[Admin/développement] Accès full navigateur

Message par **TheMartel** » mar. 26 avr. 2016 11:01

Pour des question de souplesse d'utilisation, je cherche tous les moyens de passer nos outils préférés en full web (donc accès depuis n'importe ou et n'importe comment je dirais). Le prérequis: RIEN coté client, tout est coté serveur. Histoire que ça puisse fonctionner depuis n'importe quel cybercafé, PC bridé, mocheté en tout genre a partir du moment ou il y a un navigateur quelconque et un accès au net...

Il y a quelques points à traiter, voici les premiers résultats de mes recherches. Sachant que la difficulté va souvent être la sécurité, j'attends vos suggestions si c'est trop passoire/on peut améliorer les choses (en respectant le principe de simplicité d'utilisation...):
- Transfert de fichiers
[*]Pour consulter: le navigateur s'en sort sans rien avoir a faire; pour envoyer des fichiers, c'est une autre paire de manches...
- Console SSH
[*]http://www.web-console.org/
- Éditeur pour développement
[*]https://github.com/srobfr/sride

Message par **poulpito** » mar. 26 avr. 2016 11:31

curieux de voir comment tu t'en sors avec la sécu
car console ssh en web bonjour l'ouverture ^^

portail global d'authentification ?

Message par **TheMartel** » mar. 26 avr. 2016 11:39

J'ai des clés securID en rab au pire, mais autant que possible, oui portail unique d'authentification, par "simple" mdp...

J'ai rien de très sensible dessus, serveur perso/dev: je m'amuserais pas a faire ça pour de la data "de prod"

Message par **poulpito** » mar. 26 avr. 2016 11:41

ah ok je pensai que c'était pour le taff c'est pour ça

pour du perso ouai ca se fait largement ^^

Message par **TheMartel** » mar. 26 avr. 2016 11:48

Ce qui m’embête dans la "webconsole", c'est de devoir mettre les identifiants en "dur" dans la fichier... ou a tout autre endroit en dur d’ailleurs.
ça fait quand même vraiment moche, d'autant que l’intérêt est tout de même d'y accéder avec un compte admin...

Message par **TheMartel** » mar. 26 avr. 2016 16:36

J'ai un petit kit d'OTP, avec une licence pour le serveur d’Aladdin SafeWord qui va bien:
ZYXEL OTPV2 STARTER - STARTER KIT 5 TOKENS
ça vous semble réutilisable?

Message par **TheMartel** » mar. 26 avr. 2016 19:07

Open google/office365 doc:
http://korben.info/open365-io-libreoffi ... ateur.html
Installable chez soit d'ici peut apparemment, avec tout un attirail opendropbox et autre.

Cool

Message par **Zedoune** » mar. 26 avr. 2016 20:53

je trouve ça un peu dommage car même si c'est pour du "perso" ça fait prendre de mauvaises habitudes

Message par **TheMartel** » mar. 26 avr. 2016 22:08

C'est un peu pousse par la nécessité: je dois passer 80% de mon temps "disponible" sur des pc sans possibilité de personnalisation. Du coup rien n'avance niveau projets perso...

Message par **Zedoune** » mar. 26 avr. 2016 22:35

au pire tu prends un raspberry pi 2 qui a un client openvpn et puis voilà, ça demande pas grand chose pour le transport et t'es bien sécurisé

tu le branches sur les pc où tu serais habituellement

Message par **TheMartel** » mar. 26 avr. 2016 23:47

Réseau limité avec proxy venere/filtrage, et pas d'accès au net si tu as pas la mac quivabien...
Non je crois que j'ai pas trop d'autre choix...

Message par **Zedoune** » mer. 27 avr. 2016 09:29

Réseau limité avec proxy venere/filtrage, et pas d'accès au net si tu as pas la mac quivabien...
Non je crois que j'ai pas trop d'autre choix...

une clé 4G

Message par **poulpito** » mer. 27 avr. 2016 09:31

ouai enfin ca rime à rien de payer pour de la 4G alors que de l'accès distant suffit

quand tu parles de mauvaises habitudes tu parles de quoi ?
de bosser à distance perso ou de passer par un portail et cie ?

moi ca me choque pas dans la mesure ou c'est des services perso fait par toi, hébergé par toi, etc

Message par **Zedoune** » mer. 27 avr. 2016 09:34

ouai enfin ca rime à rien de payer pour de la 4G alors que de l'accès distant suffit

quand tu parles de mauvaises habitudes tu parles de quoi ?
de bosser à distance perso ou de passer par un portail et cie ?

moi ca me choque pas dans la mesure ou c'est des services perso fait par toi, hébergé par toi, etc

de faire du ssh par une console web

Message par **poulpito** » mer. 27 avr. 2016 09:37

oui non ca c'est moche mais dans son cas tu as quoi comme alternative ?
si c'est bien protégé il y a pas de risque spécial (puis t'es pas obligé d'utiliser un user full droit, tu peux le mettre sur un user restreint avec un mdp a la con différent du root et tu change juste de user après être log)

Message par **Zedoune** » mer. 27 avr. 2016 09:38

oui non ca c'est moche mais dans son cas tu as quoi comme alternative ?
si c'est bien protégé il y a pas de risque spécial (puis t'es pas obligé d'utiliser un user full droit, tu peux le mettre sur un user restreint avec un mdp a la con différent du root et tu change juste de user après être log)

J'ai pas d'alternative sécurisée

Du coup des fois vaut mieux juste pas faire

Message par **biour** » mer. 27 avr. 2016 09:44

client leger Teamviewer. ce truc passe de partout (meme au taf

)
comme cela tu accede a une becanne, ou tu as ton portail accessible en local uniquement

Message par **merlin2000fr** » mer. 27 avr. 2016 10:16

apres pourquoi ne pas demander d'avoir la possibilité de te loguer sur ton serveur semi pro depuis le taf au service de ressources informatique ?

cela se fait souvent depuis quelques temps.

Message par **poulpito** » mer. 27 avr. 2016 10:21

oula ca se fait pas partout ^^

Message par **merlin2000fr** » mer. 27 avr. 2016 10:25

dans les grands groupes vu le nombre d'intervenant oui c'est sur que pour les ptits unité je ne sais pas, mais cela date d'y a 4/5 ans ca donc effectivement cela a pu bouger dans un sens ou dans l'autre

Message par **TheMartel** » mer. 27 avr. 2016 10:27

oui non ca c'est moche mais dans son cas tu as quoi comme alternative ?
si c'est bien protégé il y a pas de risque spécial (puis t'es pas obligé d'utiliser un user full droit, tu peux le mettre sur un user restreint avec un mdp a la con différent du root et tu change juste de user après être log)

Pas bête ça, utilisateur ultra limité pour initier la connexion puis passage en root...

client leger Teamviewer. ce truc passe de partout (meme au taf )
comme cela tu accede a une becanne, ou tu as ton portail accessible en local uniquement

Client léger => matos ou soft à trimballer=> pas possible/pratique

apres pourquoi ne pas demander d'avoir la possibilité de te loguer sur ton serveur semi pro depuis le taf au service de ressources informatique ?

cela se fait souvent depuis quelques temps.

Je me vois mal le faire... et du coup ça demande un bonne part d'anticipation. L'objectif est aussi qu n'importe quel pote puisse travailler très simplement et ponctuellement avec tous les droits et accès possibles.

oula ca se fait pas partout ^^

Chez moi c'est mort clairement.

Message par **biour** » mer. 27 avr. 2016 10:53

Client léger => matos ou soft à trimballer=> pas possible/pratique

c'est un Exe de 17mo, donc soit tu l'as sur une clé usb, soit tu le recup, y'a pas besoin de faire une install, et je crois qu'il gère l'authentif 2 facteurs

Message par **poulpito** » mer. 27 avr. 2016 10:55

team passe pas si y'a du dpi et que l'admin le bloque

Message par **biour** » mer. 27 avr. 2016 11:00

j'ai du DPI au taf mais ils doivent pas le bloquer,

apres y'a aussi le moyen de regarder un proxy dans le fichier .pac mais la c'est lourd et long

Message par **c0bw3b** » mer. 27 avr. 2016 11:53

Okay tu veux un poste de travail complet (VDI) dans le browser en fait.

Il existe maintenant des trucs full-HTML5 équivalent à du RDP/VNC.

* Ulteo OVC en community :
http://www.ulteo.com/features/ (look les captures)
Démo : https://www.youtube.com/watch?v=gi8InL2tr5o

* Guacamole qui est en fait une passerelle RDPHTML5 :
http://guac-dev.org/