에이전트 없는 모드에서 OpenSSH와 Teleport 사용 (수동 설치)

이 가이드에서는 OpenSSH 서버 sshd 를 구성하여 Teleport 클러스터에 조인하는 방법을 보여줍니다. 기존의 OpenSSH 서버 플릿은 Teleport CA에 의해 동적으로 발급된 SSH 인증서를 수락하도록 구성할 수 있습니다.

Teleport와 OpenSSH를 사용하면 빠르게 시작할 수 있는 이점이 있지만, 장기적으로는 sshd 를 teleport 로 교체하는 것을 권장합니다. teleport SSH 서버는 OpenSSH와 호환되지 않는 여러 기능을 지원합니다:

Teleport는 Proxy Service를 통해 SSH 연결을 프록시하여 OpenSSH를 지원합니다. Teleport 사용자가 OpenSSH 노드에 연결하려고 요청하면 Proxy Service는 사용자의 Teleport 역할을 확인합니다.

RBAC 검사가 성공하면 Proxy Service는 Teleport CA에 의해 서명된 동적으로 생성된 인증서를 사용하여 OpenSSH 노드에 인증합니다. 이를 통해 Proxy Service는 OpenSSH 노드에 대한 연결을 기록하고 감사할 수 있습니다.

Proxy Service는 Teleport CA에 의해 서명된 인증서를 요구함으로써 Teleport 사용자가 감사를 우회하지 못하도록 방지하며, 이 인증서는 Auth Service만 소유하고 있습니다.

이 설정에서 Teleport SSH Service는 RBAC 검사뿐만 아니라 감사 및 세션 기록을 호스트에서 수행하여 SSH 세션을 기록할 때 연결 종료의 필요성을 없앱니다.

Note

이 가이드는 OpenSSH 노드를 등록하기 위해 노드 리소스를 생성하고 OpenSSH가 Teleport CA를 신뢰하도록 구성하는 방법을 보여줍니다. 만약 teleport 바이너리를 OpenSSH 노드에 복사하고 실행할 수 있다면, 대신 표준 등록 가이드를 따를 수 있으며, 이 가이드는 단계가 더 적습니다. Teleport는 이 가이드에서 보여주는 많은 단계를 자동으로 수행할 수 있습니다.

필수 사항

로컬 컴퓨터에 OpenSSH 버전 6.9 이상이 설치되어 있어야 합니다. OpenSSH 버전을 확인하는 명령어는 다음과 같습니다:
```
ssh -V
```

실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.
tctl 관리자 도구와 tsh 클라이언트 도구.

tctl 및 tsh 다운로드 방법에 대한 지침은 설치를 방문하십시오.

OpenSSH 서버 sshd 버전 7.4 이상이 설치된 리눅스 호스트가 필요하며, Teleport는 설치되어 있지 않아야 합니다. 이 호스트의 SSH 포트는 Teleport Proxy Service 호스트에서의 트래픽을 허용해야 합니다.
연결이 가능한지 확인하기 위해 tsh login 으로 로그인한 다음, 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어:
```
tsh login --proxy=teleport.example.com --user=email@example.com
tctl status
클러스터  teleport.example.com
버전  17.0.0-dev
CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
```
클러스터에 연결할 수 있고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속 tctl 명령어를 실행할 수 있습니다.
자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

구식 OpenSSH 노드에서 v14로 업그레이드하기

이전에 Teleport CA를 신뢰하도록 OpenSSH 노드를 구성했지만 등록하지 않았다면, Teleport 클러스터를 Teleport 14로 업그레이드할 경우 기본적으로 이 노드에 연결할 수 없습니다. 이는 클러스터에 등록되지 않은 OpenSSH 서버에 대한 개방형 다이얼링이 Teleport 14에서 더 이상 허용되지 않기 때문입니다. OpenSSH 노드에 대한 액세스를 유지하려면 이전에 구성한 각 OpenSSH 노드를 Teleport에 등록하는 이 가이드를 따라야 합니다. 이는 Teleport 클러스터를 Teleport 14로 업그레이드하기 전에 완료해야 합니다.

OpenSSH 노드를 등록하는 데 문제가 있거나 모든 OpenSSH 노드를 등록하기 전에 Teleport 클러스터를 Teleport 14로 업그레이드해야 하는 경우, TELEPORT_UNSTABLE_UNLISTED_AGENT_DIALING 환경 변수를 Proxy Service에 전달하고 yes 로 설정할 수 있습니다. 이 설정을 통해 등록되지 않은 OpenSSH 노드에 대한 연결이 가능해지지만, Teleport v15에서 제거될 예정입니다.

1/5단계. Teleport 클러스터에 노드 리소스 추가

OpenSSH 노드에 SSH 연결을 요청할 때, Teleport는 노드의 IP 주소를 찾을 수 있어야 연결을 설정할 수 있습니다.

Teleport가 OpenSSH 서버에 도달하는 방법을 알 수 있도록 node 리소스를 선언합니다.
로컬 머신에서 다음 내용을 가진 openssh-node-resource.yaml 파일을 생성합니다:

kind: node
version: v2
sub_kind: openssh
metadata:
  name: a100fdd0-52db-4eca-a7ab-c3afa7a1564a
  labels:
    env: prod
spec:
  addr: 1.2.3.4:22
  hostname: openssh-node

spec.addr 와 spec.hostname 은 필수입니다. spec.addr 을 노드의 주소와 포트로 할당하고, spec.hostname 을 사용자가 Teleport에서 볼 수 있게 원하는 노드 이름으로 할당합니다.

metadata.labels 필드는 SSH 서비스 인스턴스에 레이블을 붙여 RBAC 규칙을 적용할 수 있도록 합니다.

metadata.name 필드는 필수는 아니지만, 여기에서 설정하면 나중에 작업이 줄어듭니다.

node 이름에 적합한 새로운 고유 식별자(UUID)를 생성하려면 Linux 또는 macOS에서 uuidgen 을 사용하거나 Windows의 Powershell에서 New-Guid cmdlet을 사용하세요.

노드 리소스를 생성합니다:

tctl create openssh-node-resource.yaml

Note

이 단계는 Infrastructure-as-Code (IaC) 도구(tctl, Terraform 또는 Kubernetes Operator)로 수행할 수 있습니다. 이는 OpenSSH 서버 IaC 가이드에서 설명합니다.

2/5단계. `sshd` 를 Teleport CA를 신뢰하도록 구성

이 가이드의 후속 부분에서는 Teleport Auth 서비스에 의해 서명된 인증서를 사용하여 SSH 서버에 인증하는 SSH 클라이언트 구성을 생성할 것입니다. 이를 위해서는 sshd 가 Teleport Auth 서비스에서 생성된 인증서로 사용자가 로그인할 수 있도록 허용해야 합니다.

먼저 Teleport CA 공개 키를 내보냅니다.

sshd 를 실행 중인 호스트에서 다음 명령을 실행하고, proxy를 Teleport Proxy Service의 주소로 할당합니다:

export KEY=$(curl 'https://proxy/webapi/auth/export?type=openssh' | sed "s/cert-authority\ //")

공개 키를 sshd 가 접근할 수 있도록 만듭니다:

sudo bash -c "echo \"$KEY\" > /etc/ssh/teleport_openssh_ca.pub"
sudo bash -c "echo 'TrustedUserCAKeys /etc/ssh/teleport_openssh_ca.pub' >> /etc/ssh/sshd_config"

sshd 를 재시작합니다. systemd 지원 호스트의 경우 다음 명령을 실행합니다:

sudo systemctl restart sshd

이제 sshd 는 Teleport서 발급된 인증서를 제시하는 사용자를 신뢰하게 됩니다.

3/5단계. 호스트 인증 구성

다음으로 Teleport에 sshd 호스트에 대한 유효한 호스트 인증서를 발급하도록 요청합니다. 이 가이드의 후속 부분에서는 SSH 클라이언트를 구성하여 인증서를 신뢰하고, SSH 클라이언트를 위한 sshd 호스트를 인증합니다. 이전에 생성한 사용자 인증서처럼 호스트 인증서는 Teleport Auth 서비스에 의해 서명됩니다.

사용자에게 올바른 권한 부여 확인

사용자는 호스트 인증서를 읽고 쓸 수 있는 권한이 있어야 합니다.

로컬 머신에서 host-certifier.yaml 파일을 다음 내용으로 생성합니다:

kind: role
version: v5
metadata:
  name: host-certifier
spec:
  allow:
    rules:
      - resources:
          - host_cert
        verbs:
          - list
          - create
          - read
          - update
          - delete

역할 리소스를 생성합니다:

tctl create host-certifier.yaml
role 'host-certifier' 가 생성되었습니다.

host-certifier 역할을 Teleport 사용자에게 할당하려면, 인증 제공자에 맞는 적절한 명령어를 실행하십시오:

로컬 사용자의 역할을 쉼표로 구분된 목록으로 가져옵니다:
```
ROLES=$(tsh status -f json | jq -r '.active.roles | join(",")')
```

새로운 역할을 추가하기 위해 로컬 사용자를 수정합니다:

tctl users update $(tsh status -f json | jq -r '.active.username') \  --set-roles "${ROLES?},host-certifier"

Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

텍스트 편집기에서 github 인증 커넥터를 엽니다:
```
tctl edit github/github
```
github 커넥터를 수정하여 teams_to_roles 섹션에 host-certifier 을 추가합니다.

이 역할에 매핑해야 하는 팀은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 팀은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 팀이어야 합니다.

예시는 다음과 같습니다:
```
  teams_to_roles:
    - organization: octocats
      team: admins
      roles:
        - access
+       - host-certifier
```
파일을 편집하고 저장하여 변경 사항을 적용합니다.
Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

saml 구성 리소스를 가져옵니다:
```
tctl get --with-secrets saml/mysaml > saml.yaml
```
--with-secrets 플래그는 spec.signing_key_pair.private_key 의 값을 saml.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하므로, 리소스를 업데이트한 후 즉시 saml.yaml 파일을 삭제해야 합니다.
saml.yaml 을 수정하여 attributes_to_roles 섹션에 host-certifier 을 추가합니다.

이 역할에 매핑해야 하는 속성은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 그룹은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 그룹이어야 합니다.

예시는 다음과 같습니다:
```
  attributes_to_roles:
    - name: "groups"
      value: "my-group"
      roles:
        - access
+       - host-certifier
```
변경 사항을 적용합니다:
```
tctl create -f saml.yaml
```
Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

oidc 구성 리소스를 가져옵니다:
```
tctl get oidc/myoidc --with-secrets > oidc.yaml
```
--with-secrets 플래그는 spec.signing_key_pair.private_key 의 값을 oidc.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하므로, 리소스를 업데이트한 후 즉시 oidc.yaml 파일을 삭제해야 합니다.
oidc.yaml 을 수정하여 claims_to_roles 섹션에 host-certifier 을 추가합니다.

이 역할에 매핑해야 하는 클레임은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 그룹은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 그룹이어야 합니다.

예시는 다음과 같습니다:
```
  claims_to_roles:
    - name: "groups"
      value: "my-group"
      roles:
        - access
+       - host-certifier
```
변경 사항을 적용합니다:
```
tctl create -f oidc.yaml
```
Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

이제 sshd 호스트에 대한 호스트 키를 내보낼 수 있는 필요한 권한이 부여됩니다.

호스트 인증서 발급

node 리소스를 생성할 때, 이전에 metadata.name 필드를 설정하지 않았다면, Teleport Auth Service는 해당 노드에 대해 범용 고유 식별자(UUID)를 생성합니다. Teleport Proxy Services는 UUID를 사용하여 동일한 호스트 이름을 가진 노드를 구별하므로 호스트 인증서에 추가해야 합니다. 노드의 UUID를 찾으려면 먼저 호스트 이름이 고유한지 확인합니다:

tctl get node/openssh-node --format text

하나의 노드만 표시되면 jq 가 설치되어 있는 경우 다음 명령어를 사용하여 노드의 UUID를 가져올 수 있습니다:

tctl get node/openssh-node --format=json | jq -r ".[0].metadata.name"

그렇지 않은 경우, 이 명령의 YAML 출력의 metadata.name 필드에서 노드의 UUID를 찾습니다:

tctl get node/openssh-node

호스트 인증서 생성

호스트 인증서를 생성할 때에는 노드를 참조하는 모든 도메인 이름과 주소를 지정하는 것이 중요합니다. 호스트 인증서를 생성할 때 지정되지 않은 이름이나 주소로 노드에 연결을 시도하면 Teleport는 SSH 연결을 거부합니다.

로컬 머신에서 노드의 IP 주소, 완전한 도메인 이름 및 노드의 UUID를 환경 변수에 할당합니다. 노드의 호스트 이름으로 연결하지 않을 경우, 이를 생략할 수 있습니다.

ADDR=1.2.3.4,openssh-node,a100fdd0-52db-4eca-a7ab-c3afa7a1564a

다음 tctl 명령어를 실행하여 호스트 인증서를 생성합니다:

tctl auth sign \      --host=${ADDR?} \      --format=openssh \      --out=myhost

자격 증명이 myhost, myhost-cert.pub에 작성되었습니다.

위 명령은 개인 키와 인증서를 생성합니다.

여러 호스트에 대한 인증서를 생성하려면 host 플래그를 주소의 쉼표 구분 목록에 할당합니다. OpenSSH에서는 와일드카드 도메인을 지원하지 않으므로 각 도메인은 완전한 자격이 있어야 합니다.

ssh-keygen 을 사용하여 인증서의 내용을 확인합니다:

ssh-keygen -L -f myhost-cert.pub

Principals 섹션에는 이전에 ADDR 에 할당한 주소가 포함되어야 합니다:

myhost-cert.pub:
        Type: ssh-rsa-cert-v01@openssh.com 호스트 인증서
        Public key: RSA-CERT SHA256:nHkp6SnrAW4AV00VUaqPgR6SgdyvV9MmjUrYnwZ779A
        Signing CA: RSA SHA256:euqx2Y8Pq+r0c94GKVNXAklBVTmAJtaQUn3/ehrfEJE (rsa-sha2-512 사용)
        Key ID: ""
        Serial: 0
        Valid: 2022-04-22T11:14:16 이후
        Principals:
                1.2.3.4
                openssh-node
                a100fdd0-52db-4eca-a7ab-c3afa7a1564a
        Critical Options: (없음)
        Extensions:
                x-teleport-authority UNKNOWN OPTION (len 33)
                x-teleport-role UNKNOWN OPTION (len 8)

호스트 키와 인증서를 sshd 호스트로 복사하고, /etc/ssh 디렉토리에 배치합니다.

이 파일들이 올바른 권한을 가지도록 합니다:

sudo chmod 0600 /etc/ssh/myhost
sudo chmod 0600 /etc/ssh/myhost-cert.pub

그런 다음, sshd 호스트의 /etc/ssh/sshd_config 에 다음 줄을 추가합니다:

HostKey /etc/ssh/myhost
HostCertificate /etc/ssh/myhost-cert.pub

sshd 를 재시작합니다.

4/5 단계. SSH 클라이언트 구성 생성

다음 단계는 Teleport에서 관리하는 자격 증명을 사용하여 sshd 호스트에 연결하기 위해 OpenSSH 클라이언트를 구성하는 것입니다. 이 구성은 사용자의 Teleport 발급 인증서를 사용하여 sshd 호스트에 인증합니다. 또한 이전에 생성한 호스트 인증서를 사용하여 sshd 호스트를 인증합니다.

먼저, Teleport 클러스터에 로그인했는지 확인하십시오:

tsh status
> Profile URL:        https://teleport.example.com:443  Logged in as:       myuser  Cluster:            teleport.example.com  Roles:              access, auditor, editor, host-certifier  Logins:             ubuntu, root  Kubernetes:         enabled  Valid until:        2022-05-06 22:54:01 -0400 EDT [valid for 11h53m0s]  Extensions:         permit-agent-forwarding, permit-port-forwarding, permit-pty

tsh status
> Profile URL:        https://teleport.example.com:443  Logged in as:       myuser  Cluster:            teleport.example.com  Roles:              access, auditor, editor, reviewer, host-certifier  Logins:             ubuntu, root  Kubernetes:         enabled  Valid until:        2022-05-06 22:54:01 -0400 EDT [valid for 11h53m0s]  Extensions:         permit-agent-forwarding, permit-port-forwarding, permit-pty

tsh status
> Profile URL:        https://mytenant.teleport.sh:443  Logged in as:       myuser  Cluster:            mytenant.teleport.sh  Roles:              access, auditor, editor, reviewer, host-certifier  Logins:             ubuntu, root  Kubernetes:         enabled  Valid until:        2022-05-06 22:54:01 -0400 EDT [valid for 11h53m0s]  Extensions:         permit-agent-forwarding, permit-port-forwarding, permit-pty

로컬 머신에서 다음 tsh 명령을 실행하십시오. 이 명령은 SSH 클라이언트가 클러스터의 호스트에 연결하기 위해 Teleport에서 관리하는 자격 증명을 사용하도록 지시하는 구성 블록을 출력합니다.

tsh config > ssh_config_teleport

이 명령은 청소하기 쉽게 비표준 위치에 SSH 구성 파일을 생성하지만 원하시면 tsh config 의 출력을 기본 SSH 구성 파일 (~/.ssh/config )에 추가할 수 있습니다.

Teleport는 연결을 처리할 때 실행되는 여러 서브시스템 또는 미리 정의된 명령을 포함하는 SSH 서버를 구현합니다. Proxy Service는 원격 호스트와 신뢰할 수 있는 클러스터로 SSH 트래픽을 전달하는 proxy 서브시스템을 구현합니다.

tsh config 가 생성하는 구성에 대한 간단한 설명은 다음과 같습니다:

# 모든 {{ .ClusterName }} 호스트에 대한 공통 플래그
Host *.{{ .ClusterName }} {{ .ProxyHost }}
    UserKnownHostsFile "{{ .KnownHostsPath }}"
    IdentityFile "{{ .IdentityFilePath }}"
    CertificateFile "{{ .CertificateFilePath }}"

접속하려는 호스트가 Teleport 클러스터에 속하는 경우(즉, 주소가 클러스터 도메인의 하위 도메인인 경우)에는 .tsh 디렉터리에 저장된 Teleport 관리의 알려진 호스트 파일, 개인 키 및 인증서를 사용합니다.

# 프록시를 제외한 모든 {{ .ClusterName }} 호스트에 대한 플래그
Host *.{{ .ClusterName }} !{{ .ProxyHost }}
    Port 3022
    ProxyCommand "{{ .TSHPath }}" proxy ssh --cluster={{ .ClusterName }} --proxy={{ .ProxyHost }} %r@%h:%p

접속하려는 호스트가 Teleport 클러스터에 속하는 경우, OpenSSH 클라이언트는 먼저 SSH 연결을 Proxy Service에 설정하는 명령인 ProxyCommand 를 실행합니다. 이 명령인 tsh proxy ssh 는 SSH 트래픽을 Proxy Service를 통해 선택한 호스트(신뢰할 수 있는 클러스터의 호스트 포함)로 전달하기 위해 proxy 서브시스템을 요청합니다.

tsh proxy ssh 명령은 로그인을 teleport.example.com 이라는 클러스터의 root 사용자로 mynode 라는 노드에 연결하는 경우와 유사한 명령을 통해 proxy 서브시스템을 요청합니다:

/usr/bin/ssh -l root -A -o UserKnownHostsFile=/root/.tsh/known_hosts -p 11105 teleport.example.com -s proxy:mynode:3022@teleport.example.com

명령에 사용되는 known_hosts 파일은 tsh 에서 관리됩니다. 해당 호스트 정보가 이 파일에 나열되어 있으므로, SSH 클라이언트는 이전에 생성한 인증서를 통해 호스트를 인증할 수 있습니다.

Windows에서 PowerShell을 사용하는 경우, 일반 쉘 리디렉션이 잘못된 인코딩으로 파일을 작성할 수 있습니다. 올바르게 작성되도록 하려면 다음을 시도하십시오:

tsh.exe config | out-file .ssh\config -encoding utf8 -append

Teleport 클러스터의 라우팅은 기본적으로 대소문자를 구분하지만 OpenSSH는 항상 호스트 이름을 소문자로 변환합니다. OpenSSH 클라이언트를 사용하고 대문자가 포함된 호스트 이름을 가진 호스트가 있는 경우, Teleport 구성의 auth_service 블록 또는 cluster_networking_config 리소스에서 case_insensitive_routing: true 로 설정해야 할 수 있습니다.

다수의 클러스터

여러 Teleport Proxy Server 간에 전환하는 경우, 각 클러스터에 대해 tsh config 를 다시 실행하여 클러스터별 구성을 생성해야 합니다.

또한 신뢰할 수 있는 클러스터가 추가되거나 제거된 경우, tsh config 를 다시 실행하고 이전 구성을 교체해야 합니다.

5/5단계. `sshd` 호스트에 연결

새 텍스트를 OpenSSH 클라이언트 구성 파일에 추가한 후, 앞서 생성한 구성을 사용하여 sshd 호스트에 로그인할 수 있습니다.

우선, Teleport 클러스터의 주소, sshd 호스트에 로그인하는 데 사용할 사용자 이름, 그리고 SSH 트래픽을 위해 사용하는 sshd 호스트의 포트를 위해 환경 변수를 정의합니다:

sshd 호스트에 접근할 수 있는 사용 가능한 로그인 확인
tsh status | grep Logins
Logins:             ubuntu, rootUSER=ubuntu
CLUSTER=teleport.example.com
PORT=22

sshd 호스트에 접근할 수 있는 사용 가능한 로그인 확인
tsh status | grep Logins
Logins:             ubuntu, rootUSER=ubuntu
CLUSTER=mytenant.teleport.sh
PORT=22

다음으로, 원격 호스트에 SSH로 접속합니다:

ADDR_NODE=openssh-node
ssh -p ${PORT?} -F ssh_config_teleport "${USER?}@${ADDR_NODE?}.${CLUSTER?}"

이 이름은 DNS를 통해 확인할 필요가 없으며, 연결은 당신의 Teleport Proxy Service를 통해 라우팅됩니다.

기본적으로 tsh config 로 생성된 OpenSSH 클라이언트 구성은 Teleport Proxy Service가 Teleport 클러스터의 노드에서 포트 3022로 전화하도록 지시합니다. 이것은 노드의 SSH 서비스가 포트 3022에서 수신 대기하고 있는 경우에 작동하며, OpenSSH 클라이언트를 통해 Teleport SSH 서비스에 연결할 수 있음을 의미합니다.

Teleport 노드를 클러스터에 조인할 때, 노드는 클러스터의 Proxy Service로 역방향 터널을 생성합니다. 아까 생성한 구성을 사용하여 Teleport 클러스터의 호스트에 접근하는 ssh 명령을 실행하면, Teleport Proxy Service가 이 역방향 터널을 통해 호스트에 연결을 시도하고, 실패할 경우 직접 주소로 전화를 시도합니다.

우리의 경우, sshd 호스트는 Teleport를 실행하고 있지 않으므로 역방향 터널이 존재하지 않습니다. 대신, Proxy Service는 호스트의 SSH 포트에서 직접 연결을 설정합니다.

신뢰할 수 있는 리프 클러스터의 호스트에 로그인하려면 클러스터의 이름을 노드의 이름과 루트 클러스터의 이름 사이에 배치합니다:

ssh -F ssh_config_teleport ${USER?}@node2.leafcluster.${CLUSTER}

참고

Teleport는 키 대신 OpenSSH 인증서를 사용합니다. 원격 호스트에 연결할 때 OpenSSH는 호스트의 주소가 OpenSSH 인증서의 Principals 섹션에 나열되어 있는지 확인합니다. 보통 이는 IP 주소보다 완전한 자격을 갖춘 도메인 이름입니다.

Teleport 원문 보기