1/5/20

Apache Guacamole en Docker con certificado SSL de Let's Encrypt

En un articulo anterior les mostré como montar un servicio de puerta de enlace de escritorio remoto vía web con Apache Guacamole, todo sobre Docker, en este articulo vamos a añadir otra capa de seguridad sumando dos contenedores adicionales, un nginx proxy y un companion que se encarga de generar un certificado SSL de Let's Encrypt y mantenerlo actualizado.

A considerar antes de iniciar:
  • NOTA1: Debemos contar con un dominio o un DDNS.
  • NOTA2: Si ya siguieron el tutorial anterior tienen dos opciones... Borrarlo todo y seguir este nuevo tutorial o solamente hacer los ajustes necesarios al .yml y al archivo .env para añadir los dos nuevos contenedores.
  • NOTA3Let's Encrypt necesita que tengas el puerto 443 y 80 abiertos en tu router a modo de poder hacer la validación y generar el SSL. 
Si comienzan desde "cero" pueden correr el siguiente script:


Del siguiente modo:

Cambiar a sudo:

sudo su

Descargar el script:

wget https://gist.githubusercontent.com/JManzur/bb5b1128c5da6dec53ae545f0a60a849/raw/1c70eb1558997f6807223cb22c35072deb22ce55/docker-compose.yml

Hacerlo ejecutable:

chmod +x prep_guacamole_ssl.sh

Ejecutarlo:

./prep_guacamole_ssl.sh

IMPORTANTE: Una vez finalice la ejecución del script es recomendable que editen el archivo de variable de entorno que genera y coloquen su propio usuario y contraseña para la base de datos, adicionalmente ingresen la información de su dominio, y correo, para ello editen el archivo /docker/guacamole/.env 



El script también se encargó de bajar el docker-compose.yml el cual contiene los 6 contenedores necesarios:


Y antes del primer inicio necesitamos ejecutar el contenedor que genera la base de datos:

docker-compose up init-guac-db

 NOTA: El proceso anterior solo se realiza por única vez antes del primer inicio.
Y una vez finalice levantamos todo con:

docker-compose up -d

Hecho esto ya podemos ingresar a

https://IP/guacamole/#/

Con los credenciales:
  • Usuario: guacadmin
  • Contraseña: guacadmin
Al ingresar se nos presentará un código QR, (es recomendable respaldarlo) el cual tendremos que escanear con la app Google Authenticator disponible para Android y iOS y así podremos hacer la autentificación en dos pasos.

Ejemplo:

Clic en la imagen para agrandar

NOTA: Cada vez que creemos un nuevo usuario debemos marcarle la opción "permitir el cambio de contraseña" a modo de que puede utilizar la autentificación  en dos pasos.


Publicado Por: Hora:
Etiquetas: ,

No hay comentarios :

Publicar un comentario

Suscribirse a: Enviar comentarios ( Atom )