Teleport는 Teleport 데이터베이스 서비스를 통해 Oracle에 대한 안전한 액세스를 제공할 수 있습니다. 이를 통해 Teleport RBAC 시스템을 통한 세밀한 접근 제어가 가능합니다.

Teleport 데이터베이스 서비스는 데이터베이스 클라이언트의 트래픽을 귀하의 인프라에 있는 자체 호스팅 데이터베이스로 프록시합니다. Teleport는 데이터베이스 클라이언트를 위한 인증 기관을 유지 관리합니다. 귀하는 데이터베이스를 구성하여 Teleport 데이터베이스 클라이언트 CA를 신뢰하도록 하고, Teleport 데이터베이스 서비스는 사용자 트래픽을 프록시할 때 이 CA에서 서명한 인증서를 제시합니다. 이 설정을 통해 자체 호스팅 데이터베이스에 대한 장기적인 자격 증명을 저장할 필요가 없습니다.

한편, Teleport 데이터베이스 서비스는 Teleport 데이터베이스 CA 또는 사용자가 선택한 사용자 정의 CA에 대해 TLS 인증서를 확인하여 자체 호스팅 데이터베이스를 검증합니다.

이 가이드에서는 다음을 수행할 것입니다:

1. Teleport 액세스를 위해 Oracle 데이터베이스를 구성합니다.
2. 데이터베이스를 Teleport 클러스터에 추가합니다.
3. Teleport를 통해 데이터베이스에 연결합니다.

작동 방식

Teleport Database Service는 상호 TLS를 사용하여 자체 호스팅된 Oracle 데이터베이스에 인증합니다. Oracle는 데이터베이스 클라이언트를 위한 Teleport 인증 기관을 신뢰하며, Teleport 데이터베이스 CA 또는 사용자 정의 CA에 의해 서명된 인증서를 제시합니다. 사용자가 데이터베이스 세션을 시작하면, Teleport Database Service는 Teleport에 의해 서명된 인증서를 제시합니다. 인증된 연결은 이후 사용자의 클라이언트 트래픽을 프록시합니다.

• Teleport Enterprise
• Teleport Enterprise Cloud

전제 조건

• 실행 중인 Teleport 클러스터. Teleport를 시작하려면 가입하기 무료 체험판을 이용해 보세요.

• tctl 관리 도구 및 tsh 클라이언트 도구 버전 >= 16.2.0.

  tctl 및 tsh 다운로드 방법에 대한 지침은 설치를 방문하세요.

• 셀프 호스티드 Oracle 서버 인스턴스 18c 이상.
• sqlcl Oracle 클라이언트가 설치되고 시스템의 PATH 환경 변수에 추가되었거나 JDBC Oracle Thin 클라이언트를 지원하는 GUI 클라이언트.
• 선택 사항: 셀프 호스티드 데이터베이스의 인증서를 발급하는 인증 기관.

단계 1/6. Teleport 토큰 및 사용자 생성

Database 서비스는 Teleport 클러스터에 참여하려면 유효한 조인 토큰이 필요합니다.
다음 tctl 명령을 실행하고 토큰 출력을 /tmp/token에 저장하세요.
Database 서비스가 실행될 서버에서:

tctl tokens add --type=db --format=text
abcd123-insecure-do-not-use-this  

내장된 access 및 requester 역할로 로컬 Teleport 사용자를 만듭니다:

tctl users add \  --roles=access,requester \  --db-users=\* \  --db-names=\* \  alice

데이터베이스 액세스 제어 및 제한 방법에 대한 더 자세한 정보는 RBAC 문서를 참조하세요.

단계 2/6. 인증서/키 쌍 및 Teleport Oracle Wallet 생성

Teleport는 자체 호스팅 데이터베이스와 상호 TLS 인증을 사용합니다. 이러한 데이터베이스는 클라이언트 인증서를 검증할 수 있도록 Teleport의 인증 기관으로 구성되어야 합니다. 또한 Teleport가 검증할 수 있는 인증서/키 쌍이 필요합니다.

tctl을 사용하여 워크스테이션에서 인증서를 발급하려면, Teleport 사용자가 시스템 역할 Db를 가장할 수 있도록 허용되어야 합니다.

다음 allow 규칙을 Teleport 사용자 역할에 포함하세요:

allow:
  impersonate:
    users: ["Db"]
    roles: ["Db"]

데이터베이스에 대한 TLS 자격 증명을 생성하려면 아래 지침을 따르세요.

Teleport의 인증 기관 및 생성된 인증서/키 쌍을 내보냅니다.
호스트 db.example.com에 대해 3개월 유효성이 있는 인증서/키 쌍입니다.
tctl auth sign --format=oracle --host=db.example.com --out=server --ttl=2190h

이 예에서 db.example.com는 Teleport 데이터베이스 서비스가 Oracle 서버에 접근할 수 있는 호스트 이름입니다.

tctl이 로컬 환경에서 Orapki 도구를 찾으면 tctl auth sign --format=oracle --host=db.example.com --out=server --ttl=2190h 명령은 Oracle Wallet과 Teleport Oracle Wallet로 Oracle TCPS 리스너를 구성하는 방법에 대한 지침을 생성합니다. 그렇지 않은 경우 tctl auth sign --format=oracle 명령은 p12 인증서 및 Oracle 데이터베이스 인스턴스에서 Oracle Wallet을 생성하는 방법에 대한 지침을 생성합니다.

Oracle 데이터베이스가 기존 인증 기관에 의해 서명된 TLS 자격 증명을 제공하는 경우, 다음 단계를 따르세요:

1. Teleport CA 인증서를 내보내 Oracle이 Teleport 데이터베이스 서비스에서 트래픽을 인증하도록 합니다. example.teleport.sh:443를 클러스터의 Teleport Proxy 서비스의 호스트 및 웹 포트로 대체합니다. 다음 명령을 워크스테이션에서 실행하세요:

   tctl auth export --type=db-client --auth-server=example.teleport.sh:443 > server.ca-client.crt

2. server.ca-client.crt를 Oracle 서버의 Oracle Wallet을 사용할 디렉토리로 이동합니다.

3. Oracle 서버에 대해 PKCS12 형식의 키와 인증서를 발행하고 결과 P12 파일을 Oracle Wallet 디렉토리의 server.p12로 이동합니다.

4. Oracle 서버에서 orapki 도구를 사용하여 Oracle Wallet을 설정합니다:

   비밀번호를 지정합니다.
   PKCS12_PASS=""
   WALLET_DIR="/path/to/oracleWalletDir"
   orapki wallet create -wallet "$WALLET_DIR" -auto_login_only
   orapki wallet import_pkcs12 -wallet "$WALLET_DIR" -auto_login_only -pkcs12file server.p12 -pkcs12pwd ${PKCS12_PASS?}
   orapki wallet add -wallet "$WALLET_DIR" -trusted_cert -auto_login_only -cert server.ca-client.crt

단계 3/6. Oracle 데이터베이스 구성

Teleport Oracle 통합을 활성화하려면 TCPS Oracle 리스너를 구성하고 이전 단계에서 생성한 Teleport Oracle Wallet을 사용해야 합니다.

listener.ora Oracle 구성 파일을 정렬하고 다음 항목을 추가합니다:

LISTENER =
  (DESCRIPTION_LIST =
    (DESCRIPTION =
      (ADDRESS = (PROTOCOL = TCPS)(HOST = 0.0.0.0)(PORT = 2484))
    )
  )

WALLET_LOCATION = (SOURCE = (METHOD = FILE)(METHOD_DATA = (DIRECTORY = /path/to/oracleWalletDir)))
SSL_CLIENT_AUTHENTICATION = TRUE

또한 sqlnet.ora Oracle 구성을 확장해야 합니다:

WALLET_LOCATION = (SOURCE = (METHOD = FILE)(METHOD_DATA = (DIRECTORY = /path/to/oracleWalletDir)))
SSL_CLIENT_AUTHENTICATION = TRUE
SQLNET.AUTHENTICATION_SERVICES = (TCPS)

또한 Oracle 데이터베이스 사용자 계정은 유효한 클라이언트 인증서를 요구하도록 구성해야 합니다. 새 사용자를 생성하는 경우:

CREATE USER alice IDENTIFIED EXTERNALLY AS 'CN=alice';
GRANT CREATE SESSION TO alice;

단계 4/6. 데이터베이스 서비스 구성 및 시작

Teleport 데이터베이스 서비스를 실행할 Teleport를 설치하고 구성합니다:

Teleport의 PGP 공개 키 다운로드
sudo curl https://apt.releases.teleport.dev/gpg \-o /usr/share/keyrings/teleport-archive-keyring.asc
OS 버전에 대한 변수 소스
source /etc/os-release
v16에 대한 Teleport APT 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
echo "deb [signed-by=/usr/share/keyrings/teleport-archive-keyring.asc] \https://apt.releases.teleport.dev/${ID?} ${VERSION_CODENAME?} stable/v16" \| sudo tee /etc/apt/sources.list.d/teleport.list > /dev/null

sudo apt-get update
sudo apt-get install teleport-ent

sudo apt-get install teleport-ent-fips

OS 버전에 대한 변수 소스
source /etc/os-release
v16에 대한 Teleport YUM 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
sudo yum install -y yum-utils
sudo yum-config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v16/teleport.repo")"
sudo yum install teleport-ent
팁: sudo로 사용되는 경로에 /usr/local/bin 추가 (그래서 'sudo tctl users add'가 문서에 따라 작동합니다)
echo "Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path

sudo yum install teleport-ent-fips

OS 버전에 대한 변수 소스
source /etc/os-release
v16에 대한 Teleport Zypper 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 OS 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
zypper를 사용하여 teleport RPM repo 추가
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-zypper.repo")
sudo yum install teleport-ent
팁: sudo로 사용되는 경로에 /usr/local/bin 추가 (그래서 'sudo tctl users add'가 문서에 따라 작동합니다)
echo "Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path

sudo yum install teleport-ent-fips

OS 버전에 대한 변수 소스
source /etc/os-release
v16에 대한 Teleport YUM 저장소 추가.
Teleport의 각 주요 릴리스를 위해 이 파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
dnf 구성 관리자 플러그인을 사용하여 teleport RPM repo 추가
sudo dnf config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v16/teleport.repo")"

teleport 설치
sudo dnf install teleport-ent

팁: sudo로 사용되는 경로에 /usr/local/bin 추가 (그래서 'sudo tctl users add'가 문서에 따라 작동합니다)
echo "Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path

sudo dnf install teleport-ent-fips

OS 버전에 대한 변수 소스
source /etc/os-release
Teleport Zypper 저장소 추가.
먼저, $VERSION_ID에서 OS 주요 버전을 가져와서 이 올바른 패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
Zypper를 사용하여 teleport RPM repo 추가
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v16/teleport-zypper.repo")

teleport 설치
sudo zypper install teleport-ent

sudo zypper install teleport-ent-fips

curl https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gz.sha256
<checksum> <filename>
curl -O https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gz
shasum -a 256 teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gz
체크섬이 일치하는지 확인
tar -xvf teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-bin.tar.gz
cd teleport-ent
sudo ./install

curl https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gz.sha256
<checksum> <filename>
curl -O https://cdn.teleport.dev/teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gz
shasum -a 256 teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gz
체크섬이 일치하는지 확인
tar -xvf teleport-ent-v16.2.0-linux-$SYSTEM_ARCH-fips-bin.tar.gz
cd teleport-ent
sudo ./install

Teleport의 PGP 공개 키 다운로드
sudo curl https://apt.releases.teleport.dev/gpg \-o /usr/share/keyrings/teleport-archive-keyring.asc
OS 버전에 대한 변수 소스
source /etc/os-release
클라우드를 위한 Teleport APT 리포지토리 추가
echo "deb [signed-by=/usr/share/keyrings/teleport-archive-keyring.asc] \https://apt.releases.teleport.dev/${ID?} ${VERSION_CODENAME?} stable/cloud" \| sudo tee /etc/apt/sources.list.d/teleport.list > /dev/null

최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.com
export TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

리포지토리 업데이트 및 Teleport 및 Teleport 업데이트 도구 설치
sudo apt-get update
sudo apt-get install "teleport-ent=$TELEPORT_VERSION" teleport-ent-updater

OS 버전에 대한 변수 소스
source /etc/os-release
클라우드를 위한 Teleport YUM 리포지토리 추가
먼저, $VERSION_ID에서 OS 주 버전을 가져와서 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
sudo yum install -y yum-utils
sudo yum-config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-yum.repo")"

최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.com
export TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

Teleport 및 Teleport 업데이트 도구 설치
sudo yum install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater

팁: /usr/local/bin을 sudo가 사용하는 경로에 추가 (그래서 'sudo tctl users add'가 문서대로 작동합니다)
echo "Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path

OS 버전에 대한 변수 소스
source /etc/os-release
클라우드를 위한 Teleport YUM 리포지토리 추가
먼저, $VERSION_ID에서 OS 주 버전을 가져와서 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
dnf 구성 관리자 플러그인을 사용하여 teleport RPM 리포 추가
sudo dnf config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-yum.repo")"

최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.com
export TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

Teleport 및 Teleport 업데이트 도구 설치
sudo dnf install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater

팁: /usr/local/bin을 sudo가 사용하는 경로에 추가 (그래서 'sudo tctl users add'가 문서대로 작동합니다)
echo "Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path

OS 버전에 대한 변수 소스
source /etc/os-release
클라우드를 위한 Teleport Zypper 리포지토리 추가
먼저, $VERSION_ID에서 OS 주 버전을 가져와서 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
Zypper를 사용하여 teleport RPM 리포 추가
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-zypper.repo")

최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.com
export TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

Teleport 및 Teleport 업데이트 도구 설치
sudo zypper install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater

sudo teleport db configure create \   -o file \   --token=/tmp/token \   --proxy=example.teleport.sh \   --name=oracle \   --protocol=oracle \   --uri=oracle.example.com:2484 \   --labels=env=dev 

sudo teleport db configure create \   -o file \   --token=/tmp/token \   --proxy=example.teleport.sh:443 \   --name=oracle \   --protocol=oracle \   --uri=oracle.example.com:2484 \   --trust_system_cert_pool \   --labels=env=dev

sudo systemctl enable teleport
sudo systemctl start teleport

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

helm repo add teleport https://charts.releases.teleport.dev

helm repo update

roles: db
proxyAddr: example.teleport.sh
# Teleport Community Edition을 사용하는 경우 false로 설정
enterprise: true
authToken: "JOIN_TOKEN"
databases:
  - name: oracle
    uri: oracle.example.com:2484
    protocol: oracle
    static_labels:
      env: dev

단계 5/6. (선택 사항) Oracle 감사 로그를 Teleport로 가져오도록 구성

Teleport는 Oracle 감사 내역에서 감사 로그를 가져올 수 있습니다. 이 기능을 사용하려면 Oracle 감사 내역을 구성하고 Oracle 감사 내역에서 감사 이벤트를 가져오는 데 사용할 전용 Teleport 사용자를 생성해야 합니다.

Oracle 내부 teleport 사용자를 생성하여 Oracle 감사 내역에서 감사 이벤트를 가져옵니다:

CREATE USER teleport IDENTIFIED EXTERNALLY AS 'CN=teleport';
GRANT CREATE SESSION TO teleport;
GRANT SELECT ON dba_audit_trail TO teleport;
GRANT SELECT ON V_$SESSION TO teleport;

Oracle 감사 내역에서 테이블을 활성화합니다:

ALTER system SET audit_trail=db,extended scope=spfile;

감사 내역 변경 사항을 전파하기 위해 Oracle 인스턴스를 다시 시작합니다.

alice 사용자에 대한 Oracle 감사를 활성화합니다:

AUDIT ALL STATEMENTS by alice BY access;

Oracle에 연결하기 위해 사용될 각 Teleport 사용자에 대해 감사를 활성화해야 합니다. 또한 각 사용자에 대해 다른 감사 정책을 생성할 수 있습니다.

Oracle 감사 내역에서 감사 로그를 가져오기 위해 Teleport 데이터베이스 서비스를 구성합니다:

db_service:
  enabled: "yes"
  databases:
  - name: "oracle"
    protocol: "oracle"
    uri: "oracle.example.com:2484"
    oracle:
      audit_user: "teleport"

kind: db
version: v3
metadata:
  name: oracle
spec:
  protocol: "oracle"
  uri: "oracle.example.com:2484"
  oracle:
    audit_user: "teleport"

Teleport는 Oracle 감사 내역에서 감사 이벤트를 정리하지 않습니다. 디스크 공간 부족 방지를 위해 Oracle 감사 내역 정리 정책을 구성해야 합니다.

단계 6/6. 연결

데이터베이스 서비스가 클러스터에 조인되면 사용 가능한 데이터베이스를 보려면 로그인합니다:

tsh login --proxy=mytenant.teleport.sh --user=alice
tsh db ls
이름   설명               허용 사용자 라벨          연결
------ -------------- ------------- ------- -------
oracle Oracle 예제      [*]                   env=dev

데이터베이스에 연결:

tsh db connect --db-user=alice --db-name=XE oracle
SQLcl: 2023년 3월 31일 금요일 22.4 생산 출시
저작권 (c) 1982, 2023, Oracle. 모든 권리 보유.
연결됨:
Oracle Database 21c Express Edition Release 21.0.0.0.0 - 생산
버전 21.3.0.0.0
SQL>

데이터베이스에서 로그 아웃하고 자격 증명을 제거합니다:

특정 데이터베이스 인스턴스의 자격 증명 제거.
tsh db logout oracle
모든 데이터베이스 인스턴스의 자격 증명 제거.
tsh db logout

다음 단계

• 특정 사용자와 데이터베이스에 대한 액세스를 제한하는 방법을 알아보세요.

• 고가용성(HA) 가이드를 확인하세요.

• YAML 구성 참조를 살펴보세요.

• 전체 CLI 참조를 확인하세요.

• [sqlnet.ora] 및 listener.ora 파일에 대한 Oracle 문서 구성을 자세히 알아보세요.
• Oracle 감사 내역