Teleport 인증

Teleport가 인증서 기관을 사용하여 사용자와 서비스를 인증하는 방법을 설명합니다.

Teleport는 인증과 권한 부여를 모두 처리합니다. 인증은 사용자 또는 서비스의 신원을 증명하는 것입니다. 권한 부여는 무언가에 대한 접근 권한을 증명하는 것입니다. 이 가이드에서는 Teleport가 단명 인증서로 인증을 처리하는 방법을 설명합니다. 단명 인증서 # 인증 기관과 단명 인증서는 Teleport 인증의 핵심입니다. Teleport에서는 모든 연결의 시작에 사용자 또는 서비스가 신뢰할 수 있는 인증 기관이 발급한 유효한 인증서를 제시해야 합니다. 클라이언트는 항상 상호 TLS 또는 상호 SSH 연결을 시작합니다. Teleport 인증 기관은 웹 서비스, 데이터베이스, Kubernetes 클러스터, 데스크탑을 위한 단명 x.509 인증서와 OpenSSH 호환 서버를 위한 SSH 인증서를 발급합니다. 인증서를 사용하는 이유는? # 인증서는 사용자 또는 서비스 신원과 연결됩니다. 모든 연결과 작업을 사용자 또는 서비스까지 추적할 수 있습니다. 단명 인증서는 자동으로 만료되므로 취소할 필요가 없습니다. 인증서는 최초 신뢰(TOFU) 문제를 해결합니다. Teleport 클러스터에서 모든 서버는 자체 신원과 인증서를 가집니다. 클라이언트 인증서가 신뢰할 수 없는 인증 기관에 의해 서명된 경우 연결을 허용하지 않습니다. 인증서는 상호 인증된 채널을 활성화합니다. mTLS, mTLS는 스푸핑, 경로 공격, 자격 증명 스터핑 등 광범위한 공격을 완화합니다. 인증서는 대규모 배포에서 더 잘 작동합니다. 각 서버 또는 서비스는 인증서가 유효한 인증 기관으로 서명되었는지만 검증하면 되며, 모든 서비스에 사용자 자격 증명을 복사할 필요가 없습니다. Tip Teleport는 몇 시간에서 몇 분 동안 유효한 인증서를 발급하며 어떤 조치 없이 자동 만료됩니다. 이 인증서의 기간이 짧을수록 좋습니다. 이상적으로는 인증서가 세션 기간 동안만 발급되어야 합니다. 실제로는 몇 시간 또는 업무 시간도 괜찮습니다. 인증서의 만료 날짜는 인증서를 무효화하지 않고는 위조할 수 없으므로, 모든 시스템이 인증서를 검증할 수 있습니다. X.509 인증서 # X.509 인증서는 브라우저로 웹 사이트에 접근할 때 사용하는 것과 동일한 인증서입니다. 인증 기관의 서명으로 공개 키에 신원을 바인딩합니다. Teleport는 Kubernetes 클러스터, 데이터베이스, 웹 서비스 및 프록시 서비스와 Auth 서비스와 같은 자체 내부 구성 요소에 x.509 인증서를 사용하여 상호 인증된 TLS 연결(mTLS)을 설정합니다. OpenSSH 인증서 # OpenSSH 인증서는 X.509(웹) 인증서와 유사하며, 인증 기관의 서명으로 사용자 또는 서버의 신원을 공개 키에 바인딩합니다. OpenSSH 인증서에는 사용자와 호스트를 인증하는 데 사용되는 메타데이터가 포함됩니다: 이 인증서가 속한 주체(신원)의 목록. 발급한 인증 기관의 서명. "time-to-live" 또는 단순히 TTL이라고도 하는 만료 날짜. 노드 역할과 같은 추가 데이터는 인증서 확장으로 저장됩니다. 시간을 활용하기 # 만