Installer et exécuter Devolutions Gateway sur Linux est rapide et facile, à condition de respecter plusieurs prérequis. Ubuntu 22.04 LTS a été utilisé pour démontrer l'installation et la configuration.
Devolutions Server ou Devolutions Hub Business est nécessaire pour la configuration ainsi qu'une licence Devolutions Gateway.
Installer Devolutions Gateway
- Naviguer vers la page Devolutions Gateway GitHub Release et télécharger le fichier
.deb
de la dernière version. - Entrer la commande suivante dans la ligne de commande :
wget https://github.com/Devolutions/devolutions-gateway/releases/download/v2024.3.2/devolutions-gateway_2024.3.2.0_amd64.deb
- Installer le paquet en utilisant l'utilitaire
dpkg
:sudo dpkg -i devolutions-gateway_2024.3.2.0_amd64.deb
Les paquets de configuration et binaires se trouvent aux emplacements suivants :
Configuration :
/etc/devolutions-gateway
Binaire :
/usr/bin/devolutions-gateway
Mettre à jour Devolutions Gateway
Pour mettre à jour Devolutions Gateway sur Linux, télécharger le dernier paquet comme expliqué dans la section précédente et exécuter la commande d'installation. Le paquet s'installera par-dessus l'installation existante et préservera les configurations.
Installer le module PowerShell gateway
Il est recommandé d'utiliser le module PowerShell gateway pour configurer et gérer l'instance Devolutions Gateway sur Linux.
-
Installer PowerShell avec cette commande :
source /etc/os-release
wget -q https://packages.microsoft.com/config/ubuntu/$VERSION_ID/packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb
sudo apt-get update
sudo apt-get install -y powershell -
Installer le module PowerShell Devolutions Gateway :
Install-Module -Name DevolutionsGateway
Import-Module -Name DevolutionsGateway
Une fois installé, la configuration Devolutions Gateway peut être démarrée, arrêtée, visualisée ou modifiée.
Configurer les certificats
Une confiance appropriée des certificats entre les systèmes est essentielle pour faire fonctionner Devolutions Gateway. Des fonctionnalités telles que les websockets utilisées dans les vues de tableau de bord web de RDP, SSH, etc., nécessitent un certificat correctement approuvé. Un certificat généré sur le système Linux et approuvé par les ordinateurs utilisés pour se connecter est nécessaire.
Générer un certificat auto-signé sur Ubuntu 22.04 LTS via OpenSSL
Utiliser l'utilitaire OpenSSL pour générer un certificat directement depuis la ligne de commande. Le certificat doit ensuite être placé directement dans le répertoire de configuration /etc/devolutions-gateway
.
sudo openssl req -x509 -subj "/C=CA/ST=Quebec/L=Lavaltrie/O=Devolutions/CN=ubuntu-2204" -addext "subjectAltName = IP:10.10.0.20" -nodes -days 365 -newkey rsa:2048 -keyout /etc/devolutions-gateway/server.key -out /etc/devolutions-gateway/server.crt
La demande de certificat sera différente pour chaque configuration.
Options de personnalisation | Explication |
---|---|
| Créer et traiter les demandes de certificat, y compris les certificats auto-signés au format PKCS#10. |
| Produire un certificat auto-signé. |
| Définir le sujet du certificat sur la ligne de commande. Il ne doit pas y avoir d'espaces entre les sections.
|
| Pour ajouter un nom alternatif de sujet (SAN), vous pouvez utiliser ce paramètre pour définir soit une entrée IP ou DNS.
|
| Ne pas chiffrer la clé privée créée. |
| Le nombre de jours pendant lesquels le certificat est valide. |
| Définir l'algorithme et la taille des bits, ici |
| L'emplacement pour créer le fichier de clé privée. |
| L'emplacement pour créer le fichier de clé publique. |
Approuver le certificat auto-signé sur Ubuntu
Une fois le certificat auto-signé créé, le certificat au sein du système Ubuntu devra être approuvé. Pour approuver à l'échelle du système, utiliser la série de commandes suivante :
cd /etc/devolutions-gateway
sudo apt-get install -y ca-certificates
sudo cp server.crt /usr/local/share/ca-certificates
sudo update-ca-certificate
Les ca-certificates
peuvent déjà être installés. En exécutant la commande update-ca-certificates
, un lien symbolique sera créé dans /etc/ssl/certs
vers le fichier de certificat copié dans /usr/local/share/ca-certificates
.
Si cela est fait dans Firefox, plusieurs erreurs de confiance apparaîtront car le navigateur n'utilise pas le magasin de certificats à l'échelle du système. Leur documentation offre quelques solutions à cela.
Approuver le certificat auto-signé sur Windows
Après la création du certificat auto-signé, il devra être approuvé sur Devolutions Server. Les fichiers server.crt
et server.key
devront être transférés sur le système Windows ; ou copier et coller le contenu dans des fichiers (c'est-à-dire sudo cat server.crt
dans Ubuntu et copier cela dans un fichier texte sur Windows).
- Copier la clé publique sur Windows (dans l'exemple,
C:\Gateway
est un emplacement temporaire) :sudo cat server.crt
- Copier le contenu dans un fichier
server.crt
. - Copier la clé privée sur Windows :
sudo cat server.key
- Copier le contenu dans un fichier
server.key
. - Créer un fichier PFX en utilisant l'outil en ligne de commande certutil de Windows. Pour que cela fonctionne, le fichier de clé doit avoir le même nom que le fichier
crt
, ne différant que par l'extension :certutil -mergepfx server.crt server.pfx
- Importer le fichier PFX dans le Trusted Root Certification Authorities Certificate Store.
- Double-cliquer sur le fichier
server.pfx
pour démarrer l'assistant d'importation et choisir Local Machine. - Cliquer sur Next et accepter l'invite.
- Cliquer sur Next.
- Entrer le mot de passe que vous avez saisi avec la commande
certutil
.- Optionnellement : choisir de Mark this key as exportable.
- Cliquer sur Next.
- Choisir l'option Place all certificates in the following store.
- Sélectionner Trusted Root Certification Authorities avec le bouton Browse....
- Cliquer sur Finish pour terminer l'importation.
- Double-cliquer sur le fichier
Ouvrir les ports du pare-feu Ubuntu
Si le système Linux utilise UFW (Uncomplicated Firewall) pour gérer le pare-feu basé sur iptable, exécuter les commandes suivantes pour ouvrir les ports nécessaires :sudo ufw status
sudo ufw allow 7171
sudo ufw allow 8181
sudo ufw status
Modifier la configuration Devolutions Gateway
La configuration par défaut d'une passerelle contenue dans le fichier /etc/devolutions-gateway/gateway.json
nécessite l'ajout des directives de certificat (l'InternalUrl
devra utiliser HTTPS) :{
"Id": "YOUR-UNIQUE-GUID",
"ProvisionerPublicKeyFile": "provisioner.pem",
"ProvisionerPrivateKeyFile": null,
"Listeners": [
{
"InternalUrl": "tcp://:8181",
"ExternalUrl": "tcp://:8181"
},
{
"InternalUrl": "http://:7171",
"ExternalUrl": "https://:7171"
}
]
}
Modifier le fichier ci-dessus pour refléter ce qui suit, en supposant que server.crt
et server.key
se trouvent dans le même répertoire que gateway.json
(il est recommandé d'utiliser l'éditeur de fichiers intégré nano
) :{
"Id": "YOUR-UNIQUE-GUID",
"ProvisionerPublicKeyFile": "provisioner.pem",
"ProvisionerPrivateKeyFile": null,
"TlsCertificateFile": "server.crt",
"TlsPrivateKeyFile": "server.key",
"Listeners": [
{
"InternalUrl": "tcp://:8181",
"ExternalUrl": "tcp://:8181"
},
{
"InternalUrl": "https://:7171",
"ExternalUrl": "https://:7171"
}
]
}
Redémarrer Devolutions Gateway
Avec la nouvelle configuration en place, redémarrer Devolutions Gateway. Cela peut être fait avec la commande systemctl
:sudo systemctl restart devolutions-gateway.service
sudo systemctl status devolutions-gateway.service
Alternativement, les commandes PowerShell Stop-DGateway
et Start-DGateway
peuvent également être utilisées.
Connecter Devolutions Gateway à Devolutions Server
Copier la clé publique de Devolutions Server vers Devolutions Gateway Linux
- Se connecter à la console web Devolutions Server et naviguer vers Administration – Devolutions Gateway.
- Cliquer sur le bouton More et choisir l'option Download public key.
- Copier le contenu du fichier téléchargé
gateway_public_key.pem
sur Windows. - Remplacer le contenu du fichier
/etc/devolutions-gateway/provisioner.pem
(il est recommandé d'utiliser l'utilitairenano
) par le contenu copié depuis Windows. - Redémarrer Devolutions Gateway avec la commande
sudo systemctl restart devolutions-gateway.service
.
Configurer Devolutions Gateway dans Devolutions Server
Aller à l'interface web Devolutions Server où le Linux Devolutions Gateway nouvellement configuré sera ajouté.
Avant de créer la configuration de la passerelle, ajouter les informations de licence nécessaires dans Administration – Licenses. Attribuer la licence selon les besoins lors de la configuration.
- Se connecter à la console web Devolutions Server et naviguer vers Administration – Devolutions Gateway.
- Cliquer sur le bouton Add (+).
- Entrer les informations suivantes (cela changera en fonction de la configuration).
- Name : Linux Gateway
- Devolutions Gateway URL:
https://10.10.0.20:7171
- TCP Hostname:
Ubuntu-2204
Cliquez sur le menu d'options More pour la passerelle et choisissez l'option Publish revocation list si la liste de révocation est obsolète.
Résoudre les hôtes dans Ubuntu
Le système Devolutions Gateway hébergé sur Linux doit être capable de résoudre les adresses demandées par Devolutions Server. La méthode la plus simple pour tester est de modifier le fichier hosts.
Se connecter au système suivant :
- Hostname :
it-help-dc
- Fully-Qualified Domain Name (FQDN) :
it-help-dc.ad.it-help.ninja
- IP Address :
10.10.0.3
Ouvrir le fichier hosts pour l'édition sudo nano /etc/hosts
pour ajouter l'hôte dans Ubuntu.
Ouvrir une session RDP basée sur le web
La passerelle peut maintenant se connecter aux hôtes. Puisque l'hôte it-help-dc
a été ajouté comme résolvable pour Ubuntu, il peut être utilisé pour se connecter dans une session basée sur le web.
Les sessions basées sur le web nécessitent une passerelle active configurée pour l'entrée et l'utilisateur lançant nécessitera une licence Remote Desktop Manager Team edition assignée ou une licence Devolutions Launcher.
De plus, si des modifications ont été apportées aux attributions de licence, il peut être nécessaire de se déconnecter et de se reconnecter pour voir l'option de lancer la connexion basée sur le web.
- Naviguer vers un coffre et créer une nouvelle entrée de session RDP.
- Entrer un Name et un Host qui doivent être résolvables par l'installation Linux Devolutions Gateway.
- Entrer ou lier les identifiants nécessaires à la session RDP.
- Sous l'onglet VPN/Tunnel/Gateway, choisir Devolutions Gateway comme type de VPN.
- Définir l'option Connect sur Always connect.
- Choisir le bon Devolutions Gateway.
- Cliquer sur Add.
- Cliquer sur Open in Web Client (Preview).
Ouvrir une session RDP Remote Desktop Manager
Si l'entrée est déjà configurée depuis l'interface web Devolutions Server, elle peut être lancée depuis Remote Desktop Manager lorsqu'elle est connectée à la source de données Devolutions Server.
Lors de la création d'une nouvelle entrée depuis Remote Desktop Manager, le processus est similaire à celui de Devolutions Server.
- Naviguer vers un coffre et créer une nouvelle entrée de session RDP.
- Entrer un Name et un Host qui doivent être résolvables par l'installation Linux Devolutions Gateway.
- Entrer ou lier les identifiants nécessaires à la session RDP.
- Sous l'onglet VPN/Tunnel/Gateway, choisir Devolutions Gateway comme type de VPN.
- Définir l'option Connect sur Always connect.
- Choisir le bon Devolutions Gateway.
- Cliquer sur Add.
- Cliquer sur le bouton Open session.
En survolant la barre de titre, une info-bulle apparaîtra et montrera que le RDP est connecté via Devolutions Gateway.
Activer l'interface web Devolutions Gateway
À partir de la version 2024.1.0 et suivantes, une nouvelle interface web Devolutions Gateway a été ajoutée. Modifier le gateway.json
pour ajouter la section suivante sur WebApp en utilisant un utilitaire tel que sudo nano /etc/devolutions-gateway/gateway.json
.
Auparavant, le ProvisionerPrivateKeyFile
était défini comme null
. Lors de l'activation de l'application web, le fichier doit être copié de Devolutions Server vers un fichier accessible à Devolutions Gateway. Comme indiqué dans la section précédente, effectuer la même procédure mais télécharger la clé privée à la place et la transférer sur le système Ubuntu.
{
"Id": "YOUR-UNIQUE-GUID",
"ProvisionerPublicKeyFile": "provisioner.pem",
"ProvisionerPrivateKeyFile": "provisioner.key",
"TlsCertificateFile": "server.crt",
"TlsPrivateKeyFile": "server.key",
"Listeners": [
{
"InternalUrl": "tcp://:8181",
"ExternalUrl": "tcp://:8181"
},
{
"InternalUrl": "https://:7171",
"ExternalUrl": "https://:7171"
}
],
"WebApp": {
"Enabled": true,
"Authentication": "None"
}
}
Une fois modifié, redémarrer la passerelle : sudo systemctl restart devolutions-gateway.service
.