Configuration de Devolutions Gateway sur Linux

L'installation et l'exécution de Devolutions Gateway sur Linux est rapide et facile, à condition de répondre à plusieurs prérequis. Ubuntu 22.04 LTS a été utilisé pour démontrer l'installation et la configuration.

1. Naviguer vers la page Devolutions Gateway GitHub Release et télécharger le fichier .deb de la dernière version.

2. Entrer ce qui suit en utilisant la ligne de commande : wget https://github.com/Devolutions/devolutions-gateway/releases/download/v2024.3.2/devolutions-gateway_2024.3.2.0_amd64.deb

   

3. Installer le paquet en utilisant l'utilitaire dpkg : sudo dpkg -i devolutions-gateway_2024.3.2.0_amd64.deb

   

Pour mettre à jour Devolutions Gateway sur Linux, télécharger le dernier paquet comme expliqué dans la section précédente et exécuter la commande d'installation. Le paquet s'installera sur l'installation existante et préservera les configurations.

Il est recommandé d'utiliser le module PowerShell de la passerelle pour configurer et gérer l'instance Devolutions Gateway sur Linux.

1. Installer PowerShell avec cette commande :

   source /etc/os-release
   wget -q https://packages.microsoft.com/config/ubuntu/$VERSION_ID/packages-microsoft-prod.deb
   sudo dpkg -i packages-microsoft-prod.deb
   rm packages-microsoft-prod.deb
   sudo apt-get update
   sudo apt-get install -y powershell
   

2. Installer le module Devolutions Gateway PowerShell :

   Install-Module -Name DevolutionsGateway
   Import-Module -Name DevolutionsGateway
   

Une fois installé, la configuration de Devolutions Gateway peut être démarrée, arrêtée, visualisée ou modifiée.

La bonne confiance des certificats entre systèmes est essentielle pour faire fonctionner Devolutions Gateway. La fonctionnalité telle que websocket utilisée dans les vues de tableau de bord web de RDP, SSH, etc., nécessite un certificat correctement approuvé. Un certificat généré sur le système Linux et approuvé par les ordinateurs utilisés pour se connecter est nécessaire.

Utiliser l'utilitaire OpenSSL pour générer un certificat directement depuis la ligne de commande. Le certificat doit ensuite être placé directement dans le répertoire de configuration /etc/devolutions-gateway.

sudo openssl req -x509 -subj "/C=CA/ST=Quebec/L=Lavaltrie/O=Devolutions/CN=ubuntu-2204" -addext "subjectAltName = IP:10.10.0.20" -nodes -days 365 -newkey rsa:2048 -keyout /etc/devolutions-gateway/server.key -out /etc/devolutions-gateway/server.crt

La requête de certificat sera différente pour chaque configuration.

Options de personnalisation	Explication
req	Créer et traiter les demandes de certificat y compris les certificats auto-signés au format PKCS#10.
-x509	Afficher un certificat auto-signé.
-subj	Définir le sujet du certificat sur la ligne de commande. Il ne doit y avoir aucun espace entre les sections. /C - Pays en code à 2 chiffres tel que « CA » pour Canada ou « US » pour les États-Unis. /ST - État ou Province, comme Québec ou Californie. /L - Localité, telle que Lavaltrie ou Sacramento. /O - Organisation, comme Devolutions ou Microsoft. /CN - Nom commun, ici ubuntu-2204 (comme montré via la commande hostname).
-addext	Ajouter un Subject Alternate Name (SAN), utiliser ce paramètre pour définir soit une entrée IP ou DNS. "subjectAltName = IP:10.10.0.20" "subjectAltName = DNS:ubuntu-2204"
-nodes	Ne pas chiffrer la clé privée créée.
-days	Le nombre de jours pendant lesquels le certificat est valide.
-newkey	Définir l'algorithme et la taille de bits, ici rsa:2048 est utilisé.
-keyout	L'emplacement pour créer le fichier de la clé privée.
-out	L'emplacement pour créer le fichier de clé publique.

Une fois le certificat auto-signé créé, le certificat dans le système Ubuntu devra être approuvé. Pour l'approuver à l'échelle du système, utiliser l'ensemble de commandes suivant :

cd /etc/devolutions-gateway
sudo apt-get install -y ca-certificates
sudo cp server.crt /usr/local/share/ca-certificates
sudo update-ca-certificate

Le ca-certificates peut déjà être installé. En exécutant la commande update-ca-certificates, un lien symbolique sera créé dans /etc/ssl/certs vers le fichier de certificat copié dans /usr/local/share/ca-certificates.

Après la création du certificat auto-signé, il devra être approuvé sur Devolutions Server. Les fichiers server.crt et server.key devront être transférés sur le système Windows; ou copier-coller le contenu dans des fichiers (c'est-à-dire sudo cat server.crt dans Ubuntu et coller cela dans un fichier texte sur Windows).

1. Copier la clé publique vers Windows (dans l'exemple, C:\Gateway est un emplacement temporaire) :
   sudo cat server.crt

   

2. Copier le contenu dans un fichier server.crt.

   

3. Copier la clé privée sur Windows :
   sudo cat server.key

   

4. Copier le contenu dans un fichier server.key.

   

5. Créer un fichier PFX en utilisant l'outil de la ligne de commande certutil de Windows. Pour que cela fonctionne, le fichier clé doit avoir le même nom que le fichier crt, seule l'extension diffère :
   certutil -mergepfx server.crt server.pfx

   

6. Importer le fichier PFX dans le magasin des autorités de certification racine de confiance.

   1. Double-cliquer sur le fichier server.pfx pour démarrer l'assistant d'importation et choisir Ordinateur local.

   2. Cliquer sur Suivant et accepter l'invite.

      

   3. Cliquer sur Suivant.

      

   4. Entrer le mot de passe que vous avez saisi avec la commande certutil.

      • En option : choisir de Marquer cette clé comme exportable.

      

   5. Choisir l'option Placer tous les certificats dans le magasin suivant.

   6. Sélectionner Autorités de certification racines de confiance avec le bouton Parcourir....

   7. Cliquer sur Suivant.

      

   8. Cliquer sur Terminer pour compléter l'importation.

Si le système Linux utilise UFW (Uncomplicated Firewall) pour gérer le pare-feu basé sur iptable, exécuter les commandes suivantes pour ouvrir les ports nécessaires :

sudo ufw status
sudo ufw allow 7171
sudo ufw allow 8181
sudo ufw status

La configuration par défaut de Gateway contenue dans le fichier /etc/devolutions-gateway/gateway.json nécessite que les directives des certificats soient ajoutées (l'InternalUrl devra utiliser HTTPS) :

{
  "Id": "YOUR-UNIQUE-GUID",
  "ProvisionerPublicKeyFile": "provisioner.pem",
  "ProvisionerPrivateKeyFile": null,
  "Listeners": [
    {
      "InternalUrl": "tcp://:8181",
      "ExternalUrl": "tcp://:8181"
    },
    {
      "InternalUrl": "http://:7171",
      "ExternalUrl": "https://:7171"
    }
  ]
}

Modifier le fichier ci-dessus pour refléter ce qui suit, en supposant que server.crt et server.key sont dans le même répertoire que gateway.json (l'utilisation de l'éditeur de fichiers intégré Nano est recommandée) :

{
  "Id": "YOUR-UNIQUE-GUID",
  "ProvisionerPublicKeyFile": "provisioner.pem",
  "ProvisionerPrivateKeyFile": null,
  "TlsCertificateFile": "server.crt",
  "TlsPrivateKeyFile": "server.key",
  "Listeners": [
    {
      "InternalUrl": "tcp://:8181",
      "ExternalUrl": "tcp://:8181"
    },
    {
      "InternalUrl": "https://:7171",
      "ExternalUrl": "https://:7171"
    }
  ]
}

Avec la nouvelle configuration en place redémarrer Devolutions Gateway. Cela peut être fait avec la commande systemctl:

sudo systemctl restart devolutions-gateway.service
sudo systemctl status devolutions-gateway.service

Alternativement, les commandes PowerShell Stop-DGateway et Start-DGateway peuvent aussi être utilisées.

1. Se connecter à la console Web de Devolutions Server et naviguer vers Administration – Devolutions Gateway.

2. Cliquer sur le bouton Plus et choisir l'option Télécharger la clé publique.

   

3. Copier le contenu du fichier téléchargé gateway_public_key.pem sur Windows.

   

4. Remplacer le contenu du fichier /etc/devolutions-gateway/provisioner.pem (il est recommandé d'utiliser l'outil Nano) par le contenu copié depuis Windows.

   

5. Redémarrer Devolutions Gateway avec la commande sudo systemctl restart devolutions-gateway.service.

   

Aller à l'interface web de Devolutions Server où le Devolutions Gateway pour Linux nouvellement configuré sera ajouté.

1. Se connecter à la console Web de Devolutions Server et naviguer vers Administration – Devolutions Gateway.

2. Cliquer sur le bouton Ajouter (+).

3. Sélectionner Gateway.

   

4. Entrer les éléments suivants (cela changera en fonction de la configuration).

   1. Nom : Linux Gateway

   2. URL Devolutions Gateway : https://10.10.0.20:7171

   3. Nom d'hôte TCP : Ubuntu-2204

5. Cliquer sur Enregistrer.

   

Le système Devolutions Gateway hébergé sous Linux doit pouvoir résoudre les adresses demandées par Devolutions Server. La méthode la plus simple pour tester est de modifier le fichier hosts.

Connecter au système suivant :

• Nom d'hôte : it-help-dc

• Nom de domaine complet (FQDN) : it-help-dc.ad.it-help.ninja

• Adresse IP : 10.10.0.3

Ouvrir le fichier hosts pour l'éditer sudo nano /etc/hosts pour ajouter l'hôte dans Ubuntu.

Le passarelle peut maintenant se connecter aux hôtes. Comme l'hôte it-help-dc a été ajouté comme résolvable à Ubuntu, il peut être utilisé pour se connecter dans une session basée sur le Web.

1. Dans l'interface web de Devolutions Server cliquer sur Ajouter. Sélectionner une entrée de session RDP.

2. Cliquer sur Continuer.

   

3. Entrer un Nom et un Hôte qui doivent être résolvables par l'installation Devolutions Gateway sous Linux.

4. Cliquer sur Ajouter.

   

5. Entrer ou lier les informations d'identification nécessaires à la session RDP et cliquer sur Ajouter.

   

6. Sous l'onglet VPN/Tunnel/Gateway choisir Devolutions Gateway comme type de VPN.

7. Définir l'option Connecter sur Toujours connecter.

8. Choisir le bon point d'accès.

9. Cliquer sur Ajouter.

   

10. Cliquer sur Ouvrir dans le client Web.

    

Si l'entrée est déjà configurée depuis l'interface web de Devolutions Server, elle peut être lancée depuis Remote Desktop Manager lorsque connecté à la source de données Devolutions Server.

Lors de la création d'une nouvelle entrée à partir de Remote Desktop Manager, le processus est similaire à celui de Devolutions Server.

1. Dans Remote Desktop Manager, cliquer sur Nouvelle entrée. Sélectionner une entrée de session RDP.

2. Cliquer sur Sélectionner.

   

3. Entrer un Nom et un Hôte qui doivent être résolvables par l'installation Devolutions Gateway sous Linux.

4. Entrer ou lier tous les identifiants nécessaires à la session RDP.

   

5. Définir l'option Connecter sur Toujours connecter.

6. Sous l'onglet VPN/Tunnel/Gateway choisir Devolutions Gateway comme type de VPN.

   

7. Aller à l'onglet Paramètres (Devolutions Gateway).

8. Choisir le Devolutions Gateway souhaité.

9. Cliquer sur Ajouter.

   

10. Cliquer sur le bouton Ouvrir la session.

À partir de la version 2024.1.0 et suivantes, une nouvelle interface web pour Devolutions Gateway a été ajoutée. Modifier le gateway.json pour ajouter la section suivante sur WebApp en utilisant un utilitaire tel que sudo nano /etc/devolutions-gateway/gateway.json.

{
  "Id": "YOUR-UNIQUE-GUID",
  "ProvisionerPublicKeyFile": "provisioner.pem",
  "ProvisionerPrivateKeyFile": "provisioner.key",
  "TlsCertificateFile": "server.crt",
  "TlsPrivateKeyFile": "server.key",
  "Listeners": [
    {
      "InternalUrl": "tcp://:8181",
      "ExternalUrl": "tcp://:8181"
    },
    {
      "InternalUrl": "https://:7171",
      "ExternalUrl": "https://:7171"
    }
  ],
  "WebApp": {
    "Enabled": true,
    "Authentication": "None"
  }
}

Une fois modifié, redémarrer le gateway :

sudo systemctl restart devolutions-gateway.service