2021/05/17

[備忘録] CentOS 7 に Apache Guacamole 1.3.0 をインストールする ~ その3

前回のその2に続いて「その3」になります。



今回は 
guacamole-client の情報を保存するための拡張オプションとDBの設定部分を実施していきます。

環境は Alibaba Cloud の RDS で MySQL 8.0 を使いました。
ECS、SLB と合わせた構成はこんな感じです。

guacamole 構成図

ちなみに、公式にサポートをしている DB は MariaDB, MySQL, PostgreSQL, SQL Server のようです。

ApsaraDB for RDS の作成

DB はもちろんサーバーにインストールしてもいいのですが、めんどくさい 利便性を考えてマネージドサービスを使います。Alibaba Cloud の マネージドデータベースはいくつか種類がありますが、今回は基本の RDS を使用します。

Alibaba Cloud の管理コンソールから「ApsaraDB for RDS」のページへ遷移して「Create Instance」を選択します。

Alibaba Cloud RDS コンソール

インスタンスの基本設定画面が表示されるので、リージョンやDBエンジンのバージョンやインスタンスタイプ、ストレージサイズなどを選択して「Next: Instance Configuration」を選択します。
今回は最小構成でいきます。

Alibaba Cloud RDS 作成基本画面

Instance Configuration のページで配置するVPCやパラメータテンプレート、タイムゾーンなどを設定し「Next: Confirm Order」を選択します。
今回はVPC以外は基本デフォルトで問題ないかなと思います。

Alibaba Cloud RDS 作成パラメータ

内容に問題がなければ「Terms of Service」にチェックを入れて、「Pay Now」を選択します。
・・・どうでも良いことなのですが、プロダクトによって「Buy Now」のときと「Pay Now」のときがあるんですねー

Alibaba Cloud RDS 購入画面

ApsaraDB for RDS の設定

「ApsaraDB for RDS」の一覧ページへ戻り、インスタンスが作成状態になったことが確認できます。

Alibaba Cloud RDS コンソール

少しするとインスタンスの初期化処理が終わり設定が出来るようになります。
「Manage」を選択してインスタンスの設定を行います。

この時は2分くらいでした。画面のリロードはしないと更新されない気がします。

Alibaba Cloud RDS コンソール

設定画面に入るとこのような画面が表示されます。
インスタンスの名称がIDでわかりにくいので適当な名前をつけて行きたいと思います

Alibaba Cloud RDS 基本画面 名称変更

こんな感じで任意の名前に変えることが出来ます。日本語も大丈夫です。

Alibaba Cloud RDS 基本画面

DBアカウントの作成

今はまだインスタンスがあるだけなので、まず最初にDBアカウントを作って行きます。
「Accounts」を選択し「Create Account」を選択します。

Alibaba Cloud RDS DBアカウント作成


任意の名前で特権アカウントを作ります。
※rootなどのスーパーユーザーはシステム側で利用しています。

Alibaba Cloud RDS 特権アカウント作成

同様に任意の名称でサーバーからのアクセス用の一般ユーザーアカウントを作成します。
「Authorized Databases」は権限付与するDBの選択ですがまだDBを作っていないので無しで作成します。

Alibaba Cloud RDS 一般アカウント作成

こんな感じで2つのDBアカウントができました。

Alibaba Cloud RDS DBアカウント作成

Database の作成

次にDatabaseを作って行きます。
「Databases」を選択し「Create Database」を選択します。

Alibaba Cloud RDS Database 作成

任意の名称(公式に則って guacamole_db としています)で Database Name を設定し、 Authorized Account に先程作った一般ユーザーを指定、権限も選択して作成します。

Alibaba Cloud RDS Database 作成

Database が作成され guacamole_user に権限も設定されました。

Alibaba Cloud RDS Database 作成後

テーブルと初期データの作成

001-create-schema.sql と 002-create-admin-user.sql という、テーブルと管理者アカウントを作成するSQLファイルが用意されているのでこれを流し込んでいきます。

普通にサーバーからSQLを流しても良いのですが、Alibaba Cloud にはDB管理用のツールとして Data Management Service (DMS) があるのでこれを使って行きたいと思います。

「Log On to Database」を選択します。

Alibaba Cloud RDS Log On to Database

先程作った特権ユーザーでアクセスしてみます、設定したらまずは「Test Connection」を選択します。

Alibaba Cloud DMS Log On

問題なければ以下の様に「Successful connection」が表示されると思います。

Alibaba Cloud DMS Log On Success

「Login」を選択します。

Alibaba Cloud DMS Login

こんな感じのDB管理ツールとかSQL実行環境っぽい画面が出ます。

Alibaba Cloud DMS Work

このツール結構いろんな機能を持っています。こんな感じのインポート画面とかもありますし、テストデータの生成なんかもできます。
GuacamoleはSQLファイルが用意されているので、ここからデータインポートしてみたいと思います。

Alibaba Cloud DMS Data Import

以下からローカルにファイルを取得します。または guacamole-client のソースコードの中から取ってきます。
https://downloads.apache.org/guacamole/1.3.0/binary/guacamole-auth-jdbc-1.3.0.tar.gz

展開すると以下の様な形でファイルがありますので、mysqlのところにあるSQlファイルを使います。

guacamole-auth-jdbc

Database を指定し、Attachment に 001-create-schema.sql を設定して「Submit」を選択します。

Alibaba Cloud DMS Data Import Submit

Check に通ったので実行します。ちなみに「Approval」の項目がある様に承認者を設定しておいて、実行前に承認者に確認してもらってから実行できる様な運用にも対応可能です。

Alibaba Cloud DMS Data Import Execute

実行タイミングの確認がでてきます。今回は誰も触ってたりしないので「Running immediately」で実行してしまいます。

Alibaba Cloud DMS Data Import Run

しばらくすると実行結果が表示されます。

Alibaba Cloud DMS Data Import Report

データベースを確認するとテーブルが作成されているのがわかります。

guacamole Create Table

もう一度、「Data Import」の画面に行き 002-create-admin-user.sql も取り込みます。
このファイルでWebアプリの管理者ユーザーが作成されます。

Alibaba Cloud DMS Data Import

ちなみに002-create-admin-user.sql の中身は以下の様になっています。
guacamole_entity、guacamole_user、guacamole_system_permission、guacamole_user_permission にデータを作っていますね。

--
-- Licensed to the Apache Software Foundation (ASF) under one
-- or more contributor license agreements.  See the NOTICE file
-- distributed with this work for additional information
-- regarding copyright ownership.  The ASF licenses this file
-- to you under the Apache License, Version 2.0 (the
-- "License"); you may not use this file except in compliance
-- with the License.  You may obtain a copy of the License at
--
--   http://www.apache.org/licenses/LICENSE-2.0
--
-- Unless required by applicable law or agreed to in writing,
-- software distributed under the License is distributed on an
-- "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY
-- KIND, either express or implied.  See the License for the
-- specific language governing permissions and limitations
-- under the License.
--

-- Create default user "guacadmin" with password "guacadmin"
INSERT INTO guacamole_entity (name, type) VALUES ('guacadmin', 'USER');
INSERT INTO guacamole_user (entity_id, password_hash, password_salt, password_date)
SELECT
    entity_id,
    x'CA458A7D494E3BE824F5E1E175A1556C0F8EEF2C2D7DF3633BEC4A29C4411960',  -- 'guacadmin'
    x'FE24ADC5E11E2B25288D1704ABE67A79E342ECC26064CE69C5B3177795A82264',
    NOW()
FROM guacamole_entity WHERE name = 'guacadmin';

-- Grant this user all system permissions
INSERT INTO guacamole_system_permission (entity_id, permission)
SELECT entity_id, permission
FROM (
          SELECT 'guacadmin'  AS username, 'CREATE_CONNECTION'       AS permission
    UNION SELECT 'guacadmin'  AS username, 'CREATE_CONNECTION_GROUP' AS permission
    UNION SELECT 'guacadmin'  AS username, 'CREATE_SHARING_PROFILE'  AS permission
    UNION SELECT 'guacadmin'  AS username, 'CREATE_USER'             AS permission
    UNION SELECT 'guacadmin'  AS username, 'CREATE_USER_GROUP'       AS permission
    UNION SELECT 'guacadmin'  AS username, 'ADMINISTER'              AS permission
) permissions
JOIN guacamole_entity ON permissions.username = guacamole_entity.name AND guacamole_entity.type = 'USER';

-- Grant admin permission to read/update/administer self
INSERT INTO guacamole_user_permission (entity_id, affected_user_id, permission)
SELECT guacamole_entity.entity_id, guacamole_user.user_id, permission
FROM (
          SELECT 'guacadmin' AS username, 'guacadmin' AS affected_username, 'READ'       AS permission
    UNION SELECT 'guacadmin' AS username, 'guacadmin' AS affected_username, 'UPDATE'     AS permission
    UNION SELECT 'guacadmin' AS username, 'guacadmin' AS affected_username, 'ADMINISTER' AS permission
) permissions
JOIN guacamole_entity          ON permissions.username = guacamole_entity.name AND guacamole_entity.type = 'USER'
JOIN guacamole_entity affected ON permissions.affected_username = affected.name AND guacamole_entity.type = 'USER'
JOIN guacamole_user            ON guacamole_user.entity_id = affected.entity_id;

テーブルの内容を確認すると「guacadmin」が作成されているのが確認できます。

guacamole create admin

テーブルの作成とインポートはこれで完了です。

ApsaraDB for RDS のセキュリティ設定

さてこれでサーバーからつなげればOKなのですが、最後に一つ忘れがちな作業が残っています。
ECS から RDS へ接続できる様にセキュリティの設定を行います。
「Data Security 」の「Security Group」タブを選択し「Add Security Group」を選択します。

Alibaba Cloud RDS Security Group

Guacamole のWebアプリが動作するECSに割り当てているセキュリティグループを選択します。

Alibaba Cloud RDS Security Group Add

このRDSに接続可能なセキュリティグループが定義されました。

Alibaba Cloud RDS Security Group bind

「Database Connection 」の画面に移動すると「Internal Endpoint」が確認できます。
ECS からの接続先としてこれを使うので覚えておきましょう。

Alibaba Cloud RDS Endpoint

これでRDSの設定は完了です。


データベース認証拡張機能の設定

DBを使って設定情報を管理していくには、データベース認証用の拡張機能を取り込む必要があります。
最初に拡張機能設定用のディレクトリを作成します。

# sudo mkdir -pv /etc/guacamole/{extensions,lib}
mkdir: ディレクトリ `/etc/guacamole' を作成しました
mkdir: ディレクトリ `/etc/guacamole/extensions' を作成しました
mkdir: ディレクトリ `/etc/guacamole/lib' を作成しました

# ls -la /etc/guacamole/
合計 16
drwxr-xr-x   4 root root 4096  4月 21 21:24 .
drwxr-xr-x. 84 root root 4096  4月 21 21:24 ..
drwxr-xr-x   2 root root 4096  4月 21 21:24 extensions
drwxr-xr-x   2 root root 4096  4月 21 21:24 lib

今回はMySQLを使うのでMySQL用のモジュールを/etc/guacamole/extensions/に配置します。
その2でビルドした guacamole-client のディレクトリから持ってきます。

ビルドしていなければASF公式で配布しているtarファイルから持ってくることも可能です。
https://downloads.apache.org/guacamole/1.3.0/binary/guacamole-auth-jdbc-1.3.0.tar.gz

/etc/guacamole/extensions/ に guacamole-auth-jdbc-mysql-1.3.0.jar を配置します。

# cp guacamole-client-1.3.0/extensions/guacamole-auth-jdbc/modules/guacamole-auth-jdbc-mysql/target/guacamole-auth-jdbc-mysql-1.3.0.jar /etc/guacamole/extensions/

# ls -la /etc/guacamole/extensions/
合計 5600
drwxr-xr-x 2 root root    4096  4月 21 21:32 .
drwxr-xr-x 4 root root    4096  4月 21 21:24 ..
-rw-r--r-- 1 root root 5723346  4月 21 21:32 guacamole-auth-jdbc-mysql-1.3.0.jar

また、JDBCドライバも必要なので取得して/etc/guacamole/libに配置します。

# cd /etc/guacamole/lib

# wget https://dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-8.0.23.tar.gz
--2021-04-21 21:36:11--  https://dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-8.0.23.tar.gz
dev.mysql.com (dev.mysql.com) をDNSに問いあわせています... 137.254.60.11
dev.mysql.com (dev.mysql.com)|137.254.60.11|:443 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 302 Found
場所: https://cdn.mysql.com//Downloads/Connector-J/mysql-connector-java-8.0.23.tar.gz [続く]
--2021-04-21 21:36:12--  https://cdn.mysql.com//Downloads/Connector-J/mysql-connector-java-8.0.23.tar.gz
cdn.mysql.com (cdn.mysql.com) をDNSに問いあわせています... 23.193.52.250
cdn.mysql.com (cdn.mysql.com)|23.193.52.250|:443 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 4036068 (3.8M) [application/x-tar-gz]
`mysql-connector-java-8.0.23.tar.gz' に保存中

100%[===========================================================================================================================================>] 4,036,068   --.-K/s 時間 0.05s   

2021-04-21 21:36:12 (74.1 MB/s) - `mysql-connector-java-8.0.23.tar.gz' へ保存完了 [4036068/4036068]

そのまま展開すると余計なものまで展開されるのでjarファイルだけ取り出します。

# tar -zxvf mysql-connector-java-8.0.23.tar.gz -O mysql-connector-java-8.0.23/mysql-connector-java-8.0.23.jar > /etc/guacamole/lib/mysql-connector-java-8.0.23.jar
mysql-connector-java-8.0.23/mysql-connector-java-8.0.23.jar

# ls -la /etc/guacamole/lib/
合計 6312
drwxr-xr-x 2 root root    4096  4月 21 21:53 .
drwxr-xr-x 4 root root    4096  4月 21 21:24 ..
-rw-r--r-- 1 root root 2415211  4月 21 21:53 mysql-connector-java-8.0.23.jar
-rw-r--r-- 1 root root 4036068 12月  1 23:29 mysql-connector-java-8.0.23.tar.gz

これで必要なライブラリと拡張機能を配置できたので、プロパティの編集を行います
ファイル自体は無いので作成します。

# vi /etc/guacamole/guacamole.properties

guacamole.properties ファイルの内容は以下になります。内容はサンプルです。
mysql-hostname には RDS の「Internal Endpoint」を指定します。
mysql-username と mysql-password は RDS で作成したDBアクセス用のアカウントIDとパスワードを指定します。

# Guacamole Server (guacd)の指定
guacd-hostname: localhost
guacd-port: 4822


# MySQL properties
mysql-hostname: rm-XXXXXXXXXXXXXXXXX.mysql.japan.rds.aliyuncs.com
mysql-port: 3306
mysql-database: guacamole_db
mysql-username: guacamole_user
mysql-password: XXXXXXXX

# Password complexity
mysql-user-password-min-length: 8
mysql-user-password-require-multiple-case:true
mysql-user-password-require-symbol:true
mysql-user-password-require-digit:true
mysql-user-password-prohibit-username:true
mysql-user-password-history-size: 6

# Restricting authentication to database users only
mysql-user-required: true

# Auto-creating database users
mysql-auto-create-accounts: true

設定が完了したら。アプリケーションサーバー(今回はTomcat)を再起動します。

# sudo systemctl restart tomcat

Guacamole へのアクセス

https://xxxxxxx/guacamole にアクセスします。
※「xxxxxxx」の部分はドメイン名やIPアドレスが入ります。

ログイン画面が表示されるので「guacadmin」を入力してログインします。
デフォルトのパスワードはIDと同じです。

Apache  Guacamole Login Guacadmin

ログインすると以下の様な画面が表示されます。

Apache  Guacamole Login

RDS のモニタリング画面を見ると「Total Connections」が上昇しておりDBへのアクセスが発生していることも確認ができます。

Alibaba Cloud RDS Monitor

あとは設定画面で接続先の設定やアクセスユーザーを作成していけば利用可能です。

Apache Guacamole 設定画面

システムとしては構築が完了していますので、今回は一旦ここまでとします。
接続先を登録してアクセスする部分は次回簡単に紹介していこうかと思います。

2021/05/10

[備忘録] CentOS 7 に Apache Guacamole 1.3.0 をインストールする ~ その2

前回のその1に続いて Apache Guacamole の構築手順「その2」になります。

今回はWebアプリの部分である guacamole-client のインストール(というかデプロイ)手順になります。Alibaba Cloud の Server Load Balancer (SLB) の設定も一部含みます。

Guacamole サーバー構成(Web/AP)

環境は Alibaba Cloud で OS は CentOS 7.9 を使いました。
Apache Guacamole のバージョンは 1.3.0 です。

guacamole-client は Java アプリケーションサーバー上で稼働しますので、JDKやAPサーバー、ビルドに使うMavenが必要になります。

こちらの構築手順は以下をご参照ください。動かしてみるだけなら yum での導入でも大丈夫です。
なお、guacamole-client のビルドには Java 1.8 が必要になります。

guacamole-client はwarファイルが公開されていますが、今回は試しにソースコードからビルドしてみます。

Guacamole ソースコードの入手

ソースコードは Apache Guacamole のリリースページ又は、GitHub から取得します。

あとはASF公式のダウンロードページやミラー( https://downloads.apache.org/ とか https://ftp.riken.jp )からの取得も可能です。
こちらではビルド済みのwarファイルも置いてあります。

任意のディレクトリでソースコードを取得します。

# wget https://ftp.riken.jp/net/apache/guacamole/1.3.0/source/guacamole-client-1.3.0.tar.gz

圧縮ファイルを展開します。

# tar -zxvf guacamole-client-1.3.0.tar.gz

# cd guacamole-client-1.3.0

# ls -la
合計 88
drwxrwxr-x   9 1001  1001  4096 12月 29 08:04 .
dr-xr-x---.  6 root root   4096  4月 21 18:33 ..
-rw-r--r--   1 1001 users    72 11月  1 06:37 .dockerignore
-rw-r--r--   1 1001 users    11 12月 12 17:46 .gitignore
-rw-r--r--   1 1001 users  1984  9月  1  2020 CONTRIBUTING
-rw-r--r--   1 1001 users  1921 11月  1 06:37 Dockerfile
-rw-r--r--   1 1001 users 15705  9月  1  2020 LICENSE
-rw-r--r--   1 1001 users   165 10月 26 14:32 NOTICE
-rw-r--r--   1 1001 users  2484  9月  1  2020 README
drwxrwxr-x   4 1001  1001  4096  7月  6  2020 doc
drwxrwxr-x  12 1001  1001  4096 12月 22 07:07 extensions
drwxrwxr-x   5 1001  1001  4096  4月 21 18:33 guacamole
drwxrwxr-x   3 1001  1001  4096  4月 21 18:33 guacamole-common
drwxrwxr-x   3 1001  1001  4096  4月 21 18:33 guacamole-common-js
drwxr-xr-x   3 1001 users  4096  4月 21 18:33 guacamole-docker
drwxrwxr-x   3 1001  1001  4096  4月 21 18:33 guacamole-ext
-rw-r--r--   1 1001 users  4908 12月 22 07:07 pom.xml
-rw-r--r--   1 1001 users  1977  9月  1  2020 project-assembly.xml

guacamole-client のビルド

今回はソースコードを持ってきたのでビルドをしていきます。Java と Maven が必要なので事前に導入してください。

展開したguacamole-client-1.3.0 ディレクトリの直下で mvn package を実行しアーティファクトを作成します。

# mvn package
[INFO] Scanning for projects...
[INFO] ------------------------------------------------------------------------
[INFO] Reactor Build Order:
[INFO] 
[INFO] guacamole-common                                                   [jar]
[INFO] guacamole-ext                                                      [jar]
[INFO] guacamole-common-js                                                [pom]
[INFO] guacamole                                                          [war]
[INFO] guacamole-auth-cas                                                 [jar]
[INFO] guacamole-auth-duo                                                 [jar]
[INFO] guacamole-auth-header                                              [jar]
[INFO] guacamole-auth-jdbc                                                [pom]
[INFO] guacamole-auth-jdbc-base                                           [jar]
[INFO] guacamole-auth-jdbc-mysql                                          [jar]
[INFO] guacamole-auth-jdbc-postgresql                                     [jar]
[INFO] guacamole-auth-jdbc-sqlserver                                      [jar]
[INFO] guacamole-auth-jdbc-dist                                           [jar]
[INFO] guacamole-auth-ldap                                                [jar]
[INFO] guacamole-auth-openid                                              [jar]
[INFO] guacamole-auth-quickconnect                                        [jar]
[INFO] guacamole-auth-saml                                                [jar]
[INFO] guacamole-auth-totp                                                [jar]
[INFO] guacamole-example                                                  [war]
[INFO] guacamole-playback-example                                         [war]
[INFO] guacamole-client                                                   [pom]
[INFO] 
[INFO] ---------------< org.apache.guacamole:guacamole-common >----------------
[INFO] Building guacamole-common 1.3.0                                   [1/21]
[INFO] --------------------------------[ jar ]---------------------------------

<中略>

[INFO] --- maven-assembly-plugin:2.5.3:single (make-source-archive) @ guacamole-client ---
[INFO] Reading assembly descriptor: project-assembly.xml
[INFO] Building tar: /root/guacamole-client-1.3.0/target/guacamole-client-1.3.0.tar.gz
[INFO] ------------------------------------------------------------------------
[INFO] Reactor Summary:
[INFO] 
[INFO] guacamole-common 1.3.0 ............................. SUCCESS [01:44 min]
[INFO] guacamole-ext 1.3.0 ................................ SUCCESS [  7.072 s]
[INFO] guacamole-common-js 1.3.0 .......................... SUCCESS [ 15.820 s]
[INFO] guacamole 1.3.0 .................................... SUCCESS [01:09 min]
[INFO] guacamole-auth-cas 1.3.0 ........................... SUCCESS [ 16.991 s]
[INFO] guacamole-auth-duo 1.3.0 ........................... SUCCESS [  2.884 s]
[INFO] guacamole-auth-header 1.2.0 ........................ SUCCESS [  1.801 s]
[INFO] guacamole-auth-jdbc 1.3.0 .......................... SUCCESS [  0.028 s]
[INFO] guacamole-auth-jdbc-base 1.3.0 ..................... SUCCESS [  4.102 s]
[INFO] guacamole-auth-jdbc-mysql 1.3.0 .................... SUCCESS [  2.728 s]
[INFO] guacamole-auth-jdbc-postgresql 1.3.0 ............... SUCCESS [  2.599 s]
[INFO] guacamole-auth-jdbc-sqlserver 1.3.0 ................ SUCCESS [  2.473 s]
[INFO] guacamole-auth-jdbc-dist 1.3.0 ..................... SUCCESS [  3.354 s]
[INFO] guacamole-auth-ldap 1.3.0 .......................... SUCCESS [  8.983 s]
[INFO] guacamole-auth-openid 1.3.0 ........................ SUCCESS [  2.131 s]
[INFO] guacamole-auth-quickconnect 1.3.0 .................. SUCCESS [  2.622 s]
[INFO] guacamole-auth-saml 1.3.0 .......................... SUCCESS [  5.058 s]
[INFO] guacamole-auth-totp 1.3.0 .......................... SUCCESS [  6.922 s]
[INFO] guacamole-example 1.3.0 ............................ SUCCESS [  1.049 s]
[INFO] guacamole-playback-example 1.3.0 ................... SUCCESS [  0.367 s]
[INFO] guacamole-client 1.3.0 ............................. SUCCESS [  3.428 s]
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time:  04:24 min
[INFO] Finished at: 2021-04-21T18:39:45+08:00
[INFO] ------------------------------------------------------------------------

BUILD SUCCESS が表示されていればアーティファクトが作成されています。
war ファイルを探すと以下にあるようですね。

# find -name *1.3.0.war -not -path "./doc/*" -ls
1070495 11992 -rw-r--r--   1 root     root     12277217  4月 21 18:38 ./guacamole/target/guacamole-1.3.0.war

あとで使う拡張機能も以下のような所に生成されています。

# find extensions/ -name *1.3.0.jar -ls
791507 3652 -rw-r--r--   1 root     root      3739151  4月 21 18:38 extensions/guacamole-auth-duo/target/guacamole-auth-duo-1.3.0.jar
664165  220 -rw-r--r--   1 root     root       221392  4月 21 18:39 extensions/guacamole-auth-jdbc/modules/guacamole-auth-jdbc-base/target/guacamole-auth-jdbc-base-1.3.0.jar
664652    4 -rw-r--r--   1 root     root         2611  4月 21 18:39 extensions/guacamole-auth-jdbc/modules/guacamole-auth-jdbc-dist/target/guacamole-auth-jdbc-dist-1.3.0.jar
664639 5584 -rw-r--r--   1 root     root      5717087  4月 21 18:39 extensions/guacamole-auth-jdbc/modules/guacamole-auth-jdbc-sqlserver/target/guacamole-auth-jdbc-sqlserver-1.3.0.jar
796047 5592 -rw-r--r--   1 root     root      5723346  4月 21 18:39 extensions/guacamole-auth-jdbc/modules/guacamole-auth-jdbc-mysql/target/guacamole-auth-jdbc-mysql-1.3.0.jar
664517 5588 -rw-r--r--   1 root     root      5720551  4月 21 18:39 extensions/guacamole-auth-jdbc/modules/guacamole-auth-jdbc-postgresql/target/guacamole-auth-jdbc-postgresql-1.3.0.jar
1192718 1000 -rw-r--r--   1 root     root      1019956  4月 21 18:39 extensions/guacamole-auth-openid/target/guacamole-auth-openid-1.3.0.jar
1074427 4872 -rw-r--r--   1 root     root      4986175  4月 21 18:39 extensions/guacamole-auth-totp/target/guacamole-auth-totp-1.3.0.jar
533809   24 -rw-r--r--   1 root     root        24523  4月 21 18:39 extensions/guacamole-auth-quickconnect/target/guacamole-auth-quickconnect-1.3.0.jar
1192695 7408 -rw-r--r--   1 root     root      7582202  4月 21 18:39 extensions/guacamole-auth-ldap/target/guacamole-auth-ldap-1.3.0.jar
665518 3960 -rw-r--r--   1 root     root      4053779  4月 21 18:39 extensions/guacamole-auth-saml/target/guacamole-auth-saml-1.3.0.jar
1189984 3772 -rw-r--r--   1 root     root      3858939  4月 21 18:38 extensions/guacamole-auth-cas/target/guacamole-auth-cas-1.3.0.jar

guacamole-client (Web アプリ) のデプロイ

デプロイ先に Java のアプリケーションサーバーが必要です。
今回は Tomcat を使用しています。warファイルを配置します。

# cp guacamole/target/guacamole-1.3.0.war /opt/tomcat/webapps/guacamole.war

# ls -la /opt/tomcat/webapps/
合計 12024
drwxr-x---  8 tomcat tomcat     4096  4月 21 21:09 .
drwxr-xr-x  9 tomcat tomcat     4096  4月 21 15:52 ..
drwxr-x---  3 tomcat tomcat     4096  4月 20 14:04 ROOT
drwxr-x--- 15 tomcat tomcat     4096  4月 20 14:04 docs
drwxr-x---  7 tomcat tomcat     4096  4月 20 14:04 examples
drwxr-x--- 11 tomcat tomcat     4096  4月 21 21:09 guacamole
-rw-r--r--  1 root   root   12277217  4月 21 21:09 guacamole.war
drwxr-x---  6 tomcat tomcat     4096  4月 20 14:04 host-manager
drwxr-x---  6 tomcat tomcat     4096  4月 20 14:04 manager

以下の画面が表示出来ればデプロイは成功です。webサーバーがいれば https://xxxxxxx/guacamole Tomcatに直接であれば http://localhost:8080/guacamole でアクセスします。

Guacamole ログイン画面

Alibaba Cloud SLB (CLB)の設定

ここからは少し Alibaba Cloud の話が入ります。今回はECSにグローバルIPを持たせていないので、サーバーの前段にロードバランサーを配置します。今回はそこの設定手順も見ていきたいと思います。
※必要な人だけ行ってください。

Guacamole サーバー構成(Web/AP)

Alibaba Cloud の管理コンソールから「Server Load Balancer」のページへ遷移して「Create CLB」を選択します。

Alibaba Cloud CLB の作成

リージョンやインスタンスタイプなどを選択して「Buy Now」を選択します。

Alibaba Cloud CLB の作成詳細

設定内容の確認が出るので「Terms of Service」をチェックして「Activate Now」を選択します。

Alibaba Cloud CLB の作成確認画面

「Server Load Balancer」のページへ戻り一覧から作成した SLB(CLB)の「Configure」を選択します。

Alibaba Cloud CLB の一覧画面

リスナーのプロトコルを選ぶのですが、今回はHTTPSを選択して「Next」を選択します。
なお、HTTPSを使うにはSSL証明書が必要になります。

Alibaba Cloud CLB の設定(プロトコル)

ここで、取込済みの証明書を選択するか、新たに取込んだSSL証明書を選択して「Next」を選択します。
※今回は割愛しますが、必要であれば別途手順を書きます。

Alibaba Cloud CLB の設定(SSL証明書)

バックエンドのサーバーを選択する画面になります。
「VServer Groupe」と「Default server group」がありますが、今回は「Default server group」を選択して「Add More」を選択します。
※「VServer Groupe」は一つのSLBで複数のドメインやURLの宛先に応じて異なるバックエンドに振り分ける場合に使用します。

Alibaba Cloud CLB の設定(バックエンドサーバー)

SLB(CLB)に紐付けるECSを選択します。


Alibaba Cloud CLB の設定(サーバー選択)

今回は1台だけなので「Weight」は100にして「Add」を選択します。

Alibaba Cloud CLB の設定(サーバー追加)

今回バックエンドのTomcatは8080ポートのままなので「port」に8080を入力し「Next」を選択します。

Alibaba Cloud CLB の設定(バックエンドポート指定)

ヘルスチェックはバックのTomcatの設定による部分はありますが・・・デフォルトであればこのままで大丈夫なはずです。
「Next」を選択します。

Alibaba Cloud CLB の設定(ヘルスチェック)

設定内容が表示されるので問題がなければ「Submit」を選択します。

Alibaba Cloud CLB の設定確認画面

こんな感じで表示されれば作成は成功です。

Alibaba Cloud CLB の設定成功

「OK」を選択すると作成したSLB(CLB)が表示されます。
グローバルIPが表示されるので、このIPアドレスをドメインを管理しているDNSにてAレコードとして設定してあげてください。
※この部分は今回割愛させて頂きます。

Alibaba Cloud CLB の一覧画面

一応このままIPでアクセスすることも可能ですが、SSL証明書と合わないので怒られると思います。
DNSの設定前に確認が必要であれば「X.X.X.Xにアクセスする(安全ではありません)」を選択して表示できるかは確認できます。

Alibaba Cloud CLB アクセス(IP直接)

ちなみに、まだ東京リージョンに来ていない且つベータ版ですが、新しく出た Application Load Balancer(ALB) の方はAlibabaが持つドメイン名での提供となります。
※実際に使用されるときはDNSでCNAMEを設定することになるかと思いますが。

Alibaba Cloud ALB のサンプル画面

まずはWebアプリにアクセスできる所まで来ました。
ただし、このままだとログインユーザーや接続先の設定などは出来ていないので、そちらの準備をしていきます。

Guacamole を利用するにはデフォルトの user-mapping.xml を使った方法と別途DBを使う方法があります。
今回はコストは掛かりますが管理のしやすいDBを使った方法でいきたいと思います。

DBを立てられない、一人で簡単に使いたいだけであれば /etc/guacamole/user-mapping.xml に以下のような設定をすることで利用可能です。
詳しくは公式の手順をご確認ください。

https://guacamole.apache.org/doc/gug/configuring-guacamole.html#basic-auth

<user-mapping>
  <!-- ログイン用ID/Pass -->
  <authorize username="guacuser" password="y7eQkJKZME#oW6jc4E">
    <!-- ログイン先のサーバー情報 -->
    <connection name="Win">
      <protocol>rdp</protocol>
      <!-- hostname または プライベートIP -->
      <param name="hostname">10.100.10.120</param>
      <param name="port">3389</param>
      <param name="username">Administrator</param>
      <param name="password">4NU&*34M8LX5fZ8LL@</param>
    </connection>
    <connection name="Win2">
      <protocol>rdp</protocol>
      <param name="hostname">10.100.10.153</param>
      <param name="port">3389</param>
      <param name="username">Administrator</param>
      <param name="password">4NU&*34M8LX5fZ8LL@</param>
    </connection>
  </authorize>
</user-mapping>

次回は DB を使った部分の設定をご紹介していきます。
DB は ECS に立てても良いのですが
Alibaba Cloud の Relational Database Service (RDS) を使用する予定です。

[備忘録] CentOS 7 に Apache Guacamole 1.3.0 をインストールする ~ その3

前回のその2に続いて「その3」になります。 今回は  guacamole-client の情報を保存するための 拡張オプションとDBの設定 部分を実施していきます。 環境は Alibaba Cloud の RDS で MySQL 8.0 を使いました。 ECS、SLB と合わせた...