On js-core : apt update && apt install -y curl python3 gettext docker Log in to the Linux server using the "root" or another user with superuser privileges. Change to the /opt directory. curl -sSL https://github.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash but didn't work so I used : curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v4.10.1/cn-quick_start.sh | bash On js-target : On js-client : Voici la version complétée de ta comparaison, avec **Teleport Enterprise**, **Wallix Bastion (complet)**, et **Delinea / CyberArk** (Priviliged Access Management leaders), et une **explication détaillée de la prise en charge du proxy SSH** dans chaque cas : --- ### ✅ **JumpServer** * ✅ LDAP, SSO supporté (LDAP, AD, OAuth2 partiellement) * ✅ Audit vidéo (SSH + RDP via KoKo & Guacamole) * ✅ Audit texte (session logs) * ✅ Audit événements (tentatives, connexions, erreurs) * ✅ Self-hosted * ✅ RDP (via Guacamole intégré) * ✅ CLI access (via KoKo client ou SSH direct avec bridge) * ⚠️ Proxy SSH : *Pas supporté nativement*, nécessite un client KoKo spécifique pour le "tunnel" SSH. Impossible d'utiliser simplement `ssh user@target`. 🟢 **Open source** (Community Edition) et **self-hosted**, très complet pour le prix. Bastion tout-en-un. 🔴 Le manque de SSH natif via bastion peut être bloquant dans des environnements automatisés/DevOps. --- ### ✅ **HashiCorp Boundary** * ✅ SSO (OIDC, LDAP) * ✅ Audit texte (logs via HCP Boundary or integrated tools) * ✅ Audit événements (vault-style, détaillé) * ✅ Self-hosted * ✅ CLI access (`boundary connect ssh`) * ⚠️ Proxy SSH : *Non natif*. Nécessite un client CLI (`boundary connect ssh`) → il crée un tunnel local (à la `ssh -L`) mais ne remplace pas `ssh user@target`. 🟡 Moderne, API-first, très intéressant dans une approche Zero Trust. 🔴 Mais non utilisable en remplacement de `ssh user@host`. 💰 **Prix Entreprise** : `$20–30/user/mois` --- ### ✅ **OVH The Bastion** * ✅ Audit texte (via `script`) * ✅ Audit événements * ✅ Self-hosted * ✅ CLI access (`ssh -t bastion sudo su - targetuser`) * ⚠️ Proxy SSH : *Nécessite une commande intermédiaire*, pas de SSH direct. L'utilisateur doit se connecter à TheBastion puis "sauter" manuellement ou via commandes wrapper. 🟡 Utile pour infra simple, open source, bien audité. 🔴 Trop rigide pour un usage DevOps ou multi-service. 💰 **Pas de version payante** --- ### 🔴 **Bastillion** * ✅ Audit texte (via Web console logs) * ✅ Self-hosted * ❌ Pas de SSO * ❌ Pas d’audit vidéo * ❌ Pas d’audit d’événement structuré * ❌ Pas de RDP * ❌ Pas de CLI access (Web shell uniquement) * ⚠️ Proxy SSH : *Aucun support natif*. Interface Web uniquement. 🔴 Trop limité. Shell Web uniquement, pas adapté aux environnements modernes. 💰 **Pas de version payante** --- ### ✅ **Teleport OSS (Community)** * ✅ Audit vidéo (SSH uniquement) * ✅ Audit texte (via session recordings + structured logs) * ✅ Audit événements (auth, exec, etc.) * ✅ Self-hosted * ✅ CLI access (`ssh user@host` via `tsh`) * ⚠️ SSO : *Uniquement comptes locaux* * ❌ Pas de RDP * ✅ Proxy SSH : **Oui, complet**. Remplace totalement un bastion : `ssh user@host` fonctionne via Teleport Proxy (avec agent ou mode proxy recording). UX utilisateur conservée. 🟢 Expérience CLI native. Excellent compromis pour audit + UX. 🔴 Pas de RDP, pas de SSO externe (dans la CE). 💰 **Enterprise** : \$20–40/user/mois --- ### ✅ **Teleport Enterprise** * ✅ SSO (OIDC, SAML, GitHub, etc.) * ✅ Audit vidéo (SSH, RDP) * ✅ Audit texte et événements * ✅ Self-hosted * ✅ CLI access (`ssh user@host` ou `tsh ssh`) * ✅ RDP (via "Desktop Access" — mode agent) * ✅ Proxy SSH : **Oui, complet**. Le proxy de Teleport permet un accès SSH natif, totalement transparent. Possibilité de configurer le DNS ou des templates SSH pour mapper automatiquement les hôtes. 🟢 UX exceptionnelle, sécurisation moderne, extensible (Kubernetes, DB, apps...). 🔴 Nécessite agents pour RDP + config initiale fine. 💰 **Enterprise** : \$20–40/user/mois --- ### ✅ **Wallix Bastion (complet)** * ✅ SSO complet (LDAP, SAML, MFA) * ✅ Audit vidéo (SSH, RDP, VNC) * ✅ Audit texte * ✅ Audit événements * ✅ Self-hosted * ✅ RDP natif (client ou Web) * ✅ CLI access via agent/bastion * ⚠️ Proxy SSH : *Partiellement transparent*. Fonctionne via client CLI ou Web Gateway. L’utilisateur peut utiliser une commande `ssh` modifiée (via script ou agent) mais pas de support natif pur `ssh user@host`. 🟢 Ultra-complet, conforme ANSSI, support professionnel. 🔴 Complexe à déployer. Pas open source. 💰 **Prix** : Sur devis (généralement \$10–40/user/mois) --- ### ✅ **Delinea / CyberArk (Privileged Access Management)** * ✅ SSO complet (LDAP, OIDC, MFA, PAM) * ✅ Audit vidéo (SSH, RDP) * ✅ Audit texte et événements * ✅ Self-hosted (ou SaaS) * ✅ RDP + Web + SSH * ✅ CLI access via vault / agent * ⚠️ Proxy SSH : *Via client ou wrapper uniquement*, pas de SSH natif pur. Ils utilisent des connecteurs spécifiques ou des vaults d’identifiants. 🟢 Bastion sécurisé, intégré IAM, conforme PCI / ISO. 🔴 Très coûteux, infra lourde à maintenir. 💰 **Prix** : très variable, souvent \$50–100/user/mois selon modules --- ### 🧠 En résumé : | Solution | SSH natif (`ssh user@host`) | RDP | SSO | Open source | Audit Vidéo | Recommandé pour | | -------------------- | --------------------------- | --- | --- | ----------- | ----------- | ------------------------------ | | **Teleport CE** | ✅ | ❌ | ❌ | ✅ | ✅ (SSH) | Petites équipes, DevOps | | **Teleport Ent.** | ✅ | ✅ | ✅ | ❌ | ✅ | Infra critique, sécurité forte | | **JumpServer CE** | ❌ (client KoKo) | ✅ | ✅ | ✅ | ✅ | Bastion polyvalent, 100% open | | **JumpServer Ent.** | ⚠️ (via KoKo) | ✅ | ✅ | ❌ | ✅ | Bastion complet auto-hébergé | | **Boundary OSS** | ❌ (client `boundary`) | ⚠️ | ✅ | ✅ | ❌ | Zero Trust, infra moderne | | **Wallix Bastion** | ⚠️ (via agent/wrapper) | ✅ | ✅ | ❌ | ✅ | Milieux régulés, entreprise | | **CyberArk/Delinea** | ⚠️ (via client/agent) | ✅ | ✅ | ❌ | ✅ | Compliance, sécurité extrême | Souhaites-tu que je t’aide à prototyper une archi avec l’un d’eux ?