基于x-pack的用户管理(一)
时间:2020-07-15 22:16:17
收藏:0
阅读:47
基于x-pack的用户管理(一)
“域”(realms)
Elasticsearch安全管理插件通过用户认证、用户授权、加密通信、审计日志、IP过滤等多种手段来保证集群的安全。x-pack的安全插件可以通过用户名密码、证书、令牌和其他多种方法实现用户认证。Elasticsearch支持通过多种服务实现用户鉴定,这些方式通称为“域”(realms)。
常见的realms有:
- native
- ldap
- active_directory
- file
- pki
- file
- saml
- oidc
支持安全管理的ES版本
Elasticsearch 从6.8.0/7.1.0后xpack 开源,基础版不需要授权免费使用,支持用户认证、授权、监控等功能
Elasticsearch 5.X的版本无法免费使用xpack提供的安全功能
内建用户和系统用户
Elasticsearch在打开安全配置后,会有系统自带的管理帐号,称为内建用户。同时也有自带的系统用户。
系统用户和内建用户的区别是:内建用户可以用来登陆,系统用户是es集群内部通信使用的,不能用来登陆,但是可以在审计日志中看到这些用户产生的事件。
- 内建用户
- elastic
- kibana
- beats_system
- apm_system
- remote_monitoring_user
- 系统用户
- _system
- _xpack
- _xpack_security
用户数据的存储
当使用Elasticsearch默认的native服务做用户认证授权时,用户数据存储在.security-7 所引中,索引数据可查看、修改、删除
curl -X GET -i ‘http://localhost:9200/.security-7/_search‘
{
"took": 3,
"timed_out": false,
"_shards": {
"total": 1,
"successful": 1,
"skipped": 0,
"failed": 0
},
"hits": {
"total": {
"value": 5,
"relation": "eq"
},
"max_score": 1.0,
"hits": [{
"_index": ".security-7",
"_type": "_doc",
"_id": "reserved-user-kibana",
"_score": 1.0,
"_source": {
"password": "$2a$10$EthtJnnPL9BXDnG2iH8LVedy5s4tOIPrvpZyRSJALw2IIR1ge/jl.",
"enabled": true,
"type": "reserved-user"
}
},...
}]
}
}
如何开启用户认证和授权功能
-
第一步,打开安全开关
修改 ES_HOME/config/elasticsearch.yml,添加
xpack.security.enabled: true -
第二步,初始化内建用户的密码
执行 ES_HOME/bin/elasticsearch-set-passwords.sh interactive,通过交互的方式依次设置内建用户的密码
-
第三步,登陆
curl -XGET "http://localhost:9200" -u elastic:6789@jkl { "name" : "node-1", "cluster_name" : "my-application", "cluster_uuid" : "gZRcq4pUTFOdZSRy-JHrFQ", "version" : { "number" : "7.2.0", "build_flavor" : "default", "build_type" : "tar", "build_hash" : "508c38a", "build_date" : "2019-06-20T15:54:18.811730Z", "build_snapshot" : false, "lucene_version" : "8.0.0", "minimum_wire_compatibility_version" : "6.8.0", "minimum_index_compatibility_version" : "6.0.0-beta1" }, "tagline" : "You Know, for Search" }
原文:https://www.cnblogs.com/wangzhen3798/p/13307229.html
评论(0)