Self-Hosting

Guacamole: Le Guide Complet pour un Accès distant Centralisé et Sécurisé

Walid ETTAYEB
8 min de lecture
Guacamole: Le Guide Complet pour un Accès distant Centralisé et Sécurisé

L'accès à distance est devenu une pierre angulaire des infrastructures informatiques modernes. Que vous soyez développeur, administrateur système ou simple passionné de technologie, la gestion de multiples connexions RDP, SSH ou VNC peut rapidement devenir un casse-tête. Et si vous pouviez centraliser tous ces accès au sein d'une seule interface web, accessible depuis n'importe quel navigateur, sans installer le moindre client ? C'est précisément la promesse d'Apache Guacamole.

Dans cet article technique, nous allons plonger au cœur du déploiement d'Apache Guacamole en utilisant Docker Compose. Loin d'une simple installation, ce guide se veut un manuel pratique et détaillé pour mettre en place une solution robuste, sécurisée et prête pour la production. Nous aborderons non seulement l'installation de base, mais aussi la configuration de l'authentification via une base de données, les bonnes pratiques de sécurité et les astuces pour une gestion optimale.

Préparez votre terminal, nous partons pour un déploiement complet de la dernière version stable de Guacamole (1.5.5) sur votre infrastructure Docker.

Prérequis Techniques

Avant de commencer, assurez-vous de disposer des éléments suivants :

  • Un serveur (VM ou physique) avec un système d'exploitation Linux (Debian, Ubuntu, CentOS, etc.).
  • Docker et Docker Compose installés et fonctionnels. Si ce n'est pas le cas, suivez les instructions de la documentation officielle de Dockeret deDocker Compose.
  • Des connaissances de base sur le fonctionnement de Docker et la syntaxe des fichiers docker-compose.yml.
  • Un accès root ou un utilisateur avec des privilèges sudo.
  • (Optionnel mais recommandé) Un nom de domaine pointant vers l'adresse IP de votre serveur pour une configuration sécurisée avec un reverse proxy et SSL/TLS.

I. Comprendre l'Architecture de Guacamole

Avant de nous lancer dans la configuration, il est essentiel de comprendre comment les différents composants de Guacamole interagissent. Une installation typique avec Docker est composée de trois briques logicielles.

A. Les Composants Clés

  1. Guacamole Client (guacamole/guacamole) : C'est l'application web frontale écrite en Java que vous voyez dans votre navigateur. Elle tourne sur un serveur d'applications comme Apache Tomcat. Son rôle est de servir l'interface utilisateur et de traduire les actions de l'utilisateur en instructions pour le guacd.
  2. Guacamole Daemon (guacamole/guacd) : Le cœur du système. C'est un service proxy qui s'exécute en arrière-plan. Il reçoit les instructions du client Guacamole, les traduit dans le protocole natif (RDP, VNC, SSH, etc.) et établit la connexion avec le serveur distant. Il est écrit en C pour des performances optimales.
  3. Base de Données (PostgreSQL ou MySQL/MariaDB) : Bien que Guacamole puisse fonctionner avec un simple fichier de configuration XML, l'utilisation d'une base de données est la méthode recommandée pour toute installation sérieuse. Elle permet de stocker les utilisateurs, les connexions, les permissions et les journaux d'audit de manière centralisée et évolutive. Pour ce guide, nous utiliserons PostgreSQL, réputé pour sa robustesse.

L'utilisation de Docker Compose permet d'orchestrer ces trois conteneurs pour qu'ils communiquent de manière transparente et sécurisée sur un réseau Docker privé.

II. Déploiement avec Docker Compose

Passons maintenant à la pratique. Nous allons créer un fichier docker-compose.yml qui définira l'ensemble de notre stack Guacamole.

A. Création de l'Environnement

Commençons par créer un répertoire de travail pour notre projet. C'est ici que nous stockerons notre fichier de configuration et les données persistantes.

# Créez un répertoire pour votre projet Guacamole
mkdir guacamole-stack
cd guacamole-stack

# Créez un répertoire pour les données de la base de données
mkdir -p data/postgres

Cette structure nous aidera à maintenir notre projet organisé et à gérer la persistance des données.

B. Le Fichier docker-compose.yml

Créez un fichier nommé docker-compose.yml à la racine de votre projet guacamole-stack et collez-y le contenu suivant. Nous l'expliquerons en détail juste après.

version: '3.8'

services:
  #-----------------------------------------
  # Guacamole Web App
  #-----------------------------------------
  guacamole:
    image: guacamole/guacamole:1.5.5
    container_name: guacamole
    restart: unless-stopped
    networks:
      - default
    depends_on:
      - guacd
      - postgres
    environment:
      - GUACD_HOSTNAME=guacd
      - GUACAMOLE_HOME=/config
      - POSTGRES_HOSTNAME=postgres
      - POSTGRES_DATABASE=${POSTGRES_DB}
      - POSTGRES_USER=${POSTGRES_USER}
      - POSTGRES_PASSWORD=${POSTGRES_PASSWORD}
    volumes:
      - ./config:/config
    ports:
      - "8080:8080"

  #-----------------------------------------
  # Guacamole Daemon
  #-----------------------------------------
  guacd:
    image: guacamole/guacd:1.5.5
    container_name: guacd
    restart: unless-stopped
    networks:
      - default
    volumes:
      - ./drive:/drive:rw
      - ./record:/record:rw

  #-----------------------------------------
  # PostgreSQL Database
  #-----------------------------------------
  postgres:
    image: postgres:15-alpine
    container_name: postgres
    restart: unless-stopped
    networks:
      - default
    volumes:
      - ./data/postgres:/var/lib/postgresql/data
      - ./init:/docker-entrypoint-initdb.d
    environment:
      - POSTGRES_DB=${POSTGRES_DB}
      - POSTGRES_USER=${POSTGRES_USER}
      - POSTGRES_PASSWORD=${POSTGRES_PASSWORD}
      - PGDATA=/var/lib/postgresql/data/pgdata

networks:
  default:
    driver: bridge

C. Configuration des Variables d'Environnement

Pour éviter d'écrire des informations sensibles en clair dans notre fichier docker-compose.yml, nous utilisons des variables d'environnement. Créez un fichier .env à la racine du projet :

# Créez le fichier .env
touch .env

Ouvrez ce fichier et ajoutez les variables suivantes. Assurez-vous de remplacer les valeurs par des mots de passe forts et uniques.

# Fichier .env pour la configuration de Guacamole

# Identifiants pour la base de données PostgreSQL
POSTGRES_DB=guacamole_db
POSTGRES_USER=guacamole_user
# IMPORTANT : Utilisez un mot de passe fort pour la production !
POSTGRES_PASSWORD=V0treM0tDePaSseS3curis3!
Avertissement : Sécurité des Mots de Passe N'utilisez jamais de mots de passe par défaut ou faibles en production. Les identifiants listés ici sont des exemples. Utilisez un gestionnaire de mots de passe pour générer des chaînes complexes et uniques.

D. Initialisation de la Base de Données

Le conteneur de Guacamole ne crée pas la structure de la base de données (tables, schémas) par lui-même. Nous devons lui fournir un script d'initialisation SQL. Docker Compose exécutera automatiquement tout script .sql placé dans le répertoire /docker-entrypoint-initdb.d du conteneur PostgreSQL au premier démarrage.

Générez le script SQL : Nous utilisons une commande Docker pour que le conteneur Guacamole génère lui-même le script adapté à la version que nous utilisons. C'est la méthode la plus fiable.

docker run --rm guacamole/guacamole:1.5.5 /opt/guacamole/bin/initdb.sh --postgres > ./init/init-guacamole.sql

Cette commande exécute temporairement un conteneur guacamole/guacamole, lance le script initdb.sh avec l'argument --postgres, et redirige la sortie (>) vers un nouveau fichier init-guacamole.sql dans notre répertoire init.

Créez le répertoire init :

mkdir init

Votre arborescence de projet doit maintenant ressembler à ceci :

guacamole-stack/
├── data/
│   └── postgres/
├── init/
│   └── init-guacamole.sql
├── config/
├── docker-compose.yml
└── .env

E. Lancement de la Stack

Tout est en place ! Il est temps de démarrer notre stack Guacamole.

Consultez les logs (en cas de problème) : Si un conteneur ne démarre pas, la première chose à faire est de consulter ses logs.

# Pour voir les logs de tous les services
docker-compose logs -f

# Pour voir les logs d'un service spécifique (ex: guacamole)
docker-compose logs -f guacamole

Vérifiez l'état des conteneurs :

docker-compose ps

Vous devriez voir les trois conteneurs (guacamole, guacd, postgres) avec le statut Up ou running.<p align="center">Mention d'une capture d'écran montrant la sortie de la commande docker-compose ps avec les trois services en cours d'exécution.</p>

Lancez les conteneurs en arrière-plan (-d pour detached mode) :Bash

docker-compose up -d

Docker Compose va télécharger les images (si ce n'est pas déjà fait), créer le réseau, les volumes et démarrer les trois conteneurs dans le bon ordre.

Une fois que tout est démarré, vous pouvez accéder à l'interface web de Guacamole en ouvrant votre navigateur à l'adresse http://<IP_DE_VOTRE_SERVEUR>:8080/guacamole/.

Note importante : L'URL se termine par un slash /. Ne l'oubliez pas, sinon vous risquez de rencontrer une page d'erreur Tomcat.

L'identifiant par défaut après une nouvelle installation est :

  • Utilisateur : guacadmin
  • Mot de passe : guacadmin

La première chose à faire est de vous connecter et de changer immédiatement ce mot de passe par défaut !

III. Configuration et Bonnes Pratiques

Votre instance de Guacamole est maintenant fonctionnelle, mais notre travail n'est pas terminé. Passons à la configuration des connexions et à la sécurisation de notre installation.

A. Créer Votre Première Connexion (SSH)

Illustrons le processus en créant une connexion SSH vers un autre serveur.

  1. Connectez-vous en tant que guacadmin.
  2. Cliquez sur votre nom d'utilisateur en haut à droite, puis sur Paramètres.
  3. Allez dans l'onglet Connexions et cliquez sur Nouvelle Connexion.
  4. Remplissez les informations :
    • Nom : Un nom descriptif (ex: "Serveur Web de Prod").
    • Protocole : Choisissez SSH dans la liste déroulante.
  5. Dans la section Paramètres, renseignez les champs suivants :&lt;p align="center">Mention d'une capture d'écran montrant le formulaire de création d'une nouvelle connexion SSH dans l'interface de Guacamole.&lt;/p>
    • Nom d'hôte : L'adresse IP ou le nom de domaine de votre serveur SSH.
    • Port : 22 (ou le port que vous utilisez pour SSH).
    • Nom d'utilisateur : L'utilisateur pour la connexion SSH.
    • Mot de passe : Le mot de passe de l'utilisateur. Pour plus de sécurité, il est préférable d'utiliser une clé privée (voir ci-dessous).
  6. Enregistrez la connexion. Elle apparaîtra maintenant sur votre écran d'accueil. Cliquez dessus pour lancer la session SSH directement dans votre navigateur !

B. Utiliser une Clé Privée pour SSH (Recommandé)

Stocker des mots de passe en clair dans Guacamole n'est pas idéal. L'utilisation de paires de clés SSH est bien plus sécurisée.

  1. Dans le formulaire de création/modification de la connexion SSH.
  2. Laissez le champ Mot de passe vide.
  3. Descendez jusqu'au champ Clé privée.
  4. Copiez-collez l'intégralité de votre clé privée (le contenu du fichier id_rsa, par exemple), y compris les lignes -----BEGIN OPENSSH PRIVATE KEY----- et -----END OPENSSH PRIVATE KEY-----.
  5. Si votre clé privée est protégée par une passphrase, renseignez-la dans le champ Passphrase de la clé privée.
  6. Enregistrez. Guacamole utilisera maintenant cette clé pour s'authentifier.

C. Sécuriser l'Accès avec un Reverse Proxy (Nginx)

Exposer Guacamole directement sur le port 8080 n'est pas recommandé en production. Un reverse proxy comme Nginx vous permet de :

  • Accéder à Guacamole via le port standard HTTPS (443).
  • Mettre en place le chiffrement SSL/TLS (Let's Encrypt).
  • Ajouter des en-têtes de sécurité HTTP.

Voici un exemple de configuration pour un server block Nginx.

Relancez Docker Compose pour qu'il prenne en compte le nouveau service :Bash

docker-compose up -d

Éditez guacamole.conf (adaptez guacamole.votredomaine.com):

server {
    listen 80;
    server_name guacamole.votredomaine.com;

    # Redirection vers HTTPS
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name guacamole.votredomaine.com;

    # Chemins vers vos certificats SSL (à obtenir avec Certbot par exemple)
    ssl_certificate /etc/letsencrypt/live/guacamole.votredomaine.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/guacamole.votredomaine.com/privkey.pem;

    # Bonnes pratiques SSL
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers off;

    location / {
        proxy_pass http://guacamole:8080/guacamole/;
        proxy_buffering off;
        proxy_http_version 1.1;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $http_connection;
        proxy_cookie_path /guacamole/ /;
        access_log off;
    }
}

Créez la configuration Nginx :

mkdir -p nginx/conf.d
touch nginx/conf.d/guacamole.conf

Créez un nouveau fichier docker-compose.override.yml pour ajouter le service Nginx sans modifier le fichier principal.

version: '3.8'

services:
  nginx:
    image: nginx:latest
    container_name: guacamole-nginx
    restart: unless-stopped
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./nginx/conf.d:/etc/nginx/conf.d
      - ./nginx/letsencrypt:/etc/letsencrypt
    depends_on:
      - guacamole

  guacamole:
    ports: [] # On ne publie plus le port 8080 directement

Vous pouvez maintenant accéder à votre instance de manière sécurisée via https://guacamole.votredomaine.com.

Pour aller plus loin

Apache Guacamole est un outil extrêmement puissant et personnalisable. Voici quelques pistes pour approfondir vos connaissances :

  • Authentification Multi-facteurs (MFA/2FA) : Guacamole supporte nativement TOTP (Google Authenticator) ainsi que d'autres extensions comme Duo. C'est une étape indispensable pour sécuriser votre installation.
  • Extensions d'Authentification : Intégrez Guacamole à votre annuaire d'entreprise via les extensions LDAP ou Active Directory. Ladocumentation officielle sur l'authentification LDAPest un excellent point de départ.
  • Partage de Connexion : Partagez des sessions en lecture seule ou en contrôle total avec d'autres utilisateurs, idéal pour le dépannage ou la formation.
  • Enregistrement de Session : Activez l'enregistrement des sessions RDP, SSH ou VNC pour l'audit ou la relecture. Les enregistrements seront stockés dans le volume /record que nous avons monté sur le conteneur guacd.

Conclusion

En suivant ce guide, vous avez déployé une plateforme d'accès distant centralisée, moderne et sécurisée avec Apache Guacamole et Docker Compose. Vous disposez désormais d'une base solide, prête à être adaptée à vos besoins spécifiques. La combinaison de la puissance de Guacamole et de la flexibilité de Docker vous offre un contrôle sans précédent sur vos accès distants, le tout depuis une simple interface web.

L'investissement initial en temps pour mettre en place cette infrastructure est rapidement rentabilisé par le gain en productivité, en sécurité et en facilité de gestion au quotidien. N'hésitez pas à explorer la documentation officielle d'Apache Guacamole, qui reste la référence pour toutes les configurations avancées.

Écrit par

Walid ETTAYEB

Passionné par la technologie, je transforme ma passion en expertise.

Vous pourriez aussi aimer

Appuyez sur ESC pour fermer.

Parcourir les articles par tags populaires

Self-Hosting Sécurité Devops Scripts Astuces
Vous vous êtes abonné avec succès à CodeClan
Parfait ! Ensuite, complétez le paiement pour obtenir un accès complet à tout le contenu premium.
Erreur ! Impossible de s'inscrire. Lien invalide.
Bienvenue ! Vous vous êtes connecté avec succès.
Erreur ! Impossible de se connecter. Veuillez réessayer.
Succès ! Votre compte est entièrement activé, vous avez maintenant accès à tout le contenu.
Erreur ! Le paiement Stripe a échoué.
Succès ! Vos informations de facturation sont mises à jour.
Erreur ! La mise à jour des informations de facturation a échoué.