Ubuntu 16.04.x LTS - Guacamole HTML5 Remotedesktop Gateway installieren mit Apache Reverse Proxy

Aus Znilwiki
Wechseln zu: Navigation, Suche

Changelog:

  • 07.09.2016: Erste Version des Artikel mit Gucamole Version 0.9.9

Nach diversen Versuchen über einen Webrowser per RDP auf eine Windows 7 VM zu zugreifen, unter anderem mit VMware View etc. habe ich im Internet Guacamole gefunden.

http://guac-dev.org/

Es handelt sich dabei um ein HTML5 Gateway über das man per RDP, VNC und SSH auf andere Systeme zugreifen kann.
In dieser Anleitung installiere ich Guacamole auf einen bestehenden Webserver in einer Subdomain.



Ausgangslage

Ich habe hier einen ESXi Server auf dem ein WEBSERVER mit Apache2 als Webserver läuft (IP: 192.168.45.10).
Nach der Installation kann man von extern über eine Subdomain remote.znil.net auf die Guacamole-Webseite per https:// zugreifen.
Guacamole ist auch in den Paketquellen von Ubuntu 16.04. enthalten - jedoch in der alten Version 0.8.3, nicht in der aktuellen 0.9.9 Also doch selbst Hand anlegen!

Important.png
Hinweis: Wer wie ich ISPConfig für die Verwaltung einsetzt sollte vorher den Port der Management-Oberfläche vom Port 8080 auf einen anderen, z.B. 8443 verschieben. Das geht über das bearbeiten der Datei nano /etc/apache2/sites-available/ispconfig.vhost mit anschließendem Neustart des Apache




Voraussetzungen installieren

apt install make libssh2-1-dev libtelnet-dev libpango1.0-dev libossp-uuid-dev libcairo2-dev libpng12-dev freerdp-x11 libssh2-1 libvncserver-dev libfreerdp-dev libvorbis-dev libssl1.0.0 gcc libssh-dev libpulse-dev tomcat7 tomcat7-admin tomcat7-docs ghostscript libwebp-dev

Danach sollte der Tomcat bereits auf Port 8080 lauschen - wenn ihr also

http://servername-oder-ip:8080

aufruft kommt die Standardseite von Tomcat:
ClipCapIt-160907-132601.PNG



Guacamole herunterladen und kompilieren




Release Version

Bei der letzten Bearbeitung dieses Artikels war die Version

Guacamole 0.9.9

aktuell - ggf. müsst ihr die Namen und Pfade anpassen wenn Ihr eine neuere Version nehmt.

cd /usr/src
wget http://downloads.sourceforge.net/project/guacamole/current/source/guacamole-server-0.9.9.tar.gz
wget http://downloads.sourceforge.net/project/guacamole/current/binary/guacamole-0.9.9.war

Damit haben wir den Quellcode des Servers und die .war Datei des Clients heruntergeladen.
Dann den Quellcode noch entpacken:

tar xvzf guacamole-server-0.9.9.tar.gz





Kompilieren

cd /usr/src/guacamole-server-0.9.9
./configure --with-init-dir=/etc/init.d

Nach viel Text (die ganzen Checks) müsste am Ende eine Meldung wie folgt kommen:

------------------------------------------------
guacamole-server version 0.9.9
------------------------------------------------

   Library status:

     freerdp ............. yes
     pango ............... yes
     libssh2 ............. yes
     libssl .............. yes
     libtelnet ........... yes
     libVNCServer ........ yes
     libvorbis ........... yes
     libpulse ............ yes
     libwebp ............. yes

   Protocol support:

      RDP ....... yes
      SSH ....... yes
      Telnet .... yes
      VNC ....... yes

   Init scripts: /etc/init.d

Type "make" to compile guacamole-server.

Prima. Also kompilieren und installieren wir:

make
make install




Test Server

Er hat uns nun ein Start-Script hinterlegt.

/etc/init.d/guacd start

Der Start schlägt aber fehl mit einem

Starting guacd: /usr/local/sbin/guacd: error while loading shared libraries: libguac.so.11: cannot open shared object file: No such file or directory
FAIL

Deshalb geben wir einfach ein

ldconfig
/etc/init.d/guacd start

ein und nun geht es:

Starting guacd: guacd[23816]: INFO:     Guacamole proxy daemon (guacd) version 0.9.9 started
SUCCESS


Wir beenden den Server aber gleich wieder:

/etc/init.d/guacd stop

da wir erst einmal die Konfigurationsdateien anlegen müssen.



Guacamole Server konfigurieren

Wir legen das Verzeichnis für die Konfigurationsdateien an das Guacamole erwartet:

mkdir /etc/guacamole

und erstellen die Server-Konfigurationsdatei:


guacamole.properties

nano /etc/guacamole/guacamole.properties

Inhalt:

# genaue Beschreibung der Paramter siehe unter
# http://guac-dev.org/doc/gug/configuring-guacamole.html#initial-setup
# -------------------------------------------------------------------- 

# Hostname und Port des Servers auf dem der Guacamole-Server läuft
guacd-hostname: localhost
guacd-port: 4822

# Pfad zu .jar Dateien die vom Client nachgeladen werden können
lib-directory: /var/lib/tomcat7/webapps/guacamole/WEB-INF/classes

# Welche Methode wird für die Anmeldung verwendet?
# Hier nehmen wir BasicFileAuthenticationProvider der ohne zusätzliche Module auskommt
auth-provider: net.sourceforge.guacamole.net.basic.BasicFileAuthenticationProvider

# Lister der Sprachen der Weboberfläche einschränken
available-languages: en, de

# BasicFileAuthenticationProvider benötigt eine .xml Datei mit den Benutzername, Passwörter und Verbindungen:
basic-user-mapping: /etc/guacamole/user-mapping.xml




user-mapping.xml

Wir haben ja gerade zuvor die Datei angegeben in welcher die

  • Benutzernamen
  • Kennwörter
  • verfügbare RDP / VNC / Telnet und SSH Verbindungen

konfiguriert werden. Also müssen wir die auch anlegen:

nano /etc/guacamole/user-mapping.xml

Inhalt der Datei - müsst Ihr an eure Bedürfnisse anpassen. Im Zweifelsfall löscht überflüssige Parameter. Wenn z.B. Benutzername und Password nicht angegeben werden fragt er danach.

<user-mapping>
 
    <!-- Pro Benutzer gibt es einen Abschnitt für Benutzername, Passwort -->
    <!-- und den verfügbaren Verbindungen für diesen Benutzer -->
 
    <!-- Benutzer Administrator-->
    <authorize username="admin" password="geheimesPasswort">
 
        <!-- Verbindung 1 für Benuter admin -->
        <!-- RDP - Remotedesktop-Verbindung -->
        <!-- Parameter siehe http://guac-dev.org/doc/gug/configuring-guacamole.html#rdp -->
        <connection name="Windows 7 Test VM">
                <protocol>rdp</protocol>
                <param name="hostname">192.168.42.40</param>      <!-- FQDN oder IP des Zielhost -->
                <param name="port">3389</param>                   <!-- Port, Standard ist 3389 -->
                <param name="username">Testbenutzer</param>       <!-- Anmeldename / Benutzername -->
                <param name="password">password123</param>        <!-- Password für den Benutzer -->
                <param name="domain">TEST-VM</param>              <!-- Domäne des Benutzer, ggf. Hostname des Ziels -->
                <param name="disable-audio">true</param>          <!-- Audio-Übertragung deaktivieren -->
                <param name="console">true</param>                <!-- sorgt z.B. bei Terminalserver dafür die Consolen-Sitzung zu bekommen, ansonsten sinnlos -->
                <param name="server-layout">de-de-qwertz</param>  <!-- mit deutscher Tastatur verbinden -->
                <param name="ignore-cert">true</param>            <!-- alle Zertifikate akzeptieren -->
        </connection>
 
        <!-- Verbindung 2 für Benuter admin -->
        <!-- SSH - Verbindung -->
        <!-- Parameter siehe http://guac-dev.org/doc/gug/configuring-guacamole.html#ssh -->
        <connection name="SSH Webserver">
                <protocol>ssh</protocol>
                <param name="hostname">192.168.42.10</param>      <!-- FQDN oder IP des Zielhost -->
                <param name="port">22</param>                     <!-- Port, Standard ist 22 -->
                <param name="username">user23</param>             <!-- Anmeldename / Benutzername -->
                <param name="password">password123</param>        <!-- Password für den Benutzer -->
        </connection>
    </authorize>
</user-mapping>




Automatischen Start des Servers einrichten

Das geht netter Weise immer noch per

update-rc.d guacd defaults

Das für systemctl notwendige Startskript baut er uns dann automatisch



Fehler Dateiaustausch und Audio beheben

Guacamole kann in einer SSH oder RDP Sitzung auch Audiosignale weitereichen oder den Drucker nutzen.
Noch interessanter finde ich den Up- oder Download von Dateien aus der Sitzung, insbesondere bei RDP.
So wie wir bis jetzt installiert haben funktioniert das aber nicht da das genutzte FreeRDP 3 Plugins von Guacamole nicht finden kann.
Den Fehler beheben wir mit den nächsten beiden Zeilen:

ln -s /usr/local/lib/freerdp/guacdr-client.so /usr/lib/x86_64-linux-gnu/freerdp/
ln -s /usr/local/lib/freerdp/guacsnd-client.so /usr/lib/x86_64-linux-gnu/freerdp/
ln -s /usr/local/lib/freerdp/guacsvc-client.so /usr/lib/x86_64-linux-gnu/freerdp/




Guacamole Client installieren

Den Client haben wir vorhin schon mit herunter geladen und müsste nun unter

/etc/src/guacamole-0.9.9.war

bereit liegen.
Kopieren wir diese an Ihren Bestimmungsort:

cp /usr/src/guacamole-0.9.9.war /var/lib/tomcat7/webapps/guacamole.war


Der Client erwartet die gleiche(!) guacamole.properties die auch der Server nutzt - allerdings an einem anderen Ort.
Deshalb legen wir einen symbolischen Link dahin an:

mkdir /usr/share/tomcat7/.guacamole
ln -s /etc/guacamole/guacamole.properties /usr/share/tomcat7/.guacamole/


Nun müssen wir den Tomcat neu starten:

systemctl restart tomcat7.service




Der erste Test

Wir starten den Dienst wieder:

systemctl start guacd.service

Wir können nun auf die Webseite des Clients zugreifen:

http://FQDN-oder-IP:8080/guacamole/


ClipCapIt-160907-140614.PNG

Und melden uns mit dem gerade angelegten Benutzer an:
ClipCapIt-160907-140655.PNG
Ein Klick auf die Verbindungen unten startet jeweils die ausgewählte Verbindung:
ClipCapIt-160907-140837.PNG
Mit den Zurück Button des Browser geht es wieder ins das Menü - die Verbindung bleibt dann aber erhalten. Besser ist die Sitzung richtig zu beenden, bei RDP also abmelden.



Logdateien auswerten

Wenn mal etwas nicht wie geplant funktioniert bei einer Verbindung so können wir hierzu in das syslog schauen.

tail -f /var/log/syslog


Falls euerr Server mehr zu tun hat und das Syslog entsprechend ständig zu tun hat empfiehlt es sich die Ausgabe auf die Guacamole-Meldungen zu filtern:

tail -f -n 200 /var/log/syslog | grep guacd


Beispielausgabe beim Aufbau einer RDP-Verbindung:

May  8 10:16:54 web01 guacd[20582]: Protocol "rdp" selected
May  8 10:16:54 web01 guacd[20582]: Connection ID is "$b5f8f9d9-1ab8-49bc-a5ea-970015a30a21"
May  8 10:16:54 web01 guacd[20582]: Security mode: ANY
May  8 10:16:54 web01 guacd[20582]: Loading keymap "base"
May  8 10:16:54 web01 guacd[20582]: Loading keymap "de-de-qwertz"
May  8 10:16:54 web01 guacd[20582]: Starting client
May  8 10:16:54 web01 guacd[20582]: guacdr connected.
May  8 10:16:54 web01 guacd[20582]: guacsnd connected.
May  8 10:16:54 web01 guacd[20582]: Connected to RDPDR 1.12 as client 0x0007
May  8 10:16:54 web01 guacd[20582]: Ignoring server capability set type=0x0001, length=44
May  8 10:16:54 web01 guacd[20582]: Ignoring server capability set type=0x0002, length=8
May  8 10:16:54 web01 guacd[20582]: Ignoring server capability set type=0x0003, length=8
May  8 10:16:54 web01 guacd[20582]: Ignoring server capability set type=0x0004, length=8
May  8 10:16:54 web01 guacd[20582]: Ignoring server capability set type=0x0005, length=8
May  8 10:16:54 web01 guacd[20582]: Sending capabilities...
May  8 10:16:54 web01 guacd[20582]: Capabilities sent.
May  8 10:16:54 web01 guacd[20582]: Client ID confirmed
May  8 10:16:58 web01 guacd[20582]: User logged on
May  8 10:16:58 web01 guacd[20582]: Sending printer
May  8 10:16:58 web01 guacd[20582]: Registered device 0 (Guacamole Printer)
May  8 10:16:58 web01 guacd[20582]: Sending filesystem
May  8 10:16:58 web01 guacd[20582]: Registered device 1 (Guacamole Filesystem)
May  8 10:16:58 web01 guacd[20582]: All supported devices sent.
May  8 10:16:58 web01 guacd[20582]: Device 0 (Guacamole Printer) connected successfully
May  8 10:16:58 web01 guacd[20582]: Device 1 (Guacamole Filesystem) connected successfully
May  8 10:17:00 web01 guacd[20582]: Accepted format: 16-bit PCM with 2 channels at 44100 Hz




Apache Reverse Proxy

So, nun wollen wir das ganze über eine Subdomain und mit SSL Verschlüsselung über https von extern erreichen.
In Apache lege ich einen neuen .vHost an und verpasse diesem ein SSL Zertifikat.
Wie das geht?
Entsprechende Datei unter /etc/apache2/sites-available anlegen:

touch /etc/apache2/sites-available/remote.znil.net.vhost

Mit dem nachfolgenden Inhalt füllen (nächster Abschnitt, erst machen!).
Ein SSL-Zertifkat könnt Ihr z.B. nach folgender Anleitung erstellen: https://thomas-leister.de/apache-webserver-ssl-verschlusselung-einrichten/
Seite aktivieren:

a2ensite remote.znil.net.vhost

und den Apache neu starten:

systemctl restart apache2.service


Ich benutze für das ganze ISPConfig und bearbeite die .vhost dann nur noch manuell.



Apache .vhost anpassen

Auf eurem Apache müssen die Module für den Proxy und das Rewrite aktiv sein, falls das noch nicht der Fall ist schaut hier nach wie das geht:

Da ich das ganze unter einer Subdomain betreibe habe ich für diese eine eigene .vhost Datei

nano /etc/apache2/sites-available/login.znil.net.vhost

Wenn ihr das ohne macht bzw. das ganze in einem virtuellen Verzeichnis haben wollt müsst ihr ggf. die Standard .vhost von Apache anpassen.

Den Inhalt der .vhost ändere ich wie folgt:

<VirtualHost 192.168.45.10:80>
        ServerName remote.znil.net
        ServerAdmin webmaster@znil.net

        RewriteEngine On
        RewriteCond %{HTTPS} !=on
        RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
</VirtualHost>


<VirtualHost 192.168.45.10:443>
        ServerName remote.znil.net
        ServerAdmin webmaster@znil.net

        SSLEngine on
        SSLProtocol All -SSLv2 -SSLv3
        SSLCertificateFile /var/www/clients/client0/web14/ssl/remote.znil.net.crt
        SSLCertificateKeyFile /var/www/clients/client0/web14/ssl/remote.znil.net.key
        SSLCertificateChainFile /var/www/clients/client0/web14/ssl/remote.znil.net.bundle

        ProxyPass / http://192.168.45.10:8080/guacamole/ flushpackets=on
        ProxyPassReverse / http://192.168.45.55:8080/guacamole/
        ProxyPassReverseCookiePath /guacamole /
        SetEnvIf Request_URI "^/tunnel" dontlog
        CustomLog  /var/log/apache2/guac.log common env=!dontlog
</VirtualHost>

Ihr müsstet folgendes anpassen:

  • IP-Adresse eures Apache Servers
  • Name eurer Subdomain
  • Pfad zu den SSL-Dateien
  • IP-Adresse zum Guacamole-Server


Nach einem Neustart des Apache

systemctl reload apache2.service

könnt Ihr nun über eben diese darauf zugreifen:

https://remote.znil.net




Bedienung von Guacamole

Wenn Ihr in einer Sitzung seit (egal ob RDP, SSH, VCN oder Telnet) drückt einmal die Tastenkombination

STRG - ALT - ⇧ Shift


Dann erscheint ein Menü mit weiteren Punkten und z.B. einer Zwischenablage oder der Möglichkeit die Verbindung auch einfach nur zu trennen:
ClipCapIt-160907-162035.PNG



Umbau auf MySQL Datenbank

Immer wenn wir einen neuen Host hinzufügen wollen oder einen Benutzer oder sogar beides müssen wir jedesmal die

nano /etc/guacamole/user-mapping.xml

bearbeiten - und dann mit

service guacd restart && service tomcat7 restart

alles neu starten - wobei aktive Verbindungen unterbrochen werden usw. ... und gerade bin ich an einem & in der XML Datei fast verzweifelt ....

Wenn wir Gucamole mit MySQL verbinden können wir die Konfiguration dynamisch ohne Neustart ändern - und das ganze auch noch in der Weboberfläche machen.
Also her damit!



MySQL installieren

Falls es noch nicht auf eurem Server ist muss MySQL erst einmal installiert werden:

apt-get install mysql-server mysql-client



MySQL Extension herunterladen und entpacken

Also, wir haben hier die Version

0.9.9

installiert - also brauchen wir auch die Extension in der passenden Version dazu:

http://sourceforge.net/projects/guacamole/files/current/extensions/
Important.png
Hinweis: Bis zur Version 0.9.5 gabe es eine extra MySQL Version - ab 0.9.6 ist diese in der JDBC-Version!



Also wechseln wir wieder in src' Verzeichnis und laden es direkt herunter:

cd /usr/src/
wget http://downloads.sourceforge.net/project/guacamole/current/extensions/guacamole-auth-jdbc-0.9.9.tar.gz
tar xvzf guacamole-auth-jdbc-0.9.9.tar.gz
cd guacamole-auth-jdbc-0.9.9/mysql/




Lib-Dateien kopieren

Die Datei guacamole-auth-jdbc-mysql-0.9.9.jar aus dem Unterverzeichnis

/usr/src/guacamole-auth-jdbc-0.9.9/mysql/

müssen in das in der guacamole.properties angegebene lib-directory kopieren.
Alternativ kopieren wir die Dateien woanders hin und passen den Pfad an *g*.
Zielpfad ermitteln:

cat /etc/guacamole/guacamole.properties | grep lib

Ausgabe:

lib-directory: /var/lib/tomcat7/webapps/guacamole/WEB-INF/classes

also dorthin damit:

cp /usr/src/guacamole-auth-jdbc-0.9.9/mysql/guacamole-auth-jdbc-mysql-0.9.9.jar /var/lib/tomcat7/webapps/guacamole/WEB-INF/classes/




MySQL Connector herunterladen und kopieren

Guacamole braucht unbedingt eine

mysql-connector-java-x.x.xx-bin.jar

die wir leider erst einmal haben müssen. In der offziellen Anleitung ist das Ding einfach mit im heruntergeladenen Paket - ist es aber nicht!

cd /usr/src/
wget http://dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.39.tar.gz
tar xvzf mysql-connector-java-5.1.39.tar.gz
cp /usr/src/mysql-connector-java-5.1.39/mysql-connector-java-5.1.39-bin.jar /var/lib/tomcat7/webapps/guacamole/WEB-INF/classes/



Euer Verzeichnis müsste dann etwas so aussehen:

ls -l /var/lib/tomcat7/webapps/guacamole/WEB-INF/classes/


root@ubuntu-test:/usr/src# ls -l /var/lib/tomcat7/webapps/guacamole/WEB-INF/classes/
insgesamt 4808
-rw-r--r-- 1 root    root    3917889 Sep  7 16:29 guacamole-auth-jdbc-mysql-0.9.9.jar
-rw-r--r-- 1 tomcat7 tomcat7    1549 Jan 13  2016 logback.xml
-rw-r--r-- 1 root    root     989497 Sep  7 16:31 mysql-connector-java-5.1.39-bin.jar
drwxr-xr-x 3 tomcat7 tomcat7    4096 Sep  7 13:57 net
drwxr-xr-x 3 tomcat7 tomcat7    4096 Sep  7 13:57 org




MySQL Datenbank und Benutzer anlegen

Nun brauchen wir noch eine Datenbank mit passenden Benutzer dazu:

mysql -u root -p -e "create database guacamole"
mysql -u root -p -e "grant all on guacamole.* to guacamole@localhost identified by 'guacamole'"


Es gibt nun also die Datenbank guacamole auf die der Benutzer guacamole mit dem Passwort guacamole Zugriff hat.
Keine Angst - der kann nur local auf die Datenbank zugreifen, ein Zugriff aus dem Internet ist nicht möglich.



Schema in MySQL importieren

Die liegen unter

/usr/src/guacamole-auth-jdbc-0.9.9/mysql/schema/

und müssen nur importiert werden - am besten gleich unter unserem neu anlegten Benutzer:

mysql -uguacamole -pguacamole guacamole < /usr/src/guacamole-auth-jdbc-0.9.9/mysql/schema/001-create-schema.sql
mysql -uguacamole -pguacamole guacamole < /usr/src/guacamole-auth-jdbc-0.9.9/mysql/schema/002-create-admin-user.sql




guacamole.properties an MySQL anpassen

Nun müssen wir noch die Konfigurationsdatei ändern.
Zu Zeit steht da noch drin das die Authentifizierung über die

/etc/guacamole/user-mapping.xml

erfolgen soll - und das müssen wir auf MySQl und die Datenbank ändern:

nano /etc/guacamole/guacamole.properties

und den Inhalt wie folgt ändern:

# genaue Beschreibung der Paramter siehe unter
# http://guac-dev.org/doc/gug/configuring-guacamole.html#initial-setup
# -------------------------------------------------------------------- 

# Hostname und Port des Servers auf dem der Guacamole-Server läuft
guacd-hostname: localhost
guacd-port: 4822

# Pfad zu .jar Dateien die vom Client nachgeladen werden können
lib-directory: /var/lib/tomcat7/webapps/guacamole/WEB-INF/classes 

# Welche Methode wird für die Anmeldung verwendet?
# Hier nehmen wir BasicFileAuthenticationProvider der ohne zusätzliche Module auskommt
#auth-provider: net.sourceforge.guacamole.net.basic.BasicFileAuthenticationProvider
# Neuer Eintrag für MySQL - siehe http://guac-dev.org/doc/gug/mysql-auth.html
auth-provider: net.sourceforge.guacamole.net.auth.mysql.MySQLAuthenticationProvider

# BasicFileAuthenticationProvider benötigt eine .xml Datei mit den Benutzername, Passwörter und Verbindungen:
#basic-user-mapping: /etc/guacamole/user-mapping.xml 

# Verbindungsdaten zur MySQL-Datenbank:
mysql-hostname: localhost
mysql-port: 3306
mysql-database: guacamole
mysql-username: guacamole
mysql-password: guacamole


Important.png
Hinweis: Vergesst nicht das # vor auth-provider: net.sourceforge.guacamole.net.basic.BasicFileAuthenticationProvider oder werft die Zeile gleich ganz raus!

Nun noch den Tomcat neu starten:

service tomcat7 restart




An der Webseite Anmelden

Wir melden uns nun an der Guacamole Webseite folgenden Daten an:

Benutzername: guacadmin
Passwort:     guacadmin

ClipCapIt-160907-163851.PNG

Oben Rechts ist das Menü in welchem Ihr die Settings aufrufen solltet:
ClipCapIt-160907-171609.PNG
Geht dann auf den Reiter Preferences und wählt den guacadmin aus:
ClipCapIt-160907-172253.PNG
Dort verpasst Ihr diesem erst einmal ein neues Passwort:
Ich empfehle einen neuen Administrations-Benutzer anzulegen und den guacadmin zu öschen oder zu deaktivieren.



Alternativ: Authentifizierung an Guacamole deaktivieren

Es ist auch möglich die Anmeldeseite von Guacamole ganz abzuschalten - um z.B. andere Sicherheitsmechanismen zu nutzen oder für die interne Verwendung.
Allerdings kann dan JEDER der die Guacamole-Webseite aufruft auf alle Verbindungen zugreifen!
Aber man muss ja in den Verbindungen kein Passwort speichern.
Ausserdem lassen sich die Verbindungen nicht über das Webinterface verwalten sondern wieder nur über eine .XML-Datei.



Vorraussetzungen

Ihr solltet zunächste eine ganz normale Installation machen und testen - also mit der Anmeldung an der Webseite und ein oder 2 Testverbindungen.
Aber OHNE das MySQL-Modul.
Wenn das funktioniert macht hier weiter!



NoAuth-Plugin herunterladen

Achtung: Anleitung für die Version

0.9.9

Download:

cd /usr/src/
wget http://downloads.sourceforge.net/project/guacamole/current/extensions/guacamole-auth-noauth-0.9.9.tar.gz
tar xvzf guacamole-auth-noauth-0.9.9.tar.gz
cd guacamole-auth-noauth-0.9.9/




Lib-Dateien kopieren

alle Dateien aus dem Unterverzeichnis

/usr/src/guacamole-auth-noauth-0.9.9/lib

müssen in das in der guacamole.properties angegebene lib-directory
Oder wir kopieren die Dateien woanders hin und passen den Pfad an *g*.

cat /etc/guacamole/guacamole.properties | grep lib
lib-directory: /var/lib/tomcat7/webapps/guacamole/WEB-INF/classes

also dorthin damit:

cp /usr/src/guacamole-auth-noauth-0.9.9/lib/* /var/lib/tomcat7/webapps/guacamole/WEB-INF/classes/




guacamole.properties an NoAuth anpassen

Nun müssen wir noch die Konfigurationsdatei ändern.
Zu Zeit steht da noch drin das die Authentifizierung über die

/etc/guacamole/user-mapping.xml

erfolgen soll - und das müssen wir auf abschalten indem wir auf das NoAuth-Modul verweisen und die neue Datei für die Verbindungen angeben:

nano /etc/guacamole/guacamole.properties

und den Inhalt wie folgt ändern:

 auth-provider: net.sourceforge.guacamole.net.auth.noauth.NoAuthenticationProvider


Nun noch den Tomcat neu starten:

service tomcat7 restart




noauth-config.xml anlegen

Die Verbindungen werden nun zentral in der Datei

nano /etc/guacamole/noauth-config.xml

gepflegt:

<configs>
 
        <!-- Beispiel RDP-Verbindung -->
        <!-- Parameter siehe http://guac-dev.org/doc/gug/configuring-guacamole.html#rdp -->
        <!-- Aber bitte die etwas andere Schreibweise beachten! -->
        <config name="RDP Terminalserver" protocol="rdp">
                <param name="hostname" value="192.168.42.85" />
                <param name="port" value="3389" />
                <param name="disable-audio" value="true" />
                <param name="server-layout" value="de-de-qwertz" />
                <param name="ignore-cert" value="true" />
        </config>
 
        <config name="SSH Zabbix-Server" protocol="ssh">
                <param name="hostname" value="192.168.42.15" />
                <param name="port" value="22" />
        </config>
 
</configs>


Im Anschluss die Dienste einmal neu starten

service guacd restart && service tomcat7 restart

und dann könnt Ihr testen - also eure Guacamole-Webseite aufrufen. Die hat dann zwar oben rechts noch einen Button zum Abmelden - der ist nun aber ohne Funktion.

Important.png
Hinweis: Nach jeder Konfigurationsänderung müsst ihr zumindest den Tomcat neu starten. Dabei werden dann leider alle bestehenden Verbindungen unterbrochen




Direkte Links

Mit der NoAuth-Erweiterung funktionieren nun auch direkte Links! Wenn ich z.B. die obige Testverbindung

<config name="RDP Terminalserver" protocol="rdp">

also mit dem Namen

RDP Terminalserver

aufrufe startet er mit einen neue Tab

http://192.168.42.15:8080/guacamole/client.xhtml?id=c%2FRDP%20Terminalserver

Das%20 stehen dabei für das Leerzeichen.
Den Link kann ich nun auch immer direkt aufrufen - oder auch auf anderen Webseiten darauf verklinken, z.B. aus einem Wiki heraus!



Dateiaustausch in Remotedesktop Sitzungen

Eine richtig tolles Feature ist der Dateiaustausch bei RDP-Sitzungen.
Obwohl das ganze in einem eingeschränktem Webbrowser läuft bekommt man so sehr leicht eine Datei hoch- oder runtergeladen.


Vorbereitung

Wir benötigen mindestens einen Ordner auf unserem Linux-Host für den Dateiaustausch:

mkdir /home/tausch
chmod 777 /home/tausch

Der Benutzer unter dem der Dienst guacd läuft muss volle Zugriffsrechte auf diesen Ordner haben.
Wenn Ihr nichts geändert habt läuft der Dienst als Benutzer root - und habt auch als dieser den Ordner angelegt.


Konfiguration der Verbindung

In einer RDP-Verbindung wählen wir nun folgende Optionen

Enable drive .............: X
Drive path ...............: /home/tausch
Automatically create drive: X


ClipCapIt-160907-204713.PNG


Das ist schon alles. Sind wir nun Verbunden wird uns der Ordner unter dem Arbeitsplatz angezeigt:

Guacamole-Ubuntu-14.04-Apache-Reverse-Proxy-012.png


Zum Testen zieht nun einfach eine Datei in das Browserfenster:

Guacamole-Ubuntu-14.04-Apache-Reverse-Proxy-013.png

Die Dateien erscheinen dann innerhalb des Ordners - ggf. einmal F5 drücken.

Wollt Ihr eine Datei herunterladen so schiebt diese einfach in den Order Download:

Guacamole-Ubuntu-14.04-Apache-Reverse-Proxy-014.png Guacamole-Ubuntu-14.04-Apache-Reverse-Proxy-015.png


Er lädt die Datei dann runter und mit dem Klick auf den Link könnt Ihr diese lokal speichern.



Kommentare

Kommentare


Chris

19 Tage zuvor
Punkte 0+-

Hi,

erstmal danke für die Anleitung.

Ich habe alles so gemacht wie du beschrieben hast auf einem frischen Ubuntu und es funktioniert bis dahin wo ich auf Mysql umstelle. Mit Basic-User-Auth funktioniert alles aber nach der MySQL umstellung bekomme ich beim Anmelden den Fehler "Anmeldungsfehler" mit dem User guacadmin:guacadmin

Das hatte ich gestern auch als ich meine bestehende guacamole Installation geupdatet habe. Da dachte ich mach einfach mal alles neu aber wieder genau der gleiche Fehler.

Hast du eine Idee?

18 Tage zuvor
Punkte 0+-

Als Fehler in Catalina.out bekomme ich:

21:31:58.165 [http-bio-8080-exec-1] WARN o.a.g.r.auth.AuthenticationService - Authentication attempt from 10.0.1.124 for user "guacadmin" failed.

18 Tage zuvor
Punkte 0+-
Irgendwie scheint die MySQL abfrage überhaupt nicht stattzufinden. Ich kann in der guacamole.properties z.b. einen falschen Datenbanknamen oder Benutzer eingeben und es kommt immer die gleiche Fehlermeldung wie oben.

BLinz

18 Tage zuvor
Punkte 0+-

Moin, also wenn man es genau(!) nach meiner Anleitung macht sollte es funktionieren. Ich nutze selbst meine eigene Anleitung und habe so neulich auch den Wechsel auf die aktuelle Version vollzogen. Aber ich hatte leider genau das gleiche Problem wie du und daran fast 2 Stunden herumgesucht. Mein Fehler war das ich bei der Umstellung auf den SQL-Provider nicht den BasicAuth-Provider deaktiviert hatte. Schaue dir noch mal genau den Abschnitt

  1. guacamole.properties_an_MySQL_anpassen
an! Da muss ein Kommentar-Zeichen vor den bisherigen Eintrag und dann die neuen Einträge hinzufügen.

Chris

17 Tage zuvor
Punkte 0+-

Sollte doch richtig sein. Das kann doch nicht sein, das das nicht funktioniert. Wahrscheinlich ist es was ganz banales.

  1. genaue Beschreibung der Paramter siehe unter
  2. //guac-dev.org/doc/gug/configuring-guacamole.html#initial-setup
  3. --------------------------------------------------------------------
  1. Hostname und Port des Servers auf dem der Guacamole-Server läuft

guacd-hostname: localhost guacd-port: 4822

  1. Pfad zu .jar Dateien die vom Client nachgeladen werden können

lib-directory: /var/lib/tomcat7/webapps/guacamole/WEB-INF/classes


  1. Welche Methode wird für die Anmeldung verwendet?
  2. Hier nehmen wir BasicFileAuthenticationProvider der ohne zusätzliche Module auskommt
  3. auth-provider: net.sourceforge.guacamole.net.basic.BasicFileAuthenticationProvider
  1. Neuer Eintrag für MySQL - siehe //guac-dev.org/doc/gug/mysql-auth.html

auth-provider: net.sourceforge.guacamole.net.auth.mysql.MySQLAuthenticationProvider

  1. Lister der Sprachen der Weboberfläche einschränken

available-languages: en, de

  1. BasicFileAuthenticationProvider benötigt eine .xml Datei mit den Benutzername, Passwörter und Verbindungen:
  2. basic-user-mapping: /etc/guacamole/user-mapping.xml


  1. Verbindungsdaten zur MySQL-Datenbank:

mysql-hostname: localhost mysql-port: 3306 mysql-database: guacamole

mysql-username: guacamole

BLinz

17 Tage zuvor
Punkte 0+-

Das "basic-user-mapping" muss auch auskommentiert sein.

sonst kopier dir doch mal den Text von oben in deine Datei

17 Tage zuvor
Punkte 0+-
Das ist bei mir auskommentiert. Bie Copy&Paste hier in das Kommentarfeld ist die # weg.
Kommentar hinzufügen:
Gebe hier einen Kommentar ein. Du kannst einen beliebigen Namen oder eine Email-Adresse als Namen angeben.

Wenn du dich einloggst wird automatisch dein Benutzername genommen.
Du kannst KEINE Links hier posten - das wurde wegen anhaltender Werbung deaktiviert. Sobald ein '''http://''' im Text vorkommt wird der Kommentar verworfen Alle anderen Steuerzeichen oder Funktionen wie < br > werden ausgefiltert - zum Posten von Quelltexten ist diese Funktion hier nicht geeignet.

Falls du dringendere Fragen hast kannst du auch das Support-System von znil.net nutzen unter support.znil.net