Créer un serveur de tunnels pour la maintenance partenaires

Comment créer un serveur de tunnels SSH afin d'assurer la maintenance auprès des clients. (Cet article est destiné aux partenaires Olfeo.)

Objectif

Créer un serveur de tunnels SSH afin d'assurer la maintenance auprès des clients. (Cet article est destiné aux partenaires Olfeo.)

Contexte

Fonctionnement

A : PC support technique partenaire

R : relais SSH du partenaire

O : Olfeo du client

O -> R (connexion par clé)

A -> R (connexion par mot de passe)

A -> R -> O (connexion redirigée automatiquement)

Étapes

1- Sur le serveur Olfeo (hors chroot)

1. Créer un utilisateur supportv5 + mot de passe :

   # useradd -m -d /home/supportv5 -s /bin/bash supportv5
   # passwd supportv5

2. Se connecter avec cet utilisateur :

   # su – supportv5

3. Créer un couple de clés RSA. Ne pas entrer de passphrase.

   $ ssh-keygen -t rsa

4. Par défaut, le couple de clés est créé dans /home/supportv5/.ssh/(id_rsa). Copier le contenu de Olfeo:/home/supportv5/.ssh/id_rsa dans la clé partner_support_key, située à la page http://adresse_ip_olfeo:8081/pages/keys.

   -----BEGIN RSA PRIVATE KEY-----
   xxxxxxxxxxxxx...
   -----END RSA PRIVATE KEY-----

5. Éditer la clé partner_support_label afin de personnaliser l'encadré.

Dans la partie Paramétrage > Support de l'interface graphique Olfeo, un encadré Third party support/Support intégrateur est disponible. Il permettra au client d'ouvrir un tunnel support dirigé vers le relais SSH. Il faut activer le service SSHD ou le rendre permanent.

2- Sur le relais SSH

1. Éditer /etc/ssh/sshd_config et ajouter/activer la ligne suivante pour autoriser le mapping de connexions :

   GatewayPorts yes

2. Activer le service SSHD et le rendre permanent.
3. Créer un utilisateur supportv5 + mot de passe :

   # useradd -m -d /home/supportv5 -s /bin/bash supportv5
   # passwd supportv5

4. Se connecter avec cet utilisateur :

   # su – supportv5

5. Créer un dossier .ssh dans le /home de l'utilisateur :

   $ mkdir /home/supportv5/.ssh

6. Créer le fichier authorized_keys :

   $ touch /home/supportv5/.ssh/authorized_keys

7. Copier le contenu du dossier /home/supportv5/.ssh/id_rsa.pub de l'Olfeo dans le dossier /home/supportv5/.ssh/authorized_keys du relais SSH.

   Par exemple :

   1. Copie depuis Olfeo :

      supportv5@Olfeo:~$
      scp /home/supportv5/.ssh/id_rsa.pub IP_RELAIS:/home/supportv5/.ssh/

   2. et ensuite modification sur le relais :

      supportv5@relais:~$
      cat /home/supportv5/.ssh/id_rsa.pub >> /home/supportv5/.ssh/authorized_keys

Validation

Sur l'interface graphique Olfeo, remplir les champs de la page Paramétrage > Support :

• Adresse IP support : IP publique du relais
• Port de sortie : port d'écoute SSH du relais (défini dans son /etc/ssh/sshd_config, 22 par défaut)
• Port distant : un port arbitraire (un par intervention Olfeo)

Par exemple :

• Adresse IP support : 47.130.12.52
• Port de sortie : 22
• Port distant : 59628

Depuis le poste support technique, se connecter en SSH sur le relais, sur le port distant précédemment mappé, afin de rediriger les ports de l'interface d'administration :

• ssh -p 59628 supportv5@47.130.12.52
• si l'interface d'administration est en HTTP : ssh -p 59628 supportv5@47.130.12.52 -L 127.0.0.10:8081:localhost:8081
• si l'interface d'administration est en HTTPS : ssh -p 59628 supportv5@47.130.12.52 -L 127.0.0.10:8443:localhost:8443.

Le technicien support entre 127.0.0.10:8081 dans son navigateur pour accéder à l'interface d'administration de l'Olfeo du client.

En cas d'accès impossible à l'interface graphique Olfeo, le client peut activer le tunnel en ligne de commande.

Par exemple : ssh -p 22 support@47.130.12.52 -R 59628:localhost:22