aucun autre service
ne peut être affecté à cette interface. Pour plus d'informations, voir Section 8.11.1,
« Mappage des services », page 65.
Vous pouvez également :
• ajouter des interfaces spécifiques pour l'agrégation de liens,

Pour cela, sélectionnez le mode souhaité (« active-backup » ou « 802.3ad (LACP) ») pour la
nouvelle interface d'agrégation dans l'encadré « Agrégation de liens » puis cliquez sur le bouton
« + » pour ajouter cette interface. Il est ensuite nécessaire d'associer cette interface d'agrégation
« maître » à une interface physique « esclave » dans l'encadré « Interfaces » en sélectionnant
son nom dans la liste du champ « Interface d'agrégation ».
Important :
L’interface eth1 (port 2 sur la machine) étant dédiée à l’interconnexion de la Haute
Disponibilité (également appelée « High-Availability » ou « HA »), elle ne peut pas être
sélectionnée pour l'agrégation de liens.
Il est uniquement possible de désactiver une interface en décochant l'option
« Activer IP » lorsque cette dernière n'est affectée à aucun service sur la page
« Contrôle des services ». Pour plus d'informations, voir Section 8.11, « Contrôle des
services », page 64.
Pour effectuer une agrégation de liens, l'interface physique « esclave » ne doit être
associée ni à une interface VLAN ni à une interface virtuelle ni à une route.
Pour plus d'informations sur les modes « active-backup » et « 802.3ad (LACP) »
pris en charge pour l'agrégation de liens, voir https://www.kernel.org/doc/
Documentation/networking/bonding.txt.
• ajouter des routes,

• définir les interfaces de sortie par défaut et la passerelle associée,
• activer l'IP source routing,
Pour définir l'IP source routing et donc activer l'entrée et la sortie des flux sur une même interface
physique, il est nécessaire de cocher la case de l'option « Activer l'IP source routing » dans
l'encadré « Routes ». Le routage est alors activé pour les interfaces physiques et les VLAN
activées via l'option « Activer IP » dans l'encadré « Interfaces ».
Important :
L’interface eth1 (port 2 sur la machine) étant dédiée à l’interconnexion de la Haute
Disponibilité (également appelée « High-Availability » ou « HA »), elle ne peut pas être
sélectionnée pour l'IP source routing.
56
L'interface de sortie par défaut peut être sélectionnée parmi une liste comprenant les
interfaces physiques et les interfaces VLAN activées via l'option « Activer IP » dans
l'encadré « Interfaces ».
Il est uniquement possible de désactiver une interface en décochant l'option

« Activer IP » lorsque cette dernière n'est affectée à aucun service sur la page
« Contrôle des services ». Pour plus d'informations, voir Section 8.11, « Contrôle des
L'adresse IP renseignée pour la passerelle doit correspondre au sous-réseau configuré

pour l'interface de sortie sélectionnée. Si la passerelle par défaut n'est pas renseignée,
alors les connexions sortantes depuis le Bastion sont susceptibles d'échouer.
• activer la redirection ICMP (ou « ICMP redirect »),
Pour définir la redirection ICMP, il est nécessaire de cocher la case de l'option « Activer la
redirection ICMP » dans l'encadré « Routes ».
• définir des entrées dans le fichier « hosts »,
• ajouter des serveurs DNS.
Avertissement :
Avant de changer l’adresse IP de WALLIX Bastion utilisée pour communiquer avec le
serveur de fichiers sur lequel se trouve un stockage distant, nous vous recommandons
de désactiver le stockage distant et de le réactiver après le changement d’adresse. Pour
plus d'informations, voir Section 8.8, « Stockage distant », page 59.
57
Figure 8.6. Page « Réseau »
8.7. Service de temps
Sur la page « Service de temps » du menu « Système », vous pouvez définir le fuseau horaire
de WALLIX Bastion.
Ce paramétrage est particulièrement important car :
• WALLIX Bastion doit être synchronisé en date et en heure avec les serveurs d’authentification
Kerberos,
• WALLIX Bastion est le référentiel de temps pour les informations d’audit remontées et la gestion
des plages horaires.
Note :
Par défaut, le service de temps est activé et la synchronisation est effectuée sur les
serveurs de temps du projet Debian.
58
Figure 8.7. Page « Service de temps »
8.8. Stockage distant
Sur la page « Stockage distant » du menu « Système », vous pouvez activer l'export des
enregistrements vidéo des sessions vers un système de fichiers distant en paramétrant une
connexion vers un serveur SMB/CIFS, NFS ou Amazon EFS.
Note :
WALLIX Bastion effectue un déplacement automatique des enregistrements des
sessions récemment terminées depuis un stockage local vers un stockage distant. Pour
plus d'informations, voir Section 15.20, « Déplacer les enregistrements de sessions
depuis un stockage local vers un stockage distant », page 318.
Lorsque le stockage distant est activé mais que le serveur de fichiers est temporairement
indisponible, l'ensemble des fonctionnalités de WALLIX Bastion reste accessible. Les
enregistrements de sessions sont néanmoins conservés sur le stockage local pendant
le temps d'indisponibilité du serveur.
Le paramétrage de la connexion s'effectue en renseignant les éléments suivants :
• le type du système de fichiers distant : les systèmes supportés sont SMB/CIFS, NFS et Amazon
EFS,
• la version du protocole,
Note :
Si la valeur « Automatique » est sélectionnée, alors WALLIX Bastion essaiera de
détecter automatiquement la version.
Pour SMB/CIFS, la détection « Automatique » ne prend pas en charge les versions de
protocole inférieures à SMBv2.1.
Pour NFS, la détection « Automatique » ne prend pas en charge les versions de
protocole NFSv4.1 et NFSv4.2.
Pour Amazon EFS, seule la détection « Automatique » est disponible et sélectionnée
par défaut.
59
• l’adresse IP ou le FQDN du serveur de fichiers,

• le numéro de port du service distant (sauf pour Amazon EFS),
• le répertoire distant où seront stockés les enregistrements (sauf pour Amazon EFS).
Pour SMB/CIFS, vous devez également indiquer :
• le nom d’utilisateur pour se connecter sur le service distant,

• son mot de passe.
Le bouton « Activer » permet d'activer la configuration.
Figure 8.8. Page « Stockage distant »
8.9. Intégration SIEM
Sur la page « Intégration SIEM » du menu « Système », vous pouvez paramétrer le routage
d'informations journalisées vers un ou plusieurs autres équipements réseau via des serveurs SIEM
ou syslog.
Avertissement :
Cette page est uniquement affichée lorsque la fonctionnalité « SIEM » est associée à la
clé de licence.
Le paramétrage du routage via le serveur SIEM s'effectue en renseignant les éléments suivants :
• l’adresse IP ou le FQDN du serveur,

• le protocole de transmission (UDP, TCP ou TLS),
Note :
Il est également possible de configurer le client TLS en ajoutant un fichier de
configuration spécifique. Pour plus d'informations, voir Section 15.25, « Configurer le
client TLS pour l'intégration SIEM », page 320.
• le numéro de port,
• le format de log (format standard RFC 5424 ou format RFC 3164),
60
• lorsque le format de log RFC 3164 est sélectionné, vous pouvez choisir le format d'horodatage
RFC 3164 ou ISO (AAAA-MM-JJTHH:MM:SS±TZ). Ce dernier contient en plus l’année et le
fuseau horaire.
Note :
Lors de la mise à jour à partir d'une version antérieure à WALLIX Bastion 6.2.3, le
format RFC 3164 s'applique par défaut à tous les serveurs configurés précédemment
sur cette page.
Le format RFC 3164 s'applique toujours aux sauvegardes créées uniquement sur la
version WALLIX Bastion 6.x.
• les filtres permettant de sélectionner les catégories d'informations journalisées à envoyer au

serveur.
Note :
Lors de la mise à jour à partir d'une version antérieure à WALLIX Bastion 8.2, toutes
les catégories d'informations journalisées sont sélectionnées par défaut pour tous les
serveurs configurés précédemment sur cette page.
Les journaux et logs seront alors envoyés à l’adresse IP, au port et via le protocole de transmission
sélectionnés et seront également stockés sur le système de fichiers local, afin d’être toujours
disponibles à la lecture sur la page « Logs audit » du menu « Configuration ». Pour plus
d'informations sur ce journal, voir Section 8.5, « Journaux et logs système », page 55.
Pour plus d'informations sur l'export des données, voir Chapitre 18, « Messages
SIEM », page 329.
8.10. SNMP
WALLIX Bastion embarque un agent SNMP disposant des caractéristiques suivantes :
• versions du protocole supporté : 2c, 3

• MIB implémentées : MIB 2, DISMAN-EVENT-MIB
• prise en charge de mécanismes d’alertes (« traps ») et des notifications relatives à la
consommation du disque et à la charge du CPU
• pas d’ACL sur l’adresse IP source.
Note :
Le port 161 doit être ouvert pour permettre les communications vers WALLIX Bastion
pour les accès en lecture/écriture aux OID.
Le port 162 doit être ouvert pour permettre les communications depuis WALLIX Bastion
pour les notifications trap.
Une valeur par défaut de 20 connexions simultanées minimum est requise pour chaque
port.
Sur la page « SNMP » du menu « Système », vous pouvez configurer cet agent en définissant les
paramètres associés.
61
La section « Paramétrage général » recense les champs suivants :
• « Sysname » : saisir le nom du système, par exemple, « WALLIX Bastion 9.0.5 ».

• « Syscontact » : saisir l'adresse e-mail de l'administrateur du système au format
« root@yourdomain ».
• « Syslocation » : saisir l'emplacement du système.
• « Sysdescr » : si nécessaire, saisir une description. Par défaut, ce champ n'est pas renseigné.
• « Statut » : choisir d'activer ou de désactiver l'agent SNMP. Par défaut, l’agent est désactivé.
• « Activer les notifications trap » : cocher la case pour activer les notifications via les « traps »
SNMP. Par défaut, les notifications « traps » sont désactivées.
• « Récepteur trap » : saisir l'adresse du récepteur. Ce champ est affiché et requis lorsque les
notifications « traps » sont activées.
La section « Paramétrage SNMPv2 » recense les champs suivants :
• « Désactiver SNMPv2 » : cocher cette option pour désactiver la version 2c du protocole SNMP.
• « Communauté » : saisir le nom de la communauté utilisée pour la connexion à WALLIX Bastion.
Ce champ est affiché et requis lorsque la version 2c du protocole SNMP est activée.
• « Communauté trap » : saisir le nom de la communauté utilisée pour l'envoi des messages
« traps ». Ce champ est affiché et requis lorsque les notifications « traps » et la version 2c du
protocole SNMP sont activées.
La section « Paramétrage SNMPv3 » recense les champs suivants :
• « Phrase de passe pour l'authentification » : saisir et confirmer la phrase de passe pour

l'authentification. Ce champ doit comporter plus de 8 caractères. La phrase de passe pour
l'authentification doit être renseignée au même moment que la phrase de passe pour le
chiffrement.
• « Phrase de passe pour le chiffrement » : saisir et confirmer la clé secrète pour le chiffrement.
Ce champ doit comporter plus de 8 caractères. La phrase de passe pour le chiffrement doit être
renseignée au même moment que la phrase de passe pour l'authentification.
• « Configuration du récepteur trap » : cette sous-section s'affiche lorsque les notifications « traps »
sont activées et que la version 2c du protocole SNMP est désactivée. Elle recense les champs
suivants :
– « Utilisateur trap » : saisir le nom d'utilisateur utilisé pour l'authentification sur le récepteur
« trap ». Par défaut, ce champ n'est pas renseigné.
– « Niveau de sécurité » : sélectionner le niveau de sécurité souhaité et renseigner les champs
correspondants en fonction de la sélection.
Si l'option « Authentification seulement » est sélectionnée, saisir et confirmer la phrase de
passe pour l'authentification et sélectionner l'algorithme de cryptage (SHA ou MD5).
Si l'option « Authentification et chiffrement » est sélectionnée, saisir et confirmer les phrases de
passe pour l'authentification et pour le chiffrement et sélectionner les algorithmes de cryptage
correspondants (SHA ou MD5 pour l'authentification et AES ou DES pour le chiffrement).
La section « Valeurs de seuil ( % ) » permet de renseigner les valeurs au-dessus desquelles les
notifications sont déclenchées. Elle recense les champs suivants :
• « Consommation du disque » : si nécessaire, modifier la valeur en pourcentage relative à la

consommation du disque. Des notifications sont envoyées lorsque la consommation du disque
dépasse cette valeur.
62
• « Charge moyenne CPU » : si nécessaire, modifier les valeurs en pourcentage relatives à

la charge moyenne du CPU sur des intervalles de 1, 5 et 15 minutes. Des notifications sont
envoyées lorsque ces valeurs sont dépassées.
Les valeurs renseignées dans cette section peuvent être réinitialisées en cliquant sur le bouton
« Restaurer les valeurs de seuil par défaut » en bas à gauche de la section.
Avertissement :
Par défaut, l’agent est désactivé et son activation est uniquement réalisable depuis
l’interface Web.
Par défaut, les notifications « traps » sont désactivées et leur activation est uniquement
réalisable depuis l’interface Web. Lorsqu'elles sont activées, seules les notifications
fonctionnant sous un système d'acquittement (c'est-à-dire les « traps » de type INFORM)
sont envoyées.
Par défaut, la version 2c du protocole SNMP est désactivée sur une instance WALLIX
Bastion nouvellement installée et son activation est uniquement réalisable depuis
l’interface Web.
La version 3 du protocole SNMP est systématiquement activée. Cependant, les phrases
de passe pour l'authentification et le chiffrement doivent être toutes deux renseignées au
même moment pour assurer un bon fonctionnement de l'agent.
Lorsque les Bastions sont configurés en mode Haute Disponibilité, l'agent SNMP
monitore l'ensemble des nœuds via l'adresse IP virtuelle.
Exemples d’utilisation pour la version 2c du protocole SNMP :
$ snmpget -v2c -c WALLIXdefault 192.168.0.5 system.sysDescr.0

SNMPv2-MIB::sysDescr.0 = STRING: "WALLIX Bastion Version 9.0.5"
$ snmpget -v2c -c WALLIXdefault 192.168.0.5 system.sysUpTime.0
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (65833) 0:10:58.33
$ snmpget -v2c -c WALLIXdefault 192.168.0.5 IF-MIB::ifHCOutOctets.1
IF-MIB::ifHCOutOctets.1 = Counter64: 255823831
Exemples d'utilisation pour la version 3 du protocole SNMP :
$ snmpget -v3 -l authPriv -u wabsnmp -a SHA -A <authpass> -x AES -X <privpass>

192.168.0.5 system.sysDescr.0
SNMPv2-MIB::sysDescr.0 = STRING: "WALLIX Bastion Version 9.0.5"
192.168.0.5 system.sysUpTime.0
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (65833) 0:10:58.33
192.168.0.5 IF-MIB::ifHCOutOctets.1
IF-MIB::ifHCOutOctets.1 = Counter64: 255823831
Avertissement :
Les OID système sont définis dans la MIB "SNMPv2-MIB". Veuillez vérifier que cette MIB
est installée sur votre environnement client.
L'agent SNMP peut tracer certaines données de WALLIX Bastion. La liste des variables
présentant ces données peut être récupérée en téléchargeant les deux fichiers suivants :
63
• /usr/share/snmp/mibs/wallix/WALLIX-SMI et,
• /usr/share/snmp/mibs/wallix/WALLIX-BASTION-MIB. Ce fichier WALLIX-
BASTION-MIB recense les descriptions des différentes variables et peut être ouvert
avec un éditeur de texte.
Ces fichiers MIB peuvent également être téléchargés sous la forme d'une archive .zip en
cliquant sur le bouton « Télécharger les fichiers MIB » en haut à droite de la page.
La commande suivante permet d'afficher toutes les variables exposées :
• pour la version 2c du protocole SNMP :
$ snmpwalk -v2c -c <community> 192.168.0.5 WALLIX-BASTION-

MIB::bastion
• pour la version 3 du protocole SNMP :
$ snmpwalk -v3 -l authPriv -u wabsnmp -a SHA -A <authpass> -x AES -

X <privpass> 192.168.0.5 WALLIX-BASTION-MIB::bastion
Figure 8.9. Page « SNMP » avec configuration de l'agent
8.11. Contrôle des services

Sur la page « Contrôle des services » du menu « Système », vous pouvez définir le mappage des
services pour chacune des interfaces réseaux et sélectionner les services à activer/désactiver. Pour
plus d'informations, voir Section 8.11.1, « Mappage des services », page 65 et Section 8.11.2,
« Activation des services », page 66.
64
Figure 8.10. Page « Contrôle des services »
8.11.1. Mappage des services

L’administrateur peut choisir l’affectation des services par interface réseau sur le cadre « Mappage
des services ». Ainsi, il est possible de restreindre les opérations d’administration à une seule
interface pour améliorer la sécurité de WALLIX Bastion.
Les services sont regroupés selon les fonctionnalités suivantes :
• « Fonctionnalités utilisateur et auditeur »,

• « Fonctionnalités d'administration », et
• « Haute Disponibilité ».
Le groupe de services « Fonctionnalités utilisateur et auditeur » recense notamment l’accès aux

cibles, les données des historiques ainsi que les enregistrements de sessions.
Afin de pouvoir sélectionner les services souhaités, les interfaces doivent être configurées
au préalable sur la page « Réseau ». Pour plus d'informations, voir Section 8.6,
« Réseau », page 55.
Important :
L’interface eth1 (port 2 sur la machine) est dédiée, si elle est présente, à l’interconnexion
de la Haute Disponibilité (également appelée « High-Availability » ou « HA »). Aucun
autre service ne peut y être affecté et le service « Haute Disponibilité » ne peut pas
être déplacé vers une autre interface. Le service « Haute Disponibilité » n’est donc pas
sélectionnable si cette interface n’est pas présente.
Par défaut, les fonctionnalités propres aux utilisateurs (notamment le droit d'accès aux
équipements) et aux auditeurs (notamment le droit d'audit) ne sont pas accessibles sur l’interface
Web d’administration mais il est cependant possible d'en débloquer l'accès en cochant les cases
suivantes : « Fonctionnalités utilisateur (droits d'accès comptes cibles) » et « Fonctionnalités
auditeur (droits audit sessions) ».
65
WALLIX Bastion embarque également un pare-feu permettant, entre autres, de le protéger des
attaques DDoS. Il est possible de limiter les connexions IP en parallèle vers le Bastion à un nombre
pré-défini en cochant la case « Limiter le nombre de connexions par IP » puis, en indiquant la valeur
correspondante dans le champ « Nombre de connexions ». La valeur de ce champ est définie à 10
par défaut et le nombre de connexions parallèles autorisées ne doit pas dépasser 999 connexions
par IP. A titre d'exemple, si la valeur renseignée dans ce champ est égale à « 30 », alors un utilisateur
ne peut effectuer que 30 connexions simultanées au Bastion depuis son poste de travail.
L'option « Activer le filtrage de chemin inverse » est uniquement interprétée lorsque WALLIX
Bastion dispose de deux interfaces sans Haute Disponibilité configurées avec deux sous-réseaux
(ou « subnets ») différents (c'est-à-dire eth0 avec le subnet X et eth2 avec le subnet Y) et le chemin
par défaut est paramétré sur l'une des deux interfaces (c'est-à-dire eth0).
Par défaut, lorsqu'un paquet avec une adresse IP source n'appartenant pas au subnet Y entre via
l'interface eth2, WALLIX Bastion ne répond pas (aucun paquet ne sort via les deux interfaces sans
Haute Disponibilité). Cela est dû à la configuration du filtrage de chemin inverse paramétré avec le
kernel grsec. Pour plus d'informations sur le filtrage de chemin inverse, voir http://tldp.org/
HOWTO/Adv-Routing-HOWTO/lartc.kernel.rpf.html.
Si WALLIX Bastion doit répondre au paquet entrant (via l'interface eth2), alors le filtrage de chemin
inverse doit être désactivé.
Lorsque la case de l'option « Activer le filtrage de chemin inverse » est cochée, il n'y a aucune
réponse de WALLIX Bastion (sur les paquets en provenance d'un subnet différent de l'interface
d'entrée).
Lorsque la case de l'option « Activer le filtrage de chemin inverse » est décochée (par défaut),
WALLIX Bastion répond à tous les paquets entrants (via l'interface d'entrée).
8.11.2. Activation des services

L'administrateur peut choisir les services à activer ou désactiver sur le cadre « Activation des
services ».
Les services configurables sont les suivants :
• GUI : l’interface Web d’administration de WALLIX Bastion (port 443)

• RDP : le proxy RDP/VNC (port 3389)
• SSH : le proxy SSH/SFTP/TELNET/RLOGIN (port 22)
• SSHADMIN : l’interface ligne de commande d’administration de WALLIX Bastion (port 2242)
Lors de l’installation de WALLIX Bastion, ces services sont automatiquement activés par défaut.
Dans le cas d'une utilisation restreinte de WALLIX Bastion, l'administrateur peut activer/désactiver
les services à l’aide d’un outil en ligne de commande sur la console ou via l’interface en ligne de
commande "ssh" (port 2242) :
wabsuper$ sudo -i WABServices
##################################
# WALLIX Bastion Services Status #
##################################
gui : ENABLED
rdp : ENABLED
ssh : ENABLED
sshadmin : ENABLED
Sans paramètre, l’outil présente l’état actuel de la configuration des services.
66
Le paramètre --help permet de lister les arguments pouvant être utilisés pour effectuer cette
configuration.
wabsuper$ sudo -i WABServices --help

usage: /opt/wab/bin/WABServices action [service's name]
Configure WALLIX Bastion Services
actions:
list list services status
enable enable a service
disable disable a service
L’administrateur doit saisir la commande suivante pour désactiver la GUI :
wabsuper$ sudo -i WABServices disable gui

Configuration applied
Puis, l’administrateur doit saisir cette commande pour la réactiver :
wabsuper$ sudo -i WABServices enable gui

Configuration applied
8.12. Serveur SMTP
Sur la page « Serveur SMTP » du menu « Système », vous pouvez définir/modifier la configuration
du serveur mail à utiliser pour l’envoi des notifications.
La page de configuration du serveur SMTP recense les champs suivants :
• le protocole utilisé : SMTP (par défaut), SMTPS ou SMTP + STARTTLS,

• la méthode d'authentification : Aucune (par défaut), Automatique (le serveur SMTP choisit
automatiquement une méthode), PLAIN, LOGIN, SCRAM-SHA-1, CRAM-MD5, DIGEST-MD5 ou
NTLM,
• l'adresse du serveur (adresse IP ou FQDN),
• le port du serveur (par défaut : 25 en SMTP, 465 en SMTPS et 587 en SMTP+STARTTLS),
• l'e-mail du postmaster qui recevra des messages en provenance des services locaux,
• le nom de l’expéditeur (par défaut : WALLIX Bastion),
• le hash du certificat. Cette donnée doit correspondre au certificat du serveur. Ce hash peut
être saisi manuellement ou récupéré automatiquement en cliquant sur le bouton « Vérifier le
certificat ». Dans ce cas, l'adresse et le port du serveur doivent être renseignés. Lorsque ce hash
est saisi manuellement, il peut être comparé au certificat du serveur en cliquant sur le bouton
« Vérifier le certificat ». En cas de non-concordance entre les deux certificats, une erreur s'affiche
et le hash peut être modifié en cliquant sur le bouton « Remplacer le hash ».
• l'e-mail de l'expéditeur,
Attention :
L'adresse renseignée dans ce champ peut également être utilisée comme une adresse
de destination pour certains messages d'alertes système.
• éventuellement, un nom d’utilisateur et un mot de passe.
67
Pour tester la configuration, saisissez une ou plusieurs adresses de destination dans le champ « E-
mails des destinataires pour le test » puis, cliquez sur le bouton « Tester ».
Attention :
Lorsque WALLIX Bastion est configuré en mode Haute Disponibilité (également appelé
mode « HA » ou « High-Availability »), la configuration du serveur SMTP est uniquement
propagée sur le nœud « Slave » lorsque ce dernier deviendra nœud « Master » lors d'une
bascule.
Figure 8.11. Page « Serveur SMTP »
8.13. Sauvegarde et restauration
Sur la page « Sauvegarde/Restauration» du menu « Système », vous pouvez effectuer ou restaurer
une copie de sauvegarde de la configuration de WALLIX Bastion.
Chaque sauvegarde est chiffrée avec une clé de 16 caractères. Vous devez connaître la clé d’une
sauvegarde avant sa restauration.
Si une phrase de chiffrement a été renseignée sur l'instance Bastion sauvegardée, alors celle-ci
doit obligatoirement être renseignée lors de la restauration.
Avertissement :
• Seules les sauvegardes créées à partir de la version WALLIX Bastion 6.0 ou ultérieure
peuvent être restaurées.
• Les enregistrements de sessions ne sont pas sauvegardés lors de la sauvegarde/
restauration.
• Toutes les données modifiées ou ajoutées après une sauvegarde seront perdues si
cette sauvegarde est restaurée.
• L’administrateur sera déconnecté. Il devra se reconnecter avec un des comptes
présents dans la sauvegarde, qui peuvent être différents de ceux présents avant
l'opération de sauvegarde/restauration.
• Il est possible de définir le nombre de jours de conservation des sauvegardes. Ce
paramètre peut être géré depuis « Configuration » > « Options de configuration » > «
Global » puis, saisir un nombre entier positif dans le champ « Remove backup older
68
than ». Toutes les sauvegardes plus anciennes que cette valeur, exprimée en nombre
de jours, sont alors supprimées.
Figure 8.12. Page « Sauvegarde/Restauration »
8.13.1. Restauration des fichiers de configuration

Lors de la restauration, les fichiers de configuration de certains paramètres fonctionnels situés sous
/etc/opt/wab/ sont restaurés à côté de la configuration actuelle qui n’est donc pas écrasée.
Pour les utiliser, vous devez supprimer les fichiers de la configuration actuelle et renommer à la
place ceux restaurés par la sauvegarde, qui portent comme extension additionnelle le nom du fichier
de sauvegarde suivi d’un timestamp qui correspond à la date de restauration.
Après avoir renommé les fichiers en supprimant l’extension additionnelle, vous devez redémarrer
les services correspondants à l'aide des commandes suivantes :
# systemctl restart apache2
# systemctl restart mariadb.service
# systemctl restart wabengine
# systemctl restart wabrestapi
# systemctl restart wabgui
# systemctl restart sashimi
# systemctl restart redemption
Cependant, la plupart des fichiers de configuration relatifs à certains services, les clés et les
certificats sont restaurés à la place de ceux présents dans la configuration actuelle.
Ces fichiers sont situés sous les répertoires suivants :
• /var/wab/apache2/, comme par exemple :

– la configuration du statut d'activation de l'authentification X509 :
/var/wab/apache2/x509_ready
– les clés, certificats et CRL du serveur Apache pour l'authentification X509 :
/var/wab/apache2/ssl.crt/*
/var/wab/apache2/ssl.crl/*
69
• /var/wab/etc/, comme par exemple :

– la configuration du proxy RDP :
/var/wab/etc/rdp/rdpproxy.ini
– les clés et certificat du proxy RDP :
/var/wab/etc/rdp/*.pem
/var/wab/etc/rdp/rdpproxy.key
/var/wab/etc/rdp/rdpproxy.crt
– les clés publiques et privées du proxy SSH :
/var/wab/etc/ssh/*
Attention :
Il est à noter que les propriétés relatives à la licence, au FQDN et au mot de passe
de la base de données MySQL contenues dans /var/wab/etc/wabengine.conf/
sont conservées lors de la restauration.
• /var/wab/config/, regroupant les fichiers de configuration système et réseau.
8.13.2. Sauvegarde/Restauration en ligne de commande

Il est possible d’effectuer les opérations de sauvegarde et de restauration à l’aide de scripts
spécifiques.
8.13.2.1. Script pour la sauvegarde

wab2:~# /opt/wab/bin/wallix-config-backup.py -h
Usage: wallix-config-backup.py [options]
Options:
-h, --help show this help message and exit
-d DIRECTORY, --directory=DIRECTORY
Directory where you want to store your backup.
-s, --sdcard Set this option to store the Backup in the sdcard.
DIRECTORY est le chemin du répertoire dans lequel sera créé le fichier de sauvegarde.
L’option -s peut être utilisée pour créer une copie sur un support externe (carte SD ou clé USB).
8.13.2.2. Script pour la restauration

wab2:~# /opt/wab/bin/wallix-config-restore.py -h
Usage: wallix-config-restore.py [options] -f FILENAME
wallix-config-restore.py [options] -s
Restores WALLIX Bastion backup from the specified file or from the sdcard. The
default behaviour is to restore the configuration part related to the network
70
page of the system settings menu only on the same host and in the same
standalone or HA mode. You can use options to ignore completely the system
settings and restore only the business data, or to force ignoring or restoring
the network part.
Options:
-f FILENAME, --file=FILENAME
Provide the full path of the Backup file (.wbk).
Conflicts with -s
-s, --sdcard Enter in interactive mode to select file on SDcard.
Conflicts with -f
-a, --aes Set this option to force use of AES256 instead of GPG
symmetric cipher (for compatibility with old backup
files).
-b, --blowfish Set this option to force use of Blowfish instead of
GPG symmetric cipher (for compatibility with old
backup files). Overridden by -a
-S, --nosystem Set this option to not restore any system settings.
-N, --nonetwork Set this option to never restore network and HA
settings. Overridden by -S
--forcenetwork Set this option to force restoration of network and HA
settings. (Not recommended). Overridden by -S
FILENAME est le chemin du fichier de sauvegarde.
L’option -s peut être utilisée pour restaurer depuis le support externe (carte SD ou clé USB).
Les options -a et -b ne doivent normalement pas être utilisées. Sans ces options, le fichier est
déchiffré avec GPG.
L’option -S peut être utilisée pour ne pas restaurer la partie de la configuration des paramètres
du système (définis dans le menu « Système »). Dans ce cas, seules les données métier seront
restaurées.
L’option -N peut être utilisée pour ne pas restaurer la partie de la configuration réseau définie sur
la page « Réseau » du menu « Système » et, lorsque la Haute Disponibilité est opérationnelle, les
adresses réseau du pair et du cluster.
L’option --forcenetwork, dont l’usage n’est pas recommandé, peut être utilisée pour forcer
la restauration de la partie de la configuration réseau (définie sur la page « Réseau » du
menu « Système ») lorsque la restauration s’effectue sur une machine différente ou dans
un mode Haute Disponibilité/standalone différent. Dans ce cas, les fichiers non présents
initialement dans /var/wab/config comme le fichier ha.py ou les fichiers correspondants
à l’adresse MAC de la machine seront restaurés en y accolant le nom de la sauvegarde
sans extension. Par exemple, si l’archive bastion.myhost_2019-05-01_16-30-00.wbk
contient le fichier MAC 01_02_03_04_05_06.py mais que l’adresse MAC
01:02:03:04:05:06 n’est pas présente sur la machine, le fichier sera
renommé 01_02_03_04_05_06.py.bastion.myhost_2019-05-01_16-30-00. Vous
pouvez supprimer ces fichiers ou utiliser les informations qu’ils contiennent pour mettre à jour les
fichiers correspondants de votre système avant de redémarrer les services.
8.13.3. Configuration de la sauvegarde automatique

WALLIX Bastion effectue une sauvegarde automatique configurée dans une tâche cron. Par défaut,
celle-ci est effectuée tous les jours à 18:50 dans le fuseau horaire de WALLIX Bastion, défini sur
71
la page « Service de temps » du menu « Système ». Pour plus d’informations, voir Section 8.7,
« Service de temps », page 58.
Les fichiers sont stockés dans le répertoire /var/wab/backups.
Vous pouvez changer l’heure et la fréquence de sauvegarde dans le fichier /etc/cron.d/
wabcore en modifiant la ligne lançant la commande WABExecuteBackup.
Les champs sont ceux d’une crontab, à savoir MINUTE, HEURE, JOUR_DU_MOIS, MOIS et
JOUR_DE_LA_SEMAINE.
Les valeurs autorisées pour chaque champ sont les suivantes :
• MINUTE : de 0 à 59
• HEURE : de 0 à 23
• JOUR_DU_MOIS : de 1 à 31
• MOIS : de 1 à 12
• JOUR_DE_LA_SEMAINE : de 0 à 7 (0 ou 7 pour le dimanche)
Chaque champ peut aussi prendre pour valeur un astérisque « * » qui correspond à toutes les
valeurs possibles. Les listes sont également permises en séparant les valeurs par des virgules ; les
intervalles peuvent également être définis en séparant les bornes par un trait d’union, par exemple
« 1,2,5-9,12-15,21 ».
Vous pouvez également modifier le chemin et la valeur de la clé utilisée en éditant le fichier /opt/
wab/bin/WABExecuteBackup et en modifiant les valeurs DIR et KEY au début du fichier.
Il est possible de définir une clé pour chiffrer la sauvegarde automatique lors de sa génération. Ce
paramètre peut être géré depuis « Configuration » > « Options de configuration » > « Global » puis,
saisir une chaîne de 16 caractères dans le champ « Backup key ».
8.13.4. Purge de la sauvegarde automatique

WALLIX Bastion effectue une purge des fichiers stockés de la sauvegarde automatique configurée
dans une tâche cron. Par défaut, celle-ci est effectuée tous les jours à 03:42 dans le fuseau horaire
de WALLIX Bastion, défini sur la page « Service de temps » du menu « Système ». Pour plus
d’informations, voir Section 8.7, « Service de temps », page 58.
Vous pouvez définir une limite en heures, jours ou mois pour la sauvegarde des traces ou indiquer
l’espace libre minimum acceptable en paramétrant les arguments de la ligne lançant la commande
WABBackupPurge.
wab2:~# WABBackupPurge -h
usage: WABBackupPurge [-h] [--age AGE] [--min-free MIN_FREE] [--priorize-free]
Purge WALLIX Bastion backups. If enough free space, no backup is deleted even
if older than the given age threshold.
optional arguments:
--age AGE, -A AGE Keep all traces younger than the given age in hours.
Valid suffixes are 'd[ays]' for days, or 'm[onths]'
for months. (default: 30d)
--min-free MIN_FREE, -F MIN_FREE
Free space minimum threshold in bytes. Valid suffixes
are 'KB' for 1000 bytes, 'KiB' for 1024 bytes, 'MB'
72
for 1.000.000 bytes, 'MiB' for 1.048.576 bytes, 'GB'

for 1.000.000.000 bytes, 'GiB' for 1.073.741.824
bytes, '%' for percentage of total disk space
(default: 10%)
--priorize-free, -p If provided, ignore AGE and try to free as much space
as possible until the free space threshold is reached.
Lorsque cette commande est lancée, la purge est effectuée sur les fichiers de sauvegarde jusqu’à
ce que le seuil d’espace libre minimum acceptable soit supérieur ou égal à la valeur du paramètre
MIN_FREE.
Seuls les fichiers de sauvegarde antérieurs à la valeur du paramètre AGE sont supprimés sauf si
l'argument --priorize-free est renseigné, et jusqu’à ce que le seuil d’espace libre minimum
acceptable soit supérieur ou égal à la valeur du paramètre MIN_FREE.
Il est possible de définir le nombre de jours de conservation des sauvegardes sur l'interface Web.
Ce paramètre peut être géré depuis « Configuration » > « Options de configuration » > « Global
» puis, saisir un nombre entier positif dans le champ « Remove backup older than ». Toutes les
sauvegardes plus anciennes que cette valeur, exprimée en nombre de jours, sont alors supprimées.
Lorsque la commande WABBackupPurge est lancée, la valeur dans ce champ est alors considérée
comme valeur par défaut si l'argument AGE n'est pas renseigné.
8.14. Haute Disponibilité
8.14.1. Limitations d’exploitation et prérequis
Le cluster Haute Disponibilité de type actif/passif de WALLIX Bastion 9.0.5 ne possède pas de
fonctionnalité de répartition de charge (ou « load balancing »).
Les deux appareils doivent être reliés directement entre eux par un câble croisé branché sur le port
RJ45 numéroté « 2 ».
Les interfaces HA pour les nœuds « Master » et « Slave » doivent être toutes deux configurées en
IP statiques appartenant au même sous-réseau IP.
La configuration système (et notamment les fichiers/etc/hosts et /etc/network/
interfaces) doit être effectuée via l’interface Web ou le script WABHASetup pour éviter toute
désynchronisation avec les fichiers de configuration du système de fichiers répliqués.
Les numéros de version et de correctif WALLIX Bastion des deux nœuds du cluster doivent être
strictement au même niveau.
Avertissement :
La fonctionnalité HA de WALLIX Bastion a été conçue pour répondre aux problèmes
matériels liés au disque, à la carte mère, à la carte réseau, etc. et son utilisation sous un
environnement virtuel n'est pas prise en charge.
Sur un environnement virtuel, l'installation est différente car le « matériel » n'existe pas.
Par conséquent, nous vous recommandons d'utiliser la fonctionnalité Haute Disponibilité
de VMware. La Haute Disponibilité de VMware est disponible depuis le premier niveau
de licence (VMware vSphere Standard) et nécessite au moins deux hyperviseurs. Pour
plus d'informations, veuillez suivre le lien suivant : https://www.vmware.com/uk/
products/vsphere/high-availability.html
Pour plus d'informations, voir également le Guide de Démarrage Rapide.
73
Attention :
Il est nécessaire de respecter les recommandations suivantes avant d'installer un
nouveau nœud au sein d'une configuration en Haute-Disponibilité existante :
• le nouveau nœud doit être strictement au même niveau que l'autre nœud en termes
de numéros de version et de correctif WALLIX Bastion,
• le nouveau nœud doit avoir le même nombre d'interfaces configurées, interfaces VIP
et VLAN comprises mais interfaces VIP HA exclues (interfaces avec le suffixe « ha »),
• la capacité de stockage du disque pour le nouveau nœud doit être égale ou supérieure
à celle de l'ancien nœud,
• l'horloge système du nouveau nœud doit être synchronisée avec celle de l'autre nœud.
8.14.2. Configuration du cluster
1. Vérifier que les deux appareils sont reliés directement entre eux par un câble croisé branché
sur le port RJ45 numéroté « 2 ».
2. Démarrer les deux machines du cluster en commençant indifféremment par l’une ou par l’autre.
Les appareils livrés sont pré-installés mais la fonctionnalité cluster n’est pas configurée.
3. Se connecter directement sur la console de la machine définie comme « Master » par
l’intermédiaire du compte « wabadmin ».
Attention :
Toutes les données sur la machine définie comme « Esclave » seront définitivement
supprimées !
4. Se connecter en super-utilisateur avec la commande « super » puis la commande « sudo -i ».

5. Vérifier que les horloges des deux nœuds du cluster sont bien synchronisées via la commande
Linux « date » ou par synchronisation sur un serveur NTP comme expliqué dans la section 5.3.4,
« Configuration du service de temps » du Guide de Démarrage Rapide.
6. Vérifier qu’un serveur SMTP est configuré et fonctionnel en effectuant le test d’envoi de
notification comme expliqué dans la section 5.3.5, « Configuration du serveur SMTP » du Guide
de Démarrage Rapide.
7. Vérifier que les deux machines sont configurées en IP statique, que leurs interfaces « eth1 »
sont actives et qu’elles ont des noms de machines différents. Sinon, utiliser l’interface Web pour
effectuer les réglages nécessaires.
Noter l’adresse IP de l’interface « eth1 » du nœud « Slave » qui est celle qu’il faudra utiliser
pour répondre à la question « Slave IP: » lors de l’exécution de la commande « WABHASetup »
décrite à l’étape suivante.
8. Exécuter la commande « WABHASetup » sur la console de la machine définie comme
« Master » et suivre les instructions :
wabsuper$ WABHASetup
Slave IP:
HA Virtual IP:
HA Virtual netmask:
HA Notification mail address:
...
74
Note :
Un fichier journal wabhasetup.log est créé dans le répertoire depuis lequel cette
commande a été lancée et permet de sauvegarder le résultat de l'opération.
La commande WABHASetup demande alors la configuration d'interfaces pour toutes
les interfaces physiques mappées avec les services. Pour plus d'informations
sur la configuration du mappage des services, voir Section 8.11, « Contrôle des
9. Le cluster WALLIX Bastion est maintenant configuré et activé.
8.14.3. Démarrage du cluster
Le cluster est maintenant accessible sur les adresses IP virtuelles renseignées via l'outil de
configuration WABHASetup. Seules ces adresses doivent être communiquées à vos utilisateurs.
Le mail suivant est envoyé à l’adresse indiquée à l’issue de la configuration de la Haute Disponibilité
de WALLIX Bastion.
Subject: [WAB] - The WALLIX Bastion HA has been configured

This notification sums up your HA configuration. Initial MASTER node: ... Initial SLAVE node: ...
HA Virtual ip: ...
8.14.4. Arrêt/Redémarrage du cluster
Pour contrôler le fonctionnement du cluster, l’administrateur peut utiliser les commandes de
maintenance ci-dessous.
Il est à noter que les commandes « start » et « stop » ne s’appliqueront qu’au nœud local.
# sudo systemctl stop wabha

# sudo systemctl start wabha
Avertissement :
Pour éviter une bascule involontaire, il est recommandé d’arrêter le nœud « Slave » avant
le « Master » et de démarrer le nœud « Slave » après le « Master ».
Pour vérifier l’état actuel d’un nœud, l’administrateur peut utiliser la commande suivante :
wabsuper$ /opt/wab/bin/WABHAStatus
8.14.5. Reprise sur une erreur fatale (WALLIX Bastion HA is

locked down)
Lorsque la Haute Disponibilité de WALLIX Bastion détecte un dysfonctionnement et qu’elle n’arrive
pas à le résoudre automatiquement (en redémarrant le service concerné) alors la procédure de
basculement se bloque.
Après avoir émis une notification concernant la détection d’une erreur fatale, elle crée le fichier de
lock et s’arrête. La présence de ce fichier empêche la Haute Disponibilité de redémarrer et évite
ainsi qu’elle essaye indéfiniment de résoudre le problème.
75
Après avoir résolu le dysfonctionnement, ce fichier de lock doit être supprimé manuellement avec
la commande suivante :
affected_node# rm /etc/opt/wab/ha/fatal_error
8.14.6. Coupures réseau et Split-Brain

Si les nœuds sont toujours connectés au réseau mais ne sont plus connectés ensemble (câble
réseau débranché entre deux switches, etc.), le nœud passif va passer en « Master » (procédure
standard le « Master » n’étant plus actif de son point de vue). Nous sommes donc dans une
configuration avec deux nœuds « Master » et les données du volume partagé vont commencer
à diverger.
Lors de la restauration de la connectivité, la couche DRBD du volume partagé va détecter la

divergence (également appelée « Split-Brain ») et le cluster ne fonctionnera plus. En effet, les deux
machines ayant continué de fonctionner indépendamment, leurs données sont incompatibles et
une intervention manuelle est requise.
Comme précisé dans la notification, c’est à l’administrateur de résoudre la divergence en

sélectionnant le nœud le plus à jour. La notification contient la liste des derniers fichiers modifiés
sur les deux Bastions.
Trois possibilités peuvent se présenter :
1. L’interruption a été courte et les nœuds n’ont pas été utilisés (pas de sessions créées, pas de
comptes ajoutés, etc.), alors l’administrateur peut choisir n’importe quel nœud comme étant le
« Master » de référence.
2. L’interruption fut courte et/ou un seul des nœuds n’a été vraiment utilisé (symbolisé par la
présence de fichiers de sessions et de dates de modifications plus récentes sur un seul des
nœuds). L’administrateur doit alors choisir ce nœud comme nouveau « Master » de référence.
3. L’interruption a été complexe et les deux nœuds ont été utilisés en parallèle (cas improbable,
lié à un grave dysfonctionnement réseau). L’administrateur doit alors choisir un nœud comme
nouveau « Master » de référence (celui avec le plus de modifications à son actif) et sauvegarder
les données de l’autre nœud. Enfin, il restera à les importer manuellement dans le nouveau
« Master ».
Une fois le « Master » de référence choisi, la procédure suivante doit être appliquée pour restaurer
le cluster :
outdated_node# drbdadm secondary wab

ref_master# drbdadm primary wab
outdated_node# drbdadm invalidate wab
ref_master# (drbdadm cstate wab | grep -q StandAlone) && drbdadm connect wab
outdated_node# (drbdadm cstate wab | grep -q StandAlone) && drbdadm connect wab
ref_master# systemctl start wabha
outdated_node# systemctl start wabha
8.14.7. Reconfiguration réseau du cluster

Avertissement :
Toutes les opérations de maintenance du cluster doivent être réalisées sur le nœud
« Master ».
76
Lorsque les Bastions sont configurés en mode Haute Disponibilité, les changements réseaux
comme les adresses IP ne peuvent plus se faire via l’interface Web. Les deux machines ayant leurs
disques synchronisés par le réseau, il est nécessaire de se connecter sur le nœud « Master » en
SSH et procéder comme suit :
wabsuper$ WABHASetup --reconfigure_hosts
...
8.14.8. Remplacement d’une machine défectueuse

Avertissement :
Toutes les opérations de maintenance sur le cluster doivent être réalisées sur le nœud
« Master ».
Dans le cas du remplacement d’un nœud, il faut tout d’abord déconnecter le matériel défectueux
et démarrer une instance WALLIX Bastion de remplacement. Il convient ensuite de le configurer
avec la même IP statique que le nœud manquant, puis entrer la commande suivante sur le nœud
fonctionnel :
wabsuper$ WABHASetup --configure_new_slave
...
8.14.9. Récupération d’un volume défectueux

Avertissement :
Toutes les opérations de maintenance sur le cluster doivent être réalisées sur le nœud
« Master ».
Dans le cas d’erreur d’intégrité du système de fichiers, détectable via les messages du noyau (ie :
« File system is now read-only due to the potential of on-disk corruption.
Please run fsck.ext4 once the file system is unmounted. »), suivre la procédure
ci-dessous :
1. Éteindre la Haute Disponibilité sur les deux nœuds en commençant par le « Slave » en tapant la
commande « sudo -i WABHAInitd --force stop ».
2. Vérifier que le système de fichiers partagés est bien démonté sur les deux nœuds en tapant
la commande « sudo -i umount /var/wab ».
3. Désactiver DRBD sur le nœud « Slave » en tapant la commande « sudo -i drbdadm secondary
wab ».
4. Activer DRBD sur le nœud « Master » en tapant la commande « sudo -i drbdadm primary wab ».
5. Sur le nœud « Master », exécuter la commande « sudo -i fsck.ext4 -y -f /dev/drbd1 ».
slave_node# WABHAInitd --force stop

master_node# WABHAInitd --force stop
8.14.10. Tests de bon fonctionnement de la Haute

Disponibilité
Afin de vérifier les différentes reprises sur erreurs gérées par la fonctionnalité Haute Disponibilité
de WALLIX Bastion, il est conseillé de réaliser les tests qui suivent avant de mettre la solution
77
en production. Dans les sections suivantes, nous nommerons « WabA » le nœud actuellement
« Master » et « WabB » le nœud « Slave ».
8.14.10.1. Basculement du « Master » vers le « Slave » (logiciel)

Action : éteindre la Haute Disponibilité sur le « Master »
WabA# systemctl stop wabha
Conséquence : le « Slave » va détecter le dysfonctionnement

Notification : [WAB] - WALLIX Bastion HA master WabA error detected by the WabB!
(HA_MASTER_FAULT) Reason: Service unreachable on master node!
Résultat : le « Slave » prend la main.
Notification : [WAB] - The WALLIX Bastion HA master WabB is online
Résolution complète : relancer la Haute Disponibilité sur le « Master » et il deviendra le nouveau
« Slave ».
WabA# systemctl start wabha
Notification : [WAB] - The WALLIX Bastion HA slave WabA is online
8.14.10.2. Basculement du « Master » vers le « Slave » (matériel)

Action : éteindre physiquement le « Master » (retrait du câble d’alimentation)
Conséquence : le « Slave » va détecter le dysfonctionnement
Notification : [WAB] - WALLIX Bastion HA master WabA error detected by the WabB!
(HA_MASTER_FAULT) Reason: Host does not respond to ping...
Résultat : le « Slave » prend la main
Résolution complète : rallumer le « Master » et il deviendra le nouveau « Slave »
8.14.10.3. Détection d’un dysfonctionnement sur le « Master »

Action : injection d’un dysfonctionnement sur le « Master » (service ssh désactivé)
WabA# mv /etc/ssh/sshd_config /etc/ssh/sshd_config.tmp

WabA# systemctl stop ssh
Conséquence : les deux nœuds vont détecter le dysfonctionnement (ssh non accessible)
Notifications : [WAB] - WALLIX Bastion HA master WabA error detected by WabA Reason: Service
ssh isn't responding and we couldn't restart it!
Notifications : [WAB] - WALLIX Bastion HA master WabA error detected by WabB Reason: Host
respond to ping but ssh service is down, will try to switch to master...
Résultat : le « Slave » va prendre la main et le « Master » va se downgrader « Slave »
78

Résolution complète : réparer le dysfonctionnement afin que WabA soit à nouveau capable de
devenir « Master »
WabA# mv /etc/ssh/sshd_config.tmp /etc/ssh/sshd_config

WabA# systemctl start ssh
8.14.10.4. Détection d’un dysfonctionnement sur le « Slave »

Action : éteindre physiquement le « Slave » (retrait du câble d’alimentation)
Conséquence : le « Master » va détecter le dysfonctionnement
Notification : [WAB] - The WALLIX Bastion HA slave WabB isn't connected to master WabA
anymore! Master data replication isn't working.
Résultat : la réplication des données est interrompue mais le volume est encore fonctionnel (en
mode dégradé)
Résolution complète : rallumer le « Slave »
Notification : [WAB] - The WALLIX Bastion HA slave WabB is online
Note : Si le volume de données écrit sur le « Master » dégradé est négligeable (ex : pas de nouvelle
session), la synchronisation est instantanée. Dans le cas contraire, une notification est envoyée.
Notification : [WAB] - The WALLIX Bastion HA cluster synchronization completed! The data on both
nodes is now fully synchronized.
8.14.10.5. Perte de la connectivité entre les deux nœuds

Action : déconnecter un des nœuds du réseau ou faire en sorte que les deux Bastions ne puissent
plus communiquer entre eux, ex : avec iptables
WabA# iptables -A INPUT -s IpWabB -j DROP; iptables -A OUTPUT -d IpWabB -j DROP

WabB# iptables -A INPUT -s IpWabA -j DROP; iptables -A OUTPUT -d IpWabA -j DROP
Conséquence : les deux nœuds vont détecter le dysfonctionnement. Le master va continuer de

fonctionner en mode dégradé.
Notification : [WAB] - The WALLIX Bastion HA slave WabB isn't connected to the master WabA
anymore! Master data replication isn't working.
Notification : [WAB] - The WALLIX Bastion HA master WabA error detected by
sparewab2.corp.wallix.com Reason: Host does not respond to ping...
Conséquence : le « Slave » va supposer que le master est éteint et il va donc basculer en « Master »
et fonctionner en mode dégradé à son tour.
Notification : [WAB] - The WALLIX Bastion HA slave WabA isn't connected to the master master
WabB anymore! Master data replication isn't working.
Résultat : le volume partagé va diverger entre les deux nœuds. Le cas le plus probable est qu’un
des nœuds ne soit plus sur le réseau, dans ce cas la résolution est triviale : reconnecter les deux
Bastions ou si vous avez utilisé iptables :
WabA# iptables -F
79
WabB# iptables -F
Notification: [WAB] - The WALLIX Bastion HA disks diverged (split brain detected) The WALLIX
Bastion HA drbd shared volume is now disconnected. Peers have lost connection with each other
and both have switched to master node... Data can't be synced cleanly! You need to manually
discard the changes on one of the nodes.
Une fois le nœud identifié, suivre les instructions mentionnées dans l'e-mail :
failing_node# drbdadm secondary wab

recent_node# drbdadm primary wab
failing_node# drbdadm invalidate wab
failing_node# drbdadm connect wab
recent_node# systemctl start wabha
failing_node# systemctl start wabha
Pour une résolution complète, suivre les instructions mentionnées dans l'e-mail :
WabB# drbdadm secondary wab

WabA# drbdadm primary wab
WabB# drbdadm invalidate wab
WabB# drbdadm connect wab
WabA# systemctl start wabha
WabB# systemctl start wabha
Notification: [WAB] - The WALLIX Bastion HA master WabA is online
Notification: [WAB] - The WALLIX Bastion HA slave WabB is online
80
Chapitre 9. Utilisateurs
Le menu « Utilisateurs » vous permet de créer et gérer les utilisateurs/administrateurs WALLIX
Bastion.
Il permet aussi de configurer les groupes utilisateurs sur lesquels les autorisations seront portées.
Pour plus d'informations, voir Chapitre 14, « Gestion des autorisations », page 298.
Note :
Les identifiants des comptes utilisateurs ne sont pas sensibles à la casse mais celle-ci
est préservée lors de la création du compte.
9.1. Comptes utilisateurs
Sur la page « Comptes », vous pouvez :
• lister les comptes utilisateurs selon un filtre d'affichage sur les comptes locaux ou les comptes
de domaine liés à des domaines LDAP ou Active Directory. Lorsqu'un domaine LDAP ou Active
Directory est sélectionné dans la liste, les utilisateurs de l'annuaire liés par une correspondance
avec un groupe utilisateurs de WALLIX Bastion sont affichés. Pour plus d'informations sur cette
correspondance, voir Section 9.9, « Configuration de l'intégration avec un domaine LDAP ou
Active Directory », page 127.
• ajouter/modifier/supprimer un compte utilisateur.
• identifier les utilisateurs pour lesquels le droit « Récupération du mot de passe » est activé au
niveau de leur profil : une icône en forme de clé est alors affichée dans la colonne « Profil » sur
la ligne concernée. Ces utilisateurs reçoivent un e-mail contenant les accréditations des cibles en
cas de changement du mot de passe. Pour plus d'informations, voir Section 11.4, « Configuration
du mode « bris de glace » », page 239.
Pour plus d'informations sur les profils utilisateurs, voir Section 9.3, « Profils
• débloquer un compte utilisateur verrouillé en cliquant sur l'icône en forme de cadenas affichée
dans la colonne « Statut » sur la ligne concernée. Un compte utilisateur est verrouillé lorsque le
nombre maximum d'échecs d'authentification autorisés a été atteint. Ce nombre maximum est
défini au niveau de la politique de mot de passe local. Pour plus d’informations, voir Section 9.6,
« Configuration de la politique de mots de passe locaux », page 109.
• identifier les utilisateurs pour lesquels le compte est actif : une icône en forme de coche est
affichée dans la colonne « Statut » sur la ligne concernée.
• identifier les utilisateurs pour lesquels le compte est expiré : une icône en forme de sablier
est affichée dans la colonne « Statut » sur la ligne concernée. La date d'expiration d'un compte
utilisateur est définissable lors de la création ou de la modification du compte.
• identifier les utilisateurs pour lesquels le compte est désactivé : une icône en forme
d'avertissement est affichée dans la colonne « Statut » sur la ligne concernée. La désactivation
d'un compte utilisateur est définissable lors de la création ou de la modification du compte.
• accéder au détail du compte pour visualiser les droits de l’utilisateur sur l'interface Web mais
aussi ses autorisations sur les équipements, les applications et les comptes cibles.
• importer des utilisateurs à partir d'un fichier .csv afin d'alimenter la base de données WALLIX
Bastion avec des comptes utilisateurs.
81
Pour plus d'informations sur la recherche des données et la personnalisation de l'affichage dans
les tableaux de WALLIX Bastion, voir Section 6.5, « Gestion de la recherche, du tri des données et
de la personnalisation de l'affichage dans les tableaux de l'interface Web », page 37.
Figure 9.1. Page « Comptes »
9.1.1. Ajouter un utilisateur
Sur la page « Comptes », cliquez sur « Ajouter un utilisateur » pour afficher la page de création
du compte utilisateur.
Cette page recense les champs suivants :
• un identifiant, celui-ci sera utilisé par l’utilisateur pour s’authentifier sur l’interface utilisateur Web
ainsi que sur les proxies.
• un nom usuel, un nom permettant d’identifier à qui appartient l’identifiant.
• une adresse électronique, pouvant être modifiée ultérieurement par l'utilisateur.
• un champ permettant de charger une clé publique GPG : l'utilisateur recevra le nouveau mot de
passe dans un e-mail crypté. Cette clé pourra être modifiée ultérieurement par l'utilisateur.
Avertissement :
Lorsque la clé GPG n'est pas renseignée pour l'utilisateur ayant le profil
« product_administrator » ou « operation_administrator », alors un e-mail
d'avertissement est envoyé quotidiennement à l'utilisateur afin de le notifier de
l'absence de déclaration de la clé GPG.
L'envoi de cet e-mail d'avertissement peut être géré via l'option « Missing GPG key
warning email » dans le menu « Configuration » > « Options de configuration » >
« Global ». Par défaut, cette option est activée.
• une langue préférée, permettant de sélectionner dans quelles langues seront affichées les
messages remontés par les proxies à l’utilisateur. Ce choix pourra être modifié ultérieurement
par l'utilisateur.
• un profil, permettant de définir les droits et les limitations de l’utilisateur (voir Section 9.3, « Profils
utilisateurs », page 95).
82
• une case à cocher pour indiquer si le compte utilisateur est désactivé. Dans ce cas, l'utilisateur
ne sera pas autorisé à se connecter sur l'interface Web de WALLIX Bastion et aux proxies. Par
défaut, cette case est décochée.
Attention :
Lorsque cette case est décochée et qu'aucun droit n'est défini au niveau du profil de
l'utilisateur, alors ce dernier ne sera pas autorisé à se connecter non seulement sur
l'interface Web de WALLIX Bastion, mais aussi au Web Service API REST et aux
sessions RDP et SSH.
• un champ contenant un calendrier (affiché par un clic-droit) afin de sélectionner, si nécessaire,

la date d'expiration du compte.
• une liste de groupes, qui permet de choisir dans quel(s) groupe(s) l'utilisateur doit être placé. Il
est aussi possible d’ajouter un utilisateur dans un groupe sur la page d’ajout ou de modification
d’un groupe (voir Section 9.2, « Groupes utilisateurs », page 92).
• une procédure d’authentification propre à chaque utilisateur (voir Section 9.8, « Configuration des
authentifications externes », page 119). Il est possible d’en sélectionner plusieurs pour indiquer
les serveurs de secours des authentifications externes (LDAP, RADIUS, etc.).
• lorsque la méthode d'authentification choisie est « local_password » :
– un champ permettant de saisir et confirmer un mot de passe, il peut exister des contraintes sur
les mots de passe acceptés (voir Section 9.6, « Configuration de la politique de mots de passe
locaux », page 109). Ce mot de passe pourra être modifié ultérieurement par l'utilisateur.
– un champ permettant de forcer la modification du mot de passe pour l'utilisateur. Ce dernier
reçoit alors un message l’informant de la création de son compte et de la nécessité de
modifier son mot de passe lors de sa première connexion (voir aussi Section 8.12, « Serveur
SMTP », page 67). Dans le cas où l'administrateur force la modification, l'utilisateur devra alors
obligatoirement changer son mot de passe à la prochaine authentification, soit sur l'écran de
connexion de WALLIX Bastion soit lors de la connexion à la session RDP ou SSH. Aucun
accès ne lui sera accordé tant que le mot de passe ne sera pas changé.
• lorsque la méthode d'authentification choisie est « local_sshkey », un champ permettant
d'importer ou de saisir manuellement une clé publique SSH utilisant l'algorithme RSA, ED25519
ou ECDSA. Cette clé pourra être modifiée ultérieurement par l'utilisateur.
Avertissement :
Il n'est pas possible de définir une clé si aucun algorithme n'est autorisé pour
la clé publique SSH sur la page « Politique mots de passe locaux » du menu
« Configuration ». Pour plus d'informations, voir Section 9.6, « Configuration de la
politique de mots de passe locaux », page 109.
Cette clé doit être au format OpenSSH. Sinon, un message d’erreur s’affiche.
Si vous utilisez PuTTYgen pour générer la clé, vous devez enregistrer dans un
fichier texte la clé publique affichée au format OpenSSH lors de la génération. A titre
d'exemple, cette clé est libellée comme suit :
« ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEA0yR9lBQov6[.....]c3xu9p/xNjw==
rsa-key-20151204 »
Vous pouvez alors charger cette clé dans la zone dédiée sur cette page.
83
Si une clé existe déjà, vous pouvez charger une clé privée en utilisant PuTTYgen pour
générer la clé publique correspondant au bon format.
• lorsque la méthode d'authentification choisie est « local_x509 », un champ permettant de

saisir le DN (« Distinguished Name ») ou nom distinctif du certificat pour l'authentification de
l'utilisateur (voir Section 9.7.4, « Configuration de l'authentification des utilisateurs », page 115)
si l'authentification X509 est configurée pour WALLIX Bastion.
• une adresse IP/subnet source ou une plage d’adresses, permettant de limiter l’accès aux proxies
et à l’interface Web à cette adresse ou plage d'adresses IP.
Figure 9.2. Page « Comptes » en mode création
9.1.2. Modifier un utilisateur

Sur la page « Comptes », cliquez sur un identifiant d'utilisateur puis sur « Modifier cet utilisateur »
pour afficher la page de modification du compte.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de l'utilisateur.
Note :
Si le champ « Mot de passe » n’est pas modifié, le mot de passe de l’utilisateur n’est
pas modifié.
9.1.3. Supprimer un utilisateur
84
Sur la page « Comptes », sélectionnez un ou plusieurs comptes à l’aide de la case à cocher au début
de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WALLIX Bastion affiche
une fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
9.1.4. Visualiser les droits d'un utilisateur sur l'interface

Web
Sur la page « Comptes », cliquez sur un compte pour afficher les données de l'utilisateur et étendre
la zone « Droits sur la GUI » pour visualiser les données correspondantes pour cet utilisateur.
9.1.5. Visualiser les équipements, applications et comptes

cibles accessibles par un utilisateur
Sur la page « Comptes », cliquez sur un compte pour afficher les données de l'utilisateur et étendre
les zones suivantes pour visualiser les autorisations correspondantes :
• « Autorisations sur les équipements » : cette zone affiche la liste des équipements accessibles
par cet utilisateur,
Cliquez sur l'icône au début de la ligne afin de télécharger un fichier de configuration pour établir
une connexion.
• « Autorisations sur les applications » : cette zone affiche la liste des applications accessibles par
cet utilisateur,
Cliquez sur l'icône au début de la ligne afin de télécharger un fichier de configuration pour établir
une connexion.
• « Autorisations sur les comptes » : cette zone affiche la liste des comptes cibles accessibles par
cet utilisateur.
9.1.6. Importer des utilisateurs

Vous pouvez importer des utilisateurs à partir :
• d’un fichier .csv,

• ou d’un annuaire d’entreprise (LDAP ou Active Directory) si vous souhaitez répliquer un
instantané de votre annuaire dans la base de données de WALLIX Bastion. Vous pouvez
avoir recours à la fonctionnalité d’intégration à un domaine LDAP qui utilise directement
l’annuaire (voir Section 9.9, « Configuration de l'intégration avec un domaine LDAP ou Active
Directory », page 127).
9.1.6.1. Importer des utilisateurs depuis un fichier .csv

Vous pouvez alimenter la base utilisateurs de WALLIX Bastion à partir d’un fichier .csv :
• soit depuis la page « CSV » du menu « Import/Export ». Vous pouvez alors cocher la case
« Utilisateurs » pour importer les données. Les séparateurs de champs et de listes sont également
configurables.
• soit depuis la page « Comptes » du menu « Utilisateurs ». Vous pouvez cliquer sur l'icône
« Importer depuis un fichier CSV » en haut à droite de la page pour importer les données. Vous
êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case « Utilisateurs » est
déjà cochée pour l'import des données. Les séparateurs de champs et de listes sont également
configurables.
85
Le fichier doit commencer par une ligne contenant le marqueur :

#wab820 user
Important :
Les données relatives au mot de passe, à la clé SSH ou encore au certificat X509 des
utilisateurs ne sont pas indiquées dans le fichier .csv lors de l'export. Celles-ci doivent
donc être renseignées dans le fichier .csv avant l'import.
La mise à jour des données existantes lors de l'import d’un fichier .csv entraîne un
remplacement des anciennes données par écrasement.
Chaque ligne suivante doit être formée comme indiqué ci-dessous :

Champ Type R(equis)/ Valeurs possibles Valeur par défaut
O(ptionnel)
Identifiant Texte R [aA-zZ], [0-9], '-', '_' N/A
Groupes Texte O [aA-zZ], [0-9], '-', '_' N/A
Plusieurs groupes peuvent

exister pour le même
utilisateur.
Si le groupe utilisateurs
n'existe pas, il est créé
avec la plage horaire par
défaut « allthetime ».
Nom usuel Texte O Texte libre N/A
IP source IP/FQDN O [aA-zZ], [0-9], '-', '_' N/A
Peut être soit une adresse,

soit un domaine ou encore
une plage d'IP (ex. :
« 10.10.10.11-10.10.10.42 »).
Profil Texte R Profils définis N/A
Date expiration Date et O AAAA-MM-JJ et HH:MM N/A
du compte heure
Date et heure auxquelles
le compte expirera.
Authentifications Texte R Authentifications définies N/A
utilisateur
Plusieurs authentifications
peuvent exister pour le
même utilisateur.
Clé publique Texte Requis lorsque [aA-zZ], [0-9], '-', '_' N/A
l'authentification est
« local_sshkey »
Cette donnée n'est

pas indiquée dans
le fichier .csv
lors de l'export
des utilisateurs. Elle
86

O(ptionnel)
doit donc être
renseignée dans le
fichier .csv avant
l'import.
Mot de passe Texte Requis lorsque Texte libre N/A
l'authentification est
« local_password » Doit être conforme à
la politique de mot de
Cette donnée n'est passe actuelle (nombre de
pas indiquée dans caractères spéciaux, etc.).
le fichier .csv
lors de l'export Lorsque l'import est
des utilisateurs. Elle effectué à partir de la
doit donc être version 6.1 de WALLIX
renseignée dans le Bastion :
fichier .csv avant
• si ce champ est
l'import.
vide, alors le mot de
passe est supprimé
lors de l'import.
Attention ! L'import ne
peut s'effectuer lorsqu'il
n'existe pas d'autre
moyen d'authentification
pour l'utilisateur (clé
SSH, etc.) ;
• si ce champ est
renseigné avec le mot-
clé [hidden], alors le
mot de passe existant
n'est pas modifié.
Attention ! Si aucun mot
de passe n'est défini
pour le compte, alors ce
champ prend la valeur
[hidden] ;
• si ce champ est
renseigné avec une
valeur autre que le mot-
clé [hidden], alors le
mot de passe est mis à
jour avec cette nouvelle
valeur.
Attention ! Lorsque l'import

est effectué à partir
d'une version antérieure à
WALLIX Bastion 6.1 et si
ce champ est vide, alors
87

O(ptionnel)
le mot de passe n'est PAS
supprimé lors de l'import.
E-mail Texte R Adresse e-mail N/A
Forcer le Booléen R Vrai ou Faux Faux
changement de
mot de passe
Compteur Entier O Entier positif, verrouillera 0
d’échecs l’utilisateur si supérieur
d’authentification ou égal à la valeur
du nombre maximum
d’échecs d’authentification
par utilisateur spécifiée
dans la politique de mots
de passe.
Date de Texte O Ignoré N/A
dernière
connexion
Langue Texte O « de » pour Allemand « en »
préférée
« en » pour Anglais
« es » pour Espagnol

« fr » pour Français
« ru » pour Russe

DN certificat Texte Requis lorsque Un DN de certificat N/A
l'authentification est comme indiqué dans
« local_x509 » la section 9.7.4,
« Configuration de
Cette donnée n'est l'authentification des
pas indiquée dans utilisateurs », page 115
le fichier .csv
lors de l'export
des utilisateurs. Elle
doit donc être
renseignée dans le
fichier .csv avant
l'import.
Désactivé Booléen O Vrai ou Faux Faux
Option permettant
de définir si le
compte utilisateur
est désactivé ou
non.
Exemple de syntaxe d'import :
#wab820 user
88
martin;linuxadmins;Pierre Martin;;user;;local;;jMpdu9/
x2z;martin@wallix.com;False;0;;fr
;/C=FR/O=Wallix/CN=PKI_USER;False
Après l’importation du fichier .csv, un résumé de l’opération s’affiche.

Ce récapitulatif affiche un état du nombre d’éléments qui ont été créés et mis à jour dans la base de
données de WALLIX Bastion mais aussi les lignes rejetées. En cas de rejet, l'erreur correspondante
est indiquée.
Figure 9.3. Page « CSV » - case « Utilisateurs » cochée
9.1.6.2. Importer des utilisateurs depuis un annuaire LDAP ou Active Directory

Depuis la page « Utilisateurs depuis LDAP/AD » du menu « Import/Export », vous pouvez importer
les données utilisateurs stockées dans un annuaire distant pour alimenter la base ACL interne de
WALLIX Bastion.
Cette procédure vous permet uniquement d'importer des utilisateurs depuis un annuaire distant.
Si vous souhaitez intégrer directement des utilisateurs à un domaine LDAP à partir d'un
annuaire en maintenant la synchronisation avec les changements effectués dans ce dernier,
veuillez consulter Section 9.9, « Configuration de l'intégration avec un domaine LDAP ou Active
Directory », page 127.
Avertissement :
Si les utilisateurs importés doivent s’authentifier sur l’annuaire utilisé pour
l’importation, il est nécessaire de créer auparavant la méthode d’authentification (voir
aussi Section 9.8.1, « Ajouter une authentification externe », page 120)
Cas 1 : Importer des utilisateurs depuis un annuaire LDAP sans utilisation d'Active Directory
Pour importer des utilisateurs depuis un annuaire LDAP sans utilisation d'Active Directory, il est
nécessaire de renseigner les champs sur la page « Utilisateurs depuis LDAP/AD » comme indiqué
ci-dessous :
• « Serveur » : saisir l'adresse du serveur (adresse IP ou FQDN).
89
• « Port » : le port de connexion par défaut est renseigné. Cette donnée peut être modifiée si
nécessaire.
• « Active Directory » : cette case ne doit pas être cochée.
• « Chiffrement » : sélectionner le protocole de chiffrement souhaité. Le port de connexion est alors
mis à jour en fonction de cette sélection.
Note :
Pour plus d'informations sur la configuration TLS, voir Section 15.24, « Configurer les
options TLS pour l'authentification externe LDAP », page 320.
• « DN de base » : le DN (« Distinguished Name ») ou nom distinctif de l’unité d’organisation doit

être renseigné.
• « Attribut identifiant » : renseigner le nom de l’attribut de l' utilisateur LDAP qui sera utilisé comme
identifiant au sein de WALLIX Bastion.
• « Attribut e-mail de l'utilisateur » : saisir l'attribut de l’adresse mail de l’utilisateur.
• « Filtre de recherche » : la requête permettant de récupérer tous les utilisateurs de l'annuaire est
renseignée par défaut. Cette donnée peut être modifiée pour récupérer les utilisateurs souhaités,
en utilisant la syntaxe LDAP.
• « Méthode de bind » : sélectionner soit une méthode de bind anonyme soit une méthode de
simple bind. Lorsque la méthode de simple bind est sélectionnée, les champs « Utilisateur » et
« Mot de passe » sont alors affichés.
• « Utilisateur » et « Mot de passe » : il est nécessaire de renseigner un nom d’utilisateur et un mot
de passe à utiliser pour rechercher l’identifiant dans l’annuaire. Ces champs ne sont pas affichés
lorsque la méthode de bind anonyme est sélectionnée.
Note :
L’utilisateur doit avoir les droits de lecture sur le DN de base utilisé.
Cas 2 : Importer des utilisateurs depuis un annuaire LDAP utilisant l'Active Directory
Pour importer des utilisateurs depuis un annuaire LDAP utilisant l'Active Directory, il est nécessaire
de renseigner les champs sur la page « Utilisateurs depuis LDAP/AD » comme indiqué ci-dessous :
• « Serveur » : saisir l'adresse du serveur (adresses IP ou FQDN).

• « Port » : le port de connexion par défaut est renseigné. Cette donnée peut être modifiée si
nécessaire.
• « Active Directory » : cocher la case.
Note :
• « DN de base » : dépend du nom de domaine. Par exemple pour le domaine « mycorp.lan », le
DN de base devrait être « dc=mycorp,dc=lan ».
• « Attribut identifiant » : l’identifiant de connexion est « sAMAccountName ».
90
• « Attribut e-mail de l'utilisateur » : saisir l'attribut de l’adresse mail de l’utilisateur.

• « Filtre de recherche » : la requête permettant de récupérer tous les utilisateurs de l'annuaire est
renseignée par défaut. Cette donnée peut être modifiée pour récupérer les utilisateurs souhaités,
en utilisant la syntaxe AD.
simple bind. Lorsque la méthode de simple bind est sélectionnée, les champs « Utilisateur » et
« Mot de passe » sont alors affichés.
• « Utilisateur » et « Mot de passe » : il est nécessaire de renseigner un nom d’utilisateur et un mot
de passe à utiliser pour rechercher l’identifiant dans l’annuaire. Ces champs ne sont pas affichés
lorsque la méthode de bind anonyme est sélectionnée.
Note :
Lorsque les champs sont renseignés, cliquez sur le bouton « Import ».

Si l’importation réussit, une page contenant la liste des utilisateurs extraite de l’annuaire s'affiche :
sélectionnez les utilisateurs que vous souhaitez importer au sein de WALLIX Bastion en cochant
la case au début de la ligne correspondante. Avant l'import définitif, vous devez attribuer aux
utilisateurs sélectionnés une authentification et un profil utilisateur. Un groupe d'utilisateurs et un
nom de domaine peuvent également être associés à la sélection.
Cliquez enfin sur le bouton « Import » pour procéder à l'import dans la base des utilisateurs de
WALLIX Bastion.
Après l’importation, un résumé de l’opération s’affiche. Ce récapitulatif affiche un état du nombre
d'utilisateurs qui ont été créés/rejetés dans la base de données de WALLIX Bastion. En cas de
rejet, l'erreur correspondante est indiquée.
Note :
L'identifiant de l'utilisateur importé se caractérise par la syntaxe suivante :
• « nom_de_domaine\sAMAccountName » dans le cas d'un annuaire LDAP utilisant

l'Active Directory, ou
• « nom_de_domaine\uid » dans le cas d'un annuaire LDAP sans utilisation d'Active
Directory.
Figure 9.4. Page « Utilisateurs depuis LDAP/AD »
91
9.2. Groupes utilisateurs
Sur la page « Groupes », vous pouvez :
• lister les groupes utilisateurs enregistrés,

• ajouter/modifier/supprimer un ou plusieurs groupes,
• voir qui sont les membres de chacun des groupes,
• importer des groupes utilisateurs à partir d'un fichier .csv afin d'alimenter la base utilisateurs de
WALLIX Bastion.
Note :
L'administrateur ne visualisera pas sur cette page le profil défini pour un groupe (affiché
dans le champ « Profil ») lorsque ce profil dispose d'au moins un droit que le profil
de cet administrateur ne peut pas accorder en tant que droit transmissible. Pour plus
d'informations, voir Section 9.3, « Profils utilisateurs », page 95.
Figure 9.5. Page « Groupes »
9.2.1. Ajouter un groupe utilisateurs

Sur la page « Groupes », cliquez sur « Ajouter un groupe » pour afficher la page de création du
groupe utilisateur.
• le nom du groupe,
• une description,
• la(les) plage(s) horaire(s) à appliquer,
Note :
Si plusieurs plages horaires sont sélectionnées, la plage horaire appliquée associe
toutes ces plages horaires.
92
• une liste de sélection des utilisateurs du groupe,

• une liste d’actions à appliquer lors de la détection de certaines chaînes de caractères (définies
dans le champ « Règles ») sur le flux montant des proxies (voir Section 10.5.1.7.1, « Analyse des
flux SSH / Détection de motifs (ou « patterns ») », page 195 et Section 10.5.1.7.2, « Analyse
des flux RDP / Détection de motifs (ou « patterns ») », page 200),
Avertissement :
La détection de chaînes de caractères n’est active que pour les données envoyées
par le client vers le serveur et uniquement pour les connexions sous des protocoles
spécifiques (disponibles dans la liste du champ « Sous-protocole »).
• dans le cas d’une intégration LDAP/AD telle que décrite dans la section 9.9, « Configuration de
l'intégration avec un domaine LDAP ou Active Directory », page 127, les champs du cadre
« Correspondance d'authentification LDAP » permettent de définir le profil à utiliser pour les
membres du groupe et pour chaque lien avec un annuaire, le DN du groupe de l’annuaire.
Avertissement :
Si aucun domaine LDAP/AD n'est configuré au sein de WALLIX Bastion, alors le cadre
« Correspondance d'authentification LDAP » n'est pas affiché sur cette page.
Figure 9.6. Page « Groupes » en mode création
9.2.2. Modifier un groupe utilisateurs
93
Sur la page « Groupes », cliquez sur un nom de groupe puis sur « Modifier ce groupe » pour afficher
la page de modification du groupe.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du groupe.
Le champ "Autorisations" liste les autorisations actives associées au groupe utilisateurs.
Note :
L'administrateur ne visualisera pas la zone « Correspondance d'authentification LDAP »
lorsque le profil associé au groupe dispose d'au moins un droit que le profil de
cet administrateur ne peut pas accorder en tant que droit transmissible. Pour plus
9.2.3. Supprimer un groupe utilisateurs

Sur la page « Groupes », sélectionnez un ou plusieurs groupes à l’aide de la case à cocher au début
Avertissement :
Vous ne pouvez pas supprimer un groupe utilisateurs lié à des autorisations actives (voir
Chapitre 14, « Gestion des autorisations », page 298).
9.2.4. Visualiser les membres d’un groupe utilisateurs

Sur la page « Groupes », cliquez sur un nom de groupe pour afficher les informations sur ce groupe :
le champ « Utilisateurs » contient la liste des utilisateurs de ce groupe.
Figure 9.7. Page « Groupes » - Informations sur le groupe
9.2.5. Importer des groupes utilisateurs

Sur la page « Groupes », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite
de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu
« Import/Export » : la case « Groupes utilisateurs » est déjà cochée pour l'import des données. Les
séparateurs de champs et de listes sont également configurables.
#wab820 usersgroup
94
Important :
Champ Type R(equis)/ Valeurs possibles Valeur

O(ptionnel) par défaut
Nom Texte R [aA-zZ], [0-9], '-', '_' N/A
Description Texte O Texte libre N/A
Profil Texte O Profils définis N/A
Plage horaire Texte R Plages horaires définies N/A
Plusieurs plages horaires

peuvent exister pour le
même groupe utilisateurs.
Utilisateurs Texte O Utilisateurs définis N/A
Il peut n'y avoir aucun

utilisateur ou un ou plusieurs
utilisateurs définis.

est indiquée.
9.3. Profils utilisateurs
Sur la page « Profils », vous pouvez :
• lister les profils utilisateurs,

• ajouter/modifier/supprimer un ou plusieurs profils utilisateurs,
• définir les droits et les limitations d'administration sur WALLIX Bastion pour un profil,
• importer des profils utilisateurs à partir d'un fichier .csv afin d'alimenter la base utilisateurs de
WALLIX Bastion.
9.3.1. Profils par défaut

Plusieurs profils utilisateurs sont configurés par défaut dans WALLIX Bastion. Ces profils prédéfinis
affichés sur la page « Profils » sont les suivants :
• « approver » (« approbateur ») : ce profil peut accepter/rejeter des demandes d'approbation pour

accéder aux comptes cibles.
• « auditor » (« auditeur ») : ce profil peut consulter les données d’audit de WALLIX Bastion (voir
Section 12.3, « Données d'audit », page 246) mais ne peut pas accéder aux comptes cibles
95
• « operation_administrator » (« administrateur_opération ») : ce profil peut effectuer

toute opération. Cependant, il n'a pas accès aux fonctionnalités suivantes : le menu
« Système » (comprenant la sauvegarde et la restauration du système), le menu « Audit », tous
les journaux et logs systèmes et les comptes cibles.
• « disabled » (« désactivé ») : ce profil ne dispose d’aucun droit ; il peut être modifié ou supprimé s'il
n'est pas utilisé mais il ne devrait pas être utilisé pour désactiver un compte utilisateur. Nous vous
recommandons de cocher l'option « Désactivé » sur la page d'ajout/de modification du compte
utilisateur si vous souhaitez désactiver un utilisateur. Pour plus d'informations, voir Section 9.1,
« Comptes utilisateurs », page 81.
Attention :
Le profil « disabled » (« désactivé ») s'affiche uniquement sur une version de
migration de WALLIX Bastion car il est hérité par défaut d'une version antérieure.
Lors de la migration, les utilisateurs disposant de l'ancien profil « disabled » sont
automatiquement associés au profil « user » et l'option « Désactivé » sur la page de
modification du compte utilisateur est cochée par défaut.
• « system_administrator » (« administrateur_système ») : ce profil dispose de tous les droits

d'administration système via le menu « Système ». Il peut modifier la configuration de l'appliance,
accéder à la console pour créer et restaurer des sauvegardes et visualiser tous les journaux et
logs systèmes. Cependant, ce profil ne dispose pas d'un accès aux comptes cibles.
• « user » (« utilisateur ») : ce profil n'a aucun droit d’administration mais peut accéder aux comptes
cibles.
• « product_administrator » (« administrateur_produit ») : ce profil possède tous les droits
d’administration et peut se connecter aux comptes cibles.
Note :
La configuration pour le compte administrateur d'usine est le profil
« product_administrator ».
9.3.2. Ajouter un profil utilisateur

Sur la page « Profils », cliquez sur « Ajouter un profil » pour afficher la page de création du profil
utilisateur.
Cette page recense les éléments suivants :
• un champ pour la saisie du nom du profil,
• une zone (« Droits ») permettant de définir les droits des membres du profil,
• une zone (« Droits transmissibles ») permettant de définir les droits pouvant être accordés par
les membres du profil. Cette zone est uniquement affichée lorsque le droit « Modifier » pour la
fonctionnalité « Utilisateurs », « Profils utilisateurs » ou « Paramètres » est paramétré sur la
partie « Droits »,
• une zone (« Autres fonctionnalités ») permettant de renseigner des limitations pour les membres
du profil.
Sur la partie « Droits », vous pouvez définir les autorisations pour les fonctionnalités principales de
l'interface Web affichées depuis le menu de WALLIX Bastion :
• « Aucun » : pas de droit ouvert : le menu n’apparaîtra pas lors de la connexion de l’utilisateur,
96
• « Afficher » : l'utilisateur peut consulter les éléments créés mais ne peut pas les modifier,
• « Modifier » : l'utilisateur peut consulter et modifier des éléments,
• « Exécuter » (uniquement pour la sauvegarde et la restauration) : l'utilisateur peut lancer
une sauvegarde ou une restauration du système (voir Section 8.13, « Sauvegarde et
restauration », page 68).
Une autre option est disponible pour activer/désactiver l'accès aux comptes cibles.
La partie « Droits transmissibles » est affichée si le droit « Modifier » pour la fonctionnalité
« Utilisateurs », « Profils utilisateurs » ou « Paramètres » est paramétré sur la partie « Droits ».
Sur la partie « Droits transmissibles », vous pouvez définir les autorisations pouvant être accordées
par les membres du profil. Ces autorisations sont héritées des droits définis pour le profil. Les droits
pouvant être accordés par les membres du profil ne peuvent pas être supérieurs à leurs propres
droits. Par conséquent, un profil ne peut pas autoriser la modification d'une fonctionnalité s'il n'a
pas lui-même le droit de modifier cette même fonctionnalité et la possibilité de transmettre ce droit
(sauf pour les droits « Audit session » et « Accès aux comptes cibles »).
Note :
Un utilisateur ne visualisera pas les profils et les membres des profils disposant d'au
moins un droit que cet utilisateur ne possède pas (exception faite des droits « Audit
session » et « Accès aux comptes cibles »).
Cependant, cette règle ne s'applique pas à l'entrée « Groupes » du menu « Utilisateurs »
ni sur les entrées du menu « Audit ».
Sur la partie « Tableaux de bord », vous pouvez sélectionner les tableaux de bord qui seront visibles
par les membres du profil. La liste des tableaux de bords affichée sur cette zone est héritée des
autorisations définies pour votre profil.
L'utilisateur associé au profil « product_administrator » ou « operation_administrator » peut
visualiser par défaut l'entrée « Administration » du menu « Tableaux de bord ».
L'utilisateur associé au profil « product_administrator » ou « auditor » peut visualiser par défaut
l'entrée « Audit » du menu « Tableaux de bord ».
Sur la partie « Autres fonctionnalités », vous pouvez définir des limitations pour les membres du
profil, à partir des champs suivants :
• « Limitations sur les adresses IP » : définir la ou les adresses IP sources à laquelle ou auxquelles
l'accès est restreint pour la connexion primaire. Cette adresse peut être définie comme une
adresse IP unique, un masque de sous-réseau ou encore un nom d'hôte.
• « Limitations sur les groupes utilisateurs » et « Limitations sur les groupes de cibles » :
sélectionnez les groupes utilisateurs et/ou les groupes de cibles qui seront seulement visibles
et gérables par les membres de ce profil. Les autorisations définies pour les membres du profil
s'appliqueront à ces groupes. De plus, il sera uniquement possible d'ajouter des utilisateurs et/
ou des comptes cibles dans ces groupes.
Si vous définissez des limitations sur des groupes de cibles, sélectionnez dans la liste de valeurs
le groupe auquel appartiendront les nouveaux comptes cibles par défaut.
Les limitations définies sur cette partie s'appliquent aux utilisateurs rattachés à ce profil, qu'ils
soient des utilisateurs locaux ou bien des utilisateurs importés depuis un annuaire LDAP/AD ou
encore les membres d'un groupe utilisateurs de WALLIX Bastion liés par une correspondance
d'authentification à un groupe de l'annuaire LDAP/AD .
97
Avertissement :
Si l'accès aux comptes cibles est autorisé pour le profil, il est recommandé de ne pas
définir des limitations pour les membres du profil sur la partie « Autres fonctionnalités ».
En effet, cette action pourrait causer des incohérences fonctionnelles.
Figure 9.8. Page « Profils » en mode création
9.3.3. Modifier un profil utilisateur

Sur la page « Profils », cliquez sur un nom de profil pour afficher la page de modification du profil.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du profil,
excepté le champ « Nom du profil » qui n’est pas modifiable.
Avertissement :
Un profil prédéfini ne peut être ni supprimé ni modifié.
9.3.4. Supprimer un profil utilisateur

Sur la page « Profils », sélectionnez un ou plusieurs profils à l’aide de la case à cocher au début de
la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WALLIX Bastion affiche une
fenêtre demandant une confirmation avant la suppression définitive des lignes sélectionnées.
Avertissement :
Un profil prédéfini ne peut être ni supprimé ni modifié.
Vous ne pouvez pas supprimer un profil utilisateur lorsqu'au moins un utilisateur est
rattaché à ce profil.
9.3.5. Importer des profils utilisateurs
98
Sur la page « Profils », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite de la
page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu « Import/
Export » : la case « Profils » est déjà cochée pour l'import des données. Les séparateurs de champs
et de listes sont également configurables.
#wab820 profile
Important :

Droits Texte R Droits définis pour les N/A
membres du profil.
Valeurs possibles :
- : aucun droit
r : droit « Afficher »
w : droit « Modifier »
x : droit « Exécuter »
Ces droits se définissent

en respectant l'ordre de la
liste des fonctionnalités de
l'interface Web de WALLIX
Bastion, affichée pour un profil
donné.
Liste des fonctionnalités dans

l'ordre et droits possibles pour
chacune :
- Audit session ('-', 'r')
- Audit système ('-', 'r')
- Utilisateurs ('-', 'r', 'w')
- Groupes utilisateurs ('-', 'r',

'w')
- Cibles & comptes ('-', 'r', 'w')
- Groupes de cibles ('-', 'r', 'w')
99

- Gestion des autorisations
('-', 'r', 'w')
- Gestion des approbations
('-', 'r', 'w')
- Profils utilisateurs ('-', 'w')
- Paramètres ('-', 'r', 'w')
- Paramètres système ('-', 'w')

- Sauvegarde/Restauration
('-', 'x')
- Récupération du mot de
passe ('-', 'x')
Un profil avec la définition

--rrrrw---wx- aura les droits
suivants :
- Audit session : aucun droit

- Audit système : aucun droit
- Utilisateurs : droit
« Afficher »
- Groupes utilisateurs : droit

« Afficher »
- Cibles & comptes : droit

« Afficher »
- Groupes de cibles : droit

« Afficher »
- Gestion des autorisations :

droit « Modifier »
- Gestion des approbations :

aucun droit
- Profils utilisateurs : aucun

droit
- Paramètres : aucun droit
- Paramètres système : droit

« Modifier »
- Sauvegarde/Restauration :
droit « Exécuter »
- Récupération du mot de
passe : aucun droit
100

Accès aux Booléen R Vrai ou Faux Faux
comptes
cibles
Limitations IP/subnet/ O [aA-zZ], [0-9], '-', '/', '.' N/A
sur les hôte
adresses IP par exemple, pour un subnet :
1.1.1.0/24
Il peut n'y avoir aucune

adresse réseau ou une ou
plusieurs adresses définies.
Dans ce cas, elles
doivent être séparées par
« ; », par exemple :
10.10.10.10;24.12.33.125
Limitations Booléen R Vrai ou Faux Faux
sur les
groupes
utilisateurs
Groupes Texte O Groupes utilisateurs définis N/A
utilisateurs
Il peut n'y avoir aucun groupe
utilisateurs ou un ou plusieurs
groupes utilisateurs définis.
Limitations Booléen R Vrai ou Faux Faux
sur les
groupes de
cibles
Groupes de Texte O Groupes de cibles définis N/A
cibles
Il peut n'y avoir aucun groupe
de cibles ou un ou plusieurs
groupes de cibles définis.
Groupe de Texte O Groupe de cibles par défaut N/A
cibles par défini
défaut
Droits Texte O Droits transmissibles définis N/A
transmissibles pour les membres du profil.
Valeurs possibles :
- : aucun droit
r : droit « Afficher »
w : droit « Modifier »
x : droit « Exécuter »
Ces droits se définissent en

respectant les droits du profil
101

renseignés dans la colonne
« Droits ».
Liste des fonctionnalités dans
l'ordre et droits possibles pour
chacune :
- Session audit ('-', 'r')
- System audit ('-', 'r')

- Users ('-', 'r', 'w')
- Targets & accounts ('-', 'r',

'w')
- Manage Authorizations ('-',

'r', 'w')
- Manage Approvals ('-', 'r',

'w')
- User profiles ('-', 'w')

- Settings ('-', 'r', 'w')
- System settings ('-', 'w')
- Backup/Restore ('-', 'x')
- Credential recovery ('-', 'x')
Un profil avec la définition

--rrw---wx- aura les droits
suivants :
- Session audit : aucun droit
- System audit : aucun droit
- Users : droit « Afficher »
- Targets & accounts : droit

« Afficher »
- Manage Authorizations :
droit « Modifier »
- Manage Approvals : aucun

droit
- User profiles : aucun droit
- Settings : aucun droit
- System settings : droit

« Modifier »
102

- Backup/Restore : droit
« Exécuter »
- Credential recovery : aucun
droit
est indiquée.
9.4. Politique de conservation des données

utilisateur
Dans la démarche de conformité au RGPD, WALLIX Bastion vous permet de définir des durées de
conservation pour les données relatives aux utilisateurs.
Avertissement :
Lorsque WALLIX Bastion est configuré en mode Haute Disponibilité DRBD, la
configuration de la conservation des données utilisateur est uniquement propagée sur le
nœud « Slave » lorsque ce dernier deviendra nœud « Master » suite à une bascule. Il
est conseillé de forcer une bascule DRBD afin d'appliquer la nouvelle configuration sur
tous les nœuds.
La section « Data retention policy », accessible depuis le menu « Configuration » > « Options de
configuration », permet de configurer les options suivantes :
• « Remove user data older than » : il s'agit de supprimer les données utilisateur figurant dans
les bases de données de WALLIX Bastion, c'est-à-dire les données se trouvant dans les tables
suivantes : account activity, answer, approval, auth_log, session_log et user.
Ainsi, toutes les données plus anciennes que la valeur définie dans ce champ en nombre de
semaines (avec le suffixe « w », comme par exemple « 10w » pour 10 semaines) ou en nombre
de jours (avec le suffixe « d », comme par exemple « 24d » pour 24 jours) sont supprimées. Si
aucun suffixe n'est renseigné, alors la valeur est considérée comme étant exprimée en nombre
de semaines.
Note :
La suppression des données utilisateur figurant dans les bases de données de WALLIX
Bastion se base sur :
– pour la table account activity : la date de l'activité de l'utilisateur,
– pour la table answer : la date de création de la réponse d'approbation,
– pour la table approval : la date de fin de l'approbation,
– pour la table auth_log : le timestamp des logs d'authentification,
– pour la table user : la date de désactivation de l'utilisateur.
103
Pour plus d'informations sur la purge des sessions, voir Section 15.18, « Exporter
et/ou purger les enregistrements de sessions manuellement », page 315
et Section 15.19, « Exporter et/ou purger les enregistrements de sessions
automatiquement », page 317.
• « Max delete objects » : il s'agit du nombre maximal d’objets, par type de données, à supprimer
de la base de données. Ce champ est affiché lorsque la case du champ « Options avancées »
en haut à droite de la page est cochée et doit être UNIQUEMENT modifié sur les instructions
de l’Équipe Support WALLIX !
• « Remove user logs older than » : il s'agit de supprimer les données utilisateur figurant dans les
logs de WALLIX Bastion, c'est-à-dire les données se trouvant dans les fichiers enregistrés sur
la partition /var/log : syslog, debug, error, user.log, wabaudit.log et wabauth.log.
Ainsi, toutes les données plus anciennes que la valeur définie dans ce champ en nombre de
semaines (avec le suffixe « w », comme par exemple « 20w » pour 20 semaines) ou en nombre
de jours (avec le suffixe « d », comme par exemple « 36d » pour 36 jours) sont supprimées. Si
aucun suffixe n'est renseigné, alors la valeur est considérée comme étant exprimée en nombre
de semaines. La durée maximale de conservation des logs est de 365 jours ou 52 semaines.
Avertissement :
Si la valeur définie pour l'option « Remove user data older than » est supérieure à celle
définie pour l'option « Remove user logs older than », alors la durée de conservation des
logs prend la valeur définie pour l'option « Remove user data older than ».
9.5. Configuration des notifications

WALLIX Bastion vous permet de définir des notifications. Ces notifications sont déclenchées et
envoyées à l'utilisateur lors de la détection d’évènements tels que :
• une erreur lors de l'authentification primaire, c'est-à-dire un échec de l'authentification d'un

utilisateur sur WALLIX Bastion,
• une erreur lors d'une connexion secondaire, c'est-à-dire un échec de la connexion à une cible,
• une connexion ou un emprunt de mot de passe sur une cible critique,
• une nouvelle empreinte de clé SSH enregistrée,
• une mauvaise empreinte de clé SSH détectée,
• une erreur d'intégrité,
Note :
Lorsque les notifications sont activées pour ce type d'évènement, l'e-mail récapitule les
erreurs pour les sessions datant de plus de 3 jours par défaut. Il est cependant possible
de définir une autre valeur pour ce nombre de jours. Ce paramètre peut être modifié
depuis « Configuration » > « Options de configuration » > « Session log policy ». Sur
cette page, saisissez un nombre entier positif dans le champ « Summarize error older
than » de la section « IntegrityChecker ». Si la valeur « 0 » est renseignée dans ce
champ, alors l'e-mail de notification ne présente pas de récapitulatif des erreurs.
• une erreur RAID,

• la détection d’une occurrence lors de l’analyse du flux montant SSH ou RDP,
• un avertissement sur l'expiration de la licence,
104
Note :
Lorsque les notifications sont activées pour ce type d'évènement, l'e-mail
d'avertissement sera envoyé 15 jours, 10 jours, puis 5 jours et enfin 1 jour avant la
date d'expiration de la licence.
Il est également possible de définir des seuils permettant de déclencher l'envoi d'une
notification à l'administrateur dès qu'une des métriques de la licence a atteint et/ou
dépassé ces seuils. Pour plus d'informations, voir Section 8.2.2, « Gérer l'envoi de
notifications », page 52.
• une alerte relative à l’expiration des mots de passe,

• une alerte concernant l’espace disque disponible.
Sur la page « Notifications » du menu « Configuration », vous pouvez ajouter, modifier ou supprimer
des notifications.
9.5.1. Ajouter une notification

Sur la page « Notifications » du menu « Configuration », cliquez sur le bouton « + Ajouter » pour
afficher la page de création de la notification.
• le nom de la notification,
• la description de la notification,
• un bouton pour activer ou désactiver la notification par e-mail. Par défaut, la notification est
activée.
• l’e-mail du destinataire,
Note :
Lorsque vous avez saisi une adresse e-mail valide, cliquez sur « + » situé à la fin
du champ pour l'ajouter à la liste des destinataires. Une fois que l'adresse e-mail est
ajoutée, vous avez la possibilité de la supprimer de la liste en cliquant sur l'icône rouge
« - ».
Vous pouvez ajouter autant de destinataires que nécessaire.
• la langue dans laquelle la notification sera envoyée au destinataire,

• des cases à cocher pour sélectionner les types d’évènements qui déclencheront la notification.
105
Figure 9.9. Page « Notifications » en mode création
Note :
Vous pouvez configurer les paramètres d’envoi des mails sur la page « Serveur SMTP »
du menu « Système » (voir Section 8.12, « Serveur SMTP », page 67).
9.5.2. Modifier une notification

Sur la page « Notifications » du menu « Configuration », cliquez sur un nom de notification. La page
de modification de la notification s'affiche et vous permet de modifier les données déjà renseignées.
Les champs de cette page sont les mêmes que ceux affichés sur la page de création de la
notification, à l'exception du champ « Nom » qui n’est pas modifiable.
9.5.3. Supprimer une notification

Sur la page « Notifications » du menu « Configuration », sélectionnez une notification à l’aide de la
case à cocher située en début de ligne puis cliquez sur le bouton « Supprimer ». WALLIX Bastion
affiche une fenêtre demandant une confirmation avant la suppression définitive de la notification
sélectionnée.
9.5.4. Créer des modèles de notifications personnalisées

Vous pouvez créer des modèles de notifications personnalisées à partir de la ligne de commande
afin de :
106
• modifier le sujet et le corps des notifications selon vos besoins,

• envoyer des notifications au format HTML.
Note :
Lorsqu'un modèle de notification personnalisée a été créé, l'ordre d'envoi est le suivant :
• En premier lieu, la notification personnalisée dans la langue de l'utilisateur s'il existe

un modèle correspondant. Par exemple : approval_pending_user_fr.txt,
• A défaut, la notification personnalisée en anglais s'il existe un modèle correspondant.
Par exemple : approval_pending_user_en.txt,
• A défaut, la notification par défaut de WALLIX Bastion dans la langue de l'utilisateur.
Par exemple : approval_pending_user.txt.
Pour créer un modèle de notification personnalisée, suivez les étapes ci-dessous :
1. Se connecter à WALLIX Bastion via SSH.

2. Créer un modèle de notification au format .txt dans le répertoire /var/wab/etc/notifier/.
Attention :
Le nom des modèles de notifications personnalisées doit être identique à celui des
modèles de notifications par défaut, suivi du suffixe de la langue.
Par exemple : approval_pending_user_fr.txt.
Pour afficher la liste des notifications par défaut afin d'en copier le nom, lancez
la commande suivante : ls /opt/wab/lib/python3.7/site-packages/
wallixgenericnotifier/templates/mail.
3. Personnaliser le modèle de notification en respectant les règles suivantes :

• La première ligne correspond au sujet de la notification. Ce dernier doit tenir sur une ligne,
• La seconde ligne doit contenir deux tirets pour marquer la séparation entre le sujet et le corps
de la notification. Ils n’apparaîtront pas dans le mail reçu par l'utilisateur,
• Les autres lignes correspondent au corps de la notification,
• Si nécessaire, les mêmes variables que celles mentionnées dans les notifications par
défaut peuvent être utilisées. Leur format doit être le suivant : {{nom}}. La liste de
ces variables est disponible dans ce répertoire : /opt/wab/lib/python3.7/site-
packages/wallixgenericnotifier/templates/mail/.
Le tableau ci-dessous liste les variables supplémentaires disponibles pour les notifications
personnalisées :
Variables de WALLIX Bastion Description

{{ product_name }} Nom du produit (« WALLIX Bastion » par défaut)
{{ product_name_short }} Version courte du nom du produit (« Bastion » par
défaut)
{{ product_support_name }} Nom de l’Équipe Support (« WALLIX » par défaut)
{{ notifier.ip }} Adresse IP de l'interface utilisateur de WALLIX
Bastion
107

{{ notifier.hostname }} Nom d'hôte de WALLIX Bastion
{{ notifier.fqdn }} FQDN de WALLIX Bastion (si le FQDN n'est pas
paramétré, le nom d'hôte est utilisé par défaut)
Le tableau ci-dessous liste les variables disponibles pour les notifications d'approbation
personnalisées envoyées aux utilisateurs ayant effectué une demande d'approbation (tous
les modèles : approval_*_user.txt) :

{{ target }} Nom de la cible
{{ name }} Nom de l'utilisateur ayant effectué une demande
d'approbation
{{ answer_user }} Nom de l'approbateur (pour une notification
envoyée après une réponse)
{{ begin }} Heure de début (format : « AAAA-MM-JJ hh:mm »)
{{ end }} Heure de fin (format : « AAAA-MM-JJ hh:mm »)
{{ duration }} Durée, en unités de temps (« h » pour les heures,
« m » pour les minutes)
{{ approvers }} Liste séparée par des virgules des noms des
approbateurs
{{ reason }} Raison donnée par l’approbateur (pour une
notification envoyée après une réponse)
Le tableau ci-dessous liste les variables pouvant être utilisées dans les notifications
d'approbation personnalisées envoyées aux approbateurs (tous les modèles :
approval_*_approver.txt) :

{{ approval_uid }} UID de la demande d’approbation
{{ user }} Nom de l'utilisateur ayant effectué une demande
d'approbation
{{ target }} Nom de la cible
{{ begin }} Heure de début (format : « AAAA-MM-JJ hh:mm »)
{{ end }} Heure de fin (format : « AAAA-MM-JJ hh:mm »)
{{ duration }} Durée, en unités de temps (« h » pour les heures,
« m » pour les minutes)
{{ approvers }} Liste séparée par des virgules des noms des
approbateurs
{{ reason }} Commentaire de l'approbation (« - » s’il n’est pas
défini)
{{ ticket }} Ticket de l'approbation (« - » s’il n’est pas défini)
Exemple de modèle de notification personnalisée :
Votre demande d'accès à {{ target }}
108
--
Cible : {{ target }}
entre {{ begin }} et {{ end }} ({{ duration }})
Votre demande d'accès à été envoyée.
Vous serez notifié(e) dans les plus brefs délais après examen de votre demande.
--
Votre administateur {{ product_name_short }}
4. Si nécessaire, ajouter l'élément <html> dans le modèle afin d'envoyer une notification
personnalisée au format HTML comme illustré dans l'exemple ci-dessous :
Votre demande d'accès à {{ target }}

--
<html>
Cible : {{ target }}
 
entre {{ begin }} et {{ end }} ({{ duration }})
 
Votre demande d'accès à été envoyée.
 
Vous serez notifié(e) dans les plus brefs délais après examen de votre demande.
 
--
 
Votre administateur {{ product_name_short }}
</html>
9.6. Configuration de la politique de mots de

passe locaux
La politique de mots de passe permet d’établir des règles relatives au stockage des mots de passe
locaux. Ces règles définissent notamment le niveau de complexité du mot de passe.
Sur la page « Politique de mots de passe locaux » du menu « Configuration », vous pouvez définir

la politique de mots de passe et également configurer la durée de vie des mots de passe.
• la durée de validité du mot de passe, en jours. Passée cette durée, l’utilisateur sera invité à
changer son mot de passe sur l'écran de connexion de WALLIX Bastion ou lors de la connexion
à la session RDP ou SSH. Il est recommandé que cette valeur soit inférieure à un an.
• l’échéance avant le premier avertissement d'expiration du mot de passe, en jours. Il est
recommandé de définir ici une valeur d'au moins 20 jours.
• le nombre maximum d'échecs d'authentification autorisés par utilisateur. Il est recommandé de
définir ici une valeur maximum de 5 tentatives d'authentification.
• le nombre de mots de passe précédents non réutilisables. Il est recommandé de rejeter au moins
les 4 derniers mots de passe.
• la longueur minimale du mot de passe. Cette donnée doit être supérieure à la somme des autres
contraintes de nombre de caractères. Il est recommandé de définir ici une valeur d'au moins 12
caractères.
109
• le nombre minimum de caractères spéciaux dans le mot de passe. Il est recommandé de définir
ici une valeur d'au moins 1 caractère.
• le nombre minimum de lettres majuscules dans le mot de passe. Il est recommandé de définir
• le nombre minimum de lettres minuscules dans le mot de passe. Il est recommandé de définir
• le nombre minimum de chiffres dans le mot de passe. Il est recommandé de définir ici une valeur
d'au moins 1 caractère.
• une liste permettant de sélectionner un ou plusieurs algorithmes autorisés pour la clé publique
SSH. Si l'algorithme « RSA » est sélectionné, la longueur minimale de la clé doit être renseignée
dans le champ « Longueur minimale de la clé RSA ». Cette valeur ne doit pas être inférieure
à 1024 bits.
Note :
Si aucun algorithme n'est sélectionné, alors il n'est pas possible de définir une clé
publique SSH depuis la page « Mes préférences » ni d'en attribuer une à un utilisateur
local sur la page « Comptes » du menu « Utilisateurs ».
• un bouton permettant d’autoriser un mot de passe similaire à l’identifiant de l’utilisateur. Il est

recommandé de ne pas permettre la similitude.
• un bouton permettant de charger le fichier contenant la liste des mots de passe interdits.
Note :
Le fichier contenant la liste des mots de passe interdits doit être au format UTF-8.
• un bouton permettant de télécharger le fichier contenant la liste des mots de passe interdits.
110
Figure 9.10. Page « Politique mots de passe locaux »
9.7. Configuration de l'authentification par

certificat X509
WALLIX Bastion prend en charge l'authentification par certificat X509 afin de permettre aux
utilisateurs de s'authentifier avec des certificats.
Sur la page « Configuration X509 » située dans le menu « Configuration », vous pouvez configurer
l'authentification X509 ainsi que les listes de révocation de certificats (CRL) et le protocole de
vérification de certificat en ligne (OCSP). Pour ce faire, sélectionnez « Certificats », « CRL » ou
« OCSP » dans la liste déroulante.
9.7.1. Activation de l'authentification par certificat X509

9.7.1.1. Prérequis pour la configuration
Avant de configurer l’authentification via X509, assurez-vous de disposer des éléments requis
suivants :
• la clé publique au format PEM de l’Autorité de Certification ayant délivré ce certificat du serveur.
Il peut s’agir d’un certificat auto-signé ou délivré par une autorité reconnue,
• le certificat au format PEM pour le serveur Web de WALLIX Bastion,
• la clé privée au format PEM correspondant à ce certificat du serveur.
111
9.7.1.2. Configuration X509
Sur la page « Certificats », suivre les étapes suivantes pour configurer et activer l'authentification
X509 :
• Dans la section « Certificats serveur X509 » :

1. Télécharger le certificat de l'AC au format PEM (il contient la clé publique). Dans le cas où
il existe plusieurs certificats de l'AC, il est nécessaire de les combiner en collant le contenu
de chaque certificat l'un après l'autre dans un fichier unique au format PEM avant de le
télécharger.
2. Télécharger le certificat du serveur au format PEM (il contient la clé publique) ou la chaîne
de certificats.
Avertissement :
Si l'algorithme de signature du certificat du serveur est trop faible, un message
d'erreur s'affiche pendant le téléchargement. Veuillez contacter l’Équipe Support
WALLIX pour plus d'informations.
3. Télécharger la clé privée du serveur au format PEM.

• Dans la section « Authentification X509 », activer l'authentification à l'aide du bouton « Activer
l'authentification X509 ».
• Cliquer sur le bouton « Valider » pour activer l'authentification X509 et redémarrer l'interface Web
de WALLIX Bastion. Ce processus peut prendre quelques secondes.
Avertissement :
Si l'authentification X509 est activée, l'algorithme cryptographique TLSv1.3 pour la
connexion HTTPS est désactivée. Cependant, cet algorithme est activé par défaut
lorsque l'authentification X509 est désactivée.
Note :
L'interface Web de WALLIX Bastion et le Web Service API REST sont indisponibles
pendant la durée de cette phase de configuration. Les connexions sur l'interface sont
donc déconnectées. Il n'y a, cependant, aucune répercussion pour les sessions RDP et
SSH.
112
Figure 9.11. Page "Configuration X509" pour le téléchargement des certificats
9.7.2. Gestion de la liste de révocation de certificats (CRL)

Sur la page « CRL », suivre les étapes suivantes pour configurer la gestion des CRL :
1. Télécharger un fichier contenant une liste de révocation de certificats (CRL).

2. Renseigner une adresse à partir de laquelle la CRL est automatiquement récupérée. La
récupération est effectuée toutes les heures.
3. Activer le bouton « Activer la vérification de la liste de révocation de certificats (CRL) » pour
effectuer un contrôle de cette liste. La vérification est désactivée par défaut.
4. Cliquer sur le bouton « Valider ».
Note :
Les fichiers CRL sont stockés dans le répertoire /var/wab/apache2/ssl.crl/.
Un fichier importé contenant plusieurs CRL sera divisé en plusieurs fichiers CRL unitaires.
Une CRL importée remplacera uniquement une ancienne version si le chiffre

correspondant à la donnée « CRLNumber » est supérieur ou égal à celui de l'ancienne
version.
Il est également possible de mettre à jour cette liste via une commande dédiée. Pour plus
d'informations, voir Section 15.28, « Mettre à jour la liste de révocation CRL (Certificate
Revocation List) », page 324.
113
Figure 9.12. Page « Configuration X509 » pour la configuration de la CRL
9.7.3. Gestion du protocole de vérification de certificat en

ligne (OCSP)
L'OCSP fournit des informations sur le statut de révocation des certificats lorsqu'un utilisateur se
connecte à un serveur via un certificat SSL. Le répondeur OCSP reçoit la requête et renvoie une
réponse indiquant que :
• le certificat est valide,

• le certificat est révoqué,
• les informations liées au certificat sont inconnues.
Sur la page « OCSP », suivre les étapes suivantes pour configurer l'OCSP:
1. Sélectionner l'une des trois directives.

2. Renseigner l'URL du proxy qui sera utilisé pour les requêtes au répondeur OCSP. Le répondeur
OCSP utilisé correspond à celui du certificat.
3. Renseigner l'URI du serveur OCSP par défaut qui sera utilisé à la place des répondeurs OCSP.
4. Activer le bouton « Activer la validation OCSP de la chaîne de certificats client » pour valider
les certificats de la chaîne de certificats du client auprès d'un répondeur OCSP.
114
Figure 9.13. Page "Configuration X509" pour la configuration de l'OCSP
9.7.4. Configuration de l'authentification des utilisateurs

Sur la page « Comptes » située dans le menu « Utilisateurs », vous devez configurer la méthode
d'authentification de l'utilisateur.
La section « Authentification locale - X509 » et le champ « DN de certificat » apparaissent

sur la page lors de l'ajout ou de la modification d'un utilisateur (voir Section 9.1, « Comptes
utilisateurs », page 81). Pour associer l'utilisateur au certificat, le DN (« Distinguished Name »)
ou nom distinctif du certificat doit être renseigné dans le champ « DN de certificat » comme suit :
CN=Lucas Martin,O=MyCorp,L=PARIS,ST=IDF,C=FR
Lorsque ce certificat sera utilisé, l’utilisateur lié sera authentifié sur WALLIX Bastion.
Attention :
Certains certificats ont un attribut « emailAddress » noté « E =... » dans le DN du certificat.
Cet attribut doit être remplacé par « emailAddress =... » dans le champ dédié.
Note :
Les certificats doivent être signés par la même Autorité de Certification que celui du
serveur Web.
Les caractères Unicode sont pris en charge dans le DN si le certificat est encodé en
UTF-8 selon la RFC2253, sinon seuls les caractères ASCII standards sont supportés.
La longueur maximale du DN prise en charge est de 1024 octets (le nombre exact de
caractères peut être inférieur selon la longueur de l’encodage UTF-8).
115
Figure 9.14. Page « Comptes » en mode modification avec le champ « DN de certificat »
9.7.5. Authentification X509
9.7.5.1. Authentification X509 sur l'interface Web
Lors de la prochaine connexion, la page d’authentification de WALLIX Bastion affiche un nouveau
lien permettant de s’authentifier via un certificat SSL.
116
Figure 9.15. Écran de connexion avec authentification X509
Les utilisateurs et les administrateurs peuvent ainsi s’authentifier à l’aide d’un certificat stocké dans
le navigateur.
Figure 9.16. Authentification d’un utilisateur via un certificat SSL
9.7.5.2. Connexion à la cible en X509

Lorsque l'utilisateur s’authentifie via un certificat X509, le processus de connexion est le suivant :
1. L'utilisateur se connecte à un équipement cible via un client RDP ou SSH.
117
2. Le proxy interroge WALLIX Bastion afin d'obtenir le mode d’authentification de l’utilisateur sur
l’interface Web.
3. Si l'utilisateur est authentifié en X509, une demande de confirmation de connexion s'affiche sur
l'interface Web.
4. L'utilisateur doit confirmer cette demande pour être automatiquement authentifié sur la cible.
Il peut choisir d'accepter ou de rejeter plusieurs connexions automatiques simultanées pour les
sessions RDP, SSH ou pour les deux pendant une durée définie et exprimée en secondes, en
activant le bouton « S'applique également à toutes les connexions pour : » et en paramétrant
les champs suivants .
Figure 9.17. Demande de confirmation de connexion à une cible
Avertissement :
Le navigateur et le client RDP ou SSH doivent tous deux être lancés sur le même poste
de travail (donc utiliser la même adresse IP) pour permettre l'affichage de la demande
de confirmation de connexion.
La valeur de la durée maximum pendant laquelle les connexions automatiques sont

autorisées peut être définie dans le champ « X509 automatic sessions timer » depuis
« Configuration » > « Options de configuration » > « Global ». Cette durée ne peut excéder
60 secondes et correspond à une valeur par défaut de 15 secondes. L'utilisateur ne peut
renseigner dans la fenêtre contextuelle une durée supérieure à cette valeur.
En cas d'authentification par mappage de compte, l'utilisateur devra entrer son mot de
passe sur la cible.
9.7.6. Désactivation et désinstallation du mode

d'authentification par certificat X509
Sur la page « Certificats », vous pouvez désactiver ou désinstaller l'authentification par certificat
X509.
• Pour désactiver l'authentification X509, effectuer les étapes suivantes :

1. Désactiver le bouton « Activer l'authentification X509 » dans la section « Authentification
X509 ».
• Pour désinstaller l'authentification X509, cliquer sur le bouton « Désinstaller la configuration
X509 ».
Avertissement :
L'interface Web est redémarrée. Ainsi, aucune connexion utilisateur doit être active.
118
La configuration par défaut est restaurée : les certificats sont supprimés et de nouveaux
certificats auto-signés sont générés.
Il n’est plus possible pour les utilisateurs de s’authentifier via leurs certificats.
Figure 9.18. Page "Configuration X509"
9.8. Configuration des authentifications

externes
Les méthodes d’authentification externes définissables au sein de WALLIX Bastion permettent de
configurer l'authentification d'un utilisateur sur l'application.
Une méthode d'authentification externe est associée à un compte utilisateur lors de la création
ou la modification du compte. Pour plus d'informations, voir Section 9.1.1, « Ajouter un
utilisateur », page 82.
WALLIX Bastion supporte les méthodes d’authentifications suivantes :
• LDAP,
• Active Directory,
• Kerberos,
• RADIUS.
Sur la page « Authentifications externes » du menu « Configuration », vous pouvez ajouter, modifier

ou supprimer des configurations d’authentifications externes.
119
Note :
Par défaut, WALLIX Bastion est configuré avec l’authentification « local » permettant aux
utilisateurs de s’authentifier via le moteur de données interne au produit.
9.8.1. Ajouter une authentification externe

Sur la page « Authentifications externes » du menu « Configuration », cliquez sur « Ajouter une
authentification » pour afficher la page de création de l'authentification externe.
• un type d’authentification : sélectionner le type souhaité pour afficher les champs requis pour la
définition de l’authentification,
• un nom pour l’authentification,
• l'adresse du serveur (adresse IP ou FQDN),
• un port de connexion.
Consulter les sections suivantes pour obtenir des informations détaillées sur la création des
authentifications externes sur cette page.
Figure 9.19. Page « Authentifications externes »

en mode création pour l'authentification LDAP
9.8.1.1. Ajouter une authentification externe Kerberos

Pour les authentifications Kerberos, il est nécessaire de s'assurer dans un premier temps que
l'infrastructure Kerberos, le navigateur et le client proxy SSH sont correctement configurés pour
permettre l'authentification.
Les champs requis doivent être renseignés comme ci-dessous :
• « Centre de distribution des clés (KDC) » : le nom de domaine ou l'adresse IP du serveur KDC
doit être renseigné,
120
• « Nom du royaume » : le nom de domaine (REALM) doit être renseigné,

• « Fichier keytab » : les fichiers keytab nécessaires afin d’établir les connexions doivent être
importés. Chaque fichier keytab chargé est fusionné avec les fichiers chargés précédemment.
La présence d’un service de type HTTP dans un keytab active le support de Kerberos pour
s’authentifier sur la GUI ; il faut pour cela utiliser le préfixe iwab dans l’URL : https://
adresse_ip_bastion/iwab ou https://<nom_bastion>/iwab.
Les services de type HOST sont utilisés pour l’authentification Kerberos auprès du proxy SSH.
Il est alors possible d’utiliser un ticket « forwardable » pour se connecter à une cible au sein
du même domaine Kerberos en utilisant le mappage de compte (voir Section 10.4.1, « Ajouter
un compte cible à un domaine global », page 178, Section 10.4.2, « Ajouter un compte
cible à un équipement », page 181 ou Section 10.4.3, « Ajouter un compte cible à une
application », page 184).
• « Utiliser le nom de domaine primaire » : cette option est uniquement pertinente dans un contexte
d'utilisation de cette authentification comme second facteur, après une première authentification
LDAP. Cocher la case pour forcer la mention du nom de domaine dans l'identifiant (par exemple,
« user@domain ») lors de la seconde authentification.
Pour qu’un utilisateur authentifié en mode Kerberos (via la GUI ou le proxy SSH) soit reconnu par
WALLIX Bastion, au moins l'une des deux conditions suivantes est requise :
• l’utilisateur est défini localement sur WALLIX Bastion et une authentification Kerberos est
configurée pour cet utilisateur ou,
• l’utilisateur est un utilisateur LDAP ayant un groupe WALLIX Bastion associé. Dans ce cas, au
moins l'une des configurations suivantes est requise:
– une association locale doit être définie pour le domaine LDAP de l’utilisateur et le nom du
domaine Kerberos doit correspondre au nom du domaine LDAP (non sensible à la casse) ou,
– un domaine LDAP par défaut est défini sur WALLIX Bastion.
9.8.1.2. Ajouter une authentification externe Kerberos-Password

Ce type d'authentification est perçu par l'utilisateur comme une authentification standard (à savoir :
saisie d'un identifiant et d'un mot de passe). WALLIX Bastion agit alors comme un client Kerberos.
Pour les authentifications Kerberos-Password, il est nécessaire de s'assurer dans un premier temps
que l'infrastructure Kerberos est correctement configurée pour permettre l'authentification.
Les champs requis doivent être renseignés comme ci-dessous :
• « Centre de distribution des clés (KDC) » : le nom de domaine ou l'adresse IP du serveur KDC
doit être renseigné,
• « Nom du royaume » : le nom de domaine (REALM) doit être renseigné,
• « Fichier keytab » : les fichiers keytab nécessaires afin d’établir les connexions doivent être
importés. Chaque fichier keytab chargé est fusionné avec les fichiers chargés précédemment.
Pour qu’un utilisateur authentifié en mode Kerberos-Password soit reconnu par WALLIX Bastion,
au moins l'une des deux conditions suivantes est requise :
121
• l’utilisateur est défini localement sur WALLIX Bastion et une authentification Kerberos-Password
est configurée pour cet utilisateur ou,
• l’authentification Kerberos-Password est utilisée comme second facteur après une première
authentification LDAP avec ou sans utilisation d'Active Directory.
9.8.1.3. Ajouter une authentification externe LDAP

Cas 1 : Ajouter une authentification externe LDAP sans utilisation d'Active Directory
Pour ajouter une authentification externe LDAP sans utilisation d'Active Directory, il est nécessaire
de renseigner les champs sur la page « Authentifications externes » comme indiqué ci-dessous :
• « Timeout (s) » : indiquer le temps d'attente maximum (exprimé en secondes) pour une tentative
de connexion au serveur LDAP. Cette valeur correspond à 3 secondes par défaut.
Attention :
Ce timeout s'applique à toute nouvelle authentification externe LDAP. Les
authentifications externes LDAP héritées d'une version antérieure de WALLIX Bastion
conservent l'ancienne valeur de timeout définie.
• « Active Directory » : cette case ne doit pas être cochée.

Note :
• « DN de base » : le DN (« Distinguished Name ») ou nom distinctif de l’unité d’organisation doit

être renseigné.
• « Attribut connexion » : l'attribut connexion utilisé pour la connexion doit être renseigné. Par
défaut, cet attribut de connexion correspond à « uid ». L'attribut « mail » peut être renseigné dans
ce champ pour permettre aux utilisateurs associés à cette authentification d'utiliser leur e-mail
lors de la connexion sur l'interface Web. Les formats de login suivants sont alors pris en charge :
– jdoe@masociete.com@domaine. Le format est « login@domaine » avec l'e-mail défini comme
login (dans cet exemple, « jdoe@masociete.com »),
– domaine\\jdoe@masociete.com. Le format est « domaine\\login » avec l'e-mail défini comme
– jdoe@masociete.com avec le domaine défini comme domaine LDAP/AD par défaut.
• « Attribut identifiant » : l’attribut identifiant doit être renseigné. L’attribut identifiant doit
correspondre au nom de l’attribut LDAP où est stocké l’identifiant de l’utilisateur WALLIX Bastion.
Par défaut, cet attribut correspond à « uid ».
simple bind.
Lorsque la méthode de bind anonyme est sélectionnée, les champs « Utilisateur » / « Mot de
passe » ainsi que le champ « Clé et certificat client » ne sont pas affichés.
Lorsque la méthode de simple bind est sélectionnée et qu'aucun protocole de chiffrement n'est
renseigné, les champs « Utilisateur » et « Mot de passe » sont requis.
122
Lorsque la méthode de simple bind est sélectionnée et que le protocole de chiffrement choisi est
« StartTLS » ou « SSL », les champs « Utilisateur » / « Mot de passe » ainsi que le champ « Clé et
certificat client » sont optionnels. Cependant, il est obligatoire de renseigner au moins l'un d'entre
eux (soit la paire « Utilisateur » / « Mot de passe », soit le champ « Clé et certificat client »).
• « Utilisateur » et « Mot de passe » : renseigner un nom d’utilisateur et un mot de passe à utiliser
pour rechercher l’identifiant dans l’annuaire. Ces champs ne sont pas affichés lorsque la méthode
de bind anonyme est sélectionnée.
Note :
• « Description » : renseigner une description si nécessaire.

• « Certificat AC » : ce champ est affiché lorsque le protocole de chiffrement sélectionné est
« StartTLS » ou « SSL ». Renseigner un chemin afin de charger le fichier contenant le certificat de
l'AC. L'authenticité du certificat est comparée au certificat du serveur LDAP lors de la connexion.
Important :
Le nom d'hôte renseigné dans le champ « Serveur » doit être renseigné à l'identique
dans le champ « CN » du certificat.
• « Clé et certificat client » : ce champ est affiché lorsque la méthode de simple bind est
sélectionnée et que le protocole de chiffrement choisi est « StartTLS » ou « SSL ». Renseigner un
chemin afin de charger la clé privée et le certificat utilisé pour se connecter et s'authentifier auprès
du serveur LDAP en fournissant un fichier PKCS#12. Une fois le fichier chargé, une phrase de
chiffrement peut être renseignée pour le certificat dans le champ dédié. L'authenticité du certificat
est comparée au certificat de l'AC lors de la connexion.
d'utilisation de cette authentification comme second facteur après une première authentification
Lorsque les champs sont renseignés, il est possible de tester la configuration de l'authentification
LDAP externe en cliquant sur le bouton « Test ». Un test en cours peut être annulé à tout moment.
Cas 2 : Ajouter une authentification externe LDAP utilisant l'Active Directory
Important :
Lors de l'utilisation de cette méthode, l'utilisateur peut être invité à changer son mot
de passe après expiration sur l'écran de connexion de WALLIX Bastion ou lors de la
connexion à la session RDP ou SSH. Pour cela :
• le serveur Active Directory doit être sous Windows Server 2008 R2 au minimum,
• l'option « AD user password change » (accessible depuis le menu « Configuration » >
« Options de configuration » > « Global » > section « main ») doit être cochée et,
• au moins un protocole de chiffrement doit être paramétré pour cette méthode dans le
champ « Chiffrement » (à savoir, « StartTLS » ou « SSL »).
Pour ajouter une authentification externe LDAP utilisant l'Active Directory, il est nécessaire de
renseigner les champs sur la page « Authentifications externes » comme ci-dessous :
123
de connexion au serveur LDAP. Cette valeur correspond à 3 secondes par défaut.
Attention :
Ce timeout s'applique à toute nouvelle authentification externe LDAP. Les
authentifications externes LDAP héritées d'une version antérieure de WALLIX Bastion
conservent l'ancienne valeur de timeout définie.
• « Active Directory » : cocher la case.

Note :
• « DN de base » : dépend du nom de domaine. Par exemple pour le domaine « mycorp.lan », le
DN de base devrait être « dc=mycorp,dc=lan ».
• « Attribut connexion » : l'attribut connexion utilisé pour la connexion doit être renseigné. Par
défaut, cet attribut de connexion correspond à « sAMAccountName ». L'attribut « mail » peut
être renseigné dans ce champ pour permettre aux utilisateurs associés à cette authentification
d'utiliser leur e-mail lors de la connexion sur l'interface Web. Les formats de login suivants sont
alors pris en charge :
– jdoe@masociete.com@domaine. Le format est « login@domaine » avec l'e-mail défini comme
– domaine\\jdoe@masociete.com. Le format est « domaine\\login » avec l'e-mail défini comme
– jdoe@masociete.com avec le domaine défini comme domaine LDAP/AD par défaut.
L'attribut « UserPrincipalName » peut également être renseigné dans ce champ. Dans ce cas,
l'utilisateur doit utiliser cet attribut tel que défini par l'administrateur comme login.
• « Attribut identifiant » : l’attribut identifiant doit être renseigné. Par défaut, cet attribut correspond
à « sAMAccountName ».
simple bind soit une méthode de bind SASL (basée sur GSS-API).
Note :
La méthode de bind SASL basée sur GSS-API doit être sélectionnée quand l'utilisateur
LDAP est inclus dans le groupe « Utilisateurs protégés » (ou « Protected Users »).
Lorsque la méthode de bind anonyme est sélectionnée, les champs « Utilisateur » / « Mot de
passe » ainsi que le champ « Clé et certificat client » ne sont pas affichés.
Lorsque la méthode de simple bind est sélectionnée et qu'aucun protocole de chiffrement n'est
renseigné, les champs « Utilisateur » et « Mot de passe » sont requis.
Lorsque la méthode de simple bind est sélectionnée et que le protocole de chiffrement choisi est
« StartTLS » ou « SSL », les champs « Utilisateur » / « Mot de passe » ainsi que le champ « Clé et
124
certificat client » sont optionnels. Cependant, il est obligatoire de renseigner au moins l'un d'entre
eux (soit la paire « Utilisateur » / « Mot de passe », soit le champ « Clé et certificat client »).
Lorsque la méthode de bind SASL (basée sur GSS-API) est sélectionnée et que le protocole de
chiffrement choisi est « StartTLS » ou « SSL », les champs « Utilisateur » et « Mot de passe »
sont requis.
• « Utilisateur » et « Mot de passe » : renseigner un nom d’utilisateur et un mot de passe à utiliser
pour rechercher l’identifiant dans l’annuaire. Ces champs ne sont pas affichés lorsque la méthode
de bind anonyme est sélectionnée.
• « Certificat AC » : ce champ est affiché lorsque le protocole de chiffrement sélectionné est
« StartTLS » ou « SSL ». Renseigner un chemin afin de charger le fichier contenant le certificat de
l'AC. L'authenticité du certificat est comparée au certificat du serveur LDAP lors de la connexion.
Important :
Le nom d'hôte renseigné dans le champ « Serveur » doit être renseigné à l'identique
dans le champ « CN » du certificat.
• « Clé et certificat client » : ce champ est affiché lorsque la méthode de simple bind est
sélectionnée et que le protocole de chiffrement choisi est « StartTLS » ou « SSL ». Renseigner un
chemin afin de charger la clé privée et le certificat utilisé pour se connecter et s'authentifier auprès
du serveur LDAP en fournissant un fichier PKCS#12. Une fois le fichier chargé, une phrase de
chiffrement peut être renseignée pour le certificat dans le champ dédié. L'authenticité du certificat
est comparée au certificat de l'AC lors de la connexion.
Lorsque les champs sont renseignés, il est possible de tester la configuration de l'authentification
LDAP externe en cliquant sur le bouton « Test ». Un test en cours peut être annulé à tout moment.
9.8.1.4. Ajouter une authentification externe RADIUS

Pour les authentifications RADIUS, WALLIX Bastion supporte le mécanisme challenge-réponse.
Les champs doivent être renseignés comme ci-dessous :
de connexion au serveur. Cette valeur correspond à 5 secondes par défaut.
Attention :
Ce timeout s'applique à toute nouvelle authentification externe RADIUS. Les
authentifications externes RADIUS héritées d'une version antérieure de WALLIX
Bastion conservent l'ancienne valeur de timeout définie.
• « Secret »: renseigner la clé de chiffrement des paquets.

• « Description » : renseigner une description, si nécessaire.
• « Utiliser un appareil mobile » : cette option est uniquement pertinente dans un contexte
125
LDAP. Cocher la case pour afficher un message sur la page de connexion informant l'utilisateur
qu'il/elle doit s'authentifier via une notification push envoyée sur son appareil mobile.
Note :
Lors de l'utilisation de cette authentification comme second facteur, si un utilisateur
effectue plusieurs connexions et que l'adresse IP du client est la même que celle utilisée
pour l'authentification précédente, alors il/elle ne sera pas invité(e) à s'authentifier de
nouveau.
9.8.1.5. Ajouter une authentification externe PingID

Pour les authentifications PingID, les champs doivent être renseignés comme ci-dessous :
de connexion au serveur. Cette valeur correspond à 30 secondes par défaut.
• « Fichier de propriétés » : renseigner un chemin pour charger le fichier de propriétés PingID
(intitulé pingid.properties) contenant les paramètres spécifiques pour les comptes. Ce
fichier peut être téléchargé depuis l'interface d'administration PingID.
• « Forcer OTP » : cocher la case pour forcer l'authentification par mot de passe à usage unique
(également appelée authentification « OTP »). Dans ce cas, aucun autre mode d'authentification
ne sera proposé.
Note :
L'administrateur WALLIX Bastion doit rappeler à l'utilisateur de renseigner uniquement
son identifiant pour accéder à l'interface Web lors d'une authentification via PingID.
9.8.2. Modifier une authentification externe

Sur la page « Authentifications externes », cliquez sur un nom d’authentification puis sur « Modifier
cette authentification » pour afficher la page de modification de l’authentification.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de
l’authentification.
9.8.3. Supprimer une authentification externe

Sur la page « Authentifications externes », sélectionnez une ou plusieurs authentifications à l’aide
de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection.
WALLIX Bastion affiche une fenêtre demandant une confirmation avant la suppression définitive
des lignes sélectionnées.
126
Avertissement :
Vous ne pouvez pas supprimer une authentification externe lorsqu’au moins un utilisateur
est rattaché à cette authentification.
9.9. Configuration de l'intégration avec un

domaine LDAP ou Active Directory
WALLIX Bastion peut intégrer directement des utilisateurs à partir d'annuaires LDAP ou Active
Directory (AD) afin de vous éviter de les créer localement au sein de l'application.
La gestion des comptes utilisateurs de WALLIX Bastion peut être intégrée avec un ou plusieurs
annuaires LDAP ou AD. Lorsqu’une telle intégration est mise en place, les comptes utilisateurs ne
sont plus présents localement dans la configuration de WALLIX Bastion et les informations relatives
à un compte sont retrouvées dans l’annuaire à chaque fois qu’un utilisateur se connecte à l'un des
services de WALLIX Bastion.
Pour configurer une intégration, il faut d’abord ajouter les authentifications externes
permettant la connexion aux annuaires (voir Section 9.8, « Configuration des authentifications
externes », page 119).
Sur la page « Domaines LDAP/AD » du menu « Configuration », vous pouvez définir,
configurer, modifier, supprimer et importer des domaines. Il est également possible d’importer des
correspondances d’authentification LDAP depuis la page « CSV » du menu « Import/Export ».
Note :
Il est possible de configurer les options TLS pour permettre la demande d'un
certificat de l'AC donné lors de l'authentification sur un serveur LDAP en éditant le
fichier /etc/ldap/ldap.conf. Pour plus d'informations sur ce fichier, voir http://
www.openldap.org/software/man.cgi?query=ldap.conf.
9.9.1. Ajouter un domaine LDAP/AD

Sur la page « Domaines LDAP/AD » du menu « Configuration », cliquez sur « Ajouter un domaine »
pour afficher la page de création du domaine LDAP/AD.
Un domaine recense les attributs du schéma de l’annuaire à utiliser pour trouver les attributs
nécessaires pour un compte du Bastion.
Ces attributs sont recensés au sein des différentes zones sur la page « Domaines LDAP/AD ».
La zone dans la partie supérieure de la page recense les caractéristiques principales suivantes
pour le domaine :
• un nom pour le domaine WALLIX Bastion,

• l'option du domaine par défaut : cette case peut être cochée pour permettre la suppression
de la nomenclature du domaine (c'est-à-dire @domain) de l'identifiant de l'utilisateur lors de
l'authentification sur WALLIX Bastion. Ainsi, une correspondance peut être établie entre les
127
utilisateurs locaux définis au sein de WALLIX Access Manager et les utilisateurs du domaine du
Bastion.
• un nom pour le domaine LDAP/AD,
• la sélection du type d'annuaire à utiliser dans la liste de valeurs présente dans le cadre
« Annuaires disponibles » puis, le choix des annuaires parmi ceux proposés pour le type choisi. Si
plusieurs annuaires sont sélectionnés, ils sont utilisés successivement, les uns après les autres,
jusqu'à la réponse d'un serveur. Cela permet de tolérer les pannes d'un des serveurs d'annuaires
tant que les configurations (utilisateurs, groupes, etc.) sont identiques.
• éventuellement, la sélection de l’authentification secondaire à utiliser dans la liste de
valeurs présente dans le cadre « Authentifications secondaires disponibles » pour permettre
une authentification à deux facteurs après l'authentification sur le domaine. Si plusieurs
authentifications (obligatoirement de même type : par exemple, uniquement RADIUS ou PingID,
etc.) sont sélectionnées, elles sont utilisées successivement, les unes après les autres, jusqu'à
la réponse d'un serveur. Cela permet de tolérer les pannes d'un des serveurs d'authentifications
secondaires tant que les configurations sont identiques.
Note :
A l'exception de l'authentification externe LDAP, toutes les authentifications externes
définies depuis la page « Authentifications externes » du menu « Configuration »
peuvent être utilisées dans le cadre de l'authentification à deux facteurs, après une
première authentification LDAP.
La zone « Attributs utilisateur » recense les attributs suivants :
• l'identifiant : l’attribut du schéma est indiqué dans le champ « Attribut identifiant » sur
la page « Authentifications externes » (voir Section 9.8.1, « Ajouter une authentification
externe », page 120). Par défaut, WALLIX Bastion utilise « sAMAccountName » avec AD ou
« uid » avec LDAP.
• l'attribut groupe : il s’agit de l’attribut décrivant l’appartenance d'un utilisateur à un groupe. Par
défaut, il s’agit de « memberOf » avec un serveur AD et « (&(ObjectClass=posixGroup)
(memberUid=${uid})) » pour un serveur LDAP. Il s’agit d’une requête LDAP permettant de
trouver les groupes contenant l’utilisateur défini par son « uid ». En effet, par défaut, certains
serveurs ne maintiennent pas pour chaque compte la liste des groupes auxquels il appartient.
Il faut donc utiliser une requête supplémentaire pour les récupérer. La syntaxe « ${uid} » est
propre au Bastion ; l'attribut « uid » peut être remplacé par n’importe quel attribut de l’utilisateur.
Lorsque le serveur LDAP supporte le champ « memberOf », son utilisation est recommandée.
C’est le cas notamment des serveurs OpenLDAP configurés avec l’overlay « memberOf ».
Il est possible avec un serveur AD de prendre en compte des groupes récursifs. Pour cela, il faut
remplacer la valeur par défaut par la requête suivante :
(&(ObjectClass=group)(member:1.2.840.113556.1.4.1941:=${distinguishedName}))
Cette requête peut être plus lente que la requête par défaut.
• l'attribut nom usuel : généralement, il s'agit de l’attribut « displayName » pour AD et de « cn »
pour LDAP.
• l'attribut e-mail : attribut de l’adresse mail de l’utilisateur (AD et LDAP).
• le domaine par défaut du mail : le composant du domaine utilisé pour construire l'adresse e-
mail de l'utilisateur si celle-ci n'a pas été trouvée dans l'annuaire. Cette adresse est construite en
préfixant le domaine avec l’identifiant de l'utilisateur.
• l'attribut langue : généralement, il s'agit de l'attribut « preferredLanguage » (AD et LDAP).
128
• la langue par défaut : langue par défaut des membres du domaine si la langue n’est pas définie
dans l’annuaire.
Note :
Afin d'utiliser Okta Identity Cloud comme domaine LDAP, assurez-vous de définir ces trois
paramètres, accessibles depuis le menu « Configuration » > « Options de configuration »
> « Global » > section « main », comme suit :
• le paramètre « Ldap attributes » doit correspondre à « dn »,

• le paramètre « Ldap partial search » doit être coché, et
• le paramètre « Ldap bind login » doit être décoché.
Ces paramètres sont affichés lorsque la case du champ « Options avancées » sur la
droite de la page est cochée. Ils doivent être modifiés UNIQUEMENT sur les instructions
de l’Équipe Support WALLIX !
La zone « Options X509 » recense les propriétés suivantes :
• une option pour sélectionner l'authentification X509 : si cette option est cochée, alors les
utilisateurs peuvent uniquement s'authentifier sur le domaine LDAP/AD en utilisant la méthode
d'authentification par certificat X509. Lorsque cette option est cochée, les champs sur cette zone
sont alors accessibles.
• la condition pour établir la correspondance entre le domaine LDAP/AD et le certificat X509. Si
aucune condition n'est renseignée dans le champ « Condition de correspondance », alors le
domaine LDAP/AD peut être utilisé pour l'authentification X509 quel que soit le certificat.
Cette condition est formulée selon les variables suivantes récupérées à partir du certificat :

${issuer} DN de l'émetteur du certificat du client
${issuer_c} Nom du pays dans le DN de l'émetteur
${issuer_l} Nom de la localité dans le DN de l'émetteur
${issuer_o} Nom de l'organisation dans le DN de l'émetteur
${issuer_ou} Nom de l'unité organisationnelle dans le DN de l'émetteur
${issuer_cn} Nom usuel dans le DN de l'émetteur
${issuer_st} Nom de l'état ou de la province dans le DN de l'émetteur
${issuer_email} Adresse e-mail dans le DN de l'émetteur
${subject} DN sujet du certificat client
${subject_c} Nom du pays dans le DN sujet
${subject_l} Nom de la localité dans le DN sujet
${subject_o} Nom de l'organisation dans le DN sujet
${subject_ou} Nom de l'unité organisationnelle dans le DN sujet
${subject_cn} Nom usuel dans le DN sujet
${subject_st} Nom de l'état ou de la province dans le DN sujet
${subject_email} Adresse e-mail dans le DN sujet
${subject_uid} UID dans le DN sujet
129

${mail} Entrées d'extension subjectAltName du certificat de
serveur de type rfc822Name
${msupn} Entrées d'extension subjectAltName de type otherName
du certificat client, sous la forme Microsoft User Principal
Name
${dns} Entrées d'extension subjectAltName du certificat de
serveur de type dNSName
${username} Nom usuel extrait du DN sujet ou partie locale du DN sujet
si celui-ci est un e-mail (ex. : « local-part@domain »)
Par exemple, la condition de correspondance ci-dessous associera le domaine avec un certificat

émis par une organisation dont le nom (« issuer_o ») contient « Company Ltd. » OU un certificat
dont le nom usuel (« issuer_cn ») contient « Security Cert » et, dont l’unité organisationnelle
de l'utilisateur (« subject_ou ») correspond à « Finance&Accounting » :
${issuer_o}~Company Ltd. || ${issuer_cn}~Security Cert &&

${subject_ou}=Finance&Accounting
L'opérateur « && » (c'est-à-dire « ET ») est prioritaire sur l'opérateur « || » (c'est-à-dire « OU »).
Les valeurs sont sensibles à la casse, contrairement aux variables.
Important :
Cette formulation respecte la syntaxe utilisée dans les filtres de recherche avancée de
l'API REST. Pour plus d'informations sur cette syntaxe, consulter la page de l'aide en
ligne à l’adresse suivante :
https://adresse_ip_bastion/api/doc/Usage.html#search
• le filtre de recherche LDAP/AD pour récupérer les utilisateurs du domaine. Cette donnée utilise
la syntaxe de filtre LDAP mais toutes les variables mentionnées pour le champ « Condition de
correspondance » peuvent également être utilisées.
Note :
Toutes les variables mentionnées dans le champ « Filtre de recherche » doivent exister
dans le certificat pour fournir un filtre LDAP/AD valide et retrouver les utilisateurs
correspondants.
Par exemple, la syntaxe de filtre ci-dessous retrouvera les utilisateurs LDAP/AD dont le « cn »
correspond au « subject_cn » du certificat ou dont l'« uid » correspond au « subject_uid » du
certificat et, dont l'attribut « preferredLanguage » correspond à « fr » :
(&(|(cn=${subject_cn})(uid=${subject_uid}))(preferredLanguage=fr))
Par exemple, la syntaxe de filtre ci-dessous retrouvera les utilisateurs AD dont la partie locale du
« userPrincipalName » correspond au « subject_cn » du certificat et dont le domaine contient
soit « company.com » soit « biz.company.com » :
(|(userPrincipalName=${subject_cn}@company.com)(userPrincipalName=
${subject_cn}@biz.company.com))
130
• dans le cadre de l'utilisation de l'authentification X509 avec un serveur AD, la mention du nom de
domaine pour la correspondance avec l'e-mail SAN. Le domaine est utilisé dans la vérification
du champ e-mail de l'extension X509 Subject Alternative Name (SAN).
Il faut ensuite ajouter des correspondances d’authentification LDAP/AD en associant les groupes de
l’annuaire LDAP/AD avec les groupes utilisateurs de WALLIX Bastion sur la zone « Correspondance
d'authentification LDAP », dans le bas de la page.
Une correspondance permet de lier le groupe utilisateurs de WALLIX Bastion renseigné dans le
champ « Groupe utilisateurs » à un groupe de l’annuaire en précisant la valeur correspondante
de l’attribut groupe défini au-dessus (par exemple, son DN complet pour « memberOf ») dans le
champ « Groupe LDAP ». Si le groupe WALLIX Bastion n’était pas déjà lié par une correspondance,
il faut également sélectionner le profil WALLIX Bastion pour les membres du groupe dans le champ
« Profil ».
Dans le cas où aucune correspondance n’est trouvée quand un utilisateur se connecte, il est
possible de demander à le placer dans un groupe par défaut, en cochant la case de l’option
« Groupe par défaut pour les utilisateurs sans groupe dans ce domaine », disponible sur la gauche
de la ligne. Ainsi, n’importe quel utilisateur défini dans l’annuaire peut accéder à WALLIX Bastion.
Les correspondances sont également modifiables depuis la page de modification du groupe

utilisateurs (voir Section 9.2, « Groupes utilisateurs », page 92).
Note :
Sur la zone « Correspondance d'authentification LDAP », l'administrateur ne visualisera
pas les correspondances dont les profils disposent d'au moins un droit que le profil
de cet administrateur ne peut pas accorder en tant que droit transmissible. Pour plus
131
Figure 9.20. Page « Domaines LDAP/AD » en mode création
9.9.2. Modifier un domaine LDAP/AD

Sur la page « Domaines LDAP/AD », cliquez sur un nom de domaine pour afficher la page de
modification du domaine.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du domaine,
excepté le champ « Nom de domaine WALLIX Bastion » qui n’est pas affiché.
9.9.3. Supprimer un domaine LDAP/AD
132
Sur la page « Domaines LDAP/AD », sélectionnez un ou plusieurs domaines à l’aide de la case à

cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WALLIX
Bastion affiche une fenêtre demandant une confirmation avant la suppression définitive des lignes
sélectionnées.
Avertissement :
Vous ne pouvez pas supprimer un domaine lorsqu'au moins un groupe utilisateurs est lié
à ce domaine par une correspondance.
9.9.4. Importer des domaines LDAP/AD

Sur la page « Domaines LDAP/AD », cliquez sur l'icône « Importer depuis un fichier CSV » en
haut à droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV »
du menu « Import/Export » : la case « Domaines LDAP/AD » est déjà cochée pour l'import des
données. Les séparateurs de champs et de listes sont également configurables.
#wab820 domain
Important :

O(ptionnel)
Nom pour le domaine

WALLIX Bastion
Domaine par Booléen R Vrai ou Faux Faux
défaut
Nom domaine Texte R [aA-zZ], [0-9], '-', '_' N/A
LDAP
Nom du domaine LDAP
défini
Authentification Booléen R Vrai ou Faux Faux
X509
Nom domaine Texte O [aA-zZ], [0-9], '-', '_' N/A
pour e-mail SAN
Nom du domaine pour Vide si Vérifier e-mail
e-mail SAN défini SAN X509v3 = Faux
Authentifications Texte R [aA-zZ], [0-9], '-', '_' N/A
utilisateurs
Authentifications
externes définies
133

O(ptionnel)
Au moins une
authentification externe
doit être définie.
Authentifications Texte O [aA-zZ], [0-9], '-', '_' N/A
secondaires
utilisateurs Authentifications
secondaires externes
définies
Attribut groupe Texte O [aA-zZ], [0-9], '-', '_' LDAP-AD : « memberOf »
Attribut groupe défini LDAP :

« (&(ObjectClass=posixGroup)
(memberUid=${uid})) »
Attribut nom Texte O [aA-zZ], [0-9], '-', '_' LDAP-AD :
usuel « displayName » LDAP :
Attribut nom usuel « cn »
défini
Attribut e-mail Texte O [aA-zZ], [0-9], '-', '_' « mail »
Attribut e-mail défini

Attribut langue Texte O [aA-zZ], [0-9], '-', '_' « preferredLanguage »
Attribut langue défini

Langue par Texte R Langue par défaut des « de » pour Allemand
défaut membres du domaine
si la langue n’est pas « en » pour Anglais
définie dans l’annuaire. « es » pour Espagnol
« fr » pour Français
« ru » pour Russe

Domaine par Texte R Domaine par défaut du « wallix.com »
défaut du mail mail défini. Les espaces
et les caractères
spéciaux ne sont pas
autorisés.
Condition X509 Texte O Condition pour établir la N/A
correspondance entre
le domaine LDAP/
AD et le certificat
X509. Cette condition
est formulée selon les
variables récupérées à
partir du certificat. Pour
plus d'informations,
voir le tableau
listant ces variables
dans la procédure
Section 9.9.1, « Ajouter
134

O(ptionnel)
un domaine LDAP/
AD », page 127.
Filtre de Texte O Filtre de recherche N/A
recherche X509 LDAP/AD pour
récupérer les
utilisateurs du domaine.
Exprimé selon la
syntaxe de filtre
DAP mais toutes les
variables mentionnées
pour le champ
« Condition X509 »
peuvent également
être utilisées. Pour
plus d'informations,
voir le tableau
listant ces variables
dans la procédure
Section 9.9.1, « Ajouter
un domaine LDAP/
AD », page 127
est indiquée.
9.9.5. Importer des correspondances LDAP/AD sur les

groupes utilisateurs
Sur la page « CSV » du menu « Import/Export », cochez la case « Correspondances LDAP/AD
sur les groupes utilisateurs » pour importer les données. Les séparateurs de champs et de listes
sont également configurables.
#wab820 usersgroupmappings
Important :

135

Nom canonique du groupe
utilisateurs WALLIX Bastion de
la correspondance
Ce groupe utilisateurs doit

exister avec un profil défini.
Nom de Texte O [aA-zZ], [0-9], '-', '_' N/A
domaine
Nom canonique du domaine
LDAP de la correspondance
Ce domaine LDAP doit exister.
Si aucun nom de domaine

et aucun groupe LDAP
ne sont renseignés, alors
toutes les correspondances
existantes sont supprimées lors
de l'import.
Groupes LDAP Texte O Règle permettant de définir les N/A
utilisateurs du groupe LDAP
mis en correspondance avec
le groupe utilisateurs WALLIX
Bastion.
Elle précise la valeur

correspondante de l’attribut
groupe défini (par exemple,
son DN complet pour
« memberOf »).
Par exemple :
'CN=Account Mapping users,
CN=Users,DC=2008,
DC=system,DC=enterprise'
IMPORTANT : Si cette chaîne

contient des espaces et/ou
des virgules, alors elle doit
être libellée entre guillemets
simples (comme illustré dans
l'exemple ci-dessus).
Si aucun groupe LDAP n'est

renseigné, alors toutes les
correspondances existantes
pour le couple groupe/domaine
sont supprimées lors de
l'import.
136

Si un groupe LDAP est
renseigné mais sans domaine
LDAP, alors l'import n'est pas
effectué.
est indiquée.
137
Chapitre 10. Cibles
Le menu « Cibles » vous permet de créer et gérer des équipements, applications, domaines,
comptes et groupes accessibles depuis WALLIX Bastion.
Ce chapitre présente les fonctionnalités de ce menu, à savoir les pages suivantes :
• « Équipements » (voir Section 10.1, « Équipements », page 138),

• « Applications » (voir Section 10.2, « Applications », page 151),
• « Domaines » (voir Section 10.3, « Domaines », page 166),
• « Comptes » (voir Section 10.4, « Comptes cibles », page 177),
• « Clusters » (voir Section 10.6, « Clusters », page 205),
• « Groupes » (voir Section 10.5, « Groupes de cibles », page 191),
• « Plugins de coffres-forts » (voir Section 10.7, « Plugins de coffres-forts externes à mots de
passe », page 208),
• « Politiques d'emprunt » (voir Section 10.8, « Politiques d'emprunt », page 214).
• « Auto-découverte » (voir Section 10.9, « Auto-découverte », page 217).
10.1. Équipements
Un équipement est caractérisé par un dispositif physique ou virtuel pour lequel WALLIX Bastion
gère l'accès aux sessions ou mots de passe.
Sur la page « Équipements » située dans le menu « Cibles », vous pouvez :
• lister les équipements,

• ajouter, modifier et supprimer un équipement,
• filtrer des équipements en utilisant des étiquettes. Pour plus d’informations, voir Section 10.1.3,
« Utiliser les étiquettes pour organiser les équipements », page 145.
Il est possible d'importer des équipements à partir d'un fichier .csv afin d'alimenter la base
ressources de WALLIX Bastion. Pour plus d'informations, voir Section 10.1.5, « Importer des
équipements », page 147.
10.1.1. Ajouter un équipement
Sur la page « Équipements » située dans le menu « Cibles », cliquez sur le bouton « + Ajouter »
pour afficher la page de création de l'équipement.
Cette page recense les onglets suivants : « Général », « Services », « Domaines locaux »,
« Comptes locaux », « Comptes globaux », « Groupes », « Certificats » et « Étiquettes ».
10.1.1.1. Définir les informations générales

L'onglet « Général » recense les champs suivants :
138
• le nom de l'équipement : il s'agit du nom qui sera utilisé par les utilisateurs pour accéder à cet
équipement. Ce nom peut être sans relation avec le nom DNS de la machine. Un nom existant
ne peut être attribué à un autre équipement.
• un alias : il permet de donner un deuxième nom à un équipement. Le nom de l'équipement est
prioritaire sur l'alias. Un alias existant ne peut pas être attribué à un autre équipement.
• l'adresse IP ou le FQDN de l'équipement : il s'agit d'une adresse réseau,
Il est possible de définir un ensemble de cibles appartenant à un sous-réseau (ou « subnet »).
Il convient pour cela de renseigner un subnet à la place de l'adresse IP lors de la création de
l'équipement en utilisant une notation CIDR (<adresse réseau>/<nombre de bits du masque>),
par exemple : 192.168.0.15/24.
• une description.
Note :
Après avoir renseigné les informations générales dans l'onglet « Général » et cliqué sur
« Valider », vous avez accès aux autres onglets de la page de création de l'équipement.
Figure 10.1. Page « Équipements » en mode création
10.1.1.2. Gérer les services

L'onglet « Services » permet de lister, ajouter, modifier et supprimer les services permettant
d'accéder à l'équipement.
Pour ajouter un service, cliquez sur le bouton « + Ajouter » afin de choisir le protocole souhaité dans
la liste déroulante. Une fenêtre s'ouvre et vous invite à sélectionner et saisir les champs suivants :
• le nom du service : il s’agit du nom qui sera utilisé par les utilisateurs pour accéder à ce service.
Ce nom peut être sans relation avec le nom du protocole et le numéro de port.
• le port par défaut,
• une politique de connexion définissant le mécanisme d'authentification pour le service sur cet
équipement. Pour plus d'informations, voir Section 12.4, « Politiques de connexion », page 260.
Vous pouvez déclarer un scénario de connexion pour les politiques de connexion définies sur
les protocoles TELNET ou RLOGIN. Pour plus d'informations, voir Section 12.15, « Scénario de
connexion TELNET/RLOGIN sur un équipement cible », page 273.
139
Vous pouvez déclarer un scénario de démarrage pour les politiques de connexion définies sur
le protocole SSH. Pour plus d'informations, voir Section 12.17, « Scénario de démarrage SSH
sur un équipement cible », page 275.
• un domaine global : il est nécessaire de sélectionner un domaine global afin de pouvoir créer
des cibles pour des applications et des clusters,
• une liste d'options propres au proxy pour les connexions RDP et SSH. Pour plus d'informations,
voir Section 10.1.6, « Options spécifiques du protocole SSH », page 149 et Section 10.1.7,
« Options spécifiques du protocole RDP », page 150.
Note :
Si vous souhaitez ajouter d'autres services, vous pouvez répéter cette action autant de
fois que nécessaire.
Après avoir défini le service, vous avez la possibilité de l'ajouter à un groupe afin de configurer un
groupe de cibles pour la gestion des sessions par mappage de compte et/ou connexion interactive.
Les associations de ressources peuvent également être gérées à partir de la page « Groupes »
(pour plus d'informations, voir Section 10.5.1, « Ajouter un groupe de cibles », page 191).
Pour ajouter un service à un groupe, sélectionnez la case à cocher située au début de la ligne du
service concerné puis cliquez sur le bouton « Ajouter au groupe ». Une fenêtre s'ouvre et vous
invite à renseigner et à sélectionner les champs suivants :
• le nom du groupe : vous pouvez sélectionner un groupe existant ou en créer un,

• le type de cible : mappage de compte ou connexion interactive,
• les services.
Note :
Après avoir cliqué sur le bouton « Ajouter et continuer », les données renseignées sont
enregistrées et vous pouvez associer le service à un autre groupe et/ou type de cible.
Autrement, cliquez sur le bouton « Ajouter et fermer » pour sauvegarder les données et
fermer la fenêtre.
10.1.1.3. Gérer les domaines locaux

L'onglet « Domaines locaux » permet de lister et supprimer des domaines locaux associés à
l'équipement.
Ces domaines locaux sont uniquement associés à l'équipement depuis :
• l'onglet « Comptes locaux » situé sur la page « Équipements » ou,

• la page de création du compte d'équipement de la page « Comptes », accessible depuis le
menu « Cibles » (pour plus d'informations, voir Section 10.4.2, « Ajouter un compte cible à un
équipement », page 181).
10.1.1.4. Gérer les comptes locaux

L'onglet « Comptes locaux » permet de lister, ajouter, modifier et supprimer des comptes locaux
liés à l'équipement.
Pour ajouter un compte local, cliquez sur le bouton « + Ajouter ». Une fenêtre s'ouvre et vous invite
à sélectionner et à renseigner les champs suivants :
140
• sur l'onglet « Général » :

– le nom du domaine local à associer avec l'équipement : vous pouvez sélectionner un domaine
local existant ou en créer un,
– le nom du compte : il s’agit du nom qui sera utilisé par les utilisateurs pour accéder au compte
local,
– l'identifiant du compte,
– un champ pour associer des ressources : une association de ressources est nécessaire pour
créer des cibles pour des applications et des clusters,
– une description,
– la politique d'emprunt,
– un bouton pour activer ou désactiver le changement automatique du mot de passe pour ce
compte,
– un bouton pour activer ou désactiver le changement automatique de la clé SSH pour ce compte.
• sur l'onglet « Mot de passe » :
– un mot de passe et sa confirmation,
– un bouton pour activer et désactiver le changement manuel du mot de passe et sa propagation
sur la cible.
Note :
Vous avez la possibilité de supprimer un mot de passe déjà défini pour ce compte en
cliquant sur le bouton « Supprimer mot de passe ».
• sur l'onglet « Clé privée SSH » :

Pour la page « Génération d'une clé privée » :
– le système de signature de la clé privée,
– la clé publique SSH correspondante au format OpenSSH ou ssh.com.
Pour la page « Envoi d'une clé privée » :
– la clé privée SSH au format OpenSSH ou PuTTY,
– la phrase de chiffrement associée (si elle a été définie),
– un bouton pour activer ou désactiver le changement manuel de la clé privée SSH et sa
propagation sur la cible,
– un bouton pour télécharger la clé publique SSH correspondante au format OpenSSH ou
ssh.com.
Note :
Vous avez la possibilité de supprimer la clé privée SSH déjà définie pour ce compte
en cliquant sur le bouton « Supprimer la clé privée SSH existante ».
Après avoir ajouté le compte local sur l'équipement, vous avez la possibilité d'ajouter ce compte
à un groupe afin de configurer :
• un groupe de cibles pour la gestion des sessions à partir d'un compte (pour plus d'informations,
voir Section 10.5.1.2, « Configurer un groupe de cibles pour la gestion des sessions à partir d'un
compte du coffre-fort », page 192),
141
• un groupe de cibles pour la gestion des sessions pour un compte de scénario (pour plus
d'informations, voir Section 10.5.1.3, « Configurer un groupe de cibles pour le compte de scénario
lors d'une session SSH », page 192),
• un groupe de cibles pour la gestion des mots de passe à partir d'un compte (pour plus
d'informations, voir Section 10.5.1.6, « Configurer un groupe de cibles pour la gestion des mots
de passe à partir d'un compte du coffre-fort », page 195).
Note :
Les associations de ressources peuvent également être gérées à partir de la
page « Groupes » (pour plus d'informations, voir Section 10.5, « Groupes de
cibles », page 191).
Pour ajouter un compte local à un groupe, sélectionnez la case à cocher située au début de la ligne
du compte local concerné puis cliquez sur le bouton « Ajouter au groupe ». Une fenêtre s'ouvre et
vous invite à renseigner et à sélectionner les champs suivants :

• le type de cible : compte pour la gestion des sessions, compte de scénario pour la gestion des
sessions ou compte pour la gestion des mots de passe,
• le service (s'il est nécessaire pour le type de cible sélectionné),
• les comptes locaux.
Note :
enregistrées et vous pouvez associer le compte local à un autre groupe et/ou type de cible
et/ou service. Autrement, cliquez sur le bouton « Ajouter et fermer » pour sauvegarder
les données et fermer la fenêtre.
10.1.1.5. Gérer les comptes globaux

L'onglet « Comptes globaux » permet de lister, ajouter, modifier et supprimer des comptes globaux
appartenant à un domaine global existant déjà au sein de WALLIX Bastion.
Pour ajouter un compte global, cliquez sur le bouton « + Ajouter ». Une fenêtre s'ouvre et vous
invite à sélectionner et à renseigner les champs suivants :
• sur l'onglet « Général » :

– le nom du domaine global,
– le nom du compte : il s’agit du nom qui sera utilisé par les utilisateurs pour accéder au compte
global,
– l'identifiant du compte,
– un champ pour associer des ressources : une association de ressources est nécessaire pour
créer des cibles pour des applications et des clusters,
– une description,
– la politique d'emprunt,
– un bouton pour activer ou désactiver le changement automatique du mot de passe pour ce
compte,
142
– un bouton pour activer ou désactiver le changement automatique de la clé SSH pour ce compte,
– la période de validité du certificat si le compte est défini sur un domaine associé à une Autorité
de Certification. Si aucune valeur n'est renseignée dans ce champ, alors le certificat est valide
pour une durée illimitée.
• sur l'onglet « Mot de passe » :
– un mot de passe et sa confirmation,
– un bouton pour activer ou désactiver le changement manuel du mot de passe et sa propagation
sur la cible.
Note :
Vous avez la possibilité de supprimer un mot de passe déjà défini pour ce compte en
cliquant sur le bouton « Supprimer mot de passe ».
• sur l'onglet « Clé privée SSH » :

Pour la page « Génération d'une clé privée » :
– le système de signature de la clé privée,
– la clé publique SSH correspondante au format OpenSSH ou ssh.com.
Pour la page « Envoi d'une clé privée » :
– la clé privée SSH au format OpenSSH ou PuTTY,
– la phrase de chiffrement associée (si elle a été définie),
– un bouton pour activer ou désactiver le changement manuel de la clé privée SSH et sa
propagation sur la cible,
– un bouton pour télécharger la clé publique SSH correspondante au format OpenSSH ou
ssh.com.
Note :
Vous avez la possibilité de supprimer la clé privée SSH déjà définie pour ce compte
en cliquant sur le bouton « Supprimer la clé privée SSH existante ».
• sur l'onglet « Références » :

Cet onglet liste les références utilisées pour la gestion des comptes de service. Les références
pour ce compte global peuvent être gérées depuis l'onglet « Références » situé dans la page
de modification du compte, accessible depuis le menu « Cibles » > « Comptes » > « Comptes
globaux ». Pour plus d'informations, voir Section 10.4.1.4, « Définir des références pour la gestion
des comptes de service », page 180.
Après avoir ajouté le compte global, vous avez la possibilité de l'ajouter à un groupe afin de
configurer un groupe de cibles pour la gestion des sessions à partir d'un compte (pour plus
d'informations, voir Section 10.5.1.2, « Configurer un groupe de cibles pour la gestion des sessions
à partir d'un compte du coffre-fort », page 192).
Note :
Les associations de ressources peuvent également être gérées à partir de la
143
Pour ajouter un compte global à un groupe, sélectionnez la case à cocher située au début de la
ligne du compte global concerné puis cliquez sur le bouton « Ajouter au groupe ». Une fenêtre
s'ouvre et vous invite à renseigner et à sélectionner les champs suivants :

• le type de cible : compte pour la gestion des sessions,
• le service,
• les comptes globaux.
Note :
enregistrées et vous pouvez associer le compte global à un autre groupe et/ou service.
Autrement, cliquez sur le bouton « Ajouter et fermer » pour sauvegarder les données et
fermer la fenêtre.
10.1.1.6. Gérer les groupes de cibles associés à l'équipement

L'onglet « Groupes » permet de lister, modifier et supprimer des associations de ressources déjà
existantes sur cet équipement.
Note :
Pour pouvoir gérer des associations, des comptes cibles et des services doivent exister
sur l'équipement.
Lorsque vous cliquez sur un nom de groupe, vous êtes redirigé(e) sur la page de modification
des données de ce groupe. Vous avez alors la possibilité de configurer, modifier ou supprimer
les données constituant ce groupe. Pour plus d'informations, voir Section 10.5, « Groupes de
cibles », page 191.
10.1.1.7. Afficher et supprimer les certificats ou les clés sur l'équipement

Sur la page « Équipements », cliquez sur un nom d'équipement afin d'afficher les données
correspondantes puis cliquez sur l'onglet « Certificats » pour visualiser la liste des certificats ou
des clés sur cet équipement.
Pour supprimer un certificat ou une clé, sélectionnez la case à cocher située au début de la ligne
du certificat ou de la clé concerné(e) puis cliquez sur le bouton « Supprimer ».
Attention :
Un utilisateur est autorisé à visualiser les certificats sur l'équipement lorsque le droit
« Afficher » pour la fonctionnalité « Cibles & comptes » est paramétré au niveau de son
profil (voir Section 9.3, « Profils utilisateurs », page 95).
Un utilisateur est autorisé à supprimer les certificats sur l'équipement lorsque le droit
« Modifier » pour la fonctionnalité « Cibles & comptes » est paramétré au niveau de son
10.1.1.8. Gérer l'association d'étiquettes à l'équipement
144
L'onglet « Étiquettes » permet de lister, ajouter et supprimer des étiquettes liées à l'équipement.
Ces étiquettes permettent d'organiser vos équipements de façon cohérente et pertinente afin
d'identifier rapidement un équipement spécifique. Pour plus d'informations, voir Section 10.1.3,
« Utiliser les étiquettes pour organiser les équipements », page 145.
Note :
Un maximum de 64 étiquettes peut être ajouté à un équipement.
Pour ajouter une étiquette, cliquez sur le bouton « + Ajouter ». Une fenêtre s'ouvre et vous invite
à sélectionner et à renseigner les champs suivants :
• « Clé » : il s’agit de la clé de l'étiquette. Vous pouvez sélectionner une clé déjà existante ou en
créer une nouvelle. La longueur maximale de la clé est limitée à 512 caractères.
• « Valeur » : il s’agit de la valeur de la clé. Vous pouvez sélectionner une valeur déjà existante ou
en créer une nouvelle. La longueur maximale de la valeur est limitée à 256 caractères.
Avertissement :
Il est impossible d'ajouter des étiquettes avec des clés identiques sur un même
équipement.
Les clés et valeurs sont sensibles à la casse et acceptent tous les caractères UTF-8. Les
espaces sont interdits au début et à la fin des champs « Clé » et « Valeur ».
Il est impossible de modifier une étiquette. Afin d'effectuer une modification d'une clé et/
ou d'une valeur, il est nécessaire de supprimer l'étiquette et d'en créer une nouvelle.
Pour supprimer une étiquette associée à l'équipement, sélectionnez la case à cocher située au
début de la ligne de l'étiquette concernée puis cliquez sur le bouton « Supprimer ».
Avertissement :
Si vous supprimez un équipement, les étiquettes associées à ce dernier sont également
supprimées.
10.1.2. Modifier un équipement
Sur la page « Équipements » située dans le menu « Cibles », cliquez sur un nom d’équipement. La
page de modification s'affiche et vous permet de modifier les données déjà renseignées.
Pour plus d'informations sur l'ajout de données dans les onglets, voir Section 10.1.1, « Ajouter un
équipement », page 138.
10.1.3. Utiliser les étiquettes pour organiser les

équipements
Depuis le tableau de la page « Équipements » située dans le menu « Cibles », vous pouvez
visualiser l'ensemble des étiquettes associées à vos équipements mais également en ajouter et
en retirer.
145
Ces étiquettes seront utilisées pour organiser les équipements listés dans ce tableau et permettront
ainsi d'identifier rapidement les équipements sur lesquels des actions doivent être effectuées.
Note :
Un maximum de 64 étiquettes peut être ajouté à un équipement.
10.1.3.1. Ajouter des étiquettes

Sur la page « Équipements » située dans le menu « Cibles », sélectionnez un ou plusieurs
équipements à l’aide de la case à cocher située en début de ligne, puis cliquez sur le bouton
« Ajouter des étiquettes ». La fenêtre « Ajouter des étiquettes aux équipements » s’affiche et vous
permet de sélectionner et de renseigner les champs suivants :
• « Clé » : il s’agit de la clé de l'étiquette. Vous pouvez sélectionner une clé déjà existante ou en
créer une nouvelle. La longueur maximale de la clé est limitée à 512 caractères.
• « Valeur » : il s’agit de la valeur de la clé. Vous pouvez sélectionner une valeur déjà existante ou
en créer une nouvelle. La longueur maximale de la valeur est limitée à 256 caractères.
Avertissement :
Il est impossible d'ajouter des étiquettes avec des clés identiques sur un même
équipement.
Les clés et valeurs sont sensibles à la casse et acceptent tous les caractères UTF-8. Les
espaces sont interdits au début et à la fin des champs « Clé » et « Valeur ».
Il est impossible de modifier une étiquette. Afin d'effectuer une modification d'une clé et/
ou d'une valeur, il est nécessaire de supprimer l'étiquette et d'en créer une nouvelle.
Une fois les champs sélectionnés et renseignés, cliquez sur le bouton « Ajouter et continuer »
pour enregistrer les nouvelles données et poursuivre la création d'étiquettes. Autrement, cliquez
sur « Ajouter et fermer » pour sauvegarder les données et fermer la fenêtre.
10.1.3.2. Filtrer des équipements

Sur la page « Équipements » située dans le menu « Cibles », vous pouvez filtrer les équipements
à partir de la colonne « Étiquettes ».
Cliquez sur l’icône située dans l’en-tête de la colonne « Étiquettes » afin d’afficher le champ
de recherche. En cliquant dans ce champ vous accédez à une liste de l’ensemble des clés et
des valeurs des étiquettes existant dans WALLIX Bastion. Saisissez puis sélectionnez la clé ou la
valeur de l’étiquette qui vous intéresse et cliquez sur le bouton « Rechercher ». Les équipements
correspondant au filtre s'affichent dans le tableau. Un filtre actif est symbolisée par l'icône orange .
Pour supprimer un filtre, cliquez sur l’icône en haut à droite du tableau ou cliquez sur l'icône
puis sur le bouton « Restaurer ».
10.1.3.3. Retirer des étiquettes

équipements à l’aide de la case à cocher située en début de ligne, puis cliquez sur le bouton « Retirer
146
des étiquettes ». La fenêtre « Retirer les étiquettes des équipements » s’affiche et vous permet de
sélectionner les clés ou les valeurs des étiquettes à retirer. Une fois la sélection effectuée, cliquez
sur le bouton « Retirer et fermer ».
10.1.4. Supprimer un équipement
équipements à l’aide de la case à cocher située en début de ligne puis cliquez sur le bouton
« Supprimer ». WALLIX Bastion affiche une fenêtre demandant une confirmation avant la
suppression définitive des lignes sélectionnées.
Avertissement :
Vous ne pouvez pas supprimer un équipement sur lequel des comptes cibles sont
déclarés.
10.1.5. Importer des équipements

Sur la page « CSV » du menu « Import/Export », sélectionnez « Équipements » à l'aide de la
case à cocher pour importer les données. Les séparateurs de champs et de listes sont également
configurables.
#wab820 resource
Important :

Nom de Texte R [aA-zZ], [0-9], '-', '_' N/A
l'équipement
Alias Texte O Texte libre N/A
Adresse réseau IP/ R [aA-zZ], [0-9], '-', '/', '.' N/A
FQDN/
Subnet par exemple, pour un subnet :
1.1.1.0/24
Domaine local Texte O Domaines locaux créés via une N/A
association avec un équipement ou un
compte cible
Il peut n'y avoir aucun domaine local

ou un ou plusieurs domaines locaux
(créés sur cet équipement).
147

Service/ Texte O Pour mentionner un domaine global N/A
Protocole/Port/ pour un sous-protocole :
Politique de
connexion/ nom/PROTOCOLE/port/poli-
Sous-protocole tique_connexion/
mon_domaine_global/sous-
protocole1|sous-protocole2
Important : s'il n'y a pas de domaine

global, la syntaxe suivante doit être
respectée :
nom/PROTOCOLE/port/
politique_connexion//sous-protocole1|
sous-protocole2
nom : Texte libre

(1)
PROTOCOLE : Nom de protocole :
voir ci-dessous
port : Numéro de port (optionnel)

politique_connexion : Nom de la
politique de connexion
(2)
sous-protocole : Nom de sous-
protocole (optionnel) : voir ci-dessous
(1)
PROTOCOLE : une des valeurs suivantes : SSH, TELNET, RLOGIN, RDP, VNC, RAWTCPIP.
(2)
sous-protocole pour SSH : une des valeurs suivantes : SSH_SHELL_SESSION,
SSH_REMOTE_COMMAND, SSH_SCP_UP, SSH_SCP_DOWN, SSH_X11, SFTP_SESSION,
SSH_DIRECT_TCPIP, SSH_REVERSE_TCPIP, SSH_AUTH_AGENT,
SSH_DIRECT_UNIXSOCK, SSH_REVERSE_UNIXSOCK. Pour plus d'informations, voir
Section 10.1.6, « Options spécifiques du protocole SSH », page 149.
sous-protocole pour RDP : une des valeurs suivantes : RDP_CLIPBOARD_UP,
RDP_CLIPBOARD_DOWN, RDP_CLIPBOARD_FILE, RDP_PRINTER, RDP_COM_PORT,
RDP_DRIVE, RDP_SMARTCARD, RDP_AUDIO_OUTPUT, RDP_AUDIO_INPUT. Pour plus
d'informations, voir Section 10.1.7, « Options spécifiques du protocole RDP », page 150.
Si sous-protocole n'est pas mentionné, alors tous les sous-protocoles sont ajoutés. La valeur des
autres protocoles est identique à PROTOCOLE et peut être omise.
Pour mentionner plusieurs sous-protocoles au sein d'un même protocole, il n'est pas nécessaire
de reprendre toute la structure : les sous-protocoles peuvent être séparés par une barre verticale
(ou « pipe ») : « | » comme illustré dans l'exemple ci-dessous :
rdp/RDP/3389/RDP//RDP_CLIPBOARD_UP|RDP_CLIPBOARD_DOWN|RDP_PRINTER|RDP_COM_PORT|
RDP_DRIVE|RDP_SMARTCARD

est indiquée.
148
Figure 10.2. Page « CSV » - case « Équipements » cochée
10.1.6. Options spécifiques du protocole SSH

Le protocole SSH est divisé en sous-protocoles déterminant principalement les types de canaux
que la session est autorisée à ouvrir. Ceux-ci sont les suivants :
• SSH_SHELL_SESSION : autorise le démarrage des sessions shell,

• SSH_REMOTE_COMMAND : autorise l'exécution de commandes à distance,
• SSH_SCP_UP : autorise le transfert de fichiers vers l'équipement cible (transfert SCP depuis le
client vers le serveur),
• SSH_SCP_DOWN : autorise le transfert de fichiers depuis l'équipement cible (transfert SCP
depuis le serveur vers le client),
• SSH_X11 : autorise l'affichage d'applications X11 s'exécutant sur un équipement cible,
• SFTP_SESSION : autorise le transfert bi-directionnel de fichiers via SFTP (session SFTP),
• SSH_DIRECT_TCPIP : autorise la redirection directe de port TCP/IP (depuis le client vers le
serveur),
• SSH_REVERSE_TCPIP : autorise la redirection inverse de port TCP/IP (depuis le serveur vers
le client),
• SSH_AUTH_AGENT : autorise le transfert d'authentification par agent (auth-agent multi-hops),
• SSH_DIRECT_UNIXSOCK : autorise la redirection directe de socket Unix (depuis le client vers
le serveur),
• SSH_REVERSE_UNIXSOCK : autorise la redirection inverse de socket Unix (depuis le serveur
vers le client).
Chacun de ces sous-systèmes fait l'objet d'une autorisation spécifique sur WALLIX Bastion.
149
L'ouverture d'un shell distant ou le transfert d'un fichier peut vous être refusé si vous ne possédez
pas l'autorisation sur le sous-système concerné.
Note :
Certains clients requièrent également l'autorisation SSH_SHELL_SESSION pour
effectuer le listing des répertoires quand ils sont utilisés en mode SCP.
Certaines autorisations doivent être associées à d'autres pour fonctionner correctement :
- l'autorisation SSH_X11 doit être associée à SSH_SHELL_SESSION ou

SSH_REMOTE_COMMAND (au moins à l'une des deux),
- l'autorisation SSH_AUTH_AGENT doit être associée à SSH_SHELL_SESSION ou

SSH_REMOTE_COMMAND (au moins à l'une des deux),
- l'autorisation SSH_REVERSE_TCPIP doit être associée à SSH_SHELL_SESSION,
- l'autorisation SSH_REVERSE_UNIXSOCK doit être associée à

SSH_SHELL_SESSION.
Les options SSH_SHELL_SESSION, SSH_REMOTE_COMMAND, SSH_SCP_UP/

DOWN et SFTP_SESSION permettent d'ouvrir des canaux de type session. Par défaut,
un seul canal de ce type peut être ouvert au cours d'une connexion (ou session) SSH.
Pour permettre l'ouverture de plusieurs canaux de type session, l'option « Allow multi
channels » doit être activée au niveau de la politique de connexion SSH (accessible
depuis le menu « Gestion des sessions » > « Politiques de connexion ». Pour plus
d'informations, voir Section 12.4, « Politiques de connexion », page 260.).
10.1.7. Options spécifiques du protocole RDP

Le protocole RDP est divisé en sous-protocoles déterminant principalement les actions autorisées
pour la session. Ceux-ci sont les suivants :
• RDP_CLIPBOARD_UP : autorise le transfert de données via le presse-papier depuis le client

vers la session RDP,
• RDP_CLIPBOARD_DOWN : autorise le transfert de données via le presse-papier depuis la
session vers le client RDP,
• RDP_CLIPBOARD_FILE : autorise le transfert de fichier avec la fonction copier/coller via le
presse-papier,
• RDP_PRINTER : autorise l'utilisation d'imprimantes locales lors de la session à distance,
• RDP_COM_PORT : autorise l'utilisation de ports locaux série et parallèle lors de la session à
distance,
• RDP_DRIVE : autorise l'utilisation de disques locaux lors de la session à distance,
• RDP_SMARTCARD : autorise l'utilisation des cartes à puce locales lors de la session à distance,
• RDP_AUDIO_OUTPUT : autorise la lecture audio depuis la session vers le client RDP,
• RDP_AUDIO_INPUT : autorise l'enregistrement audio depuis le client vers la session RDP.
Chacun de ces sous-systèmes fait l'objet d'une autorisation spécifique sur WALLIX Bastion.
Le transfert de données via le presse-papier ou l'utilisation de votre disque local lors de la session à
distance peut vous être refusé si vous ne possédez pas l'autorisation sur le sous-système concerné.
150
Note :
Certaines autorisations doivent être associées à d'autres pour fonctionner correctement :
- l'autorisation RDP_CLIPBOARD_FILE doit être associée à RDP_CLIPBOARD_UP pour

transférer un fichier via le presse-papier depuis le client vers la session RDP,
- l'autorisation RDP_CLIPBOARD_FILE doit être associée à RDP_CLIPBOARD_DOWN

pour transférer un fichier via le presse-papier depuis la session vers le client RDP.
10.2. Applications
WALLIX Bastion vous permet de gérer des sessions d’application en utilisant un serveur de rebond
sur lequel est installée l’application. L’utilisateur se connecte à WALLIX Bastion et choisit une
application dans le sélecteur (voir la figure 10.3, « Flux d'une session applicative », page 151).
WALLIX Bastion initie alors une session RDP et lance automatiquement l’application en lui
fournissant les informations de compte nécessaires (identifiant, mot de passe). La session
d'application est alors enregistrée comme une session RDP.
Important :
Il n'est pas possible de lancer une application associée à une cible fonctionnant sous un
système d'exploitation Windows 10 car le service Bureau à distance ne supporte pas la
fonction « alternate shell ».
Avertissement :
Afin de permettre à WALLIX Bastion de gérer les connexions à une application, cette
dernière doit être en mesure de recevoir le nom du compte et le mot de passe à utiliser
pour la connexion comme arguments de la ligne de commande.
Figure 10.3. Flux d'une session applicative
Sur la page « Applications », vous pouvez :
• lister les applications,

• ajouter/modifier/supprimer une application,
151
• importer des applications à partir d'un fichier .csv afin d'alimenter la base ressources de WALLIX
Bastion.
10.2.1. Configuration du serveur de rebond

Les serveurs à partir de Windows Server 2003 sont supportés comme serveurs de rebond. A partir
de la version Windows Server 2008, le rôle « Services Terminal Server » ou « Bureau à Distance »
doit être installé.
Avertissement :
Après une période de grâce de 120 jours, il faut installer des Client Access Licences
(CAL) pour pouvoir continuer à utiliser ces services.
Il faut permettre à l’utilisateur d’avoir le droit de lancer l’application. Cela peut se faire en permettant
l’accès aux programmes non répertoriés ou en ajoutant l’application aux programmes autorisés,
comme décrit ci-dessous.
En cas d'utilisation du mode « session probe », il est nécessaire de publier l'invite de commande
(cmd.exe) en tant que programme RemoteApp. Pour plus d'informations sur ce mode et sa
configuration, nous vous recommandons fortement de consulter Section 12.20, « Utilisation du
mode « session probe » », page 280.
• Permettre l’accès aux programmes non répertoriés :

1. Cliquer sur le menu « Démarrer ».
2. Sélectionner « Programmes » > « Outils d’administration » > « Services Bureau à distance »
puis ouvrir l’application « Gestionnaire RemoteApp ».
3. Dans le cadre « Vue d’ensemble », cliquer sur « Changer les paramètres Terminal Server ».
4. Sur l’onglet « Terminal Server », dans le cadre « Accès aux programmes non répertoriés »,
choisir « Autoriser les utilisateurs à démarrer les programmes répertoriés et non ».
• Ajouter l’application aux programmes autorisés :
3. Dans le cadre « Actions », cliquer sur « Ajouter des programmes RemoteApp ».
4. Choisir l’application dans la liste affichée en cochant la case correspondante et éditer les
propriétés de l’application afin de permettre l’utilisation de tous les arguments de la ligne de
commande.
Il est recommandé de mettre la plus petite valeur possible au délai maximal pendant lequel une
session utilisateur déconnectée est gardée active sur le serveur Terminal Server. Pour cela, suivre
la procédure ci-dessous.

puis ouvrir l’application « Configuration d’hôte de session Bureau à distance » pour abaisser
le délai maximal à 1 minute. Pour cela :
152
• dans le cadre « Connexions », sélectionner la connexion nommée « RDP-Tcp »,

• sur l’onglet « Sessions », sélectionner « Remplacer les paramètres de l’utilisateur » et
paramétrer la valeur du champ « Fin d’une session déconnectée » à 1 minute.
4. Choisir l’application dans la liste affichée en cochant la case correspondante et éditer les
propriétés de l’application afin de permettre l’utilisation de tous les arguments de la ligne de
commande.
Il est également possible d’utiliser les politiques de groupe pour gérer ce paramètre.
Il est possible de permettre plusieurs connexions avec le même compte cible sur un serveur de
rebond.
Pour un serveur Windows Server 2008 ou une version plus récente :

puis ouvrir l’application « Configuration d’hôte de session Bureau à distance ».
3. Dans le cadre « Modifier les paramètres », dans le groupe « Général », double-cliquer sur
« Restreindre les utilisateurs à une session unique » et décocher la case.
Alternativement, il est possible d’utiliser le paramètre correspondant avec une stratégie de compte.
A partir de Windows Server 2012, un paramétrage supplémentaire est nécessaire pour permettre
l’accès d’un client qui n’utilise pas l’authentification au niveau du réseau. Ce paramétrage s’effectue
de la manière suivante :
1. Ouvrir le « Gestionnaire de Serveur » et sélectionner « Services Bureau à distance ».

2. Sélectionner la collection voulue dans « Collections ». La collection par défaut se nomme
« Quick Session Collections ».
3. Dans le cadre « Propriétés », sélectionner « Modifier les propriétés ».
4. Dans la section « Sécurité », décocher l’option « Autoriser les connexions uniquement pour
les ordinateurs exécutant les services Bureau à distance avec authentification au niveau du
réseau ».
10.2.2. Configuration du lancement de l'application en mode

RemoteApp
Le mode RemoteApp permet de faire apparaître les applications (telles que définies depuis «
Cibles » > « Applications ») accessibles via RDP comme si elles étaient lancées en local depuis
le poste de l'utilisateur. Ce mode permet ainsi de démarrer une session à distance mais qui
apparaît comme une fenêtre d'application unique. L'application en mode RemoteApp se présente à
l'utilisateur comme intégrée au bureau du poste client et non pas depuis le bureau distant du client
RDP. L'application en mode RemoteApp est lancée dans une fenêtre redimensionnable, pouvant
être déplacée entre plusieurs moniteurs et dispose de sa propre entrée dans la barre des tâches.
Le mode RemoteApp est activé par défaut lors de la connexion à des applications. Ce paramètre
peut être géré depuis « Configuration » > « Options de configuration » > « GUI (Legacy) » puis,
cochez/décochez l'option « Rdp remote app mode ».
Le redimensionnement de la fenêtre de l'application en mode RemoteApp est activé par défaut. Ce
paramètre peut être géré depuis « Configuration » > « Options de configuration » > « RDP proxy »
153
puis, cochez/décochez l'option « Allow resize hosted desktop » de la section « remote program ».
Quand cette fonctionnalité est activée, une icône en forme d'épingle apparaît dans le coin supérieur
droit de la fenêtre RemoteApp qui héberge la session RDP classique. Le redimensionnement est
autorisé lorsque la pointe de l'épingle est orientée vers la gauche.
La session RemoteApp se ferme 20 secondes après la fermeture de la dernière fenêtre ou icône

de barre de tâches. Il est cependant possible de raccourcir ce laps de temps, en définissant un
délai avant l'affichage d'un message de déconnexion pour fermer la session. Ce délai peut être
paramétré au niveau du champ « Remote programs disconnect message display », sur la page de
configuration de la politique de connexion définie sur le protocole RDP. Cette page est accessible
depuis le menu « Gestion des sessions » > « Politiques de connexion ».
De plus, il peut s'avérer nécessaire de convertir la session RemoteApp en session Alternate Shell
pour accéder à une application RemoteApp publiée via un serveur de rebond, dans le cadre d'une
session initialisée par Access Manager. Pour cela, il faut sélectionner l'option « Wabam uses
translated remotapp », sous la section « rdp », sur la page de configuration de la politique de
connexion définie sur le protocole RDP, accessible depuis le menu « Gestion des sessions » > «
Politiques de connexion ».
Avertissement :
Ce champ est affiché lorsque la case du champ « Options avancées » sur la droite de
la page est cochée et doit être UNIQUEMENT modifié sur les instructions de l’Équipe
Support WALLIX !
Important :
Les sessions RemoteApp d'un utilisateur connecté simultanément à une ou plusieurs
applications sont dissociées par défaut lorsqu'elles sont consultées depuis les pages
« Sessions courantes » et « Historique des sessions » du menu « Audit ». Si l'option
« Rdp enable sessions split » (accessible depuis « Configuration » > « Options de
configuration » > « GUI (Legacy) » > section « main » est décochée, il est possible
d'obtenir une vue superposée de ces sessions.
Le client Connexion Bureau à Distance (MSTSC) connecté à un serveur Windows

Server 2008 ou 2012 ne permet pas le partage de session entre plusieurs programmes
RemoteApp. Il y aura autant de sessions RDP créées que de programmes RemoteApp
lancés.
Des problèmes d'affichage ont été constatés sur le client Microsoft lors de l'utilisation
du mode RemoteApp en configuration multi-moniteurs. Des dysfonctionnements se
produisent lorsque le moniteur primaire n'est pas situé dans la partie supérieure gauche
de l'écran virtuel. La solution de contournement recommandée consiste à localiser le
moniteur primaire dans la partie supérieure gauche de l'écran virtuel. Voir https://
go.microsoft.com/fwlink/?LinkId=191444 pour plus d'informations sur l'écran
virtuel.
Il est possible d'utiliser le mode « session probe » pour lancer les applications définies au
sein du Bastion. Ce mode de fonctionnement a pour avantage de bloquer le lancement
de processus fils. Ce qui n'est pas le cas lors de l'utilisation du mode natif RemoteApp.
Cependant, il est à noter que les restrictions définies lors de la création du programme
RemoteApp dans Windows (groupes d'utilisateurs, arguments de ligne de commandes
autorisés, etc.) ne seront pas prises en compte. Ce mode peut être géré depuis « Gestion
des sessions » > « Politiques de connexion » > « RDP » puis, cochez/décochez l'option
154
« Use session probe to launch remote program » de la section « rdp ». Pour plus
d'informations sur le mode « session probe », voir Section 12.20, « Utilisation du mode
« session probe » », page 280.
10.2.3. Automatisation des connexions à une application via

les scripts AutoIt
Note :
Pour l'automatisation de connexions à des applications Web, voir Section 10.2.4,
« Automatisation des connexions à une application Web via WALLIX Application
Driver », page 156.
Les applications professionnelles proposent généralement un écran d’authentification pour

permettre à un utilisateur d’accéder uniquement aux données dont il a besoin. La phase
d’authentification consiste à vérifier le compte et le mot de passe entrés manuellement par cet
utilisateur. Ce dernier a donc connaissance de ces informations sensibles.
Afin de limiter la divulgation d’informations, nous recommandons l'utilisation de scripts AutoIt. Ceux-
ci sont pris en charge par WALLIX Bastion pour remplir les formulaires d’identification de façon
automatique. Cette méthode permet notamment de récupérer des informations d’identification de
l’application via un canal virtuel RDP. Ainsi, l’utilisateur ne pourra pas en prendre connaissance.
En cas de contrainte technique forte et risque de sécurité limité, les informations d'identification
peuvent également être passées à l’application directement en tant qu'arguments de la ligne de
commande. Cependant, cette option n'est pas recommandée car l'utilisateur de l’application a ainsi
facilement accès à ces informations.
Pour que les scripts AutoIt puissent récupérer les informations d'identification via le canal virtuel
RDP, il est nécessaire de paramétrer l'activation de canal depuis « Configuration » > « Options de
configuration » > « RDP proxy » puis, sous la section « mod_rdp », saisissez le nom du canal virtuel
dans le champ « Auth channel ». Le caractère « * » indique à WALLIX Bastion qu’il faut utiliser le
nom par défaut wablnch. Il est à noter que pour fonctionner, WALLIX Bastion et le script AutoIt
doivent utiliser le même nom de canal virtuel.
Une fois le canal virtuel activé, le script AutoIt doit être déployé sur le serveur Terminal Server, puis
ajouté aux programmes RemoteApp autorisés :
Note :
Un script AutoIT générique de connexion peut être mis à disposition sur
demande auprès de l’Équipe Support. Nous vous invitons à la contacter pour de
plus amples renseignements (voir Chapitre 19, « Contacter le Support WALLIX
Bastion », page 362).

4. Choisir le chemin de l'exécutable du script AutoIt dans la liste affichée en cochant la case
correspondante.
155
Ensuite, lors de la configuration de l’application depuis la page « Applications » de WALLIX Bastion :
• dans le champ « Paramètres », renseigner l’URL de connexion,

• dans le champ « Chemin de l’application », saisir le chemin de l’exécutable du script AutoIt.
Exemple :
Dans cet exemple, le script WABIELogon_VC_64.exe lance le navigateur Internet Explorer,

récupère les identifiants via le canal virtuel et se connecte sur l'application.
Une fois l'application configurée, elle peut être ensuite associée à un groupe de cibles via le menu
« Cibles » > « Groupes ».
10.2.4. Automatisation des connexions à une application

Web via WALLIX Application Driver
WALLIX Application Driver est un outil permettant d'accéder à des applications Web par l'injection
automatique d’accréditations (identifiant et mot de passe) dans les formulaires d'authentification.
Note :
Pour l'automatisation de connexions à des applications lourdes, voir Section 10.2.3,
« Automatisation des connexions à une application via les scripts AutoIt », page 155.
Application Driver récupère les informations d’authentification de l’application via un canal virtuel
RDP et connecte automatiquement l'utilisateur.
Les formulaires d'authentification sont ainsi remplis sans l’intervention de l’utilisateur et les données
sensibles ne sont pas divulguées lors de la phase d’authentification.
Application Driver peut être utilisé sans déploiement spécifique (voir Section 10.2.4.1, « Utilisation
de WALLIX Application Driver sans déploiement spécifique », page 157) ou par le biais d'un
déploiement manuel (voir Section 10.2.4.2, « Utilisation de WALLIX Application Driver avec un
déploiement manuel », page 158).
Note :
WALLIX Bastion et Application Driver doivent utiliser le même nom de canal virtuel pour
fonctionner correctement.
156
Pour configurer le canal virtuel, il est nécessaire de saisir le nom du canal virtuel
RDP dans le champ « Auth channel » situé dans « Configuration » > « Options de
configuration » > « RDP proxy » > section [mod_rdp].
Le caractère « * » est déjà renseigné par défaut et indique à WALLIX Bastion qu’il faut
utiliser le nom par défaut du canal virtuel : wablnch.
10.2.4.1. Utilisation de WALLIX Application Driver sans déploiement spécifique
10.2.4.1.1. Prérequis
Le mode « Session Probe » doit être activé pour permettre l'utilisation de Application Driver sans
déploiement spécifique.
Les prérequis pour le déploiement automatique de Application Driver sont les mêmes que ceux
permettant de lancer Session Probe. Pour plus d'informations, voir Section 12.20, « Utilisation du
mode « session probe » », page 280.
10.2.4.1.2. Configuration pour le lancement de l'application Web
Cette configuration doit être effectuée sur la page « Applications », accessible depuis le menu
« Cibles » :
1. Dans le champ « Chemin de l’application », saisir une des valeurs suivantes :

• « __APP_DRIVER_IE__ » afin de sélectionner le lancement de l'application Web dans le
navigateur Internet Explorer,
• « __APP_DRIVER_CHROME_UIA__ » afin de sélectionner le lancement de l'application Web
dans le navigateur Google Chrome avec le script UI Automation,
• __APP_DRIVER_EDGE_CHROMIUM_UIA__ afin de sélectionner le lancement de l'application
Web dans le navigateur Microsoft Edge basé sur Chromium avec le script UI Automation,
• « __APP_DRIVER_CHROME_DT__ » afin de sélectionner le lancement de l'application Web
dans le navigateur Google Chrome avec le script DevTools,
• « __APP_DRIVER_EDGE_CHROMIUM_DT__ » afin de sélectionner le lancement de
l'application Web dans le navigateur Microsoft Edge basé sur Chromium avec le script
DevTools.
2. Dans le champ « Paramètres », renseigner les paramètres nécessaires pour le lancement de
l'application Web en fonction du navigateur et du script choisis. Pour plus d'informations, voir
Section 10.2.4.3, « Paramètres de WALLIX Application Driver pour le lancement de l'application
Web », page 159.
Exemple pour le lancement de l'application Web avec Internet Explorer :
157
10.2.4.2. Utilisation de WALLIX Application Driver avec un déploiement manuel

Il est possible de déployer Application Driver manuellement avec un fichier exécutable et des scripts
de configuration mis à la disposition des administrateurs des serveurs de rebond sur demande
auprès de l’Équipe Support. Nous vous invitons à la contacter pour de plus amples renseignements
(voir Chapitre 19, « Contacter le Support WALLIX Bastion », page 362).
Nous vous recommandons cependant d'utiliser WALLIX Application Driver avec le mode « Session
Probe ». Pour plus d'informations, voir Section 10.2.4.1, « Utilisation de WALLIX Application Driver
sans déploiement spécifique », page 157.
10.2.4.2.1. Déploiement manuel
1. Télécharger le fichier AppDriver.exe et les scripts WABChromeLogonUIA.lua et

WABIELogon.lua fournis par l’Équipe Support sur le serveur cible utilisé pour l'exécution des
applications Web.
Note :
Le script WABChromeLogonUIA.lua sera utilisé pour sélectionner le lancement de
l'application Web avec le navigateur Google Chrome et le script WABIELogon.lua
sera utilisé pour sélectionner le lancement de l'application Web avec le navigateur
Internet Explorer.
2. Copier le fichier AppDriver.exe dans un dossier dédié, par exemple : C:\AppDriver

\AppDriver.exe.
3. Copier les deux scripts dans ce même dossier.
10.2.4.2.2. Configuration pour le lancement de l'application Web

Cette configuration doit être effectuée sur la page « Applications », accessible depuis le menu
« Cibles » :
158
1. Dans le champ « Paramètres », renseigner soit le chemin du script WABChromeLogonUIA.lua

soit le chemin du script WABIELogon.lua en fonction du navigateur choisi pour le lancement
de l'application Web, ainsi que les paramètres nécessaires. Pour plus d'informations sur ces
derniers, voir Section 10.2.4.3, « Paramètres de WALLIX Application Driver pour le lancement
de l'application Web », page 159.
2. Dans le champ « Chemin de l’application », renseigner le chemin du fichier AppDriver.exe.
Important :
Afin d’accéder à l'aide en ligne et au numéro de version d'Application Driver, il est
nécessaire de saisir AppDriver.exe /? dans le champ « Chemin de l’application ».
Exemple pour le lancement de l'application Web avec Google Chrome :
10.2.4.3. Paramètres de WALLIX Application Driver pour le lancement de

l'application Web
Paramètres obligatoires
Paramètre Description
/lua_file:<Lua script file name> S'applique uniquement dans le cadre de
l'utilisation de WALLIX Application Driver
avec un déploiement manuel. Définit
l'emplacement du script Lua utilisé pour
ouvrir la session Web.
/e:URL=<URL> Définit l'URL du site Web.
159
Important :
Afin d'accéder à l'aide en ligne et au numéro de version du script Lua utilisé par
Application Driver, il est nécessaire de spécifier le paramètre /e:ShowUsage=Yes dans
le champ « Paramètres », tel que :
/lua_file:<Lua script file name> /e:ShowUsage=Yes
Paramètres optionnels pour Internet Explorer

/e:EnterInPasswordField=Yes Valide le formulaire par pression de la
touche « Entrée » dans le champ de
saisie du mot de passe. Est ignoré lorsque
la connexion s'effectue sur deux pages.
N'est pas compatible avec l'option /
e:EnterInsteadClicking=Yes.
/e:EnterInsteadClicking=Yes Valide le formulaire par pression de la
touche « Entrée » dans les champs de
saisie de texte à la place de l'utilisation du
bouton de validation.
/e:FirstPageReadyElementId=<Element ID> Définit l'id d'un élément HTML servant à
déterminer que la première page Web est
entièrement chargée et prête dans le cas
d'une connexion sur deux pages.
/e:PasswordFieldId=<password field ID> Définit l'id du champ mot de passe sur
la page Web de connexion. Est ignoré
lorsque la connexion s'effectue sur deux
pages.
/e:PreSignInLinkClassName=<link class Définit le nom de classe d'un lien
name> d'ancrage HTML servant à déterminer que
la page est entièrement chargée et prête.
/e:SecondPageReadyElementId=<Element ID> Définit l'id d'un élément HTML servant à
déterminer que la seconde page Web est
entièrement chargée et prête dans le cas
d'une connexion sur deux pages.
/e:SendInputInsteadSetValue=Yes Simule les frappes sur le clavier au lieu de
remplir le champ de saisie par une valeur.
/e:SubmitButtonId=<Button Id> Définit l'id du bouton de validation sur
pages.
/e:TwoPageSignIn=Yes Active la connexion sur deux pages.
/e:UsernameFieldId=<username field ID> Définit l'id du champ nom d'utilisateur sur
pages.
160
Paramètres optionnels pour Google Chrome et Microsoft

Edge basé sur Chromium avec le script UI Automation
/e:DisableKioskMode=Yes Empêche le lancement de Google
Chrome ou Microsoft Edge basé sur
Chromium en mode Kiosque.
/e:DisablePopupBlocking=Yes Désactive le blocage des fenêtres pop-
up.
/e:DontUseGuestMode=Yes Désactive le mode Invité.
/e:ExtraDelayBeforeFormSubmission= Ajoute un délai supplémentaire (en
<milliseconds> millisecondes) au délai de base de 1000
ms avant la validation du formulaire.
/e:ExtraDropdown=<option> Renseigne une liste déroulante
supplémentaire dans la page Web de
connexion.
/e:ExtraTextFieldAutomationIdAndValue= Renseigne un champ de saisie
<AutomationId>;<value> supplémentaire dans la page Web de
connexion.
/e:HTTPAuthentication=Yes Active la connexion via la pop-up
d'authentification HTTP.
/e:IgnoreCertificateErrors=Yes Demande à Google Chrome ou Microsoft
Edge basé sur Chromium d'ignorer
les erreurs lors de la vérification des
certificats.
/e:RemoveDomainFromUsername=Yes Supprime @<domain> dans l’identifiant.
/e:UseEdgeChromium=Yes S'applique uniquement dans le cadre de
avec un déploiement manuel. Utilise
Microsoft Edge basé sur Chromium à la
place de Google Chrome.

Edge basé sur Chromium avec le script DevTools
/e:DisableKioskMode=Yes Empêche le lancement de Google
Chrome ou Microsoft Edge basé sur
Chromium en mode Kiosque.
/e:DisablePopupBlocking=Yes Désactive le blocage des fenêtres pop-
up.
/e:DontUseGuestMode=Yes Désactive le mode Invité.
/e:ExtraFieldSelectorAndValue= Renseigne un champ de saisie
<selector>;<value> supplémentaire dans la page Web de
connexion.
/e:IgnoreCertificateErrors=Yes Demande à Google Chrome ou Microsoft
Edge basé sur Chromium d'ignorer
161

Edge basé sur Chromium avec le script DevTools
les erreurs lors de la vérification des
certificats.
/e:PasswordFieldSelector=<selector> Identifie le champ de saisie du
mot de passe en fonction du
sélecteur CSS renseigné. Doit être
utilisé conjointement avec le paramètre
UsernameFieldSelector.
/e:PreSignInElementSelector=<selector> Identifie l'élément à activer dans la page
de pré-authentification du site Web, en
fonction du sélecteur CSS renseigné.
/e:RemoveDomainFromUsername=Yes Supprime @<domain> dans l’identifiant.
/e:SubmitButtonSelector=<selector> Identifie le bouton de validation
en fonction du sélecteur CSS
renseigné. N'est pas compatible
avec une connexion sur
deux pages. Doit être utilisé
conjointement avec les paramètres
UsernameFieldSelector et
PasswordFieldSelector.
/e:UseEdgeChromium=Yes S'applique uniquement dans le cadre de
avec un déploiement manuel. Utilise
Microsoft Edge basé sur Chromium à la
place de Google Chrome.
/e:UsernameFieldSelector=<selector> Identifie le champ de saisie de
l'identifiant de compte en fonction du
sélecteur CSS renseigné. Doit être
utilisé conjointement avec le paramètre
PasswordFieldSelector.
10.2.5. Ajouter une application

Sur la page « Applications », cliquez sur « Ajouter une application » pour afficher la page de création
de l'application.
• le nom de l’application. Il s'agit d'une donnée interne.

• les paramètres, c'est-à-dire les arguments de la ligne de commande. Ils sont concaténés au
chemin du programme. Afin d’insérer le nom du compte, le mot de passe à utiliser et les
informations d'identification de l'application, les variables ${USER}, ${PASSWORD} et ${APPID}
permettent d’indiquer l’emplacement de la substitution. WALLIX Bastion la fera automatiquement
avec les informations du compte sélectionné par l’utilisateur et l'identifiant de l'application.
• une liste de valeurs permettant de sélectionner une politique de connexion définie sur le protocole
RDP pour la connexion à la cible d'application,
162
• le chemin de l’exécutable du programme ainsi que le répertoire d’exécution. Dans le cas d’un
cluster, il faut fournir ces valeurs pour chaque équipement. Pour plus d'informations, voir la
section 10.6, « Clusters », page 205.
Pour permettre aux utilisateurs de se connecter à l'application, il faut maintenant lui associer des
comptes comme décrit dans Section 10.4, « Comptes cibles », page 177. La gestion des droits
d’accès se fait au moyen des autorisations de la même manière que les équipements. Il faut alors
utiliser le protocole RDP.
Figure 10.4. Page « Applications » en mode modification
10.2.6. Modifier une application

Sur la page « Applications », cliquez sur un nom d’application puis sur « Modifier cette application »
pour afficher la page de modification de l'application.
l'application.
10.2.7. Supprimer une application

Sur la page « Applications », sélectionnez une ou plusieurs applications à l’aide de la case à
cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WALLIX
sélectionnées.
Avertissement :
Vous ne pouvez pas supprimer une application sur laquelle des comptes cibles sont
déclarés.
10.2.8. Ajouter un compte sur une application

Sur la page « Applications », cliquez sur un nom d’application afin d’afficher les données
correspondantes puis déployez la zone « Comptes de l'application » pour visualiser la liste des
comptes existants sur cette application.
163
Cliquez sur « Ajouter un compte » pour créer un compte sur cette application : vous accédez alors
à la page de création du compte. Pour plus d'informations, voir Section 10.4.3, « Ajouter un compte
cible à une application », page 184.
10.2.9. Gérer les associations de ressources avec

l'application
Sur la page « Applications », cliquez sur un nom d’application afin d'afficher les données
correspondantes puis déployez la zone « Comptes associés » pour visualiser la liste des ressources
associées à l’application.
Chaque ligne représente une association et recense les champs suivants :
• le nom du compte cible,

• le nom du domaine,
• le service,
• les utilisateurs autorisés.
Cliquez sur « Gérer l'association » pour gérer l'association des ressources : vous accédez alors
à une page listant la ou les ressources disponibles et la ou les ressources sélectionnées pour
l'application. Déplacez une ressource depuis le cadre « Comptes disponibles » vers le cadre
« Comptes sélectionnés » pour effectuer l'association. Et inversement, déplacez une ressource
depuis le cadre « Comptes sélectionnés » vers le cadre « Comptes disponibles » pour supprimer
l'association.
10.2.10. Importer des applications

Sur la page « Applications », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à
droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du
menu « Import/Export » : la case « Applications » est déjà cochée pour l'import des données. Les
séparateurs de champs et de listes sont également configurables.
#wab820 application
Important :

Domaine local Texte O Il peut n'y avoir aucun domaine N/A
local ou un ou plusieurs
domaines locaux créés sur cette
application.
164

Domaine Texte O Il peut n'y avoir aucun domaine N/A
global global ou un ou plusieurs
domaines définis.
Cible Texte R Format pour une application N/A
sur un équipement :
compte@domaine@mon_
équipement:rdp, rdp étant le
nom du protocole défini sur
l'équipement
Format pour une application sur

un cluster : nom du cluster
Paramètres Texte O Arguments de la ligne de N/A
commande. Les variables
${USER}, ${PASSWORD} et
${APPID} peuvent être utilisées
pour insérer le nom du compte,
le mot de passe à utiliser et les
informations d'identification de
l'application.
Chemins Texte R Pour une application sur N/A
un équipement : chemin de
l'application
Pour une application sur

un cluster : cible1=
'chemin1' cible2='chemin2',
pour chaque cible du cluster,
avec cible1 au format
compte@domaine@mon_
équipement:rdp
Répertoires de Texte O Pour une application sur un N/A
démarrage cluster :
cible1='rdem1' cible2='rdem2'
Politique de Texte O Nom de la politique de RDP
connexion connexion sur le protocole RDP
est indiquée.
165
Figure 10.5. Page « CSV » - case « Applications » cochée
10.3. Domaines
Un domaine global représente une entité de gestion regroupant une multitude de comptes cibles
pouvant être utilisés pour l'authentification sur une multitude d'équipements. L'avantage significatif
de cette entité réside dans le déploiement et la synchronisation du changement de mot de passe
en une seule fois sur tous les comptes des équipements associés au domaine.
Un domaine global peut également être associé à un coffre-fort externe à mots de passe. Dans ce
cas, ce domaine regroupe des comptes gérés par une entité externe via l'association d'un plugin
de coffre-fort externe. Par conséquent, un mécanisme de changement de mot de passe ne peut
pas être déployé sur les comptes associés au sein de WALLIX Bastion. Pour plus d'informations,
voir Section 5.3, « Coffre-fort externe à mots de passe », page 25.
Un domaine local représente une entité de gestion regroupant une multitude de comptes cibles
pouvant être utilisés pour l'authentification sur un seul et unique équipement. L'avantage significatif
de cette entité réside dans le déploiement et la synchronisation du changement de mot de passe
en une seule fois sur tous les comptes associés au domaine.
Les domaines locaux sont créés lors de l'association à un équipement ou un compte cible. Pour
plus d'informations, voir Section 10.1, « Équipements », page 138 et Section 10.4, « Comptes
cibles », page 177.
Sur la page « Domaines », vous pouvez :
• lister les domaines globaux ou locaux selon un filtre d'affichage sur le type de domaine,
• identifier les domaines qui sont associés à une Autorité de Certification,
• identifier les domaines pour lesquels le changement de mot de passe est activé,
• identifier les domaines qui sont associés à un coffre-fort externe à mots de passe,
• ajouter/modifier/supprimer un domaine global,
• modifier un domaine local,
• importer des domaines globaux ou locaux à partir d'un fichier .csv afin d'alimenter la base
ressources de WALLIX Bastion,
166
• changer les mots de passe de tous les comptes sur le domaine global.
10.3.1. Ajouter un domaine global
Avertissement :
Les domaines locaux sont créés lors de l'association à un équipement ou un compte cible.
Pour plus d'informations, voir Section 10.1, « Équipements », page 138 et Section 10.4,
« Comptes cibles », page 177.
Sur la page « Domaines », veuillez vous assurer d'avoir sélectionné la valeur « Global » dans le
champ « Afficher le type de domaine » en haut de la page. Cliquez sur « Ajouter un domaine global »
pour afficher la page de création du domaine global.
• le nom du domaine : une représentation du domaine propre à l'application et utilisée pour afficher
les comptes et les cibles sur l'interface utilisateur Web ou lors des sessions RDP/SSH.
• le nom réel du domaine : le nom du domaine externe si le domaine créé représente une
correspondance d'un domaine externe (LDAP, AD, NIS). Le nom réel du domaine est ignoré
lorsque le changement de mot de passe est effectué sur des cibles sous système Unix.
• le type de coffre-fort : choisissez si le domaine est associé à un coffre-fort à mots de passe local
ou externe,
Avertissement :
Ce champ est uniquement affiché lorsque la fonctionnalité « Coffres-forts Externes »
est associée à la clé de licence.
• si le type de coffre-fort choisi est « Local » ou si la fonctionnalité « Coffres-forts Externes » n'est

pas associée à la clé de licence, des options pour définir l'Autorité de Certification SSH à associer
au domaine pour la connexion. L’Autorité de Certification (ou « AC ») est représentée par une
paire de clés privée/publique SSH). Il est possible de :
– générer une clé : dans ce cas, sélectionnez le type et la longueur appropriés pour la clé dans
la liste (par défaut, RSA 2048) ou,
– renseigner un chemin pour charger le fichier contenant une clé existante (au format OpenSSH
ou PuTTY) et indiquer la phrase de chiffrement associée (si définie).
Pour plus d'informations, voir Section 10.3.2, « Associer le domaine à une Autorité de Certification
SSH », page 168.
• si le type de coffre-fort choisi est « Local » ou si la fonctionnalité « Coffres-forts Externes » n'est
pas associée à la clé de licence, une option permettant d'activer le changement de mot de passe
pour les comptes de ce domaine et, le cas échéant :
– la politique de changement de mot de passe à sélectionner pour ce domaine. Pour plus
d'informations, voir Section 11.3, « Politiques de changement des mots de passe », page 236.
167
– le plugin de changement de mot de passe à sélectionner pour ce domaine ainsi que les
paramètres apparentés à renseigner. Pour plus d'informations, voir Section 11.2, « Plugins de
changement des mots de passe », page 225.
Note :
La clé publique de l'AC est transférée sur l'équipement cible (pour un domaine local) ou
sur le serveur cible (pour un domaine global) lorsqu'un plugin de changement de mot
passe est paramétré sur le domaine et la fonctionnalité WALLIX Password Manager
• si le type de coffre-fort choisi est « Externe », sélectionnez le plugin de coffre-fort pour ce domaine
et renseignez les paramètres correspondants. Pour plus d'informations, voir Section 5.3, « Coffre-
fort externe à mots de passe », page 25 et Section 10.7, « Plugins de coffres-forts externes à
mots de passe », page 208.
Avertissement :
Ce champ est uniquement affiché lorsque la fonctionnalité « Coffres-forts Externes »
• les paramètres Kerberos : les paramètres Kerberos ne sont supportés que par le
plugin WindowsService. Lorsque le plugin de changement de mot de passe choisi est
« WindowsService » et le protocole de transport défini pour ce plugin est « Kerberos », alors
renseignez les champs suivants sur la page du domaine global du compte administrateur
sélectionné pendant la définition de la référence (pour plus d'informations, voir Section 11.2.13,
« Plugin WindowsService », page 236 et Section 7.3, « Paramétrer les préférences
utilisateur », page 42) :
– « Royaume Kerberos » : le royaume Kerberos doit être renseigné,
– « KDC Kerberos » : le nom de domaine ou l'adresse IP du serveur KDC (centre de distribution
des clés) doit être renseigné,
– « Port Kerberos » : le numéro du port du serveur KDC doit être renseigné. Le port par défaut
est 88.
Figure 10.6. Page « Domaines » en mode création
10.3.2. Associer le domaine à une Autorité de Certification

SSH
168
Une Autorité de Certification (ou « AC ») peut être associée à un domaine local (de type « Local à
un équipement ») ou global (lorsque ce dernier n'est pas associé à un coffre-fort externe à mots de
passe). Elle permet de certifier les clés SSH pour les comptes cibles. Une AC est définie par une
paire de clés SSH (une clé privée et une clé publique). La clé privée de l'AC signe les clés publiques
des comptes cibles du domaine. Ces clés publiques signées sont aussi appelées « certificats » et
sont utilisées par le client SSH pour établir la connexion avec le serveur cible. Ce dernier vérifie
l'authenticité du certificat en utilisant la clé publique de l'AC lors de la connexion.
Il n'est pas nécessaire de copier les clés publiques des comptes cibles sur les serveurs cibles. Il
suffit simplement de copier la clé publique de l'AC dans /etc/ssh/wallix_ca_user.pub ou un
autre fichier, de la déclarer dans le fichier de configuration sshd du daemon en utilisant l'attribut
TrustedUserCAKeys comme suit : TrustedUserCAKeys /etc/ssh/wallix_ca_user.pub
puis, de redémarrer le daemon SSH.
Lorsqu'un plugin de changement de mot passe est paramétré sur le domaine, WALLIX Bastion se
charge de transférer la clé publique de l'AC et la configuration correspondante sur l'équipement
cible (pour un domaine local) ou sur le serveur cible (pour un domaine global). Par ailleurs, la clé
publique SSH du compte administrateur n'est pas signée. Afin de permettre l'authentification SSH
en utilisant ce compte, la clé publique doit être présente sur le serveur cible (généralement dans le
fichier authorized_keys situé dans le répertoire principal du compte cible).
Lorsqu'une AC est associée à un domaine, les clés publiques SSH de tous les comptes cibles sur
ce domaine sont automatiquement signées par l'AC. Sur la page récapitulative d'un compte du
domaine associé à une AC, il est alors possible de télécharger le certificat signé correspondant
au lieu de la clé publique SSH. De plus, lorsqu'un utilisateur souhaite emprunter les accréditations
d'un compte cible d'un domaine associé à une AC, il a la possibilité de télécharger le certificat. La
clé privée seule ne suffit pas pour l'authentification.
10.3.3. Modifier un domaine global ou local

Sur la page « Domaines », sélectionnez « Global » ou « Local à un équipement » ou « Local à
une application » dans le champ « Afficher le type de domaine » en haut de la page, en fonction
du type de domaine que vous souhaitez modifier. Ensuite, cliquez sur un nom de domaine puis sur
« Modifier ce domaine global » ou « Modifier ce domaine local » pour afficher la page de modification
correspondante.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du domaine
global.
Lorsque le changement de mot de passe est activé sur le domaine, le champ « Compte
administrateur » vous permet de sélectionner le compte cible qui sera utilisé pour changer le mot de
passe sur un autre compte cible en cas de non-concordance entre WALLIX Bastion et l'équipement.
Cette opération est dénommée « réconciliation ».
Avertissement :
Le compte administrateur est obligatoire sur le domaine local lors de l'utilisation du plugin
de changement de mot de passe Fortinet FortiGate ou IBM 3270. Ce compte doit être
défini dans un premier temps sur le domaine depuis la zone « Comptes du domaine »
sur la page récapitulative du domaine, une fois l'étape de création du domaine effectuée.
Pour plus d'informations, voir Section 10.3.4, « Ajouter un compte sur un domaine global
ou local », page 170. Lorsque l'option « Activer le changement de mot de passe » a
été cochée sur la page de modification du domaine, sélectionnez ce compte depuis la
liste du champ « Compte administrateur » avant de sélectionner le plugin dans le champ
« Plugin de changement de mot de passe ».
169
Lorsque le domaine global est associé à un coffre-fort externe à mots de passe, les informations
correspondantes sont affichées sur la page récapitulative du domaine dans les champs « Plugin
de coffre-fort externe » et « Paramètres du plugin de coffre-fort ».
Si une Autorité de Certification SSH a été définie pour ce domaine (de type « Global » ou « Local à
un équipement »), une ligne avec le type et la longueur de la clé privée de l'AC est affichée sur la
page de modification du domaine. Il est alors possible de :
• supprimer cette clé et/ou,
• la remplacer :
– soit en générant une nouvelle clé : dans ce cas, sélectionnez le type et la longueur appropriés
pour la clé dans la liste (par défaut, RSA 2048),
– soit en renseignant un chemin pour charger le fichier contenant une clé existante (au format
OpenSSH ou PuTTY) et indiquer la phrase de chiffrement associée (si définie).
• télécharger la clé publique correspondante au format OpenSSH ou ssh.com sur la page

récapitulative du domaine, au niveau du champ « Clé publique AC ».
Note :
Lors d'un changement de la clé privée de l'AC du domaine, les clés SSH de tous les
comptes sur ce domaine seront re-signées avec la nouvelle Autorité de Certification.
La clé publique de l'AC est transférée sur l'équipement cible (pour un domaine local) ou
sur le serveur cible (pour un domaine global) lorsqu'un plugin de changement de mot
passe est paramétré sur le domaine et la fonctionnalité WALLIX Password Manager est
associée à la clé de licence.
Pour plus d'informations, voir Section 10.3.2, « Associer le domaine à une Autorité de
Certification SSH », page 168.
10.3.4. Ajouter un compte sur un domaine global ou local

Sur la page « Domaines », sélectionnez « Global » ou « Local à un équipement » ou « Local à
une application » dans le champ « Afficher le type de domaine » en haut de la page, en fonction
du type de domaine que vous souhaitez afficher. Cliquez sur un nom de domaine afin d’afficher les
données correspondantes puis déployez la zone « Comptes du domaine » pour visualiser la liste
des comptes existants sur ce domaine.
Cliquez sur « Ajouter un compte » pour créer un compte sur ce domaine : vous accédez alors à la
page de création du compte. Pour plus d'informations, voir Section 10.4.1, « Ajouter un compte cible
à un domaine global », page 178 pour ajouter un compte de domaine global ou voir Section 10.4.2,
« Ajouter un compte cible à un équipement », page 181 pour ajouter un compte d'équipement
ou voir Section 10.4.3, « Ajouter un compte cible à une application », page 184 pour ajouter un
compte d'application.
10.3.5. Changer les mots de passe de tous les comptes d'un

domaine global
Sur la page « Domaines », veuillez vous assurer d'avoir sélectionné « Global » dans le champ
« Afficher le type de domaine » en haut de la page. Sélectionnez un domaine global pour lequel le
changement de mot de passe est activé pour afficher les données correspondantes. Vous pouvez
déployer la zone « Comptes du domaine » pour visualiser la liste des comptes existants sur ce
170
domaine. Ensuite, cliquez sur le bouton « Changer les mots de passe » sur la droite de la page pour
changer instantanément les mots de passe de tous les comptes de ce domaine. WALLIX Bastion
affiche une fenêtre demandant une confirmation avant d'effectuer cette action.
Note :
Le bouton « Changer les mots de passe » sur la droite de la page est affiché lorsqu'un
compte administrateur est défini pour le domaine.
Les mots de passe sont changés en conformité avec la politique de changement de
mot de passe sélectionnée pour ce domaine global. Pour plus d'informations, voir
Section 11.3, « Politiques de changement des mots de passe », page 236.
10.3.6. Changer les mots de passe de tous les comptes d'un

domaine local
Sur la page « Domaines », veuillez vous assurer d'avoir sélectionné « Local à un équipement »
ou « Local à une application » dans le champ « Afficher le type de domaine » en haut de la
page. Sélectionnez un domaine local pour lequel le changement de mot de passe est activé pour
afficher les données correspondantes. Vous pouvez déployer la zone « Comptes du domaine » pour
visualiser la liste des comptes existants sur ce domaine. Ensuite, cliquez sur le bouton « Changer
les mots de passe » sur la droite de la page pour changer instantanément les mots de passe de
tous les comptes de ce domaine. WALLIX Bastion affiche une fenêtre demandant une confirmation
avant d'effectuer cette action.
Note :
Le bouton « Changer les mots de passe » sur la droite de la page est affiché lorsqu'un
compte administrateur est défini pour le domaine.
Les mots de passe sont changés en conformité avec la politique de changement de mot
de passe sélectionnée pour ce domaine local. Pour plus d'informations, voir Section 11.3,
« Politiques de changement des mots de passe », page 236.
10.3.7. Révoquer le certificat signé des comptes d'un

domaine associé à une Autorité de Certification
Sur la page « Domaines », veuillez vous assurer d'avoir sélectionné « Global » ou « Local à un
équipement » dans le champ « Afficher le type de domaine » en haut de la page. Sélectionnez
un domaine associé à une Autorité de Certification pour afficher les données correspondantes.
Déployez la zone « Comptes du domaine » pour visualiser la liste des comptes existants sur ce
domaine. Vous pouvez alors :
• soit révoquer les certificats de tous les comptes du domaine en cliquant sur l'en-tête de colonne
intitulé « Révoquer tout »,
• soit révoquer le certificat d'un compte donné en cliquant sur le bouton « Révoquer » à la fin de
la ligne concernée.
Une liste de révocation de certificats est automatiquement générée et transmise au serveur cible
pour signaler que ce ou ces certificats ne peuvent plus être utilisés pour la connexion.
10.3.8. Supprimer un domaine global
171
« Afficher le type de domaine » en haut de la page. Ensuite, sélectionnez un ou plusieurs domaines
à l’aide de la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la
sélection. WALLIX Bastion affiche une fenêtre demandant une confirmation avant la suppression
définitive des lignes sélectionnées.
10.3.9. Importer des domaines globaux

« Afficher le type de domaine » en haut de la page. Ensuite, cliquez sur l'icône « Importer depuis
un fichier CSV » en haut à droite de la page pour importer les données. Vous êtes alors redirigé(e)
sur la page « CSV » du menu « Import/Export » : la case « Domaines globaux » est déjà cochée
pour l'import des données. Les séparateurs de champs et de listes sont également configurables.
#wab820 globaldomain
Important :

Champ Type R(equis)/O(ptionnel) Valeurs possibles Valeur
par défaut
Nom réel Texte O Texte libre N/A
Compte admin Texte O Un compte existant sur le N/A
domaine
Ce champ est uniquement

pris en compte lorsque
le domaine existe et le
compte a été créé sur ce
domaine.
Vide si un plugin de coffre-

fort externe est défini pour
le domaine
Politique de Texte R/O Politique de changement N/A
changement de de mot de passe définie
mot de passe Requis lorsque le
changement de mot Vide si un plugin de coffre-
de passe est activé (un fort externe est défini pour
des 4 derniers champs le domaine
est renseigné)
Plugin de Texte R/O Plugin de changement de N/A
changement de mot de passe défini
changement de mot
de passe est activé (un
172

par défaut
des 4 derniers champs Vide si un plugin de coffre-
est renseigné) fort externe est défini pour
le domaine
Infos de Texte R/O Tous les arguments N/A
changement de nécessaires pour le plugin
mot de passe Requis pour certains de changement de mot de
types de plugins passe défini
Requis pour certains

plugins
Format : clé1=valeur1
clé2=valeur2
Cisco : hôte (requis),

motdepasse_enable
(requis), port (optionnel)
Windows :
adresse_controleur_domaine
(requis)
Unix : hôte (requis), port

(optionnel),
motdepasse_root
(optionnel - le mot
de passe root peut
uniquement être défini si
un compte_admin a été
sélectionné au préalable)
Oracle : hôte (requis),

port (requis), nom_service
(requis), admin_mode
(optionnel et paramétré à
« Normal » par défaut
si non renseigné). Les
valeurs possibles pour le
champ admin_mode sont :
« Normal », « SYSDBA »,
« SYSOPER » et
« SYSDBA »
Vide si un plugin de coffre-

fort externe est défini pour
le domaine
Plugin de coffre- Texte O Plugin de coffre-fort N/A
fort externe externe défini
Vide si le changement de
mot de passe est activé
pour le domaine
173

par défaut
Infos plugin de Texte Requis lorsque le Tous les arguments N/A
coffre-fort externe plugin de coffre-fort est nécessaires pour le plugin
défini de coffre-fort externe
défini
clé2=valeur2
Bastion : url_api (requis),

clé_api (optionnel),
identifiant_service
(optionnel),
motpasse_service
(optionnel)
L'URL d'API doit

commencer par « https:// »
et se terminer par « /api/
vX.Y ». La version d'API
minimale supportée est la
2.3.
Vide si le changement de
mot de passe est activé
pour le domaine
est indiquée.
Figure 10.7. Page « CSV » - case « Domaines globaux » cochée
174
10.3.10. Importer des domaines locaux

Sur la page « Domaines », veuillez vous assurer d'avoir sélectionné « Local à l'équipement » ou
« Local à l'application » dans le champ « Afficher le type de domaine » en haut de la page. Ensuite,
cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite de la page pour importer
les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu « Import/Export » : la case
« Domaines locaux » est déjà cochée pour l'import des données. Les séparateurs de champs et
de listes sont également configurables.
#wab820 localdomain
Important :

Équipement Texte R/O Au moins un équipement N/A
ou une application doit être
défini.
Application Texte R/O Au moins un équipement N/A
ou une application doit être
défini.
Compte admin Texte O Un compte existant sur le N/A
domaine
Ce champ est uniquement
pris en compte lorsque le
domaine existe et le compte
a été créé sur ce domaine.
Politique de Texte R/O Politique de changement N/A
changement de de mot de passe définie
changement de mot
de passe est
activé (un des 4
derniers champs est
renseigné)
Plugin de Texte R/O Plugin de changement de N/A
changement de mot de passe défini
changement de mot
de passe est
activé (un des 4
175

derniers champs est
renseigné)
Infos de Texte R/O Tous les arguments N/A
changement de nécessaires pour le plugin
mot de passe Requis pour certains de changement de mot de
types de plugins passe défini
Requis pour certains

plugins
clé2=valeur2
Cisco :
motdepasse_enable
(requis), port (optionnel)
Windows : pas de
paramètre spécifique à
renseigner
Unix : port (optionnel),

motdepasse_root
(optionnel)
Pour les équipements :
Oracle : port (requis),

nom_service (requis),
admin_mode (optionnel et
paramétré à « Normal »
par défaut si non
renseigné). Les valeurs
possibles pour le champ
admin_mode sont :
« SYSOPER » et
« SYSDBA »
Pour les applications :
Oracle : hôte (requis),

port (requis), nom_service
(requis), admin_mode
(optionnel et paramétré à
« Normal » par défaut
si non renseigné). Les
valeurs possibles pour le
champ admin_mode sont :
« SYSOPER » et
« SYSDBA »
176
est indiquée.
Figure 10.8. Page « CSV » - case « Domaines locaux » cochée
10.4. Comptes cibles
Un compte est une entité (gérée par WALLIX Bastion ou un coffre-fort externe à mots de passe)
permettant à un utilisateur de s'authentifier sur un système et de se voir attribuer un niveau
d'autorisation défini pour accéder aux ressources de ce système à des fins de gestion. Un compte
appartient à un domaine.
Un compte cible est caractérisé par l'association des entités suivantes : un équipement et un service
et un compte.
Il existe trois types de compte cible :
• Compte de domaine global : le compte est défini sur un domaine global et est utilisé pour accéder
aux services sur des équipements rattachés à ce domaine ainsi que pour gérer des comptes de
service (pour plus d'informations sur la gestion des comptes de service, voir Section 10.4.1.4,
« Définir des références pour la gestion des comptes de service », page 180).
• Compte d'équipement : le compte est défini sur un équipement et est utilisé uniquement pour
accéder à un service sur cet équipement.
• Compte d'application : le compte est défini uniquement pour une application (un compte pour
accéder au serveur de rebond–l'équipement cible sur lequel l'application s'exécute–peut s'avérer
nécessaire).
Sur la page « Comptes » située dans le menu « Cibles », vous pouvez :
• lister les comptes cibles et les domaines, équipements et applications déclarés sur ces derniers,
• ajouter, modifier et supprimer un compte.
Il est possible d'importer des comptes cibles à partir d'un fichier .csv afin d'alimenter la base
comptes cibles », page 187.
177
10.4.1. Ajouter un compte cible à un domaine global

Sur la page « Comptes » située dans le menu « Cibles », sélectionnez « Comptes globaux » dans
la liste déroulante puis cliquez sur le bouton « + Ajouter » pour afficher la page de création du
compte de domaine global.
Cette page recense les onglets suivants : « Général », « Mot de passe », « Clé privée SSH » et
« Références ».

L'onglet « Général » vous invite à sélectionner et à renseigner les champs suivants :
• le nom du domaine global sur lequel vous souhaitez ajouter un compte. Il sera impossible de
modifier le nom du domaine global après avoir cliqué sur « Valider ».
• le nom du compte : il s'agit d'une représentation interne du compte. Cette information est affichée
sur le sélecteur de session et la page d'emprunt des accréditations du compte sur l'interface Web.
Ce nom doit être unique sur le domaine WALLIX Bastion.
Important :
Lorsque le compte est créé sur un domaine global associé à un coffre-fort
externe à mots de passe lié au plugin Bastion (voir Section 10.7.1, « Plugin
Bastion », page 209 pour plus d'informations), son nom doit respecter la convention
suivante : « nom_du_compte\\domaine_global » ou « nom_du_compte\\domaine_local
\\équipement » ou encore « nom_du_compte\\domaine_local\\application ». Le
séparateur « \\ » doit être utilisé.
« nom_du_compte » correspond au nom d'un compte sur l'instance WALLIX Bastion

distante.
« domaine_global » et « domaine_local » correspondent respectivement à un domaine

global et un domaine local sur l'instance WALLIX Bastion distante.
« équipement » et « application » correspondent respectivement à un équipement et

à une application sur le domaine local de l'instance WALLIX Bastion distante.
• l'identifiant du compte : il s'agit de l'identifiant du compte distant. Cette information n'est pas
affichée sur le sélecteur de session et la page d'emprunt des accréditations du compte sur
l'interface Web.
• un champ pour associer des ressources : une association de ressources est nécessaire
pour créer des cibles pour des applications et des clusters. Afin d'associer des ressources,
sélectionnez un équipement et un service dans les listes déroulantes puis cliquez sur « + ». Il est
possible de supprimer cette association une fois qu'elle a été créée en cliquant sur l'icône rouge
« - ». Vous pouvez associer autant de ressources que nécessaire.
• un champ pour sélectionner la politique d'emprunt à associer au compte. Pour plus d'informations,
voir Section 10.8, « Politiques d'emprunt », page 214.
178
• un bouton pour activer ou désactiver le changement automatique du mot de passe pour ce

compte. Voir Section 4.6, « Chiffrement des données », page 21 pour plus d'informations sur le
chiffrement des données relatif au stockage du mot de passe.
• un bouton pour activer ou désactiver le changement automatique de la clé SSH pour ce compte,
• la période de validité du certificat, si le compte est défini sur un domaine associé à une Autorité
de Certification. Le format approprié est le suivant :
[nombre de semaines]wk[nombre de jours]d[nombre d'heures]h[nombre de
minutes]min[nombre de secondes]s
Si aucune valeur n'est renseignée dans ce champ, alors le certificat est valide pour une durée
illimitée.
Note :
« Valider », vous avez accès aux autres onglets de la page de création du compte de
domaine global.
Figure 10.9. Page « Nouveau compte de domaine global »
10.4.1.2. Définir le mot de passe

Sur l'onglet « Mot de passe », saisissez et confirmez le mot de passe du compte.
Vous avez également la possibilité de changer manuellement le mot de passe du compte et
de le propager instantanément sur la cible à l'aide du bouton « Propager le changement des
accréditations ».
Une fois le mot de passe du compte défini, cliquez sur « Valider ».
Notez que vous pouvez supprimer un mot de passe déjà défini pour ce compte en cliquant sur le
bouton « Supprimer mot de passe ».
10.4.1.3. Définir une clé privée SSH

Sur l'onglet « Clé privée SSH », vous pouvez définir la clé privée pour la connexion SSH de deux
façons :
179
• soit en générant une clé :

1. Sélectionnez « Génération d'une clé privée » dans la liste déroulante.
2. Choisissez un système de signature de clé privée dans la liste intitulée « Système de
signature de clé privée ».
• soit en chargeant une clé :
1. Sélectionnez « Envoi d'une clé privée » dans la liste déroulante.
2. Glisser-déposer un fichier ou renseigner un chemin pour charger le fichier contenant une clé
privée existante (au format OpenSSH ou PuTTY) dans la section « Anvoyer la clé privée
SSH ».
3. Indiquer la phrase de chiffrement associée (si définie) dans le champ « Phrase de
chiffrement ».
4. Activer bouton « Propager le changement des accréditations » afin de changer la clé privée
SSH du compte et de la propager instantanément sur la cible.
Après avoir défini la clé privée SSH pour le compte, cliquez sur « Valider ».
Vous avez à présent la possibilité de télécharger la clé publique SSH correspondante au format
OpenSSH ou ssh.com à l'aide du bouton « Télécharger la clé publique SSH ».
Notez que vous pouvez supprimer la clé privée SSH définie pour ce compte en cliquant sur le
bouton « Supprimer la clé privée SSH existante ».
10.4.1.4. Définir des références pour la gestion des comptes de service

L'onglet « Références » vous permet de lister, ajouter, modifier et supprimer des références vers
un compte de service.
Dans le cadre du changement de mot de passe d'un compte de service, le mot de passe utilisé par
un service doit être mis à jour avec ce nouveau mot de passe.
La définition de références permet de simplifier le processus de changement de mot de passe
sur les services. Ces références sont utilisées par WALLIX Bastion pour lancer la propagation
automatique du nouveau mot de passe sur le ou les équipements sur le(s)quel(s) le service est
déployé.
Pour ajouter une référence, cliquez sur le bouton « + Ajouter ». Une fenêtre s'ouvre et vous invite
à renseigner et à sélectionner les champs suivants :
• le nom de la référence,
• le domaine global sur lequel le plugin WindowsService a été configuré (pour plus d’informations,
voir Section 11.2.13, « Plugin WindowsService », page 236),
Avertissement :
Ce domaine global est uniquement dédié à la configuration du plugin WindowsService.
Aucun compte ne doit être défini sur ce domaine.
• l’équipement ou les équipements sur le(s)quel(s) le service est déployé,

• le domaine global sur lequel le compte administrateur est défini, et le nom du compte
administrateur utilisé par le plugin WindowsService.
Une fois la référence définie, cliquez sur « Valider et fermer ».
180
Notez qu'en cliquant sur le lien contenu dans la colonne « Statut des équipements », il est possible
de consulter des informations sur le statut des changements de mot de passe des comptes de
service.
Pour supprimer une référence, cochez la case située au début de la ligne correspondante, puis
cliquez sur le bouton « Supprimer ».
Avertissement :
Si vous supprimez un compte global, les références associées à ce dernier sont
également supprimées.
10.4.1.5. Associer le compte à un groupe

Après avoir créé un compte de domaine global, vous avez la possibilité d'ajouter ce compte à un
groupe afin de créer un compte cible pour la gestion des sessions ou la gestion des mots de passe.
Note :
Ce type d'association peut également être géré à partir de la page « Groupes » (pour
plus d'informations, voir Section 10.5, « Groupes de cibles », page 191).
Pour ajouter un compte de domaine global à un groupe, sélectionnez la case à cocher située au
début de la ligne du compte global concerné puis cliquez sur le bouton « Ajouter au groupe ». Une
fenêtre s'ouvre et vous invite à renseigner et à sélectionner les champs suivants :
• le nom du groupe : sélectionnez un groupe existant ou créez-en un nouveau,

• la description du groupe,
• le type de cible : sélectionnez le type de cible pour créer l'association pour la gestion des sessions
ou pour la gestion des mots de passe,
• le champ "Depuis" : sélectionnez le type de ressource souhaité pour l'association de ressources,
• l'équipement ou l'application sur lequel ou laquelle le compte sera défini,
• le service (si nécessaire),
• le compte global.
Note :
enregistrées et vous pouvez gérer de nouvelles associations de ressources. Autrement,
cliquez sur le bouton « Ajouter et fermer » pour sauvegarder les données et fermer la
fenêtre.
10.4.2. Ajouter un compte cible à un équipement

Sur la page « Comptes » située dans le menu « Cibles », sélectionnez « Comptes d'équipement »
dans la liste déroulante puis cliquez sur le bouton « + Ajouter » pour afficher la page de création
du compte d'équipement.
Cette page recense les onglets suivants : « Général », « Mot de passe » et « Clé privée SSH ».

181
• le nom de l'équipement sur lequel vous souhaitez ajouter un compte. Il sera impossible de
modifier le nom de l'équipement après avoir cliqué sur « Valider ».
• le nom du domaine local : vous pouvez sélectionner un domaine local existant ou en créer un. Il
sera impossible de modifier le nom du domaine local après avoir cliqué sur « Valider ».
l'interface Web.
• un champ pour associer des ressources : une association de ressources est nécessaire
pour créer des cibles pour des applications et des clusters. Afin d'associer des ressources,
sélectionnez un service dans la liste déroulante puis cliquez sur « + ». Il est possible de supprimer
cette association une fois qu'elle a été créée en cliquant sur l'icône rouge « - ». Vous pouvez
associer autant de ressources que nécessaire.
• un bouton pour activer ou désactiver le changement automatique du mot de passe pour ce
compte. Voir Section 4.6, « Chiffrement des données », page 21 pour plus d'informations sur le
chiffrement des données relatif au stockage du mot de passe.
• un bouton pour activer ou désactiver le changement automatique de la clé SSH pour ce compte.
Note :
Après avoir renseigné les informations générales dans l'onglet « Général » et cliqué
sur « Valider », vous avez accès aux autres onglets de la page de création du compte
d'équipement.

accréditations ».
10.4.2.3. Définir la clé privée SSH

Sur l'onglet « Clé privée SSH », vous pouvez définir la clé privée pour la connexion SSH de deux
façons :
• soit en générant une clé :

1. Sélectionnez « Génération d'une clé privée » dans la liste déroulante.
2. Choisissez un système de signature de clé privée dans la liste intitulée « Système de
signature de clé privée ».
182
• soit en chargeant une clé :

1. Sélectionnez « Envoi d'une clé privée » dans la liste déroulante.
2. Glisser-déposer un fichier ou renseigner un chemin pour charger le fichier contenant une clé
privée existante (au format OpenSSH ou PuTTY) dans la section « Envoyer la clé privée
SSH ».
3. Indiquer la phrase de chiffrement associée (si définie) dans le champ « Phrase de
chiffrement ».
4. Activer bouton « Propager le changement des accréditations » afin de changer la clé privée
SSH du compte et de la propager instantanément sur la cible.
Après avoir défini la clé privée SSH pour le compte, cliquez sur « Valider ».
Vous avez à présent la possibilité de télécharger la clé publique SSH correspondante au format
OpenSSH ou ssh.com à l'aide du bouton « Télécharger la clé publique SSH ».
Notez que vous pouvez supprimer la clé privée SSH définie pour ce compte en cliquant sur le
bouton « Supprimer la clé privée SSH existante ».

Après avoir créé un compte d'équipement, vous avez la possibilité d'ajouter ce compte à un groupe
afin de créer un compte cible pour la gestion des sessions ou la gestion des mots de passe.
Note :
Ce type d'association de ressources peut également être géré à partir de la
Pour ajouter un compte d'équipement à un groupe, sélectionnez la case à cocher située au début
de la ligne du compte d'équipement concerné puis cliquez sur le bouton « Ajouter au groupe ». Une

• le compte local.
Avertissement :
Le compte est affiché dans la liste autant de fois qu'il y a de services définis sur
l'équipement auquel il appartient. Assurez-vous donc de sélectionner uniquement le(s)
compte(s) souhaité(s) pour l'association au groupe.
Note :
enregistrées et vous pouvez associer le compte local à un autre groupe et/ou type
de cible. Autrement, cliquez sur le bouton « Ajouter et fermer » pour sauvegarder les
données et fermer la fenêtre.
183
10.4.3. Ajouter un compte cible à une application

Sur la page « Comptes » située dans le menu « Cibles », sélectionnez « Comptes d'application »
dans la liste déroulante puis cliquez sur le bouton « + Ajouter » pour afficher la page de création
du compte d'application.
Cette page recense les onglets suivants : « Général » et « Mot de passe ».

• le nom de l'application sur laquelle vous souhaitez ajouter un compte. Il sera impossible de
modifier le nom de l'application après avoir cliqué sur « Valider ».
• le nom du domaine local : vous pouvez sélectionner un domaine local existant ou en créer un. Il
sera impossible de modifier le nom du domaine local après avoir cliqué sur « Valider ».
l'interface Web.
• un bouton bascule pour activer ou désactiver le changement automatique du mot de passe pour
ce compte. Voir Section 4.6, « Chiffrement des données », page 21 pour plus d'informations sur
le chiffrement des données relatif au stockage du mot de passe.
Note :
« Valider », vous avez accès à l'onglet « Mot de passe » de la page de création du compte
d'application.


accréditations ».

Après avoir créé un compte d'application, vous avez la possibilité d'ajouter ce compte à un groupe
afin de créer un compte cible pour la gestion des sessions ou la gestion des mots de passe.
184
Note :
Ce type d'association peut également être géré à partir de la page « Groupes » (pour
plus d'informations, voir Section 10.5, « Groupes de cibles », page 191).
Pour ajouter un compte d'application à un groupe, sélectionnez la case à cocher située au début
de la ligne du compte d'application concerné puis cliquez sur le bouton « Ajouter au groupe ». Une

• le compte local.
Note :
enregistrées et vous pouvez associer le compte local à un autre groupe et/ou type
de cible. Autrement, cliquez sur le bouton « Ajouter et fermer » pour sauvegarder les
données et fermer la fenêtre.
10.4.4. Modifier un compte cible

Sur la page « Comptes » située dans le menu « Cibles », cliquez sur un nom de compte. La page
de modification de ce dernier s'affiche et vous permet de modifier les données déjà renseignées.
Pour plus d'informations, voir Section 10.4.1, « Ajouter un compte cible à un domaine
global », page 178 pour modifier un compte de domaine global ou voir Section 10.4.2, « Ajouter
un compte cible à un équipement », page 181 pour modifier un compte d'équipement ou voir
Section 10.4.3, « Ajouter un compte cible à une application », page 184 pour modifier un compte
d'application.
Avertissement :
Lorsque les accréditations d'un compte cible sont en cours d'emprunt, il n'est pas possible
de modifier l'identifiant, le mot de passe, la clé privée SSH et la politique d'emprunt
définis sur ce compte, via l'interface Web ou l'API REST. Il est d'abord nécessaire de
restituer les accréditations du compte en utilisant l'option « Forcer la restitution » pour
modifier ces données. Pour plus d'informations, voir Section 12.3.6, « Historique des
comptes », page 255.
Lorsque le compte de domaine global est défini sur un domaine associé à une Autorité de
Certification, il est possible de modifier la durée de validité du certificat ou de la renseigner
si elle n'a pas été définie précédemment. Le format approprié est le suivant :
[nombre de semaines]wk[nombre de jours]d[nombre d'heures]h[nombre

de minutes]min[nombre de secondes]s
Cependant si cette valeur est modifiée ou définie à ce stade alors l'ancienne durée de
validité s'applique encore et la nouvelle durée de validité du certificat sera effective lors
du prochain changement de clé SSH.
185
10.4.5. Changer automatiquement les accréditations pour

un ou plusieurs comptes
Sur la page « Comptes » située dans le menu « Cibles », vous avez la possibilité de lancer un
changement automatique du mot de passe et de la clé privée SSH pour un ou plusieurs comptes
de type : compte de domaine global, compte d'équipement et compte d'application.
Pour ce faire :
1. Sélectionnez le type de compte souhaité dans la liste déroulante,

2. Sélectionnez un ou plusieurs comptes cibles appartenant à un domaine autorisant le
changement des accréditations, à l’aide de la case à cocher située au début de chaque ligne,
3. Cliquez sur le bouton « Changement automatique des accréditations »,
4. Sélectionner le(s) type(s) d'accréditation que vous voulez changer ainsi que le(s) compte(s)
concerné(s) dans la nouvelle fenêtre,
5. Cliquez sur « Valider et fermer » pour lancer le changement automatique des accréditations
pour le(s) compte(s).
Les accréditations sont maintenant changées sur WALLIX Bastion et sur la ou les cible(s)
concernée(s).
Note :
Le changement automatique des accréditations n'est possible que pour les comptes
appartenant à un domaine sur lequel le changement de mot de passe est activé.
Lorsque ce changement est lancé, les accréditations sont changées instantanément sur
WALLIX Bastion et propagées sur la ou les cible(s) concernée(s).
Les accréditations sont changées automatiquement :
• en conformité avec la politique de changement de mot de passe sélectionnée pour ce

domaine. Pour plus d'informations, voir Section 11.3, « Politiques de changement des
• lorsque la politique d'emprunt autorise le changement des mots de passe
lors de la restitution. Pour plus d'informations, voir Section 10.8, « Politiques
d'emprunt », page 214.
10.4.6. Changer manuellement les accréditations d'un

compte cible donné
A partir de la page « Comptes » située dans le menu « Cibles », vous avez la possibilité de changer
manuellement le mot de passe et/ou la clé privée SSH d'un compte et de propager instantanément
ce changement sur la cible.
Pour ce faire, sélectionnez le type de compte souhaité dans la liste déroulante et cliquez sur le nom
du compte afin d'ouvrir la page de modification de ce dernier. Vous pouvez alors :
• sur l'onglet « Mot de passe » : saisir et confirmer le nouveau mot de passe du compte et activer
le bouton « Propager le changement des accréditations »,
• sur la page « Envoi d'une clé privée » de l'onglet « Clé privée SSH » : charger la nouvelle clé et
activer le bouton « Propager le changement des accréditations ».
186
Une fois les champs renseignés et le bouton de propagation activé, cliquez sur « Valider » pour
propager le nouveau mot de passe et/ou la nouvelle clé privée SSH sur la cible.
Note :
Le changement manuel des accréditations n'est possible que pour les comptes
appartenant à un domaine sur lequel le changement de mot de passe est activé.
Lorsque ce changement est lancé, les nouvelles accréditations sont changées
instantanément sur WALLIX Bastion et propagées sur la ou les cible(s) concernée(s).
Les accréditations sont changées :
• en conformité avec la politique de changement de mot de passe sélectionnée pour ce

domaine. Pour plus d'informations, voir Section 11.3, « Politiques de changement des
• lorsque la politique d'emprunt autorise le changement des mots de passe
lors de la restitution. Pour plus d'informations, voir Section 10.8, « Politiques
d'emprunt », page 214.
10.4.7. Supprimer un compte cible

Sur la page « Comptes » située dans le menu « Cibles », sélectionnez un ou plusieurs comptes
cibles à l’aide de la case à cocher située en début de ligne puis cliquez sur le bouton « Supprimer ».
10.4.8. Importer des comptes cibles

Sur la page « CSV » du menu « Import/Export », sélectionnez « Comptes » à l'aide de la case
à cocher pour importer les données. Les séparateurs de champs et de listes sont également
configurables.
#wab820 account
Important :

Identifiant Texte R Texte libre N/A
Mot de passe Texte O Texte libre N/A
L'authentification peut être

effectuée soit par mot de
passe, soit par une clé privée
187

ou les deux ou aucun des
deux.
Lorsque l'import est effectué
à partir de la version 6.1 de
WALLIX Bastion :
• si ce champ est vide, alors le

mot de passe est supprimé
lors de l'import ;
• si ce champ est renseigné
avec le mot-clé [hidden],
alors le mot de passe
existant n'est pas modifié.
Attention ! Si aucun mot
de passe n'est défini pour
le compte, alors ce champ
prend la valeur [hidden] ;
avec une valeur autre que le
mot-clé [hidden], alors le
mot de passe est mis à jour
avec cette nouvelle valeur.
Attention ! Lorsque l'import est

effectué à partir d'une version
antérieure à WALLIX Bastion
6.1 et si ce champ est vide,
alors le mot de passe n'est PAS
supprimé lors de l'import.
Clé privée Texte O Texte libre N/A
L'authentification peut être

effectuée soit par mot de
passe, soit par une clé privée
ou les deux ou aucun des
deux.
Lorsque l'import est effectué

à partir de la version 6.1 de
WALLIX Bastion :
• si ce champ est vide, alors la

clé privée est supprimée lors
de l'import ;
avec le mot-clé [hidden],
alors la clé existante n'est
pas modifiée. Attention ! Si
aucune clé n'est définie pour
188

le compte, alors ce champ
prend la valeur [hidden] ;
avec une valeur autre que le
mot-clé [hidden], alors la
clé est mise à jour avec cette
nouvelle valeur.
Attention ! Lorsque l'import

est effectué à partir d'une
version antérieure à WALLIX
Bastion 6.1 et si ce champ est
vide, alors la clé n'est PAS
supprimée lors de l'import.
La valeur de la clé privée étant

relativement longue, celle-ci
doit être mentionnée entre
guillemets pour l'import.
Phrase de Texte O Texte libre N/A
chiffrement
Phrase de chiffrement pour
la clé privée. Ce champ est
utilisé lorsqu'une nouvelle clé
est renseignée dans le champ
« Clé privée ».
Changement Booléen R Vrai ou Faux Faux
automatique du
mot de passe
Changement Booléen R Vrai ou Faux Faux
automatique de
la clé SSH
Politique Texte R Politique d'emprunt définie N/A
d'emprunt
Domaine Texte O Pour un compte sur un N/A
équipement :
Équipement
• domaine : domaine local de
Application
l'équipement
Ressources • équipement : nom de
l'équipement
• ressources : services
concernés (optionnel et
doivent exister sur
l'équipement)
Pour un compte sur une

application :
189

• domaine : domaine local de
l'application
• application : nom de
l'application
Pour un compte sur un

domaine global :
• domaine : nom du domaine

global
• - ressources : équipement
sur le domaine représenté
par la syntaxe
équipement:protocole
(optionnel)
Exemple de syntaxe d'import pour un équipement, un domaine et une application :
#wab820 account
my_device_user;device_user_login;description;False;P4sSw0rD;;False;default;
local_domain_1;my_device;;my_domain_user;domain_user_login;description;True;
P4sSw0rD;;False;default;my_global_domain;;;device_on_domain:rdpmy_app_user;
app_user_login;description;False;P4sSw0rD;;True;default;local_domain_1;;my_application;
est indiquée.
190
Figure 10.10. Page « CSV » - case « Comptes » cochée
10.5. Groupes de cibles
Sur la page « Groupes » située dans le menu « Cibles », vous pouvez :
• lister les groupes de cibles déclarés,

• ajouter, modifier et supprimer un groupe,
• visualiser les comptes cibles inclus dans chaque groupe,
• configurer un groupe pour la gestion des sessions et la gestion des mots de passe.
Il est possible d'importer des groupes de cibles à partir d'un fichier .csv afin d'alimenter la base
groupes de cibles », page 203.
10.5.1. Ajouter un groupe de cibles

Sur la page « Groupes » située dans le menu « Cibles », cliquez sur le bouton « + Ajouter » pour
afficher la page de création du groupe.
Cette page recense les onglets suivants : « Général », « Cibles de gestion des sessions », « Cibles
de gestion des mots de passe » et « Restrictions ».
191

L'onglet « Général » recense les champs suivants :
• le nom du nouveau groupe de cibles,

• une description.
Note :
Après avoir renseigné les informations générales dans l'onglet « Général », cliquez sur
« Valider » pour pouvoir accéder aux autres onglets de la page de création du groupe.
10.5.1.2. Configurer un groupe de cibles pour la gestion des sessions à partir

d'un compte du coffre-fort
La procédure suivante consiste à définir, au sein d'un groupe donné, les comptes cibles qui seront
accessibles à distance à partir d'un client RDP ou SSH.
1. Sur l'onglet « Cibles de gestion des sessions », sélectionnez « Compte » dans la liste déroulante
puis cliquez sur le bouton « + Ajouter » pour afficher la page de création d'association des
ressources.
2. Dans le champ « Depuis », sélectionnez la valeur souhaitée pour effectuer l'association : « Un
équipement et ses comptes locaux », « Un équipement et des comptes globaux », « Une
application et ses comptes locaux » ou « Une application et des comptes globaux ».
3. En fonction de la valeur choisie précédemment, sélectionnez l'équipement ou l'application
concerné(e) par l'association dans le champ suivant.
4. Dans le champ « Service », sélectionnez (si nécessaire) le service qui sera utilisé pour accéder
au(x) compte(s) cible(s).
5. Après avoir renseigné les champs, la liste des comptes disponibles s'affiche. Sélectionnez le(s)
compte(s) cible(s) concerné(s) par l'association à l’aide de la case à cocher située en début
de ligne.
6. Cliquez sur le bouton « Ajouter et continuer » pour enregistrer les données renseignées et
poursuivre la création d'autres associations au sein du groupe. Sinon, cliquez sur « Ajouter
et fermer » pour sauvegarder les données et fermer la page de création d'association de
ressources.
Note :
Il doit y avoir au moins un compte local et/ou un compte global défini sur cet équipement
ou sur cette application pour pouvoir effectuer l'association.
Il doit y avoir au moins un service existant sur l'équipement pour pouvoir configurer cette
association.
Vous pouvez supprimer une association en sélectionnant le(s) compte(s) concerné(s) par la
suppression à l'aide de la case à cocher située en début de ligne puis, cliquez sur le bouton
« Supprimer association(s) ». WALLIX Bastion affiche une fenêtre demandant une confirmation
avant la suppression définitive des lignes sélectionnées.
10.5.1.3. Configurer un groupe de cibles pour le compte de scénario lors d'une

session SSH
192
La procédure suivante consiste à définir, au sein d'un groupe donné, les comptes cibles qui seront
utilisables par un scénario de démarrage lorsque la session SSH aura débuté. Ces comptes sont
dénommés « comptes de scénario ». Pour plus d'informations, voir Section 12.17, « Scénario de
démarrage SSH sur un équipement cible », page 275.
1. Sur l'onglet « Cibles de gestion des sessions », sélectionnez « Compte de scénario » dans
la liste déroulante puis cliquez sur le bouton « + Ajouter » pour afficher la page de création
d'association des ressources.
équipement et ses comptes locaux » ou « Un domaine global et ses comptes ».
3. En fonction de la valeur choisie précédemment, sélectionnez l'équipement ou le domaine global
concerné par l'association dans le champ suivant.
de ligne.
ressources.
Note :
Il doit y avoir au moins un compte local défini sur cet équipement et/ou un compte global
défini sur ce domaine global pour pouvoir effectuer l'association.
10.5.1.4. Configurer un groupe de cibles pour la gestion des sessions par

mappage de compte
La procédure suivante consiste à définir, au sein d'un groupe donné, les cibles qui seront
accessibles par le biais du mappage de compte.
Un accès par le biais du mappage de compte peut être défini sur une ressource (équipement
+service ou application) dès lors qu'un service est sauvegardé sur cette même ressource.
Avertissement :
La méthode d'authentification PASSWORD_MAPPING doit être sélectionnée au niveau
de la politique de connexion associée à la cible pour pouvoir se connecter à celle-ci
via le mappage de compte (pour plus d'informations, voir Section 12.4, « Politiques de
connexion », page 260).
Le mappage de compte avec la méthode d'authentification PASSWORD_MAPPING n'est
pas fonctionnel si l'utilisateur s'authentifie via une méthode sans échange de mot de
passe telle que :
• Kerberos ou certificat X509 pour WALLIX Bastion,

• SAML ou certificat X509 pour WALLIX Access Manager.
193
1. Sur l'onglet « Cibles de gestion des sessions », sélectionnez « Mappage de compte » dans
équipement et ses services » ou « Applications ».
3. Si vous souhaitez accéder à un équipement, sélectionnez celui concerné par l'association dans
le champ suivant.
4. Après avoir renseigné les champs, la liste des services ou des applications disponibles s'affiche.
Sélectionnez le(s) service(s) concerné(s) ou l'(les) application(s) concernée(s) par l'association
à l’aide de la case à cocher située en début de ligne.
ressources.
10.5.1.5. Configurer un groupe de cibles pour la gestion des sessions en

connexion interactive
La procédure suivante consiste à définir, au sein d'un groupe donné, les cibles qui seront
accessibles par le biais de la connexion interactive.
Un accès par le biais de la connexion interactive peut être défini sur une ressource (équipement
+service ou application) dès lors qu'un service est sauvegardé sur cette même ressource.
Note :
La méthode d'authentification PASSWORD_INTERACTIVE doit être sélectionnée au
niveau de la politique de connexion associée à la cible pour pouvoir se connecter à celle-
ci via la connexion interactive (pour plus d'informations, voir Section 12.4, « Politiques
de connexion », page 260).
1. Sur l'onglet « Cibles de gestion des sessions », sélectionnez « Connexion interactive » dans
équipement et ses services » ou « Applications ».
3. Si vous souhaitez accéder à un équipement, sélectionnez celui concerné par l'association dans
le champ suivant.
4. Après avoir renseigné les champs, la liste des services ou des applications disponibles s'affiche.
Sélectionnez le(s) service(s) concerné(s) ou l'(les) application(s) concernée(s) par l'association
à l’aide de la case à cocher située en début de ligne.
ressources.
194
10.5.1.6. Configurer un groupe de cibles pour la gestion des mots de passe à

partir d'un compte du coffre-fort
La procédure suivante consiste à définir, au sein d'un groupe donné, les comptes cibles pour
lesquels la visualisation ou l'emprunt du mot de passe sera autorisé. Pour plus d'informations, voir
Section 11.1, « Autorisations de l'utilisateur sur les mots de passe », page 223.
1. Sur l'onglet « Cibles de gestion des mots de passe », cliquez sur le bouton « + Ajouter » pour
afficher la page de création d'association des ressources.
2. Dans le champ « Depuis », sélectionnez la valeur souhaitée pour effectuer l'association :
« Un équipement et ses comptes locaux », « Un domaine global et ses comptes » ou « Une
application et ses comptes locaux ».
3. En fonction de la valeur choisie précédemment, sélectionnez l'équipement, le domaine global
ou l'application concerné(e) par l'association dans le champ suivant.
de ligne.
ressources.
10.5.1.7. Gérer les restrictions
10.5.1.7.1. Analyse des flux SSH / Détection de motifs (ou « patterns »)

Lors de la création/modification de groupes utilisateurs ou de groupes de cibles, il est possible
de définir des « restrictions » par le biais d'un ensemble d’actions à appliquer lors de la détection
de certaines chaînes de caractères sur le flux montant du proxy SSH en activant/désactivant la
détection de motifs, également appelés « patterns ». Les données analysées sont celles saisies
par l’utilisateur.
Note :
Il est possible de définir un ensemble de commandes autorisées pour une exécution
en « remote command » sous la forme d'expressions régulières pour le sous-protocole
SSH_REMOTE_COMMAND. Pour plus d'informations, voir Section 10.5.1.7.1.5,
« Motifs (ou « patterns ») de commandes autorisées pour le sous-protocole
SSH_REMOTE_COMMAND », page 199.
Pour ajouter une restriction, cliquez sur l'onglet « Restrictions » puis sur le bouton « + Ajouter »
pour afficher la fenêtre de création dédiée. Les actions applicables doivent être sélectionnées dans
le champ « Action » et, les règles correspondantes doivent être définies dans le champ « Règles ».
195
En cas de détection, l'action associée sera exécutée : coupure de session pour une action « Kill »
(ou « Fermer ») ou envoi d'une notification dans le cas d'une action « Notify » (ou « Notifier »).
Avertissement :
La détection de chaînes de caractères n’est active que pour les données envoyées par
le client vers le serveur.
La liste des motifs appliqués est la somme de ceux présents dans les groupes d’utilisateurs et les
groupes de cibles. L’action liée est la plus restrictive : si l’un des groupes porte l’action « Kill » (ou
« Fermer »), c’est cette action qui sera choisie.
Les règles sont à rentrer sous la forme d’expressions régulières, à raison d’une expression par ligne.
Exemple : pour empêcher la suppression de fichiers, les expressions à rentrer dans le champ
« Règles » sont :
unlink\s+.*
rm\s+.*
10.5.1.7.1.1. Avertissement pour les actions « Kill » (ou « Fermer »)

Par défaut, les actions « Kill » (ou « Fermer ») coupent la session à la première détection.
Il est néanmoins possible de définir un nombre de détections avec blocage et avertissement avant
coupure de la session.
Pour cela, il est nécessaire de paramétrer une option globale du proxy SSH : sur la page « Options
de configuration » du menu « Configuration », sélectionner « SSH proxy » dans la liste pour
accéder à la page de configuration du proxy SSH, puis saisir un nombre entier positif dans le champ
« Warning count ». Par défaut, cette valeur correspond à « 0 ».
Par exemple, une valeur de « 5 » avertira cinq fois l’utilisateur d’une détection (tout en bloquant
l’exécution de la commande) avant de couper la session à la sixième détection.
Avertissement :
Par défaut, les saisies clavier non affichées sur le terminal (comme par exemple, les mots
de passe) ne sont pas journalisées au sein de WALLIX Bastion, sauf si l'option « Log all
kbd » est activée sur la page de configuration de la politique de connexion. Cependant,
un utilisateur malveillant peur forcer cet affichage de façon permanente au cours de la
session, via la commande suivante :
stty -echo
Dans ce cas, il est alors possible de couper la session en définissant la règle de type
« Kill » suivante dans l'onglet « Restrictions » de la page « Groupes » :
10.5.1.7.1.2. Transferts de fichiers
Pour les sous-protocoles SFTP_SESSION, SSH_SCP_UP et SSH_SCP_DOWN, il est possible de
créer une expression basée sur la taille des fichiers dans le but de détecter le transfert de fichiers
volumineux. La syntaxe est la suivante:
$filesize:>X
X est une taille en octets.
196
Une lettre finale (telle que « m », « k », « g ») peut être mentionnée pour indiquer une échelle,
comme indiqué dans le tableau ci-dessous :
Lettre Échelle
k 1 000
m 1 000 000
g 1 000 000 000
10
K 1024 (2 )
20
M 1 048 576 (2 )
30
G 1 073 741 824 (2 )
Tableau 10.1. Échelle
10.5.1.7.1.3. Limite sur les quantités de données descendantes
Pour les sous-protocoles SSH_SHELL_SESSION, SSH_REMOTE_COMMAND, TELNET et

RLOGIN, il est possible de créer une expression basée sur la définition d'une limite sur le volume
de données descendantes depuis le serveur vers le poste client. La syntaxe est la suivante:
$downsize:>X
X est une taille en octets.
Une lettre finale (telle que « m », « k », « g ») peut être mentionnée pour indiquer une échelle,
comme indiqué dans le tableau ci-dessous :
Lettre Echelle
k 1 000
m 1 000 000
g 1 000 000 000
10
K 1024 (2 )
20
M 1 048 576 (2 )
30
G 1 073 741 824 (2 )
Tableau 10.2. Échelle
10.5.1.7.1.4. Détections de commandes Cisco IOS
Les routeurs CISCO sous IOS sont des systèmes assez restreints pour la saisie des commandes
mais supportent l’auto-complétion et la saisie partielle lorsque les préfixes de commandes sont non
ambigus.
Il est donc nécessaire d’avoir une extension particulière de la syntaxe des règles pour interdire ou
autoriser certaines commandes de la manière la plus complète possible sur un système cible de
ce type.
Avertissement :
Une cible ayant ce type de règles de détection sera considérée comme un équipement
CISCO IOS. Il ne faut donc pas l’utiliser pour un autre type de cible comme Linux/Unix
sous peine de dysfonctionnement.
197
Cette extension de syntaxe est utilisable avec les sous-protocoles SSH_SHELL_SESSION,

RLOGIN ou TELNET (selon le type de connexion), pour n’importe quel type d’action.
Deux modes sont disponibles :
• Liste blanche de commandes : seules les commandes listées sont autorisées. Dans le champ
« Règles », la syntaxe à utiliser est la suivante : $acmd:[liste de commandes]
• Liste noire de commandes : toutes les commandes sont autorisées sauf celles listées. Dans le
champ « Règles », la syntaxe à utiliser est la suivante : $cmd:[liste de commandes]
La liste de commande est délimitée par des crochets, chaque commande est séparée par une
virgule. Par exemple : [enable, show kerberos, access-template, configure
terminal]
Une commande peut contenir un séparateur « : » qui indique la fin du préfixe non ambigu.
La commande en elle-même ne peut pas contenir de caractères « : ». Par exemple pour les
commandes « en[able] », « sh[ow] kerb[eros] », « access-t[emplate] », et « conf[igure] t[erminal] »
la liste serait : [en:able, sh:ow kerb:eros, access-t:emplate, conf:igure
t:erminal]
Exemple de liste blanche :
$acmd:[en:able, sh:ow kerb:eros, access-t:emplate, conf:igure t:erminal]

$acmd:[sh:ow]
Exemple de liste noire :
$cmd:[en:able, sh:ow]
En cas de déclarations multiples, toutes les listes du même type sont fusionnées.
Si des listes blanches et noires sont déclarées en même temps, la détection se fera par la liste
blanche dans laquelle on aura enlevé les commandes de la liste noire.
Par défaut, et de manière implicite, les commandes « alias » et « prompt » seront ajoutées à une
liste noire et la commande « exit » sera ajoutée à une liste blanche.
Exemple de détection utilisant la liste blanche : [w:here, sh:ow ke:rberos, co:nnect]
Saisie Détection
show Oui
show kerb Non
sh ke c Non
show kron schedule Oui
show ip arp Oui
config t Oui
where Non
w Non
alias show montrer Oui
exit Non
Tableau 10.3. Détection Cisco IOS avec liste blanche
198
Exemple de détection utilisant la liste noire : [w:here, sh:ow ke:rberos, co:nnect]
Saisie Détection
show Non
show kerb Oui
sh ke c Oui
show kron schedule Non
show ip arp Non
config t Non
where Oui
w Oui
alias show montrer Oui
exit Non
Tableau 10.4. Détection Cisco IOS avec liste noire
10.5.1.7.1.5. Motifs (ou « patterns ») de commandes autorisées pour le sous-protocole

SSH_REMOTE_COMMAND
Il est possible de définir un ensemble de commandes autorisées pour une exécution en « remote
command » sous la forme d'expressions régulières. Une commande qui ne correspondrait pas à
cet ensemble sera détectée.
La syntaxe est la suivante :
$allow:<re_1>
Les commandes correspondant à l'expression régulière <re_1> sont alors autorisées. Celles qui
ne correspondent pas à cette expression régulière sont détectées.
Si plusieurs expressions de type « allow » sont définies, une commande sera autorisée si elle vérifie
au moins l'une d'elles.
La suite de règles suivante :
$allow:<re_1>
$allow:<re_2>
...
$allow:<re_n>
peut également être formulée ainsi :
$allow:<re_1> |<re_2>| ... |<re_n>
Les règles définies sous la forme d'expressions régulières standards sont également vérifiées.
Ainsi, une règle définie à la fois sous la forme d'une expression régulière autorisée et d'une
expression régulière standard sera détectée, et l'action correspondante sera exécutée en
conséquence.
Exemple de détection pour la règle : $allow:abc
Saisie Détection
abc Non
199
Saisie Détection
cde Oui
Tableau 10.5. Commandes
Exemples de détection pour les règles :
$allow:abc
$allow:ps.*
Saisie Détection
abc Non
cde Oui
ps aux Non
ps aux | grep eggs Non
ls Oui
Exemples de détection pour les règles :
$allow:abc
$allow:ps.*
ps.*\|
Saisie Détection
abc Non
cde Oui
ps aux Non
ps aux | grep eggs Oui
ls Oui
10.5.1.7.2. Analyse des flux RDP / Détection de motifs (ou « patterns »)
Lors de la création/modification de groupes utilisateurs ou de groupes de cibles, il est possible de

définir des « restrictions » par le biais d'un ensemble d’actions à appliquer lors de la détection de
certaines chaînes de caractères dans le flux clavier du proxy RDP (les données analysées sont
celles tapées par l’utilisateur) et/ou dans les barres de titre des fenêtres (les données analysées
sont celles affichées à l’écran). Cela se fait en activant/désactivant la détection de motifs, également
appelés « patterns ».
Pour ajouter une restriction, cliquez sur l'onglet « Restrictions » puis sur le bouton « + Ajouter »
pour afficher la fenêtre de création dédiée. Les actions applicables doivent être sélectionnées dans
le champ « Action » et, les règles correspondantes doivent être définies dans le champ « Règles ».
En cas de détection, l'action associée sera exécutée : coupure de session pour une action « Kill »
(ou « Fermer ») ou envoi d'une notification dans le cas d'une action « Notify » (ou « Notifier »).
200
Avertissement :
La détection de chaînes de caractères n’est active que pour les données envoyées par
le client vers le serveur.
La liste des motifs appliqués est la somme de ceux présents dans les groupes d’utilisateurs et les
groupes de cibles. L’action liée est la plus restrictive : si l’un des groupes porte l’action « Kill » (ou
« Fermer »), c’est cette action qui sera choisie.
Les actions sont à rentrer sous la forme d’expressions régulières, à raison d’une expression par
ligne.
Une expression préfixée par « $kbd: » s’appliquera uniquement aux flux clavier.
Une expression préfixée par « $ocr: » ou sans préfixe s’appliquera uniquement aux titres des
fenêtres.
Enfin, une expression préfixée par « $kbd-ocr: » ou « $ocr-kbd: » s’appliquera aux deux.
Par exemple, pour empêcher la suppression de fichiers depuis l’invite de commande (cmd.exe),
les expressions à rentrer sont les suivantes :
$kbd:del\s+.*
$kbd:erase\s+.*
Pour empêcher l’ouverture de l’invite de commande elle-même :
$ocr:Invite de commande
$ocr:.*\\cmd.exe
Les préfixes suivants peuvent être utilisés pour affiner la recherche de caractères :
• « $content: » recherche une chaîne,

• « $exact-content: » recherche une chaîne complète. Ce préfixe devient « content: » s'il est utilisé
avec « $kbd: ».
• « $regex: » recherche une expression régulière. Il s'agit du comportement par défaut.
• « $exact-regex: » recherche une expression formée par « ^motif$ ».
Par exemple, « $content,ocr:abc.exe » s'appliquera sur toutes les fenêtres contenant la chaîne
« abc.exe ».
Le caractère « . » n'est pas considéré comme un caractère d'expression régulière.
Le caractère « - » est utilisé comme séparateur pour « $ocr: » et « $kbd: ». Les caractères de
séparateur supportés sont « - » et « , ».
Avertissement :
Si vous choisissez de fermer la session quand une barre de titre de fenêtre spécifique
est affichée, les utilisateurs ne pourront pas se reconnecter tant que cette fenêtre n’aura
pas été fermée ou son titre changé car leurs sessions seront de nouveau fermées
immédiatement.
10.5.1.7.3. Importer/exporter des restrictions pour les groupes de cibles et les groupes

utilisateurs
201
Vous pouvez importer les restrictions définies lors de la création ou la modification de groupes
utilisateurs ou de groupes de cibles. Ces restrictions déterminent les actions à appliquer lors
de la détection de certaines chaînes de caractères sur le flux montant des proxies (voir
Section 10.5.1.7.1, « Analyse des flux SSH / Détection de motifs (ou « patterns ») », page 195 et
Section 10.5.1.7.2, « Analyse des flux RDP / Détection de motifs (ou « patterns ») », page 200).
Sur la page « CSV » du menu « Import/Export », sélectionnez « Restrictions » à l'aide de la

case à cocher pour importer les données. Les séparateurs de champs et de listes sont également
configurables.
#wab820 restriction
Important :

Le nom du groupe est unique.

Type Texte R Cible / Utilisateur N/A
Action Texte R « Kill » (ou « Fermer ») /
« Notify » (ou « Notifier »)
Règles Texte R Expressions régulières, à N/A
raison d’une expression par
ligne
Il peut y avoir des règles

définies à la fois sur les groupes
de cibles et sur les groupes
utilisateurs au sein du même
fichier.
Sous- Texte R Nom du sous-protocole N/A
protocole
est indiquée.
Attention :
Un utilisateur est autorisé à exporter les restrictions lorsqu'au moins le droit « Afficher »
pour la fonctionnalité « Cibles & comptes » est paramétré au niveau de son profil (voir
Section 9.3, « Profils utilisateurs », page 95).
202
Si seul le droit « Afficher » pour la fonctionnalité « Cibles & comptes » est paramétré au
niveau de son profil, alors l'utilisateur sera autorisé à exporter les restrictions uniquement
sur les groupes de cibles.
Si le droit « Afficher » pour la fonctionnalité « Utilisateurs » est également paramétré au
niveau de son profil, alors l'utilisateur sera autorisé à exporter les restrictions définies sur
les groupes utilisateurs qu'il/elle peut visualiser (en fonction des limitations du profil. Pour
plus d'informations, voir Section 9.3, « Profils utilisateurs », page 95).
Si seul le droit « Afficher » pour la fonctionnalité « Utilisateurs » est paramétré au niveau
de son profil, alors l'utilisateur ne pourra exporter aucune restriction.
10.5.2. Modifier un groupe de cibles

Sur la page « Groupes » située dans le menu « Cibles », cliquez sur un nom de groupe pour afficher
la page de modification de ce dernier. Vous êtes invité(e) à modifier les données renseignées
précédemment.
Pour plus d'informations sur la saisie des données dans les onglets, voir Section 10.5.1, « Ajouter
un groupe de cibles », page 191.
10.5.3. Supprimer un groupe de cibles

Sur la page « Groupes » située dans le menu « Cibles », sélectionnez un ou plusieurs groupes de
cibles à l’aide de la case à cocher au début de la ligne puis cliquez sur le bouton « Supprimer ».
Avertissement :
Vous ne pouvez pas supprimer un groupe de cibles lorsque des autorisations actives (voir
Chapitre 14, « Gestion des autorisations », page 298) sont rattachées à ce groupe.
10.5.4. Importer des groupes de cibles

Sur la page « CSV » du menu « Import/Export », sélectionnez « Groupes de comptes cibles » à
l'aide de la case à cocher pour importer les données. Les séparateurs de champs et de listes sont
également configurables.
#wab820 targetsgroup
Important :

203

Le nom du groupe est unique.
Comptes cibles Texte O Comptes cibles sélectionnés N/A
pour la gestion des sessions
Il peut n'y avoir aucun compte
cible ou un ou plusieurs
comptes cibles dans chaque
catégorie ou dans toutes les
catégories en même temps.
Un compte cible peut être

défini sur un domaine global
(et non local).
Format pour les comptes

cibles :
compte@domaine@équipe-
ment:protocole
Mappage de Texte O Cibles en mappage de compte N/A
compte sélectionnées
Format pour les cibles en

mappage de compte :
Connexion Texte O Cibles en connexion N/A
interactive interactive sélectionnées
Format pour les cibles en

connexion interactive :
Comptes Texte O Comptes cibles sélectionnés N/A
pour la gestion des mots de
passe
Format pour les comptes

cibles :
compte@domaine ou
compte@domaine@équipement
ou
compte@domaine@application
est indiquée.
204
Figure 10.11. Page « CSV » - case « Groupes de comptes cibles » cochée
10.6. Clusters
Un cluster est un groupe de serveurs de rebond. L’utilisation d’un cluster à la place d’un équipement
unique permet de mettre en place de la répartition de charge et de la Haute Disponibilité pour une
application. La sélection du serveur de rebond à utiliser pour exécuter une application se fait en
deux étapes. WALLIX Bastion trie les serveurs en commençant par celui avec le moins de sessions
ouvertes, puis essaie de se connecter à chacun jusqu’à la première tentative qui réussit.
Sur la page « Clusters », vous pouvez :
• lister les clusters et les comptes cibles déclarés sur chacun des groupes,
• ajouter/modifier/supprimer un cluster,
• importer des clusters à partir d'un fichier .csv afin d'alimenter la base ressources de WALLIX
Bastion.
10.6.1. Ajouter un cluster
Sur la page « Clusters », cliquez sur « Ajouter un cluster » pour afficher la page de création du
cluster.
• un champ pour la saisie du nom du cluster,
205
• les cibles pouvant être sélectionnées pour appartenir au cluster : déplacez une cible depuis le
cadre « Comptes cibles disponibles » vers le cadre « Comptes cibles sélectionnées » pour choisir
la cible. Et inversement, déplacez une cible depuis le cadre « Comptes cibles sélectionnées »
vers le cadre « Comptes cibles disponibles » pour supprimer l'association.
Vous pouvez effectuer une recherche dans la liste des cadres en saisissant des données dans
la zone dédiée au niveau de l'icône loupe.
Vous pouvez effectuer une sélection multiple dans la liste des cadres.
Figure 10.12. Page « Clusters » en mode création
10.6.2. Modifier un cluster
Sur la page « Clusters », cliquez sur un nom de cluster puis sur « Modifier ce cluster » pour afficher
la page de modification du cluster.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création du cluster.
10.6.3. Supprimer un cluster
Sur la page « Clusters », sélectionnez un ou plusieurs clusters à l’aide de la case à cocher au début
10.6.4. Importer des clusters

Sur la page « Clusters », cliquez sur l'icône « Importer depuis un fichier CSV » en haut à droite
de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV » du menu
« Import/Export » : la case « Clusters » est déjà cochée pour l'import des données. Les séparateurs
de champs et de listes sont également configurables.
206
#wab820 cluster
Important :

Compte cible Texte R/O Comptes cibles définis N/A
Il doit y avoir au moins

un compte cible existant
ou une cible existante en
mappage de compte ou
encore une cible existante
en connexion interactive.
Il peut n'y avoir aucune cible

ou une ou plusieurs cibles
dans chaque catégorie ou
dans toutes les catégories
pour le cluster.
Mappage de Texte R/O Cibles en mappage de N/A
compte compte définies


pour le cluster.
Connexion Texte R/O Cibles en connexion N/A
interactive interactive définies

207

pour le cluster.
est indiquée.
Figure 10.13. Page « CSV » - case « Clusters » cochée
10.7. Plugins de coffres-forts externes à mots

de passe
Sur la page « Plugins de coffres-forts » du menu « Cibles », vous pouvez visualiser la liste des
plugins configurés au sein de WALLIX Bastion. Pour plus d'informations, voir Section 5.3, « Coffre-
fort externe à mots de passe », page 25.
Avertissement :
Cette page est uniquement affichée lorsque la fonctionnalité « Coffres-forts Externes »
Un plugin de coffre-fort externe à mots de passe peut être sélectionné lors de la création d'un
domaine global (voir Section 10.3, « Domaines », page 166) et plusieurs paramètres peuvent
être définis en fonction du plugin choisi.
208
Figure 10.14. Page « Plugins de coffres-forts »
10.7.1. Plugin Bastion
Ce plugin permet la connexion à distance à WALLIX Bastion afin d'accéder au coffre-fort externe
via le Web service API REST. Pour plus d'informations, voir Section 5.3, « Coffre-fort externe à
Les paramètres à définir pour ce plugin lors de la création d'un domaine global (voir Section 10.3,
« Domaines », page 166) sont les suivants :
• URL d'API : URL de l'API REST pour accéder au coffre-fort. Ce paramètre est requis. Cette
URL doit commencer par « https:// » et se terminer par « /api/vX.Y ». La version d'API minimale
supportée est la 2.3.
• Clé d'API : clé pour se connecter à l'API REST. Si une clé est renseignée, elle doit être saisie
une deuxième fois pour confirmation. Cette clé doit être générée sur l'instance WALLIX Bastion
distante.
• Identifiant compte de service : identifiant du compte de service pour se connecter à l'API REST.
Cet identifiant doit correspondre à l'identifiant d'un compte utilisateur sur l'instance WALLIX
Bastion distante.
• Mot de passe compte de service : mot de passe du compte de service pour se connecter à l'API
REST. Si un mot de passe est renseigné, il doit être saisi une deuxième fois pour confirmation.
10.7.2. Plugin CyberArk Enterprise Password Vault

Ce plugin permet d'accéder au coffre-fort d'une solution de gestion de privilèges CyberArk
Enterprise Password Vault via le Web service API REST. Pour plus d'informations, voir Section 5.3,
« Coffre-fort externe à mots de passe », page 25.
• URL d'API : URL de l'API REST pour accéder au coffre-fort. Ce paramètre est requis. Cette URL
doit commencer par « https:// » et se terminer par « PasswordVault ».
209
• Nom du coffre : nom du conteneur de la solution de gestion de privilèges CyberArk Enterprise

Password Vault dans lequel les secrets sont stockés. Ce paramètre est requis.
Cet identifiant doit correspondre à l'identifiant d'un compte utilisateur au sein de la solution de
gestion de privilèges CyberArk Enterprise Password Vault.
• Durée maximum d'emprunt (minutes) : intervalle de temps maximum, exprimé en minutes,
pendant lequel l'emprunt peut être effectué. A la fin de cette période, une restitution automatique
est effectuée par le système. Si la valeur "0" est renseignée dans ce champ, alors aucune
restitution automatique n'est effectuée.
10.7.3. Plugin HashiCorp Vault

Ce plugin permet d'accéder au coffre-fort de la solution de gestion de secrets HashiCorp Vault via
le Web service API REST. Pour plus d'informations, voir Section 5.3, « Coffre-fort externe à mots
de passe », page 25.
10.7.3.1. Configuration de la solution de gestion de secrets HashiCorp Vault

Les paramètres suivants doivent être configurés pour le moteur des secrets du coffre-fort :
• Type : Key/Value (KV)

• Version du moteur : Version 1
Les données secrètes sont structurées de la façon suivante au sein de la solution :
1. Racine du coffre-fort
└── 2. Nom du moteur des secrets
├── 3. Nom du compte WALLIX Bastion
├── Identifiant (champ « login »)
├── Mot de passe (champ « password »)
├── Certificat SSH (champ « ssh_certificate »)

└── Clé SSH (champ « ssh_key »)
└── Autre nom de compte WALLIX Bastion
├── Identifiant (champ « login »)
├── Mot de passe (champ « password »)
├── Certificat SSH (champ « ssh_certificate »)

└── Clé SSH (champ « ssh_key »)
Chaque moteur des secrets est associé à un domaine.
Les données du compte au sein de la solution sont encodées en UTF-8.
L'identifiant et une accréditation minimum (mot de passe ou clé SSH) sont requis.
210
La clé SSH doit être renseignée au format OpenSSH ou PEM. Le certificat correspond au contenu
d'une clé publique signée téléchargeable depuis l'interface Web de WALLIX Bastion.
Figure 10.15. Exemple : Données secrètes du compte « user1 » au sein du

moteur « engine_one » dans la solution de gestion de secrets HashiCorp Vault
10.7.3.2. Configuration dans WALLIX Bastion

• URL d'API : URL de l'API REST pour accéder au coffre-fort. Ce paramètre est requis.
• Chemin moteur secrets : chemin d'accès au moteur des secrets du coffre-fort. Ce paramètre est
requis.
• Jeton : jeton pour accéder au coffre-fort dans le cadre d'une méthode d'authentification « Token ».
Si un jeton est renseigné, il doit être saisi une deuxième fois pour confirmation.
• Identifiant : identifiant du compte pour accéder au coffre-fort dans le cadre d'une méthode
d'authentification « Userpass ». Cet identifiant doit correspondre à l'identifiant d'un compte
utilisateur au sein de la solution de gestion de secrets HashiCorp Vault.
• Mot de passe : mot de passe du compte pour accéder au coffre-fort dans le cadre d'une méthode
d'authentification « Userpass ». Si un mot de passe est renseigné, il doit être saisi une deuxième
fois pour confirmation.
• Fichier PKCS#12 : renseigner un chemin afin de fournir un fichier PKCS#12 pour charger la
clé privée et la clé publique utilisées pour accéder au coffre-fort, dans le cadre d'une méthode
d'authentification « TLS Certificate ».
• Phrase de chiffrement fichier PKCS#12 : phrase de chiffrement de déverrouillage des clés
fournies dans le fichier PKCS#12 pour la méthode d'authentification « TLS Certificate ». Si une
phrase de chiffrement est renseignée, elle doit être saisie une deuxième fois pour confirmation.
211
• Nom du rôle : nom du rôle associé à l'Autorité de Certification (ou « AC ») sur le serveur de la
solution de gestion de secrets HashiCorp Vault.
10.7.4. Plugin Thycotic Secret Server

Ce plugin permet d'accéder au coffre-fort de la solution de gestion de secrets Thycotic Secret Server
via le Web service API REST. Pour plus d'informations, voir Section 5.3, « Coffre-fort externe à
Ce plugin permet notamment d'effectuer les opérations d'emprunt et de restitution des mots de
passe et des clés SSH des comptes cibles. Cependant, il ne permet pas d'étendre la durée
d'emprunt des accréditations.
Certaines fonctionnalités de la solution de gestion de secrets Thycotic Secret Server ne sont pas
prises en charge par WALLIX Bastion. Par conséquent, les secrets gérés par des comptes habilitant
au moins l'une des fonctionnalités suivantes ne sont pas accessibles :
• la protection DoubleLock est définie,

• une approbation est requise,
• un commentaire est requis.
10.7.4.1. Paramètres du plugin
• URL d'API : URL de l'API REST pour accéder au coffre-fort. Ce paramètre est requis. Cette
URL doit commencer par « https:// » et se terminer par « /SecretServer », par exemple « https://
coffre.masociete.com/SecretSever ».
Cet identifiant doit correspondre à l'identifiant d'un compte utilisateur au sein de la solution de
gestion de secrets Thycotic Secret Server.
• Champ de l'identifiant : nom du champ contenant l'identifiant du compte au sein de la solution
de gestion de secrets Thycotic Secret Server. Ce nom est sensible à la casse. Ce paramètre est
requis et contient la valeur « Username » par défaut.
Avertissement :
Les champs « Identifiant compte de service » et « Mot de passe compte de service »
sont optionnels. Si aucun compte de service n'est renseigné, l'utilisateur doit alors
s'authentifier avec un mot de passe via les proxies RDP ou SSH ou l'interface Web afin
d'accéder au coffre-fort de la solution de gestion de secrets Thycotic Secret Server. Les
authentifications par certificat X509, clé SSH ou ticket Kerberos ne fonctionnant pas dans
ce contexte, il est alors nécessaire de définir un compte de service.
10.7.4.2. Accès au coffre-fort
Le processus d'accès au coffre-fort afin de récupérer le secret d'un compte est le suivant :
• Si l'utilisateur s'est authentifié avec un identifiant et un mot de passe, alors ces accréditations sont
utilisées pour accéder au serveur de la solution de gestion de secrets Thycotic Secret Server ;
212
• Si l'utilisateur s'est authentifié en utilisant un ticket Kerberos ou une clé SSH ou encore un
certificat X509 (ou tout autre mode d'authentification sans renseignement de mot de passe), le
compte de service est utilisé pour récupérer le secret. Dans ce cas, le compte de service doit
avoir au minimum les mêmes droits que ceux du compte de l'utilisateur.
• Si aucune de ces méthodes ne fonctionne, il est alors impossible d'accéder au coffre-fort pour
récupérer un secret.
10.7.4.3. Récupération du secret du compte

Afin de récupérer le secret d'un compte (à savoir : le mot de passe ou la clé SSH) au sein de
la solution de gestion de secrets Thycotic Secret Server, ce compte doit être associé à WALLIX
Bastion par l'intermédiaire d'un domaine global assurant la fonction de conteneurs de ces comptes.
La recherche est effectuée par l'indication du numéro d'identification du secret (ou « Secret ID »),
au sein du coffre-fort externe, dans le champ « Identifiant » du compte cible au sein de WALLIX
Bastion. Ce compte cible est alors associé au compte dans le coffre-fort de la solution de gestion
de secrets Thycotic Secret Server.
Exemple : Recherche du compte dont le « Secret ID » correspond à « 26 » :
- Sur l'interface de la solution Thycotic Secret Server, les paramètres de ce compte sont les
suivants :
L'URL mentionnée sur la capture d'écran ci-dessus indique qu'il s'agit bien du compte dont le
« Secret ID » correspond à « 26 ».
- Sur l'interface Web de WALLIX Bastion, les paramètres définis pour le plugin Thycotic Secret
Server sont les suivants :
213
Comme indiqué sur la capture d'écran ci-dessus, la valeur dans « Champ de l'identifiant »
correspond au nom du champ contenant l'identifiant du compte au sein de la solution de gestion
de secrets Thycotic Secret Server, à savoir : « Username ». La valeur de l'identifiant du compte
renseignée dans le champ « Username » est donc « root », comme indiqué sur la capture d'écran
précédente.
- Sur l'interface Web de WALLIX Bastion, les paramètres définis pour le compte cible sont les
suivants :
Comme indiqué sur la capture d'écran ci-dessus :
• le champ « Nom » contient le nom du compte cible qui sera affiché sur le sélecteur du client
proxy, à savoir : « SSH_root »
• le champ « Identifiant » contient le numéro « 26 » du « Secret ID » pour établir une
correspondance avec le compte de la solution Thycotic Secret Server et récupérer le secret
correspondant.
Avertissement :
Étant donné que le champ « Identifiant » contient le numéro du « Secret ID », l'option
« copier depuis le nom » ne doit pas être cochée. En effet, ce champ ne doit pas
correspondre à l'identifiant du compte distant.
10.8. Politiques d'emprunt
214
La politique d'emprunt définit les paramètres relatifs au processus d'emprunt du compte. Elle
peut être sélectionnée lors de la création ou de la modification d'un compte cible. Pour plus
d'informations, voir Section 10.4, « Comptes cibles », page 177.
Lors du processus d'emprunt des accréditations, l'utilisateur a accès aux informations suivantes :
• l'identifiant du compte,
• le mot de passe si celui-ci a été défini pour le compte sur l'instance locale ou distante de WALLIX
Bastion,
• la clé privée SSH si celle-ci a été définie pour le compte sur l'instance locale ou distante de
WALLIX Bastion,
• le certificat (c'est-à-dire la clé publique SSH signée) si le compte est défini sur un domaine associé
à une Autorité de Certification.
Sur la page « Politiques d'emprunt » située dans le menu « Cibles », vous pouvez :
• lister les politiques d'emprunt,

• ajouter, modifier et supprimer une politique d'emprunt.
Avertissement :
Une politique d'emprunt par défaut appelée « default » est configurée au sein de WALLIX
Bastion. Vous pouvez modifier cette politique mais vous ne pouvez pas la supprimer.
10.8.1. Ajouter une politique d'emprunt

Sur la page « Politiques d'emprunt » située dans le menu « Cibles », cliquez sur le bouton « +
Ajouter » pour afficher la page de création de la politique d'emprunt.
Cette page recense les onglets suivants : « Général » et « Comptes ».
L'onglet « Général » vous permet de saisir :
• le nom de la politique d'emprunt,

• un bouton pour activer le verrouillage du compte durant le processus d'emprunt du mot de passe
afin d'éviter une utilisation simultanée par plusieurs utilisateurs,
• si le verrouillage est activé :
– la durée d'emprunt, exprimée en heures, en minutes et en secondes. Cette durée doit être
renseignée.
– l'extension de la durée d'emprunt, exprimée en heures, en minutes et en secondes,
– la durée maximum d'emprunt, exprimée en heures, en minutes et en secondes,
Note :
Ce champ doit être renseigné si la durée d'emprunt et l'extension de la durée
d'emprunt sont toutes deux paramétrées. De plus, cette durée doit être supérieure
ou égale à la somme des valeurs définies pour la durée d'emprunt et l'extension.
215
Si l'extension de la durée n'est pas définie, ce champ doit être vide ou la valeur saisie
doit être la même que celle définie pour la durée d'emprunt.
– une case à cocher pour activer le changement du mot de passe lors de la restitution.
Figure 10.16. Page « Politiques d'emprunt » en mode création

L'onglet « Comptes » vous permet de :
• lister les comptes associés à la politique d'emprunt concernée. Pour cela, sélectionnez le type
de compte souhaité dans la liste déroulante.
• modifier un compte associé à la politique d'emprunt. Pour cela, sélectionnez le type de compte
souhaité dans la liste déroulante puis, cliquez sur le nom du compte pour afficher la page de
modification de ce dernier.
Pour plus d'informations, voir Section 10.4.1, « Ajouter un compte cible à un domaine
global », page 178 pour modifier un compte de domaine global, Section 10.4.2, « Ajouter
un compte cible à un équipement », page 181 pour modifier un compte d'équipement et
Section 10.4.3, « Ajouter un compte cible à une application », page 184 pour modifier un compte
d'application.
• supprimer des comptes associés à la politique d'emprunt. Pour cela, sélectionnez le type de
compte souhaité dans la liste déroulante puis, sélectionnez le(s) comptes concerné(s) à l'aide de
la case à cocher située en début de ligne puis, cliquez sur le bouton « Supprimer ».
10.8.2. Modifier une politique d'emprunt

Sur la page « Politiques d'emprunt » située dans le menu « Cibles », cliquez sur un nom de
politique pour afficher la page de modification de cette dernière. Vous pouvez modifier les données
renseignées précédemment.
Pour plus d'informations sur l'ajout de données dans les onglets, voir Section 10.8.1, « Ajouter une
politique d'emprunt », page 215.
216
Avertissement :
Si l'accès aux comptes cibles n'est pas autorisé pour le profil, alors les membres du profil
ne peuvent ni supprimer ni modifier une politique d'emprunt du mot de passe.
10.8.3. Supprimer une politique d'emprunt

Sur la page « Politiques d'emprunt » située dans le menu « Cibles », sélectionnez une ou plusieurs
politiques à l'aide de la case à cocher située en début de ligne puis cliquez sur « Supprimer ».
Avertissement :
Vous ne pouvez pas supprimer une politique d'emprunt du mot de passe lorsque celle-
ci est associée à au moins un compte cible.
ne peuvent ni supprimer ni modifier une politique d'emprunt du mot de passe.
10.9. Auto-découverte
WALLIX Bastion embarque un module spécifique qui permet de découvrir de manière automatique
et continue des ressources sur les réseaux et les annuaires Active Directory configurés et d'intégrer
les ressources souhaitées.
L'entrée « Auto-découverte » dans le menu « Cibles » vous permet de :
• configurer les scans,

• lancer les scans manuellement,
• paramétrer le lancement périodique du scan,
• visualiser les résultats des jobs de scan,
• visualiser la liste des ressources découvertes et les intégrer dans WALLIX Bastion.
Note :
Le menu « Auto-découverte » ne sera pas affiché sur l'interface Web si l'option « Enable
modules », sous la section « main » accessible depuis le menu « Configuration » >
« Options de configuration » > « Module configuration » est décochée. Cette option
est affichée lorsque la case du champ « Options avancées » sur la droite de la page
est cochée et doit être UNIQUEMENT modifiée sur les instructions de l’Équipe Support
WALLIX !
Le droit « Afficher » pour les fonctionnalités « Cibles & comptes » et « Paramètres »

doit être paramétré au niveau du profil utilisateur afin de visualiser les pages du menu
« Auto-découverte ».
Le droit « Modifier » pour les fonctionnalités « Cibles & comptes » et « Paramètres » doit
être paramétré au niveau du profil utilisateur afin de modifier les pages du menu « Auto-
découverte ».
217
10.9.1. Configurer un scan de réseau

Sur l'entrée « Auto-découverte » dans le menu « Cibles », sélectionnez « Configuration de scan »,
puis cliquez sur le bouton « + Ajouter [Réseau] » pour afficher la page de création de la configuration
du scan.
Cette page de création recense les champs suivants :
• le nom du scan,
• les sous-réseaux renseignés en utilisant la notation CIDR (<adresse de réseau>/<nombre de
bits de masque>), par exemple : 192.168.0.15/24. Lorsque vous avez saisi une adresse valide,
cliquez sur « + » situé à la fin du champ. Une fois que le sous-réseau est ajouté, vous avez la
possibilité de le supprimer de la liste en cliquant sur l'icône rouge « - ». Vous pouvez ajouter
autant de sous-réseaux que nécessaire.
• les associations entre les protocoles et les ports. Afin de créer une association, sélectionnez un
protocole dans la liste déroulante et renseignez le port correspondant, puis cliquez sur « + ». Il
est possible de supprimer cette association une fois qu'elle a été créée en cliquant sur l'icône
rouge « - ». Vous pouvez créer autant d'associations que nécessaire.
• les filtres de bannière SSH renseignés en utilisant des expressions régulières. Seuls les
équipements dont la bannière contient une correspondance avec ces expressions régulières
seront découverts. Lorsque vous avez saisi une expression, cliquez sur « + » situé à la fin du
champ. Une fois que l'expression est ajoutée, vous avez la possibilité de la supprimer de la liste
en cliquant sur l'icône rouge « - ». Vous pouvez ajouter autant d'expressions que nécessaire.
• la périodicité du scan, c'est-à-dire la fréquence à laquelle le scan est automatiquement déclenché.
Le format du champ « Périodicité du scan » doit respecter la syntaxe cron. Ce champ prend
en charge la syntaxe usuelle sur 5 champs <Minute> <Hour> <Day_of_the_Month>
<Month_of_the_Year> <Day_of_the_Week> et les raccourcis du type @.
Par exemple, si ce champ est renseigné avec l'expression 0 0 * * * ou @daily, alors
le job de scan est exécuté chaque jour à minuit. Pour plus d'informations, voir https://
fr.wikipedia.org/w/index.php?title=Cron#CRON_expression.
Des listes de valeurs sont disponibles sous ce champ pour définir précisément cette périodicité
en syntaxe cron.
Si aucune valeur n'est renseignée dans ce champ, alors aucune périodicité de changement du
mot de passe n'est définie.
• une option permettant d'activer la périodicité et configurer ainsi le lancement automatique du
scan,
• les adresses e-mails des destinataires qui seront notifiés à la fin du scan. Lorsque vous avez
saisi une adresse, cliquez sur « + » situé à la fin du champ. Une fois que l'adresse est ajoutée,
vous avez la possibilité de la supprimer de la liste en cliquant sur l'icône rouge « - ». Vous pouvez
ajouter autant d'adresses que nécessaire.
Une fois les champs renseignés, cliquez sur « Valider » pour sauvegarder la configuration ou sur
« Valider et lancer » pour lancer le scan immédiatement.
10.9.2. Configurer un scan d'annuaire Active Directory
218
Sur l'entrée « Auto-découverte » dans le menu « Cibles », sélectionnez « Configuration de scan »,

puis cliquez sur le bouton « + Ajouter [Active Directory] » pour afficher la page de création de la
configuration du scan.
Cette page de création recense les champs suivants :
• le nom du scan,
• une authentification externe. Sélectionnez une authentification externe LDAP utilisant l'Active
Directory dans la liste déroulante ou, cliquez sur le lien de redirection vers la page de
création des authentifications situé sous le champ. Pour plus d'informations sur la création
d'une authentification externe utilisant l'Active Directory, voir Section 9.8.1.3, « Ajouter une
authentification externe LDAP », page 122.
• un filtre de recherche LDAP/AD. La requête par défaut « (objectClass=Computer) » permet
de récupérer toutes les machines de l'annuaire. Il est possible d'affiner cette requête avec des
critères supplémentaires.
• les Distinguished Names (ou « DN ») ou noms distinctifs des entrées de l'annuaire. Lorsque vous
avez saisi un DN, cliquez sur « + » situé à la fin du champ. Une fois que le DN est ajouté, vous
avez la possibilité de le supprimer de la liste en cliquant sur l'icône rouge « - ». Vous pouvez
ajouter autant de DN que nécessaire.
• les associations entre les protocoles et les ports. Afin de créer une association, sélectionnez un
protocole dans la liste déroulante et renseignez le port correspondant, puis cliquez sur « + ». Il
est possible de supprimer cette association une fois qu'elle a été créée en cliquant sur l'icône
rouge « - ». Vous pouvez créer autant d'associations que nécessaire.
• les filtres de bannière SSH renseignés en utilisant des expressions régulières. Seuls les
équipements dont la bannière contient une correspondance avec ces expressions régulières
seront découverts. Lorsque vous avez saisi une expression, cliquez sur « + » situé à la fin du
champ. Une fois que l'expression est ajoutée, vous avez la possibilité de la supprimer de la liste
en cliquant sur l'icône rouge « - ». Vous pouvez ajouter autant d'expressions que nécessaire.
• la périodicité du scan, c'est-à-dire la fréquence à laquelle le scan est automatiquement déclenché.
Le format du champ « Périodicité du scan » doit respecter la syntaxe cron. Ce champ prend
en charge la syntaxe usuelle sur 5 champs <Minute> <Hour> <Day_of_the_Month>
<Month_of_the_Year> <Day_of_the_Week> et les raccourcis du type @.

en syntaxe cron.
• une option permettant d'activer la périodicité et configurer ainsi le lancement automatique du
scan,
• les adresses e-mails des destinataires qui seront notifiés à la fin du scan. Lorsque vous avez
saisi une adresse, cliquez sur « + » situé à la fin du champ. Une fois que l'adresse est ajoutée,
vous avez la possibilité de la supprimer de la liste en cliquant sur l'icône rouge « - ». Vous pouvez
ajouter autant d'adresses que nécessaire.
Une fois les champs renseignés, cliquez sur « Valider » pour sauvegarder la configuration ou sur
« Valider et lancer » pour lancer le scan immédiatement.
219
10.9.3. Lancer un scan manuellement

Sur l'entrée « Auto-découverte » dans le menu « Cibles », sélectionnez « Configuration de scan »
pour afficher la liste des scans configurés.
Pour lancer un ou plusieurs scans manuellement :
1. Cochez la case située au début de la ligne du ou des scans que vous souhaitez lancer.
2. Cliquez sur le bouton « Lancer manuellement » pour lancer le(s) scan(s) immédiatement.
10.9.4. Configurer un lancement de scan périodique

Sur l'entrée « Auto-découverte » dans le menu « Cibles », sélectionnez « Configuration de scan »
pour afficher la liste des scans configurés.
Pour configurer un lancement périodique :
1. Cliquez sur le nom du scan afin d'afficher la page de configuration correspondante.

2. Configurez la fréquence à laquelle le scan est automatiquement déclenché dans le champ
« Périodicité du scan ».
Ce champ prend en charge la syntaxe usuelle sur 5 champs <Minute> <Hour>
<Day_of_the_Month> <Month_of_the_Year> <Day_of_the_Week> et les raccourcis
du type @.
en syntaxe cron.
3. Cochez l'option « Activer la périodicité ».
4. Cliquez sur le bouton « Valider ». Le scan se lancera alors automatiquement en fonction de
la périodicité.
Note :
Le moment auquel le prochain job du scan sera déclenché est visualisable dans la
colonne « Prochain job » sur la liste des scans configurés.
10.9.5. Visualiser les résultats d'un job de scan

Sur l'entrée « Auto-découverte » dans le menu « Cibles », sélectionnez « Liste des jobs » pour
afficher la liste des jobs de scan.
Chaque ligne présente les informations suivantes :
• la date et l'heure de début du job,

• le type du job,
• le statut du job,
• la durée du job,
• le nombre d'équipements découverts en correspondance avec les filtres du scan,
220
• le nom du scan,
• les sous-réseaux pour un scan de réseau,
• les Distinguished Names pour un scan d'annuaire Active Directory.
La page « Liste des jobs » vous permet notamment :
• d'obtenir des informations sur un job en cliquant sur les données dans la colonne « Date
de début » : elle contient un lien d'accès à une page dédiée. L'onglet « Général » affiche
les propriétés de la configuration du scan, ainsi que le nombre d'équipements découverts
en correspondance avec les filtres du scan. L'onglet « Résultats bruts » liste l'ensemble des
ressources découvertes au cours d'un job qui s'est correctement déroulé.
• d'annuler un job en cours si nécessaire. Pour ce faire, sélectionnez le ou les jobs dont le statut est
« En cours » en cochant la case située en début de ligne, puis cliquez sur le bouton « Annuler ».
• d'accéder à la page de configuration du scan pour en modifier les propriétés, en cliquant sur le
lien dans la colonne « Nom du scan ».
10.9.6. Intégrer les équipements découverts dans WALLIX

Bastion
Sur l'entrée « Auto-découverte » dans le menu « Cibles », sélectionnez « Équipements » pour
afficher la liste des équipements découverts.
Par défaut, le tableau affiche la liste des équipements pouvant être intégrés depuis la vue « A
intégrer ».
Pour intégrer directement des équipements :
1. Cochez la case située au début de la ligne des équipements que vous souhaitez intégrer.
2. Cliquez sur le bouton « Intégrer ». Les équipements sont alors intégrés au sein de WALLIX
Bastion et peuvent être gérés depuis la page « Équipements » du menu « Cibles ».
Note :
Le statut de l'équipement est automatiquement positionné à « Intégré » sur l'onglet
« Général » (accessible depuis la page « Équipements » du menu « Cibles »).
Pour modifier les propriétés d'un équipement avant de procéder à l'intégration :
1. Cochez la case située au début de la ligne de l'équipement que vous souhaitez intégrer.
2. Cliquez sur les données dans la colonne « Nom » puis modifier les données souhaitées sur la
fenêtre « Équipement à intégrer ».
3. Cliquez sur le bouton « Valider et intégrer ». L'équipement est alors intégré au sein de WALLIX
Bastion et peut être géré depuis la page « Équipements » du menu « Cibles ».
Note :
Le statut de l'équipement est automatiquement positionné à « Intégré » sur l'onglet
« Général » (accessible depuis la page « Équipements » du menu « Cibles »).
La page vous permet notamment :
221
• d'obtenir des informations sur les jobs associés en cliquant sur les données dans les colonnes
« Première découverte » et « Dernière découverte » : elles contiennent un lien d'accès à une page
dédiée. L'onglet « Général » affiche les propriétés de la configuration du scan, ainsi que le nombre
d'équipements découverts en correspondance avec les filtres du scan. L'onglet « Résultats
bruts » liste l'ensemble des ressources découvertes au cours du job.
• de masquer les équipements non pertinents, si nécessaire. Pour ce faire, sélectionnez les
équipements souhaités en cochant la case située en début de ligne, puis cliquez sur le bouton
« Masquer ». Les équipements correspondants sont alors listés sur la vue « Masqués ». Ils
peuvent être de nouveau affichés sur la vue « A intégrer » en cliquant sur le bouton « Afficher ».
Les équipements masqués peuvent également être intégrés, si nécessaire, en cliquant sur le
bouton « Intégrer ».
222
Chapitre 11. Gestion des mots de passe

Avertissement :
Le menu « Gestion des mots de passe » et l'entrée « Mots de passe » du menu «
Mes autorisations » peuvent être utilisés lorsque la fonctionnalité WALLIX Password
Manager est associée à votre clé de licence (voir Section 5.2, « WALLIX Password
Manager », page 25).
11.1. Autorisations de l'utilisateur sur les mots

de passe
Sur la page « Mots de passe » du menu « Mes autorisations », l'utilisateur peut visualiser la liste
des comptes cibles pour lesquels il/elle est autorisé(e) à emprunter les accréditations.
Pour chaque compte, l'utilisateur a la possibilité d'effectuer les actions suivantes :
• cliquer sur « Afficher » au début de la ligne afin d'afficher les accréditations du compte
concerné sur une autre page. Dans ce cas, le verrouillage du compte a été désactivé au niveau
de la politique d'emprunt associée à ce compte : plusieurs utilisateurs peuvent accéder aux
accréditations au même moment.
• cliquer sur « Emprunter » au début de la ligne afin d'afficher les accréditations du compte
concerné sur une autre page. Dans ce cas, le verrouillage du compte a été activé au niveau de
la politique d'emprunt associée à ce compte : seul cet utilisateur peut accéder aux accréditations
à cet instant. Pour plus d'informations, voir Section 10.8, « Politiques d'emprunt », page 214.
Important :
Si une approbation n'est pas nécessaire pour autoriser l'accès aux accréditations
ou bien si elle a été acceptée par les approbateurs, l'utilisateur a directement
accès à ces données. Sinon, un message d'erreur s'affiche et l'utilisateur
doit formuler une demande pour obtenir l'accès aux accréditations. Pour plus
d'informations, voir Section 11.1.1, « Accès aux mots de passe via une procédure
d'approbation », page 224.
Lorsqu'un changement de mot de passe est en cours, il n'est pas possible d'emprunter
et donc d'afficher les accréditations du compte concerné. Un message d'erreur s'affiche
alors pour informer l'utilisateur que le compte est temporairement indisponible pour
l'opération d'emprunt des accréditations.
• cliquer sur « Emprunter à distance » au début de la ligne afin d'afficher les accréditations du
compte de coffre-fort externe concerné sur une autre page.
• identifier le compte verrouillé suite à un emprunt des accréditations en cours. Dans ce cas,
aucune action ne peut être effectuée jusqu'à ce que ce compte soit déverrouillé.
• envoyer une demande aux approbateurs pour accéder aux accréditations du compte en cliquant
sur « Demander » dans la colonne « Approbation » à la fin de la ligne. Pour plus d'informations,
voir Section 11.1.1, « Accès aux mots de passe via une procédure d'approbation », page 224.
Lorsque l'utilisateur a accès à la page affichant les accréditations du compte, il/elle peut visualiser :
223
• le nom du compte en cours d'emprunt mentionné au-dessus du cadre,

• l'identifiant du compte,
• les accréditations du compte, à savoir :
– le mot de passe si celui-ci a été défini pour le compte sur l'instance locale ou distante de
WALLIX Bastion,
– la clé privée SSH si celle-ci a été définie pour le compte sur l'instance locale ou distante de
WALLIX Bastion. Cette clé peut être téléchargée au format OpenSSH ou PuTTY et peut être
chiffrée avec une phrase de chiffrement renseignée dans le champ dédié.
– le certificat (c'est-à-dire la clé publique SSH signée) si le compte est défini sur un domaine
associé à une Autorité de Certification. Ce certificat signé peut être téléchargé au format
OpenSSH ou ssh.com.
Sur la page affichant les accréditations du compte, l'utilisateur peut également :
• cliquer sur le bouton « Restituer » pour mettre un terme à l'emprunt. L'utilisateur est alors redirigé
vers la page listant les comptes cibles autorisés. Si le verrouillage a été activé dans la politique
d'emprunt associée à ce compte, cette action de restitution déverrouille le compte. Pour plus
d'informations, voir Section 10.8, « Politiques d'emprunt », page 214.
• cliquer sur le bouton « Étendre l'emprunt » si une extension de la durée d'emprunt a été définie
dans la politique d'emprunt associée à ce compte. Dans le cas contraire, ce bouton n'est pas
affiché sur cette page. Cette action permet de prolonger l'emprunt et peut donc être effectuée
plusieurs fois tant que la durée maximum n'a pas été atteinte. Pour plus d'informations, voir
Section 10.8, « Politiques d'emprunt », page 214.
Lorsque le verrouillage du compte a été activé dans la politique d'emprunt associée à ce compte,
ce dernier reste verrouillé pendant la durée définie dans cette même politique. Il est alors
nécessaire de cliquer sur le bouton « Restituer » pour déverrouiller le compte avant la fin de la
durée d'emprunt. Néanmoins, le compte est automatiquement restitué à la fin de cette durée et
l'utilisateur est alors redirigé vers la page listant les comptes cibles autorisés. Le temps restant
avant la restitution automatique est affiché sous les accréditations. Pour plus d'informations, voir
Section 10.8, « Politiques d'emprunt », page 214.
11.1.1. Accès aux mots de passe via une procédure

d'approbation
Si une procédure d'approbation a été définie pour autoriser l'accès aux accréditations de la cible,
l'utilisateur peut notifier les approbateurs d'une demande d'accès en cliquant sur « Demander »
dans la colonne « Approbation ». La page « Demande d'approbation » s'affiche alors et une date
et une heure de début ainsi qu'une durée doivent être renseignées. Un commentaire pour saisir
un motif concernant la demande d'approbation ainsi qu'une référence peuvent être renseignés
respectivement dans les champs « Commentaire » et « Référence du ticket », si les options
correspondantes ont été activées lors de la définition de l'autorisation. Dans le cas contraire,
ces deux champs ne sont pas affichés. Pour plus d'informations, voir Section 14.7, « Procédure
Lorsque la requête est formulée, l'utilisateur est redirigé sur la page « Mots de passe » et il/elle
peut visualiser le statut des demandes d'approbation envoyées dans le tableau en bas de la page.
• la cible pour laquelle la demande est formulée,
224
• la date et l'heure de début de la demande,

• la durée de la demande,
• la référence du ticket associé à la demande,
• le quorum actuel,
• le statut de la demande,
• les réponses des approbateurs.
L'utilisateur peut cliquer sur l'icône bloc-notes au début de la ligne pour obtenir une vue détaillée
de la demande. Le bouton « Annuler la demande » sur la page permet d'annuler les demandes
encore valides.
Note :
Un script peut être appelé lors de la création de la demande d'approbation et dans la
plage de la durée de la demande, pour gérer l'approbation dans un système externe de
gestion de ticket. Pour cela, le chemin vers ce script doit être renseigné dans le champ
« Ticketing interface path » depuis « Configuration » > « Options de configuration » >
« Global ».
Le script est alors systématiquement appelé même si un numéro de ticket n'est pas
renseigné dans le champ « Ticket ». Lorsque le script retourne un numéro de ticket,
attendu au format : « ticket=1234 », alors WALLIX Bastion prend en compte ce dernier
et non pas celui renseigné dans le champ « Ticket ».
Figure 11.1. Menu « Mes autorisations » - Page « Mots de passe »
11.2. Plugins de changement des mots de passe

Sur la page « Plugins chgt mot de passe » du menu « Gestion des mots de passe », vous pouvez
visualiser la liste des plugins configurés au sein de WALLIX Bastion ainsi que les changements
d'accréditations supportés (mot de passe ou clé SSH) pour chaque type de domaine.
Un plugin de changement de mot de passe peut être sélectionné lors de la création/modification

d'un domaine global ou local (voir Section 10.3, « Domaines », page 166) et plusieurs paramètres
peuvent être définis en fonction du plugin choisi.
225
Figure 11.2. Page « Plugins de changement de mot de passe »
11.2.1. Matrice des plugins

Les deux tableaux suivants recensent les principales caractéristiques du changement
d'accréditation pour chaque plugin.
Le Tableau 11.1, « Matrice des plugins - Partie 1 », page 227, répertorie les plugins suivants :
• Cisco,
• Dell iDRAC,
• Fortinet FortiGate,
• IBM 3270,
• Juniper SRX,
• LDAP et
• MySQL.
226
Nom du Version N° de Changement du Changement Clé SSH et/ou Clé d'hôte Compte Qui est le compte
plugin du port TCP mot de passe de la clé SSH certificat SSH partagée administrateur administrateur ?
plugin sur domaine sur domaine supportés ? avec les requis sur le
global ou local ? global ou proxies ? domaine ?
local ?
Cisco 1.0.2 22 Global/Local à - - Non Non Utilisateur avec les
un équipement droits « superuser » /
compte administrateur
défini sur l'équipement
Dell 1.1 22 Global/Local à - - Non Non Utilisateur root avec les
iDRAC un équipement privilèges du compte
« Administrateur »
Fortinet 1.0 22 Global/Local à Local à un Clé Oui Oui Compte « admin »
FortiGate un équipement équipement avec le profil de compte

uniquement « super_admin »
227
IBM 1.0.0 623 Local à un - - Non Non Utilisateur habilité
3270 équipement à changer les
uniquement mots de passe
Juniper 1.0 22 Local à un - - Non Non Utilisateur « admin »
SRX équipement avec les privilèges
uniquement « super-user »
LDAP 1.0 389 Global/Local à - - Non Non Utilisateur habilité
un équipement à changer les
mots de passe
MySQL 1.0.3 3306 Global/Local à - - Non Non Compte super utilisateur
un équipement et avec tous les privilèges
une application
Tableau 11.1. Matrice des plugins - Partie 1
Le Tableau 11.2, « Matrice des plugins - Partie 2 », page 229, répertorie les plugins suivants :
• Oracle,
• Palo Alto PA-500,
• Unix,
• Windows et
• WindowsService.
228
Nom du Version N° de Changement du Changement Clé SSH et/ou Clé d'hôte Compte Qui est le compte
plugin du port TCP mot de passe de la clé SSH certificat SSH partagée administrateur administrateur ?
plugin sur domaine sur domaine supportés ? avec les requis sur le
global ou local ? global ou proxies ? domaine ?
local ?
Oracle 1.0.2 1521 Global/Local à - - Non Non Utilisateur avec le
un équipement et privilège système
une application « ALTER USER »
Palo 1.0 22 Local à un - - Non Non Compte administratif
Alto équipement avec les privilèges
PA-500 uniquement super utilisateur
Unix 1.1.1 22 Global/Local à Global/Local à Clé et certificat Oui Non Compte root
un équipement un équipement avec UID=« 0 »
Windows 1.0.1 445 Global/Local à - - Non Non Compte administrateur

un équipement local ou compte de
229
domaine avec le droit
« Reset password »
paramétré sur les autres
comptes du domaine
Windows 1.0 5985 et/ Global/Local à - - Non Oui Compte administrateur
Service ou 5986 un équipement avec la gestion à
distance (WinRM) activée
Tableau 11.2. Matrice des plugins - Partie 2
11.2.2. Plugin Cisco
Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine global ou local
(voir Section 10.3, « Domaines », page 166) sont les suivants :
• Hôte : nom d'hôte ou adresse IP de l'équipement. Ce paramètre est uniquement requis pour un
domaine global.
• Port : numéro du port de l'équipement (port SSH par défaut : 22),
• Mot de passe de enable : mot de passe d'élévation de privilèges pour la commande « enable
». Ce paramètre est requis.
11.2.3. Plugin Dell iDRAC

domaine global.
• Index : index du compte à privilèges. Par défaut, il correspond à l'index 2. Ce paramètre est requis.
• Version iDRAC : version de l'équipement. Par défaut, elle correspond à Dell iDRAC8. Ce
paramètre est requis.
11.2.4. Plugin Fortinet FortiGate

domaine global.
• Configuration : chaîne de caractères référençant la section de la configuration. Par défaut, seule
la configuration « System admin » est actuellement prise en charge.
Avertissement :
Le compte administrateur est obligatoire sur le domaine local pour ce plugin. Ce compte
doit être défini dans un premier temps sur le domaine depuis la zone « Comptes du
domaine » sur la page récapitulative du domaine, une fois l'étape de création du domaine
effectuée. Pour plus d'informations, voir Section 10.3.4, « Ajouter un compte sur un
domaine global ou local », page 170. Lorsque l'option « Activer le changement de mot de
passe » a été cochée sur la page de modification du domaine, sélectionnez ce compte
depuis la liste du champ « Compte administrateur » avant de sélectionner le plugin
Fortinet FortiGate dans le champ « Plugin de changement de mot de passe ».
11.2.5. Plugin IBM 3270

Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine local à un
équipement uniquement (voir Section 10.3, « Domaines », page 166) sont les suivants :
• Port : numéro du port du système (port 3272 sur TLS par défaut : 623). Ce paramètre est requis.
230
• Scénario : scénario au format texte lancé par le plugin pour changer les mots de passe. Ce
paramètre est requis.
Ce scénario comprend les commandes suivantes et accepte également les commentaires et les
lignes vides :
• EXPECT : s'attend à recevoir une chaîne de caractères spécifique à une ligne donnée qui doit
être absolue, en partant de la ligne 1 en haut du terminal ;
• IF EXPECT/ELSE/FI : s'attend à recevoir une chaîne de caractères spécifique à une ligne
donnée qui doit être absolue, en partant de la ligne 1 en haut du terminal. Si la chaîne est trouvée,
alors la condition dans l'élément du bloc TRUE est exécutée. Dans le cas contraire, la condition
dans l'élément du bloc ELSE est exécutée si existante.
• MOVE_TO : déplace le curseur à une position donnée, en partant de la ligne et de la colonne 1
en haut du terminal (par exemple, la commande MOVE_TO:5:18 déplace le curseur à la ligne
5, colonne 18) ;
• PUT : écrit une chaîne de caractères spécifique à la position du curseur ;
• SEND_ENTER | SEND_PF3 | SEND_PF4 | SEND_PF5 | SEND_PF6 | SEND_PF7 | SEND_PF8 : ces
commandes renvoient la touche correspondante (par exemple, ENTER ou PF7) au terminal.
• LOG_ERROR: écrit le message renseigné en paramètre dans les journaux d'erreurs ;
• LOG_SCREEN: écrit l'écran entier du terminal 3270 ainsi que la position du curseur dans les
journaux d'erreurs
• QUIT: termine la session. Le mot de passe est considéré comme inchangé.
Les variables suivantes sont interprétées à l'exécution :
• $admin_login : envoie l'identifiant administrateur

• $admin_password : envoie le mot de passe administrateur
• $account : envoie le nom du compte cible dont le mot de passe est en cours de changement
• $old_password : envoie l'ancien mot de passe
• $new_password : envoie le nouveau mot de passe. Le mot de passe est considéré comme
changé si le script du scénario s'est correctement exécuté.
Exemple de scénario :
Un émulateur AS/390 prenant en charge les fonctions du terminal 3270 est disponible ici : http://
www.canpub.com/teammpg/de/sim390/.
#######
# Script for MUSIC AS/390 emulator
# with TN3270 support
#######
####
# Welcome screen
EXPECT:16:Multi-User System for
SEND_ENTER
####
# Login screen
EXPECT:3:MUSIC Userid:
PUT:$account
MOVE_TO:5:18
PUT:$old_password
231
SEND_ENTER
####
# Login errors
IF EXPECT:7:Password incorrect
LOG_ERROR:Bad password !
QUIT
FI
IF EXPECT:7:Userid is not authorized

LOG_SCREEN
LOG_ERROR:Bad username
QUIT
FI
####
#
EXPECT:1:Userid last signed
SEND_ENTER
####
# Change password
EXPECT:12:Change password
PUT:7
SEND_ENTER
EXPECT:17:Enter your current MUSIC sign-on password

PUT:$old_password
SEND_ENTER
EXPECT:19:Enter a new MUSIC sign-on password

PUT:$new_password
SEND_ENTER
EXPECT:23:Please enter the new password again

PUT:$new_password
SEND_ENTER
####
# End of changing password
IF EXPECT:4:SELECT OPTION
PUT:X
ELSE
# Quit with an error
LOG_ERROR:Password has not been changed
# Print the terminal screen to syslog
LOG_SCREEN
QUIT
FI
# End of script. If reached, password has been successfully changed
Avertissement :
Le compte administrateur est obligatoire sur le domaine local pour ce plugin lorsque les
variables $admin_login et $admin_password sont renseignées dans le scénario. Ce
232
compte doit être défini dans un premier temps sur le domaine depuis la zone « Comptes
du domaine » sur la page récapitulative du domaine, une fois l'étape de création du
domaine effectuée. Pour plus d'informations, voir Section 10.3.4, « Ajouter un compte
sur un domaine global ou local », page 170. Lorsque l'option « Activer le changement
de mot de passe » a été cochée sur la page de modification du domaine, sélectionnez
ce compte depuis la liste du champ « Compte administrateur » avant de sélectionner le
plugin IBM 3270, dans le champ « Plugin de changement de mot de passe ».
11.2.6. Plugin Juniper SRX

Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine local à un
équipement uniquement (voir Section 10.3, « Domaines », page 166) sont les suivants :
• Port : numéro du port de l'équipement (port SSH par défaut : 22).
11.2.7. Plugin LDAP
• Hôte : nom d'hôte ou adresse IP du serveur. Ce paramètre est requis.

• Port : numéro du port du serveur (port par défaut : 389). Ce paramètre est requis.
• Chiffrement : protocole de chiffrement à utiliser : STARTTLS (valeur par défaut), TLS ou Aucun.
Ce paramètre est requis.
• Active Directory : option à sélectionner lorsque le changement de mot de passe est associé à
un annuaire Active Directory.
• Timeout réseau : temps d'attente maximum exprimé en secondes pour une tentative de
connexion au serveur.
• DN de bind administrateur | Mot de passe administrateur : DN de bind et mot de passe de
l'administrateur autorisé à se connecter à l'annuaire LDAP ou Active Directory. Ces paramètres
sont requis.
exemple de DN de bind LDAP : « CN=administrator, DC=mycompany, DC=com » ;
exemple de DN de bind Active Directory : « administrator@mycompany.com »
Avertissement :
Si un compte administrateur est défini sur le domaine pour ce plugin, alors les
paramètres de ce compte sont utilisés pour la connexion à l'annuaire LDAP ou Active
Directory. Ceux définis dans les champs « DN de bind administrateur » et « Mot de
passe administrateur » ne sont alors pas pris en considération.
Ce compte doit être défini dans un premier temps sur le domaine depuis la zone
« Comptes du domaine » sur la page récapitulative du domaine, une fois l'étape de
création du domaine effectuée. Pour plus d'informations, voir Section 10.3.4, « Ajouter
un compte sur un domaine global ou local », page 170. Lorsque l'option « Activer le
changement de mot de passe » a été cochée sur la page de modification du domaine,
sélectionnez ce compte depuis la liste du champ « Compte administrateur » avant de
sélectionner le plugin LDAP, dans le champ « Plugin de changement de mot de passe ».
• Attribut mot de passe : attribut du mot de passe pour le changement de mot de passe. Par défaut,
il correspond à l'attribut LDAP « userPassword ». Ce paramètre est requis.
233
• Format DN utilisateur : syntaxe du DN de l'utilisateur utilisé pour renseigner le compte

concerné par le changement de mot de passe. Par défaut, cela correspond à la chaîne « CN=
${USER},DC=dev,DC=example,DC=com » où le paramètre « ${USER} » sera remplacé par
l'identifiant. Ce format est également utilisé pour le compte administrateur éventuellement défini
sur le domaine pour ce plugin. Ce paramètre est requis.
• Paramètres personnalisés : attributs personnalisés supplémentaires à renseigner pour le
changement de mot de passe. Ces paramètres peuvent être requis par le serveur et dépendent
de la configuration de ce dernier. Chaque association « paramètre=valeur » doit être renseignée
sur une seule ligne.
11.2.8. Plugin MySQL
• Hôte : nom d'hôte ou adresse IP de la base de données. Ce paramètre est uniquement requis
pour un domaine global.
• Port : numéro du port de la base de données.
11.2.9. Plugin Oracle
Ce plugin permet le changement du mot de passe de la base de données Oracle.
• Hôte : nom d'hôte ou adresse IP de la base de données. Ce paramètre est uniquement requis
pour un domaine global.
• Port : numéro du port de la base de données,
• Nom du service : nom du service de la base de données (SID). Ce paramètre est requis.
• Mode admin : mode de connexion pour le compte administrateur. Le mode approprié peut être
sélectionné à partir de la liste de valeurs. Ce paramètre est utilisé pour la mise en place de la
réconciliation. Lorsque la réconciliation a lieu, le changement de mot passe est effectué et le
compte verrouillé est débloqué.
11.2.10. Plugin Palo Alto PA-500

Le paramètre à définir pour ce plugin lors de la création/modification d'un domaine local à un
équipement uniquement (voir Section 10.3, « Domaines », page 166) est le suivant :
• Port : numéro du port du serveur (port SSH par défaut : 22).
11.2.11. Plugin Unix
• Hôte : nom d'hôte ou adresse IP du système. Ce paramètre est uniquement requis pour un
domaine global.
• Port : numéro du port du système (port SSH par défaut : 22),
234
• Mot de passe root : mot de passe pour la connexion avec les privilèges « root ».
Dans certains cas, le compte root ne peut pas être en mesure de se connecter à la cible afin
d'effectuer un changement de mot de passe via SSH pour des raisons de sécurité. Le plugin
Unix utilise alors le compte administrateur paramétré sur le domaine pour établir la connexion à
la cible et utilise le mot de passe root avec la commande « su ».
Lorsque la réconciliation est requise, l'authentification du compte administrateur peut être

effectuée par mot de passe ou clé SSH.
11.2.12. Plugin Windows
• Adresse du contrôleur de domaine : nom d'hôte ou adresse IP du contrôleur de domaine. Ce

paramètre est uniquement requis pour un domaine global.
• Identifiant administrateur et mot de passe administrateur : identifiant et mot de passe d'un compte
à privilèges autorisé à changer les mots de passe d'autres comptes. Ces paramètres sont
optionnels mais veuillez noter que WALLIX Bastion ne pourra pas définir le nouveau mot de
passe d'un compte si l'ancien n'existe pas. Ces paramètres correspondent aux accréditations
du compte sélectionné dans le champ « Compte administrateur » (voir Section 10.3,
« Domaines », page 166) sur la page du domaine et sont utilisés pour la mise en place de la
réconciliation.
Afin de permettre le bon déroulement du changement de mot de passe sur un serveur Windows
Server autonome (« standalone »), ce compte à privilèges doit être inclus dans le groupe
administrateurs.
Afin de permettre le bon déroulement du changement de mot de passe sur un serveur

Windows Server configuré avec Active Directory, ce compte à privilèges doit avoir le
droit « Reset password » paramétré sur les autres comptes du domaine. Pour plus
d'informations sur la délégation de droit pour effectuer le changement des mots de passe des
comptes utilisateurs Active Directory, voir https://www.petri.com/delegate-permission-reset-ad-
user-account-passwords.
Avertissement :
Afin de permettre le bon déroulement du changement automatique de mot de passe au
sein de WALLIX Bastion, nous vous recommandons vivement de modifier la valeur définie
par défaut pour la durée de vie minimale du mot de passe, au niveau des paramètres de
la politique de mot de passe de Windows. Cette valeur devrait être paramétrée à « 0 » :
• sur un serveur Windows Server autonome (« standalone »), la durée de vie minimale

du mot de passe peut être changée dans les paramètres de sécurité de Windows pour
les comptes locaux, au niveau de la politique locale via « Stratégie de sécurité locale »
> « Stratégies de comptes » > « Stratégie de mot de passe » > « Durée de vie minimale
du mot de passe » ;
• sur un serveur Windows Server configuré avec Active Directory, la durée de vie
minimale du mot de passe peut être changée dans les paramètres de sécurité de
Windows pour les comptes de domaines, au niveau des stratégies de groupe via «
Éditeur de gestion des stratégies de groupe » > « Configuration ordinateur » > «
Paramètres Windows » > « Paramètres de sécurité » > « Stratégies de comptes » > «
Stratégie de mot de passe » > « Durée de vie minimale du mot de passe ».
235
Par ailleurs, afin d'éviter des erreurs liées au délai d'attente (« timeout ») lors du
changement de mot de passe sur une cible sous Windows Server 2012, nous vous
recommandons d'activer la règle « Netlogon Service(NP-In) », au niveau des paramètres
avancés du pare-feu Windows.
11.2.13. Plugin WindowsService
Ce plugin permet la propagation automatique d'un nouveau mot de passe sur un service Windows
suite au changement de mot de passe d'un compte de service. Pour plus d'informations sur la
gestion des comptes de service, voir Section 10.4.1.4, « Définir des références pour la gestion des
comptes de service », page 180.
Avertissement :
Afin de permettre le bon déroulement de la propagation de mot de passe sur un service
Windows, l'installation de PowerShell 3.0 ou supérieur et l'activation de WinRM sont
requises sur le serveur Windows.
Les paramètres à définir pour ce plugin lors de la création/modification d'un domaine global (voir
Section 10.3, « Domaines », page 166) sont les suivants :
• Nom : nom du service Windows dont le mot de passe doit être modifié. Ce paramètre est requis.
• Transport : protocole de transport utilisé pour s'authentifier au serveur WinRM : Kerberos (valeur
par défaut), CredSSP ou NTLM. Ce paramètre est requis.
Avertissement :
Si le protocole de transport Kerberos est défini pour ce plugin, alors les champs
« Royaume Kerberos », « KDC Kerberos » et « Port Kerberos » doivent être renseignés
sur la page du domaine global du compte administrateur sélectionné lors de la définition
de la référence. Pour plus d'informations, voir Section 10.3.1, « Ajouter un domaine
global », page 167.
• Redémarrer le service : option à cocher si le service Windows doit être redémarré après
le changement de mot de passe. Lorsque le service Windows est déployé sur plusieurs
serveurs Windows, ce service sera redémarré successivement sur chacun des serveurs après
le changement de mot de passe, afin d'éviter une interruption du service.
11.3. Politiques de changement des mots de

passe
Une politique de changement des mots de passe détermine les paramètres du changement des
mots de passe (à savoir : mot de passe, clé SSH ou les deux) et peut être sélectionnée lors de
la création/modification d'un domaine global ou local. Pour plus d'informations, voir Section 10.3,
« Domaines », page 166.
Avertissement :
Tous les mots de passe pour lesquels le changement automatique est configuré, comme
indiqué Section 10.4.5, « Changer automatiquement les accréditations pour un ou
236
plusieurs comptes », page 186, seront remplacés. Il vous appartient de vérifier que les
e-mails contenant les nouveaux mots de passe ont bien été reçus et qu’ils peuvent être
déchiffrés. Nous vous recommandons d'effectuer un test du processus en vous basant
sur un compte non-administrateur unique.
Les performances de WALLIX Bastion peuvent être affectées par un nombre important
de changements de mot de passe. Ce nombre peut être paramétré dans le champ
« Credential change thread pool dimension », accessible depuis « Configuration » >
« Options de configuration » > « Global » > section « Main ». Ce champ est affiché lorsque
la case « Options avancées » située en haut à droite de la page est cochée et doit être
UNIQUEMENT modifié sur les instructions de l’Équipe Support WALLIX !
Sur la page « Politiques changement de mot de passe » du menu « Gestion des mots de passe »,
vous pouvez lister, ajouter, modifier ou supprimer des politiques de changement des mots de passe.
Avertissement :
Une politique de changement des mots de passe par défaut appelée « default » est
configurée au sein de WALLIX Bastion. Cette politique ne peut être ni supprimée ni
modifiée.
11.3.1. Ajouter une politique de changement des mots de

passe
Sur la page « Politiques changement de mot de passe », cliquez sur « + Ajouter » pour afficher
la page de création de la politique.
• le nom de la politique,
• la périodicité du changement, c'est-à-dire la fréquence à laquelle le changement des mots de
passe est automatiquement déclenché. Le format du champ « Périodicité du changement » doit
respecter la syntaxe cron. Ce champ prend en charge la syntaxe usuelle sur 5 champs <Minute>
<Hour> <Day_of_the_Month> <Month_of_the_Year> <Day_of_the_Week> et les
raccourcis du type @.
Par exemple, si ce champ est renseigné avec l'expression 0 0 * * * ou @daily, alors la tâche
de changement de mot de passe est exécutée chaque jour à minuit. Pour plus d'informations,
voir https://fr.wikipedia.org/w/index.php?title=Cron#CRON_expression.
en syntaxe cron.
• une liste déroulante permettant d'indiquer si la politique concerne un changement de mot de
passe, un changement de clé SSH ou encore un changement des deux (mot de passe et clé
SSH).
237
Lorsque la définition de la politique concerne un changement de mot de passe, la section

« Génération du mot de passe » devient accessible et recense les champs suivants :
• la longueur du mot de passe, c'est-à-dire le nombre de caractères que le mot de passe doit
comporter,
• le nombre de caractères ASCII non alphanumériques (ou caractères spéciaux) que le mot de
passe doit comporter,
• le nombre de minuscules que le mot de passe doit comporter,
• le nombre de majuscules que le mot de passe doit comporter,
• le nombre de chiffres que le mot de passe doit comporter,
• les caractères interdits dans le mot de passe. Lorsque vous avez saisi un caractère dans le
champ, cliquez sur « + » pour l'ajouter à la liste des caractères interdits. Une fois que le caractère
est ajouté, vous avez la possibilité de le supprimer de la liste en cliquant sur l'icône rouge « - ».
Lorsque la définition de la politique concerne un changement de clé SSH, la section « Génération

de la clé SSH » devient accessible et recense les champs suivants :
• une liste de valeurs permettant de sélectionner le type de clé SSH et,

• en fonction du type sélectionné, une liste de valeurs permettant d'indiquer la longueur de la clé.
Le tableau suivant récapitule les types de clés SSH et les tailles autorisées pour chaque type :
Type de clé Longueur autorisée

RSA 1024 bits | 2048 bits | 4096 bits | 8192 bits
DSA 1024 bits
ECDSA 256 bits | 384 bits | 521 bits
ED25519 N/A
Lorsque la définition de la politique concerne à la fois un changement de mot de passe et de clé

SSH, alors les deux sections deviennent accessibles et contiennent les champs décrits ci-dessus.
Figure 11.3. Page « Politiques de changement de mot de passe » en mode création
238
11.3.2. Modifier une politique de changement des mots de

passe
Sur la page « Politiques changement de mot de passe », cliquez sur un nom de politique
pour afficher la page de modification correspondante. Vous êtes invité(e) à modifier les données
renseignées précédemment.
Avertissement :
ne peuvent ni supprimer ni modifier une politique de changement des mots de passe.
11.3.3. Supprimer une politique de changement des mots de

passe
Sur la page « Politiques changement de mot de passe », sélectionnez une ou plusieurs politiques
à l’aide de la case à cocher située au début de la ligne, puis cliquez sur le bouton « Supprimer ».
Avertissement :
ne peuvent ni supprimer ni modifier une politique de changement des mots de passe.
11.4. Configuration du mode « bris de glace »

WALLIX Bastion intègre un mode « bris de glace » permettant à l'utilisateur d'obtenir les
accréditations des groupes de cibles du Bastion, à savoir : login, cn (« common name »), mots de
passe et clés SSH. Ceci peut s'avérer utile notamment dans le cas de l'indisponibilité du service
WALLIX Bastion.
Les accréditations du Bastion sont communiqués automatiquement à l'utilisateur chaque nuit à

02:34 dans le fuseau horaire de WALLIX Bastion (défini sur la page « Service de temps » du menu
« Système ») : il/elle reçoit un e-mail crypté contenant la liste de toutes les accréditations des
groupes de cibles du Bastion, dans le périmètre des limitations définies pour son profil.
Par ailleurs, l'utilisateur reçoit un e-mail crypté contenant le nouveau mot de passe et/ou la
nouvelle clé SSH du compte cible à chaque changement (automatique ou manuel), en fonction
des politiques de changement de mot de passe et d'emprunt associées au compte. Pour plus
d'informations, voir Section 10.4.5, « Changer automatiquement les accréditations pour un ou
plusieurs comptes », page 186 et Section 10.4.6, « Changer manuellement les accréditations d'un
compte cible donné », page 186.
Important :
L'utilisateur reçoit ces notifications lorsque les conditions suivantes sont réunies :
• une clé publique GPG est déclarée pour l'utilisateur (voir Section 7.3, « Paramétrer les
préférences utilisateur », page 42),
239
• l'utilisateur a le droit d'obtenir la liste de toutes les accréditations de WALLIX Bastion :

le droit « Exécuter » pour la fonctionnalité « Récupération du mot de passe » est
paramétré au niveau de son profil (voir Section 9.3, « Profils utilisateurs », page 95),
• le changement (automatique ou manuel) doit être activé :
– au niveau du domaine : une politique de changement de mot de passe et un plugin
de changement de mot de passe doivent être associés au domaine. Pour plus
d'informations, voir Section 10.3, « Domaines », page 166, Section 11.3, « Politiques
de changement des mots de passe », page 236 et Section 11.2, « Plugins de
changement des mots de passe », page 225.
– au niveau du compte cible : une politique d'emprunt doit être associée au compte et le
changement automatique du mot de passe et/ou de la clé SSH doit être activé, le cas
échéant. Pour plus d'informations, voir Section 10.4, « Comptes cibles », page 177
et Section 10.8, « Politiques d'emprunt », page 214.
Note :
L'e-mail contenant la liste de toutes les accréditations peut être décrypté à l'aide d'un outil
compatible avec le format PGP. Il est nécessaire de décrypter la pièce jointe séparément
puis d'utiliser ensuite un outil compatible avec le format CSV ou JSON, lorsque le fichier
joint contient une extension de ce type.
Les notifications relatives à des changements successifs d'accréditations lors de la

restitution et les notifications non envoyées pour cause de défaillances réseau sont
regroupées afin d'être envoyées dans le prochain e-mail. Cet envoi est effectué dans un
intervalle de 15 minutes.
240
Chapitre 12. Gestion des sessions

Avertissement :
Le menu « Gestion des sessions » et l'entrée « Sessions » du menu « Mes autorisations »
peuvent être utilisés lorsque la fonctionnalité WALLIX Session Manager est associée à
votre clé de licence (voir Section 5.1, « WALLIX Session Manager », page 25).
Un délai de latence peut s'observer lors de l'affichage de la page « Sessions » dans
le menu « Mes autorisations » en raison d'un nombre important de sessions présentes
dans le Bastion. Afin d'améliorer le chargement de la page, il est nécessaire de décocher
l'option « Session last connection date » accessible depuis « Configuration » > « Options
de configuration » > « GUI (Legacy) » > section « main ». Il est à noter que lorsque l'option
« Session last connection date » est décochée, les données figurant dans la colonne
« Dernière connexion » ne sont plus affichées.
12.1. Autorisations de l'utilisateur sur les

sessions
Sur la page « Sessions » du menu « Mes autorisations », l'utilisateur peut visualiser la liste des
cibles auxquelles il/elle est autorisé(e) à se connecter.
Sur chaque ligne, l'utilisateur peut accéder à la cible en cliquant sur l'une des icônes suivantes :
• : cette icône permet à l'utilisateur de télécharger un fichier de configuration RDP ou un script

shell avec la commande SSH (WALLIX-PuTTY sous Windows ou SSH sous d'autres systèmes)
qu'il/elle peut sauvegarder pour établir une connexion depuis un client RDP ou SSH (suffixe du
nom de fichier .puttywab ou .xsh ou .rdp sous Windows et .sh ou .remmina sous Linux). Dans ce
cas, le mot de passe WALLIX Bastion est requis pour la connexion.
• : (« Accès immédiat (mot de passe valable une fois, limité dans le temps) ») : cette icône
permet à l'utilisateur d'ouvrir le fichier pour établir une connexion immédiate depuis un client
RDP (suffixe du nom de fichier .rdp sous Windows et .sh ou .remmina sous Linux). Dans ce cas,
aucun mot de passe n'est requis mais l'accès est autorisé pour une durée limitée. Cette icône
est également affichée pour une connexion à une application.
• : (« Accès immédiat avec WALLIX-PuTTY (mot de passe valable une fois, limité dans le
temps) ») : cette icône permet à l'utilisateur d'ouvrir le fichier pour établir une connexion immédiate
depuis un client SSH (suffixe du nom de fichier .puttywab ou .xsh sous Windows et .sh sous
Linux). Dans ce cas, aucun mot de passe n'est requis mais l'accès est autorisé pour une durée
limitée. Veuillez voir également Section 12.2, « Connexion à la cible en mode interactif pour les
protocoles SCP et SFTP », page 245 pour l'authentification SSH.
Note :
L'affichage des icônes et donc l'accès au fichier pour établir la connexion dépend du
paramétrage des types de connexions et de fichiers pour RDP et SSH en fonction des
systèmes d'exploitation, depuis « Configuration » > « Options de configuration » > « GUI
(Legacy) », au sein des champs suivants :
• « Rdp connection links » et « Ssh connection links »,

• « Rdp windows filetype » et « Rdp other os filetype »,
241
• « Ssh windows filetype » et « Ssh other os filetype ».
Lorsque l'autorisation concerne un service RAWTCPIP, seule l'application WALLIX-

PuTTY permet à l'utilisateur de télécharger ou d'ouvrir le fichier pour établir la connexion
(suffixe du nom de fichier .puttywab). Pour plus d'informations sur WALLIX-PuTTY, voir
Section 12.1.1, « Options spécifiques pour les sessions SSH », page 242.
Note :
Dans un processus de répartition de charge, il est possible de renseigner le FQDN ou
l'adresse IP de l'instance WALLIX Bastion vers laquelle l'utilisateur est redirigé lors de
l'accès à la cible, depuis « Configuration » > « Options de configuration » > « GUI
(Legacy) » :
• dans le champ « Connection file fqdn standard » : lorsqu'un fichier de configuration est
téléchargé pour établir une connexion à la cible,
• dans le champ « Connection file fqdn otp » : lorsqu'un accès immédiat à la cible est
effectué avec l'utilisation du mot de passe valable une fois et limité dans le temps (mode
« one-time password »).
12.1.1. Options spécifiques pour les sessions SSH

Le type de fichier téléchargeable depuis les plates-formes Windows pour les sessions SSH peut
être sélectionné depuis « Configuration » > « Options de configuration » > « GUI (Legacy) » puis,
sélectionnez la valeur souhaitée dans « Ssh windows filetype ».
Pour pouvoir utiliser les fichiers .puttywab sous Windows, il faut auparavant télécharger et
installer l'application WALLIX-PuTTY à partir du lien « Télécharger WALLIX-PuTTY » affiché
dans le haut de la page. Ce lien est uniquement affiché lorsque le poste de travail est sous
un environnement Windows et si l'utilisateur dispose également d'au moins une autorisation
sur une cible SSH. L'installation prend en charge l'association des fichiers afin que l'application
soit démarrée automatiquement. L'installation ne nécessite pas de privilèges d'administration.
Cependant l'installation est uniquement fonctionnelle pour l'utilisateur connecté et non pour
l'ensemble des utilisateurs du poste de travail.
12.1.2. Options spécifiques pour les sessions RDP

Le lien « Télécharger le fichier de configuration RDP » affiché dans le haut de la page permet
à l'utilisateur de télécharger un fichier de configuration RDP avec le mode RemoteApp activé.
L'utilisateur peut alors sauvegarder le fichier pour établir une connexion à une application en mode
interactif via le sélecteur du client RDP. Ce lien est uniquement affiché lorsque le mode RemoteApp
est activé et si l'utilisateur dispose également d'au moins une autorisation sur une application. Le
mode RemoteApp est activé par défaut lors de la connexion à des applications (telles que définies
depuis « Cibles » > « Applications »). Ce paramètre peut être géré depuis « Configuration » > «
Options de configuration » > « GUI (Legacy) » puis, cochez/décochez l'option « Rdp remote app
mode ».
La zone « Options » affichée sur la gauche, dans le haut de la page, permet de sélectionner
la résolution et la profondeur des couleurs de la fenêtre du client RDP. Les paramètres sont
sauvegardés pour le poste en cours d'utilisation. Ainsi, un utilisateur peut établir une connexion
RDP via un ordinateur de bureau ou un ordinateur portable avec des paramètres de résolution
différents pour chaque poste de travail.
242
Pour plus d'informations sur le mode RemoteApp, voir Section 10.2.2, « Configuration du lancement
de l'application en mode RemoteApp », page 153.
Avertissement :
Les sessions RemoteApp d'un utilisateur connecté simultanément à une ou plusieurs
applications sont dissociées par défaut lorsqu'elles sont consultées depuis les pages
« Sessions courantes » et « Historique des sessions » du menu « Audit ». Si l'option
« Rdp enable sessions split » (accessible depuis « Configuration » > « Options de
configuration » > « GUI (Legacy) » > section « main ») est décochée, il est possible
d'obtenir une vue superposée de ces sessions.
Le client Connexion Bureau à Distance (MSTSC) connecté à un serveur Windows
Server 2008 ou 2012 ne permet pas le partage de session entre plusieurs programmes
RemoteApp. Il y aura autant de sessions RDP créées que de programmes RemoteApp
lancés.
Des problèmes d'affichage ont été constatés sur le client Microsoft lors de l'utilisation
du mode RemoteApp en configuration multi-moniteurs. Des dysfonctionnements se
produisent lorsque le moniteur primaire n'est pas situé dans la partie supérieure gauche
de l'écran virtuel. La solution de contournement recommandée consiste à localiser le
moniteur primaire dans la partie supérieure gauche de l'écran virtuel. Voir https://
go.microsoft.com/fwlink/?LinkId=191444 pour plus d'informations sur l'écran
virtuel.
Par ailleurs, afin de permettre le support des glyphes entre un client iOS client et le proxy RDP
et afficher correctement le texte du sélecteur lors de la connexion aux sessions sur les appareils
mobiles, l'option « Bogus ios glyph support level » est cochée par défaut. Ce paramètre peut être
géré depuis « Configuration » > « Options de configuration » > « RDP proxy » > section « client ».
De plus, les caractères Unicode devant être supportés pour que le client Connexion Bureau à
Distance fonctionne sous iOS, l'option « Unicode keyboard event support » est cochée par défaut.
Ce paramètre peut être géré depuis « Configuration » > « Options de configuration » > « RDP
proxy » > section « globals ».
Le comportement du clavier étant différent pour les sessions VNC en fonction de l'environnement
du serveur cible, des options permettent de déclarer cet environnement afin de prendre en charge
le comportement correspondant. Ces options sont accessibles depuis la section « vnc », sur la
page de configuration de la politique de connexion définie sur le protocole VNC. Cette page est
accessible depuis le menu « Gestion des sessions » > « Politiques de connexion » :
• lorsque l'option « Server unix alt » est sélectionnée,

– le serveur cible sous un environnement Unix peut recevoir tous les caractères Unicode envoyés
par le client,
– le serveur cible sous un environnement Windows interdit tout caractère Unicode mais autorise
les caractères spéciaux avec la combinaison des touches AltGr+€.
• l'option « Server is macos » doit uniquement être sélectionnée pour prendre en charge les
spécificités du clavier propres aux anciennes versions des serveurs VNC Apple Mac OS. Il est à
noter que le clavier PC français (FR) est pris en charge pour la connexion à une cible VNC sous
un environnement Macintosh s'il est installé et sélectionné sur le serveur cible.
12.1.3. Accès aux sessions via une procédure d'approbation

Si une procédure d'approbation a été définie pour autoriser la connexion à la cible, l'utilisateur peut
notifier les approbateurs et obtenir l'accès à la cible en cliquant sur « Demander » dans la colonne
243
« Approbation ». La page « Demande d'approbation » s'affiche alors et une date et une heure de
début ainsi qu'une durée doivent être renseignées. Un commentaire pour saisir un motif concernant
la demande d'approbation ainsi qu'une référence peuvent être renseignés respectivement dans
les champs « Commentaire » et « Référence du ticket », si les options correspondantes ont été
activées lors de la définition de l'autorisation. Dans le cas contraire, ces deux champs ne sont pas
affichés. Pour plus d'informations, voir Section 14.7, « Procédure d'approbation », page 305.
Lorsque la requête est formulée, l'utilisateur est redirigé sur la page « Sessions » et il/elle peut
visualiser le statut des demandes d'approbation envoyées dans le tableau en bas de la page.

L'utilisateur peut cliquer sur l'icône bloc-notes au début de la ligne pour obtenir une vue détaillée
de la demande. Le bouton « Annuler la demande » sur la page permet d'annuler les demandes
encore valides.
Note :
Un script peut être appelé lors de la création de la demande d'approbation, au début et à la
fin de chaque session dans la plage de la durée de la demande, pour gérer l'approbation
dans un système externe de gestion de ticket. Pour cela, le chemin vers ce script doit
être renseigné dans le champ « Ticketing interface path » depuis « Configuration » > «
Options de configuration » > « Global ».
Le script est alors systématiquement appelé même si un numéro de ticket n'est pas
renseigné dans le champ « Ticket ». Lorsque le script retourne un numéro de ticket,
attendu au format : « ticket=1234 », alors WALLIX Bastion prend en compte ce dernier
et non pas celui renseigné dans le champ « Ticket ».
Lorsque ce script est appelé, il reçoit en paramètre le chemin vers un fichier contenant
toutes les informations sur la session.
Exemple des informations du fichier lors de la création de la demande d'approbation :
[request]
user=johndoe
target=target1@local@repo:SSH
date=2017-09-22 10:12:19
duration=300
ticket=1234
comment=I have to install patches
session_id=
session_start=0
session_end=0
target_host=
Exemple des informations du fichier au début de la session :
244
[request]
user=johndoe
date=2017-09-22 10:12:00
duration=300
ticket=1234
session_id=15ea8a529008635d5254006c3e07
session_start=2017-09-22 10:12:29
session_end=0
target_host=host1.mydomain.lan
Exemple des informations du fichier à la fin de la session :
[request]
user=johndoe
date=2017-09-22 10:12:00
duration=300
ticket=1234
session_id=15ea8a529008635d5254006c3e07
session_start=2017-09-22 10:12:30
session_end=2017-09-22 10:12:34
target_host=host1.mydomain.lan
Figure 12.1. Menu « Mes autorisations » - Page « Sessions »
12.2. Connexion à la cible en mode interactif

pour les protocoles SCP et SFTP
Les protocoles SCP et SFTP ne permettant pas l'authentification en mode interactif sur un compte
cible, il est alors nécessaire de rajouter des options spécifiques lors de la connexion primaire
(c'est-à-dire la connexion initiée entre l'utilisateur et WALLIX Bastion) pour obtenir des invites de
connexion sur la cible, sous la forme d'invites de commande ou boîtes de dialogue, en utilisant le
clavier interactif primaire (« keyboard interactive »). Ceci suppose que le client supporte la méthode
d'authentification par le clavier interactif (« keyboard interactive »).
Le point d'interrogation « ? » est un caractère interdit dans l'identifiant de l'utilisateur mais il peut
être utilisé comme séparateur pour indiquer des options (à droite) demandant explicitement une
invite pour saisir un identifiant et/ou mot de passe de connexion à la cible.
245
L'option « p » demande le mot de passe de la cible.
L'option « l » demande l'identifiant (ou login) de la cible.
Le point d'interrogation « ? » sans option demande par défaut le mot de passe de la cible.
Exemples :
Identifiant : “wabuser” : pas d'invite supplémentaire
Identifiant : “wabuser?” : invite de saisie du mot de passe de la cible
Identifiant : “wabuser?p” : invite de saisie du mot de passe de la cible
Identifiant : “wabuser?l” : invite de saisie de l'identifiant de la cible
Identifiant : “wabuser?lp” : invite de saisie de l'identifiant de la cible en premier, puis invite de

saisie du mot de passe de la cible.
Le mot de passe est requis lorsque la méthode d'authentification PASSWORD_INTERACTIVE a été

sélectionnée au niveau de la politique de connexion associée à la cible (pour plus d'informations,
voir Section 12.4, « Politiques de connexion », page 260).
12.3. Données d'audit
Le menu « Audit » permet à l'auditeur de visualiser les données d'audit de WALLIX Bastion et
notamment les historiques des connexions.
Un auditeur est un utilisateur qui a été désigné par un administrateur WALLIX Bastion avec le droit
d'audit : le droit « Afficher » pour la fonctionnalité « Audit session » est paramétré au niveau de son
12.3.1. Sessions courantes
Sur la page « Sessions courantes » du menu « Audit », l’auditeur peut visualiser la liste des
connexions actives au cours desquelles des sessions RDP ou SSH ont été initiées depuis WALLIX
Bastion et sont en cours. Il est à noter que les connexions actives sur l’interface Web et pour
lesquelles des sessions ne sont pas initiées ne sont donc pas représentées dans cette liste.
Note :
Le terme générique « connexion » sera utilisé dans cette section pour désigner
indifféremment les connexions SSH et RDP.
Dans le haut de la page, l'auditeur peut choisir d'activer/désactiver le rafraîchissement automatique

des données affichant les connexions courantes. Lorsque l'option correspondante est activée, il est
possible de déterminer la fréquence de ce rafraîchissement. Ceci peut notamment s'avérer utile
lors de la sélection des connexions actives à interrompre.
• l’utilisateur (désigné sous la forme : identifiant@machine(ip)),

• la cible accédée (désignée sous la forme : compte@équipement:service),
• l'hôte ou l'adresse IP de la cible,
• la nomenclature des protocoles source (RDP ou SSH) et de destination,
246
Note :
Des mots-clés spécifiques doivent être saisis dans le champ « Rechercher : » situé au-
dessus de l'en-tête du tableau, pour effectuer une recherche sur les sessions RDP :
– le mot-clé rdp:app permet de rechercher des sessions d'application,
– le mot-clé rdp:notapp permet de rechercher des sessions qui ne sont pas des
sessions d'application.
• l’heure d’initialisation de la connexion,

• la durée de la connexion.
Sur cette page, l'auditeur peut également interrompre une ou plusieurs connexions : pour cela, il
faut sélectionner une ou plusieurs connexions à l’aide de la case à cocher au début de la ligne
puis, cliquer sur l'icône rouge, dans l'en-tête de colonne, pour fermer les sessions correspondantes.
WALLIX Bastion affiche une fenêtre demandant une confirmation avant l'interruption des
connexions. Les utilisateurs connectés via RDP ou SSH sont alors informés que la connexion a été
interrompue par l'administrateur, comme illustré ci-dessous :
Figure 12.2. Coupure de connexion SSH initiée par l'administrateur
Note :
Lors de l'interruption d'une connexion, l'auditeur a la possibilité d'empêcher un utilisateur
local de se reconnecter. Cette action peut être gérée depuis « Configuration » > « Options
de configuration » > « GUI (Legacy) » puis, cochez l'option « Audit kill session lock user
». Par défaut, cette option est décochée : la fonctionnalité est alors désactivée.
12.3.2. Visualisation en temps réel des sessions courantes

Sur la page « Sessions courantes » du menu « Audit », l’auditeur peut visualiser les sessions
courantes RDP ou SSH en temps réel lorsque l'enregistrement de session a été activé au niveau
247
de l'autorisation définie pour le groupe utilisateurs et le groupe de cibles. Pour plus d'informations,
voir Chapitre 14, « Gestion des autorisations », page 298.
L’auditeur peut cliquer sur l'icône de la loupe située au début de la ligne concernée dans la liste
pour ouvrir une fenêtre lui permettant de visualiser la session en temps réel. Un deuxième clic sur
l'icône permet de fermer la fenêtre.
Note :
L'auditeur peut visualiser la session courante SSH même lorsque l'enregistrement de
session n'a pas été activé au niveau de l'autorisation définie pour le groupe utilisateurs
et le groupe de cibles.
Dans le cadre d'une session RDP, l'auditeur peut activer l'option « Allow rt without
recording » accessible depuis « Configuration » > « Options de configuration » > « RDP
proxy » > section « video » afin de visualiser la session courante RDP pour laquelle
l'enregistrement de session n'a pas été activé au niveau de l'autorisation, définie pour
le groupe utilisateurs et le groupe de cibles. Pour plus d'informations, voir Chapitre 14,
« Gestion des autorisations », page 298.
En activant l'option « Enable osd 4 eyes » accessible depuis « Configuration » > « Options
de configuration » > « RDP proxy » > section « client », un message s'affiche à l'attention
de l'utilisateur pour l'informer que sa session est en cours d'audit dès lors que l'auditeur
débute la visualisation de la session RDP en temps-réel.
12.3.3. Partage et prise de contrôle à distance des sessions

courantes RDP
Sur la page « Sessions courantes » du menu « Audit », l’auditeur peut lancer le processus de prise
de contrôle d'une session courante RDP partagée par l'utilisateur.
Avertissement :
Le partage et la prise de contrôle de la session courante RDP sont disponibles via
WALLIX Bastion pour les cibles sous Windows Server 2012 et ultérieur prenant en charge
la fonctionnalité de contrôle à distance « Remote Desktop Shadowing ».
L'option de configuration avancée du proxy RDP « Session shadowing support »
(accessible depuis « Configuration » > « Options de configuration » > « RDP proxy » puis,
section « mod_rdp ») doit être activée pour permettre le partage et la prise de contrôle
de la session courante RDP via WALLIX Bastion.
Lors de ce processus, la session de l'auditeur est enregistrée uniquement si la session
de l'utilisateur est elle-même enregistrée.
Le déroulement du processus est alors le suivant :

1. Dans un premier temps, l'utilisateur se connecte à une cible RDP pour initialiser une session.
2. Sur la page « Sessions courantes » du menu « Audit », l’auditeur peut alors cliquer sur l'icône
de contrôle de la session située au début de la ligne concernée dans la liste. Cette action lance
sur son poste le téléchargement d'un fichier qui lui permettra d'établir une connexion immédiate
à la session de l'utilisateur depuis un client RDP (suffixe du nom de fichier .rdp sous Windows et
.sh ou .remmina sous Linux).
248
3. La prise de contrôle à distance requiert alors la permission de l'utilisateur : une fenêtre s'affiche
sur sa session pour lui demander son approbation, pendant une durée limitée.
4. L'auditeur peut exécuter le fichier téléchargé afin d'établir une connexion immédiate à la session
de l'utilisateur depuis le client RDP.
Note :
Une seule demande de prise de contrôle à distance peut être envoyée au cours de la
session de l'utilisateur.
L'auditeur ne pourra pas prendre le contrôle à distance sur la session de l'utilisateur tant
que ce dernier n'aura pas accepté la demande sur la fenêtre dédiée.
12.3.4. Historique des sessions

Sur la page « Historique des sessions » du menu « Audit », l’auditeur peut visualiser
l’historique de l’ensemble des connexions effectuées sur les cibles depuis WALLIX Bastion et
également visionner les enregistrements des sessions (voir Section 12.3.5, « Enregistrements de
sessions », page 251).
Attention :
Un auditeur associé à un profil comprenant des limitations peut visualiser l'historique
des sessions seulement s'il est autorisé à voir l'autorisation définie pour la session.
Cette autorisation est déterminée pour un groupe utilisateurs et un groupe de cibles
visualisables par l'auditeur.
Avertissement :
Cette page affiche uniquement les connexions aux cibles terminées. Pour obtenir une
vue des connexions actives, voir Section 12.3.1, « Sessions courantes », page 246.
Cette page ne recense pas les connexions de l'utilisateur et, par conséquent, les échecs
de connexion de l'utilisateur liés à ses droits d'accès. Pour obtenir ce type d'information,
voir Section 12.3.8, « Historique des authentifications », page 257. Les messages
SIEM permettent notamment d'obtenir plus d'informations sur les authentifications et les
autorisations d'accès. Pour obtenir ce type d'informations, voir Chapitre 18, « Messages
SIEM », page 329.
Figure 12.3. Page « Historique des sessions »
249
• l’utilisateur et l’IP source de connexion (désigné sous la forme : identifiant@ipsource),

• la cible accédée (désignée sous la forme : compte@équipement:service),
• l’hôte ou l’IP de la cible,
• le protocole source et de destination,
Note :
Des mots-clés spécifiques doivent être saisis dans le champ « Rechercher : » situé au-
dessus de l'en-tête du tableau, pour effectuer une recherche sur les sessions RDP :
– le mot-clé rdp:app permet de rechercher des sessions d'application,
– le mot-clé rdp:notapp permet de rechercher des sessions qui ne sont pas des
sessions d'application.
• l’heure d’initialisation de la connexion,

• l’heure de fin de la connexion,
• la durée de la connexion,
• la taille du fichier de l'enregistrement de la session. Pour plus d'informations, voir Section 12.3.5,
« Enregistrements de sessions », page 251.
Note :
La taille du fichier de l'enregistrement de la session n'est pas affichée lorsque la session
a été initiée sur une version antérieure à WALLIX Bastion 6.2.
• une icône symbolisant le résultat de la connexion. En cas d’échec, un clic sur l'icône permet
à l’auditeur d’obtenir des informations sur le problème de connectivité (par exemple, mot de
passe du compte erroné, échec d'authentification sur la cible, ressource injoignable, session
interrompue par l'administrateur ou par une action « Kill », etc.). Cette description peut être
modifiée si nécessaire. En cas de succès, un clic sur l'icône permet d’ajouter une description
dans une zone dédiée. L'ajout de commentaires dans cette zone est consigné dans le journal
d'audit de WALLIX Bastion (c'est-à-dire « wabaudit »). Pour plus d'informations sur ce journal,
voir Section 8.5, « Journaux et logs système », page 55.
•
l'icône est affichée si la session a été partagée entre l'utilisateur et l'auditeur avec une prise
de contrôle à distance. Il est alors possible d'afficher les informations en passant le curseur de
la souris sur cette icône : il s'agit soit de la session de prise de contrôle de l'auditeur soit de la
session contrôlée de l'utilisateur.
Des filtres peuvent être définis dans le haut de la page pour faciliter la recherche et restreindre
l'affichage aux données pertinentes. Ces filtres sont les suivants :
• un tri sur l'affichage de toutes les données ou tous les équipements existants ou encore, toutes
les applications existantes,
• la définition d'une plage de dates,
• la définition des N derniers jours, semaines ou mois,
• une recherche par occurrences dans les colonnes. Pour plus d'informations, voir Section 6.5.1,
« Recherche des données », page 37.
250
Note :
Seuls les 1000 derniers enregistrements sont affichés dans l’interface utilisateur Web.
Le filtrage par recherche d’occurrences opère sur ces 1000 enregistrements. Seule la
définition d’une plage de dates permet de récupérer des sessions plus anciennes.
Toutes les données sur cette page sont téléchargeables sous la forme d'un fichier .csv.
12.3.5. Enregistrements de sessions
WALLIX Bastion embarque un visualiseur de vidéo de session permettant un accès direct à la
lecture des enregistrements de sessions sans avoir recours à l'installation d'un plugin de navigateur,
d'une application ou encore d'un codec vidéo particulier.
Les enregistrements de sessions sont sauvegardés sur la partition /var/wab/recorded/ (pour

le stockage local) ou /var/wab/remote/recorded/ (pour le stockage distant) et peuvent être
archivés ou purgés à l'aide d'un script dédié. Pour plus d'informations, voir Section 15.18, « Exporter
et/ou purger les enregistrements de sessions manuellement », page 315 et Section 15.19,
« Exporter et/ou purger les enregistrements de sessions automatiquement », page 317.
Le chiffrement et la signature des enregistrements de sessions peuvent être paramétrés sur la page
« Options d'enregistrement » du menu « Gestion des sessions ». Pour plus d'informations, voir
Section 12.5, « Options des enregistrements de sessions », page 263.
Sur la page « Historique des sessions » du menu « Audit », l’auditeur peut visualiser et télécharger
les enregistrements de sessions RDP ou SSH. Pour cela, l'enregistrement de session a été activé
au préalable au niveau de l'autorisation définie pour le groupe utilisateurs et le groupe de cibles.
Pour plus d'informations, voir Chapitre 14, « Gestion des autorisations », page 298.
Des icônes peuvent être affichées au début des lignes pour effectuer des actions spécifiques :
• : cette icône permet à l’auditeur de télécharger l’enregistrement de la session au format brut

ttyrec pour la session SSH, ou bien au format pcap (visualisable avec l'analyseur de paquets
Wireshark) pour la session RAWTCPIP.
• : cette icône permet à l’auditeur de télécharger le contenu visible de la session SSH au format
texte plat (txt).
• : cette icône permet à l’auditeur d’afficher la page de visualisation de l’enregistrement de la
session. Un visualiseur permet alors de parcourir la vidéo de la session. Les informations de la
session sont affichées dans le haut de la page.
Dans le cadre de la visualisation d'une session SSH, il est possible d'obtenir la transcription de la
vidéo, les méta-données de la session mais aussi de télécharger les fichiers transférés au cours
de la session dans les zones dédiées sous le visualiseur.
251
Figure 12.4. Page « Historique des sessions » - Visualisation d'une session SSH
Dans le cadre de la visualisation d'une session RDP, il est possible :

– de générer puis télécharger le film entier, d'abord en cliquant sur le bouton « Générer » situé
sous le visualiseur, puis en cliquant sur l'icône affichée dès la génération du film terminée.
Note :
Dans le cadre de la visualisation d'une vidéo de session d'application en mode
RemoteApp, la surface du contenu affiché dans le visualiseur RDP peut être
paramétrée. Ce paramètre peut être géré depuis le menu « Configuration » >
252
« Options de configuration » > « RDP proxy » puis, sous la section « video »,

sélectionner l'option appropriée dans le champ « Smart video cropping ».
L’enregistrement d’une session basée sur le protocole RDP inclut à la fois la vidéo et
la reconnaissance automatique par OCR des applications exécutées sur la machine
distante par détection des barres de titre.
L’algorithme utilisé pour la détection du contenu des barres de titre est très rapide de
manière à pouvoir être exécuté en temps réel. Cependant, il fonctionne uniquement
avec le style de fenêtre « Windows Standard » et la taille de polices par défaut de
96PPP avec une profondeur de couleur supérieure ou égale à 15 bits (15, 16, 24
ou 32 bits, donc pas en mode 8 bits). Dans sa version actuelle, tout changement du
style des barres de titre, même à première vue visuellement proche, par exemple
un passage à « Windows classique », ou encore un changement de couleur de
la barre de titre, du style ou de la taille de la police ou de la résolution de rendu
rendra la fonction OCR inopérante. L’OCR est, de plus, configuré de manière à
détecter uniquement les barres de titre d’application terminées par les trois icônes
253
fermer, minimiser, maximiser. Si la barre de titre contient une icône, celle-ci sera
généralement remplacée par des points d’interrogation précédant le texte reconnu.
Figure 12.5. Visualiseur
– de naviguer rapidement dans le film, via le visualiseur, à partir d'une séquence donnée en
cliquant sur les vignettes de la zone « Liste des captures d'écran ».
Figure 12.6. Zone « Liste des captures d'écran »

– de télécharger les données de la session en cliquant sur l'icône dans la zone « Données
de la session ». Si l'option OCR est activée, les titres des applications détectées dans le film
254
par le module d’OCR sont indexés et affichés dans cette zone. Il est alors possible de cliquer
sur les entrées de la liste pour naviguer rapidement dans le film à partir du visualiseur.
Figure 12.7. Zone « Données de la session »

– de télécharger les fichiers transférés au cours de la session dans la zone « Fichiers
transférés ».
• : cette icône permet à l'auditeur d’afficher le détail de la demande d'approbation (avec les
réponses et commentaires des approbateurs). Cette icône s'affiche sur la ligne si la session
correspondante a fait l'objet d'une procédure d'approbation. Pour plus d'informations, voir
Section 14.7, « Procédure d'approbation », page 305.
12.3.6. Historique des comptes

Sur la page « Historique des comptes » du menu « Audit », l'auditeur peut :
• vérifier l'activité sur les comptes,

• visualiser l'historique des changements du mot de passe,
• forcer la restitution des accréditations d'un compte.
Dans la colonne « Activité », l'auditeur peut cliquer sur « Afficher » pour visualiser l'historique des
activités pour le compte sur une page dédiée. Cette page affiche un tableau listant les emprunts/
restitutions des accréditations du compte enregistrés pour une date et une heure données.
Attention :
Un auditeur associé à un profil comprenant des limitations peut visualiser l'historique des
activités du compte seulement s'il est autorisé à voir les deux groupes de l'autorisation
définie pour la visualisation des accréditations de ce compte.
Dans la colonne « Historique », l'auditeur peut cliquer sur « Afficher » pour visualiser l'historique des
changements du mot de passe du compte sur une page dédiée. Cette page affiche les informations
liées aux changements du mot de passe ou de la clé SSH du compte pour une date et une heure
données.
Attention :
Un auditeur associé à un profil comprenant des limitations peut visualiser l'historique des
changements du mot de passe du compte seulement s'il est autorisé à voir le compte
concerné.
Dans la colonne « Actions », l'option « Forcer la restitution » est disponible pour les comptes
empruntés par les utilisateurs. L’auditeur peut cliquer sur cette option pour restituer les
255
accréditations du compte. Il est à noter que la session RDP ou SSH en cours n'est pas fermée
lorsque la restitution des accréditations du compte est forcée.
Note :
L'option « Forcer la restitution » est systématiquement disponible pour les comptes définis
sur un domaine global associé à un coffre-fort externe à mots de passe. Dans ce cas, la
colonne « Coffre-fort externe » affiche une coche pour les comptes concernés.
Les activités du compte suivantes sont sauvegardées dans /var/log/vault-activity.log :
• l'emprunt,
• l'extension de la durée d'emprunt,
• la restitution et la restitution automatique,
• la restitution forcée.
Ces informations peuvent être redirigées vers un logiciel de type SIEM si le routage a été
configuré au sein de WALLIX Bastion. Pour plus d'informations, voir Section 8.9, « Intégration
SIEM », page 60.
Note :
Certains logs système enregistrés sur la partition /var/log sont conservés pendant une
durée maximale de 5 semaines.
Figure 12.8. Page « Historique des comptes »
12.3.7. Historique des approbations

Sur la page « Historique des approbations » du menu « Audit », l’auditeur peut visualiser toutes les
demandes d'approbation (en cours ou expirées) formulées pour accéder aux sessions. Pour plus
d'informations sur les approbations, voir Section 14.7, « Procédure d'approbation », page 305.
Lorsque l'auditeur affiche le détail d'une demande d'approbation au statut « en cours », cette action
est consignée dans le journal d'audit de WALLIX Bastion (c'est-à-dire « wabaudit »). Pour plus
d'informations sur ce journal, voir Section 8.5, « Journaux et logs système », page 55.
Attention :
Un auditeur associé à un profil comprenant des limitations peut visualiser l'historique
des approbations seulement s'il est autorisé à voir l'autorisation définie pour formuler la
256
demande d'approbation. Cette autorisation est déterminée pour un groupe utilisateurs et

un groupe de cibles visualisables par l'auditeur.

Note :
• l’utilisateur qui a formulé la demande,
• la date et l'heure de fin de la demande,
Un clic sur l'icône bloc-notes au début de la ligne permet à l’auditeur d’obtenir une vue détaillée
de la demande.
Figure 12.9. Page « Historique des approbations »
12.3.8. Historique des authentifications
257
Sur la page « Historique des authentifications » du menu « Audit », l’auditeur peut visualiser les
tentatives d’authentification sur les interfaces des proxies RDP et SSH (respectivement sur les
ports 3389 et 22).

Note :
• la date de l’évènement,
• l’identifiant fourni (nom d’utilisateur WALLIX Bastion),
• l’adresse IP source,
• le résultat de l’authentification symbolisé par une icône représentant un succès ou un échec,
• un diagnostic du résultat fournissant une indication plus précise sur le résultat de
l'authentification.
Figure 12.10. Page « Historique des authentifications »
12.3.9. Statistiques sur les connexions

Sur la page « Statistiques sur les connexions » du menu « Audit », l’auditeur peut visualiser les
informations statistiques sur les connexions effectuées à travers WALLIX Bastion sur une période
de temps donnée. Cette période peut être une plage calendaire ou un nombre de jours précédant
la date courante.
258
L’auditeur peut sélectionner le type d’informations statistiques qu'il souhaite visualiser dans la liste
de valeurs située dans le coin supérieur gauche de la page : « Statistiques » ou « Ressources
inutilisées ».
Si l’auditeur choisit la valeur « Statistiques » (sélectionnée par défaut), l'affichage peut être restreint
aux évènements les plus/moins fréquents (connexions aux cibles par équipement ou par utilisateur
ou par date, etc.) : 35 éléments maximum peuvent être affichés.
Les options suivantes peuvent être sélectionnées pour la génération du rapport statistique :
• le nombre de connexions aux cibles par équipement,

• le nombre de connexions aux cibles par compte cible,
• le nombre de connexions à WALLIX Bastion par utilisateur,
• le nombre de connexions aux cibles par utilisateur,
• les connexions aux cibles par durée,
• le temps total des connexions aux cibles par utilisateur,
• les connexions aux cibles par date,
• le nombre maximum de connexions aux cibles simultanées par date.
Des filtres peuvent être définis dans le bas de la page pour faciliter la recherche et restreindre
l'affichage aux données pertinentes. Ces filtres sont basés sur une sélection parmi des utilisateurs
WALLIX Bastion et/ou des équipements et/ou des comptes cibles.
Une fois les diagrammes générés, l’auditeur peut cliquer sur les rapports concernant les
connexions WALLIX Bastion et les connexions aux comptes cibles pour en visualiser le détail
sur les pages « Historique des authentifications » (voir Section 12.3.8, « Historique des
authentifications », page 257) ou « Historique des sessions » (voir Section 12.3.4, « Historique
des sessions », page 249).
Un tableau dans l'en-tête des diagrammes générés récapitule les filtres sélectionnés et un bouton
sous les graphiques permet de télécharger chacun de ces rapports statistiques sous la forme d’un
fichier .csv.
Si l’auditeur choisit la valeur « Ressources inutilisées », il/elle peut visualiser les utilisateurs ou
les comptes cibles inactifs sur une période de temps donnée. Cette période peut être une plage
calendaire ou un nombre de jours précédant la date courante. Les données peuvent être affichées
directement sous forme de liste sur la page active ou encore téléchargées sous la forme d’un
fichier .csv.
Figure 12.11. Page « Statistiques sur les connexions »
259
Figure 12.12. Exemple d'un rapport statistique
12.4. Politiques de connexion
Sur la page « Politiques de connexion » du menu « Gestion des sessions », vous pouvez ajouter,
modifier ou supprimer les politiques de connexion. Ces dernières représentent les mécanismes
d'authentification existants au sein de WALLIX Bastion.
260
Les mécanismes disponibles pour les protocoles RDP, VNC, SSH, TELNET, RLOGIN et RAW TCP/
IP sont prédéfinis dans l'application et ne peuvent être ni supprimés ni modifiés.
Une politique de connexion peut être sélectionnée lors de la création/modification d'un équipement
et est associée à un service spécifique sur cet équipement. Pour plus d'informations, voir
Section 10.1, « Équipements », page 138.
Sur chaque page, une description utile peut être affichée pour tous les champs en sélectionnant la
case du champ « Aide sur les options » sur la droite. Cette description inclut le format à respecter
lors de la saisie des données dans le champ.
Avertissement :
Les options spécifiques affichées lorsque la case du champ « Options avancées » sur la
droite est cochée doivent être UNIQUEMENT modifiées sur les instructions de l’Équipe
Support WALLIX ! Une icône représentant un point d'exclamation sur fond orange est
affichée en marge des champs concernés.
Figure 12.13. Page « Politiques de connexion »
12.4.1. Ajouter une politique de connexion

Sur la page « Politiques de connexion », vous pouvez ajouter une politique de connexion :
• en cliquant sur « Ajouter une politique de connexion » pour afficher la page de création de la
politique,
• en dupliquant une politique existante afin d’utiliser ses paramètres : cliquez sur l'icône dans la
colonne « Action » sur la droite de la ligne souhaitée dans le tableau pour afficher la page de
création de la politique avec les paramètres hérités de la politique choisie. Dans ce cas, seuls
les champs « Nom de la politique » et « Description » ne sont pas hérités de la politique choisie
et sont vides.
• le nom de la politique de connexion,

• la sélection du protocole souhaité (automatiquement renseigné si vous créez une politique en
utilisant les paramètres d'une politique existante),
• la sélection des méthodes d'authentification et des paramètres propres au protocole choisi,
261
• la définition d'une règle de transformation pour la récupération d'un identifiant de connexion.

Pour plus d’informations, voir Section 12.6, « Règle de transformation pour la récupération d'un
identifiant pour la connexion secondaire », page 263.
• la définition d'une règle de transformation pour récupérer les accréditations d'un compte du coffre-
fort. Pour plus d’informations, voir Section 12.7, « Règle de transformation pour la récupération
des accréditations d'un compte dans le coffre-fort de WALLIX Bastion », page 264.
Pour les politiques de connexion définies sur les protocoles TELNET ou RLOGIN, une suite de
commandes doit être renseignée dans le champ « Scenario » pour définir une authentification. Un
scénario de connexion est défini par défaut mais peut être modifié. Pour plus d'informations, voir
Section 12.15, « Scénario de connexion TELNET/RLOGIN sur un équipement cible », page 273.
Pour les politiques de connexion définies sur le protocole SSH, un scénario de démarrage peut
être renseigné dans le champ « Scenario » (de la section « startup scenario ») pour effectuer des
actions spécifiques au début de la session. Pour plus d'informations, voir Section 12.17, « Scénario
de démarrage SSH sur un équipement cible », page 275.
Le mode « session probe » peut être activé pour les politiques de connexion définies sur le
protocole RDP. Pour plus d'informations, voir Section 12.20, « Utilisation du mode « session
probe » », page 280.
Figure 12.14. Page « Politiques de connexion »

en mode création pour le protocole RLOGIN
12.4.2. Modifier une politique de connexion

Sur la page « Politiques de connexion », cliquez sur un nom de politique puis sur « Modifier cette
politique de connexion » pour afficher la page de modification de la politique.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la politique,
excepté le champ « Protocole » qui n'est pas modifiable.
Avertissement :
ne peuvent ni supprimer ni modifier une politique de connexion.
262
12.4.3. Supprimer une politique de connexion

Sur la page « Politiques de connexion », sélectionnez une ou plusieurs politiques à l’aide de la
case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection.
Avertissement :
Vous ne pouvez pas supprimer une politique de connexion lorsque celle-ci est associée
à un équipement (au niveau du service sur la page « Équipements »). Pour plus
d'informations sur l'association d'une politique de connexion à un équipement, voir
Section 10.1.1, « Ajouter un équipement », page 138.
ne peuvent ni supprimer ni modifier une politique de connexion.
12.5. Options des enregistrements de sessions

Sur la page « Options d'enregistrement » du menu « Gestion des sessions », vous pouvez choisir
d'activer ou non le chiffrement et la signature pour les enregistrements des sessions.
Ces enregistrements sont visualisables sur la page « Historique des sessions » du menu «
Audit ». Pour plus d'informations, voir Section 12.3.4, « Historique des sessions », page 249 et
Section 12.3.5, « Enregistrements de sessions », page 251.
Les enregistrements chiffrés peuvent être relus uniquement par l'instance WALLIX Bastion qui les
a créés.
L’algorithme de chiffrement utilisé est AES 256 CBC. La signature est effectuée en calculant une
empreinte HMAC SHA 256. L’empreinte est vérifiée lors d'une demande de visualisation.
Figure 12.15. Page « Options d'enregistrement »
12.6. Règle de transformation pour la

récupération d'un identifiant pour la connexion
secondaire
Une règle de transformation basée sur une chaîne de caractères peut être définie pour obtenir un
identifiant pour la connexion sur un compte secondaire en établissant une correspondance à partir :
263
• d'un identifiant d'un compte utilisateur, si la cible appartient à un groupe configuré pour le
mappage de compte (pour plus d'informations, voir Section 10.5.1.4, « Configurer un groupe de
cibles pour la gestion des sessions par mappage de compte », page 193),
• d'un identifiant d'un compte cible dans le coffre-fort de WALLIX Bastion, si la cible appartient
à un groupe configuré pour la gestion des sessions à partir des comptes du coffre-fort (pour
plus d'informations, voir Section 10.5.1.2, « Configurer un groupe de cibles pour la gestion des
sessions à partir d'un compte du coffre-fort », page 192).
Cette règle se définie dans le champ « Transformation rule » sur la page de configuration de la
politique de connexion, accessible depuis le menu « Gestion des sessions » > « Politiques de
connexion ».
La chaîne de caractères inclut le champ requis ${LOGIN} et, dans le cas d'une correspondance
LDAP, le champ optionnel ${DOMAIN}.
La règle de transformation renvoie la chaîne de caractères et remplace les champs ${LOGIN} et

${DOMAIN} avec les valeurs appropriées (à savoir : le login et le domaine).
Le résultat produit correspond alors à l'identifiant pour la connexion sur la cible.
Note :
La règle de transformation définie est ignorée si la cible appartient à un groupe configuré
pour la connexion interactive (pour plus d'informations, voir Section 10.5.1.5, « Configurer
un groupe de cibles pour la gestion des sessions en connexion interactive », page 194).
Exemple 12.1. Exemple de règle de transformation :

${DOMAIN}WIN2k3\${LOGIN} : ajout d'un suffixe au niveau du domaine
${LOGIN} : forçage du login sans aucun domaine
${LOGIN}@DOMAIN1 : utilisation d'un domaine différent
12.7. Règle de transformation pour la

récupération des accréditations d'un compte
dans le coffre-fort de WALLIX Bastion
Une règle de transformation basée sur une chaîne de caractères peut être définie pour récupérer
les accréditations d'un compte existant dans le coffre-fort de WALLIX Bastion pour une cible définie
en mappage de compte. Elle permet d'établir une correspondance à partir d'un compte utilisateur
avec ce compte dans le coffre-fort.
Cette règle de transformation s'applique uniquement lorsque :
• la cible appartient à un groupe configuré pour le mappage de compte (pour plus d'informations,
voir Section 10.5.1.4, « Configurer un groupe de cibles pour la gestion des sessions par mappage
de compte », page 193),
• La méthode d'authentification PUBKEY_VAULT et/ou PASSWORD_VAULT doit être sélectionnée
au niveau de la politique de connexion associée à la cible.
264
Cette règle se définit dans le champ « Vault transformation rule » sur la page de configuration de
la politique de connexion, accessible depuis le menu « Gestion des sessions » > « Politiques de
connexion ».
La chaîne de caractères inclut les champs suivants :
• ${USER}. Ce champ est substitué par l'identifiant de l'utilisateur,

• ${DOMAIN}. Ce champ est substitué par le domaine de l'utilisateur dans le cas d'une
correspondance LDAP,
• ${USER_DOMAIN}. Ce champ est substitué par l'identifiant de l'utilisateur + "@" + le domaine
de l'utilisateur, si existant,
• ${GROUP}. Ce champ est substitué par le groupe utilisateurs faisant l'objet de l'autorisation,
• ${DEVICE}. Ce champ est substitué par le nom de l'équipement.
Une expression régulière (ou "regex") peut être mentionnée pour la transformation en utilisant la
syntaxe : ${USER:/regex/substitution}. Par exemple, pour substituer tous les identifiants utilisateur
commençant par la lettre "A" par "B", la variable ${USER} doit être renseignée ainsi : ${USER:/
Â/B}.
La règle de transformation renvoie la chaîne de caractères et remplace les champs avec les valeurs
appropriées.
Le résultat produit correspond alors à la syntaxe du compte existant dans le coffre-fort pour lequel
les accréditations sont à récupérer.
Exemple 12.2. Exemple de règles de transformation :

${USER:/âdm_/adm_domain1_}@domain1
Cette syntaxe correspond à une expression régulière pouvant se lire de la manière suivante :
• ${USER : Le traitement se fait sur la partie identifiant de l’utilisateur,

• /âdm_ : La vérification doit se faire sur l'identifiant commençant pas « adm_ »,
• /adm_domain1_ : Si la condition précédente est respectée, alors l'identifiant est substitué par
cette valeur,
• @domain1 : Ce suffixe est ajouté après la variable substituée.
Si le début de l'identifiant de l’utilisateur qui se connecte correspond « adm_ », alors cette partie
sera substituée par « adm_domain1_ ». Puis, « @domain1 » sera ajouté à la fin de l'identifiant.
Dans cet exemple, l'identifiant « adm_jdoe » est alors substitué par « adm_domain1_jdoe ».
12.8. Utilisation d'un logiciel antivirus ou d'une

solution DLP (Data Loss Prevention) avec ICAP
Il est possible de configurer des connexions vers des serveurs ICAP de logiciels antivirus ou de
solutions DLP (Data Loss Prevention) pour vérifier la validité des fichiers transférés au cours des
sessions RDP et SSH.
Les fichiers vérifiables sont ceux transférés via les sous-protocoles SFTP et SCP (SFTP_SESSION,
SSH_SCP_UP et SSH_SCP_DOWN) au cours de la session SSH et par la fonction copier/coller
via le presse-papier (RDP_CLIPBOARD_FILE) au cours de la session RDP.
265
La vérification des fichiers ne bloque pas le transfert de fichiers. Le statut retourné par le serveur
ICAP est tracé :
• dans les méta-données de la session affichées sur la page « Historique des sessions » du
menu « Audit », dans la zone « Méta-données de la session ». Pour plus d'informations, voir
Section 12.3.4, « Historique des sessions », page 249 et Section 12.3.5, « Enregistrements
de sessions », page 251.
• dans les messages SIEM, si le routage vers un logiciel de type SIEM est configuré au sein de
WALLIX Bastion. Pour plus d'informations, voir Section 8.9, « Intégration SIEM », page 60 et
Chapitre 18, « Messages SIEM », page 329.
12.8.1. Configuration de la connexion vers les serveurs

ICAP
Un serveur ICAP peut être configuré pour chaque protocole (RDP et SSH) et chaque sens de
transfert, à savoir :
• pour les fichiers transférés en « upload », c'est-à-dire depuis le client vers le serveur (comme
par exemple, un logiciel antivirus) et,
• pour les fichiers transférés en « download », c'est-à-dire depuis le serveur vers le client (comme
par exemple, une solution DLP).
Les paramètres des serveurs ICAP peuvent être définis depuis le menu « Configuration » > «
Options de configuration » > « RDP proxy » (pour le protocole RDP) ou « SSH proxy » (pour le
protocole SSH), au sein des sections suivantes :
• [icap_server_up] pour la configuration du serveur ICAP pour les fichiers transférés en « upload »
et,
• [icap_server_down] pour la configuration du serveur ICAP pour les fichiers transférés en
« download ».
Pour chaque serveur ICAP, ces paramètres sont les suivants :
• « Host » : adresse IP ou FQDN du serveur ICAP,

• « Port » : port du serveur ICAP,
• « Service name » : nom du service sur le serveur ICAP,
• « Tls » : option à cocher si TLS est activé sur le serveur ICAP.
12.8.2. Activation de la vérification des fichiers

La vérification des fichiers transférés peut être activée ou désactivée depuis « Gestion des
sessions » > « Politiques de connexion » > « RDP » (pour le protocole RDP) ou « SSH » (pour le
protocole SSH). Cette vérification est désactivée par défaut.
Dans la section [file_verification], les paramètres à renseigner sont les suivants :
• « Enable up » : option à cocher pour activer la vérification des fichiers transférés en « upload »
par le serveur ICAP configuré dans la section [icap_server_up] des options de configuration du
proxy associé (accessible depuis le menu « Configuration » > « Options de configuration » > «
RDP proxy » ou « SSH proxy »),
• « Enable down » : option à cocher pour activer la vérification des fichiers transférés en
« download » par le serveur ICAP configuré dans la section [icap_server_down] des options
266
de configuration du proxy associé (accessible depuis le menu « Configuration » > « Options de

configuration » > « RDP proxy » ou « SSH proxy »).
Lorsque la politique de connexion est définie sur le protocole RDP, la section [file_verification]
permet de renseigner également les paramètres suivants :
• « Clipboard text up » : option à cocher pour activer la vérification du texte transféré en « upload »
par la fonction copier/coller via le presse-papier par les serveurs ICAP. Cette vérification est
effective lorsque l'option « Enable up » est cochée.
• « Clipboard text down » : option à cocher pour activer la vérification du texte transféré en
« download » par la fonction copier/coller via le presse-papier par les serveurs ICAP. Cette
vérification est effective lorsque l'option « Enable down » est cochée.
12.8.3. Blocage du transfert des fichiers en cas d'invalidité

lors de la vérification
Lorsque la vérification des fichiers transférés est activée depuis la politique de connexion
définie sur le protocole RDP ou SSH (voir Section 12.8.2, « Activation de la vérification des
fichiers », page 266), il est possible de bloquer le transfert de ces fichiers en cas d'invalidité lors
de la vérification. Cette action peut être effectuée au cours de l'utilisation de la fonction copier/coller
de fichiers sur le protocole RDP ou lors des transferts de fichiers via SCP ou SFTP sur le protocole
SSH (en utilisant les clients FileZilla, OpenSSH ou WinSCP).
Pour cela, sur la page de configuration de la politique de connexion, les paramètres à renseigner
sous la section [file_verification] sont les suivants :
• « Block invalid file up » : option à cocher pour bloquer le transfert des fichiers en « upload » en
cas d'invalidité lors de la vérification,
• « Block invalid file down » : option à cocher pour bloquer le transfert des fichiers en « download »
en cas d'invalidité lors de la vérification.
12.8.4. Activation de la sauvegarde de fichiers en cas

d'invalidité lors de la vérification
Lorsque la vérification des fichiers transférés est activée depuis la politique de connexion
définie sur le protocole RDP ou SSH (voir Section 12.8.2, « Activation de la vérification des
fichiers », page 266), il est possible de sauvegarder les fichiers invalides transférés.
Pour cela, sur la page de configuration de la politique de connexion, l'option « On invalid
verification » dans le champ « Store file » sous la section [file_storage] doit être cochée.
Les fichiers invalides transférés sont visualisables et téléchargeables sur la page « Historique des
sessions » du menu « Audit », dans la zone « Fichiers transférés ». Pour plus d'informations, voir
Section 12.3.4, « Historique des sessions », page 249 et Section 12.3.5, « Enregistrements de
sessions », page 251.
Note :
L'enregistrement de sessions doit être activé pour l'autorisation définie (voir Section 14.1,
« Ajouter une autorisation », page 298) pour permettre à l'auditeur de visualiser et
télécharger les fichiers transférés sur la page « Historique des sessions » du menu «
Audit ».
267
12.9. Activation de la sauvegarde des fichiers

transférés au cours de la session RDP ou SSH
Il est possible de sauvegarder les fichiers transférés au cours de la session RDP ou SSH.
Pour cela, sur la page de configuration de la politique de connexion, accessible depuis le menu
« Gestion des sessions » > « Politiques de connexion » > « RDP » (pour le protocole RDP) ou «
SSH » (pour le protocole SSH), l'option « Always » dans le champ « Store file » sous la section
[file_storage] doit être cochée.
Les fichiers transférés sont visualisables et téléchargeables sur la page « Historique des
sessions » du menu « Audit », dans la zone « Fichiers transférés ». Pour plus d'informations, voir
Section 12.3.4, « Historique des sessions », page 249 et Section 12.3.5, « Enregistrements de
sessions », page 251.
Note :
L'enregistrement de sessions doit être activé pour l'autorisation définie (voir Section 14.1,
« Ajouter une autorisation », page 298) pour permettre à l'auditeur de visualiser et
télécharger les fichiers transférés sur la page « Historique des sessions » du menu «
Audit ».
12.10. Configuration de l'authentification cible

par carte à puce pour le protocole RDP
WALLIX Bastion offre la possibilité aux utilisateurs de s'authentifier à des cibles Windows via le
protocole RDP par le biais d'une carte à puce connectée sur le poste client et du code PIN associé.
Veuillez vous référer au document Release Notes pour consulter la liste des modèles de cartes à
puce compatibles avec WALLIX Bastion.
Note :
L'authentification par carte à puce n'est possible que pour la connexion aux cibles via le
mécanisme de connexion interactive.
Afin d'activer ce mode d'authentification, vous devez :
• Sélectionner l'option proxy « RDP SMARTCARD » pour le service RDP associé à l'équipement
concerné, à partir du menu « Cibles » > « Équipements » puis onglet « Services »,
• Sélectionner l'option « Force smartcard authentication » accessible depuis « Gestion des
sessions » > « Politiques de connexion » > « RDP », section [rdp].
Avertissement :
L'activation de cette option désactive l'authentification NLA (Network Level
Authentication).
Les accréditations d'un éventuel compte cible associé ne peuvent plus être utilisées.
268
12.11. Mise en place d'un silo d'authentification

AD
12.11.1. Description générale
Les silos permettent de définir une relation entre des comptes sur un domaine AD (par exemple des
utilisateurs, ordinateurs) et imposent une stratégie d'authentification pour ces comptes. La définition
de cette relation attribue ces comptes à un silo. L'objectif principal des silos est d'empêcher les
comptes utilisateurs à privilèges de se connecter à des ordinateurs d'un niveau de confiance
moindre. En attribuant des utilisateurs et des ordinateurs à un silo, les utilisateurs du silo seront
autorisés uniquement à se connecter à des ordinateurs faisant partie du même silo. Le silo à mettre
en place sur l'AD puis à configurer dans le Bastion contient :
• Le serveur cible de confiance : par exemple, server2019.example.com

• Le compte utilisateur à privilèges : par exemple, admin-t0
• Le compte de service de l'ordinateur de confiance (Bastion) : par exemple, service-t0
12.11.2. Procédure
12.11.2.1. Ajouter le domaine global
1. Créer un domaine global. Ce domaine global gèrera les comptes globaux qui seront utilisés
sur le silo AD : le compte utilisateur à privilèges et le compte de service. Pour ce faire, dans
le menu « Cibles » > « Domaines », cliquer sur « + Ajouter un domaine global ». Pour plus
d'informations, voir Section 10.3.1, « Ajouter un domaine global », page 167.
2. Renseigner les champs correspondants. A titre d'exemple, renseigner « ad-win2019 » dans le
champ « Nom » et « example.com » dans le champ « Nom réel ».
3. Cliquer sur « Appliquer ».
12.11.2.2. Ajouter les comptes globaux
1. Ajouter le premier compte global au domaine global. Pour ce faire, dans le menu « Cibles » >
« Comptes » > « Comptes globaux », cliquer sur « + Ajouter ». Pour plus d'informations, voir
Section 10.3.4, « Ajouter un compte sur un domaine global ou local », page 170.
2. Renseigner les champs correspondants pour créer le compte utilisateur à privilèges. A titre
d'exemple, renseigner « admin-t0 » dans le champ « Nom du compte ».
3. Cliquer sur « Valider ».
4. Ajouter le second compte global au domaine global.
5. Renseigner les champs correspondants pour créer le compte de service. A titre d'exemple,
renseigner « service-t0 » dans le champ « Nom du compte » et « service-t0$ » dans le champ
« Identifiant du compte ».
Avertissement :
Ajouter le symbole « $ » à la fin de l'identifiant du compte de service pour identifier
ce compte comme étant un compte de service du Bastion.
269
12.11.2.3. Ajouter une authentification externe Kerberos-Password

1. Créer une authentification externe Kerberos-Password depuis la page « Authentifications
externes » dans le menu « Configuration ». Pour plus d'informations, voir Section 9.8.1.2,
« Ajouter une authentification externe Kerberos-Password », page 121.
2. Renseigner les champs correspondants. A titre d'exemple, renseigner « ad-kerb » dans le
champ « Nom », « EXAMPLE.COM » dans le champ « Nom du royaume » et « ad-
win2019.example.com » dans le champ « Centre de distribution des clés (KDC) ». Ce
dernier est le FQDN du contrôleur de domaine. La configuration des paramètres de cette
authentification externe sera utilisée par la fonctionnalité silo AD pour initier la session du
compte utilisateur à privilèges sur la cible pour la connexion secondaire.
3. Ajouter le fichier keytab.
Avertissement :
Pour créer une authentification externe Kerberos, le fichier keytab doit être valide. Ce
fichier est généré sur le centre de distribution des clés décrit ci-dessus.
12.11.2.4. Ajouter une politique de connexion RDP

1. Ajouter une politique de connexion RDP depuis la page « Politiques de connexion » dans
le menu « Gestion des sessions ». Pour plus d'informations, voir Section 12.4.1, « Ajouter
une politique de connexion », page 261. Cette nouvelle politique de connexion RDP sera
configurée pour prendre en charge « Kerberos armoring ».
2. Renseigner le champ « Nom de la politique ».
3. Cocher la case des « Options avancées ».
4. Cocher la case « Enable kerberos » dans la section « [rdp] ».
5. Renseigner les champs suivants :
• « Krb armoring account » : par exemple, « service-t0@ad-2019 »
• « Krb armoring realm » : par exemple, « EXAMPLE.COM »
• « Krb armoring fallback user »
• « Krb armoring fallback password »
6. Cliquer sur « Appliquer ».
12.11.2.5. Ajouter un équipement
1. Ajouter un équipement depuis la page « Équipements » dans le menu « Cibles ». Pour plus
d'informations, voir Section 10.1.1, « Ajouter un équipement », page 138.
2. Renseigner les champs correspondants dans l'onglet « Général ». A titre d'exemple, renseigner
« server2019 » dans le champ « Nom » et « server2019.example.com » dans le champ
« Adresse IP ou FQDN ».
4. Ajouter un service dans l'onglet « Services » en cliquant sur « + Ajouter [RDP] ».
5. Renseigner le champ « Nom de service » et le champ « Politique de connexion » en conformité
avec la politique de connexion RDP configurée au préalable pour le silo.
270
6. Cliquer sur « Valider et fermer ».
12.11.2.6. Créer les comptes cibles

1. Ajouter un groupe cible depuis la page « Groupes » dans le menu « Cibles ». Pour plus
d'informations, voir Section 10.5.1, « Ajouter un groupe de cibles », page 191.
2. Renseigner le champ « Nom » dans l'onglet « Général ».
4. Sélectionner « Compte » dans la liste déroulante de l'onglet « Cibles gestion des sessions »
pour ajouter le premier compte cible.
5. Sélectionner « Un équipement et des comptes globaux » dans la liste déroulante du champ
« Depuis ».
6. Renseigner les champs pour ajouter ce premier compte cible lié au compte utilisateur à
privilèges (par exemple, admin-t0).
7. Cliquer sur « Ajouter et fermer ».
8. Sélectionner « Compte de scénario » dans la liste déroulante de l'onglet « Cibles gestion des
sessions » pour ajouter le second compte cible.
9. Sélectionner « Un domaine global et ses comptes » dans la liste déroulante du champ
« Depuis ».
10. Renseigner les champs pour ajouter ce second compte cible lié au compte de service (par
exemple, service-t0$).
11. Cliquer sur « Ajouter et fermer ».
12. Le silo d'authentification AD est configuré. Créer un groupe utilisateur et une autorisation
en utilisant le groupe cible configuré au préalable pour permettre aux utilisateurs autorisés
de se connecter à la cible. Pour plus d'informations, voir Section 14.1, « Ajouter une
autorisation », page 298.
12.12. Configuration des données sensibles

enregistrées dans les logs pour le protocole
RDP
Il est possible de configurer le masquage ou l'affichage de certaines données sensibles dans les
logs au cours de la session RDP enregistrée.
Ainsi, l'option « Keyboard input masking level », accessible depuis le menu « Gestion des sessions »
> « Politiques de connexion » > « RDP », sous la section « session log » permet de configurer le
masquage ou l'affichage des entrées clavier, mots de passe ou textes non identifiés dans les méta-
données de la session.
Ces informations sont visualisables sur la page « Historique des sessions » du menu « Audit », dans
la zone « Méta-données de la session ». Pour plus d'informations, voir Section 12.3.4, « Historique
des sessions », page 249 et Section 12.3.5, « Enregistrements de sessions », page 251.
12.13. Autorisation ou rejet des canaux virtuels

dynamiques pour le protocole RDP
271
Les canaux virtuels dynamiques peuvent être ouverts lors de la connexion à la session RDP pour
permettre le transfert de tout type de données.
Il est possible de configurer les canaux virtuels dynamiques pouvant être autorisés ou rejetés lors
de la session RDP.
Ces canaux peuvent être renseignés dans les champs « Allowed dynamic channels » et « Denied
dynamic channels » de la section « rdp », sur la page de configuration de la politique de connexion
définie sur le protocole RDP. Cette page est accessible depuis le menu « Gestion des sessions »
> « Politiques de connexion ».
Par défaut, tous les canaux virtuels dynamiques sont autorisés. La configuration dans le champ
« Denied dynamic channels » est prioritaire sur celle définie dans le champ « Allowed dynamic
channels ».
Lors de la tentative d'ouverture d'un canal virtuel dynamique, l'information relative à son autorisation
ou son rejet est tracée :
• dans les méta-données de la session affichées sur la page « Historique des sessions » du
menu « Audit », dans la zone « Méta-données de la session ». Pour plus d'informations, voir
Section 12.3.4, « Historique des sessions », page 249 et Section 12.3.5, « Enregistrements
de sessions », page 251.
• dans les messages SIEM, si le routage vers un logiciel de type SIEM est configuré au sein de
WALLIX Bastion. Pour plus d'informations, voir Section 8.9, « Intégration SIEM », page 60 et
Chapitre 18, « Messages SIEM », page 329.
Avertissement :
Le rejet de canaux virtuels dynamiques peut perturber les connexions RDP.
12.14. Configuration du log de toutes les

entrées clavier pour les protocoles RLOGIN,
SSH et TELNET
La journalisation de toutes les entrées claviers, qu'elles soient affichées ou non sur le terminal,
peut être configurée pour les politiques de connexion définies sur les protocoles RLOGIN, SSH
et TELNET.
Cette journalisation complète peut être activée en sélectionnant l’option « Log all kbd » sur la page
de configuration de la politique de connexion, accessible depuis le menu « Gestion des sessions »
> « Politiques de connexion ».
Si cette option est désactivée, alors seules les entrées clavier affichées sur le terminal sont
journalisées.
Ces informations sont visualisables sur la page « Historique des sessions » du menu « Audit », dans
la zone « Méta-données de la session ». Pour plus d'informations, voir Section 12.3.4, « Historique
des sessions », page 249 et Section 12.3.5, « Enregistrements de sessions », page 251.
Avertissement :
Lorsque cette option est activée, les mots de passe saisis au cours de la session sont
alors journalisés et, par conséquent, affichés en clair.
272
12.15. Scénario de connexion TELNET/RLOGIN

sur un équipement cible
Une séquence d'authentification peut être déclarée en renseignant le champ « Scenario » sur la
page de configuration de la politique de connexion définie sur le protocole TELNET ou RLOGIN,
accessible depuis le menu « Gestion des sessions » > « Politiques de connexion ». Pour plus
d'informations, voir Section 12.4, « Politiques de connexion », page 260.
Cette séquence permet d’interpréter les ordres envoyés par un shell interactif et d’automatiser la
connexion. Il s’agit d’un pseudo langage dont la syntaxe comprend les éléments suivants :
• SEND : envoi d’une chaîne de caractères

• EXPECT : s’attend à recevoir une chaîne de caractères au cours des 10 prochaines secondes.
Cette valeur doit être cohérente avec la langue du serveur.
• (?i) : ignore la casse
• $login : envoi d’un identifiant
• $password : envoi d’un mot de passe
Ainsi, la séquence suivante (testée sur un switch 3Com Superstack accessible via TELNET) :
SEND:\r\n
EXPECT:(?i)login:
SEND:$login\r\n
EXPECT:(?i)Password:
SEND:$password\r\n
S’interprète de la manière suivante :
• envoi d’un retour chariot,

• attendre la réception de la chaîne « login » (en ignorant la casse),
• envoyer l’identifiant suivi d’un retour chariot,
• attendre la réception de la chaîne « password » (en ignorant la casse),
• envoyer le mot de passe suivi d’un retour chariot.
Cette séquence doit aussi fonctionner pour les serveurs TELNET sous Windows.
Pour les serveurs TELNET fonctionnant sous Unix ou Linux, utilisez plutôt la séquence suivante :
EXPECT:(?i)login:
SEND:$login\n
SEND:$password\n
Pour les équipements RLOGIN, seul le mot de passe est attendu, ainsi la séquence
d'authentification suivante est fonctionnelle pour une connectivité en RLOGIN, vers un système
sous Debian 5.0 lenny :
SEND:$password\n
273
Note :
En règle générale, l’identifiant est déjà fourni pour les connexions SSH (en mode clavier
interactif « keyboard interactive ») et RLOGIN. Il est nécessaire de le fournir dans la
séquence uniquement pour les connexions TELNET.
12.16. Configuration des algorithmes

de cryptographie pris en charge sur les
équipements cibles
Les algorithmes de cryptographie autorisés sur les équipements cibles peuvent être configurés
sur les pages relatives aux politiques de connexion définies sur les protocoles RDP ou SSH. Les
sections suivantes présentent cette configuration.
12.16.1. Paramètres de cryptographie SSH sur les

équipements cibles
Les algorithmes de cryptographie autorisés sur les équipements cibles peuvent être déclarés en
les mentionnant dans les champs de la section « algorithms », sur la page de configuration de la
politique de connexion définie sur le protocole SSH. Cette page est accessible depuis le menu «
Gestion des sessions » > « Politiques de connexion ».
Si aucun algorithme n'est renseigné, alors tous les algorithmes supportés par le proxy SSH sont
autorisés sur les équipements cibles.
Par défaut, aucun algorithme n'est listé dans ces champs afin de garantir une compatibilité
maximale avec les serveurs cibles.
Avertissement :
Cette section est uniquement affichée lorsque la case du champ « Options avancées
» sur la droite de la page est cochée et elle doit être UNIQUEMENT modifiée sur les
instructions de l’Équipe Support WALLIX !
12.16.2. Paramètres de cryptographie RDP sur les

équipements cibles
Les algorithmes de cryptographie autorisés sur les équipements cibles peuvent être déclarés en
les mentionnant dans certains champs de la section « rdp », sur la page de configuration de la
politique de connexion définie sur le protocole RDP. Cette page est accessible depuis le menu «
Gestion des sessions » > « Politiques de connexion ».
Ces champs sont les suivants :
• « Tls min level » : niveau minimum de version TLS pris en charge. Par défaut, aucun niveau
minimum n'est configuré dans ce champ afin de garantir une compatibilité maximale avec les
serveurs cibles.
• « Tls max level » : niveau maximum de version TLS pris en charge. Par défaut, aucun niveau
maximum n'est configuré dans ce champ afin de garantir une compatibilité maximale avec les
serveurs cibles.
274
• « Cipher string » : algorithmes de cryptographie supplémentaires utilisés pour les connexions

TLSv1.2 supportés par le client. Par défaut, aucune valeur n'est renseignée dans ce champ
pour prendre en compte la configuration globale système correspondant au niveau de sécurité
2 du protocole SSL. La valeur « ALL » doit être renseignée afin de prendre en charge tous les
algorithmes de cryptographie et garantir une compatibilité maximale avec les serveurs cibles.
• « Show common cipher list » : option à cocher pour afficher, dans les fichiers de log, les
algorithmes communs pris en charge par le client et le serveur.
12.17. Scénario de démarrage SSH sur un

équipement cible
Un scénario de démarrage peut être déclaré en renseignant le champ « Scenario » de la section «
startup scenario » sur la page de configuration de la politique de connexion définie sur le protocole
SSH. Cette page est accessible depuis le menu « Gestion des sessions » > « Politiques de
connexion ».
Il peut, par exemple, être utilisé au début de la session shell SSH pour permettre à l'utilisateur
d'acquérir les privilèges « root » avec les commandes « su » ou « sudo » sans que ce dernier ait
connaissance du mot de passe.
Note :
Un scénario de démarrage peut également être utilisé pour les sessions Shell sur les
protocoles TELNET et RLOGIN. Il doit alors être déclaré en renseignant le champ
« Scenario » de la section « startup scenario » sur la page de configuration de la politique
de connexion définie sur le protocole TELNET ou RLOGIN. Cette page est accessible
12.17.1. Commandes
Un scénario est défini par une suite de commandes séparées par un retour chariot : une ligne d’un
scénario représente donc une commande.
Une commande est définie par un couple type et valeur, séparés entre eux par deux points ':'
TYPE:VALUE.
Une commande commençant par # sera ignorée.
Ce scénario de démarrage est représenté par une suite de commandes d’attente de réponse et
d’envois de données exécutées au début d'une session à partir d’un shell portant sur une cible
SSH. La syntaxe comprend les commandes suivantes :
• SEND : cette commande envoie la valeur associée au serveur et passe à la suite du scénario.
La valeur associée peut contenir un token (voir Section 12.17.2, « Token ou

« jeton » », page 276).
Par exemple, pour envoyer la commande « sudo » interactive :
SEND:exec sudo -i
• EXPECT : cette commande se met en attente d’une réponse du serveur en correspondance avec
la valeur associée avant d’exécuter la suite du scénario.
275
La valeur associée est une expression régulière et peut contenir un token (voir Section 12.17.2,
« Token ou « jeton » », page 276) qui sera interprété avant l'expression régulière. Cette valeur
doit être cohérente avec la langue du serveur.
Par exemple, pour attendre un prompt de commande :
EXPECT:.*@.*:~$
Si, au bout d’un certain temps, aucune réponse du serveur ne correspond à la valeur associée,
alors le scénario échoue.
Un échec de scénario met fin à la session.
Pendant l’exécution du scénario, aucune action utilisateur n’est possible à part son interruption par
l’utilisation des touches CTRL+C ou CTRL+D. Cette interruption met le scénario en échec et met
fin à la session.
L’utilisateur reprend la main du terminal une fois le scénario terminé avec succès.
12.17.2. Token ou « jeton »
La valeur d’une commande peut contenir un token.
Un token est une partie de la valeur qui sera remplacée par un attribut fourni par le proxy SSH ou
WALLIX Bastion.
Un token est représenté par la syntaxe suivante : ${type} ou ${type:param}, il est défini par
un type et un paramètre optionnel.
Les types de token pouvant être utilisés sont les suivants : login, password et user.
Aucun paramètre n'est à renseigner pour le type de token user.
Si aucun paramètre n’est renseigné pour les types de token login et password, alors l'attribut
sera celui du compte cible de la session courante.
• ${login} : login du compte cible courant,

• ${password} : mot de passe du compte cible courant,
• ${user} : identifiant du compte primaire, c'est-à-dire de l'utilisateur WALLIX Bastion.
Si un paramètre est fourni, il définit le compte au sein de WALLIX Bastion pour lequel les attributs
(« login » ou « password ») doivent être récupérés.
• ${login:account@domain} : login d’un compte de domaine global,

• ${password:account@domain} : mot de passe d’un compte de domaine global,
• ${login:account@domain@} : login d’un compte sur le domaine local à l'équipement courant,
• ${password:account@domain@} : mot de passe d’un compte sur le domaine local à
l’équipement courant.
Il est également possible d'insérer des attributs substituables dans le paramètre de token pour
définir un compte de scénario spécifique. Les attributs substituables pouvant être utilisés sont les
suivants :
• <user> : identifiant de l'utilisateur primaire,
276
• <user_group> : nom du groupe d'utilisateurs de l'autorisation courante,

• <target_group> : nom du groupe de cibles de l'autorisation courante,
• <authorization> : nom de l'autorisation courante,
• <account> : nom du compte de la cible courante,
• <account_domain> : nom de domaine du compte de la cible courante,
• <device> : nom de l'équipement de la cible courante,
• <service> : nom du service de l'équipement de la cible courante.
A titre d'exemple, le token ${password:<user>_root@domain} pour l'utilisateur « wabuser »

sera substitué par ${password:wabuser_root@domain} et donc remplacé par le mot de passe
du compte de scénario wabuser_root@domain (compte global).
A titre d'exemple, le token ${login:<account>_<device>@sqldomain} pour un utilisateur

connecté à la cible admin@local@sqldevice:SSH:adminauth sera substitué par
${login:admin_sqldevice@sqldomain} et donc remplacé par le login du compte de scénario
admin_sqldevice@sqldomain (compte global).
Un échec de récupération d'attribut pour un token implique l’échec du scénario.
Exemple de script pour une élévation de privilèges avec la commande « sudo » :
SEND:exec sudo -i
EXPECT:password.*:
SEND:${password}
Exemple de script pour un changement d'utilisateur sur un compte « root » du même équipement
avec la commande « su » :
SEND:exec su - root
EXPECT:Password:
SEND:${password:root@local@}
Exemple de script pour un accès interactif à une base de données MySQL sur un compte de
domaine global déclaré dans WALLIX Bastion :
SEND:exec mysql -u ${login:<account>_<device>@sqldomain} -p mybdd

EXPECT:password:
SEND:${password:login:<account>_<device>@sqldomain}
12.17.3. Configuration du scénario de démarrage SSH

Un script de démarrage peut être configuré dans la rubrique « startup_scenario » pour les politiques
de connexion définies sur le protocole SSH.
Ce mode peut être activé en sélectionnant l’option « Enable » sur la page de configuration de
la politique de connexion définie sur le protocole SSH, accessible depuis le menu « Gestion des
sessions » > « Politiques de connexion ».
Cette rubrique recense les champs suivants :
• « Enable » : cette case à cocher permet d’activer ou désactiver le scénario de démarrage. Par
défaut, cette option est désactivée.
• « Scenario » : ce champ permet de renseigner le scénario de démarrage.
277
• « Show output » : cette case à cocher permet d’afficher ou masquer les entrées/sorties sur le
Shell pendant l’exécution du scénario. Par défaut, cette option est activée.
• « Timeout » : ce champ permet de définir le délai d’attente (en secondes) d’une commande
EXPECT avant échec.
Avertissement :
Support WALLIX !
• « Ask startup » : cette case à cocher permet d’activer ou désactiver un prompt pour demander à
l’utilisateur s’il souhaite exécuter le scénario. Par défaut, le scénario est obligatoirement exécuté.
Avertissement :
Support WALLIX !
12.18. Configuration du mode transparent pour

les proxies RDP et SSH
Ce mode permet au proxy d’intercepter le trafic réseau destiné à une cible même lorsque l’utilisateur
a précisé l’adresse de la cible à la place de l'adresse de WALLIX Bastion.
Ce mode peut être activé depuis le menu « Configuration » > « Options de configuration » :
• sur la page de configuration « RDP proxy » en cochant la case du champ « Enable transparent
mode », sous la section « globals »,
• sur la page de configuration « SSH proxy » en cochant la case du champ « Enable transparent
mode », sous la section « main ».
Pour utiliser le mode transparent, il faut que le réseau soit configuré afin d’envoyer le flux RDP ou
SSH destiné aux cibles vers les interfaces réseaux utilisateurs de WALLIX Bastion. Ceci peut être
fait au moyen de routes IP. WALLIX Bastion agit alors comme une passerelle.
Le proxy intercepte le trafic envoyé vers le port TCP 3389 (pour les protocoles RDP et VNC). Le
trafic arrivant vers WALLIX Bastion sans lui être destiné mais intercepté par ce dernier ou un autre
port (différent du port 3389) est perdu.
Le proxy choisit automatiquement la cible en fonction de l’adresse IP destination de la connexion.
Lorsqu'une seule cible correspond à cette adresse, la connexion se fait automatiquement sans que
le sélecteur soit affiché. Sinon, le sélecteur affiche la liste des cibles possibles correspondant à
cette adresse.
De plus, il est possible de définir un ensemble de ressources cibles appartenant à un sous-réseau.
Il suffit pour cela de préciser le sous-réseau à la place de l’adresse IP de l’hôte cible dans le champ
« Hôte de l'équipement » lors de la création de l'équipement, depuis la page « Équipements »,
en utilisant la notation CIDR (<adresse de réseau>/<nombre de bits de masque>). Pour plus
d'information sur cette configuration, voir Section 10.1.1, « Ajouter un équipement », page 138.
Dans le cas où l’adresse IP destination de la connexion correspond à plusieurs cibles dont au
moins une est définie par adresse IP (ou FQDN), alors les cibles définies par sous-réseau sont
278
ignorées pour la connexion. Lorsqu'une seule cible correspond à cette adresse, la connexion se
fait automatiquement sans que le sélecteur soit affiché.
Une fois le mode transparent activé pour RDP ou SSH, les paramètres suivants permettent de
contrôler le comportement du proxy :
• L'option « Auth mode passthrough » (accessible depuis le menu « Configuration » > « Options
de configuration » > « SSH proxy » pour SSH ou depuis le menu « Configuration » > « Options
de configuration » > « RDP proxy sesman » pour RDP) permet d'activer/désactiver la délégation
d’authentification. Celle-ci permet d’éviter que WALLIX Bastion procède à une authentification
lorsque le proxy reçoit une demande de connexion. La demande d’authentification est alors
transmise directement à la cible et WALLIX Bastion autorise la connexion si l’authentification par
la cible est établie. Cela permet de déployer WALLIX Bastion dans un environnement où seule
la cible connaît le mot de passe comme c’est le cas, par exemple, pour certaines configurations
de VMware Horizon View.
• Le champ « Default login » (accessible depuis le menu « Configuration » > « Options de
configuration » > « SSH proxy » pour SSH ou, depuis le menu « Configuration » > « Options de
configuration » > « RDP proxy sesman » pour RDP) permet de renseigner un utilisateur WALLIX
Bastion différent de l’identité RDP ou SSH. Dans ce cas, les sessions et leurs enregistrements
seront associés à cet utilisateur WALLIX Bastion. Les informations d’identification RDP ou SSH
sont enregistrées dans le champ cible quand elles sont disponibles.
12.19. Configuration de la fonctionnalité
KeepAlive pour les proxies
La fonctionnalité KeepAlive permet de maintenir une session ouverte en l'absence totale de trafic
réseau entre WALLIX Bastion et le client ou le serveur cible. Un message est alors envoyé par
WALLIX Bastion au client ou au serveur cible pour maintenir la liaison entre les deux.
12.19.1. Configuration de la fonctionnalité KeepAlive pour la

liaison entre le proxy RDP et le client RDP
Pour activer cette fonctionnalité, il est nécessaire de renseigner l’intervalle de temps en
millisecondes entre deux émissions de messages KeepAlive. Ce paramètre peut être géré depuis «
Configuration » > « Options de configuration » > « RDP proxy » puis, renseignez la valeur appropriée
pour l'option « Rdp keepalive connection interval ». Par défaut, cette valeur est égale à « 0 » : la
fonctionnalité est alors désactivée.
Avertissement :
Les clients RDP basés sur FreeRDP peuvent être incompatibles avec les messages
KeepAlive.

liaison entre le proxy SSH et le client SSH
Pour activer cette fonctionnalité, il est nécessaire de renseigner l’intervalle de temps en
secondes entre deux émissions de messages KeepAlive. Ce paramètre peut être géré depuis «
Configuration » > « Options de configuration » > « SSH proxy » puis, renseignez la valeur appropriée
279
pour l'option « Client keepalive ». Par défaut, cette valeur est égale à « 120 » : la fonctionnalité est
alors activée pour un intervalle de 2 minutes entre deux émissions de messages.
Avertissement :
Support WALLIX !

liaison entre le proxy SSH et le serveur cible SSH
Pour activer cette fonctionnalité, il est nécessaire de renseigner les champs suivants, sous la
section « session », sur la page de configuration de la politique de connexion définie sur le protocole
SSH, accessible depuis le menu « Gestion des sessions » > « Politiques de connexion » :
• « Server keepalive type » : cette option permet d'activer l'envoi du message Keepalive au serveur
et de choisir le type de paquet à envoyer. Par défaut, la valeur « none » est sélectionnée : la
fonctionnalité est alors désactivée.
• « Server keepalive interval » : cette option permet de renseigner l’intervalle de temps en
secondes entre deux émissions de messages KeepAlive, lorsque la fonctionnalité a été activée
en choisissant un type de paquet à envoyer au niveau de l'option « Server keepalive type ». Par
défaut, cette valeur est égale à « 0 » : la fonctionnalité est alors désactivée.
Avertissement :
Ces champs sont affichés lorsque la case du champ « Options avancées » sur la droite
de la page est cochée et doivent être UNIQUEMENT modifiés sur les instructions de
l’Équipe Support WALLIX !
12.20. Utilisation du mode « session probe »

Le mode « session probe » permet de collecter des ensembles riches de méta-données de session
liées à l'activité des utilisateurs. Ces informations peuvent être redirigées vers un logiciel de
type SIEM afin d'identifier des évènements significatifs. Pour plus d'informations, voir Section 8.9,
« Intégration SIEM », page 60.
Ce mode peut être activé en cochant l'option « Enable session probe » sur la page de configuration
de la politique de connexion définie sur le protocole RDP, accessible depuis le menu « Gestion des
sessions » > « Politiques de connexion ».
Ce mode ne nécessite pas de déploiement spécifique. Il s'exécute dans la session RDP de

l'utilisateur en fonction des privilèges de ce dernier. De ce fait, il n’entraîne pas d'augmentation de
la surface d'attaque du système d’information.
Les méta-données sont collectées par le mode « session probe » lors des évènements suivants :
• changement de fenêtre active,

• activation d'un bouton dans une fenêtre,
• sélection d'un bouton radio ou d'une case à cocher dans une fenêtre,
280
• changement de contenu dans un champ de texte dans une fenêtre,

• changement de disposition des touches clavier,
• début et fin d'un processus,
• échange de fichiers via le presse-papier,
• échanges de fichiers via des disques locaux redirigés.
Le mode « session probe » peut également bloquer les connexions TCP par rebond. Une connexion
par rebond consiste à passer par une cible WALLIX Bastion pour accéder à une autre machine sur
le réseau interne. Ce mode peut alors détecter et interrompre ce type de connexion.
Le mode « session probe » contribue à la protection des mots de passe saisis dans la session en
détectant l’entrée du curseur dans des champs de saisie de mot de passe ou dans une fenêtre
UAC (User Account Control). Quand un tel évènement se produit dans la session, WALLIX Bastion
reçoit alors l'information afin de mettre en pause la collecte des données saisies au clavier.
12.20.1. Mode de fonctionnement par défaut

Le mode « session probe » est activé par défaut sur la page de configuration de la politique de
Politiques de connexion ». En cas d'échec au démarrage, WALLIX Bastion peut être configuré pour
retenter une nouvelle connexion sans ce mode. Ce mécanisme de rattrapage garantit au maximum
l'accès à une session RDP utilisable mais rallonge le temps nécessaire à l'établissement de la
connexion. Ce mode est conçu pour la phase de mise au point des paramètres et ne doit pas être
utilisé pour la production.
Si le mode « session probe » s'arrête pour une raison quelconque, WALLIX Bastion interrompra
la session en cours.
Comme pour une session RDP classique, si l'utilisateur se déconnecte sans fermer une session
sous le mode « session probe », celle-ci continuera à fonctionner via le service Bureau à distance
(pour une durée prédéterminée). Pendant ce laps de temps, l'utilisateur a la possibilité de reprendre
la session là où il l'a laissée. Afin de garantir un niveau satisfaisant de sécurité, ce mode
dispose d'un mécanisme visant à empêcher la reprise de la session de l'utilisateur par une autre
incompatible.
Les incompatibilités qui empêchent la reprise d'une session par une autre peuvent être les
suivantes :
• une différence au niveau du compte primaire,

• une différence au niveau du type de cible (« équipement » ou « application »),
• une différence d'application cible.
Si WALLIX Bastion constate une impossibilité de reprise de la session RDP, la connexion en cours
est interrompue et une nouvelle prend le relais de façon transparente pour l'utilisateur.
12.20.2. Choix du lanceur
Le lanceur intelligent « smart launcher » est utilisé par défaut pour une session RDP standard. Il
est possible d’utiliser le lanceur classique en modifiant la politique de connexion, accessible depuis
le menu « Gestion des sessions » > « Politiques de connexion ».
Il existe cependant une exception : lorsque le client RDP a spécifié un programme à démarrer lors
de la connexion, alors le lanceur classique est utilisé pour lancer le mode Session Probe.
281
Lors de la connexion à une application (telle que définie depuis « Cibles » > « Applications »), seul
le lanceur classique fonctionne. Ce choix est fait automatiquement par le proxy RDP.
12.20.3. Prérequis
Le mode « session probe » fonctionne sous un système d'exploitation Windows avec le service
Bureau à distance supportant la fonction « alternate shell ».
Les environnements sous Windows XP et les serveurs à partir de Windows Server 2003 supportent
l'utilisation du lanceur intelligent « smart launcher ».
Lorsque le lanceur « smart launcher » est utilisé :
• la redirection du presse-papier doit être autorisée par Remote Desktop Services (ou Terminal
Services) sur la cible. Ceci est le cas par défaut.
• les touches de raccourci Windows+R doivent être activées au niveau des stratégies de groupe
de la cible (ceci est le cas par défaut). Les touches de raccourci peuvent être désactivées
via « Éditeur de stratégie de groupe locale » > « Configuration utilisateur » > « Modèles
d'administration » > « Composants Windows » > « Explorateur Windows » ou « Explorateur de
fichiers » > « Désactiver les touches de raccourci Windows+X » ou « Désactiver les touches de
raccourci Windows ».
Le lanceur classique ne fonctionne que sur les cibles sous des environnements Windows Server
et Windows XP. Il ne fonctionnera pas avec les cibles sous Windows 7, 8.x et 10.
A partir de Windows Server 2008, et uniquement dans le cas de l'utilisation du lanceur
classique, il est nécessaire de publier l'invite de commande (cmd.exe) en tant que programme
RemoteApp. Pour plus d'informations, voir https://technet.microsoft.com/en-gb/
library/cc753788.aspx. De plus, il est nécessaire d'autoriser tous les paramètres de
ligne de commande pour ce programme en sélectionnant le bouton radio « Allow any
command-line parameters » dans la boîte de dialogue « Remote Desktop Connection Program
properties ». Pour plus d'informations, voir https://blogs.technet.microsoft.com/
infratalks/2013/02/06/publishing-remoteapps-and-remote-session-in-
remote-desktop-services-2012/.
La redirection des lecteurs locaux doit être autorisée par Remote Desktop Services (ou Terminal
Services) sur la cible. Ceci est le cas par défaut.
Le répertoire temporaire du compte secondaire (compte Windows) doit disposer d’au moins 5 Mo
d’espace disque disponible.
Le compte de l'utilisateur Windows doit pouvoir lancer des scripts batch et des exécutables depuis
son répertoire temporaire personnel (ceci est le cas par défaut). Il est possible d'imposer une
restriction logicielle via « Stratégie de groupe » > « Configuration ordinateur » > « Paramètres
Windows » > « Paramètres de sécurité » > « Stratégies de restriction logicielle » en ajoutant une
nouvelle règle dans « Règles supplémentaires ».
Lors de l'ouverture d'une nouvelle session RDP, les applications se lançant automatiquement au
démarrage et nécessitant une demande de confirmation du contrôle de compte d'utilisateur (UAC)
peuvent bloquer le mode « session probe ». Nous vous recommandons de ne pas configurer le
lancement automatique d'applications nécessitant une demande de confirmation de l'UAC.
12.20.4. Configuration
La configuration du mode « session probe » peut être effectuée sur la page de configuration de
la politique de connexion définie sur le protocole RDP, accessible depuis le menu « Gestion des
282
sessions » > « Politiques de connexion ». La section « session probe » recense les paramètres
suivants :
Champ « Enable session probe »
Cocher/décocher la case pour activer/désactiver le mode « session probe ».
Champ « Use smart launcher »
Cocher/décocher la case pour activer/désactiver l'utilisation du lanceur intelligent « smart launcher »
au démarrage du mode « session probe ».
Avertissement :
Les cibles sous des environnements Windows XP et Windows Server 2003 et ultérieur
sont pris en charge.
Il n'est pas nécessaire de publier l'invite de commande (cmd.exe) en tant que programme
RemoteApp pour utiliser « smart launcher », sauf dans le cas de l'utilisation du mode «
session probe » lors du lancement d'une application.
La redirection du presse-papier doit être autorisée par Terminal Services pour utiliser «
smart launcher » (ceci est le cas par défaut).
Champ « Enable launch mask »

Le mode « session probe » est chargé par un script de commandes. Sans l'intervention de WALLIX
Bastion, ce dernier affiche une fenêtre de console de couleur noire peu esthétique dans la session
RDP. De plus, l'utilisateur peut interagir avec cette fenêtre et perturber le bon déroulement du
chargement. Le masquage permet de bloquer l'affichage et les saisies souris et clavier pendant
la phase du chargement du mode « session probe » et, de ce fait, rendre invisible la fenêtre de
la console.
Les données affichées dans la fenêtre de la console sont utiles pour diagnostiquer d'éventuels
problèmes de chargement du mode « session probe », c'est pourquoi l'utilisateur a la possibilité
de désactiver le masquage.
Avertissement :
Support WALLIX !
Champ « On launch failure »

Sélectionner le comportement souhaité dans l'éventualité d'un échec de démarrage du mode «
session probe ».
L'option « 0: ignore failure and continue » peut ne pas fonctionner correctement sous certaines
versions de Windows.
Champ « Launch timeout »
Ce champ est utilisé lorsque le comportement sélectionné dans le champ « On launch failure »
correspond à l'option « 1: disconnect user ». Il permet de renseigner le temps d'attente (exprimé
en millisecondes) avant que WALLIX Bastion considère l'échec de démarrage du mode « session
probe ».
283
Avertissement :
Support WALLIX !
Champ « Launch fallback timeout »
Ce champ est utilisé lorsque le comportement sélectionné dans le champ « On launch failure »
correspond à l'option « 0: ignore failure and continue » ou « 2: reconnect without Session Probe ».
Il permet de renseigner le temps d'attente (exprimé en millisecondes) avant que WALLIX Bastion
considère l'échec de démarrage du mode « session probe ».
Avertissement :
Support WALLIX !
Champ « Start launch timeout timer only after logon »
Cocher la case pour optimiser le démarrage du mode « session probe ».
Avertissement :
Seuls les serveurs à partir de Windows Server 2008 ou plus récents sont supportés !
Champ « Keepalive timeout »
Ce champ permet de renseigner le temps d'attente (exprimé en millisecondes) entre l'émission par
WALLIX Bastion d'une requête de KeepAlive vers le mode « session probe » et la réception de la
réponse correspondante.
WALLIX Bastion envoie régulièrement des messages KeepAlive à destination du mode « session
probe ». Sans une réponse de la part de ce dernier et à l'expiration du délai, WALLIX Bastion
conclura que le mode « session probe » n'est plus actif et coupera la connexion.
WALLIX Bastion peut également couper la connexion lorsque le comportement sélectionné dans
le champ « On keepalive timeout » correspond à l'option « 1: disconnect user ».
Avertissement :
Support WALLIX !
Champ « On keepalive timeout »
Sélectionner le comportement souhaité lorsqu'une perte de réponse au message KeepAlive est

détectée.
L'option « 2: freeze session and wait for next keepalive response » entraîne le gel de la session en
cours avec l'affichage d'un message d'erreur. La session ne sera réactivée qu'après la réception
d'une réponse au message KeepAlive.
284
Champ « End disconnected session »
Si cette case est cochée, alors les sessions déconnectées seront automatiquement fermées par
le mode « session probe ».
Avertissement :
Une coupure réseau peut provoquer la déconnexion des sessions RDP en cours. Si cette
option est activée, toutes les données non sauvegardées seront définitivement perdues.
Champ « Enable log »
Si cette case est cochée, alors les fichiers de log de la session Windows sont stockés dans le
répertoire temporaire de l'utilisateur.
Ce fichier de log peut être très verbeux. Il est donc recommandé de ne pas maintenir ce fichier
activé de façon prolongée afin de ne pas occasionner la saturation du disque dur.
Avertissement :
Support WALLIX !
Champ « Enable bestsafe interaction »
Cocher/décocher la case pour activer/désactiver l'interaction du mode « session probe » avec

l'agent WALLIX BestSafe. Pour plus d'informations, voir Section 12.21, « Utilisation du mode «
session probe » avec l'agent WALLIX BestSafe », page 288.
Champ « Public session »
Si cette case est cochée, alors une session fermée (c'est-à-dire une session pour laquelle
l'utilisateur ne s'est pas déconnecté) peut être récupérée par un autre utilisateur.
Champ « Outbound connection monitoring rules »
Ce champ permet de renseigner les règles de blocage des connexions TCP par rebond.
Ces règles sont généralement formulées ainsi : <$préfixe:><adresse de connexion:port>.
Les règles doivent être séparées les unes des autres par des virgules (« , »).
Les formats suivants sont autorisés pour le port de destination :
• un port spécifique, par exemple : « 3389 »,

• un port quelconque, par exemple : « 0 » or « * »,
• une plage de ports inclusive, par exemple : « 1024-65535 ». L'une des deux valeurs de cette
plage peut être omise. Dans ce cas, « 1 » est la valeur par défaut pour le début de la plage et «
65535 » est la valeur par défaut pour la fin de la plage.
Une règle d'autorisation est formulée avec le préfixe $allow. Elle autorise la connexion vers des
hôtes distants.
Une règle de notification est formulée avec le préfixe $notify. Elle autorise la connexion vers des
hôtes distants et permet de générer une notification.
285
Une règle d'interdiction est formulée avec le préfixe $deny. Elle interdit la connexion. Le préfixe
$deny peut être omis. Une règle formulée avec le préfixe $deny est prioritaire sur une règle
formulée avec le préfixe $notify pour la même adresse de connexion.
Par exemple, pour interdire toutes les connexions RDP par rebond, on peut utiliser la règle : «
$deny:0.0.0.0/0:3389 » ou « 0.0.0.0/0:3389 ».
Champ « Process monitoring rules »
Ce champ permet de renseigner les règles de surveillance lors du lancement de processus.
Ces règles sont généralement formulées ainsi : <$préfixe:><motif de recherche>.
Les règles doivent être séparées les unes des autres par des virgules (« , »).
Une règle de notification est formulée avec le préfixe $notify. Elle permet de générer une
notification.
Exemple : $notify:notepad.exe : l'ouverture de l'application notepad.exe est notifiée mais pas
interdite.
Une règle d'interdiction est formulée avec le préfixe $deny. Elle permet d'interrompre le processus,
en plus de la notification. Le préfixe $deny peut être omis. Une règle formulée avec le préfixe $deny
est prioritaire sur une règle formulée avec le préfixe $notify.
Exemple 1 : $deny:notepad.exe : l'ouverture de l'application notepad.exe est interdite et notifiée.
Exemple 2 : notepad.exe,cmd.exe : l'ouverture des applications notepad.exe et cmd.exe est
interdite et notifiée.
Exemple 3 : $notify:notepad.exe,$deny:notepad.exe : même résultat que celui de l'exemple 1
ci-dessus.
Par ailleurs, les règles formulées par <$prefix:><@> s'appliquent à tous les processus fils de
l'application (telle que définie depuis « Cibles » > « Applications »). Par conséquent, si cette règle
correspond à :
• $deny:@, alors l'ouverture de tout processus fils (quel que soit son nom) est interdite et notifiée,
• $notify:@, alors l'ouverture de tout processus fils (quel que soit son nom) est notifiée mais pas
interdite.
Champ « Extra system processes »

Ce champ permet de renseigner les processus à ignorer lors de la détection de la fin de l'application.
Les processus doivent être séparés les uns des autres par des virgules (« , »).
Champ « Childless window as unidentified input fied »
Si cette case est cochée, alors les données saisies (telles que les mots de passe) dans des
fenêtres primaires d'applications dans lesquelles aucun sous-composant graphique n'est détecté
sont masquées.
Ces fenêtres sont alors considérées comme des champs de saisie non identifiés.
Avertissement :
Ce paramétrage fonctionne uniquement si la valeur « 2: passwords and unidentified texts
are masked » (masquage des mots de passe et des textes non identifiés) est sélectionnée
286
dans le champ « Keyboard input masking level » de la section « session log », pour
l'affichage des informations dans les méta-données de la session.
Champ « Windows of these applications as unidentified input fied »

Lorsque des exécutables d'applications (par exemple « chrome.exe ») sont renseignés dans ce
champ, alors les données saisies dans les fenêtres générées par ces applications sont masquées.
Ces fenêtres sont alors considérées comme des champs de saisie non identifiés.
Les exécutables doivent être séparés les uns des autres par des virgules (« , »).
Avertissement :
Ce paramétrage fonctionne uniquement si la valeur « 2: passwords and unidentified texts
are masked » (masquage des mots de passe et des textes non identifiés) est sélectionnée
dans le champ « Keyboard input masking level » de la section « session log », pour
l'affichage des informations dans les méta-données de la session.
12.20.5. Lancement du mode « session probe » depuis un

répertoire spécifique
Par défaut, le mode « session probe » s'exécute automatiquement depuis le répertoire temporaire
du compte de l'utilisateur Windows lors de la connexion à une cible pour effectuer une session RDP.
Cependant, des restrictions matérielles peuvent dans certains cas empêcher cette exécution. Il est
alors possible de définir un autre répertoire à partir duquel le mode « session probe » se lancera.
Pour permettre le lancement du mode « session probe » depuis un emplacement différent du
répertoire temporaire du compte de l'utilisateur Windows, il est nécessaire de suivre les étapes de
la procédure suivante :
1. Créer un nouveau répertoire sur la cible qui sera utilisé comme répertoire de démarrage par
le mode « session probe ».
Important :
Tous les utilisateurs Windows doivent avoir les droits en écriture.
2. Définir une variable d'environnement pour tous les utilisateurs Windows sur la cible qui pointera
vers ce nouveau répertoire.
Important :
La longueur maximale du nom de la variable d'environnement est de 3 caractères.
3. Renseigner le nom de cette variable d'environnement dans le champ « Alternate directory

environment variable » (affiché en option avancée) sous la section « session probe » sur la
page de configuration de la politique de connexion définie sur le protocole RDP, accessible
Avertissement :
Le fichier exécutable du mode « session probe » est conservé dans le répertoire. Ce
fichier sera remplacé lors d'une nouvelle connexion.
287
12.21. Utilisation du mode « session probe »

avec l'agent WALLIX BestSafe
Lorsque l'agent WALLIX BestSafe est déployé sur une cible Windows, il peut interagir avec le mode
« session probe » afin d'enrichir sa collecte des méta-données de session.
Note :
Cette interaction est prise en charge à partir de WALLIX BestSafe Enterprise version
4.0.0.
12.21.1. Activation de l'interaction avec l'agent WALLIX

BestSafe
Le mode « session probe » est activé par défaut sur la page de configuration de la politique de
Politiques de connexion ».
L'interaction avec l'agent WALLIX BestSafe est désactivée par défaut. Ce paramètre peut être géré
depuis « Gestion des sessions » > « Politiques de connexion » > « RDP » puis, cochez l'option «
Enable bestsafe interaction » de la section « session probe ».
12.21.2. Log des évènements

Le mode « session probe » reçoit les notifications de tous les évènements détectés et/ou générés
par l'agent WALLIX BestSafe déployé sur les cibles Windows. Ces notifications sont ensuite
transférées et journalisées au sein de WALLIX Bastion dans les méta-données de la session et
les messages SIEM.
12.21.3. Détection des connexions sortantes

Le mode « session probe » crée automatiquement une règle de surveillance à partir de l'agent
WALLIX BestSafe afin d'être notifié des connexions sortantes. Lors de la réception d'une notification
depuis l'agent, le mode « session probe » agit en fonction des règles (allow, deny, or notify)
définies dans le champ « Outbound connection monitoring rules ». Pour plus d'informations sur
ce champ, voir Section 12.20.4, « Configuration », page 282. Ce fonctionnement est toujours
opérationnel sur les cibles Windows sur lesquelles l'agent WALLIX BestSafe n'est pas déployé.
12.21.4. Détection du lancement de processus

Le mode « session probe » crée automatiquement une règle de privilège à partir de l'agent WALLIX
BestSafe afin d'être notifié des lancements de processus. Lors de la réception d'une notification
depuis l'agent, le mode « session probe » agit en fonction des règles (allow, deny, or notify)
définies dans le champ « Process monitoring rules ». Pour plus d'informations sur ce champ, voir
Section 12.20.4, « Configuration », page 282. Ce fonctionnement est toujours opérationnel sur
les cibles Windows sur lesquelles l'agent WALLIX BestSafe n'est pas déployé.
12.22. Répartition de charge avec Remote

Desktop Connection Broker
288
Remote Desktop Connection Broker (RD Connection Broker) est un service de rôle du système
d’exploitation Windows Server 2012 et 2016 ayant pour vocation de :
• permettre à l'utilisateur de se reconnecter à sa session existante dans une batterie de serveurs

hôtes de session Bureau à distance à charge répartie ;
• permettre de répartir uniformément la charge de sessions entre les différents serveurs dans une
batterie de serveurs hôtes de session Bureau à distance à charge répartie ;
• fournir aux utilisateurs un accès aux ordinateurs virtuels hébergés sur les serveurs hôtes de
virtualisation Bureau à distance et aux programmes RemoteApp hébergés sur les serveurs hôtes
de session Bureau à distance via des connexions aux programmes RemoteApp et aux services
Bureau à distance.
Figure 12.16. Répartition de la charge
12.22.1. Prérequis
WALLIX Bastion supporte Remote Desktop Connection Broker avec la configuration suivante :
• au moins un serveur doit disposer du service de rôle RD Connection Broker,

• au moins un serveur doit disposer du service de rôle RD Licensing,
• au moins un serveur doit disposer du service de rôle RD Web Access,
• les services de rôle RD Connection Broker, RD Licensing et RD Web Access peuvent partager
un même serveur,
• plusieurs serveurs doivent disposer du service de rôle RD Session Host.
Attention :
Il est recommandé de ne pas installer le service de rôle RD Session Host sur un serveur
disposant du service de rôle RD Connection Broker.
L'utilisation de RD Connection Broker est incompatible avec un cluster défini au sein
de WALLIX Bastion, en raison d'interférences entre les deux services. Nous vous
recommandons vivement de privilégier l'utilisation de RD Connection Broker dans le
cadre de la répartition de charge.
Il n’est pas nécessaire de choisir entre les collections de type programmes RemoteApp et Bureau
à distance lorsque l'accès aux ressources est effectué via l'interface Web de WALLIX Bastion.
289
En effet, WALLIX Bastion utilise la collection de type programmes RemoteApp pour toutes les
connexions.
Il est nécessaire de paramétrer RD Connection Broker sur les serveurs hôtes de session Bureau
à distance. Ce paramétrage peut être effectué de façon locale (sur chacun des RD Session Host)
avec Local Group Policy Editor (gpedit.exe).
Les valeurs à modifier se trouvent toutes dans les sous-dossiers suivants :
• Local Computer Policy,

• Computer Configuration,
• Administrative Templates,
• Windows Components,
• Remote Desktop Services,
• Remote Desktop Session Host et,
• RD Connection Broker.
Ces valeurs sont les suivantes :
• Join RD Connection Broker,

• Configure RD Connection Broker farm name,
• Configure RD Connection Broker server name et,
• Use RD Connection Broker load balancing.
12.22.2. Configuration
RD Connection Broker doit être déclaré en tant que cible au sein de WALLIX Bastion.
Afin de cibler directement RD Connection Broker (et non pas l'un des RD Session Host), il est
nécessaire de renseigner le champ « Load balance info » au niveau de la politique de connexion
RDP, accessible depuis « Gestion des sessions » > « Politiques de connexion ».
Ce champ doit être renseigné avec l'information récupérée du champ « loadbalanceinfo:s: » dans
le fichier .rdp enregistré depuis la page Work Resources de RD Web Access (https://<ip-
rd_web_access>/rdweb/).
Voici un exemple de cette information : tsv://MS Terminal Services Plugin.1.Sessions.
Pour plus d'informations sur les politiques de connexion, voir Section 12.4, « Politiques de
connexion », page 260.
12.23. Messages de connexion
Sur la page « Messages de connexion » située dans le menu « Configuration », vous pouvez
visualiser et modifier les messages des bannières affichées à l'utilisateur lors de la connexion
primaire et de la connexion secondaire, en fonction de sa langue d'affichage préférée. Ces
messages s'affichent sur :
• l'écran de connexion de l'interface Web,

• l'écran de connexion du proxy RDP,
• la console SSH lors de l'authentification.
290
Note :
Ces messages ne sont pas affichés à l'utilisateur dans le cas des sessions SFTP, SCP
ou en « remote command » (SSH_REMOTE_COMMAND) avec une clé SSH pour
l'authentification primaire ou un ticket Kerberos.
Figure 12.17. Page « Messages de connexion »
291
Chapitre 13. Tableaux de bord
Le menu « Tableaux de bord » permet d'obtenir une analyse détaillée de l'ensemble des connexions
effectuées à travers WALLIX Bastion dans un contexte d'administration ou d'audit, sous forme de
données chiffrées, de vues tabulaires et de graphiques sur une période de temps donnée.
Note :
Le menu « Tableaux de bord » ne sera pas affiché sur l'interface Web si l'option « Enable
modules », sous la section « main » accessible depuis le menu « Configuration » >
« Options de configuration » > « Module configuration » est décochée. Cette option
est affichée lorsque la case du champ « Options avancées » sur la droite de la page
est cochée et doit être UNIQUEMENT modifiée sur les instructions de l’Équipe Support
WALLIX !
L'envoi de rapports hebdomadaires est possible pour les tableaux de bord
« Administration » et « Audit ». Pour plus d'informations sur l'envoi de ces rapports
hebdomadaires, voir Section 9.5, « Configuration des notifications », page 104.
13.1. Tableau de bord d'administration

Sur la page « Administration » du menu « Tableaux de bord », il est possible de générer les
graphiques à partir de données statistiques définies sur l'onglet « Live », ou encore d'obtenir une
vue des données chiffrées regroupées sous forme d'indicateurs sur l'onglet « KPIs ».
Les données visualisables depuis ce tableau de bord concernent principalement les connexions
des utilisateurs et les connexions aux cibles.
Important :
Seul l'utilisateur dont le profil est associé au tableau de bord « Administration » peut
visualiser l'entrée « Administration » du menu « Tableaux de bord ».
L'utilisateur associé au profil « product_administrator » ou « operation_administrator » a
accès par défaut à cette entrée de menu.
13.1.1. Visualisation des données sur l'onglet « Live »

L'onglet « Live » permet de générer des graphiques en fonction des données renseignées sur les
différentes zones de filtre affichées dans la partie supérieure de la page :
• La zone « Time filter » permet de définir la période souhaitée pour la visualisation des données.
Par défaut, cette période correspond aux 7 derniers jours et peut être modifiée en cliquant sur la
valeur « Last week » définie sous « Time range ». Une fenêtre s'affiche alors : il est possible de
sélectionner une période prédéfinie sur l'onglet « Defaults » ou de définir une plage calendaire ou
encore un nombre de jours précédant la date courante sur l'onglet « Custom ». Il est nécessaire
de cliquer sur « OK » pour générer les graphiques correspondant à cette période.
• La zone « User group filter » permet de restreindre l'affichage des graphiques en sélectionnant
un ou plusieurs groupes utilisateurs, en fonction de la période définie.
292
• La zone « Target group filter » permet de restreindre l'affichage des graphiques en sélectionnant
un ou plusieurs groupes de cibles, en fonction de la période définie.
Chaque zone de filtre affiche une icône dans la partie supérieure droite indiquant le nombre de
filtres actifs correspondants. Il est possible de cliquer sur cette icône pour visualiser les filtres actifs
sous la section « Applied Filters » dans une fenêtre dédiée. Cette dernière affiche éventuellement
les filtres non paramétrés sous la section « Unset Filters ». Un clic sur chaque type de filtre dans
ces sections redirige vers la zone de filtre correspondante en haut de la page afin de modifier et/
ou d'ajouter un ou plusieurs critères.
Une fois les données pertinentes renseignées dans les différentes zones, un ensemble de
graphiques s'affiche sur la page. Il est alors possible d'effectuer les actions suivantes :
• mettre en évidence les données souhaitées en cliquant sur l'entrée de la légende au-dessus du
graphique,
• afficher les données chiffrées pour un jour donné en passant le pointeur de la souris sur le
graphique,
• redéfinir les filtres en cliquant sur l'icône dans la partie supérieure droite du graphique.
Figure 13.1. Page « Administration » - onglet « Live »
13.1.2. Visualisation des données sur l'onglet « KPIs »

L'onglet « KPIs » permet d'obtenir une vue des données chiffrées regroupées sous forme
d'indicateurs, et notamment :
• le nombre d'utilisateurs connectés sur la période définie, le nombre d'équipements et de comptes

déclarés et gérés au sein de WALLIX Bastion,
293
• le nombre d'utilisateurs connectés, le nombre d'équipements et de comptes utilisés pour des

sessions sur les 7 derniers jours par rapport à la semaine précédente,
• le nombre d'utilisateurs inactifs depuis 180 jours, ainsi que le nombre de comptes et
d'équipements n'ayant jamais été utilisés pour des sessions.
Une vue tabulaire permet également de visualiser les connexions les plus anciennes par groupes
utilisateurs et par groupes de comptes cibles.
Figure 13.2. Page « Administration » - onglet « KPIs »
13.1.3. Fonctionnalités communes
Dans la partie supérieure droite de la page du tableau de bord, un menu contextuel propose les
actions suivantes :
• « Refresh dashboard » : cette fonctionnalité permet de rafraîchir instantanément tous les

éléments du tableau de bord,
• « Set auto-refresh interval » : cette fonctionnalité permet de sélectionner l'intervalle de temps
entre chaque rafraîchissement automatique du tableau de bord. Cet intervalle est uniquement
sauvegardé pour la session en cours.
• « Download as image » : cette fonctionnalité lance le téléchargement du tableau de bord au
format JPG.
Dans la partie supérieure droite de chaque élément présent sur les onglets « Live » et « KPIs » du
tableau de bord, un menu contextuel propose les actions suivantes :
• « Force refresh » : cette fonctionnalité permet de rafraîchir instantanément les données.

L'indication du dernier rafraîchissement est également mentionnée.
• « Maximize chart » : cette fonctionnalité permet d'afficher la vue du graphique en plein écran.
Il est alors possible de revenir à la vue condensée en cliquant sur l'entrée « Minimize chart »
depuis ce même menu contextuel.
• « Download as image » : cette fonctionnalité lance le téléchargement du graphique au format

JPG,
294
• « Export CSV » : cette fonctionnalité lance le téléchargement des données présentes sur le
graphique sous la forme d’un fichier .csv.
13.2. Tableau de bord d'audit

Sur la page « Audit » du menu « Tableaux de bord », il est possible de générer les graphiques et
les tableaux à partir de données statistiques définies sur les différentes zones de filtre.
Les données visualisables depuis ce tableau de bord concernent principalement les activités des
comptes, des sessions, des groupes utilisateurs et des groupes de comptes cibles.
Important :
Seul l'utilisateur dont le profil est associé au tableau de bord « Audit » peut visualiser
l'entrée « Audit » du menu « Tableaux de bord ».
L'utilisateur associé au profil « product_administrator » ou « auditor » a accès par défaut
à cette entrée de menu.
13.2.1. Visualisation des données

Dans la partie supérieure de la page, les différentes zones de filtre permettent de définir les données
pertinentes pour la génération des graphiques et des tableaux :
• La zone « Time filter » permet de définir la période souhaitée pour la visualisation des données.
Par défaut, cette période correspond aux 7 derniers jours et peut être modifiée en cliquant sur la
valeur « Last week » définie sous « Time range ». Une fenêtre s'affiche alors : il est possible de
sélectionner une période prédéfinie sur l'onglet « Defaults » ou de définir une plage calendaire ou
encore un nombre de jours précédant la date courante sur l'onglet « Custom ». Il est nécessaire
de cliquer sur « OK » pour générer les graphiques correspondant à cette période.
• La zone « User group filter » permet de restreindre l'affichage des graphiques en sélectionnant
un ou plusieurs groupes utilisateurs, en fonction de la période définie.
• La zone « Target group filter » permet de restreindre l'affichage des graphiques en sélectionnant
un ou plusieurs groupes de cibles, en fonction de la période définie.
Chaque zone de filtre affiche une icône dans la partie supérieure droite indiquant le nombre de
filtres actifs correspondants. Il est possible de cliquer sur cette icône pour visualiser les filtres actifs
sous la section « Applied Filters » dans une fenêtre dédiée. Cette dernière affiche éventuellement
les filtres non paramétrés sous la section « Unset Filters ». Un clic sur chaque type de filtre dans
ces sections redirige vers la zone de filtre correspondante en haut de la page afin de modifier et/
ou d'ajouter un ou plusieurs critères.
Une fois les données pertinentes renseignées dans les différentes zones, un ensemble de
graphiques et de tableaux s'affiche sur la page. Ceux-ci concernent notamment :
• les activités des comptes et des sessions,
• les classements portant sur les sessions, les groupes utilisateurs, les groupes de comptes cibles
et les équipements.
Il est possible d'effectuer les actions suivantes :
295
• mettre en évidence les données souhaitées en cliquant sur l'entrée de la légende au-dessus du
graphique,
• afficher les données chiffrées pour un jour donné en passant le pointeur de la souris sur le
graphique,
• redéfinir les filtres en cliquant sur l'icône dans la partie supérieure droite du graphique ou du
tableau.
Figure 13.3. Page « Audit »
13.2.2. Fonctionnalités communes
Dans la partie supérieure droite de la page du tableau de bord, un menu contextuel propose les
actions suivantes :
296
• « Refresh dashboard » : cette fonctionnalité permet de rafraîchir instantanément tous les

éléments du tableau de bord,
• « Set auto-refresh interval » : cette fonctionnalité permet de sélectionner l'intervalle de temps
entre chaque rafraîchissement automatique du tableau de bord. Cet intervalle est uniquement
sauvegardé pour la session en cours.
• « Download as image » : cette fonctionnalité lance le téléchargement du tableau de bord au
format JPG.
Dans la partie supérieure droite de chaque élément présent sur le tableau de bord d'audit, un menu
contextuel propose les actions suivantes :
• « Force refresh » : cette fonctionnalité permet de rafraîchir instantanément les données.

L'indication du dernier rafraîchissement est également mentionnée.
• « Maximize chart » : cette fonctionnalité permet d'afficher la vue du graphique en plein écran.
Il est alors possible de revenir à la vue condensée en cliquant sur l'entrée « Minimize chart »
depuis ce même menu contextuel.
• « Download as image » : cette fonctionnalité lance le téléchargement du graphique au format

JPG,
• « Export CSV » : cette fonctionnalité lance le téléchargement des données présentes sur le
graphique sous la forme d’un fichier .csv.
297
Chapitre 14. Gestion des autorisations

WALLIX Bastion permet de définir des autorisations. Celles-ci déterminent les comptes cibles et
les protocoles qui peuvent être utilisés par l'utilisateur pour se connecter aux équipements.
Les autorisations s'appliquent à des groupes utilisateurs rattachés à des groupes de cibles. Tous
les utilisateurs appartenant à un même groupe héritent des mêmes autorisations.
Sur la page « Gestion des autorisations » du menu « Autorisations », vous pouvez :
• lister les autorisations déclarées,

• ajouter/modifier/supprimer une autorisation,
• importer des autorisations à partir d'un fichier .csv afin d'alimenter la base autorisations de
WALLIX Bastion.
Figure 14.1. Page « Gestion des autorisations »
14.1. Ajouter une autorisation

Sur la page « Gestion des autorisations », cliquez sur « Ajouter une autorisation » pour afficher la
page de création de l’autorisation.
Une autorisation représente un lien créé entre un groupe utilisateurs et un groupe de cibles.
Plusieurs autorisations peuvent être créées entre ces deux groupes.
• un groupe utilisateurs,
• un groupe de cibles,
• un champ pour la saisie du nom de l’autorisation (le caractère « & » n'est pas autorisé),
• une case à cocher pour indiquer si les cibles concernées par la nouvelle autorisation sont critiques
ou non (une notification peut être envoyée à chaque fois qu’un accès a lieu sur une cible critique),
• une case à cocher pour activer ou désactiver les sessions à distance. Cette option est cochée par
défaut pour la nouvelle autorisation. Dans ce cas, vous pouvez sélectionner dans la liste du cadre
inférieur les protocoles pouvant être associés avec un groupe utilisateurs et un groupe de cibles
donnés. Déplacez un protocole depuis le cadre « Protocoles/Sous-protocoles disponibles » vers
le cadre « Protocoles/Sous-protocoles sélectionnés » pour choisir le protocole. Et inversement,
298
déplacez un protocole depuis le cadre « Protocoles/Sous-protocoles sélectionnés » vers le cadre

« Protocoles/Sous-protocoles disponibles » pour supprimer l'association.
• une case à cocher pour activer ou désactiver l’enregistrement de session. Les types
d’enregistrements réalisés dépendent du protocole d’accès à l’équipement.
• une case à cocher pour activer ou désactiver l’emprunt de mot de passe. Cette option est cochée
par défaut pour la nouvelle autorisation.
• une case à cocher pour activer ou désactiver une procédure d’approbation pour
la nouvelle autorisation. Pour plus d’informations, voir Section 14.7, « Procédure
Figure 14.2. Page « Gestion des autorisations » en mode création
14.2. Modifier une autorisation

Sur la page « Gestion des autorisations », cliquez sur l'icône bloc-notes au début de la ligne
souhaitée pour afficher la page de modification de l'autorisation.
l'autorisation, excepté les champs « Groupe utilisateurs » et « Groupe de cibles » qui ne sont pas
modifiables.
14.3. Supprimer une autorisation

Sur la page « Gestion des autorisations », sélectionnez une ou plusieurs autorisations à l’aide de
la case à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection.
299
14.4. Importer des autorisations

Sur la page « Gestion des autorisations », cliquez sur l'icône « Importer depuis un fichier CSV » en
haut à droite de la page pour importer les données. Vous êtes alors redirigé(e) sur la page « CSV »
du menu « Import/Export » : la case « Autorisations » est déjà cochée pour l'import des données.
Les séparateurs de champs et de listes sont également configurables.
#wab820 authorization
Important :

Nom Texte R Nom de l'autorisation créée N/A
Groupe utilisateurs Texte R Groupe utilisateurs défini N/A
Groupe de cibles Texte R Groupe de cibles défini N/A
(1)
Sous-protocole Texte R si Autoriser les Nom de sous-protocole : N/A
sessions = Vrai voir ci-dessous
Il peut y avoir un ou plusieurs

protocoles
Est critique Booléen R Vrai ou Faux Faux
Est enregistré Booléen R Vrai ou Faux Faux
Autoriser l'emprunt Booléen R Vrai ou Faux Faux
de mot de passe
Autoriser les Booléen R Vrai ou Faux Faux
sessions
Approbation Booléen R Vrai ou Faux Faux
requise
Avec commentaire Booléen R Vrai ou Faux Faux
Faux si
Approbation
requise = Faux
Vrai si
Commentaire
obligatoire =
Vrai
300

Commentaire Booléen R Vrai ou Faux Faux
obligatoire
Faux si
Approbation
requise = Faux
Avec ticket Booléen R Vrai ou Faux Faux
Faux si
Approbation
requise = Faux
Vrai si Ticket
obligatoire =
Vrai
Ticket obligatoire Booléen R Vrai ou Faux Faux
Faux si
Approbation
requise = Faux
Groupes Texte R si Approbation Groupes d'approbateurs N/A
d'approbateurs requise = Vrai définis
Vide si
Il peut y avoir un ou plusieurs Approbation
groupes d'approbateurs requise = Faux
Quorum actif Entier R Nombre entier entre 0 et le "0"
nombre d’approbateurs dans
les groupes
Au moins un quorum (actif ou

inactif) doit être défini et doit
être supérieur à 0
Quorum inactif Entier R Nombre entier entre 0 et le "0"
nombre d’approbateurs dans
les groupes
Au moins un quorum (actif ou

inactif) doit être défini et doit
être supérieur à 0
Connexion unique Booléen O Vrai ou Faux Faux
Faux si
Approbation
requise = Faux
Timeout Entier O La valeur est exprimée en "0"
approbation minutes.
(1)
Sous-protocole : une des valeurs suivantes :
SSH_SHELL_SESSION, SSH_REMOTE_COMMAND, SSH_SCP_UP, SSH_SCP_DOWN,

SSH_X11, SFTP_SESSION, RDP, VNC, TELNET, RLOGIN, SSH_DIRECT_TCPIP,
SSH_REVERSE_TCPIP, SSH_AUTH_AGENT, SSH_DIRECT_UNIXSOCK,
301
SSH_REVERSE_UNIXSOCK, RDP_CLIPBOARD_UP, RDP_CLIPBOARD_DOWN,

RDP_CLIPBOARD_FILE, RDP_PRINTER, RDP_COM_PORT, RDP_DRIVE, RDP_SMARTCARD,
RDP_AUDIO_OUTPUT, RDP_AUDIO_INPUT, RAWTCPIP.
Pour plus d'informations, voir Section 10.1.6, « Options spécifiques du protocole SSH », page 149
et Section 10.1.7, « Options spécifiques du protocole RDP », page 150.
Exemple de syntaxe d'import :
#wab820 authorization
Group_users1;target_group1;SSH_SHELL_SESSION SFTP_SESSION;False;False;True;True;
description;False;False;False;False;False;group_approvers;1;2;False;0

est indiquée.
14.5. Visualiser les approbations en cours

Sur la page « Mes approbations en cours », l'approbateur peut visualiser toutes les demandes
d’approbation en cours envoyées par les utilisateurs pour accéder aux cibles ou aux accréditations
des cibles et pour lesquelles il/elle doit formuler une réponse.
Figure 14.3. Page « Mes approbations en cours »

Dans le haut de la page, l'approbateur peut choisir d'activer/désactiver le rafraîchissement
automatique des données sur les demandes d'approbation en cours. Lorsque l'option
correspondante est activée, il est possible de déterminer la fréquence de ce rafraîchissement.
En cliquant sur l'icône du bloc-notes au début de la ligne, l'approbateur est redirigé sur une page
affichant le détail de la demande d'approbation.
302
Figure 14.4. « Mes approbations en cours » -

Page du détail de la demande d'approbation
Sur cette page, l'approbateur peut :
• cliquer sur le bouton « Notifier les approbateurs » pour notifier à nouveau les approbateurs,
• visualiser les réponses des autres approbateurs,
• indiquer dans la zone « Commentaire » le motif de son approbation/rejet de la demande,
• réduire la durée de la demande en modifiant la valeur dans le champ « Durée »,
• réduire le timeout paramétré pour la connexion en modifiant la valeur dans le champ « Timeout ».
Si l'utilisateur n'a pas effectué de connexion sur la cible et que ce timeout est passé, alors la
demande au statut « accepté » passe au statut « fermé ».
• cliquer sur le bouton « Annuler », « Rejeter » ou « Approuver » pour effectuer l'action
correspondante.
Étant donné qu'il est toujours possible d'ouvrir une session ou d'accéder aux accréditations d'une
cible tant que la durée d'une demande acceptée n'est pas dépassée, l'approbateur peut annuler
la demande avant son expiration pour interdire à l'utilisateur d'accéder de nouveau à la cible en
cliquant sur le bouton « Annuler ».
Pour plus d'informations, voir Section 14.7, « Procédure d'approbation », page 305.
14.6. Visualiser l'historique des approbations

Sur la page « Mon historique d'approbations », l'approbateur peut visualiser toutes les demandes
qui ne sont plus en attente d'approbation.

Note :
303
Figure 14.5. Page « Mon historique d'approbations »
En cliquant sur l'icône du bloc-notes au début de la ligne, l'approbateur est redirigé sur une page
affichant le détail des réponses à la demande d'approbation.
Étant donné qu'il est toujours possible d'ouvrir une session ou d'accéder aux accréditations d'une
cible tant que la durée d'une demande acceptée n'est pas dépassée, l'approbateur peut annuler
la demande avant son expiration pour interdire à l'utilisateur d'accéder de nouveau à la cible en
cliquant sur le bouton « Annuler la demande ».
Pour plus d'informations, voir Section 14.7, « Procédure d'approbation », page 305.
Figure 14.6. « Mon historique d'approbations » - Page

du détail de l'historique de la demande d'approbation
304
14.7. Procédure d'approbation
WALLIX Bastion prend en charge les autorisations dynamiques à l’aide de procédure d’approbation.
Ce mécanisme repose sur les plages horaires d’accès aux cibles ou aux accréditations des cibles.
Cette procédure permet aux administrateurs d’affiner l’accès aux ressources sensibles et d’accepter
la demande d’accès en dehors des plages définies. Lorsqu’un utilisateur souhaite démarrer une
nouvelle session sur une cible ou encore accéder aux accréditations d'une cible, une demande est
d’abord envoyée aux approbateurs.
Un approbateur est un utilisateur qui a été désigné par un administrateur WALLIX Bastion avec le
droit d’approbation : le droit « Modifier » pour la fonctionnalité « Gestion des approbations » est
paramétré au niveau de son profil (voir Section 9.3, « Profils utilisateurs », page 95).
Note :
Par défaut, un approbateur est autorisé à approuver ses propres demandes. Ce
comportement peut être géré via l'option « Allow self approvals » à partir du menu
« Configuration » > « Options de configuration » > « Global ». Si cette option est
décochée, alors l'approbateur ne visualisera pas ses propres demandes sur la page
« Mon historique d'approbations » dans le menu « Autorisations ». Ses demandes seront
uniquement visualisables par les autres membres du groupe d'approbateurs.
Les approbateurs peuvent décider d’autoriser ou rejeter l’ouverture d’une session ou l'accès aux
accréditations de la cible. Une demande est approuvée lorsque le quorum a été atteint. Le quorum
est le nombre minimum de réponses favorables requises pour une autorisation particulière.
14.7.1. Configuration de la procédure
Les procédures d’approbation sont définies sur les autorisations. Pour plus d'informations, voir
Section 14.1, « Ajouter une autorisation », page 298.
Si la case du champ « Activer la procédure d'approbation » est cochée au cours de la définition de
l'autorisation, alors un utilisateur devra formuler une demande d'approbation pour obtenir l’accès
à la cible ou encore aux accréditations de la cible. Les approbateurs sont désignés pour répondre
aux demandes pour une autorisation en sélectionnant des groupes utilisateurs appropriés : pour
cela, déplacez les groupes utilisateurs depuis le cadre « Groupes d'approbateurs disponibles »
vers le cadre « Groupes d'approbateurs sélectionnés » pour choisir les groupes. Et inversement,
déplacez un groupe utilisateurs depuis le cadre « Groupes d'approbateurs sélectionnés » vers le
cadre « Groupes d'approbateurs disponibles » pour supprimer l'association.
Le droit « Modifier » pour la fonctionnalité « Gestion des approbations » doit être paramétré au
niveau du profil utilisateur de tous les utilisateurs des groupes sélectionnés.
Lors d’une demande d’approbation formulée par un utilisateur qui souhaite se connecter à une cible
ou accéder aux accréditations d'une cible concernée par une autorisation, tous les approbateurs
des groupes sélectionnés en sont informés par courrier électronique. Celui-ci contient un lien qui
redirige l’approbateur sur la page « Mes approbations en cours » du menu « Autorisations » et sur
laquelle il peut répondre à la demande. Cette fonctionnalité est accessible par les approbateurs
via l’interface dédiée au groupe de services « Fonctionnalités utilisateur et auditeur ». Pour plus
d'informations, voir Section 8.11.1, « Mappage des services », page 65.
Une demande pour une cible est définie par au moins la date et l’heure de début ainsi que la durée
prévue de la session, mais elle possède aussi des attributs facultatifs tels qu'une référence de
ticket et un commentaire. Pour une autorisation spécifique, ces attributs peuvent être demandés,
305
systématiquement ou jamais, selon les options sélectionnées dans les champs « Commentaire »
et « Ticket » lors de la configuration de l'autorisation.
Il est possible de définir le nombre d’approbateurs requis pour accepter une demande. Ce
paramètre est configuré en définissant un quorum. Le quorum doit être égal ou inférieur au nombre
d’approbateurs disponibles.
Lors de la configuration de l'autorisation, un quorum peut être défini :
• pour les périodes d’activité, en renseignant une valeur dans le champ « Quorum dans les
plages horaires autorisées ». Un quorum pour les périodes d’activité égal à 0 signifie que les
approbations ne sont pas exigées pour les périodes d’activité.
• pour les périodes d’inactivité, en renseignant une valeur dans le champ « Quorum en dehors des
plages horaires autorisées ». Un quorum pour les périodes inactives égal à 0 signifie qu’aucune
connexion n’est possible pendant les périodes d’inactivité.
Une connexion unique peut être définie pour l'approbation. L'utilisateur est alors limité à une seule
connexion au cours de la durée de l'approbation.
Un timeout au format [heures]h[minutes]m peut être défini pour l'approbation. Si l'utilisateur
n'a pas effectué de connexion sur la cible et que ce timeout est passé, alors la demande au
statut « accepté » passe automatiquement au statut « fermé ». Lorsque l'approbateur accepte la
demande, cette valeur est alors renseignée comme valeur maximale dans le champ « Timeout »
sur le formulaire. L'approbateur peut alors réduire cette valeur.
14.7.2. Étapes de la procédure
Un utilisateur formule une demande d'approbation à partir du menu « Mes autorisations » sur
l’interface Web de WALLIX Bastion (pour un accès immédiat ou ultérieur) ou lors de la connexion
à un client RDP ou SSH (pour un accès immédiat). Tous les approbateurs sont notifiés par courrier
électronique. Les approbateurs ont ensuite la possibilité d'accepter ou rejeter la demande via
l’interface Web de WALLIX Bastion.
Une demande valide (dont la durée n’est pas encore expirée) peut être dans l'un des statuts
suivants :
• une demande est au statut « accepté » lorsque le quorum a été atteint,
Note :
Lorsque le premier approbateur valide la demande alors que la date et l'heure de début
sont passées :
– la date et l'heure de début de la demande prennent alors comme valeur la date et
l'heure de cette validation,
– la date et l'heure de fin de la demande sont alors prolongées de la durée de
l'approbation, à partir de cette validation.
• une demande est au statut « rejeté » et par la suite invalidée dès qu’un approbateur la rejette.
L’utilisateur est alors notifié par courrier électronique du refus et du motif du rejet.
• une demande est au statut « en cours » tant que le quorum n'a pas été atteint et qu’elle n’a pas
été rejetée.
Si la demande n’est plus valide (c'est-à-dire que sa durée est expirée), elle est alors au statut «
fermé » et il n’est plus possible pour un approbateur de répondre à la demande. De même, il n’est
pas possible de répondre aux demandes qui ont été acceptées ou rejetées.
306
Note :
Une demande est également au statut « fermé » lorsque l'un des éléments suivants
a été supprimé : l'utilisateur à l'origine de la demande et/ou la cible concernée et/ou
l'autorisation concernée.
Une demande au statut « accepté » passe automatiquement au statut « fermé » si

l'utilisateur n'a pas effectué de connexion sur la cible et que le timeout défini pour
l'approbation est passé.
Chaque approbateur a la possibilité de réduire la durée d’une requête. La durée est diminuée au
fur et à mesure des réponses : en répondant à la même demande, l'approbateur suivant voit la
durée réduite et non pas la durée initiale.
Les utilisateurs peuvent voir les statuts de leurs demandes d’approbation sur le menu « Mes
autorisations ».
Lorsque le quorum est atteint, l’utilisateur est averti par courrier électronique. L'utilisateur peut alors
démarrer la session ou accéder aux accréditations de la cible pour la durée allouée. Si la session
est déconnectée avant la fin de la durée, l’utilisateur peut démarrer une nouvelle session sans une
nouvelle approbation aussi longtemps que la fin de la période définie par la durée de l’approbation
d’origine n’est pas écoulée. Afin d’empêcher un utilisateur de se reconnecter après la première
séance, les approbateurs ont la possibilité d'annuler une demande.
14.8. Configuration des plages horaires

Les plages horaires définissables au sein de WALLIX Bastion permettent de configurer les périodes
durant lesquelles un utilisateur est autorisé à se connecter aux cibles.
Une plage horaire est associée à un ou plusieurs groupes utilisateurs. Pour plus d'informations,
voir Section 9.2, « Groupes utilisateurs », page 92.
Sur la page « Plages horaires » du menu « Configuration », vous pouvez ajouter, modifier ou
supprimer des plages horaires.
Avertissement :
Une plage horaire dénommée « allthetime » est configurée par défaut au sein de WALLIX
Bastion. Elle autorise la connexion des utilisateurs à toutes les heures et tous les jours.
Vous ne pouvez pas supprimer cette plage horaire.
Le référentiel de temps utilisé est l'heure locale de WALLIX Bastion.
14.8.1. Ajouter une plage horaire

Sur la page « Plages horaires », cliquez sur « Ajouter une plage horaire » pour afficher la page
de création de la plage horaire.
• le nom de la plage horaire,

• une case à cocher pour désactiver la déconnexion automatique à l'issue de la période de temps,
307
• une zone extensible pour ajouter une ou plusieurs périodes.
Chaque période correspond à une période calendaire permettant aux utilisateurs de se connecter :
• entre des dates précises,

• sur des jours de la semaine déterminés,
• sur une plage horaire délimitée pendant les jours autorisés.
Figure 14.7. Page « Plages horaires » en mode création
14.8.2. Modifier une plage horaire

Sur la page « Plages horaires », cliquez sur un nom de plage horaire pour afficher la page de
modification de la plage horaire.
Les champs sur cette page sont les mêmes que ceux affichés sur la page de création de la plage
horaire, excepté le champ « Nom de la plage horaire » qui n’est pas modifiable.
14.8.3. Supprimer une plage horaire

Sur la page « Plages horaires », sélectionnez une ou plusieurs plages horaires à l’aide de la case
à cocher au début de la ligne puis, cliquez sur l'icône corbeille pour supprimer la sélection. WALLIX
sélectionnées.
Avertissement :
Vous ne pouvez pas supprimer une plage horaire lorsque celle-ci est associée à un
groupe utilisateurs.
308
Chapitre 15. Commandes spécifiques
Les sections suivantes présentent des commandes pouvant s'avérer utiles lors de l'administration
de WALLIX Bastion. Tous les cas ne sont pas présentés et nous vous invitons à contacter l’Équipe
Support WALLIX (voir Chapitre 19, « Contacter le Support WALLIX Bastion », page 362) pour
de plus amples renseignements.
Le tableau ci-dessous récapitule les informations et les sections s'y rapportant :
Commande / Script Voir...

bastion-traceman Section 15.20, « Déplacer les enregistrements de
sessions depuis un stockage local vers un stockage
distant », page 318
WABBackupPurge Section 8.13.4, « Purge de la sauvegarde
automatique », page 72
WABChangeGrub Section 15.9, « Changer le mot de passe
GRUB », page 312
WABChangeKeyboard Section 15.7, « Changer la disposition du
clavier », page 312
WABConsole Section 15.16, « Utiliser WABConsole pour changer le
mot de passe de l'utilisateur », page 314
WABExecuteBackup Section 8.13.3, « Configuration de la sauvegarde
automatique », page 71
WABGetGuiUrl Section 15.8, « Obtenir l'URL de la GUI », page 312
WABGetLicenseInfo Section 15.15, « Gérer la clé de licence », page 314
WABCRLFetch Section 15.28, « Mettre à jour la liste de révocation CRL
(Certificate Revocation List) », page 324
WABGuiCertificate Section 15.26, « Changer les certificats auto-signés des
services », page 321
WABHASetup et WABHAStatus Section 15.13, « Configurer la Haute Disponibilité
(également appelée « High-Availability » ou «
HA ») », page 314
WABInitReset Section 15.2, « Restaurer la configuration d'usine de
WALLIX Bastion », page 310
WABJournalCtl Section 15.17, « Afficher le contenu des logs de
"journalctl" », page 315
WABNetworkConfiguration Section 15.10, « Changer la configuration
réseau », page 312
WABResetCrypto Section 15.5, « Réinitialiser le chiffrement des données
de WALLIX Bastion », page 311
WABRestoreDefaultAdmin Section 15.3, « Restaurer le compte administrateur
d'usine », page 311 et Section 15.4, « Changer
le mot de passe du compte administrateur
d'usine », page 311
WABSecurityLevel Section 15.11, « Changer la configuration du niveau de
sécurité », page 313
309
Commande / Script Voir...

WABServices Section 15.12, « Configurer les services », page 313
WABSessionLogExport Section 15.18, « Exporter et/ou purger
les enregistrements de sessions
manuellement », page 315 ; voir
également Section 15.19, « Exporter et/
ou purger les enregistrements de sessions
automatiquement », page 317
WABSessionLogImport Section 15.21, « Ré-importer les enregistrements de
sessions archivés », page 319
WABSessionLogIntegrityChecker Section 15.22, « Vérifier l'intégrité des fichiers de log des
sessions », page 319
WABSetLicense Section 15.15, « Gérer la clé de licence », page 314
WABSshServerGenRsaKey.sh Section 15.26, « Changer les certificats auto-signés des
services », page 321
WABVersion Section 15.6, « Obtenir les informations de version de
WALLIX Bastion », page 312
wallix-config-backup.py Section 8.13.2, « Sauvegarde/Restauration en ligne de
commande », page 70
wallix-config-restore.py Section 8.13.2, « Sauvegarde/Restauration en ligne de
commande », page 70
15.1. Se connecter à WALLIX Bastion en ligne

de commande
Pour plus d'informations, voir Section 6.2, « Connexion à WALLIX Bastion en ligne de
commande », page 28.
15.2. Restaurer la configuration d'usine de

WALLIX Bastion
Vous pouvez exécuter la commande suivante connecté(e) avec les privilèges « root » pour restaurer
la configuration d'usine de WALLIX Bastion :
# WABInitReset
Un message s'affiche alors pour demander la confirmation avant la restauration de la configuration.

Par défaut, cette commande restaure uniquement la configuration pour la disposition du clavier, le
menu GRUB et les utilisateurs.
Il est possible de restaurer toute la configuration ou un élément spécifique de la configuration en

utilisant l’option --reset, comme par exemple :
# WABInitReset ––reset interfaces
Lorsque l'option --reset est mentionnée, aucun message ne s'affichera pour demander la
confirmation avant la restauration de la configuration.
310
L'option -h affiche le message d'aide listant les arguments pouvant être utilisés pour effectuer cette
action.
15.3. Restaurer le compte administrateur

d'usine
Vous pouvez exécuter la commande suivante connecté(e) avec les privilèges « root » pour restaurer
le compte administrateur d'usine de WALLIX Bastion :
# WABRestoreDefaultAdmin
Les informations d'identification par défaut du compte administrateur d’usine sont les suivantes :
• Identifiant : admin
• Mot de passe : admin
Ce mot de passe par défaut peut être modifié. Pour plus d'informations, voir Section 15.4,
« Changer le mot de passe du compte administrateur d'usine », page 311.
15.4. Changer le mot de passe du compte

administrateur d'usine
Vous pouvez exécuter la commande suivante connecté(e) avec les privilèges « root » pour changer
le mot de passe par défaut du compte administrateur d'usine de WALLIX Bastion :
# WABRestoreDefaultAdmin -c
Note :
L'ancien mot de passe par défaut n'est pas demandé lors de cette action.
15.5. Réinitialiser le chiffrement des données de

WALLIX Bastion
Vous pouvez exécuter la commande suivante connecté(e) avec les privilèges « root » pour
réinitialiser la clé de chiffrement de WALLIX Bastion :
# WABResetCrypto
Un message s'affiche alors pour demander la confirmation avant la réinitialisation du chiffrement.
Attention :
La réinitialisation du chiffrement efface toutes les données présentes dans WALLIX
Bastion (comptes utilisateurs, enregistrements des sessions, etc.) !
Il est donc fortement recommandé d’effectuer une copie sauvegarde de la configuration
de WALLIX Bastion AVANT de procéder à la réinitialisation du chiffrement. Pour plus
d'informations, voir Section 8.13, « Sauvegarde et restauration », page 68.
311
15.6. Obtenir les informations de version de

WALLIX Bastion
Vous pouvez exécuter la commande suivante pour obtenir la version, le numéro et la date de build
de WALLIX Bastion :
# WABVersion
L'historique de toutes les opérations d'installation (installation et mises à jour de WALLIX Bastion
mais également installation et suppression de correctifs Hotfixes) peut s'afficher en exécutant la
commande :
# WABVersion -H
15.7. Changer la disposition du clavier

Vous pouvez exécuter la commande suivante pour choisir une autre langue de disposition du
clavier :
# WABChangeKeyboard
15.8. Obtenir l'URL de la GUI

Vous pouvez exécuter la commande suivante pour obtenir l'URL de l'interface Web :
# WABGetGuiUrl
15.9. Changer le mot de passe GRUB

Vous pouvez exécuter la commande suivante pour modifier le mot de passe GRUB :
# WABChangeGrub
15.10. Changer la configuration réseau

Vous pouvez exécuter la commande suivante pour modifier la configuration réseau paramétrée
dans WALLIX Bastion :
# WABNetworkConfiguration
Cependant, la configuration avancée peut uniquement s'effectuer depuis l'interface Web, sur
la page « Réseau » du menu « Système ». Pour plus d'informations, voir Section 8.6,
« Réseau », page 55.
Note :
mode « HA » ou « High-Availability »), cette commande peut uniquement être exécutée
sur le nœud « Master ».
312
15.11. Changer la configuration du niveau de

sécurité
Vous pouvez exécuter la commande suivante pour modifier la configuration du niveau de sécurité
paramétrée dans WALLIX Bastion :
# WABSecurityLevel
Le niveau de sécurité configuré à partir de cette commande concerne le serveur HTTP et le serveur
SSH.
Par défaut, le niveau de sécurité pour le serveur HTTP est configuré à une valeur haute. Seuls les
algorithmes cryptographiques suivants peuvent être utilisés :
• ECDHE-ECDSA-AES256-GCM-SHA384
• ECDHE-RSA-AES256-GCM-SHA384
• ECDHE-ECDSA-CHACHA20-POLY1305
• ECDHE-ECDSA-AES128-GCM-SHA256
• ECDHE-RSA-AES128-GCM-SHA256
• ECDHE-ECDSA-AES256-SHA384
• ECDHE-RSA-AES256-SHA384
• ECDHE-ECDSA-AES128-SHA256
• ECDHE-RSA-AES128-SHA256
Seuls les groupes Diffie-Hellman suivants peuvent être utilisés :
• P-256
• P-384
• brainpoolP256r1
• brainpoolP384r1
• brainpoolP512r1
Par défaut, le niveau de sécurité pour le serveur SSH est configuré à une valeur faible, autorisant
l'utilisation de tout algorithme cryptographique.
Le niveau de sécurité configuré à partir de cette commande est conservé lors de la mise à jour.
Attention :
mode « HA » ou « High-Availability »), le niveau de sécurité configuré à partir de cette
commande pour le serveur SSH est uniquement propagé sur le nœud « Slave » lorsque
ce dernier deviendra nœud « Master » lors d'une bascule.
15.12. Configurer les services

Vous pouvez exécuter la commande suivante pour configurer les services :
# WABServices
Pour plus d'informations, voir Section 8.11.2, « Activation des services », page 66.
313
15.13. Configurer la Haute Disponibilité

(également appelée « High-Availability » ou «
HA »)
Vous pouvez exécuter la commande suivante pour configurer la HA :
wabsuper$ WABHASetup
Note :
Cette commande peut uniquement être exécutée sur le nœud « Master ».
Pour vérifier l’état actuel d’un nœud, vous pouvez exécuter la commande suivante :
wabsuper$ /opt/wab/bin/WABHAStatus
Pour plus d'informations, voir Section 8.14, « Haute Disponibilité », page 73.
15.14. Générer le rapport sur l'état du système

Un programme permet de récupérer des informations sur l'état de WALLIX Bastion. Il peut être utile
de le lancer pour communiquer le rapport généré à l’Équipe Support, le cas échéant.
Pour récupérer ce programme, il est nécessaire de vous identifier sur le site du Support WALLIX
(https://support.wallix.com/) puis, cliquez sur l’onglet « Downloads » et téléchargez le
fichier « sysinfo», sous la section « WALLIX Sysinfo ».
Lancez ensuite ce programme et transférez le fichier sysinfo.txt présent dans l'archive générée
(sysinfo.gz) à l’Équipe Support.
15.15. Gérer la clé de licence

Vous pouvez exécuter la commande suivante pour afficher les informations de licence :
# WABGetLicenseInfo
Vous pouvez exécuter la commande suivante pour générer le fichier de contexte de licence :
# WABSetLicense -c -f <Fichier de contexte>
Vous pouvez exécuter la commande suivante pour importer une nouvelle licence :
# WABSetLicense -u -f <Fichier de mise à jour>
Vous pouvez exécuter la commande suivante pour supprimer la licence :

# WABSetLicense -d
Pour plus d'informations, voir Section 8.2, « Licence », page 50.
15.16. Utiliser WABConsole pour changer le mot

de passe de l'utilisateur
314
WALLIX Bastion 9.0.5 fournit une interface de type « lignes de commande » permettant à
l'administrateur ou à l'utilisateur d'effectuer certaines opérations.
Le jeu de commandes accessibles dépend du profil de l’utilisateur.
Pour accéder à la console, vous pouvez :
• soit exécuter la commande suivante :
# WABConsole
• soit vous connecter au Bastion à l’aide d’un client SSH de la façon suivante :
$ ssh -t admin@wab.mycorp.lan console

admin@wab.mycorp.lan password:
wab> help
Pour obtenir la liste des commandes, il suffit de taper help à l’invite de la console.
Chaque commande dispose d’une aide en tapant soit help soit -h.
La commande actuellement disponible pour un utilisateur avec le profil « product_administrator »
est : change_user_password.
La commande actuellement disponible pour un utilisateur standard est : change_password.
15.17. Afficher le contenu des logs de

"journalctl"
Vous pouvez exécuter la commande suivante pour afficher le contenu des logs de "journalctl" :
# WABJournalCtl
15.18. Exporter et/ou purger les

enregistrements de sessions manuellement
Vous pouvez exécuter le script suivant pour exporter et/ou purger les enregistrements de sessions :
# /opt/wab/bin/WABSessionLogExport -h
action.
Ce script permet de créer un fichier .archive, sauvegardé dans /var/wab/recorded/
export_sessionset contenant pour la période définie :
• l’ensemble des sessions RDP et SSH,

• un fichier au format .csv contenant l’export des données visualisables sur la page « Historique
des sessions » (voir Section 12.3.4, « Historique des sessions », page 249).
Note :
Les archives locales doivent être déplacées manuellement par l'administrateur dans /
var/wab/remote/recorded/export_sessions. Un script permet d'archiver et/ou
315
purger les enregistrements de sessions de façon automatique. Vous pouvez définir des
options depuis l'interface Web de WALLIX Bastion pour configurer les actions qui seront
effectuées par ce script. Pour plus d'informations, voir Section 15.19, « Exporter et/ou
purger les enregistrements de sessions automatiquement », page 317.
Toutes les sessions pour la période définie seront également supprimées, sauf si l’option -p est
spécifiée.
Il est possible d'archiver et/ou purger les sessions en fonction de leurs identifiants en utilisant l’option
--sessions.
Il est possible d'archiver et/ou purger uniquement les sessions non corrompues en utilisant l’option
--good-only.
Il est possible d'archiver et/ou purger uniquement les sessions corrompues en utilisant l’option -
w ou --wrong-only.
Il est possible d'archiver et/ou purger les sessions en fonction d'un statut donné (par exemple, les
sessions en échec ou encore les sessions interrompues, etc.) en utilisant l’option --status.
Il est possible d'archiver et/ou purger uniquement les sessions stockées en local en utilisant l'option
--local-storage.
Il est possible d'archiver et/ou purger uniquement les sessions sur un stockage distant en utilisant
l'option --remote-storage.
Il est possible d'archiver et/ou purger les traces concernant des cibles sous un protocole donné
(SSH, RDP, etc.) en utilisant l’option --protocol.
Il est possible d'archiver et/ou purger uniquement les sessions non-critiques en utilisant l’option --
non-critical.
Il est possible d'archiver et/ou purger les traces concernant un ou plusieurs utilisateurs donnés en
utilisant l’option --user.
Il est possible d'archiver et/ou purger les traces concernant des utilisateurs dans un ou plusieurs
groupes utilisateurs donnés en utilisant l’option --user-group.
Il est possible d'archiver et/ou purger les traces concernant une ou plusieurs cibles données en
utilisant l’option --target.
Il est possible d'archiver et/ou purger les traces concernant des cibles dans un ou plusieurs groupes
de cibles donnés en utilisant l’option --target-group.
Il est possible de ne pas archiver les traces en utilisant l'option -a. Dans ce cas, les informations
sur les sessions concernées sont affichées sur la ligne de commande.
Il est possible de ne pas purger les traces en utilisant l'option -p. Dans ce cas, les informations sur
les sessions concernées sont affichées sur la ligne de commande.
Il est possible d'afficher les fichiers orphelins concernant les sessions déjà purgées en utilisant
l'option --show-orphans. Ces fichiers peuvent être supprimés avec l'option -P ou --purge-
orphans. Dans ce cas, ces fichiers ne seront pas archivés, même si une archive est créée.
Il est possible de renseigner une phrase de chiffrement pour l'archive en utilisant l'option --
passphrase. Il n'est cependant pas conseillé d'utiliser cette dernière car cette phrase est affichée
en clair sur la ligne de commande.
Il est possible de renseigner un descripteur de fichier à partir duquel la phrase de chiffrement peut
être récupérée en utilisant l'option --passphrase-fd.
316
Il est possible de renseigner le chemin vers un fichier à partir duquel la phrase de chiffrement peut
être récupérée en utilisant l'option --passphrase-file.
Vous pouvez exécuter le script suivant pour ré-importer les fichiers d'archive générés :
# /opt/wab/bin/WABSessionLogImport -h
action. Pour plus d'informations, voir Section 15.21, « Ré-importer les enregistrements de sessions
archivés », page 319.
Un script permet d'archiver et/ou purger les enregistrements de sessions de façon automatique.
Vous pouvez définir des options depuis l'interface Web de WALLIX Bastion pour configurer les
actions qui seront effectuées par ce script. Pour plus d'informations, voir Section 15.19, « Exporter
et/ou purger les enregistrements de sessions automatiquement », page 317.
Un autre script permet également de gérer le déplacement des enregistrements de sessions depuis
un stockage local vers un stockage distant. Pour plus d'informations, voir Section 15.20, « Déplacer
les enregistrements de sessions depuis un stockage local vers un stockage distant », page 318.
15.19. Exporter et/ou purger les

enregistrements de sessions automatiquement
Un script lancé dans une tâche cron permet d'archiver et/ou purger les enregistrements de sessions
sauvegardés sur la partition /var/wab/recorded/ (pour le stockage local) ou /var/wab/
remote/recorded/ (pour le stockage distant). Par défaut, ce script est lancé tous les jours à
04:00 dans le fuseau horaire de WALLIX Bastion, défini sur la page « Service de temps » du menu
« Système ». Pour plus d’informations, voir Section 8.7, « Service de temps », page 58.
Les options de la section « Retention Policy », accessible depuis le menu « Configuration » > «
Options de configuration » > « Session log policy » permettent notamment de configurer les actions
effectuées par ce script :
• si une valeur est renseignée dans le champ « Remove sessions older than », alors toutes les
sessions plus anciennes que cette valeur en nombre de jours (avec le suffixe « d », comme par
exemple « 20d » pour 20 jours) ou en nombre de mois (avec le suffixe « m », comme par exemple
« 36m » pour 36 mois) sont supprimées. Si aucun suffixe n'est renseigné, alors la valeur est
considérée par défaut comme exprimée en nombre de jours.
• tous les fichiers orphelins présents sur le stockage local sont supprimés ;
• si une valeur est renseignée dans le champ « Archive sessions older than », alors toutes les
sessions plus anciennes que cette valeur en nombre de jours (avec le suffixe « d », comme
par exemple « 20d » pour 20 jours) ou en nombre de mois (avec le suffixe « m », comme par
exemple « 36m » pour 36 mois) sont archivées. Si aucun suffixe n'est renseigné, alors la valeur
est considérée par défaut comme exprimée en nombre de jours. Cet archivage concerne aussi
bien les sessions présentes sur le stockage local que sur le stockage distant.
• si un chemin vers un script est renseigné dans le champ « Post archive script », alors celui-ci
est appelé pour l'export des archives. Dans le cas contraire, les archives sont transférées sur le
stockage distant, si existant.
• les éléments présents sur le stockage local sont supprimés, en procédant du plus ancien au
plus récent et par catégorie, jusqu'à ce qu'une taille d'espace disque libre soit atteinte. Cette
valeur doit être renseignée dans le champ « Remove sessions below free space ». Cette taille
s'exprime en bytes (avec les suffixes « kb », « kib », « Mb », « Mib », « Gb » et « Gib ») ou
317
en pourcentage d'espace disque de la partition /var/wab. Cette suppression s'effectue dans

l'ordre des éléments suivants :
– d'abord, les archives de plus de 24h,
– ensuite, les sessions non critiques plus anciennes que la valeur renseignée dans le champ
« Prefer sessions older than »,
– puis, les sessions critiques plus anciennes que la valeur renseignée dans le champ « Prefer
sessions older than »,
– ensuite, les sessions non critiques de plus de 24h,
– puis, les sessions critiques plus anciennes que la valeur renseignée dans le champ « Keep
critical newer than » ou de plus de 24h,
– ensuite, les sessions non critiques de moins de 24h,
– puis, les archives de moins de 24h,
– enfin, les sessions critiques de moins de 24h si aucune valeur n'est renseignée dans le champ
« Keep critical newer than ».
• une notification sur les éléments archivés et supprimés et lorsque l'objectif d'espace disque
disponible n'est pas atteint est envoyée.
Les archives sont supprimées sans considération du caractère critique ou non des sessions.
Par ailleurs, il est possible de modifier la phrase de chiffrement définie par défaut dans le champ
« Archive key ». Cette phrase de chiffrement est utilisée pour chiffrer les éléments archivés.
15.20. Déplacer les enregistrements de

sessions depuis un stockage local vers un
stockage distant
WALLIX Bastion effectue un déplacement automatique des enregistrements des sessions
récemment terminées depuis un stockage local vers un stockage distant. Par défaut, cette action
est réalisée dans une tâche cron lancée toutes les 5 minutes.
Vous pouvez cependant exécuter le script suivant pour lancer ce déplacement manuellement :
# /opt/wab/bin/bastion-traceman -h
action.
Il est possible d'utiliser les sous-commandes suivantes :
• info : cette sous-commande permet d'obtenir un état de l'espace disque disponible sur le
stockage distant,
Exemple de syntaxe pour la sous-commande info :
# bastion-traceman info
• move local : cette sous-commande permet de déplacer les enregistrements de sessions depuis
le stockage distant vers le stockage local,
Exemple de syntaxe pour la sous-commande move local :
# bastion-traceman move local
318
• move remote : cette sous-commande permet de déplacer les enregistrements de sessions

depuis le stockage local vers le stockage distant.
Exemple de syntaxe pour la sous-commande move remote :
# bastion-traceman move remote
Les critères de sélection disponibles pour les enregistrements de sessions sont les mêmes
que ceux pouvant être utilisés pour exporter et/ou purger les enregistrements de sessions
manuellement, à l'exception des options --local-storage et --remote-storage. Pour plus
d'informations, voir Section 15.18, « Exporter et/ou purger les enregistrements de sessions
manuellement », page 315.
Note :
Lorsque les répertoires contenant les enregistrements de sessions deviennent vides
à l'issue du déplacement, ceux-ci sont supprimés. Les répertoires considérés sont les
suivants :
• /var/wab/recorded/ssh/<YYYY-MM-DD>
• /var/wab/recorded/rdp/<YYYY-MM-DD>
• /var/wab/remote/recorded/ssh/<YYYY-MM-DD>
• /var/wab/remote/recorded/rdp/<YYYY-MM-DD>
Il est à noter que le répertoire du jour courant n'est jamais supprimé.

Sur la page « Stockage distant » du menu « Système », vous pouvez configurer l'export
des enregistrements vidéo des sessions vers un système de fichiers externe. Pour plus
d'informations, voir Section 8.8, « Stockage distant », page 59.
15.21. Ré-importer les enregistrements de

sessions archivés
Vous pouvez exécuter le script suivant pour ré-importer les enregistrements de sessions archivés
lors de l'exécution du script WABSessionLogExport :
# /opt/wab/bin/WABSessionLogImport -h
action.
Il est possible de lister uniquement le contenu de l'archive en utilisant l'option --list. L'archive
ne sera pas ré-importée.
15.22. Vérifier l'intégrité des fichiers de log des

sessions
Vous pouvez exécuter la commande suivante pour vérifier l’intégrité des fichiers de log des sessions
sauvegardés dans /var/wab/:
# /opt/wab/bin/WABSessionLogIntegrityChecker -h
319
action.
Les critères de sélection des traces disponibles sont les mêmes que ceux pouvant être
utilisés pour exporter et/ou purger les enregistrements de sessions manuellement. Pour plus
d'informations, voir Section 15.18, « Exporter et/ou purger les enregistrements de sessions
manuellement », page 315.
Lorsque les notifications pour les erreurs d'intégrité sont activées, l'e-mail récapitule les erreurs
pour les sessions datant de plus de 3 jours par défaut. Il est cependant possible de définir une
autre valeur pour ce nombre de jours. Ce paramètre peut être géré depuis « Configuration » > «
Options de configuration » > « Session log policy » puis, saisir un nombre entier positif dans le
champ « Summarize error older than » de la section « Integrity Checker ». Si la valeur « 0 » est
renseignée dans ce champ, alors le mail de notification ne présente pas de récapitulatif des erreurs.
15.23. Changer l’identification des serveurs

cibles
Lors de la connexion à un serveur cible via un protocole sécurisé (tel que RDP ou SSH), WALLIX
Bastion vérifie que le certificat ou la clé présenté(e) au proxy par le serveur correspond bien à celui/
celle connu(e) du système pour ce serveur.
Si ce certificat ou cette clé est différent(e), le proxy de WALLIX Bastion fermera la connexion
car il peut s’agir d’une attaque. Il est donc nécessaire d’informer WALLIX Bastion de tout
changement de certificat ou de clé. Pour cela, vous pouvez supprimer le certificat ou la clé
déclaré(e) sur l'équipement et le nouveau certificat ou la nouvelle clé sera automatiquement
récupéré(e) et sauvegardé(e) lors du prochain accès à l’équipement par le proxy RDP ou SSH.
Pour plus d'informations, voir Section 10.1.1.7, « Afficher et supprimer les certificats ou les clés sur
l'équipement », page 144.
15.24. Configurer les options TLS pour

l'authentification externe LDAP
Il est possible de configurer les algorithmes et les options autorisés lors de la négociation TLS
pour la connexion à la session (« handshake »). Ces paramètres peuvent être gérés depuis
« Configuration » > « Options de configuration » > « Global » puis, renseigner les suites
cryptographiques autorisées, en utilisant la syntaxe des chaînes de priorité de GnuTLS, dans
le champ « Ldap tls cipher suite ». Pour plus d'informations sur cette syntaxe, voir https://
gnutls.org/manual/html_node/Priority-Strings.html#Priority-Strings.
Avertissement :
Ces champs sont uniquement affichés lorsque la case du champ « Options avancées
» sur la droite de la page est cochée et ils doivent être UNIQUEMENT modifiés sur les
instructions de l’Équipe Support WALLIX !
15.25. Configurer le client TLS pour l'intégration

SIEM
320
Il est possible de configurer le client TLS pour permettre le routage des informations vers d'autres
équipements réseau via des solutions SIEM en ajoutant le fichier /etc/syslog-ng/conf.d/
tls_siem.conf.
Les paramètres suivants doivent être configurés dans le contenu du fichier, tel que décrit ci-
dessous :
• <SIEM_SERVER>
• <SIEM_PORT>
• <CA_DIR>
• <CLIENT_KEY>
• <CLIENT_CERT>
cat /etc/syslog-ng/conf.d/tls_siem.conf
destination d_rltp {
syslog( <SIEM_SERVER>
transport("tls")
port(<SIEM_PORT>)
tls(
peer-verify(required-trusted) ca_dir(<CA_DIR>)
key_file(<CL

Bastion Admin Guide FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Bastion Admin Guide FR

Titre original :

Transféré par

Droits d'auteur :

Formats disponibles

GUIDE D’ADMINISTRATION

WALLIX Bastion 9.0.5

Table des matières

8.2. Licence ..................................................................................................................... 50

9.5. Configuration des notifications ................................................................................ 104

11.2.9. Plugin Oracle .............................................................................................. 234

12.15. Scénario de connexion TELNET/RLOGIN sur un équipement cible ..................... 273

14.8.3. Supprimer une plage horaire ...................................................................... 308

18.2. Logs de l'interface Web de WALLIX Bastion ......................................................... 330

18.4.39. Export de la mention d'appartenance au groupe pour le compte cible

• Amazon Web Services (AWS),

WALLIX Bastion est soumis au contrat de licence logicielle WALLIX.

1.5. À propos de ce document

WALLIX fournit également en complément les documents suivants :

ACL Acronyme pour « Access Control List » (liste de contrôle

Connexion WALLIX Bastion Connexion initiée entre un utilisateur et WALLIX Bastion.

Un domaine global peut être associé à un coffre-fort externe

Scénario de connexion Scénario permettant d’automatiser une connexion vers un

• vérifiant les éléments d’authentification fournis par l’utilisateur,

Les protocoles aujourd’hui supportés sont :

• SSH (et ses sous-systèmes),

4.2. Positionnement de WALLIX Bastion dans

Figure 4.1. WALLIX Bastion dans l’infrastructure réseau

4.3. Concepts des ACL de WALLIX Bastion

Ces ACL sont constituées des objets suivants :

A ces entités primaires sont ajoutées des entités permettant de définir :

• les plages horaires de connexion

• la criticité de l’accès aux ressources cibles

• ce compte cible ou cet équipement est-il critique ?

4.5. Droits de l'utilisateur connecté à WALLIX

4.6. Chiffrement des données

Toutes les données sensibles sont chiffrées pour garantir la sécurité.

4.6.1. Administration avec le protocole HTTPS (interface

Chiffrement avec le protocole TLSv1.2 :

4.6.2. Administration avec le protocole SSH

Algorithmes de clé d'hôte du serveur :

4.6.3. Algorithmes des connexions primaires RDP (basés

Chiffrement avec le protocole TLSv1.3 :

Chiffrement avec le protocole TLSv1.2 :

4.6.4. Algorithmes des connexions primaires SSH

Algorithmes de clé d'hôte :

4.6.5. Algorithmes des connexions secondaires

5.2. WALLIX Password Manager

5.3. Coffre-fort externe à mots de passe

Pour plus d'informations, voir Section 8.14, « Haute Disponibilité », page 73.

Chapitre 6. Premiers pas avec WALLIX

6.1.2. Communication vers WALLIX Bastion

6.2. Connexion à WALLIX Bastion en ligne de

3. Troisième étape : définir le mot de passe de l'utilisateur « wabsuper »

Suivez la prochaine étape pour configurer le mot de passe GRUB.

Les informations d'identification configurées par défaut sont les suivantes :

Utilisez la commande suivante si vous souhaitez changer ce mot de passe

Suivez la prochaine étape pour configurer le mot de passe de l'utilisateur « wabupgrade ».

6. Sixième et dernière étape : définir la configuration réseau

6.3. Parcourir le menu de l'interface Web

Voir Section 7.3, « Paramétrer

Voir Section 12.1,

Voir Section 11.1,

Voir Section 12.3.1, « Sessions

Voir Section 12.3.4, « Historique

Voir Section 12.3.6, « Historique

Menu Sous-menu Actions