InfoGrab Docs

teleport_auth_preference Terraform 리소스 참조

이 페이지는 Teleport Terraform 프로바이더의 teleport_auth_preference 리소스에서 지원되는 값을 설명합니다.

사용 예시#

# AuthPreference resource

resource "teleport_auth_preference" "example" {
  version = "v2"
  metadata = {
    description = "Auth preference"
    labels = {
      "example"             = "yes"
      "teleport.dev/origin" = "dynamic" // This label is added on Teleport side by default
    }
  }

  spec = {
    disconnect_expired_cert = true
  }
}

스키마#

필수#

  • spec (Attributes) Spec은 AuthPreference 사양입니다 (아래 중첩 스키마 참조)
  • version (String) Version은 리소스 버전입니다. 반드시 지정해야 합니다. 지원되는 값은 v2입니다.

선택#

  • metadata (Attributes) Metadata는 리소스 메타데이터입니다 (아래 중첩 스키마 참조)
  • sub_kind (String) SubKind는 일부 리소스에서 사용되는 선택적 리소스 하위 종류입니다

spec에 대한 중첩 스키마#

선택:

  • allow_cli_auth_via_browser (Boolean) AllowCLIAuthViaBrowser는 CLI 세션 인증을 위한 브라우저 기반 인증을 활성화/비활성화합니다. false로 설정하면 브라우저가 필요한 인증 흐름이 비활성화됩니다. Webauthn이 구성된 경우 기본값은 true, 그렇지 않으면 false입니다.
  • allow_headless (Boolean) AllowHeadless는 headless 지원을 활성화/비활성화합니다. Headless 인증은 Webauthn이 작동해야 합니다. Webauthn이 구성된 경우 기본값은 true이고, 그렇지 않으면 기본값은 false입니다.
  • allow_local_auth (Boolean) AllowLocalAuth는 로컬 인증이 활성화된 경우 true입니다.
  • allow_passwordless (Boolean) AllowPasswordless는 패스워드리스 지원을 활성화/비활성화합니다. 패스워드리스는 Webauthn이 작동해야 합니다. Webauthn이 구성된 경우 기본값은 true이고, 그렇지 않으면 기본값은 false입니다.
  • connector_name (String) ConnectorName은 OIDC 또는 SAML 커넥터의 이름입니다. 이 값이 설정되지 않으면 백엔드의 첫 번째 커넥터가 사용됩니다.
  • default_session_ttl (String) DefaultSessionTTL은 명시적 TTL이 요청되지 않을 때 사용자 인증서에 사용할 TTL입니다.
  • device_trust (Attributes) DeviceTrust는 신뢰할 수 있는 장치 검증과 관련된 설정을 보유합니다. Teleport Enterprise가 필요합니다. (아래 중첩 스키마 참조)
  • disconnect_expired_cert (Boolean) DisconnectExpiredCert는 만료된 인증서 연결 해제 설정을 제공합니다 - true이면 만료된 클라이언트 인증서를 가진 연결이 끊어집니다
  • hardware_key (Attributes) HardwareKey는 하드웨어 키 지원을 위한 설정입니다. (아래 중첩 스키마 참조)
  • idp (Attributes) IDP는 Teleport 내에서 IdP에 액세스하는 것과 관련된 옵션 집합입니다. Teleport Enterprise가 필요합니다. (아래 중첩 스키마 참조)
  • locking_mode (String) LockingMode는 클러스터 전체 잠금 모드 기본값입니다.
  • message_of_the_day (String)
  • okta (Attributes) Okta는 Teleport의 Okta 서비스와 관련된 옵션 집합입니다. Teleport Enterprise가 필요합니다. (아래 중첩 스키마 참조)
  • require_session_mfa (Number) RequireMFAType은 이 클러스터에 적용되는 MFA 요건 유형입니다. 0은 "OFF", 1은 "SESSION", 2는 "SESSION_AND_HARDWARE_KEY", 3은 "HARDWARE_KEY_TOUCH", 4는 "HARDWARE_KEY_PIN", 5는 "HARDWARE_KEY_TOUCH_AND_PIN"입니다.
  • second_factor (String) SecondFactor는 다중 인증 유형입니다. 더 이상 사용되지 않습니다: SecondFactors 사용을 권장합니다.
  • second_factors (List of Number) SecondFactors는 지원되는 다중 인증 유형 목록입니다. 1은 "otp", 2는 "webauthn", 3은 "sso"입니다. 지정하지 않으면 현재 기본값은 [1] 또는 ["otp"]입니다.
  • signature_algorithm_suite (Number) SignatureAlgorithmSuite는 클러스터에 대해 구성된 서명 알고리즘 모음입니다. 지정하지 않으면 현재 기본값은 "legacy"입니다. 1은 "legacy", 2는 "balanced-v1", 3은 "fips-v1", 4는 "hsm-v1"입니다.
  • stable_unix_user_config (Attributes) StableUnixUserConfig는 안정적인 UNIX 사용자에 대한 클러스터 전체 구성을 포함합니다. (아래 중첩 스키마 참조)
  • type (String) Type은 인증 유형입니다.
  • u2f (Attributes) U2F는 U2F 장치에 대한 설정입니다. (아래 중첩 스키마 참조)
  • webauthn (Attributes) Webauthn은 서버 측 Web Authentication 지원에 대한 설정입니다. (아래 중첩 스키마 참조)

spec.device_trust에 대한 중첩 스키마#

선택:

  • auto_enroll (Boolean) 장치 자동 등록을 활성화합니다. 자동 등록은 모든 사용자가 아직 등록되지 않은 알려진 장치에 대해 장치 등록 토큰을 발급할 수 있게 합니다. tsh는 자동 등록을 활용하여 적절한 경우 사용자 로그인 시 장치를 자동으로 등록합니다. 유효한 클러스터 모드가 여전히 적용됩니다: AutoEnroll=true는 Mode="off"이면 의미가 없습니다.
  • ekcert_allowed_cas (List of String) PEM 형식의 EKCert CA 허용 목록입니다. 존재하는 경우 여기에 지정된 CA가 서명한 EKCert를 제시하는 TPM 장치만 등록할 수 있습니다(기존 등록은 변경되지 않습니다). 존재하지 않으면 등록 중에 TPM EKCert의 CA가 확인되지 않아 모든 장치가 등록할 수 있습니다.
  • mode (String) 신뢰할 수 있는 장치에 대한 검증 모드입니다. 다음 모드가 지원됩니다: - "off": 장치 인증과 인가를 모두 비활성화합니다. - "optional": 장치 인증과 인가를 모두 허용하지만 민감한 엔드포인트에 대해 장치 확장의 존재를 강제하지 않습니다. - "required": 민감한 엔드포인트에 대해 장치 확장의 존재를 강제합니다. - "required-for-humans": 민감한 엔드포인트에 대해 인간 사용자에게만 장치 확장의 존재를 강제합니다(봇은 제외). 모드는 OSS에서 항상 "off"입니다. Enterprise에서는 기본값이 "optional"입니다.

spec.hardware_key에 대한 중첩 스키마#

선택:

  • pin_cache_ttl (String) PinCacheTTL은 하드웨어 키 PIN 정책이 활성화된 경우 Teleport 클라이언트가 사용자의 PIV PIN을 캐시하는 나노초 단위의 시간입니다.
  • piv_slot (String) PIVSlot은 기본 개인 키 정책 대신 Teleport 클라이언트가 사용해야 하는 PIV 슬롯입니다. 예: "9a" 또는 "9e".
  • serial_number_validation (Attributes) SerialNumberValidation은 하드웨어 키 일련번호 검증에 대한 설정을 보유합니다. 기본적으로 일련번호 검증은 비활성화되어 있습니다. (아래 중첩 스키마 참조)

spec.hardware_key.serial_number_validation에 대한 중첩 스키마#

선택:

  • enabled (Boolean) Enabled는 하드웨어 키 일련번호 검증이 활성화되어 있는지 여부를 나타냅니다.
  • serial_number_trait_name (String) SerialNumberTraitName은 기본값인 "hardware_key_serial_numbers"를 대체하는 하드웨어 키 일련번호에 대한 선택적 사용자 지정 사용자 트레이트 이름입니다. 참고: 이 사용자 트레이트의 값은 쉼표로 구분된 일련번호 목록 또는 쉼표로 구분된 목록의 목록이어야 합니다. 예: ["123", "345,678"]

spec.idp에 대한 중첩 스키마#

선택:

spec.idp.saml에 대한 중첩 스키마#

선택:

  • enabled (Boolean) Enabled는 이 옵션이 Teleport SAML IdP에 대한 액세스를 허용하는 경우 true로 설정됩니다.

spec.okta에 대한 중첩 스키마#

선택:

  • sync_period (String) SyncPeriod는 나노초 단위의 동기화 호출 사이의 기간입니다.

spec.stable_unix_user_config에 대한 중첩 스키마#

선택:

  • enabled (Boolean) Enabled는 (UNIX) Teleport SSH 호스트가 다른 구성된 UID 없이 호스트 사용자를 프로비저닝하려는 경우 제어 플레인에서 UID를 가져와야 함을 나타냅니다.
  • first_uid (Number) FirstUid는 자동 프로비저닝된 호스트 사용자의 UID 범위 시작입니다. 범위는 양 끝이 포함되므로 지정된 UID를 할당할 수 있습니다.
  • last_uid (Number) LastUid는 자동 프로비저닝된 호스트 사용자의 UID 범위 끝입니다. 범위는 양 끝이 포함되므로 지정된 UID를 할당할 수 있습니다.

spec.u2f에 대한 중첩 스키마#

선택:

  • app_id (String) AppID는 범용 다중 인증의 애플리케이션 ID를 반환합니다.
  • device_attestation_cas (List of String) DeviceAttestationCAs는 U2F 장치에 대한 신뢰할 수 있는 증명 CA를 포함합니다.
  • facets (List of String) Facets는 범용 다중 인증의 facets를 반환합니다. 더 이상 사용되지 않습니다: 이전 버전과의 호환성을 위해 유지되지만, Facets는 Teleport v10부터 효과가 없습니다. Webauthn이 U2F 구현을 대체했습니다.

spec.webauthn에 대한 중첩 스키마#

선택:

  • attestation_allowed_cas (List of String) PEM 형식의 장치 증명 CA 허용 목록입니다. 존재하는 경우 여기에 지정된 인증서와 일치하는 증명 인증서를 가진 장치만 등록할 수 있습니다(기존 등록은 변경되지 않습니다). AttestationDeniedCAs와 함께 제공되면 등록이 허용되려면 두 조건이 모두 true여야 합니다(장치는 허용된 CA와 일치해야 하고 거부된 CA와 일치하지 않아야 합니다). 기본적으로 모든 장치가 허용됩니다.
  • attestation_denied_cas (List of String) PEM 형식의 장치 증명 CA 거부 목록입니다. 존재하는 경우 여기에 지정된 인증서와 일치하지 않는 증명 인증서를 가진 장치만 등록할 수 있습니다(기존 등록은 변경되지 않습니다). AttestationAllowedCAs와 함께 제공되면 등록이 허용되려면 두 조건이 모두 true여야 합니다(장치는 허용된 CA와 일치해야 하고 거부된 CA와 일치하지 않아야 합니다). 기본적으로 거부되는 장치는 없습니다.
  • rp_id (String) RPID는 Relying Party의 ID입니다. Teleport 설치의 도메인 이름으로 설정해야 합니다. 중요: RPID는 클러스터의 수명 동안 절대 변경되어서는 안 됩니다. WebAuthn 장치의 등록 데이터에 기록되기 때문입니다. RPID가 변경되면 모든 기존 WebAuthn 키 등록이 무효화되고 WebAuthn을 다중 인증으로 사용하는 모든 사용자가 다시 등록해야 합니다.

metadata에 대한 중첩 스키마#

선택:

  • description (String) Description은 객체 설명입니다
  • expires (String) Expires는 시스템의 모든 리소스에 설정할 수 있는 전역 만료 시간 헤더입니다.
  • labels (Map of String) Labels는 레이블 집합입니다

teleport_auth_preference Terraform 리소스 참조

원문 보기

이 페이지는 Teleport Terraform 프로바이더의 teleport_auth_preference 리소스에서 지원되는 값을 설명합니다.

사용 예시#

# AuthPreference resource

resource "teleport_auth_preference" "example" {
  version = "v2"
  metadata = {
    description = "Auth preference"
    labels = {
      "example"             = "yes"
      "teleport.dev/origin" = "dynamic" // This label is added on Teleport side by default
    }
  }

  spec = {
    disconnect_expired_cert = true
  }
}

스키마#

필수#

  • spec (Attributes) Spec은 AuthPreference 사양입니다 (아래 중첩 스키마 참조)
  • version (String) Version은 리소스 버전입니다. 반드시 지정해야 합니다. 지원되는 값은 v2입니다.

선택#

  • metadata (Attributes) Metadata는 리소스 메타데이터입니다 (아래 중첩 스키마 참조)
  • sub_kind (String) SubKind는 일부 리소스에서 사용되는 선택적 리소스 하위 종류입니다

spec에 대한 중첩 스키마#

선택:

  • allow_cli_auth_via_browser (Boolean) AllowCLIAuthViaBrowser는 CLI 세션 인증을 위한 브라우저 기반 인증을 활성화/비활성화합니다. false로 설정하면 브라우저가 필요한 인증 흐름이 비활성화됩니다. Webauthn이 구성된 경우 기본값은 true, 그렇지 않으면 false입니다.
  • allow_headless (Boolean) AllowHeadless는 headless 지원을 활성화/비활성화합니다. Headless 인증은 Webauthn이 작동해야 합니다. Webauthn이 구성된 경우 기본값은 true이고, 그렇지 않으면 기본값은 false입니다.
  • allow_local_auth (Boolean) AllowLocalAuth는 로컬 인증이 활성화된 경우 true입니다.
  • allow_passwordless (Boolean) AllowPasswordless는 패스워드리스 지원을 활성화/비활성화합니다. 패스워드리스는 Webauthn이 작동해야 합니다. Webauthn이 구성된 경우 기본값은 true이고, 그렇지 않으면 기본값은 false입니다.
  • connector_name (String) ConnectorName은 OIDC 또는 SAML 커넥터의 이름입니다. 이 값이 설정되지 않으면 백엔드의 첫 번째 커넥터가 사용됩니다.
  • default_session_ttl (String) DefaultSessionTTL은 명시적 TTL이 요청되지 않을 때 사용자 인증서에 사용할 TTL입니다.
  • device_trust (Attributes) DeviceTrust는 신뢰할 수 있는 장치 검증과 관련된 설정을 보유합니다. Teleport Enterprise가 필요합니다. (아래 중첩 스키마 참조)
  • disconnect_expired_cert (Boolean) DisconnectExpiredCert는 만료된 인증서 연결 해제 설정을 제공합니다 - true이면 만료된 클라이언트 인증서를 가진 연결이 끊어집니다
  • hardware_key (Attributes) HardwareKey는 하드웨어 키 지원을 위한 설정입니다. (아래 중첩 스키마 참조)
  • idp (Attributes) IDP는 Teleport 내에서 IdP에 액세스하는 것과 관련된 옵션 집합입니다. Teleport Enterprise가 필요합니다. (아래 중첩 스키마 참조)
  • locking_mode (String) LockingMode는 클러스터 전체 잠금 모드 기본값입니다.
  • message_of_the_day (String)
  • okta (Attributes) Okta는 Teleport의 Okta 서비스와 관련된 옵션 집합입니다. Teleport Enterprise가 필요합니다. (아래 중첩 스키마 참조)
  • require_session_mfa (Number) RequireMFAType은 이 클러스터에 적용되는 MFA 요건 유형입니다. 0은 "OFF", 1은 "SESSION", 2는 "SESSION_AND_HARDWARE_KEY", 3은 "HARDWARE_KEY_TOUCH", 4는 "HARDWARE_KEY_PIN", 5는 "HARDWARE_KEY_TOUCH_AND_PIN"입니다.
  • second_factor (String) SecondFactor는 다중 인증 유형입니다. 더 이상 사용되지 않습니다: SecondFactors 사용을 권장합니다.
  • second_factors (List of Number) SecondFactors는 지원되는 다중 인증 유형 목록입니다. 1은 "otp", 2는 "webauthn", 3은 "sso"입니다. 지정하지 않으면 현재 기본값은 [1] 또는 ["otp"]입니다.
  • signature_algorithm_suite (Number) SignatureAlgorithmSuite는 클러스터에 대해 구성된 서명 알고리즘 모음입니다. 지정하지 않으면 현재 기본값은 "legacy"입니다. 1은 "legacy", 2는 "balanced-v1", 3은 "fips-v1", 4는 "hsm-v1"입니다.
  • stable_unix_user_config (Attributes) StableUnixUserConfig는 안정적인 UNIX 사용자에 대한 클러스터 전체 구성을 포함합니다. (아래 중첩 스키마 참조)
  • type (String) Type은 인증 유형입니다.
  • u2f (Attributes) U2F는 U2F 장치에 대한 설정입니다. (아래 중첩 스키마 참조)
  • webauthn (Attributes) Webauthn은 서버 측 Web Authentication 지원에 대한 설정입니다. (아래 중첩 스키마 참조)

spec.device_trust에 대한 중첩 스키마#

선택:

  • auto_enroll (Boolean) 장치 자동 등록을 활성화합니다. 자동 등록은 모든 사용자가 아직 등록되지 않은 알려진 장치에 대해 장치 등록 토큰을 발급할 수 있게 합니다. tsh는 자동 등록을 활용하여 적절한 경우 사용자 로그인 시 장치를 자동으로 등록합니다. 유효한 클러스터 모드가 여전히 적용됩니다: AutoEnroll=true는 Mode="off"이면 의미가 없습니다.
  • ekcert_allowed_cas (List of String) PEM 형식의 EKCert CA 허용 목록입니다. 존재하는 경우 여기에 지정된 CA가 서명한 EKCert를 제시하는 TPM 장치만 등록할 수 있습니다(기존 등록은 변경되지 않습니다). 존재하지 않으면 등록 중에 TPM EKCert의 CA가 확인되지 않아 모든 장치가 등록할 수 있습니다.
  • mode (String) 신뢰할 수 있는 장치에 대한 검증 모드입니다. 다음 모드가 지원됩니다: - "off": 장치 인증과 인가를 모두 비활성화합니다. - "optional": 장치 인증과 인가를 모두 허용하지만 민감한 엔드포인트에 대해 장치 확장의 존재를 강제하지 않습니다. - "required": 민감한 엔드포인트에 대해 장치 확장의 존재를 강제합니다. - "required-for-humans": 민감한 엔드포인트에 대해 인간 사용자에게만 장치 확장의 존재를 강제합니다(봇은 제외). 모드는 OSS에서 항상 "off"입니다. Enterprise에서는 기본값이 "optional"입니다.

spec.hardware_key에 대한 중첩 스키마#

선택:

  • pin_cache_ttl (String) PinCacheTTL은 하드웨어 키 PIN 정책이 활성화된 경우 Teleport 클라이언트가 사용자의 PIV PIN을 캐시하는 나노초 단위의 시간입니다.
  • piv_slot (String) PIVSlot은 기본 개인 키 정책 대신 Teleport 클라이언트가 사용해야 하는 PIV 슬롯입니다. 예: "9a" 또는 "9e".
  • serial_number_validation (Attributes) SerialNumberValidation은 하드웨어 키 일련번호 검증에 대한 설정을 보유합니다. 기본적으로 일련번호 검증은 비활성화되어 있습니다. (아래 중첩 스키마 참조)

spec.hardware_key.serial_number_validation에 대한 중첩 스키마#

선택:

  • enabled (Boolean) Enabled는 하드웨어 키 일련번호 검증이 활성화되어 있는지 여부를 나타냅니다.
  • serial_number_trait_name (String) SerialNumberTraitName은 기본값인 "hardware_key_serial_numbers"를 대체하는 하드웨어 키 일련번호에 대한 선택적 사용자 지정 사용자 트레이트 이름입니다. 참고: 이 사용자 트레이트의 값은 쉼표로 구분된 일련번호 목록 또는 쉼표로 구분된 목록의 목록이어야 합니다. 예: ["123", "345,678"]

spec.idp에 대한 중첩 스키마#

선택:

spec.idp.saml에 대한 중첩 스키마#

선택:

  • enabled (Boolean) Enabled는 이 옵션이 Teleport SAML IdP에 대한 액세스를 허용하는 경우 true로 설정됩니다.

spec.okta에 대한 중첩 스키마#

선택:

  • sync_period (String) SyncPeriod는 나노초 단위의 동기화 호출 사이의 기간입니다.

spec.stable_unix_user_config에 대한 중첩 스키마#

선택:

  • enabled (Boolean) Enabled는 (UNIX) Teleport SSH 호스트가 다른 구성된 UID 없이 호스트 사용자를 프로비저닝하려는 경우 제어 플레인에서 UID를 가져와야 함을 나타냅니다.
  • first_uid (Number) FirstUid는 자동 프로비저닝된 호스트 사용자의 UID 범위 시작입니다. 범위는 양 끝이 포함되므로 지정된 UID를 할당할 수 있습니다.
  • last_uid (Number) LastUid는 자동 프로비저닝된 호스트 사용자의 UID 범위 끝입니다. 범위는 양 끝이 포함되므로 지정된 UID를 할당할 수 있습니다.

spec.u2f에 대한 중첩 스키마#

선택:

  • app_id (String) AppID는 범용 다중 인증의 애플리케이션 ID를 반환합니다.
  • device_attestation_cas (List of String) DeviceAttestationCAs는 U2F 장치에 대한 신뢰할 수 있는 증명 CA를 포함합니다.
  • facets (List of String) Facets는 범용 다중 인증의 facets를 반환합니다. 더 이상 사용되지 않습니다: 이전 버전과의 호환성을 위해 유지되지만, Facets는 Teleport v10부터 효과가 없습니다. Webauthn이 U2F 구현을 대체했습니다.

spec.webauthn에 대한 중첩 스키마#

선택:

  • attestation_allowed_cas (List of String) PEM 형식의 장치 증명 CA 허용 목록입니다. 존재하는 경우 여기에 지정된 인증서와 일치하는 증명 인증서를 가진 장치만 등록할 수 있습니다(기존 등록은 변경되지 않습니다). AttestationDeniedCAs와 함께 제공되면 등록이 허용되려면 두 조건이 모두 true여야 합니다(장치는 허용된 CA와 일치해야 하고 거부된 CA와 일치하지 않아야 합니다). 기본적으로 모든 장치가 허용됩니다.
  • attestation_denied_cas (List of String) PEM 형식의 장치 증명 CA 거부 목록입니다. 존재하는 경우 여기에 지정된 인증서와 일치하지 않는 증명 인증서를 가진 장치만 등록할 수 있습니다(기존 등록은 변경되지 않습니다). AttestationAllowedCAs와 함께 제공되면 등록이 허용되려면 두 조건이 모두 true여야 합니다(장치는 허용된 CA와 일치해야 하고 거부된 CA와 일치하지 않아야 합니다). 기본적으로 거부되는 장치는 없습니다.
  • rp_id (String) RPID는 Relying Party의 ID입니다. Teleport 설치의 도메인 이름으로 설정해야 합니다. 중요: RPID는 클러스터의 수명 동안 절대 변경되어서는 안 됩니다. WebAuthn 장치의 등록 데이터에 기록되기 때문입니다. RPID가 변경되면 모든 기존 WebAuthn 키 등록이 무효화되고 WebAuthn을 다중 인증으로 사용하는 모든 사용자가 다시 등록해야 합니다.

metadata에 대한 중첩 스키마#

선택:

  • description (String) Description은 객체 설명입니다
  • expires (String) Expires는 시스템의 모든 리소스에 설정할 수 있는 전역 만료 시간 헤더입니다.
  • labels (Map of String) Labels는 레이블 집합입니다