Teleport은 Teleport Database Service를 통해 Microsoft SQL Server에 대한 안전한 액세스를 제공할 수 있습니다. 이를 통해 Teleport의 RBAC를 통한 세부적인 액세스 제어가 가능합니다.

이 가이드에서는 다음을 수행합니다:

1. Microsoft SQL Server 데이터베이스 PKINIT 인증과 함께를 구성합니다.
2. 데이터베이스를 Teleport 클러스터에 추가합니다.
3. Teleport를 통해 데이터베이스에 연결합니다.

작동 원리

Teleport 데이터베이스 서비스는 SQL Server 데이터베이스와 동일한 Active Directory 도메인에 가입하고 Kerberos 프로토콜을 사용하여 SQL Server와 인증합니다. Active Directory 도메인은 Teleport 인증 기관의 신뢰를 구성하도록 설정됩니다. 사용자가 Teleport를 통해 SQL Server에 연결할 때, 데이터베이스 서비스는 PKINIT를 사용하여 Active Directory에서 티켓 발급 티켓을 획득합니다. 인증 후, Teleport 데이터베이스 서비스는 사용자 트래픽을 데이터베이스로 전달합니다.

• 자체 호스팅
• Teleport Enterprise Cloud

이 가이드는 자체 호스팅 Active Directory 인증을 사용하는 SQL Server에 중점을 둡니다.

전제 조건

• 실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.

• tctl 관리자 도구와 tsh 클라이언트 도구.

  tctl 및 tsh 다운로드 방법에 대한 지침은 설치를 방문하십시오.

• Active Directory 인증이 활성화된 SQL Server 데이터베이스.

• 주체 대체 이름을 사용하여 인증서로 구성된 SQL Server 네트워크 수신기.

• 데이터베이스와 동일한 Active Directory 도메인에 가입된 Windows 머신.

• Active Directory 설치에 네트워크 접근이 가능하고 kinit 명령이 PKINIT 확장이 설치된 Linux 노드:

  • Ubuntu
  • RHEL / CentOS 7

  sudo apt-get update
  sudo apt-get -y install krb5-user krb5-pkinit

  sudo yum -y update
  sudo yum -y install krb5-workstation krb5-pkinit

• 연결이 가능한지 확인하기 위해 tsh login 으로 로그인한 다음, 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오.

  예를 들어:

  tsh login --proxy=teleport.example.com --user=email@example.com
  tctl status
  클러스터  teleport.example.com
  버전  17.0.0-dev
  CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678

  클러스터에 연결할 수 있고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속 tctl 명령어를 실행할 수 있습니다.
  자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

1/7 단계. Teleport 사용자 만들기

tctl users add \  --roles=access \  --db-users="*" \  --db-names="*" \  alice

tctl users add \  --roles=access,requester \  --db-users="*" \  --db-names="*" \  alice

데이터베이스 액세스 제어 및 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하십시오.

2/7 단계. Teleport 연결을 허용하는 GPO 구성

Teleport 데이터베이스 세션을 허용하도록 GPO를 구성해야 합니다. 여기에는 컴퓨터가 Teleport의 CA를 신뢰하도록 하고 인증서를 기반으로 한 스마트 카드 인증을 허용하는 것이 포함됩니다.

Teleport CA 및 CRL 내보내기

1. 다음 명령어를 실행하여 Teleport 데이터베이스 CA 인증서를 가져옵니다:

   tctl auth export --type=db-client-der > db-ca.cer

2. 다음 명령어를 실행하여 Teleport 데이터베이스 CRL을 가져옵니다:

   tctl auth crl --type=db_client > db-ca.crl

3. Windows 머신으로 db-ca.cer 및 db-ca.crl 파일을 전송합니다. 그룹 정책을 관리할 수 있는 곳입니다.

GPO 만들기 및 Teleport CA 가져오기

1. Teleport DB Access 라는 이름의 GPO를 생성합니다.

   $GPOName="Teleport DB Access"
   New-GPO -Name $GPOName | New-GPLink -Target $((Get-ADDomain).DistinguishedName)
   

2. 그룹 정책 관리 프로그램을 열고 왼쪽 창에서 $FOREST > Domains > $DOMAIN > Group Policy Objects 로 이동합니다.

3. 방금 만든 GPO(Teleport DB Access )를 마우스 오른쪽 버튼으로 클릭하고 편집...를 선택합니다.

4. 그룹 정책 편집기에서 다음을 선택합니다:

   컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 공개 키 정책
   

5. 신뢰할 수 있는 루트 인증 기$1 을 마우스 오른쪽 버튼으로 클릭하고 가져오$1 를 선택합니다.

6. 마법사를 클릭하여 CA 파일(db-ca.cer )을 선택하여 진행합니다.

스마트 카드 서비스 활성화

Teleport는 스마트 카드를 에뮬레이트하여 인증서 기반 인증을 수행합니다.

1. Teleport DB Access 를 계속 편집하면서 선택하십시오:

   컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 시스템 서비스
   

2. Smart Card 를 두 번 클릭하고, 이 정책 설정 정d 를 선택한 후 자d 으로 변경하고 확d 을 클릭하십시오.

Teleport CA 게시

이 단계는 도메인 컨트롤러가 Teleport CA를 신뢰하도록 하여 Teleport를 통한 스마트 카드 로그인이 성공할 수 있도록 합니다.

도메인에 가입되어 있고 Domain Administrators 그룹의 계정으로 로그인한 머신에서 아래의 두 명령을 PowerShell 프롬프트에서 실행하여 Teleport CA를 Active Directory 도메인에 게시하십시오 (위에서 복사한 내보낸 Teleport db-ca.cer 파일 경로를 사용):

certutil –dspublish –f <PathToCertFile.cer> RootCA
certutil -dspublish -f <PathToCertFile.cert> NTAuthCA

Teleport CRL 게시

같은 머신에서 아래의 명령을 PowerShell 프롬프트에서 실행하여 Teleport CRL을 Active Directory 도메인에 게시하십시오 (위에서 복사한 내보낸 db-ca.crl 파일 경로를 사용).

certutil -dspublish -f <PathToCRLFile.crl> TeleportDB

certutil -pulse

3/7단계. LDAP CA 인증서 내보내기

Teleport는 사용자 인증을 위해 LDAPS를 사용하므로 데이터베이스 구성에서 LDAP CA 인증서를 지정해야 합니다. Teleport가 서버가 최초 SSL 연결 중에 전송하는 인증서를 신뢰하도록 하려면 AD에서 인증서를 내보내야 합니다. 아래의 PowerShell 스크립트를 Windows 인스턴스에서 실행하여 인증서를 내보낼 수 있습니다:

$WindowsDERFile = $env:TEMP + "\windows.der"
$WindowsPEMFile = $env:TEMP + "\windows.pem"
certutil "-ca.cert" $WindowsDERFile
certutil -encode $WindowsDERFile $WindowsPEMFile

$CA_CERT_PEM = Get-Content -Path $WindowsPEMFile
Write-Output $CA_CERT_PEM

Remove-Item $WindowsDERFile -Recurse
Remove-Item $WindowsPEMFile -Recurse

이 스크립트는 PEM 형식으로 LDAP CA 내용을 터미널에 출력하며, 거기서 복사하여 데이터베이스 구성에 사용할 수 있습니다.

4/7단계. Teleport 데이터베이스 서비스 설정

Database 서비스는 Teleport 클러스터에 조인하기 위해 유효한 조인 토큰이 필요합니다.
다음 tctl 명령어를 실행하고 Database 서비스가 실행될 서버에 /tmp/token 안에 토큰 출력을 저장하세요:

tctl tokens add --type=db --format=text
abcd123-insecure-do-not-use-this

Teleport 데이터베이스 서비스를 실행할 호스트에 Teleport를 설치하십시오:

Linux 서버에 Teleport 설치하기:

1. Teleport 에디션에 따라 edition를 다음 중 하나로 할당합니다:

   에디션	값
   Teleport Enterprise Cloud	cloud
   Teleport Enterprise (자가 호스팅)	enterprise
   Teleport Community Edition	oss

2. 설치할 Teleport 버전을 가져옵니다. 클러스터에서 자동 에이전트 업데이트가 활성화된 경우, 최신 Teleport 버전을 쿼리하여 업데이트된 내용과의 호환성을 확인합니다:

   TELEPORT_DOMAIN=example.teleport.com
   TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

   그렇지 않으면, Teleport 클러스터의 버전을 가져옵니다:

   TELEPORT_DOMAIN=example.teleport.com
   TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')"

3. Linux 서버에 Teleport를 설치합니다:

   curl https://cdn.teleport.dev/install-v15.4.11.sh | bash -s ${TELEPORT_VERSION} edition

   설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 정의하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.

데이터베이스 서비스를 실행할 인스턴스에서 조인 토큰을 파일로 복사한 후 아래의 구성에서 적절히 데이터베이스 섹션의 필드를 바꿉니다:

• uri : 포트를 포함한 서버 주소.
• domain : SQL Server가 가입된 Active Directory 도메인 (Kerberos 영역) DNS/주소.
• spn : Kerberos 티켓을 가져오기 위한 SQL Server의 서비스 주체 이름 (SPN).
• kdc_host_name : LDAP CA를 제공하는 도메인 컨트롤러의 SPN.
• ldap_cert : 이전에 내보낸 LDAP CA의 내용.

version: v3
teleport:
  auth_token: abcd123-insecure-do-not-use-this
  proxy_server: teleport.example.com:443

auth_service:
  enabled: no
ssh_service:
  enabled: no
proxy_service:
  enabled: no

db_service:
  enabled: "yes"
  databases:
    - name: my-sqlserver
      protocol: sqlserver
      uri: SQL-SERVER-INSTANCE.ad.teleport.dev:1433
      ad:
        domain: ad.teleport.dev
        spn: MSSQLSvc/SQL-SERVER-INSTANCE.ad.teleport.dev:1433
        kdc_host_name: DOMAIN-CONTROLLER.ad.teleport.dev
        ldap_cert: |
          -----BEGIN CERTIFICATE-----
          ...
          -----END CERTIFICATE-----

5/7단계. 데이터베이스 서비스 시작

환경에서 Teleport 데이터베이스 서비스를 시작합니다:

호스트가 부팅될 때 the Database Service가 자동으로 시작되도록 systemd 서비스를 생성하여 구성합니다. 지침은 the Database Service를 설치한 방법에 따라 다릅니다.

sudo systemctl enable teleport
sudo systemctl start teleport

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

systemctl status teleport 로 the Database Service의 상태를 확인하고, journalctl -fu teleport 로 로그를 볼 수 있습니다.

6/7단계. SQL Server AD 사용자 생성

관리자 계정(예: sa )으로 SQL Server에 연결하고 Active Directory 인증을 사용할 로그인을 생성합니다:

master> CREATE LOGIN [EXAMPLE\alice] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];

7/7단계. 연결

Teleport 클러스터에 로그인합니다. SQL Server 데이터베이스가 사용 가능한 데이터베이스 목록에 나타나야 합니다:

tsh login --proxy=teleport.example.com --user=alice
tsh db ls
Name      Description         Labels
--------- ------------------- -------
sqlserver                     env=dev

tsh login --proxy=mytenant.teleport.sh --user=alice
tsh db ls
Name      Description         Labels
--------- ------------------- -------
sqlserver                     env=dev

데이터베이스에 대한 자격 증명을 검색하고 연결하려면:

tsh db connect --db-user=teleport sqlserver

tsh proxy db --db-user=teleport --tunnel sqlserver

데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:

tsh db logout sqlserver

문제 해결

Teleport CA 및 CRL이 올바르게 가져오지 않음

데이터베이스에 연결할 때 Error message: authentication failed 오류가 발생하고 Teleport 데이터베이스 서비스 로그에는 Failed to authenticate with KDC: kinit: Client not trusted while getting initial credentials 오류 메시지가 있습니다. 이는 Teleport 데이터베이스 CA가 올바르게 가져와지지 않았거나 아직 전파되지 않았음을 나타냅니다. certutil -pulse 를 실행하여 전파를 강제로 수행하고 데이터베이스에 연결을 시도할 수 있습니다.

잘못된 KDC 호스트 이름

데이터베이스에 연결할 때 Error message: authentication failed 오류가 발생하고 Teleport 데이터베이스 서비스 로그에는 Failed to authenticate with KDC: Password for user@AD.TELEPORT.DEV:\nkinit: Cannot read password while getting initial credentials 오류 항목이 있습니다. 이는 KDC 호스트 이름이 잘못되었음을 의미합니다. 도메인 컨트롤러의 SPN이 올바르게 설정되어 있는지 확인하고 데이터베이스 구성의 kdc_hostname 필드에 해당 값을 업데이트할 수 있습니다.

Teleport가 데이터베이스 CA를 확인할 수 없음

데이터베이스에 Teleport가 알지 못하는 CA가 있는 경우, 연결할 때 다음과 같은 오류가 발생합니다: Error message: TLS Handshake failed: x509: certificate signed by unknown authority (possibly because of "x509: invalid signature: parent certificate cannot sign this kind of certificate" while trying to verify candidate authority certificate "SSL_Self_Signed_Fallback").

이를 해결하려면 Teleport 데이터베이스 서비스 인스턴스에 다음 구성을 추가할 수 있습니다:

...
db_service:
  databases:
    - name: sqlserver
      protocol: sqlserver
+     tls:
+       # 데이터베이스 CA PEM 인증서로 지정합니다.
+       ca_cert_file: "rdsca.pem"
+       # 데이터베이스 인증서의 CN 필드가 비어 있는 경우,
+       # TLS 모드를 CA만 검증하도록 변경해야 합니다.
+       mode: verify-ca
      ad:
       ...

데이터베이스 CA를 얻을 수 없는 경우, 구성 tls.mode: "insecure"를 제공하여 TLS 검증을 건너뛸 수 있습니다. 그러나 운영 환경에서는 TLS 검증을 생략하는 것을 권장하지 않습니다.

다음 단계

• 특정 사용자와 데이터베이스에 대한 액세스 제한하기 방법을 배우십시오.

• 고가용성(HA) 가이드를 확인하십시오.

• YAML 구성 참조를 살펴보십시오.

• 전체 CLI 참조를 확인하십시오.

추가 읽기

• Kerberos PKINIT 인증.