인증서 기반 인증 (실험적 기능)#

plans-img Enterprise 플랜 에서 사용 가능

deployment-img self-hosted 배포

인증서 기반 인증(CBA)은 Mattermost에 대한 접근을 허용하기 전에 사용자나 장치를 식별하고 시스템 접근에 대한 추가 보안 계층을 제공하는 실험적 기능으로 사용할 수 있습니다.

브라우저와 Mattermost 데스크톱 앱용 사용자 CBA를 구성하려면 다음 단계를 따르세요. Mattermost iOS 및 Android 앱 지원은 계획 중입니다. OpenSSL 와 같은 서비스를 사용하여 각 개인 장치(BYOD)에 대한 인증서 배포와 수명 주기 관리를 관리할 수 있을 것으로 예상됩니다.

시작하기 전에 NGINX를 SSL 및 HTTP/2가 있는 프록시로 구성하고 Let’s Encrypt와 같은 유효한 SSL 인증서를 포함하여 시스템에 Mattermost를 설치하는 공식 가이드 를 따르세요.

웹 앱용 상호 TLS 인증 설정하기#

이는 인증서 기반 인증을 설정하기 위한 첫 번째 단계입니다. 아직 상호 TLS 인증을 설정하지 않았다면 자세한 내용은 문서를 참조하세요.

클라이언트 인증서로 로그인하도록 Mattermost 서버 설정하기#

  1. Mattermost 서버가 유효한 Enterprise 라이선스로 라이선스가 부여되어 있는지 확인하세요.

  2. config.json 파일의 ExperimentalSettings 에서 ClientSideCertEnabletrue 로 설정하고 ClientSideCertCheck 를 다음 값 중 하나로 설정하세요:

  • primary - 클라이언트 측 인증서가 확인된 후, 인증서에서 사용자의 이메일을 검색하여 비밀번호 없이 로그인하는 데 사용됩니다.

  • secondary - 클라이언트 측 인증서가 확인된 후, 인증서에서 사용자의 이메일을 검색하여 사용자가 제공한 이메일과 일치하는지 확인합니다. 일치하는 경우 사용자는 일반 이메일/비밀번호 자격 증명으로 로그인합니다.

config.json 파일에는 다음 줄이 있어야 합니다

"ExperimentalSettings": {
    "ClientSideCertEnable": true,
    "ClientSideCertCheck": "secondary"
},

  1. Mattermost 서버를 재시작하세요.

Ubuntu 14.04 및 RHEL 6에서:

sudo restart mattermost

Ubuntu 16.04, Debian Stretch 및 RHEL 7에서:

sudo systemctl restart mattermost

  1. https://example.mattermost.com 으로 이동하여 로그인을 시도하세요. 서버는 x.509 인증서에 Mattermost 사용자의 이메일과 동일한 emailAddress 가 있어야 합니다.