Cédric_Portfolio/Guacamole

Installation de Docker :

Mise à jour du système et installation de Docker :
```
apt update
apt install -y docker.io docker-compose
```

Activation et démarrage du service Docker :

systemctl enable docker
systemctl start docker

Vérification de l'installation :

docker --version
docker-compose --version

Installation d’Apache Guacamole :

Préparation de l'environnement Guacamole :

Création du répertoire de travail :

mkdir -p /opt/guacamole
cd /opt/guacamole

Génération du script d'initialisation de la base de données MySQL :
```
docker run --rm guacamole/guacamole /opt/guacamole/bin/initdb.sh --mysql > initdb.sql
```
Cette commande télécharge l'image officielle Guacamole et génère le fichier SQL contenant la structure de la base de données ainsi que le compte administrateur par défaut.

Création du fichier docker-compose :

Création du fichier de configuration Docker Compose :
```
nano docker-compose.yml
```

Contenu du fichier :

version: '3'

services:
  guacamole-db:
    image: mysql:8.0
    container_name: guacamole-mysql
    environment:
      MYSQL_ROOT_PASSWORD: guacamole_root_password
      MYSQL_DATABASE: guacamole_db
      MYSQL_USER: guacamole_user
      MYSQL_PASSWORD: guacamole_password
    volumes:
      - ./initdb.sql:/docker-entrypoint-initdb.d/initdb.sql
      - guacamole-db-data:/var/lib/mysql
    restart: unless-stopped

  guacd:
    image: guacamole/guacd
    container_name: guacd
    restart: unless-stopped

  guacamole:
    image: guacamole/guacamole
    container_name: guacamole
    environment:
      GUACD_HOSTNAME: guacd
      MYSQL_HOSTNAME: guacamole-db
      MYSQL_DATABASE: guacamole_db
      MYSQL_USER: guacamole_user
      MYSQL_PASSWORD: guacamole_password
    ports:
      - "8080:8080"
    depends_on:
      - guacd
      - guacamole-db
    restart: unless-stopped

volumes:
  guacamole-db-data:

Explications du fichier docker-compose :
- guacamole-db : conteneur MySQL 8.0 qui héberge la base de données de Guacamole (utilisateurs, connexions, permissions)
- guacd : daemon Guacamole qui gère les connexions aux serveurs distants via les protocoles RDP, SSH, VNC
- guacamole : application web Guacamole accessible via le navigateur
- volumes : le volume guacamole-db-data permet la persistance des données de la base de données
- restart: unless-stopped : les conteneurs redémarrent automatiquement en cas d'arrêt ou de redémarrage du serveur

Démarrage de l'infrastructure :

Lancement des conteneurs en arrière-plan :
```
docker-compose up -d
```
Cette commande va :
- Télécharger les images Docker nécessaires (MySQL, guacd, guacamole)
- Créer et démarrer les trois conteneurs
- Initialiser automatiquement la base de données avec le script initdb.sql
- Configurer le réseau Docker pour permettre la communication entre les conteneurs
Vérification de l'état des conteneurs :
```
docker ps
```
Vous devriez voir trois conteneurs en cours d'exécution : guacamole, guacd et guacamole-mysql.

Gestion des conteneurs Docker :

Arrêter Guacamole :
```
cd /opt/guacamole
docker-compose stop
```
Démarrer Guacamole :
```
cd /opt/guacamole
docker-compose start
```

Redémarrer Guacamole :

cd /opt/guacamole
docker-compose restart

Consulter les logs :

docker logs guacamole
docker logs guacd
docker logs guacamole-mysql

Mettre à jour Guacamole vers une nouvelle version :

cd /opt/guacamole
docker-compose pull
docker-compose up -d

Sauvegarde de la base de données :

docker exec guacamole-mysql mysqldump -u guacamole_user -pguacamole_password guacamole_db > backup_guacamole.sql

Restauration de la base de données :

docker exec -i guacamole-mysql mysql -u guacamole_user -pguacamole_password guacamole_db < backup_guacamole.sql

Accès à l'interface web :

Depuis un navigateur web, accédez à l'interface Guacamole : http://192.168.0.1:8080/guacamole
Identifiants par défaut :
- Username : guacadmin
- Password : guacadmin

Mise en place des connections distantes :

Connection au serveur Linux en SSH :

Le service SSH doit être installé et démarré sur le serveur linux :
```
apt install -y openssh-server
systemctl enable ssh
systemctl start ssh
```
Vérification de l'état du service SSH :
```
systemctl status ssh
```
Le service doit être actif (running).
Autoriser la connexion SSH en tant que root (si nécessaire) :
- Par défaut sur Debian, la connexion SSH en tant que root est désactivée pour des raisons de sécurité. Si vous souhaitez vous connecter en root via Guacamole, modifiez le fichier de configuration SSH :
```
nano /etc/ssh/sshd_config
```
- Recherchez la ligne suivante : #PermitRootLogin prohibit-password et décommenter là
- Décommentez là et remplacer prohibit-password par yes
Note de sécurité : Dans un environnement de production, il est recommandé de créer un utilisateur dédié plutôt que d'autoriser la connexion root directe. Cette configuration est acceptable dans un environnement de test.
Accéder à la gestion des connexions :
- Connectez-vous à l'interface Guacamole
- Cliquez sur guacadmin (ou votre nom d'utilisateur) en haut à droite
- Sélectionnez Paramètres
- Dans le menu de gauche, cliquez sur Connexions
Créer une nouvelle connexion
Configuration de base :
Sauvegarder
Test de la connexion SSH
- Retourner à l'écran d'accueil :
- Cliquer que sur la vignette Serveur Linux pour lancer la connexion à distance

Connection au serveur Windows en RDP :

Activer le Bureau à distance sur Windows Server 2022
- Sur le serveur Windows aller dans Paramètres > Systèmes > Bureau à distance
- Cocher Activer le bureau à distance
Dans Guacamole, accéder à la gestion des connexions :
- Connectez-vous à l'interface Guacamole
- Cliquez sur votre nom d'utilisateur en haut à droite
- Sélectionnez Paramètres
- Dans le menu de gauche, cliquez sur Connexion
- Puis créer une Nouvelle connexion
Configuration de base :
Optionnel :
Sauvegarder
Test de connexion RDP :
- Retourner à l’accueil
- Lancer une connexion en sélectionnant Serveur_Windows

Sécurisation des connexions

Connexion SSH sécurisée

Étape 1 — Générer la paire de clés SSH pour Guacamole

Sur le serveur Guacamole :

Créer le dossier et sécuriser ses permissions :

mkdir -p /etc/guacamole/keys
    chmod 700 /etc/guacamole/keys

Générer la paire de clés RSA 4096 bits :

ssh-keygen -t rsa -b 4096 -f /etc/guacamole/keys/guac_rsa -N ""

Appliquer les permissions sur les clés :

chmod 600 /etc/guacamole/keys/guac_rsa
    chmod 644 /etc/guacamole/keys/guac_rsa.pub
    chown root:root /etc/guacamole/keys/guac_rsa

Deux fichiers sont générés :
- /etc/guacamole/keys/guac_rsa → clé privée (reste sur le serveur Guacamole, ne bouge jamais)
- /etc/guacamole/keys/guac_rsa.pub → clé publique (à déposer sur chaque serveur Linux cible)

Étape 2 — Déployer la clé publique sur chaque serveur Debian

Depuis le serveur Guacamole, exécuter la commande suivante pour chaque serveur cible (remplacer utilisateur@ip-serveur-cible) :

cat /etc/guacamole/keys/guac_rsa.pub | ssh utilisateur@ip-serveur-cible \
    "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"

Exemple pour le serveur DHCP :

cat /etc/guacamole/keys/guac_rsa.pub | ssh cedric@172.30.99.10 \
    "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"

Étape 3 — Déployer la clé privée dans Guacamole

Afficher le contenu de la clé privée :
```
cat /etc/guacamole/keys/guac_rsa
```
Se connecter à l'interface web de Guacamole et aller dans Paramètres → Connexions.
Sélectionner un serveur et descendre jusqu'à Paramètres / Authentification.
Coller le contenu de la clé privée dans le champ Clé privée.

Connexion RDP sécurisée

Étape 1 — Créer le template de certificat sur AD CS

Sur le serveur AD CS :

Ouvrir certsrv.msc
Clic droit sur Modèles de certificats → Gérer
Trouver le template Ordinateur → clic droit → Dupliquer
Configurer le template dupliqué :
- Onglet Général :
  - Nom du modèle : RDP-Ordinateur
  - Cocher Publier le certificat dans AD
- Onglet Sécurité :
  - Ajouter Ordinateurs du domaine → droits : Lire + Inscrire + Inscription automatique
  - Ajouter Contrôleurs de domaine → mêmes droits
- Onglet Extensions → Stratégies d'application :
  - Vérifier que Authentification du bureau à distance est présent (OID 1.3.6.1.4.1.311.54.1.2)
  - Si absent : cliquer sur Ajouter → rechercher "Bureau à distance" → OK

Étape 2 — Publier le template

Retour dans certsrv.msc :

Clic droit Modèles de certificats → Nouveau → Modèle de certificat à délivrer
Sélectionner RDP-Ordinateur → OK

Étape 3 — GPO d'enrollment automatique

Dans gpmc.msc, créer ou modifier une GPO liée à l'OU des machines Windows :

Configuration ordinateur
    → Paramètres Windows
        → Paramètres de sécurité
        → Stratégies de clé publique
            → Client des services de certificats - Inscription automatique

Modèle de configuration : Activé
Cocher Renouveler les certificats expirés
Cocher Mettre à jour les certificats qui utilisent les modèles de certificats

Étape 4 — GPO pour forcer RDP à utiliser le certificat

Dans la même GPO, naviguer vers :

Configuration ordinateur
    → Modèles d'administration
        → Composants Windows
        → Services Bureau à distance
            → Hôte de session Bureau à distance
            → Sécurité

Modèle de certificat d'authentification du serveur → Activé → valeur : RDP-Ordinateur
Nécessite l'utilisation d'une couche de sécurité spécifique pour les connexions distantes → Activé → SSL (TLS 1.0)

Étape 5 — Appliquer les GPO sur les machines cibles

Sur chaque machine Windows :

gpupdate /force

Vérifier l'enrollment du certificat :

certlm.msc
    # → Personnel → Certificats
    # Un certificat émis par cbaudiment.fr doit être visible

Étape 6 — Importer le certificat racine CA dans Guacamole

Cette étape est indispensable pour que Guacamole fasse confiance aux certificats RDP signés par l'AD CS.

Exporter le certificat racine depuis Windows :
- Ouvrir certsrv.msc → clic droit sur le CA → Propriétés → Certificat CA → Afficher → Détails → Copier dans un fichier
- Format : X.509 encodé en Base64 (.CER)

Transférer le fichier sur le serveur Guacamole, puis importer dans le truststore Java :

keytool -import -trustcacerts \
    -alias "CA-cbaudiment" \
    -file /tmp/ca-cbaudiment.cer \
    -keystore /etc/guacamole/truststore.jks \
    -storepass changeit

Référencer le truststore dans guacamole.properties :

echo "ssl-truststore: /etc/guacamole/truststore.jks" >> /etc/guacamole/guacamole.properties
    echo "ssl-truststore-password: changeit" >> /etc/guacamole/guacamole.properties

Redémarrer les services :
```
systemctl restart tomcat9 guacd
```

Erreurs fréquentes

Symptôme	Cause probable	Solution
Connexion SSH refusée dans Guacamole	Clé privée mal collée ou retours à la ligne manquants	Recopier le contenu de `guac_rsa` en incluant les lignes `-----BEGIN-----` et `-----END-----`
Clé publique non reconnue sur le serveur cible	Permissions incorrectes sur `~/.ssh` ou `authorized_keys`	Vérifier `chmod 700 ~/.ssh` et `chmod 600 ~/.ssh/authorized_keys` sur le serveur cible
Avertissement de certificat RDP persistant	GPO non appliquée ou template non publié	Exécuter `gpupdate /force` et vérifier dans `certlm.msc` que le certificat `RDP-Ordinateur` est présent
`CERTSRV_E_TEMPLATE_DENIED` lors de l'enrollment	"Contrôleurs de domaine" absent des permissions du template	Ouvrir le template dans `certsrv.msc` → onglet Sécurité → ajouter Contrôleurs de domaine avec droits Lire + Inscrire
Guacamole rejette la connexion RDP (erreur SSL)	Certificat CA non importé dans le truststore Java	Importer le CA via `keytool` et redémarrer `tomcat9` et `guacd`