wir diskutieren hier den Einsatz von EGW Guacamole und haben die Vorgabe den/einen guacad auf einer separaten Maschine zu installieren. Das würde dann so aussehen müssen, wie in der Grafik.
Wir nehmen an, dass die EGW Installation von Guacamole den roten und den grünen Kasten in jeweils einem Docker Container installiert. Ist das richtig?
Könnte man auch nur den roten Teil installieren und an einen separaten guacad server anbinden?
beste Grüße
Rainer Lillischkis
Hochschule Kaiserslautern
Jein.
Sind zwei Container, richtig.
guacd ist die Seite, welche per VNC, RDP, SSH, (…) mit den Clients spricht.
guacamole stellt das Web-Interfache bereit, in welchem du im Browser arbeitest.
Anders als in der Grafik speichern wir Konfigurationen in der bereits vorhandenen EGroupware-Datenbank (in entsprechenden Tabellen). Die Benutzer kommen per View als nur lesend aus der EGroupware-Benutzer-Datenbank.
Da siehst du schon, dass man für euer Vorhaben etwas anders machen muss.
Grundsätzlich könnte man verschieden Ansätze andenken. Man muss sich halt Gedanken über Authentifiziereung (Machen wir per OAuth gegen EGW), Datenablage in DB, Kommunikation zwischen beiden Containern, usw. machen. In einer EGw/Guacamole-Standard-Installation ist das per Einzeiler installiert, konfiguriert und simpelst zusammen gebaut. Da musst du nicht entscheiden/konzipieren.
Ich hatte das mal mit Ralf andiskutiert für einen zweiten Firmenstandort den guacd dort hin zu setzen. Haben wir dann aber nie umgesetzt, weil das bei der benötigten Bandbreite und Latenz (CZ => D => CZ) auch so gut funktioniert.
Ansonsten kann ich dir die Frage nicht wirklich beantworten. Vielleicht Ralf über eine Support-Anfrage.
Machen wir aber nicht wirklich gerne für einen solchen Fall. Das geht von der Zeit für EGroupware ab.
Von mir zwei Vorträge dazu, auch zur technischen integration:
Weil es aus Sicherheitbedenken nicht erlaubt wird eine hardware zu betreiben, die gleichzeitig in der DMZ und im internen Netz verbunden ist.
Ob das gut und richtig ist, kann ich nicht beurteilen. Für mich wäre es aber ideal, wenn ich Guacamole aus der EGroupware betreiben könnte, weil die Nutzerverwaltung dann nicht noch einmal aufgesetzt werden müsste. (Wir haben die EGW Nutzer in der Datenbank, keine andere Authentifizierung.)
Könnte man nicht die yml Datei ändern, und damit einen anderen guacad nutzen?
Der guacd muss die PCs (per RDP, …) erreichen können.
EGroupware habt ihr nicht in der DMZ(?).
Pass für mich nicht zusammen.
Du kannst die Benutzer auch in der EGw-DB haben wenn du EGw gegen AD oder LDAP betreibst. Dann kannst du die Benutzer zyklisch in die DB kopieren lassen.
Wenn du eine weitere Stelle mit Benutzern aufbauen würdest, müssten die Benutzer auch Synchron laufen und die Authentifizierung zusammen gebracht werden. Willst du nicht…
Hat damit nichts zu tun. Kommunikation und Auth sind das Thema.
Du müsstest erst einmal mit der Stelle welche die Anforderung stellt die Architektur klären.
ich denke das sollte funktionieren, falls das für Dein RZ ok ist:
EGroupware und Guacamoe läuft weiter in der DMZ
Guacd läuft intern UND ist von dem EGroupware in der DMZ erreichbar
In der docker-compose.override.yml, würden wir statt guacd einen dummy container starten, der direkt wieder stoppt und über extra_hosts die Adresse des echten guacd dem Guacamole Container geben.
Auf dem internen Rechner würde ich dann auch ein abgespecktes docker-compose.yml legen, das guacd und Watchtower startet.
Wenn Du 2 Stunden Support kaufst, und die neue interne Kiste mal als leere Ubunut/Debian VM installierst, können wir uns das gerne mal zusammen anschauen.
Ja, was ich in Erinnerung habe, gibt es keine DMZ, sondern nur interner und externe Rechner und dazwischen darf es keine Verbindung geben. Wenn dem so ist, kann weder Guacamole noch irgend eine andere Remote Access Lösung funktionieren …
Ich glaube das Problem ist (ohne Gespräch mit dem für die Sicherheitsrichtlinien Verantwortlichen) nicht zu lösen.
Eine andere Alternative wäre einen reinen Proxy in der DMZ, und EGroupware rein intern, ist vielleicht sogar die schönere Lösung, setzt aber auch eine DMZ voraus …
Ich muss gestehen, dass mir der Begriff DMZ vielleicht nicht ganz klar ist. Hier wird von DMZ gesprochen, wenn ein Rechner mit einer IP aus dem Internet erreichbar ist, ohne dass wir einen VPN Zugang nutzen.
Die EGroupware sitzt da, weil sie sonst kein let´s encrypt certifkat bekommen hätte.
Und Ralf erinnert sich richtig, das es bei uns verboten war/ist eine Maschine extern und intern zu verbinden.
Ich gebe Euren Vorschlag jetzt zur Begutachtung weiter und warte mal ob ich dafür grünes Licht bekomme. Wenn das klappt melde ich mich mit einer Support Anfrage bei Euch.
Willkommen im EGroupware-Community-Forum.
Welcome to the EGroupware community forum.
Feb '24
