하드웨어 키 지원

작동 방식

사전 요구 사항

Cluster (=teleport.url=)

Version (=teleport.version=)

CA pin (=presets.ca_pin=)

1/2단계. 하드웨어 키 지원 적용

2/2단계. 로그인

Enter password for Teleport user dev:

Unmet private key policy "hardware_key_touch".

Relogging in with hardware-backed private key.

Enter password for Teleport user dev:

Tap your YubiKey

> Profile URL: https://example.teleport.sh

Logged in as: dev

Cluster: example.teleport.sh

...

Unmet private key policy "hardware_key_touch"

Relogging in with hardware-backed private key.

Enter password for Teleport user dev:

Tap your YubiKey

Cluster Name Status Cluster Type Labels Selected

------------------- ------ ------------ ------ --------

example.teleport.sh online root *

커스텀 PIV 설정

커스텀 PIV 슬롯

커스텀 키

하드웨어 키 에이전트 - Teleport Connect

PIN 캐싱

문제 해결

`ERROR: private key policy not met`

`ERROR: authenticating with management key: auth challenge: smart card error 6982: security status not satisfied`

`ERROR: ssh: handshake failed: command failed: transmitting request: an attempt was made to end a non-existent transaction`

로그인하기 위해 여러 번 탭해야 하는 이유는?

인증되지 않은 클라이언트가 "hardware_key_touch"가 사용자 역할에 필요함을

추론할 방법이 없으므로 먼저 일반적으로 로그인합니다.

로그인 결과가 "hardware_key_touch" 오류입니다.

이 시점에서 `tsh`는 오류에서 사용자 역할이 "hardware_key_touch"를 요구한다는 것을

추론할 수 있으므로 탭으로 하드웨어 키에 직접 개인 키를 생성하고 로그인 프로세스를 다시 시작합니다.

이번에는 `tsh`가 로그인 요청에서 Yubikey 지원 개인 키를 사용하여

사용자 역할의 개인 키 정책을 통과하는 인증서를 얻습니다.

이 가이드는 하드웨어 기반 개인 키를 사용하여 Teleport 인증을 구성하는 방법을 설명합니다. 작동 방식 # 경고 - Enterprise: 하드웨어 키 지원에는 Teleport Enterprise가 필요합니다. 기본적으로 tsh , Teleport Connect 및 기타 Teleport 클라이언트는 사용자의 키와 인증서를 파일 시스템에 직접 저장합니다. 사용자의 파일 시스템이 침해되면 활성 상태인 Teleport 사용자 키와 인증서도 침해됩니다. SSH 서비스, Kubernetes 서비스, 데이터베이스 서비스 등의 Teleport 서비스로 새 세션을 시작할 때 다중 인증 확인을 요구하도록 세션별 MFA 를 구성할 수 있습니다. 그러나 세션별 MFA는 침해된 세션 자격 증명이 tctl 로 관리 명령을 실행하는 것과 같은 다른 작업을 수행하는 것을 방지하지 않습니다. 이러한 유형의 공격을 방지하기 위해 Teleport는 하드웨어 기반 개인 키를 지원합니다. 디스크 기반 개인 키와 달리 하드웨어 기반 개인 키는 하드웨어 장치에서 직접 생성되고 저장되며 내보낼 수 없습니다. 하드웨어 기반 개인 키를 사용하면 키가 생성되고 저장된 하드웨어 장치에도 접근할 수 있는 경우에만 로그인 세션이 작동합니다. 또한 tctl edit 와 같은 비세션 요청을 포함한 모든 Teleport 요청에 대해 터치를 요구하도록 이 기능을 구성할 수 있습니다. 터치가 요구되면 하드웨어 키 지원은 세션별 MFA보다 더 나은 보안을 제공합니다. 참고 - 터치 캐싱: 과도한 터치 프롬프트를 방지하기 위해 하드웨어 보안 키에 사용자의 터치가 15초 동안 캐시됩니다. 경고 - 호환성: 하드웨어 키 지원은 최고 수준의 보안을 제공합니다. 그러나 모든 서비스가 하드웨어 키와 호환되는 것은 아닙니다. 지원됨: Teleport 클라이언트 tsh , tctl 및 Teleport Connect. tsh ls , tctl create 등의 표준 Teleport API 요청. 서버 접근. 에이전트 없는 OpenSSH 서버 접근. tsh db connect 대신 tsh proxy db 를 사용하는 데이터베이스 접근. tsh kube login 대신 tsh proxy kube 를 사용하는 Kubernetes 접근. 웹 접근 (Teleport 웹 UI). 애플리케이션 접근. 지원되지 않음: 데스크톱 접근. 레거시 OpenSSH 서버 접근 인프라에 접근하기 위해 하드웨어 키가 필요한 경우 하드웨어 키에 접근할 수 없거나 프로토콜이 원시 개인 키만 지원하기 때문에 지원되지 않는 기능도 사용할 수 없습니다. 이러한 비호환성을 해결하려면 중요한 인프라에 접근하는 역할과 같이 필요한 경우에만 하드웨어 키 지원을 활성화하는 것이 좋습니다. 이러한 역할은 사용자가 일반 로그인 세션에서 이러한 문제를 피할 수 있도록 접근 요청으로 필요에 따라 접근할 수 있습니다. 참고: 웹 및 앱 세션은 하드웨어 키에 의해 직접 지원되지 않지만 Auth 서비스와 프록시 서비스에 의해 엄격하게 보호됩니다. 따라서 웹 및 앱 세션