그룹의 SSH 인증서 관리
조직의 최상위 그룹에 공인 인증 기관(CA) 파일을 공유하여 프로젝트의 Git 액세스를 관리합니다.
GitLab SaaS의 Git 액세스 제어 옵션(SSH, HTTPS)은 사용자 프로필에 설정된 자격 증명(액세스 토큰 및 SSH 키)에 의존하며 조직의 통제를 벗어납니다. 프로젝트에 일시적으로 Git 액세스를 부여하려면 SSH 인증서를 사용할 수 있습니다.
최상위 그룹에 CA 인증서 추가
- 16.4 버전에서 도입되었으며
ssh_certificates_rest_endpoints라는 플래그로 소개되었습니다. 기본적으로 비활성화되어 있습니다.- GitLab 16.9에서 GitLab.com에서 활성화되었습니다.
플래그: GitLab.com에서는 이 기능을 사용할 수 있습니다. GitLab Dedicated에서는 이 기능을 사용할 수 없습니다.
전제 조건:
- 그룹의 소유자 역할이어야 합니다.
- 그룹은 부모 그룹이 아닌 최상위 그룹이어야 합니다.
그룹에 CA 인증서를 추가하려면:
-
공인 기관 파일로 사용할 SSH 키 쌍을 생성합니다:
ssh-keygen -f CA -
최상위 그룹에 공개 키를 추가하여 그룹 SSH 인증서 API를 사용하여 그룹 및 하위 그룹의 프로젝트에 액세스를 부여합니다.
사용자에 대한 CA 인증서 발행
전제 조건:
- 그룹의 소유자 역할이어야 합니다.
- 사용자 인증서는 최상위 그룹과 해당 하위 그룹의 프로젝트에만 사용할 수 있습니다.
- 사용자의 사용자 이름 또는 기본 이메일(
user또는user@example.com)을 지정하여 GitLab 사용자와 사용자 인증서를 연결해야 합니다. - 사용자는 Enterprise 사용자여야 합니다.
사용자 인증서를 발급하려면 이전에 생성한 쌍의 개인 키를 사용합니다:
ssh-keygen -s CA -I user@example.com -V +1d user-key.pub
(user-key.pub) 키는 사용자가 SSH 인증에 사용하는 SSH 키 쌍의 공개 키입니다.
SSH 키 쌍은 사용자가 생성하거나 SSH 인증서와 함께 그룹 소유자 인프라에 의해 설정됩니다.
만료일(+1d)은 SSH 인증서를 그룹 프로젝트에 액세스하는 데 사용할 수 있는 기간을 식별합니다.
사용자 인증서는 최상위 그룹의 프로젝트에만 사용할 수 있습니다.
SSH 인증서 강제 적용
- 16.7 버전에서 도입되었으며
enforce_ssh_certificates_via_settings라는 플래그로 소개되었습니다. 기본적으로 비활성화되어 있습니다.- GitLab 16.9에서 GitLab.com에서 활성화되었습니다.
플래그: GitLab.com에서는 이 기능을 사용할 수 있습니다. GitLab Dedicated에서는 이 기능을 사용할 수 없습니다.
SSH 인증서의 사용을 강제화하여 사용자가 SSH 키 및 액세스 토큰을 사용하여 인증하는 것을 금지할 수 있습니다.
SSH 인증서가 강제 적용될 때 개별 사용자 계정에만 적용됩니다. 서비스 계정, 배포 키 및 기타 유형의 내부 계정에는 적용되지 않습니다.
전제 조건:
- 그룹의 소유자 역할이어야 합니다.
SSH 인증서 사용을 강제화하려면:
- 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
- 설정 > 일반을 선택합니다.
- 권한 및 그룹 기능 섹션을 확장합니다.
- SSH 인증서 강제 적용 확인란을 선택합니다.
- 변경 사항 저장을 선택합니다.
도움말