Guacamole in UCS 4.3, geladen aus dem App Center wie einrichten?

Hallo Gemeinde,

in dem Topic :
Guacamole alt deinstallieren und neu aus App Center installieren
Hatte ich bereits meine Versuche beschrieben die Verbindungskonfigurationen (RDP, VNC und SSH) anzulegen.

Hat jemand die Guacamole-App aus dem UCS Version ist 4.3-3 errata448 bereits konfiguriert?

Für jeden waagen Hinweis wäre ich sehr Dankbar.

Danke und Gruss
Angelo

Ich schließe mich dem Post ausdrücklich an.

Sollte es eine Methode geben, das “alte” Guacamole aus der cool solution wieder in Gang zu setzen, wäre ich alternativ auch daran interessiert.

Vielen Dank und Gruss

Björn

Hi,

ich bin nicht mit Guacamole vertraut, aber vor kurzem gab es einen Beitrag über Guacamole im Univention Blog. In diesem wird auch auf die Konfiguration eingegangen: https://www.univention.de/blog-de/2019/02/desktops-mit-guacamole-fernsteuern/

Hallo vratislav,
hallo fbartels,

vielen Dank für eure Antworten.
Der Blog bezieht sich auf die “Cool-Solution” Installation (univention-install Guacamole)
Habe ich aber mit den Gruppen auch nicht wirklich mitbekommen.
Ich versuche aus der neuen App des UCS Version 4.3 Guacamole zu installieren und dann zu Konfigurieren … (univention-app install guacamole)

Um das “alte” Guacamole aus der cool solution wieder in Gang zu setzen haben wir die Verzeichnisstruktur eportiert (ldif), alle Einträge gesäubert und dann wieder importiert. dann die App installiert und nun ist das der Stand der Dinge.

Eines habe ich bereits schon herausbekommen. Anstatt die Ldap-Anbindung in die /etc/guacamole/guacamole.properties einzutragen, sollte man diese Parameter in Univention Configuration Registry, so glaube ich, eintragen …

image

Auch kann ich die Benutzer zwecks Anmeldung freischalten.
Somit brauchen wir wohlmöglich nicht den Parameter
ldap-search-bind-dn: uid=Administrator,cn=users,dc=win xxxxxxx
Wahrscheinlich nimmt er sich dann auch das Passwort von den UCS User (was ja toll wäre, wenn es klappen würde).
ldap-search-bind-password: XXX

image

Jetzt noch die Frage wie ich die, so glaube ich das es Gruppen sind (VNC, RDP, Telnet / SSH). anlegen soll ?

Laut Guacamole Doku solten diese Einträge pro VrbindungsTyp und Rechner rein (Beispiel für VNC / localhost):
dn: cn=Example Connection,ou=groups,dc=example,dc=net
objectClass: guacConfigGroup
objectClass: groupOfNames
cn: Example Connection
guacConfigProtocol: vnc
guacConfigParameter: hostname=localhost
guacConfigParameter: port=5900
guacConfigParameter: password=secret
member: cn=user1,ou=people,dc=example,dc=net
member: cn=user2,ou=people,dc=example,dc=net
Quelle:
https://guacamole.apache.org/doc/0.9.8/gug/ldap-auth.html

Das noch in die UCS Welt gebracht, und dann sollte es laufen … aber wie?

Gruss und Dank
Angelo

Hallo Angelo,

ich habe es über UMC auf dem Master gemacht:
Domäne - LDAP
Dann gibt es bei mir den LDAP Container guacamole (links im Baum). Den habe ich ausgewählt und dann rechts auf hinzufügen - “Guacamole Konfiguration” auswählen. Dann öffnet sich die Maske, in der man die ganzen Sachen eintragen kann, d.h. Protokoll, Mitglieder, Parameter.

Grüße,
Bernd

image

Mist … ich Glaube, das ich bei meinen Versuchen den LDAP - Container guacamole (unterhalb der groups) gelöscht hatte.

Jetzt wäre ein ldif des guacamole containers die Rettung.
Altrnativ, da ich es ja jetzt weiss, noch einmal versuchen zu deinstallieren und wieder die App installieren, mit der Gefahr, das das dann wieder nicht funktioniert.

Ich schau mir mal den dns Container an und versuche das mal auf das guacamole.schema umzubiegen …

Vielen vielen Dank
Angelo

Ja, bei mir gibt es den Container direkt ‘nach’ bzw. ‘unter’ groups.

Hallo an alle,

ich möchte gerne wissen, wie Ihr die Guacamole-Sitzungen (bzw. die entsprechenden LDAP-Objekte) für die einzelnen Verbinguns-Typen so konfiguriert.
Soweit funktionieren für mich bisher RDP und SSH Verbindungen via Benutzername/Kennwort-Authentisierung, jedoch keine SSH-Verbindungen via PublicKeyAuthentication.

Meine Konfigs/LDAP-Objekt-Einstellungen bezüglich
RDP Paramter:

hostname= <dns-name oder ip-adresse>
port=3389
username=administrator
password=xxxxx

SSH Paramter:

hostname= <dns-name oder ip-adresse>
port=22
username=root
password=xxxxx

Laut einem Verweis in diesem Univention Artikel finden sich weitere Einstellungen und Informationen zu diesen HIER (Apache Guacamole Doku).

Hierin wird folgende Verwendung für eine PublicKeyAuth vorgeschlagen:
SSH Paramter:

hostname= <dns-name oder ip-adresse>
port=22
username=root
private-key=xxxxx
passphrase=xxxxx

wobei für den Parameter private-key folgendes erwähnt wird:

The entire contents of the private key to use for public key authentication. If this parameter is not specified, public key authentication will not be used. The private key must be in OpenSSH format, as would be generated by the OpenSSH ssh-keygen utility.

Ich habe bisher vergeblich versucht eine solche Verbindung über die UCS-Guacamole App herzustellen.
Die Angabe des Parameters private-key habe ich in unterschiedlichsten Formaten versucht:
private-key=xxx
private-key=“xxx”
private-key="—BEGIN—xxx—END—"
private-key=—BEGIN—xxx—END—
Ich habe eine “Standalone” Guacamole Version auf einem anderen Host am laufen und dort funktionieren SSH-Verbindungen via PubKeyAuth problemlos (mit den Einstellungen/Vorgaben laut Doku).

Tips und Ratschläge wilkommen :smile:

Hi @dWc,

the problem with the private key is the copy-paste through UMC website. The right format really is your last option above:

But somehow the line-endings are not written in the right way (I think they are written as spaces) if you just paste the output of your key into the webbrowser.

Looking at the logs I could see something like:

guacd[8883]: ERROR:     Auth key import failed: no start line

I used “JXplorer” on my desktop-computer to connect to the UCS-LDAP and did a copy-paste in the “simple text editor” there. And voilà - it works.

If you don’t have a LDAP-Browser for your desktop you can perhaps also try to modify/ add your private-key entry with udm:

root@ucs-master:/ # udm guacamole/config list

will give you the DNs to add/modify. I haven’t tried it yet but this should work somehow… :wink:
A properly formatted entry would look like this:

DN: cn=guac-conf-01,cn=guacamole,dc=domain,dc=tld
  description: None
  guacConfigParameter: hostname=host.domain.tld
  guacConfigParameter: username=user
  guacConfigParameter: private-key=-----BEGIN RSA PRIVATE KEY-----
MI5 ... 
some lines ...
... CIA
-----END RSA PRIVATE KEY-----
  guacConfigProtocol: ssh
  name: guac-conf-01
  users: uid=ucs-user,cn=users,dc=domain,dc=tld

Best,
Bernd

1 Like

Hello @lebernd

and thanks for your advices.
I’ve downloaded JXplorer as you did it that way and it looked for me the “easier” way :smile: but
I can’t see any Guacamole Configuration entries in the LDAP guacamole directory.
If I use the UCS-WebUI to browse the LDAP guacamole directory, I can see all of my connections.

Best regards

@dWc
Did you use the right port? Ucs LDAP is 7389 or 7636!

Hallo

Ich scheitere schon bei Punkt 1 was soll ich da genau machen?

image

Im LDAP Verzeichnis besteht ein leeres guacamole Objekt.
image

Was soll ich anlegen?
Der erste Satz " Erstellen einer neuen Guacamole Konfiguration innerhalb des ‘guacamole’ Containers."

Das ist ja angelegt oder was ist hier gemeint?

Danke lg Stone

image
Könnte vielleicht das jemand als Beispiel mal durchdokumentieren und mit Screenshots beschrieben.

Also von der frischen Installation weg.

Ich danke für die Hilfe

Lg Stone

Ist zwar schon etwas her aber dennoch:
(Eine Guacamole-Konfiguration pro Server (den man im Guacamole erreichen möchte):
z.B.
02_Guacamole-Konfiguration_Sample-SSH

@lebernd:
sorry for my not-response then:( I think i’ve tested the default ports 389 und 636 - glaube ich :stuck_out_tongue: )

Grüße

Mastodon