InfoGrab Docs

관리 작업에 대한 MFA

요약

Teleport는 tctl, tsh, 웹 UI, Teleport Connect 및 기타 모든 Teleport 클라이언트를 통해 관리 작업을 수행할 때 추가 다중 인증(MFA) 검사를 요구하도록 구성할 수 있습니다. 관리 작업의 예시는 다음을 포함하지만 이에 한정되지 않습니다:

Teleport는 tctl, tsh, 웹 UI, Teleport Connect 및 기타 모든 Teleport 클라이언트를 통해 관리 작업을 수행할 때 추가 다중 인증(MFA) 검사를 요구하도록 구성할 수 있습니다.

관리 작업의 예시는 다음을 포함하지만 이에 한정되지 않습니다:

  • 사용자 계정 재설정 또는 복구
  • 새 사용자 초대
  • 클러스터 구성 리소스 업데이트
  • 접근 관리 리소스 수정
  • 접근 요청 승인
  • 새 조인 토큰 생성
  • 가장(Impersonation)
  • 머신 및 워크로드 아이덴티티를 위한 새 봇 생성

이것은 디스크에 저장된 Teleport 인증서 침해로부터 사용자를 보호하는 고급 보안 기능입니다.

경고: 관리 작업에 MFA가 활성화된 경우, tctl auth sign으로 생성된 사용자 인증서는 추가 MFA 검사로 인해 자동화에 더 이상 적합하지 않습니다.

MFA 검사가 적용되지 않는 역할 가장을 사용하는 자동화 워크플로에 인증서를 발급하려면 머신 및 워크로드 아이덴티티를 사용하는 것을 권장합니다.

슈퍼 관리자 역할을 사용하여 Auth 서비스 인스턴스에서 직접 tctl auth sign으로 생성된 인증서는 레거시 자체 호스팅 설정을 지원하기 위해 MFA 검사가 적용되지 않습니다.

사전 요구 사항#

  • A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

  • The tctl and tsh clients.

    Installing `tctl` and `tsh` clients

    1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

      $ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"

    2. Follow the instructions for your platform to install tctl and tsh clients:

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

If you can connect to the cluster and run the tctl status command, you can use your current credentials to run subsequent tctl commands from your workstation. If you host your own Teleport cluster, you can also run tctl commands on the computer that hosts the Teleport Auth Service for full permissions.

  • 이 클러스터에 WebAuthn 구성
  • YubiKey 또는 SoloKey와 같은 다중 인증 하드웨어 장치
  • WebAuthn 지원이 있는 웹 브라우저 (Teleport 웹 UI에서 SSH 또는 데스크톱 세션을 사용하는 경우).

관리 작업에 MFA 요구#

관리 작업에 대한 MFA는 WebAuthn이 허용되는 유일한 다중 인증 형태인 클러스터에서 자동으로 적용됩니다.

참고: 향후 주요 버전에서 Teleport는 더 광범위한 클러스터 구성에 대해 관리 작업에 MFA를 적용할 수 있습니다.

cluster_auth_preference 리소스를 편집합니다:

$ tctl edit cap

cluster_auth_preference 정의를 다음 내용을 포함하도록 업데이트합니다:

kind: cluster_auth_preference
version: v2
metadata:
  name: cluster-auth-preference
spec:
  type: local
  second_factors: ["webauthn"]
  webauthn:
    rp_id: example.com

파일을 저장하고 닫습니다. tctl이 원격 정의를 업데이트합니다:

cluster auth preference has been updated

관리 작업에 대한 MFA

원문 보기
요약

Teleport는 tctl, tsh, 웹 UI, Teleport Connect 및 기타 모든 Teleport 클라이언트를 통해 관리 작업을 수행할 때 추가 다중 인증(MFA) 검사를 요구하도록 구성할 수 있습니다. 관리 작업의 예시는 다음을 포함하지만 이에 한정되지 않습니다:

Teleport는 tctl, tsh, 웹 UI, Teleport Connect 및 기타 모든 Teleport 클라이언트를 통해 관리 작업을 수행할 때 추가 다중 인증(MFA) 검사를 요구하도록 구성할 수 있습니다.

관리 작업의 예시는 다음을 포함하지만 이에 한정되지 않습니다:

  • 사용자 계정 재설정 또는 복구
  • 새 사용자 초대
  • 클러스터 구성 리소스 업데이트
  • 접근 관리 리소스 수정
  • 접근 요청 승인
  • 새 조인 토큰 생성
  • 가장(Impersonation)
  • 머신 및 워크로드 아이덴티티를 위한 새 봇 생성

이것은 디스크에 저장된 Teleport 인증서 침해로부터 사용자를 보호하는 고급 보안 기능입니다.

경고: 관리 작업에 MFA가 활성화된 경우, tctl auth sign으로 생성된 사용자 인증서는 추가 MFA 검사로 인해 자동화에 더 이상 적합하지 않습니다.

MFA 검사가 적용되지 않는 역할 가장을 사용하는 자동화 워크플로에 인증서를 발급하려면 머신 및 워크로드 아이덴티티를 사용하는 것을 권장합니다.

슈퍼 관리자 역할을 사용하여 Auth 서비스 인스턴스에서 직접 tctl auth sign으로 생성된 인증서는 레거시 자체 호스팅 설정을 지원하기 위해 MFA 검사가 적용되지 않습니다.

사전 요구 사항#

  • A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

  • The tctl and tsh clients.

    Installing `tctl` and `tsh` clients

    1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

      $ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"

    2. Follow the instructions for your platform to install tctl and tsh clients:

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

If you can connect to the cluster and run the tctl status command, you can use your current credentials to run subsequent tctl commands from your workstation. If you host your own Teleport cluster, you can also run tctl commands on the computer that hosts the Teleport Auth Service for full permissions.

  • 이 클러스터에 WebAuthn 구성
  • YubiKey 또는 SoloKey와 같은 다중 인증 하드웨어 장치
  • WebAuthn 지원이 있는 웹 브라우저 (Teleport 웹 UI에서 SSH 또는 데스크톱 세션을 사용하는 경우).

관리 작업에 MFA 요구#

관리 작업에 대한 MFA는 WebAuthn이 허용되는 유일한 다중 인증 형태인 클러스터에서 자동으로 적용됩니다.

참고: 향후 주요 버전에서 Teleport는 더 광범위한 클러스터 구성에 대해 관리 작업에 MFA를 적용할 수 있습니다.

cluster_auth_preference 리소스를 편집합니다:

$ tctl edit cap

cluster_auth_preference 정의를 다음 내용을 포함하도록 업데이트합니다:

kind: cluster_auth_preference
version: v2
metadata:
  name: cluster-auth-preference
spec:
  type: local
  second_factors: ["webauthn"]
  webauthn:
    rp_id: example.com

파일을 저장하고 닫습니다. tctl이 원격 정의를 업데이트합니다:

cluster auth preference has been updated