SYSTEM CONCEPT

Des solutions open source au service de l'entreprise                                           ☎️+33 615 642 841       🔁control à distance                                    

 

PRESENTATION:

 

Teleport est une alternative à Apache Guacamole, c'est une solution open source plus moderne pour vous permettre d'administrer votre infrastructure. Une version payante vous permet d'avoir plus d'options d'administration.

 

 

FONCTIONNEMENT:

L'architecture Teleport repose sur une notion de cluster. En fait, un cluster Teleport correspond à plusieurs composants : Teleport Auth Service, Teleport Proxy Service, des agents Teleport et des ressources auxquelles vous souhaitez vous connecter.

Teleport intègre son propre modèle de sécurité où le "Teleport Auth Service" est l'autorité de certification. C'est elle qui émet des certificats pour les utilisateurs et les serveurs, pour tous les protocoles pris en charge (SSH, RDP, HTTPS, etc.). Ceci implique que tous les utilisateurs et les serveurs doivent "joindre" l'instance Teleport que l'on appelle un cluster Teleport. Avec Teleport, oubliez les mots de passe et les clés : l'authentification est effectuée avec des certificats !

Par ailleurs, Teleport s'appuie sur le composant "Teleport Proxy Service" pour rendre accessibles les ressources depuis l'extérieur (en principe, c'est le seul composant accessible depuis Internet).

Enfin, les agents Teleport permettent les communications entre l'instance Teleport et les ressources à administrer.

 

 

 

FONCTIONS DE TELEPORT:

  • Prise en charge de divers protocoles et services : SSH, RDP, HTTPS, Kubernetes, PostgreSQL, MongoDB, MySQL, etc.
  • Accès basé sur les rôles (RBAC)
  • Gestion d'utilisateurs avec prise en charge native du MFA (TOTP)
  • Journaux de sécurité et d'audit pour savoir tout ce qui se passe sur votre cluster Teleport
  • Enregistrement des sessions au format vidéo (avec replay)
  • Authentification basée sur des certificats (on oublie l'authentification par mot de passe et par clé)
  • Personnalisation de la configuration à l'aide de l'interface Web, de ligne de commandes et de fichiers YAML
  • Aucun client lourd à installer, car l'accès aux sessions s'effectue à partir de l'interface Web (bien qu'il existe une app cliente)
  • Hiérarchisation de plusieurs bastions Teleport
  • Solution modulaire : les différents services peuvent être répartis sur différents hôtes

 

 

INSTALLATION ET PRINCIPE DE FONCTIONNEMENT:

Pour ma part, j'ai installé la solution sur Debian.

Vous aurez besoin de deux serveurs. Un serveur principal (cluster) et un serveur en liaison directement avec vos applications. Lors de la configuration, ces deux serveurs échangeront une clé afin de s'associer et sécuriser la communication entre eux.

Le cluster permet donc la communication depuis l'extérieur (avec connexion par MFA). Le second serveur remonte les informations des autres serveurs (applicatifs ou autres).

Toutes les intégrations des serveurs se gèrent depuis le cluster par la suite.

 

INTEGRATION:

Afin d'intégrer une nouvelle ressources, il suffit d'aller dans "RollNew Ressource" et de choix notre type de besoin :

Pour ma part, je n'ai besoin que de connexion SSH et RDP.

Lors vous choisissez SSH pour vos serveurs linux, un lien (limiter à 4heures) vos sera proposer afin d'installer la solution sur le serveur cible. Copier/coller celui-ci sur le serveur cible et l'opération se déroulera sans action supplémentaire. Le serveur apparaitra quelques temps (1min) plus tard dans vos ressources. Vous pouvez désormais vous connecter à votre linux préféré.

Pour la partie Windows (sans contrôleur de domaine) et donc accès via RDP, la solution est différente. Sachez que dans le cadre de postes/serveurs hors domaine, vous ne pouvez créer que cinq éléments, au delà, la solution sera bloquée pour tous les postes intégrés de cette manière.

Vous devez installer pour se faire une application qui vous permettra d'enrôler votre serveur (qu'il soit reconnu par le cluster) ainsi qu'un certificat délivré par le cluster (première étape).

Al fin vous devriez obtenir quelque chose dans ce style: