Descubra o Apache Guacamole: a solução para acessos remotos na sua empresa
Neste post falo sobre uma ferramenta bastante interessante do projeto Apache chamado Guacamole que irá resolver problemas de acessos remotos a servidores em sua empresa. É uma mão na roda. Descubra-a.
Você já pensou que para acessar uma maquina remotamente em sua empresa ela não dependesse exclusivamente de acesso a internet? Já pensou em centralizar os acessos as maquinas remotas de sua empresa em uma única ferramenta e ainda gravar as sessões remotas em vídeos para a qualquer moimento auditar os acessos e alterações? Pois é o pessoal do Apache Guacamole pensaram e fizeram!
Principais vantagens
- Acesso centralizado: permite acessar qualquer máquina remotamente através de um único servidor exposto para internet e criar uma independência de recursos dos analistas já que o acesso pode partir que qualquer maquina com um navegador instalado.
- Auditoria doa acessos: todos os acessos são gravados em vídeos para que possam qualquer modificação feita em um servidor possa ser auditada facilmente. (feature da versão 9.13)
Faça a instalação
Em nossa instalação usaremos as seguintes ferramentas em suas seguintes versões:
- Sistema Operacional: Centos 7.2.1511
- Versão da aplicação: Guacamole 0.9.13
- Versão do Tomcart: 7.0.76.0
- Versão do MySQL: 5.1
- Versão do Nginx: 1.12
Vamos começar com a instalação de tudo o que precisaremos, como dependências e outras aplicações como nginx e mariadb.
1 | yum install epel-release -y |
2 | yum -y install cairo-devel freerdp-devel gcc java-1.8.0-openjdk.x86_64 libguac libguac-client-rdp libguac-client-ssh libguac-client-vnc libjpeg-turbo-devel libpng-devel libssh2-devel libtelnet-devel libvncserver-devel libvorbis-devel libwebp-devel openssl-devel pango-devel pulseaudio-libs-devel terminus-fonts tomcat tomcat-admin-webapps tomcat-webapps uuid-devel vim wget epel-release libtelnet libtelnet-devel install mariadb mariadb-server -y |
Após a instalação de todas as dependências vamos preparar o ambiente para a compilação do Guacamole incubating e a instalação do ffmpeg.
1 | mkdir /root/guacamole && cd /root/guacamole |
3 | yum install ffmpeg ffmpeg-devel -y |
5 | tar -xf guacamole-server-0.9.13-incubating.tar.gz |
6 | cd guacamole-server-0.9.13-incubating |
7 | ./configure –with-init-dir=/etc/init.d |
Configure a aplicação
Efetue o download do arquivo .war e disponibilize em seu servidor de aplicações Java (em nosso cenário utilizamos o TomCat 7)
1 | mkdir -p /var/lib/guacamole && cd /var/lib/guacamole |
3 | ln -s /var/lib/guacamole/guacamole.war /var/lib/tomcat/webapps/ |
4 | rm -rf /usr/lib64/freerdp/guacdr.so |
5 | ln -s /usr/local/lib/freerdp/guacdr.so /usr/lib64/freerdp/ |
Configurando o mysql-connector e auth-ldap.
Vamos efetuar o download e configuração do mysql-connector-java e guacamole-auth-jdbc.
01 | mkdir -p ~/guacamole/sqlauth && cd ~/guacamole/sqlauth |
04 | tar -xf guacamole-auth-jdbc-0.9.13-incubating.tar.gz |
05 | tar -xf guacamole-auth-ldap-0.9.13-incubating.tar.gz |
07 | tar -xf mysql-connector-java-5.1.38.tar.gz |
08 | mkdir -p /usr/share/tomcat/.guacamole/{extensions,lib} |
09 | mv guacamole-auth-jdbc-0.9.13-incubating/mysql/guacamole-auth-jdbc-mysql-0.9.13-incubating.jar /usr/share/tomcat/.guacamole/extensions/ |
10 | mv mysql-connector-java-5.1.38/mysql-connector-java-5.1.38-bin.jar /usr/share/tomcat/.guacamole/lib/ |
11 | mv guacamole-auth-ldap-0.9.13-incubating/guacamole-auth-ldap-0.9.13-incubating.jar /usr/share/tomcat/.guacamole/extensions/ |
12 | systemctl restart mariadb.service |
A base de dados
Vamos iniciar criação da base de dados e sua carga inicial, aproveitaremos para configurar a senha do root do mysql.
01 | mysqladmin -u root password 4linux |
03 | reate database guacdb; create user 'guacuser'@'localhost' identified by '4linux'; grant select,insert,update,delete on guacdb.* to 'guacuser'@'localhost'; flush privileges; |
05 | cd ~/guacamole/sqlauth/guacamole-auth-jdbc-0.9.13-incubating/mysql/schema/ |
06 | cat ./*.sql | mysql -u root -p guacdb |
07 | mkdir -p /etc/guacamole/ && vi /etc/guacamole/guacamole.properties |
11 | mysql-hostname: localhost |
14 | mysql-username: guacuser |
18 | mysql-default-max-connections-per-user: 0 |
19 | mysql-default-max-group-connections-per-user: 0 |
22 | ldap-hostname:ldap.suaempresa.com.br |
24 | ldap-search-bind-dn:cn=construtor,dc=suaempresa,dc=com,dc=br |
25 | ldap-search-bind-password:SENHALDAP |
26 | ldap-user-base-dn:cn=USERS,dc=suaempresa,dc=com,dc=br |
Tendo o arquivo guacamole.properties corretamente configurando agora basta disponibilizar o mesmo dentro da pasta da aplicação.
1 | ln -s /etc/guacamole/guacamole.properties /usr/share/tomcat/.guacamole/ |
2 | systemctl enable tomcat.service && systemctl enable mariadb.service && chkconfig guacd on |
5 | vim /etc/tomcat/tomcat-users.xml |
6 | * Na última linha do arquivo descomente e altere a senha do usuário admin no campo campo password="4linux" |
Pronto agora basta verificar suas configurações de SeLinux e Firewalld para que não tenhamos nenhum tipo de impacto nesse laboratório recomendo que os mesmos sejam desabilitados.
Primeiro acesso
Para efetuar o primeiro acesso basta use as seguintes informações:
Endereço: http://IP_DO_SERVIDOR:8080/guacamole.
Usuário: guacadmin
Senha: guacadmin
Após configurar nosso servidor podemos criar os usuário de acesso, grupos e conexões. Para isso devemos acessar o menu superior localizado no lado direito da tela e clicar em Settings.
Criaremos um grupo de conexões e logo em seguida criaremos uma conexão propriamente ditas. Clique em Connections → New Group. Preencha o campo “Name” e em “Location” podemos adicionar um grupo dentro de outro formando assim subgrupos.
Criaremos dois protocolos de conexão para a mesma maquina portando usaremos o SSH e o VNC no cliente, para esta configuração clique em new connection e preencha os campos necessários, faça o mesmo para o protocolo VNC
O cliente VNC
Como estação cliente estamos usando o ubuntu 16.04 então basta executar o comando abaixo como o usuário que deseja iniciar a sessão do VNC (caso seja uma maquina compartilha efetuar o a configuração para cada usuário).
Coloque uma senha no cliente VNC e use a mesma senha para configurar a conexão no servidor Guacamole.
Teste os acessos
No servidor guacamole clique em “home”e clique sobre a conexão que deseja iniciar aguarde a conexão e pronto, você esta conectado a maquina remota.
Para habilitar o menu lateral basta segurar as teclas CTRL + ALT + SHIFT
caso queira desconectar da maquina clique em disconnect e depois em home.
Grave as sessões em vídeo
Para gravar um sessão em video configure um caminho para gravação dentro do servidor Guacamole (em meu laboratório criei uma pasta na raiz chamada /rec), e configure o caminho e um nome para o arquivo em configurações da conexão.
Recording pach: Local onde os videos serão armazenados no servidor
Recording name: prefixo dos arquivos gerados a cada novo video ocorre um incremento no nome, exemplo: recepcao_ssh.1, recepcao_ssh.2, recepcao_ssh.3.
Os arquivos gerados precisam ser codificados (encoding) através do binário guacenc para que possam ser vistos em um player de vídeo.]
1 | guacenc /rec/nome_do_arquivo |
Um novo arquivo sera gerado e sua extensão sera .m4v (uma variação do formato MP4 sequence)
Configure um proxy-reverso
Validamos o funcionamento da ferramenta agora basta dar um nome amigável e tirar a porta do acesso a ferramenta para facilitar o acesso a ferramenta.
Vamos partir do pressuposto que você já criou em seu DNS uma entrada chamada remote.suaempresa.com.br.
02 | systemctl enable nginx ; systemctl start nginx |
03 | vim /etc/nginx/conf.d/guacamole.conf |
06 | server_name remote.suaempresa.com.br; |
11 | systemctl restart nginx |
