Comment ?
utiliser l’application Remote Desktop Manager (RDM)
Cette article décrit la procédure pour utiliser directement l’application Remote Desktop Manager (RDM) installée localement sur le poste d’un utilisateur, tout en ayant la session enregistrée et en utilisant le coffre-fort de mots de passe.
De cette façon, l’utilisateur, qu’il soit en interne à l’organisation ou à distance pourra continuer d’utiliser cette application sans avoir à passer obligatoirement par le portail web utilisateur.
Le principe de fonctionnement est le suivant : depuis l’application RDM locale au poste de l’utilisateur, une connexion RDP sera initiée directement vers la passerelle cyberelements qui, suivant les autorisations et paramétrages en place, permettra d’accéder à un serveur RDS cible.
Un utilisateur à distance devra au préalable exécuter une ressource de type VPN, ou disposer d’une autre connexion VPN.
Cas d'usage
Il est présenté ici le cas d’usage où l’utilisateur souhaite accéder à un ressource en RDP en utilisant un compte de connexion à la ressource différent de celui permettant de s’authentifier au serveur. Ce dernier est stocké dans le coffre-fort de cyberelements et donc inconnu de l’utilisateur.
La cible de connexion de la session RDP est l’IP de la passerelle cyberelements.
Prérequis
Il est nécessaire d’activer un service présent par défaut sur les passerelle de cyberelements.
Nom du service : cleanroom-xrdp-direct
Pour cela, il faut commencer tout d’abord par ouvrir une session SSH sur la passerelle concernée en root.
Puis d’exécuter la commande suivante pour activer le service même en cas de redémarrage de la passerelle.
systemctl enable cleanroom-xrdp-direct
Puis la commande suivante pour démarrer le service.
systemctl start cleanroom-xrdp-direct
Il est possible de contrôler le statut du service en exécutant la commande suivante :
systemctl status cleanroom-xrdp-direct
Remarque :
A ce stade, le MFA n’est supporté en accès direct sans agent.
Il est donc nécessaire de différentier, en dupliquant par exemple le domaine d’authentification concerné par ces utilisateurs internes et de ne pas activer de SSO :
Il faut donc laisser le champs suivant vide pour les utilisateurs internes réalisant des accès directs :
Accès à un serveur RDS depuis Remote Desktop Manager avec enregistrement et coffre-fort
Etape 1- Configuration des ressources accessibles
Tout d’abord il est nécessaire de configurer les ressource RDS cibles.
Voici un exemple de ressource cible, avec enregistrement et utilisation d’un couple login/mot de passe stocké dans le coffre-fort de cyberelements.
La case « mode sans agent » doit obligatoirement être cochée.
Etape 2 - Configuration d'un contrat d'accès sans agent
Afin d’autoriser des utilisateurs à accéder directement à une ressource, il est nécessaire de configurer un contrat d’accès.
Il s’agit de contrats d’accès différents de ceux utiliser pour gérer les accès au portail web utilisateur.
Pour cela, ouvrer le menu « contrat d’accès direct RDP sans agent » :
Cet écran permet de mettre en relation :
> Les groupes d’utilisateurs concernés, organisés en domaines.
> Les sites concernés ;
> Les ressources ou applications concernées, organisées en catégories.
Dans le premier onglet, sélectionner le(s) groupe(s) souhaité(e)(s) par un simple glisser-déposer dans la liste de droite.
Dans le second onglet, le site concerné :
Dans l’onglet « Applications », terminer la création du contrat d’enregistrement SSH en sélectionnant les ressources auxquelles il faut accéder. Les ressources sont organisées en catégories. Il est possible de sélectionner une catégorie entière ou seulement certaines ressources en cliquant sur « + ».
Etape 3 - Syntaxe du login dans l'application Remote Desktop Manager
Au niveau de l’application RDM utilisé sur le poste, il est nécessaire d’utiliser une syntaxe particulière pour le login.
Syntaxe de la forme :
[USER]/[CLEANROOM DOMAIN]:[RESOURCE NAME]
Exemple :
Remarque :
> Le mot de passe est à laisser vide
> L’IP cible est celle de la passerelle cyberelements du site conserné
Au lancement de la connexion, le mot de passe du compte défini dans login de connexion (ici vs_adm) est demandé :
Après saisie du mot de passe, la connexion au serveur s’effectue ; un message rappelle que la session est enregistrée :
Le compte de connexion est bien celui renseigné dans le coffre-fort :
Et la session est enregistrée :
La séquence de connexion en vidéo :
Configurer votre accès direct à une machine RDS
ou réserver un échange avec nos experts