Re: Accès distant graphique performant, sécurisé, écran-clavier-souris
On Sunday 16 July 2023 11:27:44 didier gaumet wrote: > mon but était de souligner les limitations de XDMCP pour du X11 déporté, > et je note que LTSP (les clients légers) n'utilise plus XDMCP mais ssh -X: > https://fr.wikipedia.org/wiki/Linux_Terminal_Server_Project#Le_processus_de_d%C3%A9marrage_d'un_client_LTSP Je répète, désolé, XDMCP est une ouverture de session sur un ordinateur distant, à déconseiller en mode internet, uniquement en intranet. Car ce protocole fait tout transiter en clair sur le réseau, y compris les mots de passe ! SSH peut sans doute aider à sécuriser la connexion si elle est internet. On se retrouve face au système distant en mode X graphique comme devant son ordinateur chez soi sur le compte d'un . Une fois xdmcp configuré, il suffit de taper en mode console : X -query pour déclencher le login graphique du client. Voici 2 liens explicatifs et du mode opératoire : https://linux.developpez.com/formation_debian/export-display.html https://doc.ubuntu-fr.org/tutoriel/comment_creer_un_terminal_x_ou_recycler_une_vieille_machine Ne pas confondre ces 2 relations : 1) - Clients/Serveur, et 2) Terminaux/Serveur. 1) c'est ssh, sftp, http(s)... 2) c'est xdmcp... Pour moi, le sujet est clos. Bon dimanche.
Re: Accès distant graphique performant, sécurisé, écran-clavier-souris
Le 16/07/2023 à 08:25, Basile Starynkevitch a écrit : On 7/15/23 20:09, didier gaumet wrote: > Rappel: je suis un quasi-demeuré en réseaux et sécurité donc prendre ce qui suit avec réserve Mais j'ai l'impression que tu rends la situation plus confuse à Roger au lieu de l'éclairer En gros XDMCP est un protocole de login X11 à distance: - qui nécessite donc un serveur X11 qui tourne sur la machine distante, et un gestionnaire d'affichage (DM, Display Manager) compatible XDMCP, et que le protocole XDMCP soit autorisé (récemment ce n'est plus le cas par défaut) Un serveur X11 gère une carte graphique, un clavier, une souris. Il ccommunique avec des applications clientes selon un protocole assez compliqué, mais dont les principes sont expliqués par exemple en https://linuxiac.com/xorg-x11-wayland-linux-display-servers-and-protocols-explained/ ou https://fr.wikipedia.org/wiki/X.Org (dans le détail, le protocole X11 se décrit en des centaines de pages). Conséquemment un serveur X11 tourne sur la machine locale, pas distante. Il existe des serveurs X11 pour Linux, OpenBSD, Windows, MacOSX. Tu as absolument raison: je fais à chaque fois l'erreur de ne pas me rappeler que la relation client-serveur est inversée pour X11 Donc merci à toi Basile d'avoir corrigé, c'est important de ne pas laisser dire de grosses conn... sans rectifier :-) [...] Prenons l'exemple d'un supercalculateur (les machines à plusieurs millions d'€), par exemple à meteofrance. Ceux-ci tournent tous sous Linux. Mais on n'accède pas à la salle (très bruyante) les contenant. On peut avoir un processus de calcul sur un supercalculateur qui utilise une bibliothèque cliente X11 (par exemple GTK) pour afficher des résultats (des courbes) sur un PC local (qui a un serveur X11) sous Windows ou Linux. mon but était de souligner les limitations de XDMCP pour du X11 déporté, et je note que LTSP (les clients légers) n'utilise plus XDMCP mais ssh -X: https://fr.wikipedia.org/wiki/Linux_Terminal_Server_Project#Le_processus_de_d%C3%A9marrage_d'un_client_LTSP
Re: Accès distant graphique performant, sécurisé, écran-clavier-souris
On 7/15/23 20:09, didier gaumet wrote: Le 15/07/2023 à 18:55, ajh-valmer a écrit : On Saturday 15 July 2023 18:10:17 RogerT wrote: Il faut juste TDE sur le serveur. Mais pas forcément sur le client, puisque ce peut être Mac/Win. C’est ça ? Serveur : Linux + TDE + XDMCP. (on peut avoir un autre système + autre bureau (p. ex. XFCE...), il faut alors trouver l'outil de configuration). Client : de préférence TDE ou autres systèmes + bureaux, Windows = RDP, Mac/Win = pas fait essai. Il faut faire l'effort de se documenter, taper dans moteur de recherche : XDMCP, RDP, Terminal/Serveur ... Rappel: je suis un quasi-demeuré en réseaux et sécurité donc prendre ce qui suit avec réserve Mais j'ai l'impression que tu rends la situation plus confuse à Roger au lieu de l'éclairer En gros XDMCP est un protocole de login X11 à distance: - qui nécessite donc un serveur X11 qui tourne sur la machine distante, et un gestionnaire d'affichage (DM, Display Manager) compatible XDMCP, et que le protocole XDMCP soit autorisé (récemment ce n'est plus le cas par défaut) Un serveur X11 gère une carte graphique, un clavier, une souris. Il ccommunique avec des applications clientes selon un protocole assez compliqué, mais dont les principes sont expliqués par exemple en https://linuxiac.com/xorg-x11-wayland-linux-display-servers-and-protocols-explained/ ou https://fr.wikipedia.org/wiki/X.Org (dans le détail, le protocole X11 se décrit en des centaines de pages). Conséquemment un serveur X11 tourne sur la machine locale, pas distante. Il existe des serveurs X11 pour Linux, OpenBSD, Windows, MacOSX. Chaque mouvement de souris correspond à un message binaire envoyé du serveur X11 (tournant sur la machine locale) vers une (ou des) applications clientes. Bien sûr, une application cliente X11 (par exemple https://gnu.emacs.org/ ) peut tourner sur une machine distante (à dix mètres et parfois à dix mille kilomètres). Les bibliothèques graphiques telles que https://gtk.org/ ou https://qt.io/ gère ces protocoles X11 Prenons l'exemple d'un supercalculateur (les machines à plusieurs millions d'€), par exemple à meteofrance. Ceux-ci tournent tous sous Linux. Mais on n'accède pas à la salle (très bruyante) les contenant. On peut avoir un processus de calcul sur un supercalculateur qui utilise une bibliothèque cliente X11 (par exemple GTK) pour afficher des résultats (des courbes) sur un PC local (qui a un serveur X11) sous Windows ou Linux. -- Basile Starynkevitch (only mine opinions / les opinions sont miennes uniquement) 92340 Bourg-la-Reine, France web page: starynkevitch.net/Basile/
Re: Accès distant graphique performant, sécurisé, écran-clavier-souris
> Le 15 juil. 2023 à 23:07, ajh-valmer a écrit : > On Saturday 15 July 2023 20:09:56 didier gaumet wrote: >> Enfin bref, c'est peut-être moi qui n'en comprend pas l'intérêt mais >> j'ai du mal à envisager XDMCP comme une solution intéressante. > > XDMCP est la solution la plus utilisée pour le mode Terminaux/Serveur, > à utiliser de préférence en mode intranet (sécurité). > Elle ne doit pas être comparée à d'autres solutions qui n'ont pas > le même objectif, telle celui d'un établissement scolaire. > > SSH, Teamviewer, Anydesk..., c'est pour un autre objectif, > dépannage à distance, prendre la main sur un ordinateur distant... > L’objectif est « Accès distant graphique performant, sécurisé, écran-clavier-souris ». Tu n’as pas du tout parlé de sécurité de la connexion. Pour assurer la sécurité de la connexion à un serveur via le protocole XDMCP, je dois d’abord ouvrir un tunnel ssh, par exemple. C’est impératif. Voir Warning en rouge dans https://wiki.archlinux.org/title/XDMCP . C’est comme avec VNC qui n’utilise pas de protocole sécurisé de connexion. Cf. notamment https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-vnc-on-ubuntu-20-04-fr#etape-3-connexion-securisee-au-bureau-vnc . Le client Remmina propose de gérer ce tunnel. Le client java de Tightvnc aussi. Car l’utilisateur ordinaire habitué à un client utilisable en un clic ne saisira jamais, avant d’ouvrir la connexion XDMCP ou VNC, une commande comme : ssh -L 5901:localhost:5901 REMOTE_IP Ensuite, il faut veiller à ce que le port udp 177 soit ouvert sur le réseau pour XDMCP. Ah, non… pas si on utilise un tunnel ssh (port 22). Comme avec VNC qui utilise le port 5901. A ma connaissance, il faut quand même que le fw du serveur accepte les requêtes sur le port 22, et 177 ou 5901. Mais il faut encore que le routeur du LAN autorise le routage de port depuis l’adresse IP publique avec un numéro à définir (pas 22, s’il y a plusieurs serveurs ssh sur le LAN) vers le port 22 du serveur considéré. Ça marche mais c’est rustique. C’est en détaillant tout ça, avec ma connaissance réseau ordinaire, qu’on voit que MeshCentral permet de s’affranchir (à la Teamviewer) de toutes ces contraintes, selon NoSpam : > « MeshAgent permet de se désengager de toute > installation/configuration/gestion de FW du client. Comme Anydesk ou > Teamviewer, une appli à télécharger par le client, peu importe l'OS, et vous > avez accès à sa machine soit en Gui soit en console (ou les deux). On peux > également se connecter en RDP à un client si l'accès est autorisé sur celui > ci. » PS : Tu as écrit : > « Chez moi, Teamviewer ne marche pas. > Par contre, Anydesk marche très bien. » Peux-tu expliquer pourquoi ?
Re: Accès distant graphique performant, sécurisé, écran-clavier-souris
On Saturday 15 July 2023 20:09:56 didier gaumet wrote: > Enfin bref, c'est peut-être moi qui n'en comprend pas l'intérêt mais > j'ai du mal à envisager XDMCP comme une solution intéressante. XDMCP est la solution la plus utilisée pour le mode Terminaux/Serveur, à utiliser de préférence en mode intranet (sécurité). Elle ne doit pas être comparée à d'autres solutions qui n'ont pas le même objectif, telle celui d'un établissement scolaire. SSH, Teamviewer, Anydesk..., c'est pour un autre objectif, dépannage à distance, prendre la main sur un ordinateur distant... > Je m'arrête là, j'ai déjà trop participé à ce fil de messages > compte-tenu de mon manque total de connaissances sur le sujet, > ça n'apporte rien :-)
Re: Accès distant graphique performant, sécurisé, écran-clavier-souris
Le 15/07/2023 à 18:55, ajh-valmer a écrit : On Saturday 15 July 2023 18:10:17 RogerT wrote: Il faut juste TDE sur le serveur. Mais pas forcément sur le client, puisque ce peut être Mac/Win. C’est ça ? Serveur : Linux + TDE + XDMCP. (on peut avoir un autre système + autre bureau (p. ex. XFCE...), il faut alors trouver l'outil de configuration). Client : de préférence TDE ou autres systèmes + bureaux, Windows = RDP, Mac/Win = pas fait essai. Il faut faire l'effort de se documenter, taper dans moteur de recherche : XDMCP, RDP, Terminal/Serveur ... Rappel: je suis un quasi-demeuré en réseaux et sécurité donc prendre ce qui suit avec réserve Mais j'ai l'impression que tu rends la situation plus confuse à Roger au lieu de l'éclairer En gros XDMCP est un protocole de login X11 à distance: - qui nécessite donc un serveur X11 qui tourne sur la machine distante, et un gestionnaire d'affichage (DM, Display Manager) compatible XDMCP, et que le protocole XDMCP soit autorisé (récemment ce n'est plus le cas par défaut) - on n'a donc pas besoin d'un OS particulier (X11 peut tourner sur MacOS X ou sous Windows) ou d'un DE particulier, mais d'un serveur X11 (Xorg pour Linux ou MacOS X, Cygwin pour Windows...) et d'un DM compatible XDMCP (tdm, xdm, les autres je ne sais pas si c'est encore compatible) XDMCP autorisé - XDMCP n'est pas compressé (consommation de bande passante) et il est déconseillé pour la sécurité de l'utiliser sur internet sans le faire passer par un tunnel SSH. - j'ai jamais utilisé ça mais a priori, ce n'est pas du partage d'écran mais de l'affichage déporté: pas question pour l'assistant de montrer quelque chose à l'assisté, il ne voit pas ce que fait l'assistant. Les plus anciens se rappeleront le site TDLP et de ses fameux Howto sur Linux. Ici il y a la traduction français du Howto XDMCP, ça date de 2005, évdidemment faut replacer les choses dans le contexte, Xorg venait juste de sortir mais le howto parle de Xfree86... https://traduc.org/Guides_pratiques/Suivi/XDMCP-HOWTO/Document Enfin bref, c'est peut-être moi qui n'en comprend pas l'intérêt mais j'ai du mal à envisager XDMCP comme une solution intéressante, et plus encore de nos jours (même sous Linux, il n'y a parfois plus de X11 (par défaut de nos jours, GDM c'est une mini session Gnome Shell sous Wayland donc je ne pense pas que ça marche?) Je m'arrête là, j'ai déjà trop participé à ce fil de messages compte-tenu de mon manque total de connaissances sur le sujet, ça n'apporte rien :-)
Re: Accès distant graphique performant, sécurisé, écran-clavier-souris
On Saturday 15 July 2023 18:10:17 RogerT wrote: > Il faut juste TDE sur le serveur. Mais pas forcément sur le client, > puisque ce peut être Mac/Win. > C’est ça ? Serveur : Linux + TDE + XDMCP. (on peut avoir un autre système + autre bureau (p. ex. XFCE...), il faut alors trouver l'outil de configuration). Client : de préférence TDE ou autres systèmes + bureaux, Windows = RDP, Mac/Win = pas fait essai. Il faut faire l'effort de se documenter, taper dans moteur de recherche : XDMCP, RDP, Terminal/Serveur ...