Comment déployer un bastion d’administration avec la solution open source Teleport ?

I. Présentation

Dans ce tutoriel, nous allons apprendre à installer et à configurer Teleport, une application open source pour déployer un bastion d'administration ! Cet article se concentre sur la version "Community" (gratuite) de Teleport, mais sachez qu'il y a également des versions payantes avec plus de fonctionnalités. Quoi qu'il en soit, Teleport est une solution moderne pour vous permettre d'administrer votre infrastructure.

Nous allons commencer par une présentation de l'architecture de Teleport et de ses fonctionnalités principales, avant de passer à la pratique ! Nous verrons comment l'installer et inscrire nos premières ressources à administrer !

La documentation de Teleport est ultra-complète et c'est vraiment appréciable. Différents liens seront intégrés tout au long de cet article. Par ailleurs, il semble y avoir une communauté assez importante autour de ce projet.

• Voir la vidéo sur YouTube

Teleport est une alternative à Apache Guacamole, un autre bastion open source que j'ai déjà présenté dans une série de tutoriels :

• Mise en œuvre d'un bastion d'administration avec Apache Guacamole

II. Architecture de Teleport

L'architecture Teleport repose sur une notion de cluster. En fait, un cluster Teleport correspond à plusieurs composants : Teleport Auth Service, Teleport Proxy Service, des agents Teleport et des ressources auxquelles vous souhaitez vous connecter.

Teleport intègre son propre modèle de sécurité où le "Teleport Auth Service" est l'autorité de certification. C'est elle qui émet des certificats pour les utilisateurs et les serveurs, pour tous les protocoles pris en charge (SSH, RDP, HTTPS, etc.). Ceci implique que tous les utilisateurs et les serveurs doivent "joindre" l'instance Teleport que l'on appelle un cluster Teleport. Avec Teleport, oubliez les mots de passe et les clés : l'authentification est effectuée avec des certificats !

Par ailleurs, Teleport s'appuie sur le composant "Teleport Proxy Service" pour rendre accessibles les ressources depuis l'extérieur (en principe, c'est le seul composant accessible depuis Internet).

Enfin, les agents Teleport permettent les communications entre l'instance Teleport et les ressources à administrer.

III. Les fonctions clés de Teleport

Pour mieux faire connaissance avec Teleport, voici une liste exhaustive des fonctionnalités présentes dans la version communautaire :

• Prise en charge de divers protocoles et services : SSH, RDP, HTTPS, Kubernetes, PostgreSQL, MongoDB, MySQL, etc.
• Accès basé sur les rôles (RBAC)
• Gestion d'utilisateurs avec prise en charge native du MFA (TOTP)
• Journaux de sécurité et d'audit pour savoir tout ce qui se passe sur votre cluster Teleport
• Enregistrement des sessions au format vidéo (avec replay)
• Authentification basée sur des certificats (on oublie l'authentification par mot de passe et par clé)
• Personnalisation de la configuration à l'aide de l'interface Web, de ligne de commandes et de fichiers YAML
• Aucun client lourd à installer, car l'accès aux sessions s'effectue à partir de l'interface Web (bien qu'il existe une app cliente)
• Hiérarchisation de plusieurs bastions Teleport
• Solution modulaire : les différents services peuvent être répartis sur différents hôtes

Pour comparer les différentes éditions de Teleport, notamment la version communautaire avec les versions payantes, rendez-vous sur cette page :

• Comparer les éditions de Teleport

Contrairement aux versions payantes, la version communautaire ne prend pas en charge le SSO SAML (uniquement le SSO GitHub), ni les clés matérielles pour l'authentification.

IV. Mise en place de Teleport sur Debian 12

Dans ce tutoriel, nous allons déployer Teleport sur une machine Debian 12. L'objectif étant de publier Teleport via l'URL suivante : https://teleport.it-connect.tech. Pour le certificat SSL, il sera obtenu via Let's Encrypt. Vous pouvez bien entendu utiliser un autre type de certificat.

En production, il est recommandé de publier Teleport derrière un reverse proxy. Cette partie ne sera pas abordée dans ce premier article.

Remarque : Teleport peut être déployé dans un container Docker.

A. Préparation du nom de domaine

Avant de procéder à l'installation, il faut préparer le nom de domaine que vous allez utiliser pour Teleport. Ici, un nom de domaine public est utilisé.

Il y a deux enregistrements A à créer dans la zone DNS du domaine :

teleport.domaine.fr
*.teleport.domaine.fr

Ces deux enregistrements A doivent pointer vers l'adresse IP du serveur Teleport (ou celle du reverse proxy, selon l'architecture). En ce qui me concerne, les enregistrements sont créés dans la zone DNS du domaine "it-connect.tech".

Pour vérifier que l'enregistrement DNS est bien pris en charge, vous pouvez utiliser l'outil nslookup :

nslookup teleport.it-connect.tech

Cette commande doit retourner l'adresse IPv4 définie dans l'enregistrement DNS.

• Comment utiliser nslookup ?

B. Installation de Teleport

L'installation de Teleport est très simple car il suffit d'exécuter un script d'installation mis à disposition sur le site officiel de la solution. Ainsi, nous allons exécuter cette commande et patienter un instant (la version 14.1.1 sera installée) :

sudo curl https://goteleport.com/static/install.sh | bash -s 14.1.1

Suite à l'installation de Teleport, nous avons plusieurs commandes à notre disposition comme le montre l'image ci-dessous. Nous ferons appel à certaines d'entre elles dans la suite de cet article.

Pour que Teleport soit actif, il convient de créer un fichier de configuration. Pour cela, nous utiliser la commande "teleport" avec plusieurs options. Le fait d'utiliser "--acme" permet d'obtenir un certificat SSL via Let's Encrypt, tandis que le donnera également un nom à notre cluster (en reprenant le nom de domaine). Même s'il n'y a qu'un hôte Teleport, on parle de cluster.

sudo teleport configure -o file --acme --acme-email=[email protected] --cluster-name=teleport.it-connect.tech

Cette commande aura pour effet de créer le fichier de configuration suivant :

/etc/teleport.yaml

Pour finir, nous allons activer le démarrage automatique de Teleport et le démarrer dès maintenant :

sudo systemctl enable teleport
Created symlink /etc/systemd/system/multi-user.target.wants/teleport.service → /lib/systemd/system/teleport.service.
sudo systemctl start teleport

A partir de ce moment-là, vous devez pouvoir accéder à la page de connexion de Teleport :

Mais, comment se connecter ? C'est ce que nous allons voir dans la prochaine partie !

C. Créer un premier compte administrateur

Pour créer notre premier compte administrateur et ainsi avoir accès à l'interface Web de Teleport, nous devons utiliser la ligne de commande.

L'exemple ci-dessous permet de créer l'utilisateur "admin.fb", de lui attribuer les rôles "editor" et "access", et on lui autorise aussi l'utilisation de trois identifiants pour se connecter aux ressources (--logins pour les identifiants Linux / --windows-login pour les identifiants Windows). Le mot de passe doit être défini dans un second temps.

sudo tctl users add admin.fb --roles=editor,access --logins=admin.fb,Administrateur,flo

• Teleport - Documentation - Gestion des comptes locaux

Cette commande retournera une sortie similaire à celle-ci :

User "admin.fb" has been created but requires a password. Share this URL with the user to complete user setup, link is valid for 1h:
https://teleport.it-connect.tech:443/web/invite/46d49a7b4456c5421a2628bdcabe41c4
NOTE: Make sure teleport.it-connect.tech:443 points at a Teleport proxy which users can access.

Nous devons utiliser le lien d'invitation pour accéder à l'interface Teleport afin de créer un mot de passe. Il faudra aussi configurer le MFA sur notre compte : c'est appréciable !

Après avoir finalisé la création du compte, vous avez accès à l'interface de Teleport !

En ligne de commande, vous pouvez lister les comptes utilisateurs et leurs rôles avec cette commande :

sudo tctl users ls

V. Comment ajouter des ressources à Teleport ?

Pour ajouter une nouvelle ressource dans Teleport, nous devons cliquer sur le bouton "Enroll New Resource" en haut à droite.

Comme le montre l'image ci-dessous, Teleport prend en charge des ressources diverses et variées : Linux, macOS, Windows, SQL Server, MySQL, Kubernetes, etc...

VI. Teleport : se connecter à un serveur Linux (SSH)

Pour commencer, nous allons ajouter une machine sous Debian (nommée SRV-DEB-1) : la connexion vers cet hôte sera établie via SSH. Dans ce cas, nous allons cliquer sur "Debian 8+" dans la liste. Un assistant sera exécuté.

Le service Teleport doit être déployé sur la machine Linux. Là encore, Teleport facilite l'opération en mettant à notre disposition un script d'installation prêt à l'emploi. Il suffit de copier la ligne de commande qui s'affiche dans l'assistant :

Nous allons nous connecter en SSH sur la machine SRV-DEB-1 afin d'exécuter la commande :

Suite à l'installation du service Teleport, il y a bien une communication établie avec le serveur Teleport. D'ailleurs, l'assistant Teleport nous donne l'information : "Successfully detected your new Teleport instance". Nous pouvons cliquer sur "Next".

A l'étape "Set Up Access", nous devons indiquer quels sont les utilisateurs disponibles pour se connecter sur ce serveur. Ici, l'utilisateur "flo" est indiqué car il est présent sur la machine "SRV-DEB-1". Poursuivez.

La dernière étape consiste à tester la connexion. Bien que ce soit facultatif, ceci permet de valider que tout fonctionne.

Désormais, cette nouvelle ressource est disponible sur le tableau de bord de Teleport. Nous pouvons établir une connexion vers cette ressource à tout moment. Il suffit de cliquer sur le bouton "Connect" et de choisir l'utilisateur avec lequel s'authentifier.

L'authentification est automatique et gérée par Teleport. Il n'est pas nécessaire de saisir le mot de passe de l'utilisateur. Nous obtenons bien accès à la session sur le serveur distant :

Il ne reste plus qu'à profiter de Teleport comme bastion SSH pour administrer un ou plusieurs serveurs Linux !

VII. Teleport : se connecter à des serveurs Windows (RDP)

Nous allons connecter notre instance Teleport à un environnement Active Directory de manière à pouvoir nous authentifier sur les machines du domaine Active Directory depuis l'interface de notre bastion Teleport. En termes de mise en œuvre, c'est plus lourd que pour ajouter une machine Linux.

Sachez qu'il est possible d'ajouter une ou plusieurs machines Windows sans passer par l'Active Directory. Dans ce cas, regardez cette page :

• Teleport - Documentation - Ajouter une machine Windows (standalone)

Remarque : l'instance Teleport doit être en mesure de résoudre votre nom de domaine Active Directory.

A. Préparer l'Active Directory pour Teleport

Teleport va se connecter à votre domaine Active Directory de manière à permettre l'authentification sur vos machines à l'aide de certificats. Ceci implique de préparer l'environnement. Lorsque la configuration sera prête, Teleport va partir en phase de découverte : il va ajouter en tant que ressources dans Teleport toutes les machines Windows de votre annuaire Active Directory.

Pour cela, nous avons deux solutions :

• Utiliser un script PowerShell prêt à l'emploi mis à disposition par Teleport (voir la doc)
  • Ce script est fourni par l'assistant d'inscription d'une ressource de type "Active Directory"

• Effectuer les étapes manuellement, une à une (voir la doc)

Il faut savoir que Teleport a besoin d'un contrôleur de domaine Active Directory (rôle ADDS) et d'une autorité de certification Active Directory (rôle ADCS). Sachez que le script de configuration automatique ne fonctionnera pas sur tous les environnements. Par exemple, si les rôles ADDS et ADCS ne sont pas installés sur le même serveur, il échouera à la fin.

Quoi qu'il en soit, il y a les grandes étapes suivantes à effectuer :

• Créer un compte de service dédié à Teleport (avec des autorisations restrictives pour des raisons de sécurité)
• Créer une GPO pour empêcher le compte de service Teleport de se connecter en mode interactif
• Créer une GPO pour autoriser les connexions Teleport sur les serveurs et postes de travail Windows
  • Vous devez configurer une GPO qui autorise les machines Windows à faire confiance à l'autorité de certification Teleport et à accepter l'authentification par carte à puce basée sur un certificat (Smart card). Ceci implique de publier le certificat de la CA Teleport dans l'Active Directory et de configurer l'accès RDP des machines Windows
• Configurer un certificat pour les connexions RDP
• Exporter le certificat de l'autorité de certification Active Directory (afin de le déclarer dans Teleport par la suite)
• Configurer le service "Windows Desktop Service" de Teleport

Référez-vous à la documentation officielle (ou à ma vidéo) pour effectuer la préparation de l'environnement Active Directory.

Toutefois, nous allons quand même parler de la dernière étape : configurer le service "Windows Desktop Service" de Teleport.

B. Configurer Windows Desktop Service dans Teleport

Nous devons modifier le fichier "/etc/teleport.yaml" pour configurer le "Windows Desktop Service" de Teleport. L'assistant Teleport qui sert à ajouter une ressource Active Directory nous donne une configuration complète, mais nous ne devons pas écraser tout le contenu de notre fichier "teleport.yaml".

• Nous devons uniquement ajouter ces lignes (à adapter avec vos valeurs) :

Si vous avez besoin d'aide pour obtenir votre certificat ADCS (à renseigner dans la propriété ldap_ca_cert), exécutez ces lignes dans une console PowerShell (sur votre serveur ADCS) :

$WindowsDERFile = $env:TEMP + "\windows.der"
$WindowsPEMFile = $env:TEMP + "\windows.pem"
certutil "-ca.cert" $WindowsDERFile
certutil -encode $WindowsDERFile $WindowsPEMFile

Vous n'aurez plus qu'à copier-coller la valeur :

Une fois que le fichier "teleport.yaml" a été modifié avec les nouvelles valeurs. Redémarrez le service Teleport :

sudo systemctl restart teleport

C. Découverte des hôtes Windows

Suite à son redémarrage, Teleport va prendre en charge la configuration du service Windows Desktop. Ainsi, il va partir en phase de découverte des hôtes Windows de notre Active Directory. Vous pouvez suivre ce processus en regardant le statut de Teleport :

sudo systemctl status teleport

D'ailleurs, si cette commande retourne une erreur et que Teleport est arrêté, c'est qu'il y a surement une erreur dans le fichier de configuration "teleport.yaml".

Sinon, vous devriez voir des lignes comme celles-ci :

Elles seront suivies par d'autres lignes qui montrent bien que Teleport est en train de créer des ressources pour nos hôtes Windows :

Du côté de l'interface de Teleport, nous pouvons voir apparaître les ressources Windows :

Afin de pouvoir nous connecter aux machines Windows, nous avons une configuration supplémentaire à effectuer.

D. RBAC : créer un rôle pour l'accès aux ressources Windows

Teleport prend en charge la création de chaque rôle, où chaque rôle peut donner accès à une ou plusieurs ressources. Nous devons créer un rôle permettant d'accéder aux machines Windows.

• Teleport - Documentation - RBAC

Dans cet exemple, nous allons créer le rôle "windows-desktop-admins-t0" pour donner accès uniquement aux machines situées dans l'OU "OU=Domain Controllers,DC=it-connect,DC=local" de notre Active Directory. Nous allons autoriser le compte "admin.t0" et les éventuels "windows_logins" spécifiés lors de la création des comptes locaux de Teleport (via l'option --windows-logins de la commande tctl users add). Dans cet objectif, nous pouvons considérer qu'il s'agit d'un rôle pour l'administration du tiers 0 de notre environnement AD.

Commençons par créer un fichier YAML pour définir ce rôle :

sudo nano /etc/windows-desktop-admins-t0.yaml

Puis, dans ce fichier nous allons ajouter le contenu suivant (référez-vous à la documentation pour ajouter vos propres filtres) :

kind: role
version: v5
metadata:
  name: windows-desktop-admins-t0
spec:
  allow:
    windows_desktop_labels:
      teleport.dev/ou: "OU=Domain Controllers,DC=it-connect,DC=local"
      windows_desktop_logins: ["admin.t0", "{{internal.windows_logins}}"]

Quand le fichier est prêt, nous pouvons l'enregistrer.

Ensuite, nous devons créer le rôle dans Teleport en utilisant ce fichier YAML comme source :

cd /etc/
sudo tctl create -f windows-desktop-admins-t0.yaml
role 'windows-desktop-admins-t0' has been created

Ce rôle est désormais référencé dans l'interface de Teleport :

Pour que notre utilisateur "admin.fb" (ou un autre utilisateur) puisse se connecter aux ressources Windows correspondantes, nous devons lui associer ce rôle.

À partir du menu "Users" à gauche, nous allons éditer l'utilisateur et lui attribuer le rôle :

Ensuite, nous devons nous déconnecter puis nous reconnecter à Teleport afin de faire un test de connexion...

E. Se connecter à une machine Windows en RDP

Notre utilisateur "admin.fb", peut, en théorie, se connecter aux serveurs de l'OU "Domain Controllers" de l'AD. C'est le cas du serveur SRV-ADDS-01. En cliquant sur "Connect" au niveau de cette ressource, nous pouvons spécifier un nom d'utilisateur ou choisir directement "admin.t0".

Après avoir indiqué l'identifiant, la connexion vers l'hôte distant sera établie via le protocole RDP. L'authentification par certificat est automatique. À condition que cet utilisateur dispose bien des autorisations nécessaires (aussi bien côté du serveur cible que des permissions Teleport (RBAC)).

La fonction "Share Directory" permet de partager un répertoire de votre PC avec l'hôte distant.

Après l'avoir sélectionné, il apparaît bien dans l'Explorateur de fichiers du serveur.

Désormais, mon instance Teleport me permet d'administrer des machines Windows et Linux.

VIII. Découverte des fonctionnalités de Teleport

Pour finir, nous allons "découvrir en images" certaines fonctionnalités de Teleport. Il s'agit de fonctionnalités accessibles dans la version gratuite (Community).

A. Les sessions actives

La section "Active Sessions" permet d'obtenir la liste des sessions actives. Dans l'exemple ci-dessous, nous pouvons voir que l'utilisateur "admin.fb" est connecté depuis 26 secondes au serveur "SRV-DEB-1". Sur les sessions en mode "console" (comme celle-ci), il est possible d'intervenir en tant qu'observateur (vous voyez en direct ce que fait l'utilisateur) ou en tant que "paire" (vous voyez ce que fait l'utilisateur et vous pouvez intervenir également, pour saisir une commande par exemple).

B. Les enregistrements vidéos des sessions

Teleport prend en charge nativement l'enregistrement des sessions. Chaque session est automatiquement enregistrée et il est possible de revoir chaque session via la section "Session Recordings" de l'interface de Teleport. Autrement dit, chaque session donne lieu à un fichier vidéo permettant d'avoir un replay complet de la session.

C. Les journaux d'audit

Très importante, la section "Audit Log" permet d'avoir un historique de tous les événements liés au bastion Teleport. Voici quelques exemples :

• Connexion d'un utilisateur
• Création d'une nouvelle ressource
• Délivrance d'un nouveau certificat de connexion
• Création d'un nouvel enregistrement de session
• Connexion à une session
• Etc...

Vous savez tout ce qu'il s'est passé et quand ça s'est passé !

D. L'application Teleport Connect

L'application Teleport Connect est un client Teleport qui se présente sous la forme d'une application disponible pour Windows, Linux et macOS. Elle permet de se connecter à un cluster Teleport et d'accéder aux ressources inscrites. Cette application prend en charge uniquement les serveurs en SSH, Kubernetes et les bases de données.

• Télécharger Teleport Connect

Pour en savoir plus, consultez ce lien :

• Teleport - Documentation - Teleport Connect

E. Le verrouillage des objets

Dans Teleport, vous pouvez verrouiller un objet : un utilisateur, une ressource (serveur), un rôle, un identifiant, un appareil utilisé pour le MFA, etc.... C'est une fonction importante, notamment pour agir rapidement si un compte utilisateur ou un serveur est compromis, mais également pour passer un serveur en mode maintenance.

Par exemple, nous pouvons verrouiller un serveur pendant 1 heure le temps d'une maintenance. Ainsi, nous sommes sûrs qu'aucun utilisateur ne pourra se connecter à ce serveur.

L'interface de Teleport donne un aperçu rapide sur l'ensemble des verrouillages en cours :

Pour aller plus loin avec le locking, consultez la documentation :

• Teleport - Documentation - Locking

IX. Conclusion

Après avoir suivi ce tutoriel, vous devriez être en mesure de déployer Teleport et administrer vos premiers serveurs, que ce soit du Linux ou du Windows. Vous pouvez aller plus loin puisque Teleport prend en charge d'autres types de ressources.

Si vous avez des questions ou des idées pour un prochain tutoriel sur Teleport, n'hésitez pas à poster un commentaire.

Pour aller plus loin, rendez-vous sur la documentation officielle ainsi que la chaine YouTube de la solution :

• Documentation de Teleport
• Chaine YouTube de Teleport