Tweet
Intégration d'un serveur Awingu dans une architecture RDS
1 - Prérequis
Commencer par télécharger la version dont vous avez besoin depuis la repo officiel : https://repo-pub.awingu.com/appliances/
Pour ma démonstration, j'ai télécharger la version ESXi et j'ai réalisé l'importation du fichier OVA.
Sur mon Active Directory, dans la partie Services, je créé une UO avec le nom Awingu
Et je créé 3 groupes pour différent futur mise à disposition de service.
Je créé également dans la partie des comptes de service un compte AD pour Awingu.
2 - Depuis l'interface ESXi
Lorsque l'image est importé, la carte réseau n'a pas d'adresse IP fixe.
Pour que l'adresse IP de notre bastion ne bouge jamais, nous allons lui mettre une adresse IP fixe.
Pour cela, nous ouvrons depuis l’interface ESXi une console distante et nous arrivons sur cet écran, car Awingu n'a jamais étais configuré.
Nous validons avec notre clavier RECONFIGURE NETWORK.
Sur l'écran suivant, nous validons avec Static.
Sur l'écran suivant, nous configurons l'adresse IP statique, ainsi que la passerelle et les serveurs DNS.
Puis nous avec OK.
3 - Interface web
Une fois que tout les paramètres sont correcte, depuis notre poste, nous pouvons nous rendre depuis une interface web à la fin de la configuration d'Awingu.
Nous ouvrons donc la page web en HTTP avec l'adresse IP fixé et en mettant bien le port réseau par défaut qui est 8080.
Nous arrivons sur cette page.
Nous acceptons les condition général en cochant la case, puis nous cliquons sur le bouton Next.
Nous n'avons pas de sauvegarde précédente, nous pouvons passer directement à la partie suivant en cliquant sur le bouton Next.
Nous devons saisir le compte par défaut du système, il ne faut pas qui fasse partie du domaine LDAP sur lequel nous allons nous brancher après (orthographe inclue).
Nous choisissions la login et le mot de passe. (ne pas oublié de la mettre dans votre centraliser de mot de passe)
Puis nous cliquons sur le bouton Next.
Nous configurons le nom que le serveur Awingu va avoir (a faire en fonction de votre politique de nommage).
Les adresses IP des différent serveur DNS (séparé par des virgules)
Les adresses IP des serveur NTP.
Puis nous cliquons sur le bouton Next.
En cas de grand structure, ici il est conseiller d'utiliser un serveur PostgreSQL extérieur au système.
Pour ma démonstration, je reste sur une base interne au serveur.
Nous cliquons directement sur le bouton Next.
Nous arrivons à l'écran récapitulatif, avant la mise en place de la configuration.
Si tout est correcte, nous cliquons sur le bouton Finish.
Le système ce configure.
4 - Configuration avancé
Une fois qu'il a tout terminé, nous pouvons retourner sur l'interface web par défaut, (Attention: le port du début n'est plus valable)
Nous mettons identifiant que nous avons créé (sans information de nom de domaine)
Puis nous cliquons sur le bouton Se connecter
Nous acceptons les conditions général d'utilisation en cliquant sur le bouton Accepter.
Pour continuer toute notre configuration nous cliquons sur l'icône System Settings.
Nous pouvons oui ou non accepter l'envoie d'information à l'extérieur en laissant coché la case ou non et en cliquant sur le bouton Confirm.
A partir d'ici, il y a plusieurs chose à configurer.
Elles sont important pour avoir un ensemble stable et homogène
5 - Configuration Global
En haut à droite, il y a ce petit menu.
Nous allons passer chaque option en revenu pour obtenir un résultat satisfaisant.
4.1 - Connectivity
Nous contrôlons que nous avons bien tout les paramètre NTP Server, le ou les serveur DNS
Puis nous cliquons sur le bouton Apply.
Nous activons le paramètre de proxy pour correctement avoir les update.
Nous mettons pour le champ State en status Enabled.
Et dans le champ HTTP Proxy Server URL, nous mettons l'adresse FQDN du proxy.
Puis nous cliquons sur le bouton Apply.
Nous activons le service snmp afin de réaliser un monitoring de ce serveur.
Nous mettons le state sur Enabled et nous choisissons un mode de passe.(ne pas oublié de la mettre dans votre centraliser de mot de passe)
Puis nous cliquons sur le bouton Apply.
Facultatif, nous pouvons configurer la Vault pour activer le SSO depuis Azure ou depuis Google
4.2 - General Info
Lorsque vous aurez eu votre clé de licence, c'est ici qu'il faudra l'installer.
Nous sécurisons l'accès au interface de management .
Nous activons Whitelisted Subnets pour y mettre la plage réseau des administrateur potentiel.
Puis nous cliquons sur le bouton Apply.
4.3 - Service Management
Dans le cas ou nous aurions plusieurs Awingu a gérer, nous configurons l'ensemble des appliance ici.
4.4 - Domains
Il faut configurer au minimum un domaine pour que tout soit fonctionnel.
Nous cliquons sur le bouton Add.
Nous devons remplir l'ensemble des champs avec
- Name : avec le nom du notre domaine (nom court) (Attention : il y a un rafraichissement de la cellule après modification de la cellule NetBIOS Name)
- Host Headers :
- Administrative Domain : mettre à Yes pour le domaine avec les administrateur, pour les autre domaine il faut mettre No
- Privacy Policy Acceptance : bien laisser à Enabled
- NetBIOS Name : Mettre le nom du serveur
- Domain FQDN : le nom FQDN du domaine
- DC/LDAP Server : mettre le nom des contrôler de domaine
- Base DN : mettre le chemin ou se trouve l'ensemble des utilisateurs et groupe de votre domaine.
- LDAP over SSL : mettre à Enabled si votre domaine est bien configuré, sinon passer à Disabled
- DNS Servers : mettre l'ensemble des adresses IP des serveur DNS du domaine
- Bind user for domain : mettre le compte de service cré dans les pré requi
- Password for bind user : mettre le mot de passe
- Create Bind Name : mettre l'option builtin.create_username_bind_name
- Find Groups : mettre l'option builtin.find_groups_by_member
Puis nous pouvons cliquer sur le bouton Add.
Le système ce mettre à jour.
4.5 - SSL Offloading
C'est ici que l'on va mettre nos certificats pour obtenir du HTTPS.
.
5 - Configuration pour l'utilisation
Ici, nous trouverons l'ensemble de la configuration plus avancé sur l'utilisation de Awingu, tel que les applications disponible ou la gestio des droits.
5.1 - Manager
Le menu est encore une fois assez simple de compréhension.
5.1.1 - Applications
Ici, nous ajoutons les application qui pourrons être disponible ou non à nos utilisateurs.
Les différents type d'application que l'on peu y mettre :
- Desktop Application : Mise à disposition directement d'une interface RDP sur un serveur spécifique.
- RDP Application : Mise à disposition d'une application spécifique en accès depuis un serveur. (exemple firefox)
- Remote Application : Mise à disposition d'une application spécifique en accès depuis un serveur. (exemple Word Office)
- Reverse Proxied Web Application :
- Web Application : Mise à disposition de l'interface d'une application Web interne à l'entreprise.
a. Desktop Application
Mise en place de la session RDP depuis en serveur.
Il faut que le ou les serveur soit déjà référencé (pour cela voir chapitre 5.1.2)
il faut remplir les champs :
- Name : nom qu'aura l'application.
- Description : une description parlant.
- Icon : une icone en libre choix pour personnaliser les raccourcies.
- Catégories : une catégorie pour ranger l'application.
- User Labels : les utilisateurs ou les groupes qui auront accès à l'application.
- Server Labels : le ou les serveurs utilisé pour l'application.
b. RDP Application
Mise en place d'une application RDP depuis en serveur.
Il faut que le ou les serveur soit déjà référencé (pour cela voir chapitre 5.1.2)
Il faut remplir les champs :
- Name : nom de l'application.
- Description : description de l'application.
- Icon : une icone en libre choix pour personnaliser les raccourcies.
- Categories : une catégorie pour ranger l'application.
- Command : La commande de lancement du programme. (Attention : il faut que le programme se trouve sur le ou les serveurs)
- Working Folder : Le dossier de travail du programme.
- User Labels : les utilisateurs ou les groupes qui auront accès à l'application.
- Server Labels : le ou les serveurs utilisé pour l'application.
Puis on clique sur le bouton Add.
c. Remote Application
Mise en place d'une application RDP depuis en serveur.
Il faut que le ou les serveur soit déjà référencé (pour cela voir chapitre 5.1.2)
Il faut remplir les champs :
- Name : nom de l'application.
- Description : description de l'application.
- Icon : une icone en libre choix pour personnaliser les raccourcies.
- Categories : une catégorie pour ranger l'application.
- Alias : le raccourcie de lancement de l'application.
- User Labels : les utilisateurs ou les groupes qui auront accès à l'application.
- Server Labels : le ou les serveurs utilisé pour l'application.
Puis on clique sur le bouton Add.
d. Reverse Proxied Web Application
e. Web Application
Mise en place d'une application Web.
- Name : nom de l'application.
- Description : description de l'application.
- Icon : une icone en libre choix pour personnaliser les raccourcies.
- Categories : une catégorie pour ranger l'application.
- Destination URL : L'url de destination interne à l'entreprise.
- User Labels : les utilisateurs ou les groupes qui auront accès à l'application.
Puis on clique sur le bouton Add.
5.1.2 - Application Server
Liste des serveur avec le service RDS.
Pour en rajouter, il faut cliquer sur le bouton Import from AD
Et on sélectionne le serveur.
On remplie les champs
- Max Connections : valeur numérique en fonction du serveur et de la charge possible
- Server Labels : groupe de rangement que l'on créé appserver:<nom du serveur> pour un serveur tout seul .rdscollection:<nom de la collection> pour une ferme RDS.
- Authentication Protocol : Mettre Kerberos avec l'authentification directe au serveur.
Puis on clique sur le bouton Import
5.1.3 - Categories
Les différentes catégories de base qui permet de rangé les application sont :
- Office : outil de travail plus global.
- System : outil système pour les administrateur.
- Utility : utilitaire de travail.
Il est possible d'en créer d'autre, on clique sur le bouton Add.
On remplie le champ Name.
Puis on clique sur le bouton Add.
5.1.4 - Drives
Ensemble des partage réseau accessible depuis l'interface.
Pour en rajouter, il faut cliquer sur le bouton Add.
Il faut remplir tout les champs :
- Name : nom du raccourcie
- Description : description du partage.
- Backend : type du protocole pour acceder au partage WebDav partage web, CIF pour les partage Windows et Onedrive pour les partage directement sur le Cloud.
- URL : le chemin réseau en y indiquant le protocol
smb://swfilp01.tips-of-mine.local/Commun/
http://swfilp01.tips-of-mine.local:4443/Commun
- UNC : chemin d'acces au partage (exemple : \\swfilp01.tips-of-mine.local\Commun\ )
- Domaine Use : accessible seulement pour le mode WebDav, on y met Enabled
- Authentication Role : accessible seulement pour le mode CIF, on y met User
- Lables :
- User Labels : les utilisateurs ou les groupes qui auront accès à l'application.
Puis cliquer sur le bouton Add.
5.1.5 - Labels
Il s'agit de l'ensemble des groupes pour gérer les droits accès.
Pour importer des groupes AD, cliquer sur le bouton Import groups from AD.
Dans la partie basse, il y a tout les groupes qui s'affiche, il faut sélectionner les groupes à importer.
On sélectionne un groupe ou plusieurs et on clique sur le bouton Import.
Pour importer des utilisateurs AD, cliquer sur le bouton Import usersfrom AD.
Dans la partie basse, il y a tout les utilisateurs qui s'affiche, il faut sélectionner l'utilisateur ou les utilisateurs à importer.
Puis on clique sur le bouton Import.
5.1.6 - File Types
Affiche l'ensemble des extensions de fichier pouvant être manipulé.
il est possible d'en rajouter d'autre en cliquant sur le bouton Add.
5.1.7 - Users
Affiche les session en cour sur notre environnement.
Nous pouvons tuer les sessions.
5.2 - Configuration
5.2.1 - Branding
Il s'agit de la configuration de la page par default, il y a quelque personnalisation graphique qui peuvent être fait pour le code couleur de l'entreprise.
5.2.2 - Features
Pour configurer les options accès au fonction de base au fonction d'utilisateur et groupe.
5.2.3 - User Connector
Il s'agit de la partie important
Dans la partie Login Permissions, dans le champ User Labels, nous indiquons l'ensemble des utilisateurs ou groupe autorisé à ce connecter dessus.
Puis on clique sur le bouton Apply.
Dans la partie Admin Permissions, dans le champ User Labels, nous indiquons l'ensemble des utilisateurs ou groupe autorisé à ce connecter dessus.
Puis on clique sur le bouton Apply.
Dans la partie Account Setting Defaults, nous mettons les paramétres par defaut de nos utilisateurs.
Puis on clique sur le bouton Apply.
Important : nos utilisateurs sont libre de la changer eux même depuis leur interface.
Pour sécuriser un peu plus les sessions, nous pouvons activer la double authentification.
Il faut avoir un compte sur https://duo.com
Dans le champ Mode, mettre Duo Security
Saisir Api Hostname, Integration Key et Secret Key
Puis on clique sur le bouton Apply.
Il est important qu'activer l'expiration des sessions,
Pour cela nous mettons le champ Automatic Logout à Enabled.
Pour cela nous mettons le champ Inactivity timeout une valeur en seconde 3600.
Puis on clique sur le bouton Apply.
6. Autre configuration
il reste à faire la configuration chez votre provider Cloud au niveau DNS et en intene pour partager une url plutot qu'une simple adresse IP.
Fichiers attachés