텔레포트는 tctl
, tsh
, 웹 UI, Teleport Connect 및 기타 모든 Teleport 클라이언트를 통해 관리자 작업을 수행하기 위해 추가적인 다단계 인증(MFA) 검사를 요구하도록 구성될 수 있습니다.
관리자 작업의 예시에는 다음과 같은 것들이 포함되지만, 이에 국한되지 않습니다:
- 사용자 계정 재설정 또는 복구
- 새로운 사용자 초대
- 클러스터 구성 리소스 업데이트
- 접근 관리 리소스 수정
- 접근 요청 승인
- 새로운 조인 토큰 생성
- 사용자 대리인 역할 수행
- 머신 ID에 대한 새로운 봇 생성
이는 사용자의 디스크에 저장된 Teleport 인증서를 무단 사용으로부터 보호하는 고급 보안 기능입니다.
관리자 작업에 대한 MFA가 활성화되면 tctl auth sign
으로 생성된 사용자 인증서는
추가 MFA 검사로 인해 자동화에 적합하지 않게 됩니다.
자동화된 워크플로우를 위한 인증서를 발급하기 위해 Machine ID를 사용하는 것을 권장합니다. 이는 MFA 검사에 해당되지 않는 역할 대리인 기능을 사용합니다.
super-admin 역할을 사용하여 인증 서비스 인스턴스에서 직접 tctl auth sign
으로 생성된 인증서는
레거시 형태의 자기 호스팅 설치를 지원하기 위해 MFA 검사에 해당되지 않습니다.
전제 조건
-
실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
-
tctl
관리 도구와tsh
클라이언트 도구.tctl
과tsh
다운로드에 대한 지침은 설치를 방문하세요.
- 당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면,
tsh login
으로 로그인한 다음 현재 자격 증명을 사용하여tctl
명령어를 실행할 수 있는지 확인하십시오. 예를 들어:클러스터에 연결하고tsh login --proxy=teleport.example.com --user=email@example.comtctl status클러스터 teleport.example.com
버전 16.2.0
CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
tctl status
명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속tctl
명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로tctl
명령어를 실행할 수도 있습니다. - 이 클러스터에서 WebAuthn 구성됨
- YubiKey 또는 SoloKey와 같은 2차 하드웨어 장치
- WebAuthn 지원이 있는 웹 브라우저(텔레포트 웹 UI에서 SSH 또는 데스크톱 세션을 사용하는 경우).
관리자 작업을 위한 MFA 요구
WebAuthn이 허용된 유일한 형태의 2차 요소인 클러스터에서는 관리자 작업에 대한 MFA가 자동으로 적용됩니다.
향후 주요 버전에서 Teleport는 더 넓은 범위의 클러스터 구성에 대해 관리자 작업에 대한 MFA를 강제할 수 있습니다.
cluster_auth_preference
리소스를 편집합니다:
tctl edit cap
cluster_auth_preference
정의를 다음 내용을 포함하도록 업데이트합니다:
kind: cluster_auth_preference
version: v2
metadata:
name: cluster-auth-preference
spec:
type: local
# webauthn을 허용된 유일한 형태의 2차 요소로 만들려면 이 필드를 'webauthn'으로 설정합니다.
second_factor: "webauthn"
webauthn:
rp_id: example.com
파일을 저장하고 나오면 tctl
이 원격 정의를 업데이트합니다:
클러스터 인증 선호도가 업데이트되었습니다
인증 서비스의 teleport.yaml
파일을 편집하고 모든 인증 서비스 인스턴스를 재시작합니다:
# /etc/teleport.yaml의 스니펫:
auth_service:
authentication:
type: local
# webauthn을 허용된 유일한 형태의 2차 요소로 만들려면 이 필드를 'webauthn'으로 설정합니다.
second_factor: "webauthn"
webauthn:
rp_id: example.com