로컬 사용자
Teleport에서 로컬 사용자는 서드파티 아이덴티티 프로바이더가 아닌 Teleport를 통해 직접 관리되는 사용자입니다. 이 가이드는 다음을 수행하는 방법을 보여줍니다: 이 가이드는 사람 사용자를 관리하는 방법을 보여줍니다.
Teleport에서 로컬 사용자는 서드파티 아이덴티티 프로바이더가 아닌 Teleport를 통해 직접 관리되는 사용자입니다. 모든 로컬 사용자는 Teleport의 클러스터 상태 백엔드에 저장되며, 사용자 이름, 역할과 속성, bcrypt 비밀번호 해시를 포함합니다.
이 가이드는 다음을 수행하는 방법을 보여줍니다:
이 가이드는 사람 사용자를 관리하는 방법을 보여줍니다. AI 에이전트 및 머신의 경우 머신 및 워크로드 아이덴티티 - Introduction을 참조하세요.
사전 요구 사항#
-
A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.
-
The
tctlandtshclients.Installing `tctl` and `tsh` clients
-
Determine the version of your Teleport cluster. The
tctlandtshclients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at/v1/webapi/findand use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:$ TELEPORT_DOMAIN= $ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')" -
Follow the instructions for your platform to install
tctlandtshclients:
-
To check that you can connect to your Teleport cluster, sign in with tsh login, then
verify that you can run tctl commands using your current credentials.
For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:
$ tsh login --proxy= --user=
$ tctl status
# Cluster (=teleport.url=)
# Version (=teleport.version=)
# CA pin (=presets.ca_pin=)
If you can connect to the cluster and run the tctl status command, you can use your
current credentials to run subsequent tctl commands from your workstation.
If you host your own Teleport cluster, you can also run tctl commands on the computer that
hosts the Teleport Auth Service for full permissions.
로컬 사용자 추가#
Teleport의 사용자 아이덴티티는 클러스터 범위 내에 존재합니다. Teleport 관리자는 Teleport 사용자 계정을 만들고 사용할 수 있는 역할에 매핑합니다.
다음 표를 살펴보겠습니다:
| Teleport 사용자 | SSH 로그인 | 설명 |
|---|---|---|
joe |
joe, root |
Teleport 사용자 joe는 SSH 서버에서 joe 또는 root 사용자로 로그인할 수 있습니다. |
bob |
bob |
Teleport 사용자 bob는 SSH 서버에서 bob 사용자로 로그인할 수 있습니다. |
kim |
Teleport 사용자 'kim'에게는 지정된 SSH 로그인이 없습니다. |
SSH 로그인은 Teleport 역할에서 사용 가능한 사용자 속성 중 하나입니다. 지원되는 모든 속성은 tctl users add 참조를 확인하세요.
tctl 도구를 사용하여 Teleport에 새 사용자를 추가해 봅시다:
$ tctl users add joe --logins=joe,root --roles=access,editor
$ tctl users add joe --logins=joe,root --roles=access,editor,reviewer
Teleport는 자동 만료 토큰(TTL 1시간)을 생성하고 TTL이 만료되기 전에 사용해야 하는 토큰 URL을 출력합니다.
User "joe" has been created but requires a password. Share this URL with the user to complete user setup, link is valid for 1h:
https://<proxy_host>:443/web/invite/<token>
NOTE: Make sure <proxy_host>:443 points at a Teleport proxy which users can access.
사용자는 웹 브라우저에서 이 URL을 방문하고, 비밀번호를 선택하고, 다단계 인증을 구성하여 등록을 완료합니다. 자격 증명이 올바르면 Teleport Auth Service는 새 사용자 인증서를 생성하고 서명합니다.
인증서는 기본적으로 12시간 후에 자동으로 만료되며, 이후 사용자는 자격 증명으로 다시 로그인해야 합니다. 이 TTL은 다른 값으로 구성할 수 있습니다.
인증 후 계정은 tctl을 통해 표시됩니다:
$ tctl users ls
# User Roles
# ---- --------------
# admin editor
# kim access
# joe access,editor
사용자 수정#
관리자는 tctl을 통해 사용자 항목을 수정할 수 있습니다.
예를 들어 전체 사용자 기록 목록을 보려면 관리자가 다음을 실행할 수 있습니다:
$ tctl get users
사용자 joe를 수정하려면 다음 명령을 실행하세요:
$ tctl edit user/joe
변경 사항을 적용하려면 편집기에서 파일을 저장하고 닫습니다.
사용자 삭제#
관리자는 tctl을 통해 로컬 사용자를 삭제할 수 있습니다:
$ tctl users rm joe
다음 단계#
사용자 외에도 tctl을 사용하여 역할 및 기타 동적 리소스를 관리할 수 있습니다. Teleport 리소스 참조를 참조하세요.
사용 가능한 모든 tctl 명령과 플래그는 CLI 참조를 확인하세요.
또한 사용자가 SSO 프로바이더를 사용하여 로그인할 수 있도록 Teleport를 구성할 수 있습니다. 자세한 내용은 다음을 참조하세요:
사용자 외에도 tctl을 사용하여 역할 및 기타 동적 리소스를 관리할 수 있습니다. Teleport 리소스 참조를 참조하세요.
사용 가능한 모든 tctl 명령과 플래그는 CLI 참조를 확인하세요.
또한 GitHub를 사용하여 사용자가 로그인할 수 있도록 Teleport를 구성할 수 있습니다. 자세한 내용은 GitHub SSO를 참조하세요.