Teleport의 데스크탑 서비스는 로그인 시 로컬 Windows 사용자를 자동으로 생성하도록 구성할 수 있습니다.

구성

이 기능은 기본적으로 비활성화되어 있으며, 사용자 역할 중 하나에서 create_desktop_user 역할 옵션을 설정하여 활성화할 수 있습니다.

kind: role
version: v7
metadata:
  name: allow-user-provisioning
spec:
  options:
    create_desktop_user: true
  allow:
    windows_desktop_labels: { '*': '*' }
    windows_desktop_logins: jane

사용자가 데스크탑에 연결하면, Teleport는 데스크탑과 일치하는 사용자의 각 역할을 검사합니다. 하나 이상의 역할이 데스크탑과 일치하지만 create_desktop_user: true를 포함하지 않는 경우, 자동 사용자 생성은 비활성화됩니다. 데스크탑 레이블과 일치하지 않는 역할은 체크되지 않습니다.

사용자를 생성하기 위해서는 요청된 사용자 이름이 역할의 windows_desktop_logins 중 하나에 존재해야 합니다.

사용자 관리

기본적으로 새로 생성된 사용자는 두 개의 Windows 그룹에 배치됩니다:

• Remote Desktop Users: 원격 데스크탑 액세스를 허용하는 내장 Windows 그룹
• Teleport Users: Teleport가 자동으로 생성한 모든 사용자를 배치하는 사용자 정의 그룹

사용자를 추가 그룹에 추가하려면 desktop_groups 역할 옵션을 지정합니다:

kind: role
version: v7
metadata:
  name: allow-user-provisioning
spec:
  options:
    create_desktop_user: true
  allow:
    windows_desktop_labels: { '*': '*' }
    windows_desktop_logins: jane
    desktop_groups:
    - developers
    # 새로 생성된 사용자를 관리자 그룹으로 만들기 위해
    - Administrators
    # IdP 특성 템플릿도 지원됩니다
    - '{{external.desktop_groups}}'

Teleport는 자동 사용자 프로비저닝을 통해 생성된 사용자를 삭제하지 않습니다. 이로써 사용자의 프로필이 향후 로그인 시 보존됩니다. 계정은 비활성화되어 Teleport를 통해서만 액세스할 수 있도록 보장됩니다.

저장된 자격 증명

Teleport를 통해 생성된 사용자의 자격 증명은 Control Panel\User Accounts\Credential Manager 또는 cmdkey CLI 유틸리티를 사용하여 저장할 수 있습니다.

Teleport는 이러한 자격 증명에 대한 암호화 키를 생성하고 각 사용자에 대해 LSA의 메커니즘을 사용하여 안전하게 기계에 저장합니다. Teleport가 관리하는 사용자를 위해 암호가 생성되고 사용자/암호 방법을 사용하여 로그인하려고 시도하는 경우(Teleport 외부에서), 이 키는 덮어쓰여지며 Windows에 의해 모든 저장된 자격 증명이 제거됩니다.

Teleport는 기존 자격 증명을 삭제하지 않기 위해 Teleport 외부에서 생성된 사용자에 대해 키를 생성하지 않습니다. 이러한 사용자의 경우, Teleport를 통해 로그인할 때 자격 증명을 사용할 수 없으며, 사용자의 비밀번호가 이를 복호화하기 위해 필요하고 Teleport는 이에 접근할 수 없습니다.