인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
로컬 사용자
Teleport에서 로컬 사용자는 제3자 신원 공급자 대신 Teleport에 의해 직접 관리되는 사용자입니다. 모든 로컬 사용자는 사용자의 이름, 역할 및 특성, bcrypt 비밀번호 해시를 포함하는 Teleport의 클러스터 상태 백엔드에 저장됩니다.
이 가이드는 다음과 같은 내용을 보여줍니다:
전제 조건
-
실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.
-
tctl
관리자 도구와tsh
클라이언트 도구.tctl
및tsh
다운로드 방법에 대한 지침은 설치를 방문하십시오.
- 연결이 가능한지 확인하기 위해
tsh login
으로 로그인한 다음, 현재 자격 증명을 사용하여tctl
명령어를 실행할 수 있는지 확인하십시오. 예를 들어:클러스터에 연결할 수 있고tsh login --proxy=teleport.example.com --user=email@example.comtctl status클러스터 teleport.example.com
버전 17.0.0-dev
CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
tctl status
명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속tctl
명령어를 실행할 수 있습니다.
자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로tctl
명령어를 실행할 수도 있습니다.
로컬 사용자 추가하기
Teleport의 사용자 ID는 클러스터의 범위 내에서 존재합니다.
Teleport 관리자는 Teleport 사용자 계정을 생성하고 이를 사용 가능한 역할에 매핑합니다.
이 표를 살펴보겠습니다:
Teleport 사용자 | 허용되는 OS 로그인 | 설명 |
---|---|---|
joe | joe , root | Teleport 사용자 joe 는 OS의 사용자 joe 또는 root 로 멤버 노드에 로그인할 수 있습니다. |
bob | bob | Teleport 사용자 bob 는 멤버 노드에 OS 사용자 bob 으로만 로그인할 수 있습니다. |
kim | OS 로그인이 지정되지 않은 경우, Teleport 사용자와 동일한 이름인 kim 으로 기본값이 설정됩니다. |
tctl
도구를 사용하여 Teleport에 새 사용자를 추가해 보겠습니다:
tctl users add joe --logins=joe,root --roles=access,editor
tctl users add joe --logins=joe,root --roles=access,editor,reviewer
Teleport는 자동 만료 토큰(1시간 TTL)을 생성하고 토큰 URL을 인쇄하며, 이 URL은 TTL이 만료되기 전에 사용해야 합니다.
사용자 "joe"가 생성되었지만 비밀번호가 필요합니다. 사용자에게 이 URL을 공유하여 사용자 설정을 완료하십시오. 링크는 1시간 유효합니다:https://<proxy_host>:443/web/invite/<token>
참고: <proxy_host>:443가 사용자가 접근할 수 있는 Teleport 프록시를 가리키도록 하십시오.
사용자는 웹 브라우저에서 이 URL을 방문하여 비밀번호를 선택하고 다중 인증을 구성하여 등록을 완료합니다. 자격 증명이 올바른 경우 Teleport Auth 서버는 새로운 인증서를 생성하고 서명하며, 클라이언트는 이 키를 저장하고 이후 로그인에 사용할 것입니다.
키는 기본적으로 12시간 후에 자동으로 만료되며, 이후 사용자는 자신의 자격 증명으로 다시 로그인해야 합니다. 이 TTL은 다른 값으로 구성할 수 있습니다.
인증이 완료되면 계정은 tctl
을 통해 보이게 됩니다:
tctl users ls사용자 허용된 로그인
---- --------------
admin admin,root
kim kim
joe joe,root
사용자 편집하기
관리자는 tctl
을 통해 사용자 항목을 편집할 수 있습니다.
예를 들어, 전체 사용자 레코드 목록을 보기 위해 관리자는 다음 명령어를 실행할 수 있습니다:
tctl get users
사용자 joe
를 편집하려면 다음 명령어를 실행합니다:
tctl edit user/joe
변경 사항을 적용하려면 수정 후 파일을 저장하고 편집기를 닫으십시오.
사용자 삭제
관리자는 tctl
을 통해 로컬 사용자를 삭제할 수 있습니다:
tctl users rm joe
다음 단계
사용자 외에도 tctl
을 사용하여 역할 및 기타 동적 리소스를 관리할 수 있습니다. Teleport 리소스 참조를 참조하십시오.
사용 가능한 모든 tctl
명령어와 플래그는 CLI 참조에서 확인할 수 있습니다.
사용자가 SSO 제공자를 사용하여 로그인할 수 있도록 Teleport를 구성할 수도 있습니다. 자세한 내용은 다음을 참조하십시오:
사용자 외에도 tctl
을 사용하여 역할 및 기타 동적 리소스를 관리할 수 있습니다. Teleport 리소스 참조를 참조하십시오.
사용 가능한 모든 tctl
명령어와 플래그는 CLI 참조에서 확인할 수 있습니다.
사용자가 GitHub를 사용하여 로그인할 수 있도록 Teleport를 구성할 수도 있습니다. 자세한 내용은 GitHub SSO를 참조하십시오.