Skip to content

comment?

Mettre en place un accès direct à une machine RDS sans agent

Cet article décrit la procédure pour configurer un accès direct à une machine Windows, en RDS, sans avoir à déployer et configurer un agent sur cette machine.

Le principe de fonctionnement étant le suivant : depuis une application locale au poste de l’utilisateur, comme MobaXTerm ou Mremote, il est possible d’initier une connexion RDP vers une passerelle cyberelements qui, suivant les autorisations et paramétrages en place, permettra d’accéder à un serveur cible avec enregistrement de la session.

Cela permet aux utilisateurs internes d’une organisation de ne pas avoir à forcément passer par le portail web utilisateur de cyberelements et d’utiliser leurs outils de connexions RDP habituels.

Cas d'usage

Il est présenté ici le cas d’usage où l’utilisateur souhaite accéder à un ressource en RDP en utilisant un compte de connexion à la ressource différent de celui permettant de s’authentifier au serveur. Ce dernier est stocké dans le coffre-fort de cyberelements et donc inconnu de l’utilisateur.

La cible de connexion de la session RDP est l’IP de la passerelle cyberelements.

Prérequis

Il est nécessaire d’activer un service présent par défaut sur les passerelle de cyberelements.

Nom du service : cleanroom-xrdp-direct

Pour cela, il faut commencer tout d’abord par ouvrir une session SSH sur la passerelle concernée en root.

Puis d’exécuter la commande suivante pour activer le service même en cas de redémarrage de la passerelle.

systemctl enable cleanroom-xrdp-direct

Puis la commande suivante pour démarrer le service.

systemctl start cleanroom-xrdp-direct

Vous pouvez contrôler le statut du service en exécutant la commande suivante :

systemctl status cleanroom-xrdp-direct

Remarque :

A ce stade, le MFA n’est supporté en accès direct sans agent.

Il est donc nécessaire de différentier, en dupliquant par exemple le domaine d’authentification concerné par ces utilisateurs internes et de ne pas activer de SSO :

Il faut donc laisser le champs suivant vide pour les utilisateurs internes réalisant des accès directs :

Accès direct à la passerelle en RDP pour ouvrir une ressource RDP utilisant le coffre-fort CleanroomPrérequis

Etape 1- Configuration de la ressource

Tout d’abord il est nécessaire de configurer une ressource RDS cible sans agent :

La case « mode sans agent » doit obligatoirement être cochée pour ce mode.

Etape 2 - Configuration d'un contrat d'accès sans agent

Afin d’autoriser des utilisateurs à accéder directement à une ressource, il est nécessaire de configurer un contrat d’accès.

Il s’agit de contrats d’accès différents de ceux utiliser pour gérer les accès au portail web utilisateur.

Pour cela, ouvrer le menu « contrat d’accès direct RDP sans agent » :

Cet écran permet de mettre en relation :

> Les groupes d’utilisateurs concernés, organisés en domaines.

> Les sites concernés ;

> Les ressources ou applications concernées, organisées en catégories.

Dans le premier onglet, sélectionner le(s) groupe(s) souhaité(e)(s) par un simple glisser-déposer dans la liste de droite.

Dans le second onglet, le site concerné :

Dans l’onglet « Applications », terminer la création du contrat d’enregistrement SSH en sélectionnant les ressources auxquelles il faut accéder. Les ressources sont organisées en catégories. Il est possible de sélectionner une catégorie entière ou seulement certaines ressources en cliquant sur « + ».

Etape 3 - Syntaxe du client RDP côté utilisateur

Au niveau du client RDP utilisé sur le poste, il est nécessaire d’utiliser une syntaxe particulière pour le login.

Syntaxe de la forme :

[USER]/[CLEANROOM DOMAIN]:[RESOURCE NAME]

Exemple avec le client mRemote :

Remarque :

> Le mot de passe est à laisser vide

> L’IP cible est celle de la passerelle cyberelements du site conserné

Au lancement de la connexion, le mot de passe du compte défini dans login de connexion (ici vs_adm) est demandé :

Après saisie du mot de passe, la connexion au serveur s’effectue ; un message rappelle que la session est enregistrée :

Le compte de connexion est bien différent :

Et la session est enregistrée :

La séquence de connexion en vidéo :

La fonctionnalité d’accès direct dans cyberelements vous permet ainsi d’améliorer l’expérience utilisateur de vos collaborateurs tout en gardant un niveau de sécurité élevé.

Avez-vous des questions ? Réservez un échange avec nos experts

Configurer votre accès direct à une machine RDS

ou réserver un échange avec nos experts