인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
PKINIT 인증을 통한 Microsoft SQL Server 접근
Teleport은 Teleport Database Service를 통해 Microsoft SQL Server에 대한 안전한 액세스를 제공할 수 있습니다. 이를 통해 Teleport의 RBAC를 통한 세부적인 액세스 제어가 가능합니다.
이 가이드에서는 다음을 수행합니다:
- Microsoft SQL Server 데이터베이스 PKINIT 인증과 함께를 구성합니다.
- 데이터베이스를 Teleport 클러스터에 추가합니다.
- Teleport를 통해 데이터베이스에 연결합니다.
작동 원리
Teleport 데이터베이스 서비스는 SQL Server 데이터베이스와 동일한 Active Directory 도메인에 가입하고 Kerberos 프로토콜을 사용하여 SQL Server와 인증합니다. Active Directory 도메인은 Teleport 인증 기관의 신뢰를 구성하도록 설정됩니다. 사용자가 Teleport를 통해 SQL Server에 연결할 때, 데이터베이스 서비스는 PKINIT를 사용하여 Active Directory에서 티켓 발급 티켓을 획득합니다. 인증 후, Teleport 데이터베이스 서비스는 사용자 트래픽을 데이터베이스로 전달합니다.
이 가이드는 자체 호스팅 Active Directory 인증을 사용하는 SQL Server에 중점을 둡니다.
전제 조건
-
실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.
-
tctl
관리자 도구와tsh
클라이언트 도구.tctl
및tsh
다운로드 방법에 대한 지침은 설치를 방문하십시오.
-
Active Directory 인증이 활성화된 SQL Server 데이터베이스.
-
주체 대체 이름을 사용하여 인증서로 구성된 SQL Server 네트워크 수신기.
-
데이터베이스와 동일한 Active Directory 도메인에 가입된 Windows 머신.
-
Active Directory 설치에 네트워크 접근이 가능하고
kinit
명령이 PKINIT 확장이 설치된 Linux 노드:sudo apt-get updatesudo apt-get -y install krb5-user krb5-pkinitsudo yum -y updatesudo yum -y install krb5-workstation krb5-pkinit -
연결이 가능한지 확인하기 위해
tsh login
으로 로그인한 다음, 현재 자격 증명을 사용하여tctl
명령어를 실행할 수 있는지 확인하십시오.예를 들어:
tsh login --proxy=teleport.example.com --user=email@example.comtctl status클러스터 teleport.example.com
버전 17.0.0-dev
CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
클러스터에 연결할 수 있고
tctl status
명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속tctl
명령어를 실행할 수 있습니다.
자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로tctl
명령어를 실행할 수도 있습니다.
1/7 단계. Teleport 사용자 만들기
Tip
기존 사용자를 수정하여 데이터베이스 서비스에 대한 액세스를 제공하려면 데이터베이스 액세스 제어를 참조하십시오.
내장된 access
역할을 가진 로컬 Teleport 사용자 생성:
tctl users add \ --roles=access \ --db-users="*" \ --db-names="*" \ alice
내장된 access
및 requester
역할을 가진 로컬 Teleport 사용자 생성:
tctl users add \ --roles=access,requester \ --db-users="*" \ --db-names="*" \ alice
Flag | Description |
---|---|
--roles | 사용자에게 할당할 역할 목록. 내장된 access 역할은 사용자가 Teleport에 등록된 모든 데이터베이스 서버에 연결할 수 있도록 합니다. |
--db-users | 사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록. 와일드카드는 모든 사용자를 허용합니다. |
--db-names | 사용자가 데이터베이스 서버 내에서 연결할 수 있는 논리 데이터베이스(즉, 스키마) 목록. 와일드카드는 모든 데이터베이스를 허용합니다. |
Warning
데이터베이스 이름은 PostgreSQL, MongoDB 및 Cloud Spanner 데이터베이스에 대해서만 적용됩니다.
데이터베이스 액세스 제어 및 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하십시오.
2/7 단계. Teleport 연결을 허용하는 GPO 구성
Teleport 데이터베이스 세션을 허용하도록 GPO를 구성해야 합니다. 여기에는 컴퓨터가 Teleport의 CA를 신뢰하도록 하고 인증서를 기반으로 한 스마트 카드 인증을 허용하는 것이 포함됩니다.
Teleport CA 및 CRL 내보내기
데이터베이스 CA 회전
Teleport의 데이터베이스 인증 기관을 회전하는 경우 이 단계를 반복해야 합니다.
-
다음 명령어를 실행하여 Teleport 데이터베이스 CA 인증서를 가져옵니다:
tctl auth export --type=db-client-der > db-ca.cer -
다음 명령어를 실행하여 Teleport 데이터베이스 CRL을 가져옵니다:
tctl auth crl --type=db_client > db-ca.crl -
Windows 머신으로
db-ca.cer
및db-ca.crl
파일을 전송합니다. 그룹 정책을 관리할 수 있는 곳입니다.
GPO 만들기 및 Teleport CA 가져오기
도메인 전체 정책
이 가이드를 위해 우리는 방금 생성할 GPO를 전체 AD 도메인에 적용합니다. AD 도메인 내에서 Teleport를 통해 액세스할 수 있는 컴퓨터의 하위 집합만 원하신다면, GPO를 이러한 컴퓨터만 포함하는 OU에 적용해야 합니다.
-
Teleport DB Access
라는 이름의 GPO를 생성합니다.$GPOName="Teleport DB Access" New-GPO -Name $GPOName | New-GPLink -Target $((Get-ADDomain).DistinguishedName)
-
그룹 정책 관리
프로그램을 열고 왼쪽 창에서$FOREST > Domains > $DOMAIN > Group Policy Objects
로 이동합니다. -
방금 만든 GPO(
Teleport DB Access
)를 마우스 오른쪽 버튼으로 클릭하고편집...
를 선택합니다. -
그룹 정책 편집기에서 다음을 선택합니다:
컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 공개 키 정책
-
신뢰할 수 있는 루트 인증 기$1
을 마우스 오른쪽 버튼으로 클릭하고가져오$1
를 선택합니다. -
마법사를 클릭하여 CA 파일(
db-ca.cer
)을 선택하여 진행합니다.
스마트 카드 서비스 활성화
Teleport는 스마트 카드를 에뮬레이트하여 인증서 기반 인증을 수행합니다.
-
Teleport DB Access
를 계속 편집하면서 선택하십시오:컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 시스템 서비스
-
Smart Card
를 두 번 클릭하고,이 정책 설정 정d
를 선택한 후자d
으로 변경하고확d
을 클릭하십시오.
gpupdate.exe
GPO를 수정하고 있으며, 때때로 GPO 수정 사항이 모든 호스트에 전파되는 데 시간이
걸릴 수 있습니다. PowerShell 프롬프트를 열어 gpupdate.exe /force
를 실행하면
현재 호스트에서 즉시 변경 사항이 적용되도록 강제할 수 있습니다 (변경 사항이
도메인의 다른 머신에 전파되는 데 여전히 시간이 걸릴 수 있습니다).
Teleport CA 게시
이 단계는 도메인 컨트롤러가 Teleport CA를 신뢰하도록 하여 Teleport를 통한 스마트 카드 로그인이 성공할 수 있도록 합니다.
도메인에 가입되어 있고 Domain Administrators
그룹의 계정으로 로그인한 머신에서 아래의 두 명령을 PowerShell 프롬프트에서 실행하여 Teleport CA를 Active Directory 도메인에 게시하십시오 (위에서 복사한 내보낸 Teleport db-ca.cer
파일 경로를 사용):
certutil –dspublish –f <PathToCertFile.cer> RootCA
certutil -dspublish -f <PathToCertFile.cert> NTAuthCA
Teleport CRL 게시
같은 머신에서 아래의 명령을 PowerShell 프롬프트에서 실행하여 Teleport CRL을 Active Directory 도메인에 게시하십시오 (위에서 복사한 내보낸 db-ca.crl
파일 경로를 사용).
certutil -dspublish -f <PathToCRLFile.crl> TeleportDB
Tip
인증서가 전파될 때까지 기다리는 것을 피하려면 CA와 CRL을 가져온 후 LDAP에서 CA 검색을 강제할 수 있습니다:
certutil -pulse
3/7단계. LDAP CA 인증서 내보내기
Teleport는 사용자 인증을 위해 LDAPS를 사용하므로 데이터베이스 구성에서 LDAP CA 인증서를 지정해야 합니다. Teleport가 서버가 최초 SSL 연결 중에 전송하는 인증서를 신뢰하도록 하려면 AD에서 인증서를 내보내야 합니다. 아래의 PowerShell 스크립트를 Windows 인스턴스에서 실행하여 인증서를 내보낼 수 있습니다:
$WindowsDERFile = $env:TEMP + "\windows.der"
$WindowsPEMFile = $env:TEMP + "\windows.pem"
certutil "-ca.cert" $WindowsDERFile
certutil -encode $WindowsDERFile $WindowsPEMFile
$CA_CERT_PEM = Get-Content -Path $WindowsPEMFile
Write-Output $CA_CERT_PEM
Remove-Item $WindowsDERFile -Recurse
Remove-Item $WindowsPEMFile -Recurse
이 스크립트는 PEM 형식으로 LDAP CA 내용을 터미널에 출력하며, 거기서 복사하여 데이터베이스 구성에 사용할 수 있습니다.
4/7단계. Teleport 데이터베이스 서비스 설정
Database 서비스는 Teleport 클러스터에 조인하기 위해 유효한 조인 토큰이 필요합니다.
다음 tctl
명령어를 실행하고 Database 서비스가 실행될 서버에 /tmp/token
안에 토큰 출력을 저장하세요:
tctl tokens add --type=db --format=textabcd123-insecure-do-not-use-this
Teleport 데이터베이스 서비스를 실행할 호스트에 Teleport를 설치하십시오:
Linux 서버에 Teleport 설치하기:
-
Teleport 에디션에 따라 edition를 다음 중 하나로 할당합니다:
에디션 값 Teleport Enterprise Cloud cloud
Teleport Enterprise (자가 호스팅) enterprise
Teleport Community Edition oss
-
설치할 Teleport 버전을 가져옵니다. 클러스터에서 자동 에이전트 업데이트가 활성화된 경우, 최신 Teleport 버전을 쿼리하여 업데이트된 내용과의 호환성을 확인합니다:
TELEPORT_DOMAIN=example.teleport.comTELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"그렇지 않으면, Teleport 클러스터의 버전을 가져옵니다:
TELEPORT_DOMAIN=example.teleport.comTELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')" -
Linux 서버에 Teleport를 설치합니다:
curl https://cdn.teleport.dev/install-v15.4.11.sh | bash -s ${TELEPORT_VERSION} edition설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 정의하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.
데이터베이스 서비스를 실행할 인스턴스에서 조인 토큰을 파일로 복사한 후 아래의 구성에서 적절히 데이터베이스 섹션의 필드를 바꿉니다:
uri
: 포트를 포함한 서버 주소.domain
: SQL Server가 가입된 Active Directory 도메인 (Kerberos 영역) DNS/주소.spn
: Kerberos 티켓을 가져오기 위한 SQL Server의 서비스 주체 이름 (SPN).kdc_host_name
: LDAP CA를 제공하는 도메인 컨트롤러의 SPN.ldap_cert
: 이전에 내보낸 LDAP CA의 내용.
version: v3
teleport:
auth_token: abcd123-insecure-do-not-use-this
proxy_server: teleport.example.com:443
auth_service:
enabled: no
ssh_service:
enabled: no
proxy_service:
enabled: no
db_service:
enabled: "yes"
databases:
- name: my-sqlserver
protocol: sqlserver
uri: SQL-SERVER-INSTANCE.ad.teleport.dev:1433
ad:
domain: ad.teleport.dev
spn: MSSQLSvc/SQL-SERVER-INSTANCE.ad.teleport.dev:1433
kdc_host_name: DOMAIN-CONTROLLER.ad.teleport.dev
ldap_cert: |
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
Tip
Active Directory 사용자 및 컴퓨터 대화 상자의 속성 편집기에서 SPN을 확인할 수 있습니다.
속성 편집기 탭이 보이지 않으면 "보기 > 고급 기능" 토글이 활성화되어 있는지 확인하십시오.
5/7단계. 데이터베이스 서비스 시작
환경에서 Teleport 데이터베이스 서비스를 시작합니다:
호스트가 부팅될 때 the Database Service가 자동으로 시작되도록 systemd 서비스를 생성하여 구성합니다. 지침은 the Database Service를 설치한 방법에 따라 다릅니다.
the Database Service를 실행할 호스트에서 Teleport를 활성화하고 시작합니다:
sudo systemctl enable teleportsudo systemctl start teleport
the Database Service를 실행할 호스트에서 Teleport의 systemd 서비스 구성을 만들고, Teleport 서비스를 활성화한 후 Teleport를 시작합니다:
sudo teleport install systemd -o /etc/systemd/system/teleport.servicesudo systemctl enable teleportsudo systemctl start teleport
systemctl status teleport
로 the Database Service의 상태를 확인하고, journalctl -fu teleport
로 로그를 볼 수 있습니다.
6/7단계. SQL Server AD 사용자 생성
Note
SQL Server에 이미 Active Directory 로그인이 있는 경우 이 단계를 건너뛸 수 있습니다.
관리자 계정(예: sa
)으로 SQL Server에 연결하고 Active Directory 인증을 사용할 로그인을 생성합니다:
master> CREATE LOGIN [EXAMPLE\alice] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
7/7단계. 연결
Teleport 클러스터에 로그인합니다. SQL Server 데이터베이스가 사용 가능한 데이터베이스 목록에 나타나야 합니다:
tsh login --proxy=teleport.example.com --user=alicetsh db lsName Description Labels
--------- ------------------- -------
sqlserver env=dev
tsh login --proxy=mytenant.teleport.sh --user=alicetsh db lsName Description Labels
--------- ------------------- -------
sqlserver env=dev
데이터베이스에 대한 자격 증명을 검색하고 연결하려면:
tsh db connect --db-user=teleport sqlserver
Note
sqlcmd
또는 mssql-cli
명령줄 클라이언트가 PATH
에 있어야 연결할 수 있습니다. tsh
는 먼저 sqlcmd
를 실행하려고 시도하고, PATH
에 없으면 mssql-cli
를 실행합니다.
시스템에 명령줄 클라이언트가 모두 없는 경우, SQL Server 클라이언트로 연결할 수 있는 로컬 프록시 서버를 시작하는 다음 명령을 실행할 수 있습니다:
tsh proxy db --db-user=teleport --tunnel sqlserver
데이터베이스 액세스 GUI 클라이언트 가이드를 참조하여 DB GUI 클라이언트를 로컬 프록시에 연결하는 방법을 확인하세요.
데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:
tsh db logout sqlserver
문제 해결
Teleport CA 및 CRL이 올바르게 가져오지 않음
데이터베이스에 연결할 때 Error message: authentication failed
오류가 발생하고 Teleport 데이터베이스 서비스 로그에는 Failed to authenticate with KDC: kinit: Client not trusted while getting initial credentials
오류 메시지가 있습니다. 이는 Teleport 데이터베이스 CA가 올바르게 가져와지지 않았거나 아직 전파되지 않았음을 나타냅니다. certutil -pulse
를 실행하여 전파를 강제로 수행하고 데이터베이스에 연결을 시도할 수 있습니다.
잘못된 KDC 호스트 이름
데이터베이스에 연결할 때 Error message: authentication failed
오류가 발생하고 Teleport 데이터베이스 서비스 로그에는 Failed to authenticate with KDC: Password for user@AD.TELEPORT.DEV:\nkinit: Cannot read password while getting initial credentials
오류 항목이 있습니다. 이는 KDC 호스트 이름이 잘못되었음을 의미합니다. 도메인 컨트롤러의 SPN이 올바르게 설정되어 있는지 확인하고 데이터베이스 구성의 kdc_hostname
필드에 해당 값을 업데이트할 수 있습니다.
Teleport가 데이터베이스 CA를 확인할 수 없음
데이터베이스에 Teleport가 알지 못하는 CA가 있는 경우, 연결할 때 다음과 같은 오류가 발생합니다: Error message: TLS Handshake failed: x509: certificate signed by unknown authority (possibly because of "x509: invalid signature: parent certificate cannot sign this kind of certificate" while trying to verify candidate authority certificate "SSL_Self_Signed_Fallback")
.
이를 해결하려면 Teleport 데이터베이스 서비스 인스턴스에 다음 구성을 추가할 수 있습니다:
...
db_service:
databases:
- name: sqlserver
protocol: sqlserver
+ tls:
+ # 데이터베이스 CA PEM 인증서로 지정합니다.
+ ca_cert_file: "rdsca.pem"
+ # 데이터베이스 인증서의 CN 필드가 비어 있는 경우,
+ # TLS 모드를 CA만 검증하도록 변경해야 합니다.
+ mode: verify-ca
ad:
...
데이터베이스 CA를 얻을 수 없는 경우, 구성 tls.mode: "insecure"
를 제공하여 TLS 검증을 건너뛸 수 있습니다. 그러나 운영 환경에서는 TLS 검증을 생략하는 것을 권장하지 않습니다.
다음 단계
- 특정 사용자와 데이터베이스에 대한 액세스 제한하기 방법을 배우십시오.
- 고가용성(HA) 가이드를 확인하십시오.
- YAML 구성 참조를 살펴보십시오.
- 전체 CLI 참조를 확인하십시오.