Teleport는 데이터베이스에서 사용자를 자동으로 생성할 수 있어, 개별 사용자 계정을 미리 만들거나 모든 사용자에게 동일한 공유 데이터베이스 계정을 사용하는 필요성을 제거합니다.

사전 요구 사항

• Teleport 클러스터 v14.3 이상.
• Teleport 클러스터에 등록된 자체 호스팅 MongoDB 데이터베이스. 데이터베이스를 등록하는 방법은 Teleport 문서를 참조하세요.
• 대상 데이터베이스에 연결하고 사용자 계정을 생성할 수 있는 권한.

1/3단계. 데이터베이스 관리자 구성

Teleport는 관리 사용자로 연결할 때 일반 사용자 연결과 동일한 인증 메커니즘(X.509)을 사용합니다.

관리 사용자는 사용자 계정을 생성하고 권한을 부여할 수 있는 데이터베이스 내 권한이 필요합니다. 관리 사용자는 또한 사용자 연결을 모니터링할 수 있는 권한이 필요합니다.

다음 권한으로 admin 데이터베이스에서 역할을 생성합니다:

db.getSiblingDB("admin").runCommand({    createRole: "teleport-admin-role",    privileges: [        { resource: { cluster: true }, actions: [ "inprog" ] },        { resource: { db: "", collection: "" }, actions: [ "grantRole", "revokeRole" ] },        { resource: { db: "$external", "collection": "" }, actions: [ "createUser", "updateUser", "dropUser", "viewUser", "setAuthenticationRestriction", "changeCustomData"] },    ],    roles: [],})

db.getSiblingDB("admin").runCommand({    createRole: "teleport-admin-role",    privileges: [        { resource: { cluster: true }, actions: [ "inprog" ] },        { resource: { db: "", collection: "" }, actions: [ "revokeRole" ] },        { resource: { db: "$external", "collection": "" }, actions: [ "createUser", "updateUser", "dropUser", "viewUser", "setAuthenticationRestriction", "changeCustomData"] },        { resource: { db: "<db1>", collection: "" }, actions: [ "grantRole" ] },        { resource: { db: "<db2>", collection: "" }, actions: [ "grantRole" ] },        ...    ],    roles: [],})

이제 이 역할로 관리 사용자를 생성합니다:

db.getSiblingDB("$external").runCommand({  createUser: "CN=teleport-admin",  roles: [ { role: 'teleport-admin-role', db: 'admin' } ],})

다음으로, Teleport 데이터베이스 구성에서 데이터베이스 관리자 사용자를 구성합니다:

kind: db
version: v3
metadata:
  name: example
spec:
  protocol: "mongodb"
  uri: "localhost:27017"
  admin_user:
    name: "teleport-admin"

이 예제는 데이터베이스가 동적 리소스로 구성되었다고 가정합니다. 정적 Teleport 데이터베이스 서비스 구성을 사용하여 데이터베이스를 구성한 경우, db_service.databases 구성에서 해당 항목을 수정하세요.

2/3단계. Teleport 역할 구성

사용자에게 데이터베이스 내에 할당되어야 하는 데이터베이스 역할을 지정하려면 db_roles 역할 옵션을 사용합니다:

kind: role
version: v7
metadata:
  name: auto-db-users
spec:
  options:
    # create_db_user_mode는 일치하는 데이터베이스에 대한 자동 사용자 프로비저닝을 활성화합니다
    create_db_user_mode: keep
  allow:
    db_labels:
      "*": "*"
    db_names:
    - "*"
    # db_roles는 데이터베이스 사용자에게 할당될 역할 리스트입니다
    db_roles:
    - "readAnyDatabase@admin"
    - "readWrite@db1"
    - "myCustomRole@db2"
    - "{{internal.db_roles}}"
    - "{{external.db_roles}}"

자동 사용자 프로비저닝이 적용되면, 사용자는 항상 자신이 Teleport에서 사용하는 사용자 이름으로 데이터베이스에 연결하므로 db_users 역할 필드는 데이터베이스 사용자 프로비저닝이 활성화된 역할에 대해 무시됩니다.

사용 가능한 프로비저닝 모드는 다음과 같습니다:

• off : 사용자 프로비저닝을 비활성화합니다.

• keep : 사용자 프로비저닝을 활성화하고 세션 종료 시 사용자를 비활성화합니다. 사용자는 모든 역할을 제거당하고 사용자 계정이 잠깁니다.

• best_effort_drop : 사용자 프로비저닝을 활성화하며, 세션이 종료되면 리소스가 사용자에 의존하지 않는 경우 사용자를 제거합니다. 어떤 리소스라도 사용자에 의존하는 경우, keep 모드의 동작을 따라 사용자를 비활성화합니다.

데이터베이스 내에서 생성된 사용자는 다음과 같습니다:

• 인증된 Teleport 사용자와 동일한 사용자 이름을 가집니다.
• 사용자의 customData 에서 teleport-auto-user 가 true 로 설정됩니다.
• 데이터베이스와 일치하는 Teleport 사용자 역할 집합에서 모든 역할을 할당받습니다. 역할 이름은 유효해야 하며 데이터베이스에 존재해야 합니다.

3/3단계. 데이터베이스에 연결

이제 Teleport 클러스터에 로그인하고 데이터베이스에 연결하세요:

tsh login --proxy=teleport.example.com
tsh db connect --db-name <database> example

각 데이터베이스에 허용된 데이터베이스 역할 목록을 보려면 tsh db ls -v 명령을 사용할 수 있습니다. 기본적으로 모든 데이터베이스 역할은 자동으로 프로비저닝된 데이터베이스 사용자에게 할당됩니다. 선택적으로 --db-roles 로 데이터베이스 역할의 하위 집합을 선택할 수 있습니다:

tsh db connect --db-name <database> --db-roles myCustomRole@db2 example

문제 해결

매핑된 원격 사용자 이름 오류 사용

다음 오류가 원격 클러스터의 데이터베이스에 연결할 때 발생할 수 있습니다:

> tsh db connect --db-name <database> exampleERROR: please use your mapped remote username ("remote-<your-teleport-username>-<root-cluster-name>") to connect instead of "<database-user>"

원격 클러스터의 자원에 접근할 때, 원격 클러스터는 로컬 클러스터에서 remote-<your-teleport-username>-<root-cluster-name> 이라는 이름을 받습니다. 이는 원격 클러스터의 사용자와 이름 충돌을 방지하기 위함입니다. 오류 메시지에 있는 사용자 이름을 데이터베이스 사용자 이름으로 사용하여 tsh 또는 GUI 클라이언트를 통해 연결해 주시기 바랍니다.

다음 단계

• MongoDB 내장 역할과 사용자 정의 역할에 대해 자세히 알아보세요.
• GUI 데이터베이스 클라이언트를 사용하여 연결하세요.
• 역할 템플릿화에 대해 알아보세요.
• 자동 사용자 프로비저닝 RFD를 읽어보세요.