Teleport는 Teleport Database Service를 통해 Oracle 에 대한 안전한 액세스를 제공합니다. 이를 통해 Teleport RBAC 시스템을 통한 세밀한 액세스 제어가 가능합니다.

Teleport Database Service는 데이터베이스 클라이언트의 트래픽을 인프라 내의 자체 호스팅 데이터베이스로 프록시합니다. Teleport는 데이터베이스 클라이언트를 위한 인증서 기관을 유지 관리합니다. 데이터베이스를 구성하여 Teleport 데이터베이스 클라이언트 CA를 신뢰하도록 하고, Teleport Database Service는 사용자 트래픽을 프록시할 때 이 CA로 서명된 인증서를 제공합니다. 이러한 설정을 통해 자체 호스팅 데이터베이스에 대한 장기 자격 증명을 저장할 필요가 없습니다.

한편, Teleport Database Service는 TLS 인증서를 Teleport 데이터베이스 CA 또는 사용자가 선택한 사용자 정의 CA와 대조하여 자체 호스팅 데이터베이스를 검증합니다.

이 가이드에서는 다음을 수행합니다:

1. Teleport 액세스를 위해 Oracle 데이터베이스를 구성합니다.
2. 데이터베이스를 Teleport 클러스터에 추가합니다.
3. Teleport를 통해 데이터베이스에 연결합니다.

작동 방식

Teleport 데이터베이스 서비스는 상시 호스팅된 Oracle 데이터베이스에 상호 TLS를 사용하여 인증합니다. Oracle는 데이터베이스 클라이언트에 대한 Teleport 인증 기관을 신뢰하며, Teleport 데이터베이스 CA 또는 사용자 정의 CA에 의해 서명된 인증서를 제시합니다. 사용자가 데이터베이스 세션을 시작하면, Teleport 데이터베이스 서비스는 Teleport에 의해 서명된 인증서를 제시합니다. 인증된 연결은 이후 사용자로부터 클라이언트 트래픽을 프록시합니다.

• Teleport Enterprise
• Teleport Enterprise Cloud

전제 조건

• 실행 중인 Teleport 클러스터. Teleport를 시작하려면 가입하여 무료 평가판을 이용해 보십시오.

• tctl 관리자 도구 및 tsh 클라이언트 도구.

  tctl 및 tsh 다운로드에 대한 지침은 설치 를 방문하십시오.

• 자가 호스팅 Oracle 서버 인스턴스 18c 이상.
• sqlcl Oracle 클라이언트가 설치되어 시스템의 PATH 환경 변수에 추가되어 있거나 JDBC를 지원하는 GUI 클라이언트.
• 선택 사항: 자가 호스팅 데이터베이스에 대한 인증서를 발급하는 인증 기관.

1/6단계. Teleport 토큰 및 사용자 만들기

Database 서비스는 Teleport 클러스터에 조인하기 위해 유효한 조인 토큰이 필요합니다.
다음 tctl 명령어를 실행하고 Database 서비스가 실행될 서버에 /tmp/token 안에 토큰 출력을 저장하세요:

tctl tokens add --type=db --format=text
abcd123-insecure-do-not-use-this

다음과 같이 내장된 access 및 requester 역할을 가진 로컬 Teleport 사용자를 만듭니다:

tctl users add \  --roles=access,requester \  --db-users=\* \  --db-names=\* \  alice

데이터베이스 접근 제어 및 접근 제한에 대한 더 자세한 정보는 RBAC 문서를 참조하십시오.

2/6단계. 인증서/키 쌍 및 Teleport Oracle Wallet 만들기

Teleport는 자체 호스팅 데이터베이스와 상호 TLS 인증을 사용합니다. 이러한 데이터베이스는 클라이언트 인증서를 검증할 수 있도록 Teleport의 인증 기관으로 구성되어야 합니다. 또한 Teleport가 검증할 수 있는 인증서/키 쌍이 필요합니다.

tctl 을 사용하여 워크스테이션에서 인증서를 발급하려면, 귀하의 Teleport 사용자가 시스템 역할 Db 를 가장하도록 허용되어야 합니다.

귀하의 Teleport 사용자 역할에 다음 allow 규칙을 포함하십시오:

allow:
  impersonate:
    users: ["Db"]
    roles: ["Db"]

다음 지침에 따라 데이터베이스를 위한 TLS 자격 증명을 생성합니다.

host db.example.com에 대한 Teleport의 인증 기관 및 생성된 인증서/키 쌍을 내보냅니다.
유효 기간은 3개월입니다.
tctl auth sign --format=oracle --host=db.example.com --out=server --ttl=2190h

이 예에서 db.example.com 은 Teleport 데이터베이스 서비스가 Oracle 서버에 도달할 수 있는 호스트 이름입니다.

tctl 이 로컬 환경에서 Orapki 도구를 찾으면, tctl auth sign --format=oracle --host=db.example.com --out=server --ttl=2190h 명령은 Oracle Wallet 및 Teleport Oracle Wallet으로 Oracle TCPS 리스너를 구성하는 방법에 대한 지침을 생성합니다. 그렇지 않으면 tctl auth sign --format=oracle 명령이 p12 인증서 및 Oracle 데이터베이스 인스턴스에서 Oracle Wallet을 생성하는 방법에 대한 지침을 생성합니다.

Oracle 데이터베이스가 기존 인증 기관에 의해 서명된 TLS 자격 증명을 제공하는 경우 대신 다음 단계를 수행합니다:

1. Teleport로부터 Oracle에 대한 CA 인증서를 내보내어 Teleport 데이터베이스 서비스의 트래픽을 인증합니다. example.teleport.sh:443를 클러스터 내 Teleport 프록시 서비스의 호스트 및 웹 포트로 바꾸십시오. 워크스테이션에서 다음 명령을 실행합니다:

   tctl auth export --type=db-client --auth-server=example.teleport.sh:443 > server.ca-client.crt

2. server.ca-client.crt 를 Oracle 서버의 Oracle Wallet에 사용할 디렉토리로 이동합니다.

3. Oracle 서버에 대한 PKCS12 형식으로 키 및 인증서를 발급하고 결과 P12 파일을 Oracle Wallet 디렉토리의 server.p12 로 이동합니다.

4. Oracle 서버에서 orapki 도구를 사용하여 Oracle Wallet을 설정합니다:

   이 값을 비밀번호로 할당합니다.
   PKCS12_PASS=""
   WALLET_DIR="/path/to/oracleWalletDir"
   orapki wallet create -wallet "$WALLET_DIR" -auto_login_only
   orapki wallet import_pkcs12 -wallet "$WALLET_DIR" -auto_login_only -pkcs12file server.p12 -pkcs12pwd ${PKCS12_PASS?}
   orapki wallet add -wallet "$WALLET_DIR" -trusted_cert -auto_login_only -cert server.ca-client.crt

3/6단계. Oracle 데이터베이스 구성

Teleport Oracle 통합을 활성화하려면 TCPS Oracle 리스너를 구성하고 이전 단계에서 생성한 Teleport Oracle Wallet을 사용해야 합니다.

listener.ora Oracle 구성 파일을 정렬하고 다음 항목을 추가합니다:

LISTENER =
  (DESCRIPTION_LIST =
    (DESCRIPTION =
      (ADDRESS = (PROTOCOL = TCPS)(HOST = 0.0.0.0)(PORT = 2484))
    )
  )

WALLET_LOCATION = (SOURCE = (METHOD = FILE)(METHOD_DATA = (DIRECTORY = /path/to/oracleWalletDir)))
SSL_CLIENT_AUTHENTICATION = TRUE

또한, sqlnet.ora Oracle 구성을 확장해야 합니다:

WALLET_LOCATION = (SOURCE = (METHOD = FILE)(METHOD_DATA = (DIRECTORY = /path/to/oracleWalletDir)))
SSL_CLIENT_AUTHENTICATION = TRUE
SQLNET.AUTHENTICATION_SERVICES = (TCPS)

또한, Oracle 데이터베이스 사용자 계정은 유효한 클라이언트 인증서를 요구하도록 구성되어야 합니다. 새 사용자를 생성하는 경우:

CREATE USER alice IDENTIFIED EXTERNALLY AS 'CN=alice';
GRANT CREATE SESSION TO alice;

4/6단계. 데이터베이스 서비스 구성 및 시작

Teleport를 설치하고 구성하여 Teleport 데이터베이스 서비스를 실행할 위치를 설정합니다:

Teleport의 PGP 공개 키 다운로드
sudo curl https://apt.releases.teleport.dev/gpg \-o /usr/share/keyrings/teleport-archive-keyring.asc
OS 버전 관련 변수 소스
source /etc/os-release
v17에 대한 Teleport APT 리포지토리 추가. 각 주요 릴리스에 대해 이
파일을 업데이트해야 합니다.
echo "deb [signed-by=/usr/share/keyrings/teleport-archive-keyring.asc] \https://apt.releases.teleport.dev/${ID?} ${VERSION_CODENAME?} stable/v17" \| sudo tee /etc/apt/sources.list.d/teleport.list > /dev/null

sudo apt-get update
sudo apt-get install teleport-ent

sudo apt-get install teleport-ent-fips

OS 버전 관련 변수 소스
source /etc/os-release
v17에 대한 Teleport YUM 리포지토리 추가. 각 주요 릴리스에 대해 이
파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 주요 버전을 가져와야 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
sudo yum install -y yum-utils
sudo yum-config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v17/teleport.repo")"
sudo yum install teleport-ent
팁: 'sudo tctl users add'가 문서와 같이 작동하도록 sudo가 사용하는 경로에 /usr/local/bin을 추가합니다.
echo "Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path

sudo yum install teleport-ent-fips

OS 버전 관련 변수 소스
source /etc/os-release
v17에 대한 Teleport Zypper 리포지토리 추가. 각 주요 릴리스에 대해 이
파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 OS 주요 버전을 가져와야 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
zypper를 사용하여 teleport RPM 리포를 추가합니다.
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-zypper.repo")
sudo yum install teleport-ent
팁: 'sudo tctl users add'가 문서와 같이 작동하도록 sudo가 사용하는 경로에 /usr/local/bin을 추가합니다.
echo "Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path

sudo yum install teleport-ent-fips

OS 버전 관련 변수 소스
source /etc/os-release
v17에 대한 Teleport YUM 리포지토리 추가. 각 주요 릴리스에 대해 이
파일을 업데이트해야 합니다.
먼저, $VERSION_ID에서 주요 버전을 가져와야 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
dnf config manager 플러그인을 사용하여 teleport RPM 리포를 추가합니다.
sudo dnf config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v17/teleport.repo")"

teleport 설치
sudo dnf install teleport-ent

팁: 'sudo tctl users add'가 문서와 같이 작동하도록 sudo가 사용하는 경로에 /usr/local/bin을 추가합니다.
echo "Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path

sudo dnf install teleport-ent-fips

OS 버전 관련 변수 소스
source /etc/os-release
Teleport Zypper 리포지토리 추가.
먼저, $VERSION_ID에서 OS 주요 버전을 가져와야 올바른
패키지 버전을 가져옵니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
Zypper를 사용하여 teleport RPM 리포를 추가합니다.
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/v17/teleport-zypper.repo")

teleport 설치
sudo zypper install teleport-ent

sudo zypper install teleport-ent-fips

curl https://cdn.teleport.dev/teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-bin.tar.gz.sha256
<checksum> <filename>
curl -O https://cdn.teleport.dev/teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-bin.tar.gz
shasum -a 256 teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-bin.tar.gz
체크섬이 일치하는지 확인
tar -xvf teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-bin.tar.gz
cd teleport-ent
sudo ./install

curl https://cdn.teleport.dev/teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-fips-bin.tar.gz.sha256
<checksum> <filename>
curl -O https://cdn.teleport.dev/teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-fips-bin.tar.gz
shasum -a 256 teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-fips-bin.tar.gz
체크섬이 일치하는지 확인
tar -xvf teleport-ent-v17.0.0-dev-linux-$SYSTEM_ARCH-fips-bin.tar.gz
cd teleport-ent
sudo ./install

Teleport의 PGP 공개 키 다운로드
sudo curl https://apt.releases.teleport.dev/gpg \-o /usr/share/keyrings/teleport-archive-keyring.asc
OS 버전 관련 변수 소스
source /etc/os-release
클라우드를 위한 Teleport APT 저장소 추가
echo "deb [signed-by=/usr/share/keyrings/teleport-archive-keyring.asc] \https://apt.releases.teleport.dev/${ID?} ${VERSION_CODENAME?} stable/cloud" \| sudo tee /etc/apt/sources.list.d/teleport.list > /dev/null

최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.com
export TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

저장소 업데이트 및 Teleport 및 Teleport 업데이트 설치
sudo apt-get update
sudo apt-get install "teleport-ent=$TELEPORT_VERSION" teleport-ent-updater

OS 버전 관련 변수 소스
source /etc/os-release
클라우드를 위한 Teleport YUM 저장소 추가
먼저, $VERSION_ID에서 OS 주요 버전을 가져와야 하므로 올바른
패키지 버전이 검색됩니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
sudo yum install -y yum-utils
sudo yum-config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-yum.repo")"

최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.com
export TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

Teleport 및 Teleport 업데이트 설치
sudo yum install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater

팁: /usr/local/bin을 sudo가 사용하는 경로에 추가하세요 (따라서 'sudo tctl users add'가 문서처럼 작동할 것입니다)
echo "Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path

OS 버전 관련 변수 소스
source /etc/os-release
클라우드를 위한 Teleport YUM 저장소 추가
먼저, $VERSION_ID에서 OS 주요 버전을 가져와야 하므로 올바른
패키지 버전이 검색됩니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
dnf 구성 관리자를 사용하여 teleport RPM 저장소 추가
sudo dnf config-manager --add-repo "$(rpm --eval "https://yum.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-yum.repo")"

최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.com
export TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"
  
Teleport 및 Teleport 업데이트 설치
sudo dnf install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater
  
팁: /usr/local/bin을 sudo가 사용하는 경로에 추가하세요 (따라서 'sudo tctl users add'가 문서처럼 작동할 것입니다)
echo "Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin" > /etc/sudoers.d/secure_path

OS 버전 관련 변수 소스
source /etc/os-release
클라우드를 위한 Teleport Zypper 저장소 추가
먼저, $VERSION_ID에서 OS 주요 버전을 가져와야 하므로 올바른
패키지 버전이 검색됩니다.
VERSION_ID=$(echo $VERSION_ID | grep -Eo "^[0-9]+")
Zypper를 사용하여 teleport RPM 저장소 추가
sudo zypper addrepo --refresh --repo $(rpm --eval "https://zypper.releases.teleport.dev/$ID/$VERSION_ID/Teleport/%{_arch}/stable/cloud/teleport-zypper.repo")

최신 호환 가능한 Teleport 버전을 쿼리하기 위해 Teleport 도메인 제공
export TELEPORT_DOMAIN=example.teleport.com
export TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"
  
Teleport 및 Teleport 업데이트 설치
sudo zypper install "teleport-ent-$TELEPORT_VERSION" teleport-ent-updater

sudo teleport db configure create \   -o file \   --token=/tmp/token \   --proxy=example.teleport.sh \   --name=oracle \   --protocol=oracle \   --uri=oracle.example.com:2484 \   --labels=env=dev

sudo teleport db configure create \   -o file \   --token=/tmp/token \   --proxy=example.teleport.sh:443 \   --name=oracle \   --protocol=oracle \   --uri=oracle.example.com:2484 \   --trust_system_cert_pool \   --labels=env=dev

sudo systemctl enable teleport
sudo systemctl start teleport

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

helm repo add teleport https://charts.releases.teleport.dev

helm repo update

roles: db
proxyAddr: example.teleport.sh
# Teleport Community Edition을 사용하는 경우 false로 설정
enterprise: true
authToken: "JOIN_TOKEN"
databases:
  - name: oracle
    uri: oracle.example.com:2484
    protocol: oracle
    static_labels:
      env: dev

5/6단계. (선택 사항) Oracle 감사 로그를 Teleport가 가져오도록 구성

Teleport는 Oracle 감사 추적에서 감사 로그를 가져올 수 있습니다.
이 기능을 활성화하려면 Oracle 감사 추적을 구성하고 Oracle 감사 추적에서 감사 이벤트를 가져오는 데 사용될 전용 Teleport 사용자를 생성해야 합니다.

감사 이벤트를 가져오기 위해 내부 Oracle teleport 사용자를 생성합니다:

CREATE USER teleport IDENTIFIED EXTERNALLY AS 'CN=teleport';
GRANT CREATE SESSION TO teleport;
GRANT SELECT ON dba_audit_trail TO teleport;
GRANT SELECT ON V_$SESSION TO teleport;

Oracle 감사 추적에서 테이블을 활성화합니다:

ALTER system SET audit_trail=db,extended scope=spfile;

감사 추적 변경 사항을 전파하기 위해 Oracle 인스턴스를 재시작합니다.

alice 사용자에 대해 Oracle 감사를 활성화합니다:

AUDIT ALL STATEMENTS by alice BY access;

Oracle에 연결하는 데 사용될 각 Teleport 사용자에 대해 감사를 활성화해야 합니다.
또한, 각 사용자에 대해 다른 감사 정책을 생성할 수 있습니다.

이전에 생성한 데이터베이스 서비스 구성을 수정하여 Oracle 감사 추적에서 감사 로그를 가져옵니다:

db_service:
  enabled: "yes"
  databases:
    - name: "oracle"
      protocol: "oracle"
      uri: "oracle.example.com:2484"
      oracle:
        audit_user: "teleport"

Teleport는 Oracle 감사 추적에서 감사 추적 이벤트를 정리하지 않습니다.
디스크 공간이 부족하지 않도록 Oracle 감사 추적 정리 정책을 구성해야 합니다.

6/6단계. 연결

데이터베이스 서비스가 클러스터에 조인하면 사용 가능한 데이터베이스를 보려면 로그인하십시오:

tsh login --proxy=mytenant.teleport.sh --user=alice
tsh db ls
이름   설명    허용된 사용자 레이블  연결
------ -------------- ------------- ------- -------
oracle Oracle 예제 [*]                   env=dev

데이터베이스에 연결합니다:

tsh db connect --db-user=alice --db-name=XE oracle
SQLcl: 2023년 3월 31일 금요일 22.4 프로덕션 릴리스
저작권 (c) 1982, 2023, Oracle. 모든 권리 보유.
연결된 데이터베이스:
Oracle Database 21c Express Edition Release 21.0.0.0.0 - 프로덕션
버전 21.3.0.0.0
SQL>

데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:

특정 데이터베이스 인스턴스에 대한 자격 증명 제거.
tsh db logout oracle
모든 데이터베이스 인스턴스에 대한 자격 증명 제거.
tsh db logout

다음 단계

• 특정 사용자와 데이터베이스에 대한 액세스 제한하기 방법을 배우십시오.

• 고가용성(HA) 가이드를 확인하십시오.

• YAML 구성 참조를 살펴보십시오.

• 전체 CLI 참조를 확인하십시오.

• sqlnet.ora 파일의 매개변수 및 listener.ora 파일의 Oracle Net Listener 매개변수 Oracle 문서에서 sqlnet.ora 및 listener.ora 구성에 대해 더 알아보십시오.
• Oracle 감사 추적