VMware WSX : Accéder à une machine virtuelle depuis un navigateur Web

VMware WSX est une fonctionnalité apparue avec VMware Workstation 9. Elle permet aux utilisateurs d’accéder à distance à des machines virtuelles directement depuis un simple navigateur Web et sans aucun plug-in. La technologie HTML 5 est utilisée pour le déport d’affichage.

Depuis le site de VMware, téléchargez la version pour Windows de VMware WSX dans la rubrique consacrée à VMware Workstation.

Lancez l’exécutable Vmware-WSX-Server-1.0.0-842025.msi. L’assistant d’installation de VMware WSX s’ouvre. Cliquez sur le bouton Next.

Acceptez la licence d’utilisation. Vous devez choisir le port d’écoute pour le protocole HTTP (par défaut, 8888). Cliquez sur le bouton Next.

Cliquez sur le bouton Install pour procéder à l’installation de VMware WSX, puis Finish pour quitter l’assistant d’installation. Dans les services Windows, on peut vérifier que le service VMware WSX Service est en fonctionnement.

A l’aide de votre navigateur Web, allez à l’adresse suivante http://localhost:8888/. Un compte local membre du groupe Administrateurs est nécessaire pour s’authentifier. A noté que les utilisateurs de domaine ne sont pas supportés.

VMware WSX fonctionne avec les dernières version de Chrome, Firefox, Safari.

La page d’accueil est le point d’entrée pour accéder à vos serveurs. Si vous avez installé VMware WSX sur la même machine que VMware Workstation 9, ce qui est notre cas, les machines virtuelles que vous avez partagé seront répertoriées dans la partie Share VMs (localhost).

Vous pouvez aussi vous connecter à des serveurs VMware ESXi distant en cliquant sur le bouton Add a server.

Une machine virtuelle partagée est une machine virtuelle exécutée sur un système hôte où les utilisateurs peuvent y accéder à distance, en fonction de leurs permissions.

Depuis VMware Workstation 9, nous allons partager une machine virtuelle. Pour commencer, il est nécessaire de vérifier que le service VMware Workstation Server est activé dans les préférences. Ce qui est le cas, par défaut.

Ensuite, sélectionnez la machine virtuelle et allez dans le menu VM, Manage et cliquez sur Share.

L’assistant d’installation de Share Virtual Machine Wizard s’ouvre. Cliquez sur le bouton Next.

Entrez le nom de la machine virtuelle à partagée et sélectionnez l’option Move the virtual machine pour la déplacer dans l’emplacement correspondant aux machines virtuelles partagées. Cliquez sur le bouton Finish.

Une fois l’opération de déplacement est terminée, vous pouvez cliquer sur le bouton Close.

La machine virtuelle partagée se trouve à présent sous le nœud Shared VMs.

Nous allons vérifier les permissions pour les machines virtuelles partagées. Dans le menu surgissant de Shared VMs, cliquez sur Permissions.

Par défaut, le groupe local Administrateurs possède le rôle Administrator. Cliquez sur le bouton OK.

Depuis l’interface Web de VMware WSX, cliquez sur Shared VMs (localhost).

Entrez les identifiants de connexion pour accéder aux machines virtuelles partagées.

La liste des des machines virtuelles sont listées. Cliquez sur une machine virtuelle pour y accéder.

Vous pouvez démarrer, arrêter ou suspendre la machine virtuelle. A noté que le clavier est en QWERTY.

Vous pouvez lancer plusieurs applications Windows pour tester le fonctionnement.

Plusieurs actions peuvent être effectué à travers les icônes situés en bas à droite de la console :
– Rechargement de la page
– Affiche le clavier pour les tablettes
– Envoie la combinaison de touches Ctrl+Alt+Delete
– Cacher le panel de gauche
– Mettre en plein écran

Le fonctionnement en local validé, nous allons ajouter une nouvelle règle dans le pare-feu pour pouvoir se connecter à VMware WSX à distance.

Depuis la console Pare-feu Windows avec fonctions avancées de sécurité, créez une nouvelle règle entrante.

Sélectionnez l’option TCP et l’option Ports locaux spécifiques. Entrez 8888 comme port local (port de VMware WSX, par défaut). Cliquez sur le bouton Suivant.

Sélectionnez l’option Autoriser la connexion et cliquez sur le bouton Next.

Cochez les profils qui s’applique à cette règle. Cliquez sur le bouton Suivant.

Entrez le nom pour cette nouvelle règle et cliquez sur le bouton Terminer.

La règle est créé dans le pare-feu.

Vous pouvez maintenant vous connecter à distance à VMware WSX.

Installer et compiler le module mod_rpaf avec la version 2.4 de Apache/HTTPD

Le module mod_rpaf permet de remplacer l’adresse IP du client dans l’en-tête des requêtes HTTP. Utile lorsque vous avez des reverse proxy devant votre serveur Web.

En essayant de compiler le module mod_rpaf avec la version 2.4 de Apache/HTTPD, vous obtiendrez l’erreur suivante lors de la compilation :

/usr/local/httpd-2.4.3/build/libtool --silent --mode=compile gcc -std=gnu99 -prefer-pic   -DLINUX=2 -D_REENTRANT -D_GNU_SOURCE -g -O2 -pthread -I/usr/local/httpd-2.4.3/include  -I/usr/local/httpd-2.4.3/include   -I/usr/local/httpd-2.4.3/include   -c -o mod_rpaf-2.0.lo mod_rpaf-2.0.c && touch mod_rpaf-2.0.slo
mod_rpaf-2.0.c: In function 'rpaf_cleanup':
mod_rpaf-2.0.c:150: error: 'conn_rec' has no member named 'remote_ip'
mod_rpaf-2.0.c:151: error: 'conn_rec' has no member named 'remote_addr'
mod_rpaf-2.0.c:151: warning: implicit declaration of function 'inet_addr'
mod_rpaf-2.0.c:151: error: 'conn_rec' has no member named 'remote_ip'
mod_rpaf-2.0.c: In function 'change_remote_ip':
mod_rpaf-2.0.c:164: error: 'conn_rec' has no member named 'remote_ip'
mod_rpaf-2.0.c:183: error: 'conn_rec' has no member named 'remote_ip'
mod_rpaf-2.0.c:186: error: 'conn_rec' has no member named 'remote_ip'
mod_rpaf-2.0.c:187: error: 'conn_rec' has no member named 'remote_addr'
mod_rpaf-2.0.c:187: error: 'conn_rec' has no member named 'remote_ip'
apxs:Error: Command failed with rc=65536
.

Et pour cause, la version 2.4 de Apache/HTTPD apporte quelques modifications d’APIs.
Pour corriger ce problème, il suffit de remplacer les directives remote_ par client_ dans le fichier mod_rpaf-2.0.c.

Pour vous faciliter la tâche, je viens de créer un patch afin d’effectuer ces changements.

– Placez-vous dans le répertoire suivant : cd mod_rpaf-0.6
– Téléchargez le patch : wget http://www.be-root.com/downloads/mod_rpaf/mod_rpaf-2.0.patch
– Appliquez le patch suivant : patch -p0 < mod_rpaf-2.0.patch

patching file mod_rpaf-2.0.c

– Compilez le module mod_rpaf : apxs -i -c -n mod_rpaf-2.0.so mod_rpaf-2.0.c

– Éditez le fichier de configuration de Apache/HTTPD : vi /etc/httpd/conf/httpd.conf

LoadModule rpaf_module        modules/mod_rpaf-2.0.so

<IfModule rpaf_module>
  RPAFenable On
  RPAFproxy_ips 127.0.0.1 xxx.xxx.xxx.xxx
  RPAFsethostname On
  RPAFheader X-Forwarded-For
</IfModule>

xxx.xxx.xxx.xxx correspond à l’adresse IP de votre serveur Web.

– Redémarrez le serveur Web : service httpd restart

– Vérifiez le fonctionnement du module mod_rpaf dans le fichier de log de Apache/HTTPD : tail -f /var/log/httpd/access_log

127.0.0.1 - - [23/Aug/2012:20:31:19 +0200] "GET / HTTP/1.1" 200 83 "-" "Mozilla/5.0 (Windows NT 6.1; rv:14.0) Gecko/20100101 Firefox/14.0.1
192.168.0.1 - - [23/Aug/2012:20:31:19 +0200] "GET / HTTP/1.1" 200 83 "-" "Mozilla/5.0 (Windows NT 6.1; rv:14.0) Gecko/20100101 Firefox/14.0.1

Fedora 17 : le pare-feu dynamique firewalld

Fedora 17 permet de remplacer le pare-feu traditionnel statique (outils iptables et fichier /etc/sysconfig/iptables) par un pare-feu dynamique nommé firewalld possédant une interface d-bus. Il est ainsi possible de modifier les règles à la volée sans avoir à redémarrer le daemon.

Installation :

Firewalld n’est pas actif par défaut sous Fedora 17. A priori, cela est prévu pour Fedora 18, le temps pour les développeurs de finaliser les outils spécifiques et d’adapter ceux existants à ce nouveau pare-feu.

L’installation se fait simplement à l’aide de la commande :

yum install firewalld

Il convient alors de désactiver le lancement du pare-feu statique installé par défaut afin que celui-ci n’interfère pas avec firewalld :

systemctl stop iptables.service
systemctl disable iptables.service

Nous pouvons ensuite permettre le démarrage automatique de firewalld :

systemctl start firewalld.service
systemctl enable firewalld.service

La commande firewall-cmd :

La commande firewall-cmd permet de contrôler le pare-feu dynamiquement (liste des règles actives, ouverture/fermeture de port, …)
firewalld supporte le concept de « zone de réseau » permettant de gérer des profils de règles à appliquer en fonction du réseau sur lequel on se trouve ( par exemple tout fermer lorsque l’on est sur un réseau
public et ouvrir ssh et samba lorque l’on est sur un réseau professionnel).

Pour connaître la zone par défaut, il faut utiliser la commande :

  firewall-cmd  --get-default-zone

Par défaut, sous Fedora, la commande retournera public.
La zone a lancer par défaut est fixée dans le fichier /etc/firewalld/ firewalld.conf :

# default zone
# The default zone used if an empty zone string is used.
# Default: public
DefaultZone=public

Pour connaître la zone en cours d’exécution, nous pouvons utiliser la commande :

firewall-cmd  --get-active-zones

La réponse fournie ici est « public: em1 » ce qui signifie que le profil public est en cours d’execution sur l’interface réseau em1.

Pour obtenir la liste des services autorisés pour le profil public, il suffit de taper :

firewall-cmd  --zone=public --list-service

Pour obtenir la liste des ports ouvert pourle profil public, il suffit de taper :

firewall-cmd  --zone=public --list=port

L’ensemble des profils définis s’obtient avec la commande :

firewall-cmd --get-zones

Par défaut, sous Fedora les profils drop work internal external trusted home dmz public block sont présents.

Le liste des services pré-définis se trouve sous le répertoire /usr/lib/firewalld/services :

Ce sont de simples fichiers xml. Il nous est donc possible de créer un fichier de services par exemple pour une application fonctionnant sur le port 9000 en créant le fichier /etc/firewalld/services/monappli.xml :

<?xml version="1.0" encoding="utf-8"?>
<service name="monappli">
  <short>MonAppli (9000)</short>
  <description>Mon serveur d'applications.</description>
  <port protocol="tcp" port="9000"/>
</service>

Pour que firewalld prenne connaissance de ce nouveau service, il est nécessaire de le redémarrer :

systemctl restart firewalld.service

Pour activer le service monappli dans le profil home, il suffit ensuite de faire :

firewall-cmd --zone=home --add --service=monappli

Pour connaître l’ensemble des services actifs sous le profil home :

 firewall-cmd  --zone=home --list=service

Pour retirer un service d’un profil (par exemple ipp-client du profil home), il faut taper :

firewall-cmd --zone=home --remove  --service=ipp-client

Plutôt que de passer par des services prédéfinis, nous pouvons également ouvrir des ports directement :

 firewall-cmd  --zone=home --add --port=9000/tcp

Pour activer le profil home, il suffit de faire :

firewall-cmd --set-default-zone=home

Attention, ceci est un changement permanent (cela modifie le fichier /etc/firewalld/firewalld.conf). Lors du prochain redémarrage de firewalld, le profil chargé par défaut sera home

Cependant, les services/ports activés ou désactivés à l’aide de la commande firewall-cmd seront perdus. En effet, cette commande n’impacte que la session courante du service firewalld.
Si nous voulons effectuer des modifications permanentes, il faut modifier les fichiers de configurations des zones.

Par exemple pour rajouter de manière permanent le service monappli au profil de zone home, il faut tout d’abord copier le fichier par défaut de cette zone dans le répertoire /etc/firewalld/zones :

cp /usr/lib/firewalld/zones/home.xml /etc/firewalld/zones/

Puis modifier le fichier /etc/firewalld/zones/home.xml :

<?xml version="1.0" encoding="utf-8"?>
<zone name="home">
  <short>Home</short>
  <description>For use in home areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="ipp-client"/>
  <service name="mdns"/>
  <service name="samba-client"/>
  <service name="dhcpv6-client"/>
  <service name="monappli"/>
</zone>

Comme nous l’avons vu, le nouveau pare-feu firewalld permet de changer les règles à la volée mais nous sommes dans l’obligation de modifier les fichiers de configuration à la main dés que nous voulons que les changements opérés soient permanents. Cependant, le concept de zone peut être utile pour les ordinateurs mobiles. firewalld permet également, via l’option –timeout, d’ouvrir un port/service pour une durée determinée.

Par exemple, pour autoriser le service monappli sur le profil home (en cours d’execution) pendant 10s il faut faire:

firewall-cmd  --zone=home --add --service=monappli --timeout=10

Ainsi s’achève ce tour d’horizon de firewalld …