인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
자동 사용자 생성
Teleport의 데스크탑 서비스는 로그인 시 로컬 Windows 사용자를 자동으로 생성하도록 구성할 수 있습니다.
구성
로컬 사용자만 해당
자동 사용자 프로비저닝은 로컬 사용자에 대해서만 지원되며, Active Directory 환경에서는 적용되지 않습니다.
이 기능은 기본적으로 비활성화되어 있으며, 사용자 역할 중 하나에 create_desktop_user
역할 옵션을 설정하여 활성화할 수 있습니다.
kind: role
version: v7
metadata:
name: allow-user-provisioning
spec:
options:
create_desktop_user: true
allow:
windows_desktop_labels: { "*": "*" }
windows_desktop_logins: jane
Teleport 사용자가 데스크탑에 연결할 때, Teleport는 데스크탑과 일치하는 사용자의 각 역할을 확인합니다.
데스크탑과 일치하는 역할이 하나라도 있지만 create_desktop_user: true
를 포함하지 않는 경우 자동 사용자 생성이 비활성화됩니다.
데스크탑의 라벨과 일치하지 않는 역할은 확인되지 않습니다.
사용자를 생성하려면 요청된 사용자 이름이 역할의 windows_desktop_logins
중 하나에 있어야 합니다.
사용자 관리
기본적으로 새로 생성된 사용자는 두 개의 Windows 그룹에 배치됩니다:
Remote Desktop Users
: 원격 데스크탑 액세스를 허용하는 Windows 내장 그룹Teleport Users
: Teleport가 자동으로 생성된 모든 사용자를 배치하는 사용자 정의 그룹
사용자를 추가 그룹에 추가하려면 desktop_groups
역할 옵션을 지정합니다:
kind: role
version: v7
metadata:
name: allow-user-provisioning
spec:
options:
create_desktop_user: true
allow:
windows_desktop_labels: { "*": "*" }
windows_desktop_logins: jane
desktop_groups:
- developers
# 새로 생성된 사용자를 관리자 그룹에 추가
- Administrators
# IdP 특성 템플릿도 지원
- "{{external.desktop_groups}}"
Teleport는 자동 사용자 프로비저닝을 통해 생성된 사용자를 삭제하지 않습니다. 이로 인해 사용자의 프로필이 향후 로그인을 위해 보존됩니다. 계정은 비활성화되어 Teleport를 통해서만 접근할 수 있도록 보장됩니다.
저장된 자격 증명
15.3 이전의 Teleport 버전은 자격 증명을 저장하는 것을 지원하지 않습니다.
Teleport가 생성한 사용자에 대한 자격 증명을 Control Panel\User Accounts\Credential Manager
또는
cmdkey
CLI 유틸리티를 사용하여 저장할 수 있습니다.
Teleport는 이러한 자격 증명에 대해 암호화 키를 생성하고 각 사용자에 대해 기계에서 안전하게 저장하며, LSA의 메커니즘을 사용합니다. Teleport에서 관리하는 사용자의 비밀번호가 생성되고 비밀번호/사용자 방법으로 로그인하려고 하면(Teleport 외부에서) 이 키가 덮어쓰여지며 모든 저장된 자격 증명이 Windows에 의해 제거됩니다.
Teleport는 이미 존재하는 자격 증명을 삭제하지 않기 위해 Teleport 외부에서 생성된 사용자에 대한 키를 생성하지 않습니다. 이러한 사용자에 대해서는 Teleport를 통해 로그인할 때 자격 증명을 사용할 수 없으며, 사용자 비밀번호가 이들을 복호화하는 데 필요하고 Teleport는 이에 접근할 수 없기 때문입니다.