Configuration de Devolutions Gateway sur Linux

L'installation et l'exécution de Devolutions Gateway sur Linux est rapide et facile, à condition que plusieurs prérequis soient remplis. Ubuntu 22.04 LTS a été utilisé pour démontrer l'installation et la configuration.

1. Naviguer vers la page de release Devolutions Gateway sur GitHub et télécharger le fichier .deb de la dernière version.

2. Saisir ce qui suit en ligne de commande : wget https://github.com/Devolutions/devolutions-gateway/releases/download/v2024.3.2/devolutions-gateway_2024.3.2.0_amd64.deb

   

3. Installer le paquet en utilisant l'utilitaire dpkg : sudo dpkg -i devolutions-gateway_2024.3.2.0_amd64.deb

   

Pour mettre à jour Devolutions Gateway sur Linux, télécharger le dernier paquet comme expliqué dans la section précédente et exécuter la commande d'installation. Le paquet s'installe par-dessus l'installation existante et préserve les configurations.

Il est recommandé d'utiliser le module PowerShell gateway pour configurer et gérer l'instance de Devolutions Gateway sur Linux.

1. Installer PowerShell avec cette commande :

   source /etc/os-release
   wget -q https://packages.microsoft.com/config/ubuntu/$VERSION_ID/packages-microsoft-prod.deb
   sudo dpkg -i packages-microsoft-prod.deb
   rm packages-microsoft-prod.deb
   sudo apt-get update
   sudo apt-get install -y powershell
   

2. Installer le module Devolutions Gateway PowerShell :

   Install-Module -Name DevolutionsGateway
   Import-Module -Name DevolutionsGateway
   

Une fois installé, la configuration de Devolutions Gateway peut être démarrée, arrêtée, visualisée ou modifiée.

Une bonne confiance des certificats entre les systèmes est essentielle pour faire fonctionner Devolutions Gateway. Les fonctionnalités telles que les WebSockets utilisées dans les vues de tableau de bord web de RDP, SSH, etc., nécessitent un certificat correctement approuvé. Un certificat d'une autorité officielle telle que Let's Encrypt serait idéal pour la plupart des systèmes de production. Les certificats auto-signés, comme l'exemple montré ci-dessous, peuvent être générés mais nécessitent une configuration supplémentaire pour être approuvés. Vous pouvez générer des certificats sur n'importe quel système et les utiliser dans Devolutions Gateway s'ils respectent les exigences du certificat.

Utiliser l'utilitaire OpenSSL pour générer un certificat directement depuis la ligne de commande. Le certificat doit ensuite être placé directement dans le répertoire de configuration /etc/devolutions-gateway.

sudo openssl req -x509 -subj "/C=CA/ST=Quebec/L=Lavaltrie/O=Devolutions/CN=ubuntu-2204" -addext "subjectAltName = IP:10.10.0.20" -addext "extendedKeyUsage = serverAuth" -nodes -days 365 -newkey rsa:2048 -keyout /etc/devolutions-gateway/server.key -out /etc/devolutions-gateway/server.crt

La demande de certificat sera différente pour chaque configuration.

Noter que le certificat doit inclure une extension Subject Alternative Name (SAN) avec soit un nom DNS ou une adresse IP, et il doit aussi contenir l'extension Extended Key Usage (EKU) avec pour but Server Authentication (serverAuth). Cela est requis car les systèmes d'exploitation et navigateurs modernes, y compris Google Chrome et macOS, rejetteront les certificats qui manquent d'un SAN ou d'un EKU approprié, même si le Nom Commun (CN) est défini. Il est possible d'assouplir cette obligation en définissant l'option TlsVerifyStrict sur false si nécessaire, mais cela n'est pas recommandé.

Options de personnalisation	Explication
req	Créer et traiter les demandes de certificat, y compris les certificats auto-signés au format PKCS#10.
-x509	Produire un certificat auto-signé.
-subj	Définir le sujet du certificat en ligne de commande. Il ne doit y avoir aucun espace entre les sections /C - Pays en code à 2 chiffres tel que "CA" pour le Canada ou "US" pour les États-Unis. /ST - État ou Province, tel que Québec ou Californie. /L - Localité, comme Lavaltrie ou Sacramento. /O - Organisation, telle que Devolutions ou Microsoft. /CN - Nom commun, ici ubuntu-2204 (tel qu'affiché via la commande hostname).
-addext	Pour ajouter un Nom Alternatif de Sujet (SAN), vous pouvez utiliser ce paramètre pour définir soit une entrée IP ou DNS. "subjectAltName = IP:10.10.0.20" "subjectAltName = DNS:ubuntu-2204"
-nodes	Ne pas chiffrer la clé privée créée.
-days	Le nombre de jours pendant lesquels le certificat est valide.
-newkey	Définir l'algorithme et la taille des bits, ici rsa:2048 est utilisé.
-keyout	L'emplacement pour créer le fichier de clé privée.
-out	L'emplacement pour créer le fichier de clé publique.

Le certificat TLS a deux objectifs :

1. Sécuriser l'API de gestion ;

2. Sécuriser tout tunnel client-à-passerelle dans lequel la passerelle peut inspecter ou filtrer le trafic (sites Web, Gateway Tunnel, SCP/SFTP, etc.).
   Pour les protocoles opaques tels que RDP ou SSH, Devolutions Gateway réachemine simplement les octets déjà chiffrés, mais le certificat est toujours requis pour les vérifications de santé de la passerelle et les fonctionnalités futures.

Une fois que le certificat auto-signé est créé, le certificat dans le système Ubuntu devra être approuvé. Pour approuver à l'échelle du système, utiliser la série de commandes suivante :

cd /etc/devolutions-gateway
sudo apt-get install -y ca-certificates
sudo cp server.crt /usr/local/share/ca-certificates
sudo update-ca-certificate

Le ca-certificates peut déjà être installé. En exécutant la commande update-ca-certificates, un lien symbolique sera créé dans /etc/ssl/certs vers le fichier de certificat copié dans /usr/local/share/ca-certificates.

Après que le certificat auto-signé est créé, il devra être approuvé sur Devolutions Server. Les fichiers server.crt et server.key devront être transférés sur le système Windows ; ou copier-coller le contenu dans les fichiers (c'est-à-dire sudo cat server.crt dans Ubuntu et copier cela dans un fichier texte sur Windows).

1. Copier la clé publique vers Windows (dans l'exemple, C:\Gateway est un emplacement temporaire) :
   sudo cat server.crt

   

2. Copier le contenu dans un fichier server.crt.

   

3. Copier la clé privée vers Windows :
   sudo cat server.key

   

4. Copier le contenu dans un fichier server.key.

   

5. Créer un fichier PFX en utilisant l'outil en ligne de commande certutil de Windows. Pour que cela fonctionne, le fichier de clé doit avoir le même nom que le fichier crt, seule l'extension diffère :
   certutil -mergepfx server.crt server.pfx

   

6. Importer le fichier PFX dans le magasin de certificats des autorités de certification racines de confiance.

   1. Double-cliquer sur le fichier server.pfx pour démarrer l'assistant d'importation et choisir Ordinateur local.

   2. Cliquer sur Suivant et accepter l'invite.

      

   3. Cliquer sur Suivant.

      

   4. Entrer le mot de passe que vous avez entré avec la commande certutil.

      • Optionnellement : choisir de marquer cette clé comme exportable.

      

   5. Choisir l'option Placer tous les certificats dans le magasin suivant.

   6. Sélectionner Autorités de certification racines approuvées avec le bouton Parcourir....

   7. Cliquer sur Suivant.

      

   8. Cliquer sur Terminer pour compléter l'importation.

Si le système Linux utilise UFW (Uncomplicated Firewall) pour gérer le pare-feu basé sur iptable, exécuter les commandes suivantes pour ouvrir les ports nécessaires :

sudo ufw status
sudo ufw allow 7171
sudo ufw allow 8181
sudo ufw status

La configuration par défaut d'une passerelle contenue dans le fichier /etc/devolutions-gateway/gateway.json nécessite l'ajout de directives de certificat (l'InternalUrl devra utiliser HTTPS) :

{
  "Id": "YOUR-UNIQUE-GUID",
  "ProvisionerPublicKeyFile": "provisioner.pem",
  "ProvisionerPrivateKeyFile": null,
  "Listeners": [
    {
      "InternalUrl": "tcp://:8181",
      "ExternalUrl": "tcp://:8181"
    },
    {
      "InternalUrl": "http://:7171",
      "ExternalUrl": "https://:7171"
    }
  ]
}

Modifier le fichier ci-dessus pour refléter ce qui suit, en supposant que server.crt et server.key sont dans le même répertoire que gateway.json (il est recommandé d'utiliser l'éditeur de fichiers intégré Nano):

{
  "Id": "YOUR-UNIQUE-GUID",
  "ProvisionerPublicKeyFile": "provisioner.pem",
  "ProvisionerPrivateKeyFile": null,
  "TlsCertificateFile": "server.crt",
  "TlsPrivateKeyFile": "server.key",
  "Listeners": [
    {
      "InternalUrl": "tcp://:8181",
      "ExternalUrl": "tcp://:8181"
    },
    {
      "InternalUrl": "https://:7171",
      "ExternalUrl": "https://:7171"
    }
  ]
}

Avec la nouvelle configuration en place, redémarrer Devolutions Gateway. Cela peut être fait avec la commande systemctl :

sudo systemctl restart devolutions-gateway.service
sudo systemctl status devolutions-gateway.service

Alternativement, les commandes PowerShell Stop-DGateway et Start-DGateway peuvent aussi être utilisées.

1. Se connecter à la console Web de Devolutions Server et naviguer vers Administration – Devolutions Gateway.

2. Cliquer sur le bouton Plus et choisir l'option Télécharger la clé publique.

   

3. Copier le contenu du fichier gateway_public_key.pem téléchargé sous Windows.

   

4. Remplacer le contenu du fichier /etc/devolutions-gateway/provisioner.pem (l'utilitaire Nano est recommandé) par le contenu copié depuis Windows.

   

5. Redémarrer Devolutions Gateway avec la commande sudo systemctl restart devolutions-gateway.service.

    

   

Aller à l'interface web de Devolutions Server où la nouvelle Devolutions Gateway Linux configurée sera ajoutée.

1. Se connecter à la console Web de Devolutions Server et naviguer vers Administration – Devolutions Gateway.

2. Cliquer sur le bouton Ajouter (+).

3. Sélectionner Passerelle.

   

4. Entrer ce qui suit (cela changera en fonction de la configuration).

   1. Nom : Passerelle Linux

   2. URL de Devolutions Gateway : https://10.10.0.20:7171

   3. Nom d'hôte TCP : Ubuntu-2204

5. Cliquer sur Enregistrer.

   

Le système Devolutions Gateway hébergé sous Linux doit être capable de résoudre les adresses demandées par Devolutions Server. La méthode la plus simple pour tester cela est de modifier le fichier hosts.

Se connecter au système suivant :

• Nom d'hôte : it-help-dc

• Nom de domaine entièrement qualifié (FQDN) : it-help-dc.ad.it-help.ninja

• Adresse IP : 10.10.0.3

Ouvrir le fichier hosts pour édition sudo nano /etc/hosts pour ajouter l'hôte dans Ubuntu.

La passerelle peut maintenant se connecter à des hôtes. Puisque l'hôte it-help-dc a été ajouté comme résolvable sur Ubuntu, il peut être utilisé pour se connecter dans une session basée sur le Web. L'interface Web autonome Devolutions Gateway est légèrement différente, mais les étapes sont principalement les mêmes.

1. Dans l'interface Web de Devolutions Server, cliquer sur Ajouter. Sélectionner une entrée de session RDP.

2. Cliquer sur Continuer.

   

3. Saisir un Nom et un Hôte qui doivent être résolvables par l'installation de Devolutions Gateway sur Linux.

4. Cliquer sur Ajouter.

   

5. Entrer ou lier tout identifiant nécessaire à la session RDP et cliquer sur Ajouter.

   

6. Sous l'onglet VPN/Tunnel/Gateway, choisir Devolutions Gateway comme type de VPN.

7. Définir l'option Connecter sur Toujours connecter.

8. Choisir la passerelle correcte.

9. Cliquer sur Ajouter.

   

10. Cliquer sur Ouvrir dans le client Web.

    

Si l'entrée est déjà configurée depuis l'interface web de Devolutions Server, elle peut être lancée depuis Remote Desktop Manager lorsqu'elle est connectée à la source de données Devolutions Server.

Lors de la création d'une nouvelle entrée depuis Remote Desktop Manager, le processus est similaire à celui de Devolutions Server.

1. Dans Remote Desktop Manager, cliquer sur Nouvelle entrée. Sélectionner une entrée de session RDP.

2. Cliquer sur Sélectionner.

   

3. Saisir un Nom et un Hôte qui doivent être résolvables par l'installation de Devolutions Gateway sur Linux.

4. Saisir ou lier les informations d'identification nécessaires à la session RDP.

   

5. Définir l'option Connecter sur Toujours connecter.

6. Sous l'onglet VPN/Tunnel/Gateway, choisir Devolutions Gateway comme type de VPN.

   

7. Aller à l'onglet Paramètres (Devolutions Gateway).

8. Choisir le Devolutions Gateway désiré.

9. Cliquer sur Ajouter.

   

10. Cliquer sur le bouton Ouvrir la session.

Devolutions Gateway Standalone est un serveur de relais gratuit en code source ouvert offrant un accès RDP, SSH, Telnet, VNC, et ARD via une interface web autonome. Modifier le gateway.json pour ajouter la section suivante sur WebApp en utilisant un utilitaire tel que sudo nano /etc/devolutions-gateway/gateway.json.

Pour que l'application autonome Devolutions Gateway fonctionne, vous devez générer une nouvelle paire de clés privée ou publique à utiliser par la passerelle. Utiliser le script OpenSSL suivant pour générer la paire de clés :

openssl genpkey -algorithm RSA -out provisioner.key -pkeyopt rsa_keygen_bits:2048

Extraire la clé publique :

openssl rsa -pubout -in provisioner.key -out provisioner.pem

Ensuite, en supposant que les fichiers soient dans le même dossier que le fichier gateway.json, référencer les fichiers de clé dans la configuration comme suit :

"ProvisionerPublicKeyFile": "provisioner.pem",

"ProvisionerPrivateKeyFile": "provisioner.key",

Une fois cela fait, redémarrer la passerelle :

sudo systemctl restart devolutions-gateway.service

Par défaut, la configuration d'authentification est définie sur None**,** ce qui permet un accès anonyme. Elle peut être définie sur Custom pour activer l'authentification, mais les utilisateurs doivent être gérés avec le module PowerShell en utilisant le script Set/Get/Remove-DGatewayUser.