• 최상위 그룹에 CA 인증서 추가
• 사용자에 대한 CA 인증서 발급
• SSH 인증서 강제 적용

그룹의 SSH 인증서 관리

조직의 최상위 그룹에 공용 Certified Authority(CA) 파일을 공유하여 프로젝트에 대한 Git 액세스를 관리합니다.

GitLab SaaS의 Git 액세스 제어 옵션(SSH, HTTPS)은 사용자 프로필에 설정된 자격 증명(액세스 토큰 및 SSH 키)에 의존하며, 조직의 통제를 벗어납니다. 프로젝트에 일시적으로 Git 액세스를 부여하려면 SSH 인증서를 사용할 수 있습니다.

최상위 그룹에 CA 인증서 추가

• GitLab 16.4에 도입되었습니다. 기본적으로 비활성화된 ssh_certificates_rest_endpoints라는 플래그를 통해.
• GitLab 16.9에서 GitLab.com에서 활성화됨.

전제 조건:

• 그룹의 소유자 역할이어야 합니다.
• 그룹은 하위 그룹이 아닌 최상위 그룹이어야 합니다.

그룹에 CA 인증서를 추가하려면:

1. Certified Authority 파일로 사용할 SSH 키 쌍을 생성합니다:

   ssh-keygen -f CA
   

2. 상위 그룹에 공개 키를 추가하여 그룹 SSH 인증서 API를 사용하여 해당 그룹과 그 하위 그룹의 프로젝트에 액세스할 수 있습니다.

사용자에 대한 CA 인증서 발급

전제 조건:

• 그룹의 소유자 역할이어야 합니다.
• 사용자 인증서는 최상위 그룹과 해당 하위 그룹의 프로젝트에만 액세스에 사용될 수 있습니다.
• 사용자의 사용자 이름 또는 기본 이메일(user 또는 user@example.com)을 지정하여 GitLab 사용자와 사용자 인증서를 연결해야 합니다.
• 사용자는 기업 사용자여야 합니다.

사용자 인증서를 발급하려면 앞서 생성한 쌍의 개인 키를 사용합니다:

ssh-keygen -s CA -I user@example.com -V +1d user-key.pub

(user-key.pub) 키는 사용자가 SSH 인증을 위해 사용하는 SSH 키 쌍의 공개 키입니다. SSH 키 쌍은 사용자가 생성하거나 그룹 소유자 인프라와 함께 SSH 인증서와 함께 미리 구성됩니다.

만료 날짜(+1d)는 SSH 인증서를 사용하여 그룹 프로젝트에 액세스할 수 있는 기간을 식별합니다.

사용자 인증서는 최상위 그룹의 프로젝트에만 액세스에 사용될 수 있습니다.

SSH 인증서 강제 적용

• GitLab 16.7에 도입되었습니다. 기본적으로 비활성화된 enforce_ssh_certificates_via_settings라는 플래그를 통해.
• GitLab 16.9에서 GitLab.com에서 활성화됨.

SSH 인증서의 사용을 강제화하여 사용자가 SSH 키 및 액세스 토큰을 사용하여 인증하는 것을 금지할 수 있습니다.

SSH 인증서가 강제화되면 개인 사용자 계정에만 적용됩니다. 서비스 계정, 배포 키 및 기타 유형의 내부 계정에는 적용되지 않습니다.

전제 조건:

• 그룹의 소유자 역할이어야 합니다.

SSH 인증서 사용을 강제화하려면:

1. 왼쪽 사이드 바에서 검색 또는 이동을 선택하여 그룹을 찾습니다.
2. 설정 > 일반을 선택합니다.
3. 권한 및 그룹 기능 섹션을 확장합니다.
4. SSH 인증서 강제 적용 확인란을 선택합니다.
5. 변경 사항 저장을 선택합니다.