guacamole-user mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Thiago dos Santos Nunes <thi...@DIGITALINFORMATICA.COM.BR>
Subject RES: [DISCUSS] Improving Guacamole Administration
Date Fri, 28 Jul 2017 00:08:16 GMT
Hi Nick,


Let's answer what I think would be interesting to work with guacamole with regard to the administration
panel. I myself was one of the people who opened tickets on that. I will take advantage of
and post the links of the tickets that can help for future conference on the administrative

Today I work with a Guacamole server pool with MANY different clients directly connected to
this pool (0.9.12 - MySQL) accessing their respective accounts and accessing their servers,
only my team manages everything, including the creation of connections and users. We have
problems because we can not release the administration to the clients and we can not let them
associate the connections to the users (and if they associate the wrong connection intentionally
they will connect in the server of another client).

Now what I think could be done:

* Batch management of user groups with different permissions (including different password
permissions for each group, same in AD as we do for different OUs). Changing passwords of
all users in a group at the same time or setting up for the exchange all that group would
be fantastic. You can associate connections to user groups and not user per user (do this
with 300-500 users and you will see the hell it is). Also the option to create users in batch
via txt, csv, would be great.
* Delegated administration of user groups: Create a sub administrator of a specific group
of users with the permission to create users, change passwords, associate connections to these
users. It would be essential if sub-administrators could have specific permissions, such as
ACLs themselves, type, associate, but not read or write connections (not to see the passwords
associated with the connections, changing the number of concurrent connections is also a problem),
Or could read but not record, or do all that. Ditto do the same for user groups (create users,
change passwords, etc.). It would also be desirable for administrators to view their users'
specific sessions and kill only those sessions.
* The connection template would be great if we could modify what we wanted inside the child
connections, even if it is part of the template. And also force the template application on
all child connections.
* It would also be great if we could block the number of simultaneous accesses within a group
of connections and force this on the number of hits on the specific connections (I have 50
connections in a group and instead of going one by one I change something in the group And
command to force ON connections - such as the per-user limit or the total limit). And also
the connection option in blocking inheritance.
* Applying a specific configuration to a group of connections at the same time and associating
them for example to a template at the same time would be great. The bad part of both users
and connections is having to do everything on hand one by one. It becomes impractical when
you have too many connections.

GUACAMOLE is a fantastic solution and I am a great enthusiast of it. Thank you so much for

God be with you!

Original text below:

Hi Nick,


Vamos responder sobre o que acho que seria interessante de trabalhar com o guacamole no que
se refere ao painel de administração. Eu mesmo fui uma das pessoas que abriram tickets sobre
isso. Vou aproveitar e postar os links dos tickets que possam ajudar para conferência futura
sobre o painel administrativo:

Hoje eu trabalho com um pool de servidores Guacamole com MUITOS clientes diferentes conectados
diretamente neste pool (0.9.12 – MySQL) acessando suas respectivas contas e acessando seus
servidores, só a minha equipe administra tudo, inclusive a criação de conexões e de usuários.
Temos problemas pois não podemos liberar a administração para os clientes e também não
podemos deixar eles (os clientes) associarem as conexões aos usuários (e se eles associarem
a conexão errada intencionalmente vão conectar no servidor de outro cliente).

Agora o que acho que poderia ser feito:

* administração em lote de grupos de usuários com permissões diferentes (incluindo permissões
de senhas diferentes para cada grupo, igual no AD que fazemos por OU diferentes). Troca de
senhas de todos os usuários de um grupo ao mesmo tempo ou setar para a troca todo aquele
grupo seria fantástico. Você poder associar as conexões aos grupos de usuários e não
usuário por usuário (faça isso com 300-500 usuários e vai ver o inferno que é). Também
a opção de criação de usuários em batch via txt, csv, seria ótimo.
* Administração delegada de grupos de usuários: Criar um sub administrador  de um grupo
específico de usuários com a permissão de criar usuários, trocar senhas, associar conexões
a estes usuários. Seria essencial se os sub administradores pudessem ter permissões específicas,
como ACL´s mesmo, tipo, associar, mas não ler nem gravar as conexões  (para não verem
as senhas associadas às conexões, alterar o número de conexões simultâneas também é
um problema), ou pudessem ler, mas não gravar, ou fazer tudo isso. Idem fazer o mesmo para
os grupos de usuários (criar usuários, trocar senhas, etc). Seria desejável também que
os administradores visualizassem as sessões específicas dos seus usuários e pudessem matar
apenas essas sessões.
*O template de conexão seria ótimo se pudéssemos modificar o que queríamos dentro das
conexões filho, mesmo que faça parte do template. E também forçar a aplicação do template
em todas as conexões filho.
* Também seria ótimo se pudéssemos bloquear o número de acessos simultâneos dentro de
um grupo de conexões e forçar isso sobre o número de acessos presentes nas conexões específicas
(tenho 50 conexões em um grupo e ao invés de ir uma a uma eu altero algo no grupo e mando
forçar SOBRE as conexões  - como por exemplo o limite por usuário ou o limite total). E
também a opção na conexão de bloquear a herança.
* Aplicar uma configuração específica à um grupo de conexões ao mesmo tempo e associar
elas por exemplo à um template ao mesmo tempo seria ótimo. A parte ruim tanto de usuários
quanto de conexões é ter que fazer tudo na mão um a um. Fica impraticável quando se tem
muitas conexões.

GUACAMOLE é uma solução fantástica e sou um grande entusiasta dela. Muito obrigado por
nos ouvir!

Fique com DEUS!
Aude et Effice!
[Assinatura E-mail]

De: Thiago dos Santos Nunes [mailto:thiago@DIGITALINFORMATICA.COM.BR]
Enviada em: quinta-feira, 27 de julho de 2017 07:33
Assunto: RES: [DISCUSS] Improving Guacamole Administration


I will send na feedback about this. It´s a very interessant thing! Thanks a lot.

Fique com DEUS!
Aude et Effice!
[Assinatura E-mail]

De: Nick Couchman []
Enviada em: terça-feira, 25 de julho de 2017 10:36
Assunto: [DISCUSS] Improving Guacamole Administration

Hey, Guacamole Users:
One of the items that has come up several times in various Guacamole-related forums is how
to make the UI more admin-friendly.  So, I'd like to kick off a discussion on improvements
to the various areas of the Guacamole Web Client (user management, connection management being
the primary ones) that would make administering a Guacamole system easier.  Here are some
examples of things that have been discussed elsewhere:

- Support for groups, particularly in the JDBC and LDAP authentication modules, so that permissions
do not have to be managed per-user.

- Ability to select all connections or users in a connection group or tree without having
to click on them individually.

- Connection templating/inheritance - the ability to define a top-level connection template
and have other connections inherit parameters from that connection.

You're welcome to weigh in (vote, if you like) on the above changes, or suggest other items
you think would improve your ability to manage Guacamole.

Looking forward to getting everyone's feedback!

View raw message