Teleport의 데스크탑 서비스는 로그인 시 로컬 Windows 사용자를 자동으로 생성하도록 구성할 수 있습니다.
구성
자동 사용자 프로비저닝은 로컬 사용자에 대해서만 지원되며, Active Directory 환경에서는 적용되지 않습니다.
이 기능은 기본적으로 비활성화되어 있으며, 사용자 역할 중 하나에서
create_desktop_user
역할 옵션을 설정하여 활성화할 수 있습니다.
kind: role
version: v7
metadata:
name: allow-user-provisioning
spec:
options:
create_desktop_user: true
allow:
windows_desktop_labels: { '*': '*' }
windows_desktop_logins: jane
사용자가 데스크탑에 연결하면, Teleport는 데스크탑과 일치하는 사용자의 각 역할을 검사합니다.
하나 이상의 역할이 데스크탑과 일치하지만 create_desktop_user: true
를 포함하지 않는 경우,
자동 사용자 생성은 비활성화됩니다. 데스크탑 레이블과 일치하지 않는 역할은 체크되지 않습니다.
사용자를 생성하기 위해서는 요청된 사용자 이름이 역할의 windows_desktop_logins
중 하나에 존재해야 합니다.
사용자 관리
기본적으로 새로 생성된 사용자는 두 개의 Windows 그룹에 배치됩니다:
Remote Desktop Users
: 원격 데스크탑 액세스를 허용하는 내장 Windows 그룹Teleport Users
: Teleport가 자동으로 생성한 모든 사용자를 배치하는 사용자 정의 그룹
사용자를 추가 그룹에 추가하려면 desktop_groups
역할 옵션을 지정합니다:
kind: role
version: v7
metadata:
name: allow-user-provisioning
spec:
options:
create_desktop_user: true
allow:
windows_desktop_labels: { '*': '*' }
windows_desktop_logins: jane
desktop_groups:
- developers
# 새로 생성된 사용자를 관리자 그룹으로 만들기 위해
- Administrators
# IdP 특성 템플릿도 지원됩니다
- '{{external.desktop_groups}}'
Teleport는 자동 사용자 프로비저닝을 통해 생성된 사용자를 삭제하지 않습니다. 이로써 사용자의 프로필이 향후 로그인 시 보존됩니다. 계정은 비활성화되어 Teleport를 통해서만 액세스할 수 있도록 보장됩니다.
저장된 자격 증명
15.3 이전의 Teleport 버전은 자격 증명 저장을 지원하지 않습니다.
Teleport를 통해 생성된 사용자의 자격 증명은 Control Panel\User Accounts\Credential Manager
또는
cmdkey
CLI 유틸리티를 사용하여 저장할 수 있습니다.
Teleport는 이러한 자격 증명에 대한 암호화 키를 생성하고 각 사용자에 대해 LSA의 메커니즘을 사용하여 안전하게 기계에 저장합니다. Teleport가 관리하는 사용자를 위해 암호가 생성되고 사용자/암호 방법을 사용하여 로그인하려고 시도하는 경우(Teleport 외부에서), 이 키는 덮어쓰여지며 Windows에 의해 모든 저장된 자격 증명이 제거됩니다.
Teleport는 기존 자격 증명을 삭제하지 않기 위해 Teleport 외부에서 생성된 사용자에 대해 키를 생성하지 않습니다. 이러한 사용자의 경우, Teleport를 통해 로그인할 때 자격 증명을 사용할 수 없으며, 사용자의 비밀번호가 이를 복호화하기 위해 필요하고 Teleport는 이에 접근할 수 없습니다.