schleyk/guacamole 镜像文档

镜像概述

schleyk/guacamole是基于Apache Guacamole的Docker镜像，构建于tomcat:9.0-jdk8-temurin-jammy基础镜像，版本为Guacamole 1.5。该镜像集成所有***插件，支持LDAP(s)认证、SSO及自定义根证书，解决了原生Guacamole镜像使用旧版Tomcat带来的安全漏洞问题，提供安全、便捷的远程桌面集中管理解决方案。

核心功能与特性

• 基础镜像：基于tomcat:9.0-jdk8-temurin-jammy，隐藏Tomcat版本信息，提升安全性
• 认证支持：支持LDAP(s)、CAS、Duo、Header、OpenID Connect、QuickConnect、TOTP、Radius等多种认证方式
• 自定义能力：支持为LDAP(s)自定义根证书及端点
• 插件集成：包含完整插件集：guacamole-auth-cas、guacamole-auth-duo、guacamole-auth-header、guacamole-auth-ldap、guacamole-auth-openidconnect、guacamole-auth-quickconnect、guacamole-auth-totp、guacamole-auth-radius
• 安全增强：修复原生镜像使用Tomcat 8.0.20带来的安全漏洞（CVE详情）

使用场景

• 企业远程桌面集中管理（支持VNC、RDP、SSH协议）
• 需要多因素认证（TOTP）和单点登录（SSO）的安全访问场景
• 基于LDAP/Active Directory的用户身份统一管理
• 需要自定义认证流程或集成第三方身份提供商的环境

使用方法

docker-compose部署示例

version: '2.1'

services:
  guacd:
    restart: always
    image: schleyk/guacd:stable
    depends_on:
    - db
  guacamole:
    restart: always
    image: schleyk/guacamole:stable
    links:
    - guacd
    - db
#    volumes:
#    - ./data:/data  # 挂载数据目录（配置文件、扩展等）
#    - ./custom/custom-start.sh:/opt/guacamole/bin/custom-start.sh  # 自定义启动脚本（不要忘记在主机系统上设置为可执行！！！）
#    - ./custom/server.xml:/usr/local/tomcat/conf/server.xml  # 用于ProxyPass配置
    environment:
    - MYSQL_HOSTNAME=db  # MySQL数据库主机
    - MYSQL_DATABASE=guacamole  # 数据库名称
    - MYSQL_USER=guacamole  # 数据库用户
    - MYSQL_PASSWORD=changeme!  # 数据库密码（请修改）
    - GUACD_HOSTNAME=guacd  # guacd服务主机
    - GUACAMOLE_HOME=/data  # Guacamole主目录
#    entrypoint: /opt/guacamole/bin/custom-start.sh  # 自定义入口点
#    extra_hosts:
#    - "srv-dc01.contoso.local:10.0.0.1"  # 用于LDAPs通过WAN的正确FQDN解析
    ports:
    - 8080:8080  # 映射端口
    depends_on:
    - db
  db:
    image: mariadb:10
    restart: always
    volumes:
    - /srv/guacamole/db:/var/lib/mysql  # 持久化数据库数据
    environment:
    - MYSQL_ROOT_PASSWORD=changeme!  # 数据库root密码（请修改）
    - MYSQL_DATABASE=guacamole
    - MYSQL_USER=guacamole
    - MYSQL_PASSWORD=changeme!
  phpmyadmin:
    image: phpmyadmin/phpmyadmin
    environment:
    - PMA_HOST=db  # 数据库主机
    ports:
    - "8282:80"  # PHPMyAdmin访问端口
    depends_on:
    - db

初始化数据库

生成初始化SQL脚本：

docker run --rm schleyk/guacamole:stable /opt/guacamole/bin/initdb.sh --mysql > initdb.sql

配置说明

默认登录信息

• 用户名：guacadmin
• 密码：guacadmin（首次登录后建议立即修改）

环境变量

卷挂载

插件激活

所有插件JAR文件存储于镜像内/opt/guacamole目录，激活插件需将对应JAR文件复制到/data/extensions目录（通过卷挂载实现）。

核心配置文件

• 配置存储路径：/data/guacamole.properties
• 自定义登录页面：可通过guacamole-customize-loginscreen-extension实现

LDAP配置示例

LDAPS配置

ldap-hostname: srv-dc01.contoso.local  # LDAP服务器主机名
ldap-port: 636  # LDAPS端口
ldap-encryption-method: ssl  # 加密方式

LDAP配置（非加密）

ldap-hostname: srv-dc01.contoso.local  # LDAP服务器主机名
ldap-port: 389  # LDAP端口
ldap-encryption-method: none  # 不加密

LDAP用户绑定

ldap-search-bind-dn: CN=svc-ldap,OU=example,DC=contoso,DC=local  # 绑定用户DN
ldap-search-bind-password: changeme!  # 绑定用户密码

用户搜索配置

ldap-user-base-dn: OU=example,DC=contoso,DC=local  # 用户搜索基准DN
ldap-username-attribute: sAMAccountName  # 用户名属性
ldap-user-search-filter: (&(objectClass=*)(memberof=CN=GRP-Guacamole,OU=example,DC=contoso,DC=local))  # 用户组过滤

组映射配置

ldap-group-base-dn: OU=guacgroups,OU=example,DC=contoso,DC=local  # 组搜索基准DN（需在Guacamole内预创建对应组）

Nginx反向代理配置

location / {
    proxy_pass [***]
    proxy_buffering off;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_set_header Host $http_host;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_redirect off;
    proxy_read_timeout 120;
    proxy_connect_timeout 10;
}

SQL模式升级

升级SQL模式请参考Apache***文档。

SSO支持

支持VNC、RDP、SSH的SSO，可使用${GUAC_USERNAME}和${GUAC_PASSWORD}令牌自动填充远程连接的用户名/密码（需用户Guacamole与远程系统凭证一致）。

安全注意事项

• 反向代理配置需在server.xml的trustedProxies行添加代理IP
• 避免使用默认凭证，首次登录后立即修改guacadmin密码
• 通过卷挂载持久化配置和数据，防止容器重建导致配置丢失