You are viewing a plain text version of this content. The canonical link for it is here.
Posted to user@guacamole.apache.org by Nick Couchman <ni...@yahoo.com> on 2017/08/02 12:42:05 UTC
Re: RES: [DISCUSS] Improving Guacamole Administration
Thiago,Thank you for the feedback!
Regards,Nick
On Thursday, July 27, 2017, 8:08:37 PM EDT, Thiago dos Santos Nunes <th...@DIGITALINFORMATICA.COM.BR> wrote:
#yiv0200967597 #yiv0200967597 -- _filtered #yiv0200967597 {font-family:Helvetica;panose-1:2 11 6 4 2 2 2 2 2 4;} _filtered #yiv0200967597 {panose-1:2 4 5 3 5 4 6 3 2 4;} _filtered #yiv0200967597 {font-family:Calibri;panose-1:2 15 5 2 2 2 4 3 2 4;} _filtered #yiv0200967597 {panose-1:3 7 4 2 5 3 2 3 2 3;}#yiv0200967597 #yiv0200967597 p.yiv0200967597MsoNormal, #yiv0200967597 li.yiv0200967597MsoNormal, #yiv0200967597 div.yiv0200967597MsoNormal {margin:0cm;margin-bottom:.0001pt;font-size:11.0pt;}#yiv0200967597 a:link, #yiv0200967597 span.yiv0200967597MsoHyperlink {color:#0563C1;text-decoration:underline;}#yiv0200967597 a:visited, #yiv0200967597 span.yiv0200967597MsoHyperlinkFollowed {color:#954F72;text-decoration:underline;}#yiv0200967597 p.yiv0200967597msonormal0, #yiv0200967597 li.yiv0200967597msonormal0, #yiv0200967597 div.yiv0200967597msonormal0 {margin-right:0cm;margin-left:0cm;font-size:11.0pt;}#yiv0200967597 span.yiv0200967597EstiloDeEmail18 {color:windowtext;}#yiv0200967597 span.yiv0200967597EstiloDeEmail20 {color:windowtext;}#yiv0200967597 .yiv0200967597MsoChpDefault {font-size:10.0pt;} _filtered #yiv0200967597 {margin:70.85pt 3.0cm 70.85pt 3.0cm;}#yiv0200967597 div.yiv0200967597WordSection1 {}#yiv0200967597
Hi Nick,
Pax!
Let's answer what I think would be interesting to work with guacamole with regard to the administration panel. I myself was one of the people who opened tickets on that. I will take advantage of and post the links of the tickets that can help for future conference on the administrative panel:
https://issues.apache.org/jira/browse/GUACAMOLE-248
https://issues.apache.org/jira/browse/GUACAMOLE-221
https://issues.apache.org/jira/browse/GUACAMOLE-220
https://issues.apache.org/jira/browse/GUACAMOLE-182
Today I work with a Guacamole server pool with MANY different clients directly connected to this pool (0.9.12 - MySQL) accessing their respective accounts and accessing their servers, only my team manages everything, including the creation of connections and users. We have problems because we can not release the administration to the clients and we can not let them associate the connections to the users (and if they associate the wrong connection intentionally they will connect in the server of another client).
Now what I think could be done:
* Batch management of user groups with different permissions (including different password permissions for each group, same in AD as we do for different OUs). Changing passwords of all users in a group at the same time or setting up for the exchange all that group would be fantastic. You can associate connections to user groups and not user per user (do this with 300-500 users and you will see the hell it is). Also the option to create users in batch via txt, csv, would be great.
* Delegated administration of user groups: Create a sub administrator of a specific group of users with the permission to create users, change passwords, associate connections to these users. It would be essential if sub-administrators could have specific permissions, such as ACLs themselves, type, associate, but not read or write connections (not to see the passwords associated with the connections, changing the number of concurrent connections is also a problem), Or could read but not record, or do all that. Ditto do the same for user groups (create users, change passwords, etc.). It would also be desirable for administrators to view their users' specific sessions and kill only those sessions.
* The connection template would be great if we could modify what we wanted inside the child connections, even if it is part of the template. And also force the template application on all child connections.
* It would also be great if we could block the number of simultaneous accesses within a group of connections and force this on the number of hits on the specific connections (I have 50 connections in a group and instead of going one by one I change something in the group And command to force ON connections - such as the per-user limit or the total limit). And also the connection option in blocking inheritance.
* Applying a specific configuration to a group of connections at the same time and associating them for example to a template at the same time would be great. The bad part of both users and connections is having to do everything on hand one by one. It becomes impractical when you have too many connections.
GUACAMOLE is a fantastic solution and I am a great enthusiast of it. Thank you so much for listening!
God be with you!
Original text below:
Hi Nick,
PAX!
Vamos responder sobre o que acho que seria interessante de trabalhar com o guacamole no que se refere ao painel de administração. Eu mesmo fui uma das pessoas que abriram tickets sobre isso. Vou aproveitar e postar os links dos tickets que possam ajudar para conferência futura sobre o painel administrativo:
https://issues.apache.org/jira/browse/GUACAMOLE-248
https://issues.apache.org/jira/browse/GUACAMOLE-221
https://issues.apache.org/jira/browse/GUACAMOLE-220
https://issues.apache.org/jira/browse/GUACAMOLE-182
Hoje eu trabalho com um pool de servidores Guacamole com MUITOS clientes diferentes conectados diretamente neste pool (0.9.12 – MySQL) acessando suas respectivas contas e acessando seus servidores, só a minha equipe administra tudo, inclusive a criação de conexões e de usuários. Temos problemas pois não podemos liberar a administração para os clientes e também não podemos deixar eles (os clientes) associarem as conexões aos usuários (e se eles associarem a conexão errada intencionalmente vão conectar no servidor de outro cliente).
Agora o que acho que poderia ser feito:
* administração em lote de grupos de usuários com permissões diferentes (incluindo permissões de senhas diferentes para cada grupo, igual no AD que fazemos por OU diferentes). Troca de senhas de todos os usuários de um grupo ao mesmo tempo ou setar para a troca todo aquele grupo seria fantástico. Você poder associar as conexões aos grupos de usuários e não usuário por usuário (faça isso com 300-500 usuários e vai ver o inferno que é). Também a opção de criação de usuários em batch via txt, csv, seria ótimo.
* Administração delegada de grupos de usuários: Criar um sub administrador de um grupo específico de usuários com a permissão de criar usuários, trocar senhas, associar conexões a estes usuários. Seria essencial se os sub administradores pudessem ter permissões específicas, como ACL´s mesmo, tipo, associar, mas não ler nem gravar as conexões (para não verem as senhas associadas às conexões, alterar o número de conexões simultâneas também é um problema), ou pudessem ler, mas não gravar, ou fazer tudo isso. Idem fazer o mesmo para os grupos de usuários (criar usuários, trocar senhas, etc). Seria desejável também que os administradores visualizassem as sessões específicas dos seus usuários e pudessem matar apenas essas sessões.
*O template de conexão seria ótimo se pudéssemos modificar o que queríamos dentro das conexões filho, mesmo que faça parte do template. E também forçar a aplicação do template em todas as conexões filho.
* Também seria ótimo se pudéssemos bloquear o número de acessos simultâneos dentro de um grupo de conexões e forçar isso sobre o número de acessos presentes nas conexões específicas (tenho 50 conexões em um grupo e ao invés de ir uma a uma eu altero algo no grupo e mando forçar SOBRE as conexões - como por exemplo o limite por usuário ou o limite total). E também a opção na conexão de bloquear a herança.
* Aplicar uma configuração específica à um grupo de conexões ao mesmo tempo e associar elas por exemplo à um template ao mesmo tempo seria ótimo. A parte ruim tanto de usuários quanto de conexões é ter que fazer tudo na mão um a um. Fica impraticável quando se tem muitas conexões.
GUACAMOLE é uma solução fantástica e sou um grande entusiasta dela. Muito obrigado por nos ouvir!
Fique com DEUS!
Aude et Effice!
De: Thiago dos Santos Nunes [mailto:thiago@DIGITALINFORMATICA.COM.BR]
Enviada em: quinta-feira, 27 de julho de 2017 07:33
Para: user@guacamole.incubator.apache.org
Assunto: RES: [DISCUSS] Improving Guacamole Administration
Nick,
I will send na feedback about this. It´s a very interessant thing! Thanks a lot.
Fique com DEUS!
Aude et Effice!
De: Nick Couchman [mailto:nick.couchman@yahoo.com]
Enviada em: terça-feira, 25 de julho de 2017 10:36
Para: user@guacamole.incubator.apache.org
Assunto: [DISCUSS] Improving Guacamole Administration
Hey, Guacamole Users:
One of the items that has come up several times in various Guacamole-related forums is how to make the UI more admin-friendly. So, I'd like to kick off a discussion on improvements to the various areas of the Guacamole Web Client (user management, connection management being the primary ones) that would make administering a Guacamole system easier. Here are some examples of things that have been discussed elsewhere:
- Support for groups, particularly in the JDBC and LDAP authentication modules, so that permissions do not have to be managed per-user.
- Ability to select all connections or users in a connection group or tree without having to click on them individually.
- Connection templating/inheritance - the ability to define a top-level connection template and have other connections inherit parameters from that connection.
You're welcome to weigh in (vote, if you like) on the above changes, or suggest other items you think would improve your ability to manage Guacamole.
Looking forward to getting everyone's feedback!
-Nick