18.2. PKI 인증 활성화
인증에 엔터프라이즈 인증 기관(CA)을 사용하는 경우 개인 인증서를 사용하여 사용자를 인증하도록 RHACS(Red Hat Advanced Cluster Security for Kubernetes)를 구성할 수 있습니다.
PKI 인증을 구성한 후 사용자 및 API 클라이언트는 개인 인증서를 사용하여 로그인할 수 있습니다. 인증서가 없는 사용자는 API 토큰, 로컬 관리자 암호 또는 기타 인증 공급자를 포함한 다른 인증 옵션을 계속 사용할 수 있습니다. PKI 인증은 웹 UI, gRPC 및 REST API와 동일한 포트 번호에서 사용할 수 있습니다.
기본적으로 PKI 인증을 구성할 때 Kubernetes용 Red Hat Advanced Cluster Security는 PKI, 웹 UI, gRPC, 기타 SSO(Single Sign-On) 공급자 및 REST API에 동일한 포트를 사용합니다. YAML 구성 파일을 사용하여 엔드포인트를 구성하고 노출하여 PKI 인증을 위해 별도의 포트를 구성할 수도 있습니다.
18.2.1. RHACS 포털을 사용하여 PKI 인증 구성
RHACS 포털을 사용하여 PKI(Public Key Infrastructure) 인증을 구성할 수 있습니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
액세스 제어 로 이동합니다. - 인증 공급자 생성 을 클릭하고 드롭다운 목록에서 사용자 인증서 를 선택합니다.
- 이름 필드에서 이 인증 공급자의 이름을 지정합니다.
- CA 인증서(PEM) 필드에 root CA 인증서를 PEM 형식으로 붙여넣습니다.
PKI 인증을 사용하여 RHACS에 액세스하는 사용자에게 최소 액세스 역할을 할당합니다. 사용자에게 이 역할에 부여된 권한 또는 RHACS에 로그인하려면 더 높은 권한이 있는 역할이 있어야 합니다.
작은 정보보안을 위해 Red Hat은 설정을 완료하는 동안 먼저 최소 액세스 역할을 None 으로 설정하는 것이 좋습니다. 나중에 액세스 제어 페이지로 돌아가 ID 공급자의 사용자 메타데이터를 기반으로 보다 맞춤형 액세스 규칙을 설정할 수 있습니다.
RHACS에 액세스하는 사용자 및 그룹에 대한 액세스 규칙을 추가하려면 규칙 섹션에서 새 규칙 추가 를 클릭합니다. 예를 들어 관리자 역할을
administrator라는 사용자에게 부여하려면 다음 키-값 쌍을 사용하여 액세스 규칙을 생성할 수 있습니다.키
현재의
이름
관리자
Role
관리자
- 저장을 클릭합니다.
18.2.2. roxctl CLI를 사용하여 PKI 인증 구성
roxctl CLI를 사용하여 PKI 인증을 구성할 수 있습니다.
프로세스
다음 명령을 실행합니다.
$ roxctl -e <hostname>:<port_number> central userpki create -c <ca_certificate_file> -r <default_role_name> <provider_name>
18.2.3. 인증 키 및 인증서 업데이트
RHACS 포털을 사용하여 인증 키 및 인증서를 업데이트할 수 있습니다.
프로세스
- 새 인증 공급자를 생성합니다.
- 이전 인증 공급자의 역할 매핑을 새 인증 공급자로 복사합니다.
- 이전 루트 CA 키를 사용하여 이전 인증 공급자의 이름을 변경하거나 삭제합니다.
18.2.4. 클라이언트 인증서를 사용하여 로그인
PKI 인증을 구성한 후 사용자는 RHACS 포털 로그인 페이지에 인증서 프롬프트가 표시됩니다. 구성된 루트 CA에서 신뢰하는 클라이언트 인증서가 사용자의 시스템에 설치된 경우에만 프롬프트가 표시됩니다.
이 섹션에 설명된 절차를 사용하여 클라이언트 인증서를 사용하여 로그인합니다.
프로세스
- RHACS 포털을 엽니다.
- 브라우저 프롬프트에서 인증서를 선택합니다.
- 로그인 페이지에서 인증 공급자 이름 옵션을 선택하여 인증서로 로그인합니다. 인증서를 사용하여 로그인하지 않으려면 관리자 암호 또는 다른 로그인 방법을 사용하여 로그인할 수도 있습니다.
클라이언트 인증서를 사용하여 RHACS 포털에 로그인하면 브라우저를 다시 시작하지 않는 한 다른 인증서로 로그인할 수 없습니다.
