📣 Teleport의 공식 파트너 인포그랩에서 OpenAI 기술 기반으로 자체 개발한 자동화 번역 프로그램을 통해 Teleport 공식 문서의 한글판을 국내 최초로 제공합니다.
Infograb logo
관리자 작업을 위한 MFA

텔레포트는 tctl, tsh, 웹 UI, Teleport Connect 및 기타 모든 Teleport 클라이언트를 통해 관리자 작업을 수행하기 위해 추가적인 다단계 인증(MFA) 검사를 요구하도록 구성될 수 있습니다.

관리자 작업의 예시에는 다음과 같은 것들이 포함되지만, 이에 국한되지 않습니다:

  • 사용자 계정 재설정 또는 복구
  • 새로운 사용자 초대
  • 클러스터 구성 리소스 업데이트
  • 접근 관리 리소스 수정
  • 접근 요청 승인
  • 새로운 조인 토큰 생성
  • 사용자 대리인 역할 수행
  • 머신 ID에 대한 새로운 봇 생성

이는 사용자의 디스크에 저장된 Teleport 인증서를 무단 사용으로부터 보호하는 고급 보안 기능입니다.

관리자 작업에 대한 MFA가 활성화되면 tctl auth sign으로 생성된 사용자 인증서는 추가 MFA 검사로 인해 자동화에 적합하지 않게 됩니다.

자동화된 워크플로우를 위한 인증서를 발급하기 위해 Machine ID를 사용하는 것을 권장합니다. 이는 MFA 검사에 해당되지 않는 역할 대리인 기능을 사용합니다.

super-admin 역할을 사용하여 인증 서비스 인스턴스에서 직접 tctl auth sign으로 생성된 인증서는 레거시 형태의 자기 호스팅 설치를 지원하기 위해 MFA 검사에 해당되지 않습니다.

전제 조건

  • 실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.

  • tctl 관리 도구와 tsh 클라이언트 도구.

    tctltsh 다운로드에 대한 지침은 설치를 방문하세요.

  • 당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면, tsh login으로 로그인한 다음 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어: 
    tsh login --proxy=teleport.example.com --user=email@example.com
    tctl status
    클러스터  teleport.example.com
    버전  16.2.0
    CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
    클러스터에 연결하고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속 tctl 명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.
  • 이 클러스터에서 WebAuthn 구성됨
  • YubiKey 또는 SoloKey와 같은 2차 하드웨어 장치
  • WebAuthn 지원이 있는 웹 브라우저(텔레포트 웹 UI에서 SSH 또는 데스크톱 세션을 사용하는 경우).

관리자 작업을 위한 MFA 요구

WebAuthn이 허용된 유일한 형태의 2차 요소인 클러스터에서는 관리자 작업에 대한 MFA가 자동으로 적용됩니다.

향후 주요 버전에서 Teleport는 더 넓은 범위의 클러스터 구성에 대해 관리자 작업에 대한 MFA를 강제할 수 있습니다.

cluster_auth_preference 리소스를 편집합니다:

tctl edit cap

cluster_auth_preference 정의를 다음 내용을 포함하도록 업데이트합니다:

kind: cluster_auth_preference
version: v2
metadata:
  name: cluster-auth-preference
spec:
  type: local
  # webauthn을 허용된 유일한 형태의 2차 요소로 만들려면 이 필드를 'webauthn'으로 설정합니다.
  second_factor: "webauthn"
  webauthn:
    rp_id: example.com

파일을 저장하고 나오면 tctl이 원격 정의를 업데이트합니다:

클러스터 인증 선호도가 업데이트되었습니다

인증 서비스의 teleport.yaml 파일을 편집하고 모든 인증 서비스 인스턴스를 재시작합니다:

# /etc/teleport.yaml의 스니펫:
auth_service:
  authentication:
    type: local
    # webauthn을 허용된 유일한 형태의 2차 요소로 만들려면 이 필드를 'webauthn'으로 설정합니다.
    second_factor: "webauthn"
    webauthn:
      rp_id: example.com
Teleport 원문 보기
인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!