Infograb logo
이메일을 통한 Teleport 접근 요청

이 가이드는 Teleport를 설정하여 사용자가 이메일을 통해 Just-in-Time Access Request 알림을 받을 수 있도록 하는 방법을 설명합니다. 모든 조직은 최소한 일부 커뮤니케이션에 이메일을 사용하기 때문에, Teleport의 이메일 플러그인은 기존의 워크플로우에 접근 요청을 통합하는 것을 간단하게 만들어 주며, 생산성을 저해하지 않고 보안 모범 사례를 구현할 수 있게 해줍니다.

필수 조건

  • 실행 중인 Teleport 클러스터. Teleport를 시작하려면 가입하여 무료 평가판을 이용해 보십시오.

  • tctl 관리자 도구 및 tsh 클라이언트 도구.

    tctltsh 다운로드에 대한 지침은 설치 를 방문하십시오.

권장: 플러그인에 단기간 사용 가능한 Teleport 자격 증명을 제공하기 위해 Machine ID를 구성합니다. 이 가이드를 따르기 전에 Machine ID 배포 가이드를 따라 tbot 바이너리를 인프라에서 실행하세요.

  • SMTP 서비스에 대한 접근. Teleport 이메일 플러그인은 사용자 이름과 비밀번호로 인증하는 Mailgun 또는 일반 SMTP 서비스를 지원합니다.
  • 이메일 플러그인을 실행할 Linux 호스트 또는 Kubernetes 클러스터 중 하나.
이메일 계정 보호

Teleport 플러그인은 SMTP 서비스에 인증하기 위해 사용자 이름과 비밀번호를 사용해야 합니다. 이러한 자격 증명이 유출되는 위험을 완화하기 위해, Teleport 플러그인 전용 이메일 계정을 설정하고 비밀번호를 정기적으로 변경해야 합니다.

  • 연결이 가능한지 확인하기 위해 tsh login 으로 로그인한 다음, 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어:
    tsh login --proxy=teleport.example.com --user=email@example.com
    tctl status

    클러스터 teleport.example.com

    버전 17.0.0-dev

    CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678

    클러스터에 연결할 수 있고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속 tctl 명령어를 실행할 수 있습니다.
    자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

1/7단계. RBAC 리소스 정의

이메일 플러그인을 설정하기 전에 Teleport 클러스터에서 역할 접근 요청을 활성화합니다.

'이 가이드를 위해, 내장된 editor 역할을 요청할 수 있는 editor-requester 역할과 editor 역할에 대한 요청을 검토할 수 있는 editor-reviewer 역할을 정의하겠습니다.

다음 내용을 포함하는 editor-request-rbac.yaml 파일을 생성하십시오:

kind: role
version: v7
metadata:
  name: editor-reviewer
spec:
  allow:
    review_requests:
      roles: ['editor']
---
kind: role
version: v7
metadata:
  name: editor-requester
spec:
  allow:
    request:
      roles: ['editor']
      thresholds:
        - approve: 1
          deny: 1

정의한 역할을 생성하십시오:

tctl create -f editor-request-rbac.yaml
role 'editor-reviewer'가 생성되었습니다role 'editor-requester'가 생성되었습니다

editor-reviewer 역할을 할당하여 editor-requester 역할을 가진 사용자의 요청을 검토할 수 있도록 하십시오.

editor-reviewer 역할을 Teleport 사용자에게 할당하려면, 인증 제공자에 맞는 적절한 명령어를 실행하십시오:

  1. 로컬 사용자의 역할을 쉼표로 구분된 목록으로 가져옵니다:

    ROLES=$(tsh status -f json | jq -r '.active.roles | join(",")')
  2. 새로운 역할을 추가하기 위해 로컬 사용자를 수정합니다:

    tctl users update $(tsh status -f json | jq -r '.active.username') \ --set-roles "${ROLES?},editor-reviewer"
  3. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

  1. 텍스트 편집기에서 github 인증 커넥터를 엽니다:

    tctl edit github/github
  2. github 커넥터를 수정하여 teams_to_roles 섹션에 editor-reviewer 을 추가합니다.

    이 역할에 매핑해야 하는 팀은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 팀은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 팀이어야 합니다.

    예시는 다음과 같습니다:

      teams_to_roles:
        - organization: octocats
          team: admins
          roles:
            - access
    +       - editor-reviewer
    
  3. 파일을 편집하고 저장하여 변경 사항을 적용합니다.

  4. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

  1. saml 구성 리소스를 가져옵니다:

    tctl get --with-secrets saml/mysaml > saml.yaml

    --with-secrets 플래그는 spec.signing_key_pair.private_key 의 값을 saml.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하므로, 리소스를 업데이트한 후 즉시 saml.yaml 파일을 삭제해야 합니다.

  2. saml.yaml 을 수정하여 attributes_to_roles 섹션에 editor-reviewer 을 추가합니다.

    이 역할에 매핑해야 하는 속성은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 그룹은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 그룹이어야 합니다.

    예시는 다음과 같습니다:

      attributes_to_roles:
        - name: "groups"
          value: "my-group"
          roles:
            - access
    +       - editor-reviewer
    
  3. 변경 사항을 적용합니다:

    tctl create -f saml.yaml
  4. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

  1. oidc 구성 리소스를 가져옵니다:

    tctl get oidc/myoidc --with-secrets > oidc.yaml

    --with-secrets 플래그는 spec.signing_key_pair.private_key 의 값을 oidc.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하므로, 리소스를 업데이트한 후 즉시 oidc.yaml 파일을 삭제해야 합니다.

  2. oidc.yaml 을 수정하여 claims_to_roles 섹션에 editor-reviewer 을 추가합니다.

    이 역할에 매핑해야 하는 클레임은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 그룹은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 그룹이어야 합니다.

    예시는 다음과 같습니다:

      claims_to_roles:
        - name: "groups"
          value: "my-group"
          roles:
            - access
    +       - editor-reviewer
    
  3. 변경 사항을 적용합니다:

    tctl create -f oidc.yaml
  4. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

editor-requester 역할을 가진 myuser 라는 사용자를 생성하십시오. 이 사용자는 editor 역할을 요청하지 않는 한 클러스터 구성을 편집할 수 없습니다:

tctl users add myuser --roles=editor-requester

tctl 은 터미널에 초대 URL을 출력합니다. URL을 방문하고 myuser 로 처음 로그인하여 Teleport 클러스터에 맞게 구성된 자격 증명을 등록하십시오.

이 가이드의 후반부에서는 myusereditor 역할을 요청할 것이며, 그 요청을 Teleport 플러그인을 사용하여 검토할 수 있습니다.

2/7단계. Teleport 이메일 플러그인 설치

플러그인을 테스트하기 위해 로컬 SMTP 서버를 사용하고 있다면, 플러그인이 SMTP 서버에 연결하고 이메일을 보내기 위해 필요한 DNS 조회를 수행할 수 있도록 로컬 머신에 플러그인을 설치해야 합니다.

당신의 Teleport 클러스터는 플러그인에 대해 DNS 조회를 수행할 필요가 없습니다. 플러그인은 Teleport Proxy Service 또는 Teleport Auth Service에 연결합니다.

Access Request Plugins는 다운로드를 위해 amd64arm64 Linux 바이너리로 제공됩니다.
ARCH 를 필요한 버전으로 교체하십시오.

curl -L -O https://cdn.teleport.dev/teleport-access-email-v13.3.7-linux-ARCH-bin.tar.gz
tar -xzf teleport-access-email-v13.3.7-linux-ARCH-bin.tar.gz
cd teleport-access-email
sudo ./install

바이너리가 설치되었는지 확인하십시오:

teleport-email version
teleport-email v13.3.7 git:teleport-email-v13.3.7-fffffffff go1.22
docker pull public.ecr.aws/gravitational/teleport-plugin-email:13.3.7

다음 명령을 실행하여 플러그인이 설치되었는지 확인하십시오:

docker run public.ecr.aws/gravitational/teleport-plugin-email:13.3.7 version
teleport-email v13.3.7 git:teleport-email-v13.3.7-api/14.0.0-gd1e081e 1.22

사용 가능한 태그 목록은 Amazon ECR Public Gallery를 방문하십시오.

소스에서 설치하려면 gitgo 가 설치되어 있어야 합니다. Go가 설치되어 있지 않다면, Go 다운로드 페이지를 방문하십시오.

git clone https://github.com/gravitational/teleport -b branch/v17
cd teleport/integrations/access/email
git checkout 13.3.7
make

teleport-email 바이너리를 PATH로 이동하십시오.

바이너리가 설치되었는지 확인하십시오:

teleport-email version
teleport-email v13.3.7 git:teleport-email-v13.3.7-fffffffff go1.22

Helm이 Teleport Helm 저장소에 호스트된 차트를 설치할 수 있도록 허용합니다:

helm repo add teleport https://charts.releases.teleport.dev

원격 저장소에서 차트 캐시를 업데이트합니다:

helm repo update

3/7단계. 플러그인용 사용자 및 역할 생성

Teleport의 접근 요청 플러그인은 접근 요청을 나열하고 읽을 수 있는 권한을 가진 사용자로서 Teleport 클러스터에 인증합니다. 이렇게 하면 플러그인이 Teleport Auth Service에서 접근 요청을 검색하여 리뷰어에게 제공합니다.

다음 내용을 access-plugin.yaml 이라는 파일에 추가하여 access-plugin 이라는 사용자와 역할을 정의하십시오:

kind: role
version: v5
metadata:
  name: access-plugin
spec:
  allow:
    rules:
      - resources: ["access_request"]
        verbs: ["list", "read"]
      - resources: ["access_plugin_data"]
        verbs: ["update"]
---
kind: user
metadata:
  name: access-plugin
spec:
  roles: ["access-plugin"]
version: v2

사용자와 역할을 생성하십시오:

tctl create -f access-plugin.yaml

모든 Teleport 사용자와 마찬가지로, Teleport Auth 서비스는 access-plugin 사용자를 짧은 수명의 TLS 자격 증명을 발급하여 인증합니다. 이 경우, access-plugin 역할과 사용자를 임시로 사용자화하여 자격 증명을 수동으로 요청해야 합니다.

자체 호스팅된 Teleport Enterprise 배포를 실행 중이며 Auth 서비스 호스트에서 tctl 을 사용하고 있는 경우, 이미 임시 사용자화 권한이 있을 것입니다.

사용자에게 access-plugin 에 대한 임시 사용자화 권한을 부여하려면, 다음 YAML 문서를 access-plugin-impersonator.yaml 이라는 파일에 붙여넣어 access-plugin-impersonator 라는 역할을 정의하십시오:

kind: role
version: v7
metadata:
  name: access-plugin-impersonator
spec:
  allow:
    impersonate:
      roles:
      - access-plugin
      users:
      - access-plugin

access-plugin-impersonator 역할을 생성하십시오:

tctl create -f access-plugin-impersonator.yaml

기계 ID를 가진 플러그인에 사용자 신원 파일을 제공하는 경우, 기계 ID 봇 사용자에게 access-plugin 역할을 부여하십시오. 그렇지 않으면, access-plugin 역할 및 사용자에 대한 자격 증명을 생성하려는 사용자에게 이 역할을 할당하십시오:

access-plugin-impersonator 역할을 Teleport 사용자에게 할당하려면, 인증 제공자에 맞는 적절한 명령어를 실행하십시오:

  1. 로컬 사용자의 역할을 쉼표로 구분된 목록으로 가져옵니다:

    ROLES=$(tsh status -f json | jq -r '.active.roles | join(",")')
  2. 새로운 역할을 추가하기 위해 로컬 사용자를 수정합니다:

    tctl users update $(tsh status -f json | jq -r '.active.username') \ --set-roles "${ROLES?},access-plugin-impersonator"
  3. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

  1. 텍스트 편집기에서 github 인증 커넥터를 엽니다:

    tctl edit github/github
  2. github 커넥터를 수정하여 teams_to_roles 섹션에 access-plugin-impersonator 을 추가합니다.

    이 역할에 매핑해야 하는 팀은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 팀은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 팀이어야 합니다.

    예시는 다음과 같습니다:

      teams_to_roles:
        - organization: octocats
          team: admins
          roles:
            - access
    +       - access-plugin-impersonator
    
  3. 파일을 편집하고 저장하여 변경 사항을 적용합니다.

  4. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

  1. saml 구성 리소스를 가져옵니다:

    tctl get --with-secrets saml/mysaml > saml.yaml

    --with-secrets 플래그는 spec.signing_key_pair.private_key 의 값을 saml.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하므로, 리소스를 업데이트한 후 즉시 saml.yaml 파일을 삭제해야 합니다.

  2. saml.yaml 을 수정하여 attributes_to_roles 섹션에 access-plugin-impersonator 을 추가합니다.

    이 역할에 매핑해야 하는 속성은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 그룹은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 그룹이어야 합니다.

    예시는 다음과 같습니다:

      attributes_to_roles:
        - name: "groups"
          value: "my-group"
          roles:
            - access
    +       - access-plugin-impersonator
    
  3. 변경 사항을 적용합니다:

    tctl create -f saml.yaml
  4. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

  1. oidc 구성 리소스를 가져옵니다:

    tctl get oidc/myoidc --with-secrets > oidc.yaml

    --with-secrets 플래그는 spec.signing_key_pair.private_key 의 값을 oidc.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하므로, 리소스를 업데이트한 후 즉시 oidc.yaml 파일을 삭제해야 합니다.

  2. oidc.yaml 을 수정하여 claims_to_roles 섹션에 access-plugin-impersonator 을 추가합니다.

    이 역할에 매핑해야 하는 클레임은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 그룹은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 그룹이어야 합니다.

    예시는 다음과 같습니다:

      claims_to_roles:
        - name: "groups"
          value: "my-group"
          roles:
            - access
    +       - access-plugin-impersonator
    
  3. 변경 사항을 적용합니다:

    tctl create -f oidc.yaml
  4. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

이제 access-plugin 역할 및 사용자에 대한 서명된 인증서를 생성할 수 있습니다.

4/7단계. 접근 플러그인 신원 내보내기

플러그인에 Teleport 신원 파일에 대한 접근을 부여합니다. 이를 위해 Machine ID를 사용하는 것이 좋습니다. 이는 유출될 경우 덜 위험한 단기 신원 파일을 생성하기 위한 것이지만, 데모 배포에서는 tctl 을 사용하여 더 긴 유효 기간의 신원 파일을 생성할 수 있습니다.

tbot 을 구성하여 the plugin 에 필요한 자격 증명을 생성하는 출력을 설정합니다. the plugin 가 Teleport API에 액세스할 것이므로, 사용할 올바른 출력 유형은 identity 입니다.

이 안내서에서는 directory 대상을 사용할 것입니다. 이는 이러한 자격 증명을 디스크의 지정된 디렉토리에 작성합니다. 이 디렉토리는 tbot 이 실행되는 Linux 사용자가 쓸 수 있도록 하여야 하며, the plugin 가 실행되는 Linux 사용자가 읽을 수 있도록 해야 합니다.

tbot 구성을 수정하여 identity 출력을 추가합니다.

Linux 서버에서 tbot 을 실행하는 경우, directory 출력을 사용하여 /opt/machine-id 디렉토리에 신원 파일을 작성합니다:

outputs:
- type: identity
  destination:
    type: directory
    # 이 안내서에서는 /opt/machine-id 를 대상 디렉토리로 사용합니다.
    # 이를 사용자 정의할 수 있습니다. 여러 출력은 동일한
    # 대상을 공유할 수 없습니다.
    path: /opt/machine-id

Kubernetes에서 tbot 을 실행하는 경우, Kubernetes 비밀에 신원 파일을 작성합니다:

outputs:
  - type: identity
    destination:
      type: kubernetes_secret
      name: teleport-plugin-email-identity

tbot 을 백그라운드 서비스로 운영하는 경우, 이를 재시작합니다. tbot 을 원샷 모드로 실행하는 경우, 지금 실행합니다.

이제 /opt/machine-id 아래에 identity 파일 또는 teleport-plugin-email-identity 라는 Kubernetes 비밀이 생성된 것을 볼 수 있습니다. 이 파일에는 the plugin 가 Teleport Auth 서비스에 인증하기 위해 필요한 개인 키와 서명된 인증서가 포함되어 있습니다.

모든 Teleport 사용자와 마찬가지로, access-plugin 는 Teleport 클러스터에 연결하기 위해 서명된 자격 증명이 필요합니다. 이 자격 증명을 요청하기 위해 tctl auth sign 명령을 사용할 것입니다.

다음 tctl auth sign 명령은 access-plugin 사용자로 가장하여 서명된 자격 증명을 생성하고, 로컬 디렉토리에 아이덴티티 파일을 작성합니다:

tctl auth sign --user=access-plugin --out=identity

plugin는 TLS를 통해 Teleport Auth 서비스의 gRPC 엔드포인트에 연결합니다.

아이덴티티 파일인 identity 는 TLS 및 SSH 자격 증명을 모두 포함합니다. plugin는 SSH 자격 증명을 사용하여 Proxy Service에 연결하고, Proxy Service는 Auth Service로의 역 터널 연결을 설정합니다. plugin는 이 역 터널과 TLS 자격 증명을 사용하여 Auth Service의 gRPC 엔드포인트에 연결합니다.

기본적으로 tctl auth sign 은 상대적으로 짧은 수명의 인증서를 생성합니다. 운영 배포를 위해, 우리는 Machine ID를 사용하여 프로그램적으로 인증서를 발급하고 갱신할 것을 제안합니다. 이에 대한 자세한 내용은 Machine ID 시작 가이드를 참조하십시오.

인증서는 기존 자격 증명보다 더 긴 유효 기간을 가질 수 없음을 유의하십시오. 예를 들어, 1000시간 TTL의 인증서를 발급하려면 최소 1000시간 유효한 세션으로 로그인해야 합니다. 이는 사용자가 최소 1000시간 (60000분)의 max_session_ttl 을 허용하는 역할이 있어야 하며, 로그인 시 --ttl 을 지정해야 함을 의미합니다:

tsh login --proxy=teleport.example.com --ttl=60060

리눅스 서버에서 plugin를 실행 중이라면, plugin의 인증서 파일을 보관할 데이터 디렉토리를 생성하십시오:

sudo mkdir -p /var/lib/teleport/api-credentials
sudo mv identity /var/lib/teleport/plugins/api-credentials

Kubernetes에서 plugin를 실행 중이라면, Teleport 아이덴티티 파일을 포함하는 Kubernetes 비밀을 생성하십시오:

kubectl -n teleport create secret generic --from-file=identity teleport-plugin-email-identity

Teleport 자격 증명이 만료되면, 다시 tctl auth sign 명령을 실행하여 갱신해야 합니다.

5/7단계. 플러그인 구성

이 시점에서 이메일 플러그인이 Teleport에 연결하기 위해 사용할 자격 증명을 생성했습니다. 이제 이를 사용하여 Teleport로부터 접근 요청 알림을 받고 선택한 수신자에게 이메일로 전송하도록 플러그인을 구성합니다.

구성 파일 생성

Teleport 이메일 플러그인은 TOML 형식의 구성 파일을 사용합니다. 다음 명령어를 실행하여 보일러플레이트 구성을 생성합니다.

teleport-email configure | sudo tee /etc/teleport-email.toml

이메일 플러그인 Helm Chart는 플러그인을 구성하기 위해 YAML 값 파일을 사용합니다. 로컬 작업 공간에서 다음 예를 기반으로 teleport-email-helm.yaml 이라는 파일을 생성합니다.

teleport:
  address: teleport.example.com:443
  identitySecretName: teleport-plugin-email-identity
  identitySecretPath: identity

mailgun:
  enabled: false
  domain: ""
  privateKey: ""
  privateKeyFromSecret: ""
  privateKeySecretPath: "mailgunPrivateKey"

smtp:
  enabled: false
  host: ""
  port: 587
  username: ""
  password: ""
  passwordFromSecret: ""
  passwordSecretPath: "smtpPassword"
  starttlsPolicy: "mandatory"

delivery:
  sender: ""
  recipients: []

roleToRecipients: {}

secretVolumeName: "password-file"

구성 파일 수정

환경에 맞게 구성 파일을 수정하세요. 아래에 각 값을 설정하는 방법을 보여드립니다.

[teleport]

addr: Teleport Proxy Service 또는 Teleport Enterprise Cloud 계정의 호스트 이름과 HTTPS 포트를 포함합니다 (예: teleport.example.com:443 또는 mytenant.teleport.sh:443 ).

identity: 이전에 내보낸 신원 파일의 경로로 이 항목을 채웁니다.

client_key, client_crt, root_cas: 이 구성에서는 사용하지 않으므로 주석 처리합니다.

address: Teleport Proxy Service 또는 Teleport Enterprise Cloud 테넌트의 호스트 이름과 HTTPS 포트를 포함합니다 (예: teleport.example.com:443 또는 mytenant.teleport.sh:443 ).

identitySecretName: 이전에 생성한 Kubernetes 비밀의 이름으로 identitySecretName 필드를 채웁니다.

identitySecretPath: Kubernetes 비밀 내에서 신원 파일의 경로로 identitySecretPath 필드를 채웁니다. 위의 지침을 따랐다면, 이는 identity 가 됩니다.

자신이 Linux 서버에서 실행되는 tbot 바이너리를 사용하여 플러그인에 자격 증명을 제공하는 경우, identity 의 값이 tbot 에서 생성하도록 구성한 인증서 파일의 경로와 동일한지 확인하십시오, /opt/machine-id/identity .

플러그인을 구성하여 인증서 파일을 주기적으로 다시 로드하도록 하여 만료된 자격 증명으로 Teleport Auth Service에 연결하려 하지 않도록 합니다.

구성의 teleport 섹션에 다음을 추가하십시오:

refresh_identity = true

[mailgun] 또는 [smtp]

Mailgun 또는 SMTP 서비스를 사용하는지에 따라 SMTP 서비스의 자격 증명을 제공하세요.

이메일 플러그인을 Linux 호스트에 배포하는 경우:

  1. mailgun 섹션에서 domain 을 Mailgun 계정의 도메인 이름과 서브 도메인으로 지정하세요.
  2. mailgun.private_key 에 Mailgun 개인 키를 지정하세요.

Kubernetes에 이메일 플러그인을 배포하는 경우:

  1. Mailgun 개인 키를 mailgun-private-key 라는 로컬 파일에 기록하세요.
  2. 파일에서 Kubernetes 비밀을 생성하세요:
kubectl -n teleport create secret generic mailgun-private-key --from-file=mailgun-private-key
  1. mailgun.privateKeyFromSecretmailgun-private-key 로 지정하세요.

host 를 SMTP 서비스의 완전한 도메인 이름으로 지정하고 URL schema와 포트는 제외하세요. (테스트를 위해 로컬 SMTP 서버를 사용하는 경우, host"localhost"를 사용하세요.) port 를 SMTP 서비스의 포트로 지정하세요.

이메일 플러그인을 Linux 호스트에서 실행하는 경우, usernamepassword 를 입력하세요.

비밀번호를 별도의 파일에 저장하고 password_file 을 해당 파일의 경로로 지정할 수도 있습니다. 플러그인은 파일을 읽고 파일의 내용을 비밀번호로 사용합니다.

Kubernetes에 이메일 플러그인을 배포하는 경우:

  1. SMTP 서비스의 비밀번호를 smtp-password.txt 라는 로컬 파일에 기록하세요.
  2. 파일에서 Kubernetes 비밀을 생성하세요:
kubectl -n teleport create secret generic smtp-password --from-file=smtp-password
  1. smtp.passwordFromSecretsmtp-password 로 지정하세요.

신뢰할 수 있는 내부 SMTP 서버에 대해 이메일 플러그인을 테스트하는 경우, TLS를 사용하고 싶지 않다면—예: 개발 머신의 로컬 SMTP 서버—starttls_policy 설정을 disabled (항상 TLS 비활성화) 또는 opportunistic (서버가 STARTTLS 확장을 광고하지 않으면 TLS 비활성화)로 지정할 수 있습니다. 기본적으로 항상 TLS를 적용하므로, 위험을 이해하지 않는 한 이 설정을 지정하지 않아야 합니다.

Kubernetes 배포에서는 starttls_policy 가 Helm 값 파일에서 이메일 플러그인에 대해 smtp.starttlsPolicy 로 호출됩니다.

[delivery]

sender 를 Teleport 플러그인이 메시지를 보낼 이메일 주소로 지정하세요.

[role_to_recipients]

role_to_recipients 맵(roleToRecipients 는 Helm 사용자)을 사용하여 사용자가 특정 역할에 대한 액세스를 요청할 때 이메일 플러그인이 알림을 보낼 수신자를 구성합니다. 플러그인이 인증 서비스로부터 액세스 요청을 수신하면, 요청된 역할을 조회하고 알림을 보낼 수신자를 식별합니다.

다음은 role_to_recipients 맵의 예시입니다. 각 값은 단일 문자열 또는 문자열 배열일 수 있습니다:

[role_to_recipients]
"*" = ["security@example.com", "executive-team@example.com"]
"dev" = "eng@example.com"
"dba" = "mallory@example.com"

Helm 차트에서는 role_to_recipients 필드를 roleToRecipients 라고 하며, 다음 형식을 사용합니다. 여기서 키는 문자열이고 값은 문자열 배열입니다:

roleToRecipients:
  "*": ["security@example.com", "executive-team@example.com"]
  "dev": ["eng@example.com"]
  "dba": ["mallory@example.com"]

role_to_recipients 맵에서 각 키는 Teleport 역할의 이름입니다. 각 값은 플러그인이 해당 역할에 대한 액세스 요청을 수신하면 이메일을 보낼 수신자를 구성합니다. 각 문자열은 이메일 주소여야 합니다.

role_to_recipients 맵은 "*"에 대한 항목도 포함해야 합니다. 플러그인은 주어진 역할 이름과 일치하는 다른 항목이 없을 경우 이 항목을 조회합니다. 위의 예시에서 devdba 외의 역할에 대한 요청은 security@example.comexecutive-team@example.com 에 알림을 보냅니다.

사용자는 액세스 요청을 생성할 때 검토자를 제안할 수 있습니다. 예를 들어:

tsh request create --roles=dbadmin --reviewers=alice@example.com,ivan@example.com

액세스 요청에 제안된 검토자가 포함된 경우, 이메일 플러그인은 이를 수신자 목록에 추가할 것입니다. 제안된 검토자가 이메일 주소인 경우, 플러그인은 role_to_recipients 에 구성된 수신자 외에 해당 수신자에게 메시지를 보냅니다.

사용자가 editor 역할을 요청할 때 알림을 받도록 이메일 플러그인을 구성하려면, 다음과 같이 role_to_recipients 구성에 추가하세요. YOUR_EMAIL_ADDRESS 를 적절한 주소로 교체하세요:

"YOUR_EMAIL_ADDRESS" ```
</TabItem>
<TabItem label='Helm Chart'>
```yaml roleToRecipients: "*": "YOUR_EMAIL_ADDRESS" "editor":
"YOUR_EMAIL_ADDRESS" ```
</TabItem>
</Tabs>

<Details title="역할 매핑 없이 수신자 구성">

역할와 수신자 매핑을 사용하지 않을 계획이라면, `delivery.recipients` 필드를 사용하여 모든 액세스 요청 이벤트에 대해 고정 수신자 목록을 알리도록 Teleport 이메일 플러그인을 구성할  있습니다:

<Tabs>
<TabItem label='Executable or Docker'>
```toml [delivery] recipients = ["eng@exmaple.com", "dev@example.com"] ```
</TabItem>
<TabItem label='Helm Chart'>
```yaml delivery: recipients: ["eng@exmaple.com", "dev@example.com"] ```
</TabItem>
</Tabs>

`delivery.recipients`  사용할 경우, `role_to_recipients` 구성 섹션을 제거해야 합니다. 이면에서 `delivery.recipients`  수신자 목록을 와일드카드  `"*"` 아래의 `role_to_recipients` 매핑에 할당합니다.

</Details>

구성은 다음과 비슷해야 합니다:

<Tabs>
<TabItem label="Executable or Docker">

```toml
# /etc/teleport-email.toml
[teleport]
addr = "example.com:443"
identity = "/var/lib/teleport/plugins/email/identity"
refresh_identity = true

[mailgun]
domain = "sandbox123abc.mailgun.org"
private_key = "xoxb-fakekey62b0eac53565a38c8cc0316f6"

# 대안으로 SMTP 서버 자격 증명을 사용할 수 있습니다:
#
# [smtp]
# host = "smtp.gmail.com"
# port = 587
# username = "username@gmail.com"
# password = ""
# password_file = "/var/lib/teleport/plugins/email/smtp_password"
# starttls_policy = "mandatory"

[delivery]
sender = "noreply@example.com"

[role_to_recipients]
"*" = "eng@example.com"
"editor" = ["admin@example.com", "execs@example.com"]

[log]
output = "stderr" # 로거 출력. "stdout", "stderr" 또는 "/var/lib/teleport/email.log"일 수 있습니다.
severity = "INFO" # 로거 심각도. "INFO", "ERROR", "DEBUG" 또는 "WARN"일 수 있습니다.
# teleport-email-helm.yaml
teleport:
  address: "teleport.example.com:443"
  identitySecretName: teleport-plugin-email-identity
  identitySecretPath: identity

mailgun:
  domain: "sandbox123abc.mailgun.org"
  privateKeyFromSecret: "mailgun-private-key"

# 대안으로 SMTP 서버 자격 증명을 사용할 수 있습니다:
#
# smtp:
#   host: "smtp.gmail.com"
#   port: 587
#   username: "username@gmail.com"
#   passwordFromSecret: "smtp-password"
#   starttls_policy = "mandatory"

delivery:
  sender: "noreply@example.com"

roleToRecipients:
  "*": "eng@example.com"
  "editor": ["admin@example.com", "execs@example.com"]

6/7단계. 이메일 플러그인 테스트

구성을 완료한 후, 이제 플러그인을 실행하고 이메일 기반 접근 요청 흐름을 테스트할 수 있습니다:

teleport-email start

모든 것이 예상대로 작동하면, 로그 출력은 다음과 같아야 합니다:

teleport-email start
INFO Teleport 접근 이메일 플러그인 시작합니다 (): email/app.go:80INFO 플러그인이 준비되었습니다 email/app.go:101

플러그인을 시작하십시오:

docker run -v <path-to-config>:/etc/teleport-email.toml public.ecr.aws/gravitational/teleport-plugin-email:17.0.0-dev start

플러그인을 설치하십시오:

helm upgrade --install teleport-plugin-email teleport/teleport-plugin-email --values teleport-email-helm.yaml

플러그인의 로그를 확인하려면 다음 명령을 사용하십시오:

kubectl logs deploy/teleport-plugin-email

디버그 로그는 teleport-email-helm.yaml 에서 log.severityDEBUG 로 설정하고 위의 helm upgrade ... 명령을 다시 실행하여 활성화할 수 있습니다. 그런 다음 다음 명령을 사용하여 플러그인을 재시작할 수 있습니다:

kubectl rollout restart deployment teleport-plugin-email

접근 요청 만들기

Teleport 관리자는 tctl 을 사용하여 다른 사용자에 대한 액세스 요청을 생성할 수 있습니다:

tctl request create myuser --roles=editor

사용자는 tsh 를 사용하여 액세스 요청을 생성하고 승인된 역할로 로그인할 수 있습니다:

tsh request create --roles=editor
요청 승인 중... (id: 8f77d2d1-2bbf-4031-a300-58926237a807)

사용자는 "액세스 요청" 탭을 방문하고 "새 요청"을 클릭하여 웹 UI를 사용하여 액세스를 요청할 수 있습니다:

이전에 구성한 수신자는 이메일로 요청에 대한 알림을 받아야 합니다.

요청 해결하기

Access Request 메시지를 수신하면 링크를 클릭하여 Teleport를 방문하고 요청을 승인하거나 거부하십시오:

명령줄에서 Access Request를 검토할 수도 있습니다:

REQUEST_ID를 요청의 ID로 변경하십시오

tctl request approve REQUEST_ID
tctl request deny REQUEST_ID

REQUEST_ID를 요청의 ID로 변경하십시오

tsh request review --approve REQUEST_ID
tsh request review --deny REQUEST_ID

7/7단계. systemd 설정

이 섹션은 Teleport 이메일 플러그인을 Linux 호스트에서 실행하는 경우에만 관련이 있습니다.

운영 환경에서는 systemd와 같은 초기화 시스템을 통해 Teleport 플러그인 데몬을 시작하는 것이 좋습니다. 다음은 systemd에 대한 권장 Teleport 플러그인 서비스 단위 파일입니다:

[Unit]
Description=Teleport Email Plugin
After=network.target

[Service]
Type=simple
Restart=on-failure
ExecStart=/usr/local/bin/teleport-email start --config=/etc/teleport-email.toml
ExecReload=/bin/kill -HUP $MAINPID
PIDFile=/run/teleport-email.pid

[Install]
WantedBy=multi-user.target

이 파일을 /usr/lib/systemd/system/ 또는 systemd에서 지원하는 다른 단위 파일 로드 경로teleport-email.service 로 저장하십시오.

플러그인을 활성화하고 시작하십시오:

sudo systemctl enable teleport-email
sudo systemctl start teleport-email
Teleport 원문 보기