인증서 기반 인증 (실험적)

Enterprise 플랜에서 사용 가능

self-hosted 배포판

*레거시 Mattermost Enterprise Edition E20에서 실험적으로 사용 가능합니다.*

인증서 기반 인증 (Certificate-based authentication, CBA)은 Mattermost에 액세스하는 전에 사용자 또는 장치를 식별하고 시스템에 액세스하기 전에 추가적인 보안 계층을 제공하기 위한 실험적인 기능으로 제공됩니다.

브라우저 및 Mattermost 데스크톱 앱용 사용자 CBA를 구성하려면 다음 단계를 따르세요. Mattermost iOS 및 Android 앱 지원은 계획 중입니다. 개인 장치(BYOD)마다 인증서 배포 및 OpenSSL과 같은 서비스를 사용하여 수명 주기 관리를 할 수 있을 것으로 예상됩니다.

시스템에 Mattermost를 설치하고 NGINX를 SSL 및 HTTP/2를 지원하는 프록시로 구성하고 Let’s Encrypt와 같은 유효한 SSL 인증서를 가져오기 위해 공식 가이드를 따르세요 .

웹 앱을 위한 상호 TLS 인증 설정

이것은 인증서 기반 인증 설정의 첫 번째 단계입니다. 아직 상호 TLS 인증을 설정하지 않았다면, 자세한 내용을 알아보려면 문서를 참조하세요 .

클라이언트 인증서로 Mattermost 서버 로그인 설정

1. Mattermost 서버가 유효한 기업 라이선스로 라이선스가 부여되었는지 확인합니다.

2. config.json 파일의 ExperimentalSettings 에서 ClientSideCertEnable 를 true 로, 그리고 ClientSideCertCheck 를 다음 값 중 하나로 설정합니다.

• primary - 클라이언트 측 인증서가 확인된 후, 사용자의 이메일이 인증서에서 검색되어 암호 없이 로그인에 사용됩니다.

• secondary - 클라이언트 측 인증서가 확인된 후, 사용자의 이메일이 인증서에서 검색되어 사용자가 제공한 이메일과 일치하는지 확인됩니다. 일치하는 경우 사용자는 일반적인 이메일/암호 자격 증명으로 로그인합니다.

config.json 파일에는 다음과 같은 줄이 있어야 합니다.

"ExperimentalSettings": {
    "ClientSideCertEnable": true,
    "ClientSideCertCheck": "secondary"
},

3. Mattermost 서버를 다시 시작합니다.

Ubuntu 14.04 및 RHEL 6에서:

sudo art mattermost

Ubuntu 16.04, Debian Stretch 및 RHEL 7에서:

sudo systemctl art mattermost

4. https://example.mattermost.com 로 이동하여 로그인을 시도하세요. 서버는 x.509 인증서의 emailAddress 가 Mattermost 사용자의 이메일과 동일하도록 요구해야 합니다.