이 가이드는 Teleport와 함께 Elasticsearch JWT 인증을 구성하는 데 도움이 됩니다.
사전 요구 사항
-
실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
-
tctl
관리 도구와tsh
클라이언트 도구.tctl
과tsh
다운로드에 대한 지침은 설치를 방문하세요.
- 당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면,
tsh login
으로 로그인한 다음 현재 자격 증명을 사용하여tctl
명령어를 실행할 수 있는지 확인하십시오. 예를 들어:클러스터에 연결하고tsh login --proxy=teleport.example.com --user=email@example.comtctl status클러스터 teleport.example.com
버전 16.2.0
CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
tctl status
명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속tctl
명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로tctl
명령어를 실행할 수도 있습니다. - 실행 중인 애플리케이션 서비스.
- Elasticsearch 클러스터 버전 >=
8.2.0
.
단계 1/3. Elasticsearch에서 JWT 영역 활성화
elasticsearch.yaml
Elasticsearch 구성 파일을 업데이트하여 JWT 영역을 활성화합니다:
xpack.security.authc.realms.jwt.jwt1:
order: 1
client_authentication.type: none
pkc_jwkset_path: https://proxy.example.com/.well-known/jwks.json
claims.principal: sub
claims.groups: roles
allowed_issuer: example-cluster
allowed_audiences: ["https://elasticsearch.example.com:9200"]
매개변수 및 해당 값을 자세히 살펴보겠습니다:
client_authentication.type
을none
으로 설정합니다. 그렇지 않으면 Elasticsearch는 클라이언트가 각 요청에 대해 공유 비밀 값을 전송하도록 요구합니다.pkc_jwkset_path
를 Teleport Proxy의 JWT 키 세트 파일 URL로 설정합니다. 이는https://<proxy>/.well-known/jwks.json
엔드포인트에서 사용할 수 있습니다. 동일한 URL에서 JSON 파일을 다운로드하고 경로를 직접 지정할 수도 있습니다.claims.principal
과claims.groups
를 각각sub
와roles
로 설정합니다. 이는 Teleport가 JWT 토큰에서 사용자 및 역할 정보를 전달하는 데 사용하는 클레임입니다. 사용자와 역할이 Elasticsearch에 존재해야 함을 명심하세요.allowed_issuer
를 Teleport 클러스터의 이름으로 설정합니다.allowed_audiences
를 Teleport 애플리케이션 서비스가 Elasticsearch에 연결하는 데 사용할 URL로 설정합니다.
JWT 인증을 사용할 때 표준 Elasticsearch role_mapping.yml
파일을 사용하여 사용자 역할을 매핑할 수 없습니다. 대신 API를 사용하여 역할 매핑을 설정해야 합니다. 자세한 내용은 JWT 영역 권한 부여를 참조하세요.
단계 2/3. Teleport에서 Elasticsearch 애플리케이션 등록
Teleport App Service 구성 파일 teleport.yaml
에서 Elasticsearch에 대한 항목을 등록합니다:
app_service:
enabled: "yes"
apps:
- name: "elastic"
uri: https://elasticsearch.example.com:9200
rewrite:
headers:
- "Authorization: Bearer {{internal.jwt}}"
동적 등록도 사용할 수 있습니다.
Elasticsearch는 Authorization
헤더 내에서 JWT 토큰이 전달되도록 요구합니다. 위의 헤더 재작성 구성은 각 요청에서 {{internal.jwt}}
템플릿 변수를 Teleport 서명된 JWT 토큰으로 교체합니다.
단계 3/3. ElasticSearch API에 연결
tsh login
으로 Teleport 클러스터에 로그인하고 Elasticsearch 애플리케이션이 사용 가능하다는 것을 확인합니다:
tsh apps lsApplication Description Public Address Labels----------- ------------- ---------------------------- -------------------------------elastic elastic.teleport.example.com
Elasticsearch에 대한 단기 X.509 인증서를 가져옵니다:
tsh apps login elastic
그런 다음 curl
명령을 사용하여 Elasticsearch API와 통신할 수 있으며, 이는 Teleport 사용자로서 당신을 인증합니다:
curl \ --cacert ~/.tsh/keys/teleport.example.com/cas/root.pem \ --cert ~/.tsh/keys/teleport.example.com/alice-app/example-cluster/elastic-x509.pem \ --key ~/.tsh/keys/teleport.example.com/alice \ https://elastic.teleport.example.com/_security/user | jq
다음 단계
- Teleport JWT 토큰 통합에 대한 자세한 정보를 얻으세요.
- Teleport 애플리케이션 서비스로 API에 접근하는 방법에 대해 알아보세요.
- 애플리케이션 관련 액세스 제어를 살펴보세요.