Guacamole - менеджер удаленных подключений SSH, RDP, VNC, K8s в браузере.
HTML-код
- Опубликовано: 14 авг 2023
- Guacamole - менеджер удаленных подключений SSH, RDP, VNC, K8s в браузере.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Буду очень благодарен за поддержку в виде чашечки ☕️:
www.buymeacoffee.com/RomNero
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
По предложениям пишите на: infotube@romnero.de
Matrix: @romnero:matrix.romnero.de
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Команды в видео:
github.com/RomNero/RUclips-In...
Спасибо большое. Очень полезное видео. Воспользуюсь Вашим мануалом 😊
Всегда пржалуйста👍
Обязательно попробую, спасибо что рассказали , всех благ !
Спасибо за отзыв😉👍
Спасибо, отличное видео! Взял на заметку, попробую поэкспериментировать.
Спасибо тебе за труды. Очень интересно и познавательно !
Спасибо за отзыв 👍
Спасибо, брат гикан
Всегда пожалуйста 😉
Ты такой инструмент для меня открыл, большое спасибо!
Всегда рад помочь😉
Спасибо большущее! :)
Всегда пожалуйста😉
Спасибо за видео
Здравствуйте. Интересная тема, записывайте больше разборов сервисов пожалуйста
Спасибо.
Здесь как получится. Иногда есть действительно очень интересные сервисы👍
Хорошая тема! Давно использую...
Приятно слышать. Я тоже в одной фирме использовал много эту систему. Она для определённых окружений отлично подходит👍
спасибо! На работе на следующей неделе попробую развернуть. Не знал про такой сервис
Успехов в использовании👍
Только что настраивал SSH на VM's. Спасибо сейчас посмотрим лайк с лёту :D
Спасибо 👍
Спасибо
Уважаемый, спасибо за видео. Стоит добавить пару моментов.
1. Чтобы не заниматься фигнёй с CTRL+ALT+SHIFT, просто разрешите в браузере для этого сайта доступ к буферу обмена.
2. Даже если сервис работает во внутреннем периметре, я бы настоятельно рекомендовал настроить TOTP.
Спасибо за информацию и за полезные комментарии/ответы👍🙂
Привет, подскажи, можно ли кастомизировать TOTP? Например, отключить двухфакторку для одной учетной записи, но оставить для всех остальных?
@@procopiismetanin4426 Слушай, я как-то не задавался вопросом таким. Надо проверить.
@@procopiismetanin4426 Да можно
Красава!
как всегда - отлично!
Спасибо 😉
Спасибо за видео, супер 🤘
Спасибо 🤘
Спасибо огромное, Я завтра же настрою)
Всегда пожалуйста. Интересно будет узнать результат 👍
Поставил, шикарная вещь. Жду интенсив по питону
Ещё кстати по поводу RDP, необходимо ставить Security mode NLA(Network Level Authentication) он много где по умолчанию стоит на самих windows системах. А то думал чего не подключает.
Почему-то не работает NLA(Аутентификация на уровне сети) для WS 2012, не замечали такого? Только с принудительным отключением NLA на стороне сервера и переключение на RDP-шифрование
Лучший tech-канал
Спасибо 😉
Реально искал такое видео
Нашёл 😉
Реально . эта штука - Бесполезная тупая херня.. задумка интересная.. но по сути - хрень. Где админ у которого 200 серверов и ему надо роздать их 20-ти админам ?? :)) ппц . Во первых несколько пользователей shh быть не могут. Чем больше всяких ламеров кому нужно консоль - тем больше проблем на сервере. Да и куда нужнее работа в 2-ух отдельно видимых окнах. Тоесть не переключатся постоянно. А когда окна рядом стоят и ты только глазами туда сюда водиш. А это, кроме патти которое отдельное соединение создает, как отдельно окно -пока никто не может.
Но за инфу спасибо ))
@@kinostory а тут прикол не в 200 серверах, у меня например есть рабочие станции с внц, тут самое важное что оно работает с браузера.
Отличное видео. Можно ли эту красоту интегрировать в свой проект?
Ну и как я писал, я бы посмотрел как вы бы организовали аспия, растдеск. Да, чуть не забыл. Есть такая фича, как клоудфларе туннель, но с дистрибутивом на винду, зачем это нужно? Какие варианты это может предоставить , кроме рдп?
У таилскайл есть опенсорс проект, не расскажите про него?
Спасибо за видео, не рассматривали ли meshcentral в качестве альтернативы?
Он разве бесплатный ?
RDCMan супер штука, когда много rdp
Интересно спасибо. Не часто работаю с RDP. Но стоит посмотреть👍
Ромнеро, ты не мог бы рассказать про aspia и rustdesk? Оба нужно настраивать самостоятельно
вместо rustdesk обрати внимания на другое опенсорс решение - Remotely. Пробовал и то и то, остановился на ремотли.
Шикарная подача материала!
У Вас есть телеграмм канал?)
Спасибо 😉
Канал создал, но ещё ничего там не публиковал. Как начну его вести. Внесу в список контактов на канале.
Привет подскажи пожалуйста как добавить хосты , настроил авторизацию через oidc но там нет возможности добавить хост . если сначала добавляешь хост а потом настраиваешь oidc то ничего не происходит
Задумка не плохая, но просто менеджеров подключений и так много. Вот если бы они эту штуку научили подключаться через нат, к тем компьютерам где нет прямого доступа по белому адресу, то ей цены бы не было в тех поддержке
А сетевое оборудование будет работать? Cisco, mikrotik, huawei
Дока))
Спасибо, видео познавательно.
А вы не задумывались прикрутить к гуаку двухфакторную защиту. Например Офелия или Аутентик? Я пробовал Офелию, но у меня не получилось. На ютубе есть несколько англоязычных примеров. Делал всё след в след, но у меня оно не взлетело. Почему-то... 😢
Немного позже сделаю видео по authentik. Понравился мне сервис👍
@@RomNero оооо! Это было бы очень здорово! 👍👍👍
@@RomNero Тоже очень хотелось бы увидеть реализацию с 2FA, на сайте проекта есть описание как это сделать, но немного не хватает знаний чтобы осмыслить написанное, и там естественно это указывается не для реализации через Docker. Так что очень жду ваше видео на эту тему или с TOTP или в любом другом виде.
Посмотрите предонтефикацию у nginx
Проще всего подключить TOTP. Он там искаропки очень легко подключается.
А подключиться не получиться по RDS Shadow (теневое подключение к RDP сессиям пользователей) ?
А как быть с WoL. Контейнер же изолированный от хостовой сети. Можно ли guacd повесть на сеть хост, а mysql и guacamole оставить в bridge?
А что и где надо поправить, чтобы открывалось просто по порту, то есть без /guacamole/ в строке браузера?
тебе нужно обратный прокси настроить, примерно здесь /etc/nginx/sites-available/guacamole.conf
зря не упомянул про перенос файлов..... на вирт винду нужно ставить OpenSSH, далее в настройках подключения в sftp указать ip, port 22, логин и пароль от учетки винды. тогда появляется возможность закачивать файлы на сервер) криво косо, но работает)
Класс👍Спасибо за инфу. Будет точно полезно!!!
Спасибо, очень интересно. Немецкий акцент?
Спвсибо за отзыв.
Да, немецкий 😄
Привет. Спасибо за видео. Очень интересно. А как можно скопировать файл из Windows по RDP на хост?
И еще интересно, как запустить сервис в браузере с протоколом ssl?
Привет. Спасибо за отзыв.
По копирования точно не помню как это реализовано в guacamole.
А сертификаты SSL нужно добавлять в сам докей ронтейнер. Вернее, добавлять volume с сертификатами.
Скажи , пожалуйста, какие сетевые экраны используешь дома? Например, пфсенсен, опфсенсе или икс? Что-то интересное рассказать можешь/?
Очень хорошо зарекомендовал себя opnsense. Мне нравится количество возможных плагинов. Не нравится - функция поиска и меню.
Но все перечисленные тобой Firewalls хороши.
@@RomNero а вам интересно цикл небольших видео, какой-то стрим провести ? Я бы послушал, как вы бы организовали ту или иную конфигурацию сети у себя в различных вариантах
Я задумываюсь, сделать стрим)) нужно спланировать какие темы обсудить👍
@@RomNero Ну я бы послушал о том, какие есть решения сетевых экранов в целом. Например, ситуация, ко\гда тариф 100тка домой и всякие тп линьки не интересны. Можно взять микрот, кенетик, можно вообще поднять решения на 775 сокете на нескольких сетевых в тотм же опнсенсе. Западные в основном пф показывают. В общем, решений и вариантов много. Я бы послушал, как организовать домашнюю сеть, если провайдер не выдает статический адрес(я тут про серый и нат). Например, у меня есть впс. Есть домент и клоудфлэр. Да у них есть возможность организовать тоннель, как я сделал до виртуальной машины дебиан(без докера), и имею доступ до pve proxmox через нее. Так же послушал по забикс, ну тем действительно много. Основное, что понравилось -сеть и туннели.
@@RomNero так же и нтересно рассмотреть вариант, когда можно купить какой-то мини пк, что на али продают с 1 ланом. На его основе сделать влан , что возможно, вроде как, ну и подключить управляемый комок. Интересно? Да!
Очень глючная вещь к сожалению, ьпги у нового дебиана с рдп нужно костылить и также проблемы с секьюрити периодически
Что используешь для rdp в Debian? Xrdp?
Привет! Есть решение как решить проблему со сбоем команды protostar build? Нужно scrab пакеты устанавливать.... Вообще не понимаю в этом...
Подключился к виндовс по rdp, после входа в систему пишет «сервер удаленных рабочих столов закрыл соединение, так как оно конфликтует с другим соединением» и сразу закрывает сеанс
Больше соединений нет, непонятно почему выскакивает ошибка
А можно ли импортировать подключения? И можно ли подключаться по vnc с пробпосом портов. Например на многих серверах доступен только порт 22 для ssh. Кроме того из разных подсетей доступны только несколько серверов. Для решения этой задачи я сейчас написал программу для такого подключения. Сначала подключаюсь по ssh (если нужно, то через прокси) с проброшенным портом для vnc, а после подключаюсь к локалхосту к этому порту. А здесь подобное можно реализовать?
На сколько мне известно, такой функционал не поддерживается. Однако, можно провернуть такой финт. Любым удобным и доступным способом организовать port forwarding с машины, например, с докером, а после настроить подключение VNC уже к этой машине. Других вариантов не вижу.
Всё классно, но как насчет того если у каждого пользователя свой SSH юзер для хоста?
Отличный вопрос. В таком случае раздаются только настроенные подключения (без указания пользователя и пароля). Либо делается mapping с использованием LDAP (ad).
Для ssh лучшее на мой взгляд termuis
Тоже классная вещь. Позже и по ней сделаю обзор👍
На сколько быстро в терминале win работает? ощутимо медленнее чем через стандартный RDP ?
Работает отлично. Все зависит конечно от скорости сети, от самого сервера, где стоит guacamole и конечно же от количества одновременных пользователей.
@@RomNero это называется если админу скучно - оно начинает искать себе гимор на голову устанавливася сервера гуакамоле и прочую хрень. А зачем?
А jump host можно там как-то замутить в подключении по ssh?
Да, такая возможность есть👍
Сделай видео про openldap, ldap пожалуйста
Будет. Сейчас как раз интересную утилиту тестирую 👍
Вроде тема не маленькая.. не на один видос, а на целый сериал хватит. А что именно ты хочешь тут узнать? Просто любопытствую, сам его когда-то ковырял openldap..
Такой вопрос, а если для подключения нужен VPN, то как оно выглядит, если подключение происходит с удаленного компа?
Т.е. нужно по ssh подключаться к серверам, которые on-premise. Поэтому используются VPN-ы
Есть на канале видео о VPN ruclips.net/video/sPXr4HTttjE/видео.htmlsi=lo-ddWYt9Ovl_gCW
Возможно, поможет разобраться.
@@RomNero да, но пользователей несколько и включа VPN я разорву их соединение получается тоже?
Или Guacamole подходит для внутренних сервисов внутри одной сети получается
@@Essrom Основная идея в том, что вам надо организовать подключение только машины с гвакамолью до сетей с вашими серверами. Остальное в вебе. Прикручиваете перед гвакамолью нжинкс или апач, прикручиваете сертификаты от летсэнкрипт и собственно всё! У вас единая точка входа на ваши вервера. Думайте о гвакамоле как о брокере подключений. То есть, чтобы вам получить доступ к вашим серверам, сначала организуйте доступ гвакамоле до ваших верверов.
Мы на работе эту штуку пользуем по полной вместо ВПН. В последнее время на мобильных операторах блокируют впн подключения (думаю, многие в курсе проблемы).
Могу ли я использовать skype, diskord, на RDP через Guacamole, будет ли передача моего голоса на удаленный ПК при таком использовании и смогу ли я слышать собеседника?
все установилось нормально, никаких ошибок нет, запускаю все докеры, но по ссылке с ip (взял его с 2ip) ничего нет, что не так - не понятно
Ключи как добавлять у пользователей?
Чет не осилил видос полностью... долговато как-то. Да и софтина чет не впечатлила. Вот сидит человек по ссш через нее, пишет passwd например и усе.. больше на мошинку никто не зайдет. Ладно можно пофиксить конечно, но это только то, что первым в голову пришло... Ограничение доступа в идеале должно реализовываться через централизованную систему авторизации.. т.е. должна быть персональная учетка с привязкой к группам безопасности(как именно это реализовывается в линуксах, хз не делал).. Буфер обмена для рдп ужасен. Единственное, что удобно, это список хостов для подключение с предварительно прописанными креденшелами... но если взять тот-же ссш, то я все время пользовался алиасами и сертами.
Видос полностью не осилил, а значит по любому что-то пропустил... Apache же херни не выдаст..
Спасибо. Всё более менее верно написал.
По авторизации: стоит либо не указывать никаких пользователей и паролей, тогда нужно вводить каждому пользователю отдельно (их можно сохранить в учетке); либо подключить LDAP (ad) и уже через него управлять логинами.
И по copy paste - согласен полностью. При работе создаёт неудобства.
Кеи работаешь если не секрет?
Я ответственный за Linux системы, виртуализацию и автоматизацию. Что-то между System engineering и devops
не заменит терминал .. или тожу mobaxtern
Guacamole для подключения по RDP хорошее решение, но по SSH это боль, так как подключится можно только по логину и паролю, по ключу не работает. Guac не принимает последние форматы ключа SSH BEGIN OPENSSH PRIVATE KEY. Год назад можно было подключится по старому формату ключа BEGIN RSA PRIVATE KEY, но и это сейчас перестало работать. Вывод не доработанное приложение.
Спасибо за информацию 👍
А чем не устроил Docker из репозиториев?
Версия намного ниже. Так же compose.
Почему в ролике постоянно указывается в качестве примера "подключение к серверам". А к рабочим станциям подключиться нельзя?
Можно подключаться и к рабочим станциям.
Подскажите требования к серверу, ОЗУ, ЦП, ПЗУ
Что указано в официальной документации?
Добрый день, спасибо за проделанную вами работу. К сожалению у меня не получается выполнить подключение ни к одному устройству ни по одному протоколу, ошибка в логах следующая - GuacamoleHTTPTunnelServlet - HTTP tunnel request failed: Non-numeric character in element length.
На ресурсе разработчика в возможных причинах указан баг в guacd или libguac
Однако для официальных образов эта причина кажется странной. Может быть у вас есть идеи? Или вы могли бы написать версии образов которые использовали в видео?
Видел, на форуме подобную проблему... К сожалению, не осталась информация по версиям образов (все были latest)
Разрабы даже не поудасужились сделать докер-композ адекватный. Вкорячил это дело кое как, но такое себе ShellNGN pro намного лучше.
Минус в том, что новые пользователи заходят на удалёнку с теми же учётными данными, которые мы вбивали в подключение
Если не указывать изначально учётные данные, то нужно будет всегда вводить свои данные. Это я забыл упомянуть.
значит кто контролирует сервер Guacamole контролирует все сервера которые к нему подключены
Что? Вы вообще суть поняли?
вобще нне понял как подключаться через кубернетес? это не протокол же? или это тип подключение к кубер кластеру?
Бесполезная тупая херня.. задумка интересная.. но по сути - хрень. Где админ у которого 200 серверов и ему надо роздать их 20-ти админам ?? :)) ппц . Во первых несколько пользователей shh быть не могут. Чем больше всяких ламеров кому нужно консоль - тем больше проблем на сервере. Да и куда нужнее работа в 2-ух отдельно видимых окнах. Тоесть не переключатся постоянно. А когда окна рядом стоят и ты только глазами туда сюда водиш. А это, кроме патти которое отдельное соединение создает, как отдельно окно -пока никто не может.
Но за инфу спасибо ))
единственный умный человек!причем она дырявая... спасибо но лучьше SSH