Microsoft SQL Server에 대한 PKINIT 인증 접속

Teleport는 Teleport Database Service를 통해 Microsoft SQL Server에 대한 안전한 접근을 제공할 수 있습니다. 이는 Teleport의 RBAC를 통해 세부적인 접근 제어를 가능하게 합니다.

이 가이드에서는 다음을 수행합니다:

Microsoft SQL Server 데이터베이스 with PKINIT authentication를 구성합니다.
데이터베이스를 Teleport 클러스터에 추가합니다.
Teleport를 통해 데이터베이스에 연결합니다.

작동 방식

Teleport 데이터베이스 서비스는 SQL Server 데이터베이스와 같은 Active Directory 도메인에 가입하고 Kerberos 프로토콜을 사용하여 SQL Server에 인증합니다. Active Directory 도메인은 Teleport 인증 기관을 신뢰하도록 구성되어 있습니다. 사용자가 Teleport를 통해 SQL Server에 연결할 때, 데이터베이스 서비스는 PKINIT를 사용하여 Active Directory에서 티켓 부여 티켓을 얻습니다. 인증 후, Teleport 데이터베이스 서비스는 사용자 트래픽을 데이터베이스로 전달합니다.

이 가이드는 자체 호스팅된 Active Directory 인증을 사용하는 SQL 서버에 중점을 둡니다.

전제 조건

실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
tctl 관리 도구와 tsh 클라이언트 도구.

tctl과 tsh 다운로드에 대한 지침은 설치를 방문하세요.

Active Directory 인증이 활성화된 SQL Server 데이터베이스입니다.
주체 대체 이름을 사용하는 인증서로 구성된 SQL Server 네트워크 리스너입니다.
데이터베이스와 동일한 Active Directory 도메인에 가입된 Windows 머신입니다.
Active Directory 설치에 대한 네트워크 액세스와 PKINIT 확장이 설치된 kinit 명령이 포함된 Linux 노드:
sudo apt-get update
sudo apt-get -y install krb5-user krb5-pkinit
sudo yum -y update
sudo yum -y install krb5-workstation krb5-pkinit
당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면, tsh login으로 로그인한 다음 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오.

예를 들어:
```
tsh login --proxy=teleport.example.com --user=email@example.com
tctl status
클러스터  teleport.example.com
버전  16.2.0
CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
```
클러스터에 연결하고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속 tctl 명령어를 실행할 수 있습니다.

자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

1단계/7단계. Teleport 사용자 생성

Tip

기존 사용자를 수정하여 데이터베이스 서비스에 대한 액세스를 제공하려면 데이터베이스 액세스 제어를 참조하세요.

내장된 access 역할로 로컬 Teleport 사용자를 생성하세요:

tctl users add \  --roles=access \  --db-users="*" \  --db-names="*" \  alice

내장된 access 및 requester 역할로 로컬 Teleport 사용자를 생성하세요:

tctl users add \  --roles=access,requester \  --db-users="*" \  --db-names="*" \  alice

Flag	Description
`--roles`	사용자에게 할당할 역할 목록입니다. 내장된 `access` 역할은 그들이 Teleport에 등록된 모든 데이터베이스 서버에 연결할 수 있도록 합니다.
`--db-users`	사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록입니다. 와일드카드는 모든 사용자를 허용합니다.
`--db-names`	사용자가 데이터베이스 서버 내에서 연결할 수 있는 논리적 데이터베이스(일명 스키마) 목록입니다. 와일드카드는 모든 데이터베이스를 허용합니다.

Warning

데이터베이스 이름은 PostgreSQL, MongoDB 및 Cloud Spanner 데이터베이스에 대해서만 적용됩니다.

데이터베이스 액세스 제어와 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하세요.

2단계/7단계. Teleport 연결을 허용하는 GPO 구성

Teleport 데이터베이스 세션을 허용하기 위해 GPO를 구성해야 합니다. 여기에는 컴퓨터가 Teleport의 CA를 신뢰하도록 하고, 인증서를 기반으로 한 스마트 카드 인증을 허용하는 것이 포함됩니다.

Teleport CA 및 CRL 내보내기

데이터베이스 CA 회전

Teleport의 데이터베이스 인증 기관을 회전할 경우 이러한 단계를 반복해야 합니다.

다음 명령을 실행하여 Teleport 데이터베이스 CA 인증서를 가져옵니다:
```
tctl auth export --type=db-client-der > db-ca.cer
```
다음 명령을 실행하여 Teleport 데이터베이스 CRL를 가져옵니다:
```
tctl auth crl --type=db_client > db-ca.crl
```
db-ca.cer 및 db-ca.crl 파일을 그룹 정책을 관리할 수 있는 Windows 머신으로 전송합니다.

GPO 생성 및 Teleport CA 가져오기

도메인 전체 정책

이 가이드를 위해, 우리는 방금 생성한 GPO를 전체 AD 도메인에 적용합니다. AD 도메인 내에서 일부 컴퓨터만 Teleport를 통해 접근 가능하도록 원하는 경우, 해당 컴퓨터들만 포함된 OU에 GPO를 적용해야 합니다.

Teleport DB Access라는 이름의 GPO를 생성합니다.

$GPOName="Teleport DB Access"
New-GPO -Name $GPOName | New-GPLink -Target $((Get-ADDomain).DistinguishedName)

그룹 정책 관리 프로그램을 열고 왼쪽 패널에서 다음 경로로 이동합니다: $FOREST > Domains > $DOMAIN > Group Policy Objects.
방금 만든 GPO(Teleport DB Access)를 마우스 오른쪽 버튼으로 클릭하고 편집...을 선택합니다.

그룹 정책 편집기에서 다음을 선택합니다:

컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 공개 키 정책

신뢰할 수 있는 루트 인증 기관을 마우스 오른쪽 버튼으로 클릭하고 가져오기를 선택합니다.
CA 파일(db-ca.cer)을 선택하여 마법사에서 클릭하여 진행합니다.

Teleport CA 가져오기

스마트 카드 서비스 활성화

Teleport는 스마트 카드를 에뮬레이션하여 인증서를 기반으로 한 인증을 수행합니다.

여전히 Teleport DB Access를 편집하면서 다음을 선택합니다:

컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 시스템 서비스

스마트 카드를 두 번 클릭하고 이 정책 설정 정의를 선택한 후 자동으로 전환하고 확인을 클릭합니다.

스마트 카드 서비스 활성화

gpupdate.exe

GPO를 수정할 것이며, 때로는 GPO 수정이 모든 호스트에 전파되는 데 시간이 걸릴 수 있습니다. 현재 호스트에서 즉시 변경 사항을 적용하려면 PowerShell 프롬프트를 열고 gpupdate.exe /force를 실행하면 됩니다(변경 사항이 도메인의 다른 머신에 전파되는 데 여전히 시간이 걸릴 수 있습니다).

Teleport CA 퍼블리시하기

이 단계는 도메인 컨트롤러가 Teleport CA를 신뢰하게 하여 Teleport를 통한 스마트 카드 로그인이 성공하도록 합니다.

도메인에 가입된 머신에서 Domain Administrators 그룹의 계정으로 로그인하고, 아래 두 명령을 PowerShell 프롬프트에서 실행하여 Teleport CA를 Active Directory 도메인에 퍼블리시합니다(위에서 복사한 내보낸 Teleport db-ca.cer 파일의 경로를 사용):

certutil –dspublish –f <PathToCertFile.cer> RootCA
certutil -dspublish -f <PathToCertFile.cert> NTAuthCA

Teleport CRL 퍼블리시하기

같은 머신에서 아래의 명령을 PowerShell 프롬프트에서 실행하여 Teleport CRL을 Active Directory 도메인에 퍼블리시합니다(이전 단계에서 복사한 내보낸 db-ca.crl 파일의 경로를 사용):

certutil -dspublish -f <PathToCRLFile.crl> TeleportDB

Tip

인증서가 전파될 때까지 기다리지 않으려면 CA 및 CRL을 가져온 후 LDAP에서 CA를 강제로 검색할 수 있는 명령을 사용할 수 있습니다:

certutil -pulse

3단계/7단계. LDAP CA 인증서 내보내기

Teleport는 LDAPS를 사용하여 사용자를 인증하며, 데이터베이스 구성에서 LDAP CA 인증서를 지정해야 합니다. Teleport가 SSL 연결 초기 동안 서버에서 전송된 인증서를 신뢰하도록 하려면 AD에서 인증서를 내보내야 합니다. 다음 PowerShell 스크립트를 Windows 인스턴스에서 실행하여 인증서를 내보낼 수 있습니다:

$WindowsDERFile = $env:TEMP + "\windows.der"
$WindowsPEMFile = $env:TEMP + "\windows.pem"
certutil "-ca.cert" $WindowsDERFile 
certutil -encode $WindowsDERFile $WindowsPEMFile

$CA_CERT_PEM = Get-Content -Path $WindowsPEMFile
Write-Output $CA_CERT_PEM

Remove-Item $WindowsDERFile -Recurse
Remove-Item $WindowsPEMFile -Recurse

스크립트는 LDAP CA 내용을 PEM 형식으로 터미널에 출력하며, 거기에서 데이터베이스 구성에 사용할 수 있습니다.

4단계/7단계. Teleport 데이터베이스 서비스 설정

Database 서비스는 Teleport 클러스터에 참여하려면 유효한 조인 토큰이 필요합니다.
다음 tctl 명령을 실행하고 토큰 출력을 /tmp/token에 저장하세요.
Database 서비스가 실행될 서버에서:

tctl tokens add --type=db --format=text
abcd123-insecure-do-not-use-this

Teleport를 Teleport 데이터베이스 서비스를 실행할 호스트에 설치합니다:

Linux 서버에 Teleport 설치하기:

Teleport 에디션에 따라 edition을(를) 다음 중 하나로 지정합니다:

에디션 값
Teleport Enterprise Cloud cloud
Teleport Enterprise (자체 호스팅) enterprise
Teleport Community Edition oss

에디션	값
Teleport Enterprise Cloud	`cloud`
Teleport Enterprise (자체 호스팅)	`enterprise`
Teleport Community Edition	`oss`

설치할 Teleport의 버전을 확인합니다. 클러스터에서 자동 에이전트 업데이트가 활성화되어 있는 경우, 업데이터와 호환되는 최신 Teleport 버전을 쿼리합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

그렇지 않으면, Teleport 클러스터의 버전을 확인합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')"

Linux 서버에 Teleport를 설치합니다:
```
curl https://cdn.teleport.dev/install-v16.2.0.sh | bash -s ${TELEPORT_VERSION} edition
```
설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 지정하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.

Database Service를 실행할 인스턴스에 가입 토큰을 파일로 복사한 다음, 다음 구성을 사용하여 데이터베이스 섹션의 필드를 적절히 바꿉니다:

uri: 서버 주소, 포트 포함.
domain: SQL Server가 가입되어 있는 Active Directory 도메인 (Kerberos 레알).
spn: Kerberos 티켓을 가져오기 위한 SQL Server의 서비스 주체 이름(SPN).
kdc_host_name: LDAP CA 제공을 담당하는 도메인 컨트롤러의 SPN.
ldap_cert: 이전에 내보낸 LDAP CA의 내용.

version: v3
teleport:
  auth_token: abcd123-insecure-do-not-use-this
  proxy_server: teleport.example.com:443

auth_service:
  enabled: no
ssh_service:
  enabled: no
proxy_service:
  enabled: no

db_service:
  enabled: "yes"
  databases:
    - name: my-sqlserver
      protocol: sqlserver
      uri: SQL-SERVER-INSTANCE.ad.teleport.dev:1433
      ad:
        domain: ad.teleport.dev
        spn: MSSQLSvc/SQL-SERVER-INSTANCE.ad.teleport.dev:1433
        kdc_host_name: DOMAIN-CONTROLLER.ad.teleport.dev
        ldap_cert: |
          -----BEGIN CERTIFICATE-----
          ...
          -----END CERTIFICATE-----

Tip

SPN을 Active Directory 사용자 및 컴퓨터 대화 상자의 속성 편집기에서 확인할 수 있습니다.

속성 편집기 탭이 보이지 않는 경우, "보기 > 고급 기능" 토글이 활성화되어 있는지 확인하십시오.

5단계/7단계. 데이터베이스 서비스 시작

환경에서 Teleport 데이터베이스 서비스를 시작하십시오:

호스트가 부팅될 때 the Database Service가 자동으로 시작되도록 시스템 데몬 서비스를 생성하여 구성합니다. 지침은 the Database Service를 설치한 방법에 따라 다릅니다.

the Database Service를 실행할 호스트에서 Teleport를 활성화하고 시작하십시오:

sudo systemctl enable teleport
sudo systemctl start teleport

the Database Service를 실행할 호스트에서 Teleport에 대한 시스템 데몬 서비스 구성을 생성하고, Teleport 서비스를 활성화한 후 Teleport를 시작하십시오:

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

the Database Service의 상태는 systemctl status teleport로 확인할 수 있으며, 로그는 journalctl -fu teleport로 볼 수 있습니다.

6단계/7단계. SQL Server AD 사용자 생성

Note

SQL Server에 이미 Active Directory 로그인이 있는 경우 이 단계를 건너뛸 수 있습니다.

관리자 계정(예: sa)로 SQL Server에 연결하고 Active Directory 인증을 사용할 로그인을 생성합니다:

master> CREATE LOGIN [EXAMPLE\alice] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];

7단계/7단계. 연결

Teleport 클러스터에 로그인하십시오. SQL Server 데이터베이스가 사용 가능한 데이터베이스 목록에 나타납니다:

tsh login --proxy=teleport.example.com --user=alice
tsh db ls
이름      설명         레이블
--------- ------------------- -------
sqlserver                     env=dev

tsh login --proxy=mytenant.teleport.sh --user=alice
tsh db ls
이름      설명         레이블
--------- ------------------- -------
sqlserver                     env=dev

데이터베이스의 자격 증명을 검색하고 연결하려면:

tsh db connect --db-user=teleport sqlserver

Note

sqlcmd 또는 mssql-cli 명령줄 클라이언트가 PATH에 있어야 연결할 수 있습니다. tsh는 먼저 sqlcmd를 실행하고, PATH에 없으면 mssql-cli를 실행합니다.

만약 시스템에 명령줄 클라이언트가 없다면, 다음 명령어를 실행하여 SQL Server 클라이언트로 연결할 수 있는 로컬 프록시 서버를 시작할 수 있습니다:

$ tsh proxy db --db-user=teleport --tunnel sqlserver

로컬 프록시에 DB GUI 클라이언트를 연결하는 방법은 Database Access GUI Clients 가이드를 참조하세요.

데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:

tsh db logout sqlserver

문제 해결

Teleport CA 및 CRL이 올바르게 가져오지 않음

데이터베이스에 연결할 때 Error message: authentication failed 오류가 발생하고 Teleport 데이터베이스 서비스 로그에 Failed to authenticate with KDC: kinit: Client not trusted while getting initial credentials 오류 메시지가 표시됩니다. 이는 Teleport 데이터베이스 CA가 올바르게 가져오지 않았거나 아직 전파되지 않은 경우 발생합니다. certutil -pulse를 실행하여 전파를 강제로 진행하고 데이터베이스에 연결을 시도하십시오.

유효하지 않은 KDC 호스트 이름

데이터베이스에 연결하려 할 때 Error message: authentication failed 오류가 발생하고 Teleport 데이터베이스 서비스 로그에는 Failed to authenticate with KDC: Password for user@AD.TELEPORT.DEV: \nkinit: Cannot read password while getting initial credentials라는 오류 항목이 나타납니다. 이는 KDC 호스트 이름이 잘못되었음을 의미합니다. 도메인 컨트롤러의 SPN을 확인하여 올바르게 설정되었는지 확인하고 데이터베이스 구성의 kdc_hostname 필드 값을 업데이트하십시오.

Teleport가 데이터베이스 CA를 확인할 수 없음

데이터베이스에 Teleport가 알지 못하는 CA가 있는 경우, 연결 시 다음과 같은 오류가 발생합니다: Error message: TLS Handshake failed: x509: certificate signed by unknown authority (possibly because of "x509: invalid signature: parent certificate cannot sign this kind of certificate" while trying to verify candidate authority certificate "SSL_Self_Signed_Fallback").

해결하려면 Teleport 데이터베이스 서비스 인스턴스에 다음 구성을 추가할 수 있습니다:

...
db_service:
  databases:
    - name: sqlserver
      protocol: sqlserver
+     tls:
+       # 데이터베이스 CA PEM 인증서를 가리킵니다.
+       ca_cert_file: "rdsca.pem"
+       # 데이터베이스 인증서의 CN 필드가 비어있는 경우,
+       # TLS 모드를 CA만 확인하도록 변경해야 합니다.
+       mode: verify-ca
      ad:
       ...

데이터베이스 CA를 획득할 수 없는 경우, tls.mode: "insecure" 구성을 제공하여 TLS 검증을 건너뛸 수 있지만, 프로덕션 환경에서는 TLS 검증을 건너뛰는 것을 권장하지 않습니다.

다음 단계

특정 사용자와 데이터베이스에 대한 액세스를 제한하는 방법을 알아보세요.
고가용성(HA) 가이드를 확인하세요.
YAML 구성 참조를 살펴보세요.
전체 CLI 참조를 확인하세요.

추가 읽기

Kerberos PKINIT 인증.

Teleport 원문 보기