Aller au contenu

Utilisation

Recapitulatif du déploiement, tests de bout en bout, gestion des utilisateurs et procédures de nettoyage.

Recapitulatif du déploiement

Le déploiement complet se résumé en six étapes :

  1. Private Service Access — reservation d'une plage d'adresses et peering VPC pour Cloud SQL
  2. Cloud SQL — création de l'instance PostgreSQL 15 en Private IP, base de données, utilisateur et schéma
  3. Build Packer — construction de l'image avec Tomcat, guacd et les extensions JDBC/SAML
  4. VM Guacamole — déploiement de la VM depuis l'image avec le service account dédié
  5. Pare-feu — règles d'accès sur le port 8080 et autorisation guacd vers les VDI
  6. SAML — configuration de l'IdP et mise à jour de guacamole.properties

Tests de bout en bout

Accès web

curl -s -o /dev/null -w "%{http_code}" http://IP_VM:8080/guacamole/
# Attendu : 200

Login admin local

  1. Ouvrez http://IP_VM:8080/guacamole/
  2. Connectez-vous avec guacadmin et le mot de passe défini lors de l'initialisation du schéma
  3. L'écran d'accueil Guacamole s'affiche avec les connexions configurees

Login SAML

  1. Ouvrez http://IP_VM:8080/guacamole/ dans un navigateur prive
  2. Vous etes redirige vers la page de login de l'IdP
  3. Après authentification, vous arrivez sur l'écran d'accueil Guacamole
  4. Verifiez que le nom d'utilisateur affiche correspond au compte IdP

RDP vers VDI Linux

  1. Cliquez sur la connexion VDI Linux - RDP
  2. Le bureau Linux s'affiche dans le navigateur (résolution 1920x1080)
  3. Testez la saisie clavier avec des caractères accentues
  4. Verifiez l'accès a internet depuis la VDI si nécessaire

SSH vers VDI Linux

  1. Cliquez sur la connexion VDI Linux - SSH
  2. Un terminal s'ouvre dans le navigateur
  3. Executez quelques commandes pour valider la connectivité

RDP vers VDI Windows

  1. Cliquez sur la connexion VDI Windows - RDP
  2. Le bureau Windows s'affiche sans écran de login intermédiaire (NLA)
  3. Verifiez les droits de l'utilisateur connecte

Gestion des utilisateurs

Créer un utilisateur

Menu → Parametres → Utilisateurs → Nouvel utilisateur

Champ Valeur
Nom d'utilisateur prenom.nom
Mot de passe (laissez vide si SAML, obligatoire si login local)
Profil expirant Optionnel

Assigner des connexions a un utilisateur

  1. Allez dans Parametres → Utilisateurs → [nom d'utilisateur]
  2. Section Connexions : cochez les connexions auxquelles l'utilisateur a accès
  3. Enregistrez

Groupes d'utilisateurs

Les groupes permettent d'attribuer des connexions a plusieurs utilisateurs d'un coup.

Menu → Parametres → Groupes d'utilisateurs → Nouveau groupe

Assignez ensuite des connexions au groupe et ajoutez des utilisateurs au groupe. Un utilisateur hérité des accès de tous ses groupes.

Nettoyage

Données perdues

Les opérations de nettoyage suivantes sont irreversibles. Toutes les connexions, configurations utilisateurs et historiques de sessions stockes dans Cloud SQL seront definitivement supprimes. Exportez les données importantes avant de proceder.

Supprimer la VM Guacamole

gcloud compute instances delete guacamole-vm \
  --zone=europe-west1-b \
  --quiet

Supprimer l'instance Cloud SQL

gcloud sql instances delete guacamole-db \
  --quiet

Supprimer l'image Packer

IMAGE_NAME=$(gcloud compute images list \
  --filter="family=guacamole" \
  --format="value(name)")

gcloud compute images delete ${IMAGE_NAME} --quiet

Supprimer les règles de pare-feu

gcloud compute firewall-rules delete allow-guacamole guacamole-to-vdi --quiet

Supprimer le service account

gcloud iam service-accounts delete \
  guacamole-vm@MON-PROJET-GCP.iam.gserviceaccount.com \
  --quiet

Supprimer le peering VPC

gcloud services vpc-peerings delete \
  --service=servicenetworking.googleapis.com \
  --network=default \
  --quiet

gcloud compute addresses delete google-managed-services-default \
  --global \
  --quiet

Prochaines étapes

HTTPS en production

Placez un reverse proxy HTTPS devant Guacamole. Options recommandees sur GCP :

  • Cloud Load Balancer avec certificat Google-manage — zero configuration TLS
  • nginx sur la VM avec Certbot (Let's Encrypt) si l'IP est publique

Mettez à jour saml-callback-url et saml-entity-id dans guacamole.properties après le passage en HTTPS.

Enregistrement des sessions

Guacamole supporte l'enregistrement des sessions RDP et SSH sous forme de fichiers rejouables. Activez-le dans les parametres de connexion :

Enregistrement → Repertoire d'enregistrement : /var/lib/guacamole/recordings

Supervision et alertes

  • Activez les logs Cloud SQL dans la console GCP pour surveiller les connexions à la base
  • Configurez une alerte Cloud Monitoring sur la métrique compute.googleapis.com/instance/cpu/utilization pour la VM Guacamole
  • Les logs Tomcat sont disponibles dans /var/log/tomcat9/ sur la VM