호스트 사용자 자동 생성 구성
Teleport의 SSH 서비스는 로그인 시 로컬 Unix 사용자를 자동으로 생성하도록 구성할 수 있습니다. 이를 통해 조직의 각 구성원을 위해 사용자를 수동으로 생성하지 않아도 되며 특정 호스트의 권한에 대한 더 세분화된 제어를 제공합니다.
Teleport의 SSH 서비스는 로그인 시 로컬 Unix 사용자를 자동으로 생성하도록 구성할 수 있습니다.
이를 통해 조직의 각 구성원을 위해 사용자를 수동으로 생성하지 않아도 되며 특정 호스트의 권한에 대한 더 세분화된 제어를 제공합니다. Teleport가 생성한 호스트 사용자는 임시적이며 SSH 세션 종료 시 삭제됩니다.
사전 요구 사항#
-
A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.
-
The
tctlandtshclients.Installing `tctl` and `tsh` clients
-
Determine the version of your Teleport cluster. The
tctlandtshclients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at/v1/webapi/findand use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:$ TELEPORT_DOMAIN= $ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')" -
Follow the instructions for your platform to install
tctlandtshclients:
-
- Teleport에 등록된 실행 중인 Linux 서버. 서버를 Teleport 클러스터에 추가하는 방법은 시작 가이드를 참조하세요. 이 가이드의 지침에 익숙해질 때까지 데모 환경에서 실행되는 서버를 등록하는 것을 권장합니다.
- Teleport SSH 서비스의 PATH에서 다음 유틸리티를 사용할 수 있어야 합니다. 임시 사용자를 생성하려면 이 명령을 실행해야 하기 때문입니다:
useradduserdelusermodgroupaddgetentvisudo
To check that you can connect to your Teleport cluster, sign in with tsh login, then
verify that you can run tctl commands using your current credentials.
For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:
$ tsh login --proxy= --user=
$ tctl status
# Cluster (=teleport.url=)
# Version (=teleport.version=)
# CA pin (=presets.ca_pin=)
If you can connect to the cluster and run the tctl status command, you can use your
current credentials to run subsequent tctl commands from your workstation.
If you host your own Teleport cluster, you can also run tctl commands on the computer that
hosts the Teleport Auth Service for full permissions.
자동 호스트 사용자#
이 섹션에서는 Teleport 사용자가 SSH 세션을 시작할 때 로컬 사용자를 생성하도록 Teleport를 구성합니다.
1단계/4단계. RBAC 구성#
Teleport 사용자가 SSH 서비스 인스턴스에 액세스하면 Teleport는 인스턴스와 일치하는 각 사용자의 역할을 확인합니다. 역할 중 하나 이상이 인스턴스와 일치하지만 create_host_user_mode를 설정하지 않은 경우 자동 사용자 생성이 비활성화됩니다. 서버와 일치하지 않는 역할은 확인되지 않습니다.
호스트 사용자 생성을 활성화하려면:
- 호스트 사용자 생성을 활성화하는 Teleport 역할과 일치시킬 수 있도록 서버에 레이블을 지정합니다.
- 추가한 레이블이 있는 서버에 대해 호스트 사용자 생성을 활성화하는 역할을 생성합니다.
- 이 가이드의 목적을 위해 생성한 역할만 가진 Teleport 사용자를 생성합니다.
서버에 레이블 지정#
-
이 가이드를 시작하기 전에 등록한 서버에 액세스하고 Teleport 구성 파일(
/etc/teleport.yaml기본값)을 여세요. -
구성 파일을 다음과 같이 변경합니다:
labels: + app: "nginx" -
서버에서 Teleport를 다시 시작합니다.
Teleport 역할 정의#
다음 역할 사양은 사용자가 일치하는 서버에서 nginxrestarter로 로그인할 수 있도록 합니다. 이 내용을 auto-users.yaml 파일에 추가하세요:
kind: role
version: v5
metadata:
name: auto-users
spec:
options:
# 자동 사용자 생성 허용.
create_host_user_mode: keep
create_host_user_default_shell: /bin/bash
allow:
logins: [ "nginxrestarter" ]
# 생성된 사용자가 추가될 호스트 그룹 목록. 아직 존재하지 않는 그룹은 생성됩니다.
host_groups: [ubuntu, nginx, other]
# /etc/sudoers.d에 생성되는 임시 sudoers 파일에 포함할 항목 목록
host_sudoers: [
# 이 줄은 `nginxrestarter` 사용자가
# root로 비밀번호 없이 `systemctl restart nginx.service`를 실행할 수 있도록 합니다.
# 이 경우 sudoers 항목 앞에 `nginxrestarter`가 붙습니다.
# sudoers 파일 참조 문서: https://www.sudo.ws/docs/man/1.8.17/sudoers.man/
"ALL = (root) NOPASSWD: /usr/bin/systemctl restart nginx.service"
]
node_labels:
"app": "nginx"
create_host_user_mode 필드는 값이 keep일 때 호스트 사용자 생성을 활성화합니다. auto-users 역할을 가진 사용자가 app:nginx 레이블과 일치하는 서버에 로그인하면 Teleport SSH 서비스는 호스트 사용자를 생성하고 host_groups에 나열된 그룹에 추가하며 host_sudoers 필드에 지정된 sudoer 권한을 부여합니다. 이 경우 새 사용자는 root로 Nginx 서비스를 다시 시작할 수 있는 권한을 받습니다. Teleport 16.4.0 이상에서 생성된 사용자의 기본 셸은 create_host_user_default_shell로 구성할 수 있습니다. 그렇지 않으면 호스트의 기본 셸이 사용됩니다.
호스트 사용자 생성 사용자 정의
logins 필드의 각 값은 사용 중인 Linux 배포판의 사용자 이름 요구사항을 준수해야 합니다. 일반적인 배포판의 요구사항은 User/Group Name Syntax를 참조하세요.
여러 역할에 host_sudoers 항목이 포함된 경우 sudoers 파일에는 역할 이름 순으로 정렬된 항목이 작성됩니다.
역할에 host_sudoers를 '*'로 설정하는 deny 규칙이 포함된 경우 사용자는 일치하는 노드에 액세스할 때 모든 sudoers 항목이 제거됩니다. 그렇지 않으면 deny 규칙은 필터링 시 리터럴로 일치됩니다:
kind: role
version: v5
metadata:
name: auto-users
spec:
options:
create_host_user_mode: keep
deny:
host_sudoers: [
"*" # 이 역할의 사용자가 일치하는 노드에서 sudoers 파일이 생성되지 않도록 합니다
"ALL=(ALL) NOPASSWD: ALL" # 이와 일치하는 host_sudoers 항목은 필터링됩니다
]
node_labels:
"app": "nginx"
서버에서 임시 Unix 사용자의 자동 생성을 허용하지 않아야 하는 경우 노드의 구성에서 disable_create_host_user를 true로 설정할 수 있습니다:
# teleport.yaml
teleport:
nodename: node
ssh_service:
enabled: true
# 역할 권한에 관계없이 이 노드에서 자동 호스트 사용자 생성을 비활성화합니다.
disable_create_host_user: true
보안이 낮은 환경에서 create_host_user_mode를 insecure-drop으로 설정할 수도 있습니다. 이 경우 세션이 종료되면 사용자가 삭제됩니다. 그러나 이 모드에서는 생성된 사용자가 이전에 삭제된 사용자와 동일한 UID를 받을 수 있어 이전 사용자의 파일이 삭제되지 않은 경우 새 사용자가 이에 액세스할 수 있게 됩니다. 정말 필요하고 잠재적인 영향을 이해하지 않는 한 keep 모드를 사용하세요.
역할 생성:
$ tctl create -f auto-users.yaml
# role 'auto-users' has been created
Teleport 사용자 생성#
-
다음 명령을 실행하여
auto-users역할을 가진 Teleport 사용자를 생성합니다:$ tctl users add demo-user --roles=auto-users --logins=nginxrestarter -
터미널의 지침에 따라 Teleport Web UI를 방문하고 사용자를 생성합니다.
2단계/4단계. [선택 사항] 생성된 사용자의 UID 및 GID 구성#
사용자에게 host_user_uid 및 host_user_gid 특성이 지정된 경우 호스트 사용자가 생성될 때 UID 및 GID가 해당 값으로 설정됩니다.
이 값은 tctl을 통해 사용자를 생성하거나 업데이트할 때 수동으로 설정하거나 동일한 이름의 SSO 속성을 통해 설정할 수 있습니다.
지정된 GID가 있는 그룹이 아직 존재하지 않는 경우 생성되는 사용자와 동일한 로그인 이름으로 그룹이 생성됩니다.
kind: user
metadata:
name: demo-user
spec:
...
traits:
logins:
- nginxrestarter
host_user_gid:
# gid 및 uid 값은 따옴표로 묶여야 합니다.
- "1234"
host_user_uid:
- "5678"
host_user_uid 또는 host_user_gid에 여러 항목이 지정된 경우 첫 번째 항목만 사용됩니다.
host_user_uid 특성이 없는 Teleport 사용자의 경우 Teleport 17.3부터 모든 Teleport SSH 인스턴스에서 자동으로 생성된 호스트 사용자에 대해 주어진 사용자 이름에 동일한 UID를 할당하도록 클러스터를 구성할 수 있습니다.
다음 명령을 사용하여 클러스터 인증 기본 설정을 편집합니다:
$ tctl edit cluster_auth_preference
편집기에서 cluster_auth_preference에 다음과 유사한 stable_unix_user_config 필드가 포함되어 있는지 확인하세요:
kind: cluster_auth_preference
version: v2
metadata:
name: cluster-auth-preference
spec:
# ...
stable_unix_user_config:
enabled: true
first_uid: 90000
last_uid: 95000
first_uid와 last_uid 사이(포함)의 UID 범위는 새 사용자에게 UID를 할당하는 데 사용되며, 서버 플릿 전체에서 다른 서비스나 워크로드에서 이미 사용 중인 UID 범위가 아닌지 확인해야 합니다. Linux의 UID 할당이 다양할 수 있지만 systemd 문서 "Users, Groups, UIDs and GIDs on systemd Systems"에 나열된 사용 가능한 범위 중 하나를 사용하는 것을 권장합니다.
활성화되면 모든 Teleport SSH 인스턴스(버전 17.3 이상)는 새 호스트 사용자를 자동으로 생성할 때 사용자 특성으로 다른 UID가 지정되지 않은 경우 제어 플레인에서 제공하는 UID를 사용합니다.
Teleport는 create_host_user_mode가 keep인 경우에만(그리고 insecure-drop이 아닌) 제어 플레인에서 정의한 UID를 사용하며, 기능이 활성화된 후 생성된 자동 생성된 호스트 사용자에만 적용됩니다. 이미 존재하는 사용자에게는 UID가 적용되지 않으며 정적 호스트 사용자에게도 적용되지 않습니다.
다음 명령으로 할당된 UID 목록을 검사할 수 있습니다:
$ tctl stable-unix-users ls
3단계/4단계. Linux 서버에서 sudoers 구성#
Teleport 호스트 사용자 생성은 새 사용자의 sudoers.d 디렉터리를 활용합니다.
CentOS 빌드의 경우 sudoers 파일에 다음 줄이 있는지 확인하세요. 다른 Linux 배포판은 무시하세요:
#includedir /etc/sudoers.d
sudoers 파일에서 # 기호는 일반적으로 주석을 나타내는 데 사용됩니다. 그러나 이 컨텍스트에서 #includedir는 지시자이며 주석이 아닙니다.
Debian 기반 시스템의 경우 @includedir /etc/sudoers.d를 만날 수 있으며, 이는 유사한 목적을 제공합니다. 운영 체제에 따라 올바른 지시자가 사용되었는지 확인하세요.
4단계/4단계. 호스트 사용자 생성 테스트#
tsh를 통해 원격 노드에 연결하고 호스트 사용자 생성이 활성화되면 Teleport SSH 서비스가 호스트에서 자동으로 사용자를 생성합니다:
$ tsh login
$ tsh ssh nginxrestarter@develnode
$ grep "nginxrestarter" /etc/passwd
# nginxrestarter:x:1001:1003::/home/nginxrestarter:/bin/bash
$ grep "other" /etc/group
# other:x:1002:nginxrestarter
$ exit
$ tsh ssh admin@develnode # 로그아웃 후 사용자가 삭제되었는지 확인
$ grep "nginxrestarter" /etc/passwd
$ echo $?
# 1
위의 사용자가 로그인하면 nginxrestarter 사용자와 아직 존재하지 않는 그룹이 호스트에서 생성됩니다. nginxrestarter 사용자는 host_groups 필드에 지정된 대로 ubuntu, nginx, other 그룹에 추가됩니다.
정적 호스트 사용자#
이 섹션에서는 SSH 세션과 독립적으로 로컬 사용자를 생성하도록 Teleport를 구성합니다. 정적 호스트 사용자는 auth 서버, SSH 서비스 및 tctl에서 Teleport 버전 >=16.3.0이 필요합니다.
1단계/3단계. RBAC 구성#
서버에 레이블 지정#
-
이 가이드를 시작하기 전에 등록한 서버에 액세스하고 Teleport 구성 파일(
/etc/teleport.yaml기본값)을 여세요. -
구성 파일을 다음과 같이 변경합니다:
labels: + app: "nginx" -
서버에서 Teleport를 다시 시작합니다.
Teleport 역할 정의#
다음 역할 사양은 사용자가 일치하는 서버에서 nginxrestarter로 로그인할 수 있도록 합니다. 이 내용을 auto-users.yaml 파일에 추가하세요:
kind: role
version: v5
metadata:
name: auto-users
spec:
allow:
logins: ["nginxrestarter"]
node_labels:
"app": "nginx"
역할 생성:
$ tctl create -f auto-users.yaml
# role 'auto-users' has been created
Teleport 사용자 생성#
-
다음 명령을 실행하여
auto-users역할을 가진 Teleport 사용자를 생성합니다:$ tctl users add demo-user --roles=auto-users --logins=nginxrestarter -
터미널의 지침에 따라 Teleport Web UI를 방문하고 사용자를 생성합니다.
2단계/3단계. 정적 호스트 사용자 생성#
이 내용을 nginxrestarter.yaml 파일에 추가하세요:
kind: static_host_user
metadata:
name: nginxrestarter
spec:
matchers:
# node_labels 또는 node_labels_expression을 사용하여 호스트 사용자를 생성할 서버를 선택합니다.
# 하나만 필요합니다.
- node_labels:
- name: app
values: ["nginx"]
node_labels_expression: 'labels["app"] == "nginx"'
# 생성된 사용자가 추가될 호스트 그룹 목록. 아직 존재하지 않는 그룹은 생성됩니다.
groups: [ubuntu, nginx, other]
# /etc/sudoers.d에 생성되는 임시 sudoers 파일에 포함할 항목 목록
sudoers: [
# 이 줄은 `nginxrestarter` 사용자가
# root로 비밀번호 없이 `systemctl restart nginx.service`를 실행할 수 있도록 합니다.
# 이 경우 sudoers 항목 앞에 `nginxrestarter`가 붙습니다.
# sudoers 파일 참조 문서: https://www.sudo.ws/docs/man/1.8.17/sudoers.man/
"ALL = (root) NOPASSWD: /usr/bin/systemctl restart nginx.service"
]
# 호스트 사용자의 UID. 선택 사항.
# uid: 1234
# 호스트 사용자의 GID. 선택 사항.
# gid: 1234
# 생성된 사용자의 기본 셸. 선택 사항.
# default_shell: /bin/bash
# 정적 호스트 사용자 프로비저닝이 Teleport 외부에서 생성된 기존 사용자의 소유권을 자동으로 가져올지 여부. 선택 사항.
# take_ownership_if_user_exists: true
# 다른 서버에서 nginxrestarter를 다르게 구성하려면 추가 매처를 추가합니다.
# - node_labels:
# ...
정적 호스트 사용자 리소스의 이름은 생성할 사용자의 로그인과 일치해야 합니다. 서버는 단일 정의된 매처가 충족된 경우에만 사용자를 프로비저닝합니다. 단일 정적 호스트 사용자 리소스에 여러 일치 항목이 있거나 사용자가 이미 존재하고 take_ownership_if_user_exists가 true로 설정되어 있지 않으면 서버는 사용자 프로비저닝을 거부합니다.
정적 호스트 사용자 생성:
$ tctl create -f nginxrestarter.yaml
# static_host_user 'nginxrestarter' has been created
정적 호스트 사용자 리소스를 삭제해도 적용된 서버에서 호스트 사용자가 제거되지 않습니다.
3단계/3단계. 테스트#
tsh를 통해 원격 노드에 연결하여 호스트 사용자가 생성되었는지 확인합니다:
$ tsh login
$ tsh ssh nginxrestarter@develnode
$ grep "nginxrestarter" /etc/passwd
# nginxrestarter:x:1001:1003::/home/nginxrestarter:/bin/bash
$ grep "other" /etc/group
# other:x:1002:nginxrestarter
내부 동작#
Teleport SSH 서비스는 useradd를 실행하여 호스트에서 새 사용자를 생성하고, useradd 바이너리를 찾을 수 없는 경우 오류를 반환합니다. useradd 명령은 Teleport 사용자의 역할에 지정된 그룹에 사용자를 추가하고, Teleport는 새 호스트 사용자의 이름으로 새 홈 디렉터리를 별도로 생성합니다.
SSH 서비스는 사용자를 추가할 때 useradd --no-create-home --home-dir <home> <username> --groups <groups> --uid <uid> --gid <gid>를 실행하며, 다른 모든 옵션은 시스템 기본값을 사용합니다. 예를 들어, 호스트의 기본 로그인 셸과 사용자를 연결하며, /etc/default/useradd의 SHELL 필드를 설정하여 지정할 수 있습니다. 기본 동작의 전체 설명은 시스템용 useradd 매뉴얼을 참조하세요.
Teleport SSH 서비스는 또한 /etc/sudoers.d에 파일을 생성하며, host_sudoers 파일의 내용을 한 줄에 하나씩 쓰고, 각 항목 앞에 로그인한 사용자의 사용자 이름을 붙입니다.
그런 다음 세션은 평소와 같이 진행됩니다. SSH 세션이 종료되면 사용자와 홈 디렉터리는 머신에 유지됩니다. 역할 정의에서 create_host_user_mode를 insecure-drop으로 설정하여 자동 호스트 사용자를 제거할 수 있습니다. 그러나 시스템에서 사용자 ID가 재사용될 가능성이 있어 여러 잠재적인 보안 위험이 있으므로 특별한 필요와 잠재적인 영향을 이해하지 않는 한 keep 모드를 사용하는 것을 권장합니다.
세션이 진행 중인 동안 Teleport SSH 인스턴스가 다시 시작되면 다음 Teleport 재시작 시 사용자가 정리됩니다.
관리되지 않는 사용자 마이그레이션#
이전 버전 Teleport의 keep 모드 사용자#
v14.3.24, v15.4.16, v16.1.8 이전에 create_host_user_mode: keep으로 생성된 자동 호스트 사용자는 이후 버전의 Teleport에서 관리되지 않습니다. 다음 세션에서 이러한 사용자를 자동으로 마이그레이션하려면 역할의 host_groups에 teleport-keep을 추가할 수 있습니다. 마이그레이션하려는 호스트에서 teleport-keep 그룹에 직접 추가하여 수동으로 마이그레이션할 수도 있습니다.
정적 호스트 사용자#
기본적으로 정적 호스트 사용자 프로비저닝은 Teleport 외부에서 생성된 기존 사용자의 소유권을 가져오지 않습니다. 정적 호스트 사용자와 충돌하는 관리되지 않는 사용자의 소유권을 자동으로 가져오도록 Teleport를 구성하려면 정적 호스트 사용자 리소스에서 take_ownership_if_user_exists 플래그를 true로 설정할 수 있습니다. 이렇게 하면 기존 사용자가 Teleport의 관리 하에 들어가고 해당 사용자에게 할당된 그룹이 재정의됩니다. teleport-keep 사용자를 마이그레이션하는 것과 유사하게, 호스트에서 직접 teleport-static 그룹에 추가하여 수동으로 사용자를 마이그레이션할 수 있습니다.
다음 단계#
- 데이터베이스 액세스의 자동 사용자 프로비저닝 구성.
- 데스크톱 액세스의 자동 사용자 프로비저닝 구성.
- Terraform을 사용한 자동 사용자 프로비저닝 구성. Terraform 공급자를 사용하는 경우 일부 값이 이 가이드에 설명된 것과 다를 수 있습니다.