Apr 2020
1 / 19
Apr 2020
Jan 2021
RalfBeckerEGroupware GmbH
Apr '20
1

Ich habe gerade einen häufigen Fehler in die Troubleshooting Sektion der Installationsanleitung aufgenommen:

NLA-error

NLA-error-german

Remote Desktop Protokol muss eingeschaltet sein UND Authentifizierung auf Netzwerkebene muss ausgeschaltet sein (oder Benutzername und Passwort müssen in der Verbindung gespeichert werden)

NLA-Dialog

NLA-Dialog-German

Authentifizierung auf Netzwerkebene ist eine Sicherheitsmaßnahme um das Risiko von Remotedesktop die direkt im Internet erreichbar sind zu verringern. Das ist nicht der Fall mit Guacamole das den Desktop per HTML5 verfügbar macht, mit starker Authentifizierung aus der EGroupware wie Zwei-Faktor-Authentifizierung oder WebAuth Keys.

Die bisherigen Tests bei Kunden sind bis jetzt sehr erfolgreich verlaufen :slight_smile:

Ralf

  • created

    Apr '20

  • last reply

    Jan '21
  • 18

    replies

  • 5.0k

    views

  • 3

    users

  • 14

    links

  • 6
    6
StefanUEGroupware GmbH
Apr '20

Hallo Ralf,

ich habe das einmal auch mit der gleichlautenden Einstellung unter Windows (10) probiert:

grafik

grafik
grafik.png770x365 66.3 KB

Funktioniert bei mir!
Anscheinend kann das Guacamole doch?

Ich bin mir aber auch nicht sicher, was da die beste, sicherste und sinnvollste Einstellung ist. Vielleicht kann ein Windows-Kundiger das hier mal erklären?
Wenn nötig, müssen wir die Einstellung nach EGw hochziehen.

Zudem scheint wohl zwingend zu sein, Ignore certificate zu aktivieren:

grafik

Zumindest in meiner Umgebung war das für Win7 als auch Win10 notwendig.

Beide Windows-Testsystem funktionieren alternativ auch gut mit VNC.

Zwei Test-Verbindungen mit ssh funktionieren auch klaglos.

Stefan

RalfBeckerEGroupware GmbH
Apr '20

Hatte ich ja auch so geschrieben: entweder schaltet man es aus, oder man speichert Benutzername und Passwort (im Klartext) in der Datenbank.

Ich würde immer ersteres Vorziehen. Es gibt bei Guacamole auch einen Feature Request das man bei NLA ohne gespeichertes Passwort einen eigenen Dialog zur Eingabe bringt …

Kann ich so bestätigen, deswegen habe ich es auch in die EGroupware UI mit aufgenommen, habe nur vergessen es für neu Verbindungen automatisch abzuhaken. Font smoothing würde ich auch direkt vorauswählen, sieht relative furchtbar aus ohne.

Mit meinem Mac habe ich VNC bisher noch nicht ans Laufen gebracht, aber auch nicht intensive versucht.

Ja, hatten wir ja schon im Webinar gezeigt. Ich kann auch Public Key dort speichern und werde beim Verbindungsaufbau nach der Passphrase gefragt.

Ralf

RalfBeckerEGroupware GmbH
Apr '20

Noch ein kleiner Nachtrag zum Thema Network Level Authentication: Es gibt einen Pull Request bei Guacamole das wenn NLA als Verbindungssicherheit eingestellt ist und KEIN Benutzer/Passwort angegeben, danach gefragt werden soll:

Ich hoffe mal das schafft es in deren nächstes Release.

Ralf

grefabu
Apr '20

Genau die Funktion habe ich gerade gesucht.

Grundsätzlich würde ich ungern NLMA abschalten:

Das ist auch nicht nur ein Problem, wenn der Host von außen erreichbar ist, es reicht evtl. schon ein infizierter Host im Netzwerk und der Einbrecher hangelt sich weiter. RDP sollte von Außen nicht verfügbar sein:

Gregor

grefabu
Apr '20

Das ist klar, das ist das Zertifikat der AD Domäne oder das entsprechend selbstsignierte des Rechners.
Entspricht dem Ignorieren von Zertifikaten im Browser

RalfBeckerEGroupware GmbH
Apr '20

Zum Testen kannst Du natürlich die Credentials der Testmaschinen und -benutzer mal in Guacamole hinterlegen.

Ich würde mal ein paar Tage abwarten wie das mit einem neuen Guacamole Release sich so entwickelt. Im Prinzip können wir sicher auch einen eigenen Container bauen, da ist halt vermutlich ein Aufwand von 1-2 Manntagen mit verbunden (beim ersten Mal).

Ralf

RalfBeckerEGroupware GmbH
Apr '20

Ging schneller als ich dachte:

@ralfbecker: This will not be in the next release, as the scope for 1.2.0 has been set, already, and this is not included. Hopefully it’ll follow pretty quickly after that, but for 1.2.0 we are focusing on fixing some of the issues introduced by 1.1.0 and the shift to FreeRDP 2, along with a handful of other functionality enhancements.

Müssen wir halt mal schauen. Ich glaube noch nicht, das wir das ohne einen weiteren Sponsor angehen werden, da es - wie schon geschrieben - mit 1-2 Manntagen Aufwand verbunden wäre, eigene Container mit dem integrierten Pull Request zu bauen.

Ralf

8 months later
grefabu
Dec '20

Moin,

ist das Thema mit NLA im aktuellen guacamole Client eigentlich durch? Ich würde das dann mal testen.

Grüße

Gregor

RalfBeckerEGroupware GmbH
Dec '20

In der aktuellen 1.2.0 ist es leider noch nicht drin.

Der Pull Request2 ist inzwischen geschlossen mit Hinweis auf die Version 1.3.0, die bisher noch nicht released ist. Konnte nix dazu finden wie lange das noch dauern mag …

Ralf

StefanUEGroupware GmbH
Dec '20

Hi Gregor.

Da hilft meist ein Blick in die Mailingliste:
http://mail-archives.apache.org/mod_mbox/guacamole-user/202011.mbox/<CAFjj600kqz3dbUyUS_1ZnEeubPEEJ6QwQ3ESuTU8gdZwx6wg-g%40mail.gmail.com>

Es gibt aber keinen Termin. Hier gilt: Fertig wenn fertig. Wird aber vermutlich nicht mehr sehr lange dauern…

Hier schon einmal ein Überblick was (vermutlich) enthalten sein wird:
http://mail-archives.apache.org/mod_mbox/guacamole-dev/202009.mbox/<CALKeL-Ny5WacJ8GTUMNoHNP5RepOCAMw1D2LHSzaamH-LOc7ew%40mail.gmail.com>1
Details dann im Jira:
https://issues.apache.org/jira/projects/GUACAMOLE/issues/GUACAMOLE-1239?filter=allopenissues

Fürs Testen müsstest du hier lauern:
https://hub.docker.com/r/guacamole/guacamole/tags?page=1&ordering=last_updated1

Release notes wird es dann hier geben:
https://guacamole.apache.org/releases/3

Stefan

11 days later
StefanUEGroupware GmbH
Jan '21

Hi Gregor.

Guacamole 1.3.0 ist nun veröffentlicht und auch von uns frei gegeben:

Es ist nun möglich Verbindungen mit NLA einzurichten. Bringt dann mit sich, dass die Eingabe der Credentials in im Browser statt findet.

Ich schließe damit auch dieses Thema.

GitHub-Wiki korrigiere ich noch…

Stefan

grefabu
Jan '21

Die Meldung habe ich schon gesehen, ich werde das update evtl. heute Abend einspielen.

Vielen Dank!

grefabu
Jan '21

Läuft wie geschmiert, gerade wenn eg-konto = Windows Konto,…

StefanUEGroupware GmbH
Jan '21

Aber mit Anmeldung am Win-PC, richtig?
Oder speicherst du die Credentials in Guacamole?

Stefan

grefabu
Jan '21

Nein, gerade deswegen war mir die NLA Geschichte so wichtig.

Aber die Credentials kommen aus dem Browser,… Bin jetzt gerade davon ausgegangen, das hier auch die Credentials durch EGroupware weitergegeben werden.

Mit einem anderen Browser werden diese dann nicht automatisch ausgefüllt.

StefanUEGroupware GmbH
Jan '21

Du meinst aus der Browser-Passwort-Verwaltung?
Hoffentlich mit einem Master-Passwort abgesichert (und somit verschlüsselt).

Wir bekommen die Anmeldedaten aktuell nicht aus der EGw zur Anmeldung an Guacamole weiter gegeben. Leider. Hatten das die Tage noch diskutiert.
Die Credentials welche du in Guacamole für die Verbindung eintragen kannst werden von Guacamole in der DB unverschlüsselt abgelegt. Nicht empfehlenswert das dort zu hinterlegen.

Stefan

grefabu
Jan '21

Aber natürlich.

Das war der Grund, warum das Feature so wichtig war,…