Elasticsearch와 함께 JWT 인증 사용하기

이 가이드는 Teleport와 함께 Elasticsearch JWT 인증을 구성하는 데 도움이 됩니다.

사전 요구 사항

실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
tctl 관리 도구와 tsh 클라이언트 도구.

tctl과 tsh 다운로드에 대한 지침은 설치를 방문하세요.

당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면, tsh login으로 로그인한 다음 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어:
```
tsh login --proxy=teleport.example.com --user=email@example.com
tctl status
클러스터  teleport.example.com
버전  16.2.0
CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
```
클러스터에 연결하고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속 tctl 명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.
실행 중인 애플리케이션 서비스.
Elasticsearch 클러스터 버전 >= 8.2.0.

단계 1/3. Elasticsearch에서 JWT 영역 활성화

elasticsearch.yaml Elasticsearch 구성 파일을 업데이트하여 JWT 영역을 활성화합니다:

xpack.security.authc.realms.jwt.jwt1:
  order: 1
  client_authentication.type: none
  pkc_jwkset_path: https://proxy.example.com/.well-known/jwks.json
  claims.principal: sub
  claims.groups: roles
  allowed_issuer: example-cluster
  allowed_audiences: ["https://elasticsearch.example.com:9200"]

매개변수 및 해당 값을 자세히 살펴보겠습니다:

client_authentication.type을 none으로 설정합니다. 그렇지 않으면 Elasticsearch는 클라이언트가 각 요청에 대해 공유 비밀 값을 전송하도록 요구합니다.
pkc_jwkset_path를 Teleport Proxy의 JWT 키 세트 파일 URL로 설정합니다. 이는 https://<proxy>/.well-known/jwks.json 엔드포인트에서 사용할 수 있습니다. 동일한 URL에서 JSON 파일을 다운로드하고 경로를 직접 지정할 수도 있습니다.
claims.principal과 claims.groups를 각각 sub와 roles로 설정합니다. 이는 Teleport가 JWT 토큰에서 사용자 및 역할 정보를 전달하는 데 사용하는 클레임입니다. 사용자와 역할이 Elasticsearch에 존재해야 함을 명심하세요.
allowed_issuer를 Teleport 클러스터의 이름으로 설정합니다.
allowed_audiences를 Teleport 애플리케이션 서비스가 Elasticsearch에 연결하는 데 사용할 URL로 설정합니다.

Elasticsearch 역할 매핑

JWT 인증을 사용할 때 표준 Elasticsearch role_mapping.yml 파일을 사용하여 사용자 역할을 매핑할 수 없습니다. 대신 API를 사용하여 역할 매핑을 설정해야 합니다. 자세한 내용은 JWT 영역 권한 부여를 참조하세요.

단계 2/3. Teleport에서 Elasticsearch 애플리케이션 등록

Teleport App Service 구성 파일 teleport.yaml에서 Elasticsearch에 대한 항목을 등록합니다:

app_service:
  enabled: "yes"
  apps:
  - name: "elastic"
    uri: https://elasticsearch.example.com:9200
    rewrite:
      headers:
      - "Authorization: Bearer {{internal.jwt}}"

Tip

동적 등록도 사용할 수 있습니다.

Elasticsearch는 Authorization 헤더 내에서 JWT 토큰이 전달되도록 요구합니다. 위의 헤더 재작성 구성은 각 요청에서 {{internal.jwt}} 템플릿 변수를 Teleport 서명된 JWT 토큰으로 교체합니다.

단계 3/3. ElasticSearch API에 연결

tsh login으로 Teleport 클러스터에 로그인하고 Elasticsearch 애플리케이션이 사용 가능하다는 것을 확인합니다:

tsh apps ls
Application Description   Public Address               Labels----------- ------------- ---------------------------- -------------------------------elastic                   elastic.teleport.example.com

Elasticsearch에 대한 단기 X.509 인증서를 가져옵니다:

tsh apps login elastic

그런 다음 curl 명령을 사용하여 Elasticsearch API와 통신할 수 있으며, 이는 Teleport 사용자로서 당신을 인증합니다:

curl \  --cacert ~/.tsh/keys/teleport.example.com/cas/root.pem \  --cert ~/.tsh/keys/teleport.example.com/alice-app/example-cluster/elastic-x509.pem \  --key ~/.tsh/keys/teleport.example.com/alice \  https://elastic.teleport.example.com/_security/user | jq

다음 단계

Teleport JWT 토큰 통합에 대한 자세한 정보를 얻으세요.
Teleport 애플리케이션 서비스로 API에 접근하는 방법에 대해 알아보세요.
애플리케이션 관련 액세스 제어를 살펴보세요.

Teleport 원문 보기