Active Directory 인증을 통한 Microsoft SQL Server 데이터베이스 액세스

Teleport는 Teleport Database Service를 통해 Microsoft SQL Server에 대한 안전한 접근을 제공할 수 있습니다. 이는 Teleport의 RBAC를 통해 세부적인 접근 제어를 가능하게 합니다.

이 가이드에서는 다음을 수행합니다:

Microsoft SQL Server 데이터베이스 Active Directory 인증 사용를 구성합니다.
데이터베이스를 Teleport 클러스터에 추가합니다.
Teleport를 통해 데이터베이스에 연결합니다.

이 가이드는 AWS 관리 Active Directory 인증을 사용하는 Amazon RDS for SQL Server에 중점을 두고 있습니다.

작동 방식

Teleport 데이터베이스 서비스는 SQL Server 데이터베이스와 동일한 Active Directory 도메인에 가입하고 Kerberos 프로토콜을 사용하여 SQL Server와 인증합니다. 사용자가 Teleport를 통해 SQL Server에 연결하면 데이터베이스 서비스는 Active Directory에서 서비스 티켓을 가져온 다음, 데이터베이스 사용자를 위한 장기 키를 사용하여 티켓을 복호화하고 SQL Server에 연결합니다. 그 시점에서 데이터베이스 서비스는 사용자 트래픽을 데이터베이스로 전달합니다.

전제 조건

실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
tctl 관리 도구와 tsh 클라이언트 도구.

tctl과 tsh 다운로드에 대한 지침은 설치를 방문하세요.

Active Directory 인증이 활성화된 SQL Server 데이터베이스.
주체 대체 이름을 사용하는 인증서로 구성된 SQL Server 네트워크 리스너.
데이터베이스와 동일한 Active Directory 도메인에 가입된 Windows 머신.
데이터베이스와 동일한 Active Directory 도메인에 가입된 Linux 노드. 이 가이드는 당신이 없다면 가입 단계에 대해 안내할 것입니다.
당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면, tsh login으로 로그인한 다음 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어:
```
tsh login --proxy=teleport.example.com --user=email@example.com
tctl status
클러스터  teleport.example.com
버전  16.2.0
CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
```
클러스터에 연결하고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속 tctl 명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

1단계/7. Teleport 사용자 생성

Tip

기존 사용자를 수정하여 데이터베이스 서비스에 대한 액세스를 제공하려면 데이터베이스 액세스 제어를 참조하세요.

내장된 access 역할로 로컬 Teleport 사용자를 생성하세요:

tctl users add \  --roles=access \  --db-users="*" \  --db-names="*" \  alice

내장된 access 및 requester 역할로 로컬 Teleport 사용자를 생성하세요:

tctl users add \  --roles=access,requester \  --db-users="*" \  --db-names="*" \  alice

Flag	Description
`--roles`	사용자에게 할당할 역할 목록입니다. 내장된 `access` 역할은 그들이 Teleport에 등록된 모든 데이터베이스 서버에 연결할 수 있도록 합니다.
`--db-users`	사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록입니다. 와일드카드는 모든 사용자를 허용합니다.
`--db-names`	사용자가 데이터베이스 서버 내에서 연결할 수 있는 논리적 데이터베이스(일명 스키마) 목록입니다. 와일드카드는 모든 데이터베이스를 허용합니다.

Warning

데이터베이스 이름은 PostgreSQL, MongoDB 및 Cloud Spanner 데이터베이스에 대해서만 적용됩니다.

데이터베이스 액세스 제어와 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하세요.

2단계/7. Linux 노드를 Active Directory에 가입

Note

이 단계는 SQL Server 인스턴스와 동일한 Active Directory 도메인에 가입된 Linux 노드가 이미 있는 경우 건너뛸 수 있습니다.

데이터베이스 서비스가 실행될 Linux 노드는 SQL Server 데이터베이스와 동일한 Active Directory 도메인에 가입되어 있어야 합니다.

가입하기 위해서는 Linux 노드가 Active Directory의 완전한 자격 도메인 이름을 확인할 수 있어야 합니다. 예를 들어 AWS 관리 AD의 경우, 디렉토리의 개요 페이지에서 "네트워킹 세부 정보" 아래에 제공되는 이름 서버를 사용하세요.

필요한 패키지를 설치합니다:

sudo apt-get update
sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli

sudo yum -y update
sudo yum -y install sssd realmd krb5-workstation samba-common-tools

/etc/krb5.conf를 편집하여 역방향 DNS 해제를 비활성화하고 기본 영역을 설정합니다. [realms] 섹션이 도메인 정의를 포함하고 admin_server 및 kdc 필드가 도메인 컨트롤러를 가리키도록 설정되어 있는지 확인하세요:

[libdefaults]
default_realm = EXAMPLE.COM
rdns = false

[realms]
  EXAMPLE.COM = {
    kdc = example.com
    admin_server = example.com
  }

영역에 가입합니다:

sudo realm join -v -U admin@EXAMPLE.COM example.com
... * Successfully enrolled machine in realm

Warning

admin@EXAMPLE.COM의 영역 이름은 대문자여야 하며, 그렇지 않으면 노드가 가입할 수 없을 수 있습니다.

노드가 영역에 가입했는지 확인하려면 realm list 명령을 사용합니다:

sudo realm list
example.com  type: kerberos  realm-name: EXAMPLE.COM  domain-name: example.com  configured: kerberos-member  server-software: active-directory  client-software: sssd  ...

3단계/7. 키탭 파일 생성

Teleport는 SQL Server에 대한 인증을 위해 Active Directory에서 Kerberos 서비스 티켓을 받을 수 있는 키탭 파일이 필요합니다. 가장 쉬운 방법은 adutil Linux CLI 유틸리티를 사용하는 것입니다.

Active Directory 도메인에 가입한 Linux 노드에 adutil을 설치합니다:

curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
sudo curl https://packages.microsoft.com/config/ubuntu/18.04/prod.list | sudo tee /etc/apt/sources.list.d/msprod.list
sudo apt-get update
sudo ACCEPT_EULA=Y apt-get install -y adutil

sudo wget -qO /etc/apt/trusted.gpg.d/microsoft.asc https://packages.microsoft.com/keys/microsoft.asc
sudo curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/msprod.list
sudo apt-get update
sudo ACCEPT_EULA=Y apt-get install -y adutil

sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repo
sudo ACCEPT_EULA=Y yum install -y adutil

kinit 명령을 사용하여 Active Directory에 로그인합니다:

kinit admin@EXAMPLE.COM

SQL Server 데이터베이스에 연결할 각 Active Directory 사용자에 대한 키탭 항목을 생성하려면 adutil keytab create 명령을 사용합니다:

adutil keytab create teleport.keytab alice
adutil keytab create teleport.keytab bob

각 사용자의 비밀번호를 입력하라는 메시지가 표시됩니다. 모든 키탭 항목은 동일한 teleport.keytab 파일에 병합됩니다.

서비스 주체 이름 할당

adutil keytab create 명령이 작동하려면 각 사용자 계정에 서비스 주체 이름이 할당되어 있어야 하며, 그렇지 않으면 명령이 kvno(키 버전 번호)를 결정할 수 없습니다.

사용자에게 할당된 SPN이 있는지 확인하려면 Active Directory 도메인에 가입된 Windows 머신에서 다음 명령을 실행하세요:

setspn -L alice

사용자 계정에 SPN을 할당하려면 다음 명령을 사용하세요:

setspn -s user/alice alice

키탭 파일의 항목을 확인하려면 klist 명령을 사용합니다:

klist -ke teleport.keytab
Keytab name: FILE:teleport.keytabKVNO Principal---- --------------------------------------------------------------------------   5 alice@EXAMPLE.COM (aes256-cts-hmac-sha1-96)   2 bob@EXAMPLE.COM (aes256-cts-hmac-sha1-96)

Warning

사용자의 비밀번호를 업데이트한 후에 키탭 파일을 업데이트해야 인증 실패를 피할 수 있습니다.

4단계/7. Teleport 데이터베이스 서비스 설정

Database 서비스는 Teleport 클러스터에 참여하려면 유효한 조인 토큰이 필요합니다.
다음 tctl 명령을 실행하고 토큰 출력을 /tmp/token에 저장하세요.
Database 서비스가 실행될 서버에서:

tctl tokens add --type=db --format=text
abcd123-insecure-do-not-use-this

Linux 서버에 Teleport 설치하기:

Teleport 에디션에 따라 edition을(를) 다음 중 하나로 지정합니다:

에디션 값
Teleport Enterprise Cloud cloud
Teleport Enterprise (자체 호스팅) enterprise
Teleport Community Edition oss

에디션	값
Teleport Enterprise Cloud	`cloud`
Teleport Enterprise (자체 호스팅)	`enterprise`
Teleport Community Edition	`oss`

설치할 Teleport의 버전을 확인합니다. 클러스터에서 자동 에이전트 업데이트가 활성화되어 있는 경우, 업데이터와 호환되는 최신 Teleport 버전을 쿼리합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

그렇지 않으면, Teleport 클러스터의 버전을 확인합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')"

Linux 서버에 Teleport를 설치합니다:
```
curl https://cdn.teleport.dev/install-v16.2.0.sh | bash -s ${TELEPORT_VERSION} edition
```
설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 지정하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.

Note

Teleport 데이터베이스 서비스는 SQL Server와 동일한 Active Directory 도메인에 가입된 Linux 서버에서 실행되어야 합니다.

Teleport 데이터베이스 서비스를 구성하세요. --proxy를 Teleport 프록시 서비스 주소로 업데이트하고 --uri를 SQL Server 엔드포인트로 설정하는 것을 잊지 마세요.

sudo teleport db configure create \  -o file \  --token=/tmp/token \  --proxy=teleport.example.com:443 \  --name=sqlserver \  --protocol=sqlserver \  --uri=sqlserver.example.com:1433 \  --ad-keytab-file=/path/to/teleport.keytab \  --ad-domain=EXAMPLE.COM \  --ad-spn=MSSQLSvc/sqlserver.example.com:1433 \  --labels=env=dev

Teleport 데이터베이스 서비스를 구성하세요. --proxy를 Teleport Cloud 테넌트 주소로 업데이트하고 --uri를 SQL Server 엔드포인트로 설정하는 것을 잊지 마세요.

sudo teleport db configure create \  -o file \  --token=/tmp/token \  --proxy=mytenant.teleport.sh:443 \  --name=sqlserver \  --protocol=sqlserver \  --uri=sqlserver.example.com:1433 \  --ad-keytab-file=/path/to/teleport.keytab \  --ad-domain=EXAMPLE.COM \  --ad-spn=MSSQLSvc/sqlserver.example.com:1433 \  --labels=env=dev

Active Directory 매개변수를 제공합니다:

플래그	설명
`--ad-keytab-file`	위에서 생성된 Kerberos 키탭 파일의 경로.
`--ad-domain`	SQL Server가 가입된 Active Directory 도메인(케르베로스 영역).
`--ad-spn`	Kerberos 티켓을 가져오기 위한 SQL Server의 서비스 주체 이름.

서비스 주체 이름

ldapsearch 명령을 사용하여 SQL Server에 등록된 SPN을 볼 수 있습니다. 일반적으로 MSSQLSvc/<name>.<ad-domain>:<port> 형식을 따릅니다.

예를 들어, AWS RDS SQL Server 이름이 sqlserver이고 AWS 관리 Active Directory 도메인 EXAMPLE.COM에 가입된 경우 다음과 같은 SPN이 등록됩니다:

ldapsearch -x -h example.com -D admin -W -b DC=example,DC=com servicePrincipalName
...EC2AMAZ-4KN05DU, RDS, AWS Reserved, example.com
dn: CN=EC2AMAZ-4KN05DU,OU=RDS,OU=AWS Reserved,DC=example,DC=comservicePrincipalName: MSSQLSvc/sqlserver-rds.example.com:1433servicePrincipalName: MSSQLSvc/EC2AMAZ-4KN05DU.example.com:1433servicePrincipalName: MSSQLSvc/EC2AMAZ-4KN05DU.example.com...

또는 AD에 가입된 Windows 머신의 Active Directory 사용자 및 컴퓨터 대화 상자에서 속성 편집기에서 SPN을 찾아볼 수 있습니다. RDS SQL Server 객체는 일반적으로 AWS Reserved / RDS 경로에 있습니다:

Tip

속성 편집기 탭이 보이지 않으면 "보기 > 고급 기능"이 활성화되어 있는지 확인하세요.

5단계/7. 데이터베이스 서비스 시작

호스트가 부팅될 때 your Teleport instance가 자동으로 시작되도록 시스템 데몬 서비스를 생성하여 구성합니다. 지침은 your Teleport instance를 설치한 방법에 따라 다릅니다.

your Teleport instance를 실행할 호스트에서 Teleport를 활성화하고 시작하십시오:

sudo systemctl enable teleport
sudo systemctl start teleport

your Teleport instance를 실행할 호스트에서 Teleport에 대한 시스템 데몬 서비스 구성을 생성하고, Teleport 서비스를 활성화한 후 Teleport를 시작하십시오:

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

your Teleport instance의 상태는 systemctl status teleport로 확인할 수 있으며, 로그는 journalctl -fu teleport로 볼 수 있습니다.

6단계/7. SQL Server AD 사용자 생성

Note

SQL Server에 이미 Active Directory 로그인이 있는 경우 이 단계를 건너뛸 수 있습니다.

관리 계정(예: sa)으로 SQL Server에 연결하고 Active Directory 인증을 사용할 로그인 생성을 수행하세요:

master> CREATE LOGIN [EXAMPLE\alice] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];

7단계/7. 연결

Teleport 클러스터에 로그인하십시오. SQL Server 데이터베이스는 사용 가능한 데이터베이스 목록에 나타납니다:

tsh login --proxy=teleport.example.com --user=alice
tsh db ls
이름      설명         레이블
--------- ------------------- -------
sqlserver                     env=dev

tsh login --proxy=mytenant.teleport.sh --user=alice
tsh db ls
이름      설명         레이블
--------- ------------------- -------
sqlserver                     env=dev

데이터베이스에 대한 자격 증명을 검색하고 연결하려면:

tsh db connect --db-user=teleport sqlserver

Note

sqlcmd 또는 mssql-cli 명령줄 클라이언트가 PATH에 있어야 연결할 수 있습니다. tsh는 먼저 sqlcmd를 실행하고, PATH에 없으면 mssql-cli를 실행합니다.

만약 시스템에 명령줄 클라이언트가 없다면, 다음 명령어를 실행하여 SQL Server 클라이언트로 연결할 수 있는 로컬 프록시 서버를 시작할 수 있습니다:

$ tsh proxy db --db-user=teleport --tunnel sqlserver

로컬 프록시에 DB GUI 클라이언트를 연결하는 방법은 Database Access GUI Clients 가이드를 참조하세요.

데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:

tsh db logout sqlserver

문제 해결

인증서 오류

tsh db connect 오류 메시지에 다음 텍스트가 포함되어 있는 경우, SQL Server에서 사용하는 인증서가 알려진 인증 기관에 의해 서명되지 않았습니다.

Error message: TLS Handshake failed: x509: certificate signed by unknown authority

이를 해결하려면 데이터베이스에 CA 구성을 추가할 수 있습니다:

  databases:
  - name: sqlserver
    protocol: sqlserver
    uri: sqlserver.example.com:1433
    ad:
      keytab_file: /path/to/teleport.keytab
      domain: EXAMPLE.COM
      spn: MSSQLSvc/sqlserver.example.com:1433
    static_labels:
      "env": "dev"
+   tls:
+     # 데이터베이스 CA PEM 인증서를 가리키도록 설정.
+     ca_cert_file: "rdsca.pem"
+     # 데이터베이스 인증서의 CN 필드가 비어 있으면 TLS 모드를 CA만 검증하도록 변경해야 합니다.
+     mode: verify-ca

데이터베이스 CA를 얻을 수 없는 경우 TLS 검증을 건너뛰려면 구성에 tls.mode: "insecure"를 제공할 수 있습니다. 그러나, 운영 환경에서 TLS 검증을 건너뛰는 것은 권장하지 않습니다.

다음 단계

특정 사용자와 데이터베이스에 대한 액세스를 제한하는 방법을 알아보세요.
고가용성(HA) 가이드를 확인하세요.
YAML 구성 참조를 살펴보세요.
전체 CLI 참조를 확인하세요.

추가 읽기

Linux 인스턴스를 수동으로 가입 – AWS 문서.
adutil 소개 – Microsoft 문서.

Teleport 원문 보기