자동 사용자 생성
Teleport의 Desktop Service는 로그인 시 로컬 Windows 사용자를 자동으로 생성하도록 구성할 수 있습니다. 자동 사용자 프로비저닝은 로컬 사용자에 대해서만 지원되며, Active Directory 환경에서는 적용되지 않습니다.
Teleport의 Desktop Service는 로그인 시 로컬 Windows 사용자를 자동으로 생성하도록 구성할 수 있습니다.
구성#
자동 사용자 프로비저닝은 로컬 사용자에 대해서만 지원되며, Active Directory 환경에서는 적용되지 않습니다.
이 기능은 기본적으로 비활성화되어 있으며, 사용자의 역할 중 하나에 create_desktop_user 역할
옵션을 설정하여 활성화할 수 있습니다.
kind: role
version: v7
metadata:
name: allow-user-provisioning
spec:
options:
create_desktop_user: true
allow:
windows_desktop_labels: { '*': '*' }
windows_desktop_logins: jane
Teleport 사용자가 데스크톱에 연결하면, Teleport는 데스크톱과 일치하는 사용자의 각 역할을
확인합니다. 데스크톱과 일치하는 역할 중 하나라도 create_desktop_user: true를 포함하지 않으면
자동 사용자 생성이 비활성화됩니다. 데스크톱의 레이블과 일치하지 않는 역할은 확인되지 않습니다.
사용자를 생성하려면 요청된 사용자 이름이 역할의 windows_desktop_logins 중 하나에 있어야 합니다.
사용자 관리#
기본적으로 새로 생성된 사용자는 두 개의 Windows 그룹에 배치됩니다:
Remote Desktop Users: 원격 데스크톱 접근을 허용하는 기본 제공 Windows 그룹Teleport Users: Teleport가 자동으로 생성된 모든 사용자를 배치하는 사용자 정의 그룹
추가 그룹에 사용자를 추가하려면 desktop_groups 역할 옵션을 지정합니다:
kind: role
version: v7
metadata:
name: allow-user-provisioning
spec:
options:
create_desktop_user: true
allow:
windows_desktop_labels: { '*': '*' }
windows_desktop_logins: jane
desktop_groups:
- developers
# 새로 생성된 사용자를 관리자로 만들기 위해
- Administrators
# IdP 트레이트 템플릿도 지원됩니다
- '{{external.desktop_groups}}'
Teleport는 자동 사용자 프로비저닝을 통해 생성된 사용자를 절대 삭제하지 않습니다. 이는 향후 로그인을 위해 사용자의 프로필이 보존되도록 합니다. 계정은 Teleport를 통해서만 접근할 수 있도록 비활성화됩니다.
저장된 자격 증명#
버전 경고: 15.3 이전
Teleport 버전 15.3 이전에서는 자격 증명 저장을 지원하지 않습니다.Control Panel\User Accounts\Credential Manager 또는 cmdkey CLI 유틸리티를 사용하여
Teleport가 생성한 사용자의 자격 증명을 저장할 수 있습니다.
Teleport는 이러한 자격 증명에 대한 암호화 키를 생성하고 LSA의 메커니즘을 사용하여 각 사용자에 대해 머신에 안전하게 저장합니다. Teleport가 관리하는 사용자에 대해 비밀번호가 생성되고 사용자/비밀번호 방법으로 로그인이 시도되면(Teleport 외부에서), 이 키들이 덮어쓰여지고 저장된 모든 자격 증명이 Windows에 의해 제거됩니다.
Teleport는 이미 존재하는 자격 증명 삭제를 방지하기 위해 Teleport 외부에서 생성된 사용자에 대한 키를 절대 생성하지 않습니다. 이러한 사용자의 경우, Teleport를 통해 로그온할 때 자격 증명을 전혀 사용할 수 없습니다. Teleport가 비밀번호에 접근할 수 없고 비밀번호가 자격 증명을 복호화하는 데 필요하기 때문입니다.