guacamole-user mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From XAVIER HENRY <xavier.he...@ut-capitole.fr>
Subject Re: RES: [DISCUSS] Improving Guacamole Administration
Date Fri, 28 Jul 2017 10:03:02 GMT
Hello,

While waiting a solution for user group, I create a python script to 
populate mysql database from LDAP server.

This script :
     - create users,
     - associate user with existing connection or group connexion

The script is not perfect but it's a beginning ...

If you are interresting, the source code is here : 
https://github.com/union31xh/Guacamole_sync_ldap

My architecture is like this :



Xavier

Le 28/07/2017 02:08, Thiago dos Santos Nunes a écrit :
>
> Hi Nick,
>
> Pax!
>
> Let's answer what I think would be interesting to work with guacamole 
> with regard to the administration panel. I myself was one of the 
> people who opened tickets on that. I will take advantage of and post 
> the links of the tickets that can help for future conference on the 
> administrative panel:
>
> https://issues.apache.org/jira/browse/GUACAMOLE-248
>
> https://issues.apache.org/jira/browse/GUACAMOLE-221
>
> https://issues.apache.org/jira/browse/GUACAMOLE-220
>
> https://issues.apache.org/jira/browse/GUACAMOLE-182
>
> Today I work with a Guacamole server pool with MANY different clients 
> directly connected to this pool (0.9.12 - MySQL) accessing their 
> respective accounts and accessing their servers, only my team manages 
> everything, including the creation of connections and users. We have 
> problems because we can not release the administration to the clients 
> and we can not let them associate the connections to the users (and if 
> they associate the wrong connection intentionally they will connect in 
> the server of another client).
>
> Now what I think could be done:
>
> * Batch management of user groups with different permissions 
> (including different password permissions for each group, same in AD 
> as we do for different OUs). Changing passwords of all users in a 
> group at the same time or setting up for the exchange all that group 
> would be fantastic. You can associate connections to user groups and 
> not user per user (do this with 300-500 users and you will see the 
> hell it is). Also the option to create users in batch via txt, csv, 
> would be great.
>
> * Delegated administration of user groups: Create a sub administrator 
> of a specific group of users with the permission to create users, 
> change passwords, associate connections to these users. It would be 
> essential if sub-administrators could have specific permissions, such 
> as ACLs themselves, type, associate, but not read or write connections 
> (not to see the passwords associated with the connections, changing 
> the number of concurrent connections is also a problem), Or could read 
> but not record, or do all that. Ditto do the same for user groups 
> (create users, change passwords, etc.). It would also be desirable for 
> administrators to view their users' specific sessions and kill only 
> those sessions.
>
> * The connection template would be great if we could modify what we 
> wanted inside the child connections, even if it is part of the 
> template. And also force the template application on all child 
> connections.
>
> * It would also be great if we could block the number of simultaneous 
> accesses within a group of connections and force this on the number of 
> hits on the specific connections (I have 50 connections in a group and 
> instead of going one by one I change something in the group And 
> command to force ON connections - such as the per-user limit or the 
> total limit). And also the connection option in blocking inheritance.
>
> * Applying a specific configuration to a group of connections at the 
> same time and associating them for example to a template at the same 
> time would be great. The bad part of both users and connections is 
> having to do everything on hand one by one. It becomes impractical 
> when you have too many connections.
>
> GUACAMOLE is a fantastic solution and I am a great enthusiast of it. 
> Thank you so much for listening!
>
> God be with you!
>
> Original text below:
>
> Hi Nick,
>
> PAX!
>
> Vamos responder sobre o que acho que seria interessante de trabalhar 
> com o guacamole no que se refere ao painel de administração. Eu mesmo 
> fui uma das pessoas que abriram tickets sobre isso. Vou aproveitar e 
> postar os links dos tickets que possam ajudar para conferência futura 
> sobre o painel administrativo:
>
> https://issues.apache.org/jira/browse/GUACAMOLE-248
>
> https://issues.apache.org/jira/browse/GUACAMOLE-221
>
> https://issues.apache.org/jira/browse/GUACAMOLE-220
>
> https://issues.apache.org/jira/browse/GUACAMOLE-182
>
> Hoje eu trabalho com um pool de servidores Guacamole com MUITOS 
> clientes diferentes conectados diretamente neste pool (0.9.12 – MySQL) 
> acessando suas respectivas contas e acessando seus servidores, só a 
> minha equipe administra tudo, inclusive a criação de conexões e de 
> usuários. Temos problemas pois não podemos liberar a administração 
> para os clientes e também não podemos deixar eles (os clientes) 
> associarem as conexões aos usuários (e se eles associarem a conexão 
> errada intencionalmente vão conectar no servidor de outro cliente).
>
> Agora o que acho que poderia ser feito:
>
> * administração em lote de grupos de usuários com permissões 
> diferentes (incluindo permissões de senhas diferentes para cada grupo, 
> igual no AD que fazemos por OU diferentes). Troca de senhas de todos 
> os usuários de um grupo ao mesmo tempo ou setar para a troca todo 
> aquele grupo seria fantástico. Você poder associar as conexões aos 
> grupos de usuários e não usuário por usuário (faça isso com 300-500 
> usuários e vai ver o inferno que é). Também a opção de criação de 
> usuários em batch via txt, csv, seria ótimo.
>
> * Administração delegada de grupos de usuários: Criar um sub 
> administrador  de um grupo específico de usuários com a permissão de 
> criar usuários, trocar senhas, associar conexões a estes usuários. 
> Seria essencial se os sub administradores pudessem ter permissões 
> específicas, como ACL´s mesmo, tipo, associar, mas não ler nem gravar 
> as conexões  (para não verem as senhas associadas às conexões, alterar 
> o número de conexões simultâneas também é um problema), ou pudessem 
> ler, mas não gravar, ou fazer tudo isso. Idem fazer o mesmo para os 
> grupos de usuários (criar usuários, trocar senhas, etc). Seria 
> desejável também que os administradores visualizassem as sessões 
> específicas dos seus usuários e pudessem matar apenas essas sessões.
>
> *O template de conexão seria ótimo se pudéssemos modificar o que 
> queríamos dentro das conexões filho, mesmo que faça parte do template. 
> E também forçar a aplicação do template em todas as conexões filho.
>
> * Também seria ótimo se pudéssemos bloquear o número de acessos 
> simultâneos dentro de um grupo de conexões e forçar isso sobre o 
> número de acessos presentes nas conexões específicas (tenho 50 
> conexões em um grupo e ao invés de ir uma a uma eu altero algo no 
> grupo e mando forçar SOBRE as conexões  - como por exemplo o limite 
> por usuário ou o limite total). E também a opção na conexão de 
> bloquear a herança.
>
> * Aplicar uma configuração específica à um grupo de conexões ao mesmo 
> tempo e associar elas por exemplo à um template ao mesmo tempo seria 
> ótimo. A parte ruim tanto de usuários quanto de conexões é ter que 
> fazer tudo na mão um a um. Fica impraticável quando se tem muitas 
> conexões.
>
> GUACAMOLE é uma solução fantástica e sou um grande entusiasta dela. 
> Muito obrigado por nos ouvir!
>
> Fique com DEUS!
>
> *Aude et Effice!
> *Assinatura E-mail
>
> *De:* Thiago dos Santos Nunes [mailto:thiago@DIGITALINFORMATICA.COM.BR]
> *Enviada em:* quinta-feira, 27 de julho de 2017 07:33
> *Para:* user@guacamole.incubator.apache.org
> *Assunto:* RES: [DISCUSS] Improving Guacamole Administration
>
> Nick,
>
> I will send na feedback about this. It´s a very interessant thing! 
> Thanks a lot.
>
> Fique com DEUS!
>
> *Aude et Effice!
> *Assinatura E-mail
>
> *De:* Nick Couchman [mailto:nick.couchman@yahoo.com]
> *Enviada em:* terça-feira, 25 de julho de 2017 10:36
> *Para:* user@guacamole.incubator.apache.org 
> <mailto:user@guacamole.incubator.apache.org>
> *Assunto:* [DISCUSS] Improving Guacamole Administration
>
> Hey, Guacamole Users:
>
> One of the items that has come up several times in various 
> Guacamole-related forums is how to make the UI more admin-friendly. 
>  So, I'd like to kick off a discussion on improvements to the various 
> areas of the Guacamole Web Client (user management, connection 
> management being the primary ones) that would make administering a 
> Guacamole system easier.  Here are some examples of things that have 
> been discussed elsewhere:
>
> - Support for groups, particularly in the JDBC and LDAP authentication 
> modules, so that permissions do not have to be managed per-user.
>
> - Ability to select all connections or users in a connection group or 
> tree without having to click on them individually.
>
> - Connection templating/inheritance - the ability to define a 
> top-level connection template and have other connections inherit 
> parameters from that connection.
>
> You're welcome to weigh in (vote, if you like) on the above changes, 
> or suggest other items you think would improve your ability to manage 
> Guacamole.
>
> Looking forward to getting everyone's feedback!
>
> -Nick
>
> !DSPAM:66151,597a808670878350540494! 






Mime
View raw message