헤드리스 인증

작동 방식

사전 요구 사항

1/3단계. 구성

cluster auth preference has been updated

2/3단계. 헤드리스 인증 시작

Complete headless authentication in your local web browser:

# https://proxy.example.com:3080/web/headless/86172f78-af7c-5935-a7c1-ed06b94f17dc

# or execute this command in your local terminal:

# tsh headless approve --user=alice --proxy=proxy.example.com 86172f78-af7c-5935-a7c1-ed06b94f17dc

3/3단계. 헤드리스 인증 승인

예제: SSH 서버 목록 조회

Complete headless authentication in your local web browser:

# https://proxy.example.com:3080/web/headless/86172f78-af7c-5935-a7c1-ed06b94f17dc

# or execute this command in your local terminal:

# tsh headless approve --user=alice --proxy=proxy.example.com 86172f78-af7c-5935-a7c1-ed06b94f17dc

# 사용자가 링크를 통해 승인

Node Name Address Labels

--------- -------------- -----------

server01 127.0.0.1:3022 arch=x86_64

예제: SSH 세션 시작

Complete headless authentication in your local web browser:

# https://proxy.example.com:3080/web/headless/864cccd9-2425-46d9-a9f2-636387e66ebf

# or execute this command in your local terminal:

# tsh headless approve --user=alice --proxy=proxy.example.com 864cccd9-2425-46d9-a9f2-636387e66ebf

# 사용자가 링크를 통해 승인하면 SSH 터미널이 시작됩니다

예제: Kubernetes

https://proxy.example.com:3080/web/headless/7f7e1369-e45b-5b7b-bb17-84360873acaf

# or execute this command in your local terminal:

# tsh headless approve --user=alice --proxy=proxy.example.com 7f7e1369-e45b-5b7b-bb17-84360873acaf

# 사용자가 링크를 통해 승인하면 로컬 프록시가 생성됩니다:

선택 사항: Teleport Connect

문제 해결

헤드리스 인증(Headless Authentication)은 필요한 메커니즘으로 직접 인증할 수 없는 머신에서 Teleport로 안전하게 인증하는 방법을 제공합니다. 예를 들어: 원격 개발 박스에서 WebAuthn 또는 SSO MFA 로 인증 WebAuthn 호환 브라우저 없이 머신에서 WebAuthn으로 인증 SSO 공급자가 지원하지 않는 브라우저에서 SSO MFA로 인증 참고 - 헤드리스 인증 지원: 헤드리스 인증은 다음 tsh 명령만 지원합니다: tsh ls tsh ssh tsh scp tsh proxy kube 향후 헤드리스 인증은 다른 tsh 명령으로 확장될 예정입니다. 작동 방식 # 헤드리스 인증 흐름에서 원격 머신의 사용자는 tsh 명령을 실행할 때 헤드리스 인증을 요청합니다. tsh 는 Teleport 프록시 서비스의 API 경로 /webapi/login/headless 에 요청을 보내고, Teleport 프록시 서비스는 Teleport Auth 서비스에 요청을 보내 헤드리스 인증 요청을 백엔드에 저장합니다. 그런 다음 tsh 는 요청 ID를 가져와 사용자의 터미널에 ID가 포함된 URL을 출력합니다. 사용자는 브라우저에서 URL에 접근하여 Teleport Auth 서비스와의 MFA 흐름을 완료합니다. Teleport Auth 서비스가 사용자를 인증하면 tsh 는 메모리에 새 개인 키를 생성하고 사용자 인증서를 얻기 위해서만 공개 키를 공유합니다. 그런 다음 tsh 는 유출 영향을 줄이기 위해 1분 TTL로 메모리에 사용자 인증서를 보유합니다. 사전 요구 사항 # WebAuthn 또는 SSO MFA 가 구성된 Teleport 클러스터. 헤드리스 인증 활동을 위한 머신에는 Linux , macOS 또는 Windows tsh 바이너리가 설치되어 있어야 합니다. 헤드리스 인증 요청을 승인하는 데 사용되는 머신에는 WebAuthn 지원 이 있는 웹 브라우저 또는 tsh 바이너리가 설치되어 있어야 합니다. 선택 사항: 원활한 헤드리스 인증 승인을 위한 Teleport Connect . 1/3단계. 구성 # WebAuthn 또는 SSO MFA가 가능한 Teleport 클러스터는 추가 구성 없이 자동으로 헤드리스 인증이 가능합니다. 선택 사항: 헤드리스 인증을 기본 인증 커넥터로 만들기 Teleport 클러스터의 기본 인증 방법으로 헤드리스 인증을 설정하려면 클러스터 구성에 connector_name: headless 를 추가하세요. cap.yaml 파일을 생성하거나 tctl get cluster_auth_preference 를 사용하여 기존 구성을 가져옵니다: kind: cluster_auth_preference version: v2 metadata: name: cluster-auth-preference spec: type: local second_factors: [ "webauthn" ] webauthn: rp_id: example.com connector_name: headless # 기본적으로 헤드리스 구성을 업데이트합니다: $