Automatisches Logout

Guido 2020-05-30 05:05:35 UTC #1

Guten Morgen,
aus unserer Sicht wären noch folgende Ergänzung/Erweiterung sinnvoll:

Sicherheit: Automatisches Logout aus Guacamole, wenn man die Egroupware verlässt / den Browser schliesst. Vergisst man das manuelle Logout hat sonst der nächste Anwender Zugriff auf alle Guacamole-Verbindungen des Vornutzers, bei gespeicherten Verbindungspasswörtern droht Ungemach.

Viele Grüße,
Guido

Neuanlage neuer Nutzer - Zugriff 'flackert'

StefanU 2020-05-30 07:57:31 UTC #2

Hallo Guido.

Ich kann das von dir beschriebene Verhalten nachvollziehen.

Aktuell ist also im Moment notwendig durch eine organisatorische Maßnahme, sprich manuelles Abmelden von Guacamole:

den unberechtigten Zugriff zu verhindern.

Ich werde dazu ein Ticket aufmachen.

Wir hatten nun bei der (schnellen) Integration kein Szenario vor Augen, in dem sich mehrere Benutzer eine (Windows-)Anmeldung teilen. Das sehe ich kaum in betrieblichen Umgebungen und schon gar nicht im Home Office.

Aber keine Frage: Abmelden EGw sollte ein Abmelden bei Guacamole auslösen.

Wobei dann immer noch das “Problem” besteht: Die Benutzer müssen sich eben auch abmelden. Danach greift sonst erst der Session-Timeout (in Standard 4 Stunden).

Beim Browser schließen hast du erst einmal schlechte Karten. Wobei ich da vielleicht eine Möglichket sehe. Dazu müsste EGw aber jederzeit wissen, ob der Benutzer noch an einem nachgeordneten System angemeldet ist. Muss ich mal die Entwickler konsultieren. Mach ich auch mal ein Ticket auf…

Grundsätzlich muss man natürlich immer darüber nachdenken, ob es sinnvoll ist in die Verbindung die Anmeldedaten zu schreiben. Wenn man das nicht tut und sich vom Zielsystem abmeldet ist die Sicherheit ebenfalls erhöht.
Dazu gehört dann natürlich Disziplin…

Beschreibe doch bitte noch das Szenario, wie/wo das bei dir zu einer solchen Situation kommt.

Stefan

Guido 2020-05-30 09:08:54 UTC #3

Hi Stefan,
ein Beispielszenario …

Admin loggt sich im Windows AD-Useraccount vom Kollegen A während einer Wartung in die Egroupware ein, um per RDP auf dem Mailserver einen Parameter zu ändern.

Anschließend loggt er sich aus der Egroupware aus, aber denkt nicht an zusätzlichen Logout aus Guaca und verlässt den Raum.

Kollege A loggt sich wieder in die Egroupware ein und hat nun die RDP-Freigaben vom Admin auf dem Schirm.

Ideal wäre natürlich wenn sich beide, also die Egroup und auch Guaca beim Schließen des Browsers ausloggen, aber es wäre schon geholfen wenn sich Guaca beim Logout aus der Egroup ebenfalls abmeldet.

Gruß,
Guido

StefanU 2020-05-30 09:24:08 UTC #4

Hmmm…

Das ist aber wirklich kein übliches Szenario. Serveradministration unter einem fremden Benutzer-Account ist heikel und zu vermeiden.
Dann ist aber jemand mit Admin-Verantwortung zu gange. Wenn der sich nicht ordentlich abmeldet…

Ich muss höchstens mal auf das Web-If eines Duckers von einem Arbeitsplatz aus. und da boote ich den PC schon durch.
Für alles andere greifen wir auf den Client-PC per VNC zu und nehmen die administrativen Arbeiten am Admin-PC vor.

Aber OK. Wenn das bei euch so vorkommt ist das so.
Vielleicht ließe sich ja durch eine sinnvolle Integration das Gefummel am Mailserver vermeiden? Oder anders gefragt: Was für eine Tätigkeit würdest du in der Situation am Mailserver durchführen?

Stefan

RalfBecker 2020-05-30 09:39:30 UTC #5

Also auf das Schließen des Hauptfensters, das mit der Navigation, könnte EGroupware auch automatisch mit einem Logout sprich beenden der Session reagieren, dh. das manuelle Ausloggen wäre nicht mehr notwendig. Ich befürchte zwar, dass nicht jeder das gut findet, man könnte dafür aber eine Konfiguration oder persönliche Einstellung machen.

Das ist nur die halbe Miete, wir müssten bei der Guacamole WebApp ein Logout triggern. Dabei haben wir dann immer noch zwei Probleme:

Benutzer kann Verbindung in neuem Tab aufmachen
wir müssten das Trennen entweder am DOM triggern, oder verstehen was man der im Tomcat laufenden Webapp schicken muss (ich befürchte die verwendet aber nur den Websocket).

Guacamole schreibt in Ihrer Doku das man auch einfach einer eigene WebApp bauen kann und nur den Guacd verwenden kann, dafür gibt es eine (wie gut auch immer) dokumentierte API. Das würde viele der von Dir angesprochenen Probleme lösen, allerdings haben wir dafür auch nicht annähern genug Guacamole Benutzer um den Resourceneinsatz von unserer Seite irgendwie zu rechtfertigen!

Ich denke Guacamole ist toll, aber weder Guacamole selbst noch wir haben es bisher geschafft das Teil bekannt zu machen

Ralf

Guido 2020-05-30 10:11:27 UTC #6

Nicht falsch verstehen, das sind nur Verbesserungsvorschläge, ob sich das lohnt oder nicht kann ich natürlich nicht beurteilen.

Ich verwende die Egroupware in unserem Unternehmen schon seit ewigen Zeiten und habe seit dem Umstieg auf die v19 erfreut festgestellt, dass sie mittlerweile dank EPL das Potential hat die meisten Anwendungsanforderungen bei uns abzudecken und als grundsätzliche Anwenderplattform zu fungieren. Meine Idealvorstellung ist mit Hilfe der Egroupware die Festangestellten und Freelancer mit allen notwendigen Tools für ihre Arbeit zu versorgen und dabei den administrativen Aufwand, der bei Einsatz vieler unterschiedlicher Plattformen erheblich ist, zu verringern und das Ganze transparenter zu machen.

Dabei ist Guacamole ein weiterer Baustein, den wir aktuell im Adminbereich testen.

Grundsätzlich läuft Guaca auch erstmal sehr gut so, ich wollte wie gesagt nur Feedback geben was mir bei dieser Anwendung aufgefallen ist. Wie viel Aufwand hinter welcher Funktion steckt, dafür seid ihr die Profis!

Viele Grüße,
Guido

Guido 2020-05-30 10:18:05 UTC #7

@Stefan,
das war nur ein Beispiel von vielen, die hier beschriebene Konfiguration des Mailservers steht stellvertretend für viele administrative Tätigkeiten. Workarounds gibt es natürlich immer und ob diese oder jene administrative Tätigkeit unbedingt an einem Useraccount ausgeführt werden muss, auch darüber kann und darf man geteilter Meinung sein.

Aber die Egroupware hat man sozusagen immer dabei, egal wo man gerade ist, und da kann das doppelte Ausloggen auch mal vergessen werden in der möglichen Eile, weil noch was anderes dringendes nebenan zu tun ist.

Du verstehst sicher, was ich meine …

Viele Grüße,
Guido

RalfBecker 2020-05-30 11:05:45 UTC #8

Das ist ja auch unsere Vision schon seit ein paar Jahren.

Ich freue mich über die rege Diskussion

Wir können natürlich nicht alles was technisch möglich ist ist, einfach so umsetzen.

Ralf

StefanU 2020-05-30 11:06:45 UTC #9

Hi Guido.

Ohh ja…

Und genau die braucht es! Alles gut
Dafür habe ich ja auch genau diese Kategorie angelegt.

Ich werde solche Sachen auch noch einmal in meinem nächsten Artikel zu Guacamole aufgreifen. Es gibt halt Dinge die gehen, die gehen nicht, oder kann man so machen… Man muss nur wissen was man macht. Darum werde ich versuchen die Möglichkeiten so gut es geht zu beschreiben. Brauch aber noch ein paar Tage.

Gruß
Stefan