인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
인증 옵션
Teleport는 Proxy Service 또는 인증 커넥터를 통해 사용자를 인증합니다.
로컬 (인증 커넥터 없음)
로컬 인증은 로컬 Teleport 사용자 데이터베이스에 대해 인증하는 데 사용됩니다. 이 데이터베이스는 tctl users 명령으로 관리됩니다. Teleport는 로컬 커넥터에 대해 다단계 인증(MFA)도 지원합니다. MFA의 가능한 값(유형)은 다음과 같습니다:
otp는 기본값입니다. TOTP 표준을 구현합니다. Google Authenticator, Authy 또는 기타 TOTP 클라이언트를 사용할 수 있습니다.webauthn은 두 번째 인증기 및 하드웨어 장치를 활용하기 위해 Web Authentication 표준을 구현합니다. YubiKeys, SoloKeys 또는 FIDO2 또는 FIDO U2F 표준을 구현하는 기타 인증기를 사용할 수 있습니다. Teleport를 위한 WebAuthn 설정에 대한 자세한 지침은 두 번째 인증기 - WebAuthn 가이드를 참조하세요.on은 TOTP와 WebAuthn을 모두 활성화하며 모든 로컬 사용자는 최소한 하나의 MFA 장치를 등록해야 합니다.optional은 TOTP와 WebAuthn을 모두 활성화하지만 사용자에게 선택적으로 만듭니다. MFA 장치를 등록한 로컬 사용자는 로그인 중에 MFA 장치를 요구받습니다. 이 옵션은 MFA 사용을 점진적으로 활성화한 후 값을on으로 전환해야 할 때 유용합니다.off는 다단계 인증을 비활성화합니다.
Note
Single Sign-On 솔루션을 사용하고 있는 경우, 사용자도 MFA 장치를 등록할 수 있지만 Teleport는 로그인 중에 MFA를 요구하지 않습니다. SSO 사용자의 MFA는 SSO 공급자가 처리해야 합니다.
이 설정은 정적 구성 파일이나 동적 구성 리소스를 사용하여 수정할 수 있습니다.
정적 구성
기본적으로 /etc/teleport.yaml 에 저장된 Teleport 구성 파일에 다음을 추가합니다.
auth_service:
authentication:
type: local
second_factor: on
webauthn:
rp_id: example.teleport.sh
동적 리소스
cluster_auth_preference 리소스를 편집합니다:
tctl edit cap
리소스에 다음 내용이 포함되어 있는지 확인합니다:
kind: cluster_auth_preference
metadata:
name: cluster-auth-preference
spec:
type: local
second_factor: "on"
webauthn:
rp_id: example.teleport.sh
version: v2
변경 사항을 적용하기 위해 편집기에서 파일을 저장하고 닫습니다.
이 설정은 동적 구성 리소스를 사용하여 수정할 수 있습니다.
로컬 머신에서 Teleport에 로그인하여 tctl 관리 도구를 사용할 수 있도록 합니다:
tsh login --proxy=myinstance.teleport.shtctl status
cluster_auth_preference 리소스를 편집합니다:
tctl edit cap
cap.yaml 에 다음 내용이 포함되어 있는지 확인합니다:
kind: cluster_auth_preference
metadata:
name: cluster-auth-preference
spec:
type: local
second_factor: "on"
webauthn:
rp_id: example.teleport.sh
version: v2
변경 사항을 적용하기 위해 편집기에서 파일을 저장하고 닫습니다.
로컬 사용자 정책
Teleport는 로컬 사용자 비밀번호가 최소 12자 이상이어야 한다고 요구합니다.
또한, Teleport는 30분 동안 여러 번 로그인 시도에 실패한 경우 로컬 사용자 계정을 잠급니다. 사용자가 다시 로그인 시도를 하기 전에 계정은 30분 동안 잠긴 상태로 유지됩니다.
블록을 무시하는 것은 user 리소스를 유지할 권한이 있는 사용자에게 제공되며, 내장된 editor 역할에서 사용할 수 있습니다. 블록을 끄려면 사용자 항목을 업데이트하십시오. 다음 단계를 따르십시오.
편집기에서 사용자 리소스를 엽니다:
tctl edit users/username
리소스는 다음과 유사해야 합니다:
kind: user
metadata:
name: jeff
spec:
roles:
- access
status:
is_locked: true
lock_expires: "2023-04-22T01:55:02.228158166Z"
locked_message: 사용자가 최대 로그인 실패 시도를 초과했습니다
version: v2
status 아래의 is_locked 필드를 false 로 업데이트하고, 파일을 저장한 후 편집기를 닫습니다.
이제 사용자는 로그인 시도에서 차단되지 않으며, 다시 인증을 시도할 수 있습니다.
인증 커넥터
GitHub
이 커넥터는 GitHub의 OAuth 2.0 인증 흐름을 구현합니다. OAuth 앱을 생성하고 등록하는 방법에 대한 자세한 내용은 GitHub의 Creating an OAuth App 문서를 참조하십시오.
다음은 cluster_auth_preference 리소스에서 이 설정의 예입니다:
kind: cluster_auth_preference
metadata:
name: cluster-auth-preference
spec:
type: github
version: v2
구성 방법에 대한 자세한 내용은 GitHub OAuth 2.0을 참조하십시오.
SAML
이 커넥터 유형은 SAML 인증을 구현합니다. Okta 또는 Auth0와 같은 외부 ID 관리자를 기준으로 구성할 수 있습니다.
다음은 cluster_auth_preference 리소스에서 이 설정의 예입니다:
kind: cluster_auth_preference
metadata:
name: cluster-auth-preference
spec:
type: saml
version: v2
OIDC
Teleport는 OpenID Connect (OIDC) 인증을 구현합니다.
다음은 cluster_auth_preference 리소스에서 이 설정의 예입니다:
kind: cluster_auth_preference
metadata:
name: cluster-auth-preference
spec:
type: oidc
version: v2
GitHub
이 커넥터는 GitHub의 OAuth 2.0 인증 흐름을 구현합니다. OAuth 앱을 생성하고 등록하는 방법에 대한 자세한 내용은 GitHub의 Creating an OAuth App 문서를 참조하십시오.
다음은 teleport.yaml 에서 이 설정의 예입니다 :
auth_service:
authentication:
type: github
구성 방법에 대한 자세한 내용은 GitHub OAuth 2.0을 참조하십시오.
SAML
이 커넥터 유형은 SAML 인증을 구현합니다. Okta 또는 Auth0와 같은 외부 ID 관리자를 기준으로 구성할 수 있습니다.
다음은 teleport.yaml 에서 이 설정의 예입니다 :
auth_service:
authentication:
type: saml
OIDC
Teleport는 SAML과 원칙적으로 유사한 OpenID Connect (OIDC) 인증을 구현합니다.
다음은 teleport.yaml 에서 이 설정의 예입니다:
auth_service:
authentication:
type: oidc
GitHub
이 커넥터는 GitHub의 OAuth 2.0 인증 흐름을 구현합니다. OAuth 앱을 작성하고 등록하는 방법에 대해서는 GitHub의 문서 Creating an OAuth App를 참조하십시오.
다음은 teleport.yaml 에서 이 설정의 예입니다:
auth_service:
authentication:
type: github
자세한 구성 방법은 GitHub OAuth 2.0 을 참조하십시오.