세션 및 아이덴티티 잠금

침해된 사용자나 에이전트를 잠그는 방법

작동 방식

사전 조건

Cluster (=teleport.url=)

Version (=teleport.version=)

CA pin (=presets.ca_pin=)

1단계/2단계. 잠금 만들기

Created a lock with name "dc7cee9d-fe5e-4534-a90d-db770f0234a1".

Created a lock with name "d6c06a18-e147-4232-9dfe-6f83a28d5850".

Created a lock with name "dc7cee9d-fe5e-4534-a90d-db770f0234a1".

role 'locksmith' has been created

2단계/2단계. 활성 잠금 목록 및 삭제

다음 단계: 잠금 모드

시스템 관리자는 침해된 사용자나 Teleport 에이전트를 비활성화하거나, 클러스터 유지보수 중 접근을 방지하기 위해 세션, 사용자 또는 호스트 아이덴티티에 잠금을 설정할 수 있습니다. Teleport는 새 API 요청을 거부하고 잠금의 대상과 일치하는 SSH, 애플리케이션, 데이터베이스, 데스크톱, Kubernetes 세션에 대한 활성 연결을 종료합니다. 잠금은 다음 객체 또는 속성을 대상으로 할 수 있습니다: 사용자 이름으로 Teleport 사용자 역할 이름으로 Teleport RBAC 역할 디바이스 ID로 Teleport 신뢰 디바이스 디바이스의 UUID로 MFA 디바이스 OS/UNIX 로그인 에이전트의 서버 UUID로 Teleport 에이전트 (클러스터에서 효과적으로 등록 해제됨) 데스크톱 이름으로 Windows 데스크톱 UUID로 접근 요청 봇 인스턴스 ID (Machine & Workload Identity 봇) 조인 토큰 이름 (위임된 조인 방법을 사용하는 Machine & Workload Identity 봇 ) 작동 방식 # 잠금은 Teleport Auth Service 백엔드에 저장된 동적 Teleport 리소스입니다. Teleport 서비스는 잠금 생성과 관련된 Auth Service 이벤트를 구독하는 잠금 감시자를 구현합니다. 이러한 서비스가 잠금이 생성되거나 수정되었다는 알림을 받으면, 잠긴 사용자의 접근 방지와 같은 다양한 작업을 방지하는 보호 조치를 취합니다. 사전 조건 # A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment . The tctl and tsh clients. Installing `tctl` and `tsh` clients Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service: $ TELEPORT_DOMAIN= $ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')" Follow the instructions for your platform to install tctl and tsh clients: To check that you can connect to your Teleport cl