인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
관리 작업에 대한 MFA
Teleport는 tctl , tsh , Web UI, Teleport Connect 및 기타 Teleport 클라이언트를 통해 관리 작업을 수행하려면 추가적인 다중 인증(MFA) 체크를 요구하도록 구성할 수 있습니다.
관리 작업의 예는 다음과 같지만 이에 국한되지 않습니다:
- 사용자 계정 초기화 또는 복구
- 새로운 사용자 초대
- 클러스터 구성 리소스 업데이트
- 접근 관리 리소스 수정
- 접근 요청 승인
- 새로운 접속 토큰 생성
- 임시 사용자(임퍼소네이션)
- 머신 ID용 새로운 봇 생성
이는 사용자가 디스크에 저장된 Teleport 인증서의 손상으로부터 보호할 수 있는 고급 보안 기능입니다.
관리 작업에 대한 MFA가 활성화되면, tctl auth sign 으로 생성된 사용자 인증서는 추가 MFA 체크로 인해 자동화에 적합하지 않게 됩니다.
자동화된 워크플로를 위해 인증서를 발급할 때 Machine ID 사용을 권장하며, 이는 MFA 체크의 적용을 받지 않는 역할 임퍼소네이션을 사용합니다.
슈퍼 어드민 역할을 사용하여 Auth Service 인스턴스에서 직접 tctl auth sign 으로 생성된 인증서는 레거시 자가 호스트 설정을 지원하기 위해 MFA 체크의 적용을 받지 않습니다.
전제 조건
-
실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.
-
tctl관리자 도구와tsh클라이언트 도구.tctl및tsh다운로드 방법에 대한 지침은 설치를 방문하십시오.
- 연결이 가능한지 확인하기 위해
tsh login으로 로그인한 다음, 현재 자격 증명을 사용하여tctl명령어를 실행할 수 있는지 확인하십시오. 예를 들어:클러스터에 연결할 수 있고tsh login --proxy=teleport.example.com --user=email@example.comtctl status클러스터 teleport.example.com
버전 17.0.0-dev
CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
tctl status명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속tctl명령어를 실행할 수 있습니다.
자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로tctl명령어를 실행할 수도 있습니다. - 이 클러스터에 WebAuthn 구성됨
- YubiKey 또는 SoloKey와 같은 두 번째 하드웨어 장치
- SSH 또는 Teleport Web UI에서 데스크톱 세션을 사용하는 경우 WebAuthn 지원이 있는 웹 브라우저
관리 작업에 MFA 요구
WebAuthn이 허용되는 유일한 두 번째 인증 수단인 클러스터에서는 관리 작업에 대한 MFA가 자동으로 적용됩니다.
향후 주요 버전에서 Teleport는 더 넓은 범위의 클러스터 구성에 대해 관리 작업에 대한 MFA를 강제할 수 있습니다.
cluster_auth_preference 리소스를 편집합니다:
tctl edit cap
다음 내용을 포함하도록 cluster_auth_preference 정의를 업데이트합니다:
kind: cluster_auth_preference
version: v2
metadata:
name: cluster-auth-preference
spec:
type: local
# WebAuthn을 허용된 유일한 두 번째 인증 수단으로 만들기 위해 이 필드를 'webauthn'으로 설정합니다.
second_factor: "webauthn"
webauthn:
rp_id: example.com
파일을 저장하고 종료합니다. tctl 은 원격 정의를 업데이트합니다:
cluster auth preference has been updated