• 기존 비밀번호 인증
• 인증 방법
  • X.509 인증서를 사용한 로컬 데이터베이스에 대한 인증
  • X.509 인증서와 SAN 확장을 사용하는 로컬 데이터베이스에 대한 인증
  • LDAP 서버에 대한 인증
  • Active Directory LDAP 서버에 대한 인증
  • Entra ID 도메인 서비스에 대한 인증
• GitLab을 스마트 카드 인증을 위해 구성하기
  • SAN 확장을 사용할 때 추가 단계
  • LDAP 서버에 대한 인증 시 추가 단계
  • Git 접근을 위한 스마트 카드 로그인 시 브라우저 세션 필수
• 스마트 카드 인증을 통해 생성된 사용자에 대한 비밀번호

스마트 카드 인증

GitLab은 스마트 카드를 사용한 인증을 지원합니다.

기존 비밀번호 인증

기본적으로 기존 사용자는 스마트 카드 인증이 활성화되어 있을 때 사용자 이름과 비밀번호로 계속 로그인할 수 있습니다.

기존 사용자가 스마트 카드 인증만 사용하도록 강제하려면,
사용자 이름 및 비밀번호 인증 비활성화하세요.

인증 방법

GitLab은 두 가지 인증 방법을 지원합니다:

• 로컬 데이터베이스와 함께하는 X.509 인증서.
• LDAP 서버.

X.509 인증서를 사용한 로컬 데이터베이스에 대한 인증

X.509 인증서가 있는 스마트 카드를 사용하여 GitLab에 인증할 수 있습니다.

GitLab에 대해 로컬 데이터베이스로 인증하기 위해 X.509 인증서가 있는 스마트 카드를 사용하려면, CN 및 emailAddress가 인증서에 정의되어야 합니다. 예를 들어:

Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number: 12856475246677808609 (0xb26b601ecdd555e1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=Random Corp Ltd, CN=Random Corp
        Validity
            Not Before: Oct 30 12:00:00 2018 GMT
            Not After : Oct 30 12:00:00 2019 GMT
        Subject: CN=Gitlab User, emailAddress=gitlab-user@example.com

X.509 인증서와 SAN 확장을 사용하는 로컬 데이터베이스에 대한 인증

SAN 확장이 있는 X.509 인증서가 있는 스마트 카드를 사용하여 GitLab에 인증할 수 있습니다.

GitLab에 대해 로컬 데이터베이스로 인증하기 위해 X.509 인증서가 있는 스마트 카드를 사용하려면:

• subjectAltName (SAN) 확장 중 적어도 하나가
  GitLab 인스턴스 내의 사용자 ID(email)를 정의해야 합니다(URI).
• URI는 Gitlab.config.host.gitlab와 일치해야 합니다.
• 인증서에 하나의 SAN 이메일 항목만 포함되어 있는 경우,
  email과 URI가 일치하도록 추가하거나 수정할 필요가 없습니다.

예를 들어:

Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number: 12856475246677808609 (0xb26b601ecdd555e1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=Random Corp Ltd, CN=Random Corp
        Validity
            Not Before: Oct 30 12:00:00 2018 GMT
            Not After : Oct 30 12:00:00 2019 GMT
        ...
        X509v3 extensions:
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Subject Alternative Name:
                email:gitlab-user@example.com, URI:http://gitlab.example.com/

LDAP 서버에 대한 인증

GitLab은 표준 인증서 매칭 방식을 구현합니다
RFC4523을 따릅니다. 이는 userCertificate 속성에 대해 certificateExactMatch 인증서 매칭 규칙을 사용합니다. 전제 조건으로, 다음을 지원하는 LDAP 서버를 사용해야 합니다:

• certificateExactMatch 매칭 규칙을 지원합니다.
• userCertificate 속성에 인증서가 저장되어 있습니다.

Active Directory LDAP 서버에 대한 인증

• GitLab 16.9에서 도입됨.

Active Directory는 certificateExactMatch 규칙이나 userCertificate 속성을 지원하지 않습니다. 스마트 카드를 포함한 대부분의 인증 기반 도구는 각 사용자에 대해 여러 인증서를 포함할 수 있는 altSecurityIdentities 속성을 사용합니다. 이 필드의 데이터는 Microsoft가 추천하는 형식 중 하나와 일치해야 합니다.

다음 속성을 사용하여 GitLab이 확인하는 필드와 인증서 데이터 형식을 사용자 지정하세요:

• smartcard_ad_cert_field - 검색할 필드의 이름을 지정합니다. 이는 사용자 개체의 모든 속성이 될 수 있습니다.
• smartcard_ad_cert_format - 인증서에서 수집된 정보의 형식을 지정합니다. 이 형식은 다음 값 중 하나여야 합니다. 가장 일반적인 것은 비-Active Directory LDAP 서버의 동작과 일치시키기 위한 issuer_and_serial_number입니다.

issuer_and_serial_number의 경우, <SR> 부분은 리버스 바이트 순서로, 가장 낮은 의미 있는 바이트가 먼저입니다. 자세한 정보는 Microsoft의 altSecurityIdentities 형식 문서를 참조하세요.

참고: smartcard_ad_cert_format이 지정되지 않은 경우, LDAP 서버가 active_directory: true로 설정되고 스마트 카드가 활성화된 경우, GitLab은 기본적으로 16.8 및 이전 버전의 동작을 따르며 userCertificate 속성에서 certificateExactMatch를 사용합니다.

Entra ID 도메인 서비스에 대한 인증

• GitLab 16.9에서 도입됨.

Microsoft Entra ID, 이전에 Azure Active Directory로 알려졌던, 기업 및 조직을 위한 클라우드 기반 디렉터리를 제공합니다. Entra Domain Services는 디렉터리에 대한 안전한 읽기 전용 LDAP 인터페이스를 제공하지만, Entra ID에 있는 필드의 제한된 하위 집합만 노출합니다.

Entra ID는 사용자에 대한 클라이언트 인증서를 관리하기 위해 CertificateUserIds 필드를 사용하지만 이 필드는 LDAP / Entra ID 도메인 서비스에서 노출되지 않습니다. 클라우드 전용 설정에서는 GitLab이 LDAP를 사용하여 사용자의 스마트 카드를 인증하는 것이 불가능합니다.

온프레미스와 클라우드 환경의 하이브리드에서는 엔터티가 온프레미스 Active Directory 컨트롤러와 클라우드 Entra ID 간에 Entra Connect를 사용하여 동기화됩니다. Entra ID Connect를 사용하여 altSecurityIdentities 속성을 Entra ID의 certificateUserIds로 동기화하고 있는 경우, 이 데이터를 LDAP / Entra ID 도메인 서비스에서 노출하여 GitLab이 인증할 수 있도록 합니다:

1. altSecurityIdentities를 Entra ID의 추가 속성에 동기화하기 위한 규칙을 Entra ID Connect에 추가합니다.

2. 해당 추가 속성을 Entra ID 도메인 서비스의 확장 속성으로 활성화합니다.

3. GitLab에서 이 확장 속성을 사용하도록 smartcard_ad_cert_field 필드를 구성합니다.

GitLab을 스마트 카드 인증을 위해 구성하기

Linux 패키지 설치의 경우:

1. /etc/gitlab/gitlab.rb를 수정합니다:

   # 스마트 카드 인증 허용
   gitlab_rails['smartcard_enabled'] = true
   
   # CA 인증서가 포함된 파일의 경로
   gitlab_rails['smartcard_ca_file'] = "/etc/ssl/certs/CA.pem"
   
   # 클라이언트 측 인증서가 웹서버(NGINX/Apache)에 의해 요청되는 호스트와 포트
   gitlab_rails['smartcard_client_certificate_required_host'] = "smartcard.example.com"
   gitlab_rails['smartcard_client_certificate_required_port'] = 3444
   

   다음 변수 중 적어도 하나에 값을 할당해야 합니다: gitlab_rails['smartcard_client_certificate_required_host'] 또는 gitlab_rails['smartcard_client_certificate_required_port'].

2. 파일을 저장하고 재구성 GitLab이 변경 사항을 적용하도록 합니다.

자체 컴파일한 설치의 경우:

1. NGINX를 클라이언트 측 인증서를 요청하도록 구성합니다.

   NGINX 구성에서, 추가 서버 컨텍스트를 정의해야 하며 동일한 구성이어야 하지만 다음과 같습니다:

   • 추가 NGINX 서버 컨텍스트는 다른 포트에서 실행되도록 구성해야 합니다:

     listen *:3444 ssl;
     

   • 다른 호스트 이름에서 실행되도록 구성할 수도 있습니다:

     listen smartcard.example.com:443 ssl;
     

   • 추가 NGINX 서버 컨텍스트는 클라이언트 측 인증서를 요구하도록 구성해야 합니다:

     ssl_verify_depth 2;
     ssl_client_certificate /etc/ssl/certs/CA.pem;
     ssl_verify_client on;
     

   • 추가 NGINX 서버 컨텍스트는 클라이언트 측 인증서를 전달하도록 구성해야 합니다:

     proxy_set_header    X-SSL-Client-Certificate    $ssl_client_escaped_cert;
     

   예를 들어, 다음은 NGINX 구성 파일에서의 서버 컨텍스트의 예입니다 (/etc/nginx/sites-available/gitlab-ssl와 같은):

   server {
       listen smartcard.example.com:3443 ssl;
   
       # SSL 구성에 대한 인증서
       ssl_certificate /path/to/example.com.crt;
       ssl_certificate_key /path/to/example.com.key;
   
       ssl_verify_depth 2;
       # 클라이언트 측 인증서 검증을 위한 CA 인증서
       ssl_client_certificate /etc/ssl/certs/CA.pem;
       ssl_verify_client on;
   
       location / {
           proxy_set_header    Host                        $http_host;
           proxy_set_header    X-Real-IP                   $remote_addr;
           proxy_set_header    X-Forwarded-For             $proxy_add_x_forwarded_for;
           proxy_set_header    X-Forwarded-Proto           $scheme;
           proxy_set_header    Upgrade                     $http_upgrade;
           proxy_set_header    Connection                  $connection_upgrade;
   
           proxy_set_header    X-SSL-Client-Certificate    $ssl_client_escaped_cert;
   
           proxy_read_timeout 300;
   
           proxy_pass http://gitlab-workhorse;
       }
   }
   

2. config/gitlab.yml를 수정합니다:

   ## 스마트 카드 인증 설정
   smartcard:
     # 스마트 카드 인증 허용
     enabled: true
   
     # CA 인증서가 포함된 파일의 경로
     ca_file: '/etc/ssl/certs/CA.pem'
   
     # 클라이언트 측 인증서가 웹서버(NGINX/Apache)에 의해 요청되는 호스트와 포트
     client_certificate_required_host: smartcard.example.com
     client_certificate_required_port: 3443
   

   다음 변수 중 적어도 하나에 값을 할당해야 합니다: client_certificate_required_host 또는 client_certificate_required_port.

3. 파일을 저장하고 재시작 GitLab이 변경 사항을 적용하도록 합니다.

SAN 확장을 사용할 때 추가 단계

Linux 패키지 설치의 경우:

1. /etc/gitlab/gitlab.rb에 추가합니다:

   gitlab_rails['smartcard_san_extensions'] = true
   

2. 파일을 저장하고 재구성하여 변경 사항이 적용되도록 합니다.

자체 컴파일된 설치의 경우:

1. 스마트 카드 섹션 내의 config/gitlab.yml에 san_extensions 행을 추가합니다:

   smartcard:
      enabled: true
      ca_file: '/etc/ssl/certs/CA.pem'
      client_certificate_required_port: 3444
   
      # 사용자와 인증서를 일치시키기 위해 SAN 확장의 사용을 활성화합니다.
      san_extensions: true
   

2. 파일을 저장하고 재시작하여 변경 사항이 적용되도록 합니다.

LDAP 서버에 대한 인증 시 추가 단계

Linux 패키지 설치의 경우:

1. /etc/gitlab/gitlab.rb를 편집합니다:

   gitlab_rails['ldap_servers'] = YAML.load <<-EOS
   main:
     # 생략...
     # LDAP 서버에 대한 스마트 카드 인증을 활성화합니다. 유효한 값은
     # "false", "optional", 및 "required"입니다.
     smartcard_auth: optional
   
     # LDAP 서버가 Active Directory인 경우 이 두 필드를 구성할 수 있습니다.
     # 인증서 정보가 포함된 필드를 지정합니다. 기본값은 'altSecurityIdentities'입니다.
     smartcard_ad_cert_field: altSecurityIdentities
   
     # 인증서 정보의 형식을 지정합니다. 유효한 값은:
     # principal_name, rfc822_name, issuer_and_subject, subject, issuer_and_serial_number
     smartcard_ad_cert_format: issuer_and_serial_number
   EOS
   

2. 파일을 저장하고 재구성하여 변경 사항이 적용되도록 합니다.

자체 컴파일된 설치의 경우:

1. config/gitlab.yml을 편집합니다:

   production:
     ldap:
       servers:
         main:
           # 생략...
           # LDAP 서버에 대한 스마트 카드 인증을 활성화합니다. 유효한 값은
           # "false", "optional", 및 "required"입니다.
           smartcard_auth: optional
   
           # LDAP 서버가 Active Directory인 경우 이 두 필드를 구성할 수 있습니다.
           # 인증서 정보가 포함된 필드를 지정합니다. 기본값은 'altSecurityIdentities'입니다.
           smartcard_ad_cert_field: altSecurityIdentities
   
           # 인증서 정보의 형식을 지정합니다. 유효한 값은:
           # principal_name, rfc822_name, issuer_and_subject, subject, issuer_and_serial_number
           smartcard_ad_cert_format: issuer_and_serial_number
   

2. 파일을 저장하고 재시작하여 변경 사항이 적용되도록 합니다.

Git 접근을 위한 스마트 카드 로그인 시 브라우저 세션 필수

Linux 패키지 설치의 경우:

1. /etc/gitlab/gitlab.rb를 편집합니다:

   gitlab_rails['smartcard_required_for_git_access'] = true
   

2. 파일을 저장하고 재구성하여 변경 사항이 적용되도록 합니다.

자체 컴파일된 설치의 경우:

1. config/gitlab.yml을 편집합니다:

   ## 스마트 카드 인증 설정
   smartcard:
     # 생략...
     # Git 접근을 위해 스마트 카드 로그인이 필요한 브라우저 세션
     required_for_git_access: true
   

2. 파일을 저장하고 재시작하여 변경 사항이 적용되도록 합니다.

스마트 카드 인증을 통해 생성된 사용자에 대한 비밀번호

통합 인증을 통해 생성된 사용자에 대한 비밀번호 생성 가이드는 GitLab이 스마트 카드 인증을 통해 생성된 사용자에 대해 비밀번호를 생성하고 설정하는 방법에 대한 개요를 제공합니다.